A Felhasználási feltételek 3. sz. függeléke: Adatfeldolgozási szerződés

Hatályos: 2025. november 26.

A jelen Adatfeldolgozási szerződés akkor alkalmazandó Ön és az ESET között, amikor Ön adatkezelőként feldolgozza a személyes adatokat a Feltételekben biztosított ESET-szolgáltatások használatával, és az ESET adatfeldolgozóként feldolgozza az ilyen személyes adatokat az Ön nevében.

Az Európai Parlament és a Tanács (EU) természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről („Általános adatvédelmi rendelet”) szóló 2016/679 rendeletének (2016. április 27.) követelményei szerint az ESET („Adatfeldolgozó”) és Ön („Adatkezelő”) adatfeldolgozási szerződési viszonyt létesítenek, amelynek keretében meghatározzák a személyes adatok feldolgozásának feltételeit, az ilyen adatok védelmének módját, valamint azt, hogy a két fél milyen jogokkal és kötelezettségekkel rendelkezik az adatalanyok személyes adatainak adatkezelő nevében történő feldolgozásakor a fő szerződés jelen feltételeinek teljesítésekor.

1. Személyes adatok feldolgozása. A jelen Feltételek szerint nyújtott Szolgáltatások közé tartozik egy beazonosított vagy beazonosítható természetes személy adatainak feldolgozása az Adatkezelő nevében az Adatvédelmi szabályzatban meghatározott módon („Személyes adatok”).

2. Felhatalmazás. Az adatkezelő személyes adatok feldolgozásával hatalmazza fel az adatfeldolgozót, ami magában foglalja a következő instrukciókat:

(i) A „feldolgozás célja” a jelen Feltételekkel és Dokumentációval összhangban történő szolgáltatásnyújtás. Az adatfeldolgozó kizárólag az adatkezelő által igényelt szolgáltatások nyújtása tekintetében dolgozhat fel személyes adatokat az adatkezelő nevében. A további célokra gyűjtött összes információkat az adatkezelő-adatfeldolgozó szerződéses kapcsolatán kívül kell feldolgozni.

(ii) a feldolgozási időszak a jelen Feltételek szerinti együttműködés megkezdésétől a Feltételek megszűnéséig tart,

(iii) A személyes adatok köre és kategóriái az adatkezelő által a Szolgáltatások nyújtása során megadott vagy elérhetővé tett személyes adatok. A szolgáltatások célja kizárólag az általános személyes adatok feldolgozása. A személyes adatok körének meghatározásáért azonban kizárólag az adatkezelő felel.

(iv) az „Adatalany” olyan természetes személy, aki az Adatkezelő eszközeinek jóváhagyott felhasználója, és akinek a Szolgáltatásokat nyújtják,

(v) a feldolgozási műveletek körébe tartozik minden olyan művelet, amely a feldolgozáshoz szükséges,

(vi) a Dokumentált utasítások a jelen Feltételekben, a Függelékekben, az Adatvédelmi szabályzatban és a Dokumentációban ismertetett instrukciók. Az adatkezelő felel a személyes adatok feldolgozásának jogszerű elfogadhatóságáért az adatvédelmi törvény vonatkozó rendelkezései tekintetében.

3. Az adatfeldolgozó kötelezettségei. Az adatfeldolgozó köteles

(i) a személyes adatokat kizárólag a dokumentált utasítások alapján és az adatfeldolgozás céljával összhangban dolgozzuk fel,

(ii) tájékoztatni a személyes adatok feldolgozására felhatalmazott személyeket („Felhatalmazott személyek") a GDPR szerinti jogaikról és kötelezettségeikről, jogsértés esetén a keletkező kötelezettségeikről, valamint meggyőződni arról, hogy a felhatalmazott személyek vállalták a titoktartási kötelezettséget és követik a dokumentált instrukciókat,

(iii) megtenni minden olyan intézkedést, amely a feldolgozás biztonságával kapcsolatos a GDPR 32. cikke szerint előírtak szerint, figyelembe véve a technológia aktuális állását, a megvalósítási költségeket, valamint az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint az eltérő valószínűségű és súlyosságú kockázatot a természetes személyek jogaira és szabadságjogaira tekintettel a biztonság kockázatnak megfelelő szintű biztosítása érdekében az adatkezelő személyes adatainak feldolgozásakor,

(iv) a feldolgozás jellegének figyelembevételével segítséget nyújtani az adatkezelőnek abban, hogy válaszoljon az érintettek jogaival kapcsolatos kérdéseire. Az adatfeldolgozó nem javíthatja, törölheti vagy korlátozhatja a személyes adatok feldolgozását az adatkezelő utasítása nélkül. Az érintettnek az adatkezelő nevében kezelt személyes adatokkal kapcsolatos minden kérését haladéktalanul továbbítani kell az adatkezelőnek.

(v) segítséget nyújtani az adatkezelőnek abban, hogy értesítse a személyes adatok megsértéséről a felügyeleti hatóságot és az érintettet, Az adatfeldolgozó köteles tájékoztatni az adatkezelőt a személyes adatok feldolgozásában, illetve a személyes adatok biztonságának területén fellépő bárminemű jogsértésről haladéktalanul ennek felfedezése után. Az adatfeldolgozó észszerű mértékben köteles együttműködni az ilyen jellegű jogsértések kivizsgálásában és kezelésében, és észszerű intézkedéseket kell hoznia a további negatív következmények korlátozása érdekében.

(vi) az adatkezelő döntése szerint törölni vagy visszaküldeni az adatkezelő részére az összes személyes adatot az adatkezelési időszak lejártát követően, Az adatkezelő vállalja, hogy az adatkezelési időszak lejártát követő tíz (10) napon belül tájékoztatja az adatfeldolgozót a döntéséről. Ez a rendelkezés nem érinti az adatfeldolgozó azon jogát, hogy a személyes adatokat a szükséges mértékben megőrizze közérdekű archiválás céljából, tudományos kutatási célból, statisztikai célból, illetve jogi követelések előterjesztése, érvényesítése vagy védelme céljából.

(vii) naprakész naplót vezetni a feldolgozási tevékenységek összes olyan kategóriájáról, amelyet az adatkezelő nevében végzett el,

(viii) az Adatkezelő rendelkezésére bocsátani minden olyan információt, amely szükséges a feltételek, a Mellékletek, az Adatvédelmi szabályzat és a Dokumentáció szerinti megfelelés igazolásához. A személyes adatok feldolgozásának az adatkezelő részéről történő auditálása vagy ellenőrzése esetén az adatkezelő köteles írásban tájékoztatni az adatfeldolgozót a tervezett auditálás vagy ellenőrzés előtt legalább harminc (30) nappal.

4. Egy másik adatfeldolgozó megbízása. Az Adatfeldolgozó általában jogosult megbízni egy másik adatfeldolgozót bizonyos feldolgozási tevékenységek végrehajtásával, például felhőalapú tárhely és infrastruktúra biztosításával a jelen Feltételek, a Függelékei, az Adatvédelmi szabályzat és a Dokumentáció szerint. Ilyen esetben is az adatfeldolgozó marad a kizárólagos kapcsolattartó, és továbbra is ő felel a jogszabályok betartásáért. Az adatfeldolgozó ezennel vállalja, hogy tájékoztatja az adatkezelőt egy másik adatfeldolgozó bevonásáról vagy leváltásáról annak érdekében, hogy lehetősége legyen ellenvetését kifejezni a változtatás ellen. Az aktuálisan részt vevő alfeldolgozókat az adatfeldolgozó adatvédelmi szabályzata határozza meg.

5. Feldolgozási terület. Az adatfeldolgozó biztosítja, hogy a feldolgozás az Európai Gazdasági Térségben vagy olyan országban zajlik, amely az Európai Bizottság határozata vagy az adatkezelő döntése alapján biztonságosnak tekinthető. Az általános szerződési feltételek érvényesülnek az adatok továbbítása és az Európai Gazdasági Térségen, illetve az Európai Bizottság határozata alapján biztonságosnak tekinthető országon kívüli helyen történő feldolgozása esetén, az adatkezelő kérésére.

6. Biztonság. Az adatfeldolgozó rendelkezik ISO 27001 tanúsítással, és az ISO 27001 keretrendszer szerint valósítja meg többrétegű biztonsági stratégiáját a biztonsági ellenőrzések hálózaton, operációs rendszerekben, adatbázisokban, alkalmazásokban, személyzet körében és működtető folyamatokban való alkalmazásakor. A rendeleti és szerződéses követelmények betartásának felmérése és ellenőrzése rendszeresen megtörténik az adatfeldolgozó egyéb infrastruktúráihoz és műveleteihez hasonlóan, és folyamatosan elvégzik a követelmények betartásához szükséges tevékenységeket. Az adatfeldolgozó az ISMS segítségével, az ISO 27001 alapján szervezte meg az adatbiztonságot. A biztonsági dokumentáció elsősorban eljárási dokumentumokat tartalmaz az információbiztonság, a berendezések fizikai biztonsága és biztonsága, az eseményfelügyelet, az adatszivárgások és a biztonsági események kezelése stb. vonatkozásában.

7. Technikai és szervezeti intézkedések. Az adatfeldolgozó köteles megvédeni a személyes adatokat az alkalmi és jogellenes károktól és megsemmisítéstől, véletlen elvesztéstől, megváltoztatástól, jogosulatlan hozzáféréstől és nyilvánosságra hozataltól. Ennek érdekében az adatfeldolgozó köteles megfelelő technikai és szervezeti intézkedéseket foganatosítani, amelyek megfelelnek az adatkezelés módjának és az adatkezelés által jelentett kockázatnak az érintettek jogai érdekében és a GDPR előírásainak megfelelően. A technikai és szervezeti intézkedések részletes leírását a Biztonsági szabályzat tartalmazza.

8. Az adatfeldolgozó elérhetősége. Minden értesítést, kérést, kérelmet és a személyes adatok védelmével kapcsolatos egyéb közleményeket a következő címre kell elküldeni: ESET, spol. s.r.o., Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.