Ezen általános szerződési feltételek célja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) ( 1 ) követelményeinek való megfelelés biztosítása a személyes adatok harmadik országba történő továbbítása tekintetében.

A Felek:

elfogadták ezeket az általános szerződési feltételeket (a továbbiakban: „feltételek”).

E feltételek az I. melléklet B. részében meghatározott személyes adatok továbbítására vonatkoznak.

E szerződési feltételek függeléke, amely tartalmazza az ott említett mellékleteket, e feltételek szerves részét képezi.

Ezek a feltételek az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja értelmében megfelelő garanciákat – többek között érvényesíthető jogokat és hatékony jogorvoslati lehetőségeket, továbbá az adatkezelők által az adatfeldolgozók részére és/vagy az adatfeldolgozók által az adatfeldolgozók részére történő adattovábbítás tekintetében az (EU) 2016/679 rendelet 28. cikkének (7) bekezdése szerinti általános szerződési feltételeket határoznak meg, feltéve, hogy azokat nem módosítják, kivéve a megfelelő modul(ok) kiválasztását, illetve a függelékben szereplő információk hozzáadását vagy naprakésszé tételét. Ez nem akadályozza meg a Feleket abban, hogy az e szerződési feltételekben meghatározott általános szerződési feltételeket egy szélesebb szerződésbe foglalják és/vagy egyéb záradékokkal vagy kiegészítő garanciákkal egészítsék ki, feltéve, hogy azok sem közvetlenül, sem közvetve nem mondanak ellent ezeknek a feltételeknek, és nem sértik az érintettek alapvető jogait vagy szabadságait.

Ezek a feltételek nem érintik az adatátadóra az (EU) 2016/679 rendelet értelmében háruló kötelezettségeket.

Az érintettek harmadik fél kedvezményezettként hivatkozhatnak ezekre a feltételekre és érvényesíthetik azokat az adatátadóval és/vagy adatátvevővel szemben, az alábbi kivételekkel:

Az a) bekezdés nem érinti az érintettek (EU) 2016/679 rendelet szerinti jogait.

Amennyiben ezek a feltételek az (EU) 2016/679 rendeletben meghatározott fogalmakat használják, e fogalmak jelentése megegyezik az említett rendeletben foglaltakkal.

Ezeket a feltételeket az (EU) 2016/679 rendelet rendelkezéseinek fényében kell értelmezni.

E feltételek nem értelmezhetők oly módon, amely ellentétes az (EU) 2016/679 rendeletben meghatározott jogokkal és kötelezettségekkel.

Az a jogalany, amely e feltételeknek nem részes fele, a Felek beleegyezése mellett a függelék kitöltésével és az I. melléklet A. részének aláírásával bármikor csatlakozhat ezekhez a feltételekhez adatátadóként vagy adatátvevőként.

A függelék kitöltését és az I. melléklet A. részének aláírását követően a csatlakozó jogalany e feltételek részes felévé válik, és megilletik az adatátadó vagy adatátvevő jogai és kötelezettségei az I. melléklet A. részében szereplő megnevezéssel összhangban.

A csatlakozó jogalany nem rendelkezik a részes féllé válást megelőző időszakból az e feltételekből eredő jogokkal vagy kötelezettségekkel.

megszerezte az érintett előzetes hozzájárulását;

az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Annak érdekében, hogy az érintettek hatékonyan gyakorolhassák a 10. feltétel szerinti jogaikat, az adatátvevő közvetlenül vagy az adatátadón keresztül tájékoztatja őket a következőkről:

Az a) bekezdés nem alkalmazandó abban az esetben, ha az érintett már rendelkezik az információval, ideértve azt az esetet is, amikor az adatátadó már rendelkezésre bocsátotta az információt, vagy az ilyen információ rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést jelentene az adatátvevő számára. Ez utóbbi esetben az adatátvevőnek a lehető legnagyobb mértékben nyilvánosan hozzáférhetővé kell tennie az információt.

Kérésre a Felek díjmentesen az érintett rendelkezésére bocsátják e feltételek egy példányát, beleértve a függelék általuk kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a személyes adatok – védelméhez szükséges mértékben a Felek a másolati példány megosztása előtt kivonatolhatják a függelék szövegének egy részét, de érdemi összefoglalót kell készíteniük, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem lenne képes jogait gyakorolni. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat.

Az a)–c) bekezdés nem érinti az adatátadónak az (EU) 2016/679 rendelet 13. és 14. cikke szerinti kötelezettségeit.

A Felek biztosítják, hogy a személyes adatok pontosak és szükség esetén naprakészek legyenek. Az adatátvevő minden észszerű lépést megtesz annak érdekében, hogy az adatkezelés céljára (céljaira) tekintettel pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Ha valamelyik Fél tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja a másik Felet.

Az adatátvevő biztosítja, hogy a személyes adatok megfelelőek és relevánsak legyenek, valamint az adatkezelés céljához (céljaihoz) szükséges mértékre korlátozódjanak.

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be a személyes adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető.

A Felek elfogadták a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

Az adatátvevő biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve az esetleges káros hatások enyhítésére irányuló intézkedéseket is.

Olyan adatvédelmi incidens esetén, amely valószínűleg kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti mind az adatátadót, mind az 13. feltétel szerinti illetékes felügyeleti hatóságot. Az értesítésnek tartalmaznia kell i. az incidens jellegének leírását (lehetőség szerint beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett személyes adatokat); ii. annak valószínű következményeit; iii. az incidens kezelése érdekében hozott vagy javasolt intézkedéseket; valamint iv. egy olyan kapcsolattartó pont adatait, ahonnan további információk szerezhetők be. Amennyiben az adatátvevőnek nem áll módjában egyidejűleg az összes információt megadni, ezt indokolatlan késedelem nélkül, szakaszokban is megteheti.

Olyan adatvédelmi incidens esetén, amely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti az érintetteket az adatvédelmi incidensről és jellegéről, szükség esetén az adatátadóval együttműködve, az e) bekezdés ii–iv. pontjában említett információkkal együtt, kivéve, ha az adatátvevő a természetes személyek jogait vagy szabadságait érintő kockázat jelentős csökkentésére irányuló intézkedéseket hajtott végre, vagy az értesítés aránytalan erőfeszítéssel járna. Ez utóbbi esetben az adatátvevőnek ehelyett nyilvános tájékoztatást kell kiadnia, vagy hasonló intézkedést kell hoznia, amelyben tájékoztatja a nyilvánosságot az adatvédelmi incidensről.

Az adatátvevő dokumentálja a személyes adatok megsértésével kapcsolatos valamennyi lényeges tényt, beleértve annak hatásait és a meghozott korrekciós intézkedéseket is, és ezekről nyilvántartást vezet.

olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében;

a harmadik fél kötelező erejű megállapodást köt az adatátvevővel, amely ugyanolyan szintű adatvédelmet biztosít, mint az e feltételek, és az adatátvevő e garanciák egy példányát átadja az adatátadónak;

az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;

az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; vagy

ha a többi feltétel egyike sem áll fenn, az adatátvevő – miután tájékoztatta az érintettet a további adattovábbítás céljáról, a címzett személyazonosságáról és a megfelelő adatvédelmi garanciák hiánya miatt az érintettet érő lehetséges kockázatokról – megszerezte az érintettnek az adott helyzetben történő további továbbításhoz való kifejezett hozzájárulását. Ebben az esetben az adatátvevő tájékoztatja az adatátadót, és utóbbi kérésére megküldi neki az érintettnek nyújtott információk másolatát.

Mindegyik Félnek igazolnia kell, hogy eleget tesz az e feltételek szerinti kötelezettségeinek. Nevezetesen az adatátvevőnek meg kell őriznie a felelősségi körében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

Az adatátvevő ezt a dokumentációt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja.

Az adatátvevő a személyes adatokat csak az adatátadó dokumentált utasításai alapján kezelheti. Az adatátadó a szerződés teljes időtartama alatt adhat ilyen utasításokat.

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat.

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során a Feleknek kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintetteket érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára a személyes adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.

Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat.

a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében;

a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak.

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatátadó nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

Az adatátvevő az adatátadó rendelkezésére bocsát minden olyan információt, amely az e szerződési feltételekben és az adatátadó kérésére előírt kötelezettségek teljesítésének igazolásához szükséges, lehetővé teszi az e szerződési feltételek hatálya alá tartozó adatkezelési tevékenységek észszerű időközönkénti vagy a megfelelés hiányára utaló jelek előfordulása esetén történő ellenőrzését, valamint hozzájárul ahhoz. A felülvizsgálatra vagy ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat.

►C1  Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független ellenőrt. ◄ Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni.

A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is.

Az adatátadó tájékoztatta az adatátvevőt arról, hogy adatkezelője (adatkezelői) utasításai szerint adatfeldolgozóként jár el, amelyeket az adatátadó a kezelést megelőzően az adatátvevő rendelkezésére bocsát.

Az adatátvevő a személyes adatokat kizárólag az adatkezelő dokumentált utasításai alapján, az adatátadó által az adatátvevővel közölt, valamint az adatátadótól kapott további dokumentált utasítások alapján kezeli. Az ilyen kiegészítő utasítások nem lehetnek ellentétesek az adatkezelő utasításaival. Az adatkezelő vagy az adatátadó további dokumentált utasításokat adhat az adatkezelésre vonatkozóan a szerződés teljes időtartama alatt.

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat. Ha az adatátvevő nem tudja követni az adatkezelő utasításait, az adatátadó haladéktalanul értesíti az adatkezelőt.

Az adatátadó garantálja, hogy ugyanazokat az adatvédelmi kötelezettségeket írta elő az adatátvevő számára, mint amelyeket az adatkezelő és az adatátadó között létrejött, uniós vagy tagállami jog szerinti szerződés vagy más jogi aktus meghatároz ( 5 ).

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó vagy adatkezelő kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára az adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót és – amennyiben alkalmazandó és megvalósítható – az adatkezelőt is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az adatvédelmi incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.

Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az adatkezelőjét, hogy az értesíteni tudja az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat.

a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat;

a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó vagy adatkezelő azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak.

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatkezelő nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

Az adatátvevő az e feltételekben meghatározott kötelezettségek teljesítésének igazolásához szükséges valamennyi információt elérhetővé teszi az adatátadó számára, aki azt az adatkezelő rendelkezésére bocsátja.

Az adatátvevőnek lehetővé kell tennie és hozzá kell járulnia ahhoz, hogy az adatátadó észszerű időközönként vagy a megfelelés elmaradására utaló jelek esetén ellenőrizze az e feltételek hatálya alá tartozó adatkezelési tevékenységeket. Ugyanez vonatkozik arra az esetre is, ha az adatátadó az adatkezelő utasításai alapján ellenőrzést kér. Az ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat.

Amennyiben az ellenőrzést az adatkezelő utasításai alapján végzik, az adatátadó az eredményeket az adatkezelő rendelkezésére bocsátja.

►C1  Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független ellenőrt. ◄ Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni.

A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is.

Az adatátadó a személyes adatokat csak az adatkezelőként eljáró adatátvevő dokumentált utasításai alapján kezelheti.

Az adatátadó haladéktalanul tájékoztatja az adatátvevőt, ha nem tudja követni ezeket az utasításokat, beleértve azt is, ha az ilyen utasítások sértik az (EU) 2016/679 rendeletet vagy más uniós vagy tagállami adatvédelmi jogot.

Az adatátvevő tartózkodik minden olyan intézkedéstől, amely megakadályozná az adatátadót az (EU) 2016/679 rendelet szerinti kötelezettségei teljesítésében, ideértve a további adatkezelést vagy az illetékes felügyeleti hatóságokkal való együttműködést is.

Az adatkezelési szolgáltatások nyújtásának végét követően az adatátadó az adatátvevő választása szerint törli az adatátvevő nevében kezelt valamennyi személyes adatot, és igazolja az adatátvevő számára, hogy ezt megtette, vagy visszaküldi az adatátvevőnek a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat.

A Felek megfelelő technikai és szervezési intézkedéseket vezetnek be az adatok biztonságának biztosítása érdekében, többek közt az adattovábbítás során, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe veszik a technika állását, a végrehajtás költségeit, a személyes adatok jellegét ( 7 ), az adatkezelés jellegét, kontextusát és célját, valamint az adatkezeléssel járó kockázatokat az érintettek számára és különösen megfontolják a titkosítást vagy az álnevesítést, többek között a továbbítás során is, amennyiben az adatkezelés célja megvalósítható ilyen módon is.

Az adatátadó az a) bekezdésnek megfelelően segíti az adatátvevőt az adatok megfelelő biztonságának biztosításában. Az e feltételek alapján az adatátadó által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátadó a tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátvevőt, és segíti az adatátvevőt az incidens kezelésében.

Az adatátadó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek.

Az adatátadó az adatátvevő rendelkezésére bocsát minden olyan információt, amely az e feltételek szerinti kötelezettségei teljesítésének igazolásához szükséges, valamint lehetővé teszi és hozzájárul az ellenőrzésekhez.

1. LEHETŐSÉG: KIFEJEZETT ELŐZETES HOZZÁJÁRULÁS Az adatátvevő az adatátadó előzetes kifejezett írásbeli hozzájárulása nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett hozzájárulás iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatátadó dönthessen az engedélyről. Az adatátadó által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik.

2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatátadó általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatátadót az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatátadónak arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatátadónak azokat az információkat, amelyek szükségesek ahhoz, hogy az adatátadó a tiltakozáshoz való jogát gyakorolhassa.

Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatátadó nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is ( 8 ). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak.

Az adatátvevő az adatátadó kérésére átadja az adatátadónak a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint annak minden későbbi módosítását. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét.

Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit.

Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált.

1. LEHETŐSÉG: KIFEJEZETT ELŐZETES ENGEDÉLY Az adatátvevő az adatkezelő előzetes kifejezett írásbeli engedélye nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett engedély iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatkezelő dönthessen az engedélyről. Az ilyen megbízásról tájékoztatja az adatátadót. Az adatkezelő által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik.

2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatkezelő általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatkezelőt az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatkezelőnek arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatkezelőnek azokat az információkat, amelyek szükségesek ahhoz, hogy az adatkezelő a tiltakozáshoz való jogát gyakorolhassa. Az adatátvevő tájékoztatja az adatátadót a további adatfeldolgozó(k) megbízásáról.

Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatkezelő nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is ( 9 ). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak.

Az adatátvevő az adatátadó vagy adatkezelő kérésére rendelkezésre bocsátja a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint minden későbbi módosítást. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét.

Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit.

Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált.

Az adatátvevő – adott esetben az adatátadó segítségével – indokolatlan késedelem nélkül és legkésőbb a megkeresés vagy kérelem kézhezvételét követő egy hónapon belül foglalkozik az érintettől a személyes adatainak kezelésével és az e szerződési feltételek szerinti jogainak gyakorlásával kapcsolatban kapott megkeresésekkel és kérelmekkel ( 10 ). Az adatátvevő megteszi a megfelelő intézkedéseket annak érdekében, hogy megkönnyítse az ilyen megkereséseket, kérelmeket és az érintettek jogainak gyakorlását. Az érintettnek nyújtott tájékoztatásnak érthetőnek és könnyen hozzáférhetőnek kell lennie, és abban világos és közérthető nyelvezetet kell használni.

Az adatátvevő az érintett kérésére különösen köteles ingyenesen biztosítani a következőket:

Amennyiben az adatátvevő a személyes adatokat közvetlen üzletszerzési célból kezeli, az ilyen célokból történő adatkezelést be kell szüntetni, ha az érintett tiltakozik ellene.

Az adatátvevő nem hozhat olyan, kizárólag a továbbított személyes adatok automatizált kezelésén alapuló döntést (a továbbiakban: automatizált döntés), amely az érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve, ha ehhez az érintett kifejezett hozzájárulását adta, vagy ha erre a rendeltetési ország jogszabályai szerint engedélyt adnak, amennyiben e jogszabály megfelelő intézkedéseket állapít meg az érintett jogainak és jogos érdekeinek védelme érdekében. Ebben az esetben az adatátvevő szükség esetén az adatátadóval együttműködve:

Ha az érintett kérelme – különösen ismétlődő jellege miatt – túlzó, az adatátvevő, figyelemmel a kérelem teljesítésével járó adminisztratív költségekre, észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem teljesítését.

Az adatátvevő elutasíthatja az érintett kérelmét, ha az elutasítást a rendeltetési ország jogszabályai lehetővé teszik, és az az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célok egyikének védelme érdekében szükséges és arányos egy demokratikus társadalomban.

Ha az adatátvevő el kívánja utasítani az érintett kérelmét, tájékoztatja az érintettet az elutasítás okairól, valamint arról a lehetőségről, hogy panaszt nyújthat be az illetékes felügyeleti hatósághoz és/vagy bírósági jogorvoslatot kérhet.

Az adatátvevő haladéktalanul értesíti az adatátadót az érintettől kapott bármely kérelemről. A kérelemre ő maga nem válaszolhat, hacsak erre az adatátadó fel nem hatalmazza.

Az adatátvevő segíti az adatátadót az érintetteknek az (EU) 2016/679 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét.

Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatátadó utasításainak.

Az adatátvevő haladéktalanul értesíti az adatátadót és adott esetben az adatkezelőt az érintettől kapott bármely kérelemről, anélkül, hogy válaszolna a kérelemre, kivéve, ha erre az adatkezelő felhatalmazta.

Az adatátvevő adott esetben az adatátadóval együttműködésben segíti az adatkezelőt az érintetteknek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét.

Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatkezelőnek az adatátadó által közölt utasításainak.

Az adatátvevő átlátható és könnyen hozzáférhető formában, egyedi értesítés útján vagy honlapján tájékoztatja az érintetteket a panaszok kezelésére felhatalmazott kapcsolattartó pontról. Haladéktalanul kezeli az érintettől kapott panaszokat.

[LEHETŐSÉG: Az adatátvevő beleegyezik abba, hogy az érintettek az érintett számára költségmentesen egy független vitarendezési testülethez ( 11 ) is benyújthatnak panaszt. Az érintetteket az a) bekezdésben meghatározott módon tájékoztatja erről a jogorvoslati mechanizmusról, és arról, hogy nem kötelesek igénybe venni azt, vagy a jogorvoslat iránti kérelem meghatározott sorrendjét követni.]

Abban az esetben, ha az érintett és az egyik Fél között vita alakul ki az e feltételeknek való megfelelés tekintetében, az adott Fél mindent megtesz annak érdekében, hogy a kérdés békés úton, kellő időben rendeződjön. A Felek folyamatosan tájékoztatják egymást az ilyen vitákról, és adott esetben együttműködnek azok megoldásában.

Amennyiben az érintett a kedvezményezett harmadik személyre vonatkozó 3. feltétel szerinti jogra hivatkozik, az adatátvevő elfogadja az érintett döntését, miszerint:

A Felek elfogadják, hogy az érintettet az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésében meghatározott feltételek szerint nonprofit szerv, szervezet vagy egyesület képviselheti.

Az adatátvevő betartja az alkalmazandó uniós/tagállami jog értelmében kötelező erejű határozatot.

Az adatátvevő egyetért azzal, hogy az érintett választása nem sérti az érintett azon anyagi és eljárási jogait, hogy az alkalmazandó jogszabályokkal összhangban jogorvoslatért folyamodjon.

Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek számára okoz.

Mindegyik Fél felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adott Fél okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadónak az (EU) 2016/679 rendelet szerinti felelősségét.

Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben.

A Felek megállapodnak abban, hogy amennyiben az egyik Felet a c) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének.

Az adatátvevő nem hivatkozhat az adatfeldolgozó vagy további adatfeldolgozó magatartására a saját felelősségének elkerülése érdekében.

Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek számára okoz.

Az adatátvevő felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátvevő vagy a további feldolgozója okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait.

A b) bekezdésben foglaltak sérelme nélkül az adatátadó felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátadó vagy az adatátvevő (vagy a további feldolgozója) okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadó felelősségét és – amennyiben az adatátadó az adatkezelő nevében eljáró adatfeldolgozó – az adatkezelőnek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti felelősségét.

A Felek megállapodnak abban, hogy amennyiben az adatátadót a c) bekezdés alapján felelősségre vonják az adatátvevő (vagy annak további feldolgozója) által okozott károkért, jogában áll visszaigényelni az adatátvevőtől a kártérítésnek azt a részét, amely megfelel az adatátvevő károkozásért viselt felelősségének.

Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben.

A Felek megállapodnak abban, hogy amennyiben az egyik Felet az e) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének.

Az adatátvevő nem hivatkozhat a további feldolgozó magatartására saját felelősségének elkerülése érdekében.

[Ha az adatátadó az Európai Unió tagállamában rendelkezik székhellyel:] Az adatátadó (EU) 2016/679 rendeletnek való, adattovábbítással kapcsolatos megfelelésének biztosításáért felelős, az I. melléklet C. részében említett felügyeleti hatóság jár el illetékes felügyeleti hatóságként.

[Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, és az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése szerint képviselőt nevezett ki:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként, amelyben az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése értelmében vett képviselő székhellyel rendelkezik az I. melléklet C. részében foglaltak szerint.

[Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, azonban az (EU) 2016/679 rendelet 27. cikkének (2) bekezdése szerint nem kell képviselőt kineveznie:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként az I. melléklet C. részében foglaltak szerint, ahol azok az érintettek tartózkodnak, akik személyes adatait a jelen feltételek szerint továbbítják a számukra kínált árukkal vagy szolgáltatásokkal összefüggésben, vagy akik viselkedését nyomon követik.

Az adatátvevő elfogadja az illetékes felügyeleti hatóság illetékességét, és együttműködik vele minden olyan eljárásban, amelynek célja az e feltételeknek való megfelelés biztosítása. Az adatátvevő vállalja, hogy válaszol a megkeresésekre, aláveti magát az ellenőrzéseknek, és betartja a felügyeleti hatóság által elfogadott intézkedéseket, beleértve a korrekciós és kompenzációs intézkedéseket is. Írásbeli megerősítést kell adnia a felügyeleti hatóságnak arról, hogy megtette a szükséges intézkedéseket.

A Felek biztosítják, hogy nincs okuk azt feltételezni, hogy a rendeltetési hely szerinti harmadik országban az adatátvevő által végzett személyesadat-kezelésre alkalmazandó jogszabályok és gyakorlatok – beleértve a személyes adatok közlésére vonatkozó követelményeket vagy a hatóságok általi hozzáférést engedélyező intézkedéseket – megakadályozzák az adatátvevőt abban, hogy teljesítse az e feltételek szerinti kötelezettségeit. Ez azon a felfogáson alapul, hogy azok a törvények és gyakorlatok, amelyek tiszteletben tartják az alapvető jogok és szabadságok lényegét, és nem haladják meg azt a mértéket, amely egy demokratikus társadalomban az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célkitűzések egyikének biztosításához szükséges és arányos, nem ellentétesek ezekkel a feltételekkel.

A Felek kijelentik, hogy az a) bekezdésben említett garancia nyújtásakor különösen a következő elemeket vették kellően figyelembe:

Az adatátvevő garantálja, hogy a b) bekezdés szerinti értékelés elvégzése során minden tőle telhetőt megtett annak érdekében, hogy az adatátadó számára releváns információkat szolgáltasson, és beleegyezik abba, hogy továbbra is együttműködik az adatátadóval az e feltételeknek való megfelelés biztosítása érdekében.

A Felek megállapodnak abban, hogy dokumentálják a b) bekezdés szerinti értékelést, és azt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják.

Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót, ha e feltételek elfogadását követően és a szerződés időtartama alatt okkal feltételezi, hogy az a) bekezdésben foglalt követelményekkel ellentétes törvények vagy gyakorlatok hatálya alá tartozik vagy tartozott, ideértve azt is, hogy megváltoztak a harmadik ország jogszabályai, vagy olyan intézkedés (például közzétételi kérelem) történt, amely az ilyen jogszabályok gyakorlati alkalmazását jelzi, és amely nem felel meg az a) bekezdésben foglalt követelményeknek. [A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.]

Az e) bekezdés szerinti értesítést követően, vagy ha az adatátadó más okból feltételezi, hogy az adatátvevő már nem tudja teljesíteni az e feltételek szerinti kötelezettségeit, az adatátadó haladéktalanul meghatározza az adatátadó és/vagy adatátvevő által a helyzet kezelése érdekében elfogadandó megfelelő intézkedéseket (például a biztonság és a titoktartás biztosítása érdekében hozott technikai vagy szervezési intézkedéseket), [a harmadik modul esetében: adott esetben az adatkezelővel egyeztetve]. Az adatátadó felfüggeszti az adattovábbítást, ha úgy ítéli meg, hogy az adattovábbításhoz nem biztosítható megfelelő garancia, vagy ha [a harmadik modul esetében: az adatkezelő vagy] az illetékes felügyeleti hatóság erre utasítja. Ebben az esetben az adatátadó jogosult arra, hogy felmondja a szerződést, amennyiben az a személyes adatok jelen feltételek szerinti kezelésére vonatkozik. Ha a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg. Ha a szerződés e feltétel alapján megszűnik, a 16. feltétel d) és e) bekezdését kell alkalmazni.

Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót és – amennyiben lehetséges – az érintettet (szükség esetén az adatátadó segítségével), ha:

[A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.]

Ha az adatátvevő a rendeltetési ország jogszabályai szerint nem értesíti az adatátadót és/vagy az érintettet, az adatátvevő vállalja, hogy minden tőle telhetőt megtesz annak érdekében, hogy mentességet kapjon a tilalom alól, hogy a lehető legtöbb információt a lehető leghamarabb közölni tudja. Az adatátvevő vállalja, hogy minden tőle telhetőt dokumentál annak érdekében, hogy az adatátadó kérésére igazolni tudja azokat.

Ha a rendeltetési ország jogszabályai lehetővé teszik, az adatátvevő vállalja, hogy a szerződés időtartama alatt rendszeres időközönként az adatátadó rendelkezésére bocsátja a beérkezett kérelmekkel kapcsolatos lehető legnagyobb mennyiségű releváns információt (különösen a kérelmek száma, a kért adatok típusa, a megkereső hatóság vagy hatóságok, a kérelmek megtámadása és a megtámadások kimenetele stb.). [A harmadik modul esetében: Az adatátadó továbbítja az információt az adatkezelőnek.]

Az adatátvevő vállalja, hogy az a)–c) bekezdés szerinti információkat a szerződés időtartama alatt megőrzi, és kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja.

Az a)–c) bekezdés nem érinti az adatátvevőnek a 14. feltétel e) bekezdése és a 16. feltétel szerinti azon kötelezettségét, hogy haladéktalanul tájékoztassa az adatátadót, ha az nem képes megfelelni ezeknek a feltételeknek.

Az adatátvevő vállalja, hogy felülvizsgálja az adatközlés iránti kérelem jogszerűségét, nevezetesen azt, hogy az továbbra is a megkereső hatóság hatáskörében marad-e, és megtámadja a kérelmet, amennyiben alapos vizsgálatot követően arra a következtetésre jut, hogy megalapozottan feltételezhető, hogy a kérelem a rendeltetési ország jogszabályai szerint jogellenes, beleértve a nemzetközi jog és a nemzetközi udvariasság elve alapján alkalmazandó kötelezettségeket is. Az adatátvevő azonos feltételek mellett jogorvoslattal élhet. A kérelem megtámadásakor az adatátvevő ideiglenes intézkedéseket kér annak érdekében, hogy az illetékes igazságügyi hatóság érdemi döntéséig felfüggessze a kérelem joghatását. A megkeresett hatóság a kért személyes adatokat mindaddig nem teszi közzé, amíg az alkalmazandó eljárási szabályok erre nem kötelezik. Ezek a követelmények nem érintik az adatátvevőnek a 14. feltétel e) bekezdése szerinti kötelezettségeit.

Az adatátvevő vállalja, hogy dokumentálja jogi értékelését, valamint az adatközlési kérelemmel kapcsolatos kifogásokat, és – a rendeltetési ország jogszabályai által megengedett mértékben – a dokumentációt az adatátadó rendelkezésére bocsátja. Ezt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja. [A harmadik modul esetében: Az adatátadó az értékelést az adatkezelő rendelkezésére bocsátja.]

Az adatátvevő vállalja, hogy a tájékoztatás iránti kérelemre való válaszadáskor a kérelem észszerű értelmezése alapján megadja a minimálisan megengedhető információmennyiséget.

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha bármilyen okból nem tud megfelelni ezeknek a feltételeknek.

►C1  Abban az esetben, ha az adatátvevő megsérti e feltételeket, vagy nem tud megfelelni azoknak, az adatátadó mindaddig felfüggeszti a személyes adatoknak az adatátvevő felé történő továbbítását, amíg a megfelelés nincs újból biztosítva, vagy a szerződés meg nem szűnik. ◄ Ez nem érinti a 14. feltétel f) pontját.

Az adatátadó jogosult a szerződés felmondására, amennyiben az személyes adatok e feltételek szerinti kezelésére vonatkozik, ha:

Ezekben az esetekben tájékoztatja az illetékes felügyeleti hatóságot [a harmadik modul esetében: és az adatkezelőt] az ilyen meg nem felelésről. Amennyiben a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg.

[Az első, második és harmadik modul esetében: Azokat a személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, az adatátadó választása szerint haladéktalanul vissza kell juttatni az adatátadónak, vagy teljes egészében törölnie kell. Ugyanez alkalmazandó az adatok valamennyi másolatára.] [A negyedik modul esetében: Az adatátadó által az EU-ban gyűjtött személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, haladéktalanul teljes egészében törölni kell, beleértve azok másolatait.] Az adatátvevő tanúsítja az adatok törlését az adatátadó felé. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a továbbított személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli.

Bármelyik fél visszavonhatja azon hozzájárulását, hogy e feltételek rá nézve kötelezőek legyenek, amennyiben i. az Európai Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján a személyes adatok e feltételek hatálya alá tartozó továbbítására kiterjedő határozatot fogad el; vagy ii. az (EU) 2016/679 rendelet azon ország jogi keretének részévé válik, ahová a személyes adatokat továbbítják. Ez nem érinti a szóban forgó adatkezelésre az (EU) 2016/679 rendelet alapján alkalmazandó egyéb kötelezettségeket.

Az e feltételekből eredő vitákat valamely uniós tagállam bíróságai rendezik.

A Felek megállapodnak abban, hogy ezek ___ (adja meg a tagállamot) bíróságai lehetnek.

Az érintett bírósági eljárást indíthat az adatátadóval és/vagy adatátvevővel szemben annak a tagállamnak a bíróságai előtt, ahol a szokásos tartózkodási helye található.

A Felek megállapodnak abban, hogy e bíróságok joghatósága alá tartoznak.