Skip to main content
Ez az oldal automatikus fordítással jelenik meg. Inkább megnézi angolul?

Partner adatvédelmi kiegészítés

Az alábbi Partner Adatvédelmi Kiegészítés része a Partnerprogram-megállapodásnak, és meghatározza a személyes adatok feldolgozásának feltételeit.

1. ÁLTALÁNOS

Ez a partner adatvédelmi kiegészítése (”DPA”) a Partnerprogrammegállapodás része (”Megállapodás”) és meghatározza a személyes adatok feldolgozására vonatkozó kiegészítő feltételeket. A nagybetűs kifejezéseknek a jelen dokumentum következő szakaszában vagy a Megállapodás másutt meghatározott jelentése van. Ha ellentmondás merül fel a jelen DPA feltételei és a Megállapodás bármely más feltételei között, akkor ez a DPA érvényesül. A jelen DPA alkalmazásában a „Szolgáltató”: Partner.

2. FOGALOMMEGHATÁROZÁSOK

  • a) „Alkalmazandó adatvédelmi törvény” a Személyes adatoknak a megállapodás szerinti feldolgozására vonatkozó valamennyi alkalmazandó jog, ideértve, de nem kizárólagosan, (i) az EGT-n belül található meghatalmazott szervezettől származó személyes adatokra vonatkozóan az (EU) 2016/679 általános adatvédelmi rendeletet (”GDPR”), valamint (ii) az Egyesült Királyságban található meghatalmazott szervezettől származó személyes adatok esetében az Egyesült Királyság GDPR és az Egyesült Királyság Adatvédelmi Törvénye 2018.
  • b) „Felhatalmazott szervezet” minden olyan jogalany (beleértve a Siemens és csoportvállalatait is), amely Adatkezelőként jár el, és amely a Szerződés értelmében jogosult közvetlenül vagy közvetve hozzáférni vagy igénybe venni a Szolgáltatásokat.
  • c) „Adatkezelő” az a természetes vagy jogi személy, aki egyedül vagy másokkal közösen határozza meg a személyes adatok feldolgozásának céljait és eszközeit.
  • d) „Megfelelőségi határozattal rendelkező ország” bármely olyan ország, amelyre vonatkozóan az Európai Bizottság úgy döntött, hogy ez az ország biztosítja az adatvédelem megfelelő szintjét, valamint az Egyesült Királyságból származó személyes adatok esetében bármely olyan ország, amelyre vonatkozóan az Egyesült Királyság megfelelőségi jogszabályait a 2018. évi adatvédelmi törvény 17A. vagy 74A. szakasza alapján hozták létre.
  • (e) „Adatmegsértés„: a biztonság bármely megsértése, amely (i) a továbbított, tárolt vagy más módon feldolgozott Személyes adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közzétételéhez vagy azokhoz való hozzáféréshez vezet, vagy (ii) az ilyen eseményről az alkalmazandó jogszabályok szerint bármely harmadik fél értesítését igényli.
  • f) „EGT” Ez az Európai Gazdasági Térség.
  • g) „EU általános szerződéses záradékok” az EU 2021/914 szabványos szerződéses záradékokat jelenti.
  • h) „Származási terület” az EGT, az Egyesült Királyság, Svájc és minden olyan ország, amely a 45. és azt követő cikkben foglaltakhoz hasonló megfelelőségi követelményekkel rendelkezik. GDPR.
  • (i) „Személyes adatok” az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen olyan azonosítóra, mint például név, azonosító szám, helymeghatározó adat, online azonosító, vagy az adott természetes személy fizikai, élettani, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitására jellemző egy vagy több tényező alapján.
  • j) „Feldolgozás” (és egyéb formái, például feldolgozás, feldolgozás): a Személyes adatokkal vagy Személyes adatkészletekkel végzett bármely művelet vagy művelet, függetlenül attól, hogy automatizált eszközökkel, például gyűjtéssel, rögzítéssel, szervezéssel, strukturálással, tárolással, adaptálással vagy módosítással, visszakereséssel, felhasználással, továbbítással, terjesztéssel vagy más rendelkezésre bocsátással, összehangolással vagy kombinálással, korlátozással, törléssel vagy megsemmisítéssel történik.
  • (k) „Processzor” : természetes vagy jogi személy, közigazgatási szerv, ügynökség vagy bármely más szerv, amely az Adatkezelő nevében személyes adatokat kezel.
  • (l) „Az adatfeldolgozó kötelező vállalati Rules” az adatfeldolgozókra vonatkozó kötelező érvényű vállalati szabályok, amelyeket az illetékes felügyeleti hatóság jóváhagyott.
  • (m) „Korlátozott személyes adatok” minden olyan Személyes Adatot jelent, amely egy eredetési területen található, meghatalmazott szervezettől származik.
  • (n) „Korlátozott transzfer (ek)” a Korlátozott Személyes Adatoknak a Szolgáltató vagy annak bármely Alfeldolgozója által az érintett Eredeti Területen kívüli feldolgozása (beleértve az átadást, nemzetközi hozzáférést és továbbítást is).
  • o) „Szolgáltatások” a Szerződés szerinti Szolgáltatások, amelyeket a jelen ÁSZF értelmében Adatfeldolgozó szerepében eljáró Szolgáltató nyújt.
  • p) „Általános szerződéses záradékok” az EU általános szerződéses kikötéseit és az Egyesült Királyság általános szerződéses záradékait jelenti.
  • (q) „Alprocesszor (ek)” a Szolgáltatások teljesítésében részt vevő bármely további adatfeldolgozó.
  • r) „Átruházási védelem (ok)” a korlátozott adattovábbításra vonatkozó, az alkalmazandó adatvédelmi törvény által előírt megfelelő biztosítékok, beleértve korlátozás nélkül a GDPR 46. cikkében előírt megfelelő biztosítékokat.
  • (s) „Egyesült Királyság GDPR” az Egyesült Királyság 2018. évi Európai Unióról szóló törvény 3. szakasza értelmében az Egyesült Királyság jogába foglalt GDPR.
  • (t) „Egyesült Királyság általános szerződéses záradékai” olyan szabványos adatvédelmi záradékok, amelyeket az Egyesült Királyság Információs Biztosainak Hivatala (ICO) az Egyesült Királyság GDPR 46. cikkének (2) bekezdésével összhangban időről időre elfogad, beleértve de nem kizárólagosan a nemzetközi adatátviteli megállapodást (UK IDTA) és az ICO nemzetközi adatátviteli kiegészítésével módosított uniós standard szerződési záradékokat (Egyesült Királyság kiegészítése”). [1]

1 Lásd https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

3. AZ ALKALMAZANDÓ ADATVÉDELMI JOGSZABÁLYOKNAK VALÓ MEGFELELÉS

A Felek kötelesek betartani az alkalmazandó adatvédelmi törvényeket, amennyiben azok a rájuk vonatkoznak és az itt előírtak szerint. A Szolgáltató a Szolgáltatás nyújtása során különösen a Személyes adatok feldolgozóként történő feldolgozására vonatkozó hatályos adatvédelmi törvény rendelkezéseit köteles betartani.

4. AZ ADATKEZELÉS HATÓKÖRE

A Szolgáltató a Személyes Adatokat kizárólag (a) a jelen DPA és a Megállapodás feltételeivel összhangban dolgozza fel; vagy (b) a Siemens egyéb dokumentált utasításai alapján. A Szolgáltató a Személyes Adatokat saját céljaira nem dolgozza fel, és harmadik félnek nem továbbítja azokat, kivéve, ha a jelen DPA megengedi. A Szolgáltató haladéktalanul tájékoztatja a Siemenst, ha véleménye szerint a Siemens utasításai sértik az alkalmazandó adatvédelmi törvényt.

5. A RENDELKEZÉSRE BOCSÁTOTT FELDOLGOZÁSI MŰVELETEK RÉSZLETEI

A Szolgáltató által nyújtott Adatkezelési műveletek részleteit - különösen az Adatkezelés tárgyát, az Adatkezelés jellegét és célját, a kezelt Személyes adatok típusait és az érintett érintettek kategóriáit - a következő pontban határozzák meg. I. melléklet ehhez a DPA-hoz.

6. MŰSZAKI ÉS SZERVEZETI INTÉZKEDÉSEK

Figyelembe véve a technológia korszerűségét, végrehajtási költségeit, az Adatkezelés jellegét, terjedelmét, összefüggését és céljait, valamint a természetes személyek jogait és szabadságait érintő változó valószínűség és súlyosság kockázatát, a Szolgáltató megfelelő technikai és szervezeti intézkedéseket hajt végre a kockázatnak megfelelő biztonsági szint biztosítása érdekében, beleértve, de nem kizárólagosan: a) a Személyes adatok álnevesítését és titkosítását; b) titoktartás, integritás, rendelkezésre állás és rugalmasság Feldolgozási rendszerek és szolgáltatások; c) fizikai vagy technikai esemény esetén a Személyes adatok rendelkezésre állásának és azokhoz való hozzáférésének időben történő helyreállításának képessége; d) az Adatkezelés biztonságának biztosítására szolgáló technikai és szervezeti intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és értékelésére szolgáló folyamat. Az előző mondat általánosságának sérelme nélkül a Szolgáltató mindenkor végrehajtja legalább a jelen pontban leírt technikai és szervezeti intézkedéseket II. mellékletehhez a DPA-hoz.

1 Lásd https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

7. TITOKTARTÁS IRÁNTI ELKÖTELEZETTSÉG

A Szolgáltató korlátozza személyzetének hozzáférését a Személyes Adatokhoz szükséges ismeretek alapján. A Szolgáltató részletes tájékoztatást nyújt személyzetének az adatvédelemre vonatkozó jogszabályi és szerződéses rendelkezésekről. A Szolgáltató köteles munkatársait betartani az ilyen rendelkezések betartására, különösen a Személyes Adatok titokban tartására, és a Személyes Adatokat a Siemens utasításainak kivételével nem dolgozza fel. A titoktartási kötelezettség a jelen Megállapodás lejártát és a személyzet Szolgáltatóval fennálló szerződéses kapcsolatát követően is érvényes. A szolgáltató kérésre igazolja az ilyen kötelezettséget.

8. ALPROCESSZOROK

  • a) A Szolgáltató rendelkezik a Siemens általános engedélyével az Alfeldolgozók bevonására. A Szolgáltató által megbízott alfeldolgozók aktuális listája a következő helyen található III. melléklet ehhez a DPA-hoz.
  • b) A Szolgáltató kifejezetten írásban tájékoztatja a Siemenst a jegyzék bármely tervezett módosításáról az Alfeldolgozók hozzáadásával vagy cseréjével legalább 30 nappal korábban. A Szolgáltató biztosítja a Siemens számára a szükséges információkat ahhoz, hogy a Siemens gyakorolhassa a tiltakozási jogot. Ha a Siemens e 30 napos határidőn belül nem emel kifogást, akkor ezt az új alfeldolgozó jóváhagyásának kell tekinteni. Amennyiben a Siemens kifogást emel, a Szolgáltató - mielőtt az Alfeldolgozót a személyes adatokhoz való hozzáférésre jogosítja - ésszerű erőfeszítéseket tesz a Siemens által kifejezett aggályok és fenntartások kezelése érdekében, és (ii) javasolja a Siemens számára a Szolgáltatások vagy a Siemens konfigurációjának vagy használatának ésszerű módosítását, hogy elkerülje az új alfeldolgozó személyes adatainak feldolgozását. Amennyiben a Szolgáltató nem tudja megszüntetni a Siemens kifogásának indokait, a Siemens jogosult kártérítés vagy szankciók nélkül megszüntetni az érintett Szolgáltatásokat. A Siemens általi felmondása esetén a Szolgáltató az adott Szolgáltatásra vonatkozó előre kifizetett összegeket arányosan visszatéríti.
  • c) Amennyiben a Szolgáltató Alfeldolgozót konkrét adatkezelési tevékenységek végzésére (a Siemens és/vagy a meghatalmazott szervezetek nevében) köteles ezt írásbeli szerződés útján megtenni, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint a Szolgáltatót a jelen DPA alapján kötelező érvényű adatvédelmi kötelezettségeket.
  • d) A Szolgáltató a Siemens kérelmére az ilyen alfeldolgozói szerződés másolatát és a későbbi módosításokat tartalmazza a Siemens részére. Az üzleti titkok vagy más bizalmas információk — beleértve a személyes adatokat is — védelméhez szükséges mértékben a Szolgáltató a szerződés szövegét a példány megosztása előtt szerkesztheti.
  • e) A Szolgáltató megfelelően és rendszeresen ellenőrzi az alfeldolgozót ezen követelményeknek való megfelelés tekintetében, és dokumentálja az ilyen ellenőrzések eredményeit.
  • f) A Szolgáltató továbbra is teljes mértékben felelős a Siemens előtt az Alfeldolgozó Szolgáltatóval kötött szerződéséből eredő kötelezettségeinek teljesítéséért. A Szolgáltató tájékoztatja Siemens Siemenst arról, hogy az Alfeldolgozó nem teljesíti az említett szerződésből eredő kötelezettségeit.

9. NEMZETKÖZI ADATFELDOLGOZÁS

A Szolgáltató részére történő korlátozott átutalások esetén a Szolgáltató gondoskodik arról, hogy az ilyen Korlátozott Átutalásokra vonatkozzon az e cikkben meghatározott megfelelő átadási biztosítékok. 9. szakasz és III. melléklet ehhez a DPA-hoz.

  • a) Általános szerződéses záradékok. Az alábbiak alkalmazandók, ha az átruházási védelem az általános szerződéses záradékokon alapul:

    • EGT-Szolgáltatók. Amennyiben a Szolgáltató az EGT-n belül található, a Szolgáltató az Alfeldolgozójával köti az Általános Szerződéses Záradékokat (3. modul). 9. szakasz a) pontjának vii) pontja („Igazgatási jog”), 9. a) pont viii) („A fórum és a joghatóság megválasztása”), 9. a) (ix) b) pont („Az Egyesült Királyság kiegészítésének 1. része”), valamint A 9. szakasz a) pontjának (x) pontjának második mondata A jelen DPA („más országokban meghatalmazott szervezetek”) nem alkalmazandó, ha a Szolgáltató az EGT-ben található.
    • NEM EGT-szolgáltatók. Amennyiben a Szolgáltató az EGT-n kívül található, a Korlátozott Átruházásra az Általános Szerződési Záradékok 2. és 3. modulja szabályozza. Az általános szerződéses záradékokban foglalt vonatkozó rendelkezések hivatkozással vannak beépítve, és a jelen DPA szerves részét képezik. Az általános szerződéses záradékok mellékleteinek alkalmazásához szükséges információkat a következő témakörben találja. I—III. mellékletehhez a DPA-hoz.
    • Dokkolási záradék. Az Általános Szerződési Záradékok 7. pontjában foglalt opció nem alkalmazandó.
    • Továbbfejlesztett transzferek. Minden további továbbításnak meg kell felelnie az általános szerződéses záradékok alkalmazandó moduljának 8. és 9. pontjának. Abban az esetben, ha a Siemens az EGT-n kívül található, és az engedélyezett szervezetekkel kötött szabványos szerződéses záradékok alapján adatimportőként jár el, az Általános Szerződési Záradékok 9. pontjának e) pontjában meghatározott harmadik féltől származó kedvezményezett záradékot az ilyen Felhatalmazott Szerződés javára vállal.
    • Alprocesszorok használata.Az általános szerződéses záradékok 9. pontja szerinti 2. lehetőség alkalmazandó. Az Általános Szerződési Záradékok 9. pontjának a) pontja értelmében a Szolgáltató a Siemens általános felhatalmazásával rendelkezik az Alfeldolgozók bevonására az alábbiaknak megfelelően. 8. szakasz erről a DPA-ról.
    • Jogorvoslás. Abban az esetben, ha a Szolgáltató az érintetteknek lehetőséget kínál arra, hogy egy független vitarendező szervhez nyújtson be panaszt (lásd az Általános Szerződési Záradékok 11. pontjában szereplő opciót), a Szolgáltató írásban tájékoztatja a felelős választottbírósági szervet a Siemenst, és megfelel az általános szerződéses záradékok 11. pontjában foglalt követelményeknek és az alkalmazandó választottbírósági szabályoknak.
    • Irányító jog. Az Általános Szerződési Záradékok 17. pontjának alkalmazásában a Szerződés irányadó jogi szakaszában megjelölt jog az irányadó jog. Amennyiben a megállapodásra nem vonatkozik valamely uniós tagállam joga, az EU általános szerződési záradékaira Németország jogszabályai vonatkoznak.
    • A fórum és a joghatóság megválasztása. Az Általános Szerződési Záradékok 18. pontja értelmében a Szerződés helyszíni szakaszában kijelölt bíróságok. Amennyiben a megállapodás nem jelöl ki olyan uniós tagállami bíróságot, amely kizárólagos joghatósággal rendelkezik a megállapodásból vagy azzal összefüggésben felmerülő bármely vita vagy per megoldására, a felek megállapodnak abban, hogy a német bíróságok kizárólagos joghatósággal rendelkeznek az EU általános szerződési záradékaiból eredő viták rendezésére.
    • Engedélyezett szervezetek az Egyesült Királyságban. Abban az esetben, ha a korlátozott transzferek az Egyesült Királyságban található engedélyezett szervezetektől származnak, az alábbiakat kell alkalmazni:

      • Egyesült Királyság kiegészítése. Az Egyesült Királyság kiegészítését kell használni, hacsak a Siemens írásban másként nem állapodott meg.
      • Az Egyesült Királyság kiegészítésének 1. része. Az Egyesült Királyság kiegészítésének 1. részét a következőképpen kell alkalmazni:

        1. 1. táblázat: A felek adatai és legfontosabb elérhetőségei a következő helyen találhatók I. melléklet ehhez a DPA-hoz.
        2. 2. táblázat: A jóváhagyott EU SCC-k (az Egyesült Királyság kiegészítésében meghatározottak szerint) változata, amelyhez az Egyesült Királyság kiegészítését csatolták, az EU szabványos szerződési záradékai a fent kiválasztott modulokkal és záradékokkal. 9. szakasz a) pontja erről a DPA-ról. Az Importőrtől kapott személyes adatok nem egyesülnek az Exportőr által gyűjtött személyes adatokkal.
        3. 3. táblázat: Az Egyesült Királyság kiegészítésének 3. táblázatában előírt függelék adatai a következő helyen találhatók I—III. melléklet ehhez a DPA-hoz.
        4. 4. táblázat: Egyik fél sem szüntetheti meg az Egyesült Királyság kiegészítését, ha a jóváhagyott kiegészítés (az Egyesült Királyság kiegészítésében meghatározottak szerint) megváltozik.
    • Engedélyezett szervezetek más országokban. Amennyiben az általános szerződéses záradékok védik az EGT-n és az Egyesült Királyságon (pl. Svájcban) kívüli engedélyezett szervezetektől történő korlátozott transzfert, (1) az általános szerződéses záradékokban szereplő általános és konkrét hivatkozások a GDPR-re vagy az uniós vagy tagállami jogszabályokra való hivatkozások ugyanolyan jelentéssel bírnak, mint az illetékes szervezet székhelye szerinti ország alkalmazandó adatvédelmi jogszabályaiban; (2) az „illetékes felügyeleti hatóságra” való hivatkozások értelmezhetők. adatvédelem Hatóság ebben az országban. Az irányadó jogra, a fórum megválasztására és a joghatóságra az alábbiak szerint kell eljárni 9. szakasz a) pontjának vii) pontja és (viii) a jelen DPA-nak, hacsak az adott Felhatalmazott Szerződésre vonatkozó törvények másként nem írják elő, ebben az esetben az általános szerződéses záradékokra annak az országnak a jogszabályai vonatkoznak, ahol az engedélyezett szervezet székhelye található, és az illetékes „bíróságokra” való hivatkozásokat az adott ország illetékes bíróságaira való hivatkozásként kell értelmezni.
  • A feldolgozók kötelező vállalati Rules. Ha az adattovábbítási védelem az adatfeldolgozó kötelező vállalati szabályain alapul, az alábbiakat kell alkalmazni: A Szolgáltató szerződésben köteles az ilyen alfeldolgozót betartani az adatfeldolgozó kötelező vállalati szabályainak betartására a jelen DPA keretében feldolgozott személyes adatokra vonatkozóan.
  • További átadási biztosítékok. Amennyiben az átadási biztosítékok nem alapulnak az általános szerződéses záradékokon, a szerződéses záradékok 14. és 15. pontja értelemszerűen alkalmazandó az ilyen egyéb transzfervédelem keretében korlátozott átruházásokra, kivéve, ha az adott transzferbiztosíték tartalma lényegében ugyanazokat a jogokat és kötelezettségeket tartalmaz, mint az átadási biztosítékok betartását befolyásoló helyi jogszabályok és gyakorlatok, valamint (ii) az általános szerződéses záradékok 14. és 15. pontjában szereplő közigazgatási kötelezettségek.
  • Egyéb. A Szolgáltató beleegyezik és tudomásul veszi, hogy a helyi alkalmazandó adatvédelmi törvény tartalmazhat hasonló vagy további adatátviteli korlátozásokat, ahogyan azt a jelen szabályzat tartalmaz 9. szakasz. Ebben az esetben a Szolgáltató vállalja, hogy ésszerű erőfeszítéseket tesz és jóhiszeműen együttműködik a Siemensszel e követelmények teljesítése érdekében.

10. SZOLGÁLTATÓ SEGÍTSÉGE

A Szolgáltató ésszerűen segíti a Siemenst az alkalmazandó adatvédelmi törvények betartásának biztosításában, különösen a Siemens támogatásával az alábbiak szerint:

  • a) A feldolgozás korrekciója, törlése vagy korlátozása. A Szolgáltató vagy (i) biztosítja a Személyes adatok helyesbítését, törlését vagy kezelésének korlátozását a Szolgáltatások funkcióin keresztül, vagy (ii) a Siemens utasításai szerint helyesbítse, törli vagy korlátozza a Személyes adatok feldolgozását.
  • b) Hozzáférés a személyes adatokhoz. Amennyiben az érintettel kapcsolatos információk a Szolgáltatáson keresztül nem érhetők el, a Szolgáltató — amennyiben szükséges ahhoz, hogy a Siemens és a Felhatalmazott Szervezetek megfeleljenek a vonatkozó adatvédelmi törvények szerinti kötelezettségeinek — segítséget nyújt az ilyen információk elérhetővé tételéhez a Siemens és/vagy a Felhatalmazott Szervezetek számára.
  • c) Érintett és hatósági kérelmek. A Szolgáltató haladéktalanul értesíti a Siemenst a következőkről: (i) a bűnüldöző, kormányzati vagy szabályozó hatóság vagy ügynökség által beérkezett bármely kérésről vagy panaszról, illetve bármely vizsgálati értesítésről, valamint (ii) bármely érintettől közvetlenül a személyes adataival kapcsolatban kapott kérésről. A fenti i) és (ii) pontokra vonatkozóan a Szolgáltató nem válaszol a Siemens utasításai nélkül. Amennyiben ezt utasítja, a Szolgáltató ésszerűen támogatja a Siemens az ilyen kérések megválaszolásában.
  • d) Adathordozhatóság. A Siemens kérésére és amennyiben az alkalmazandó adatvédelmi törvény előírja, a Szolgáltató vagy (i) lehetőséget ad arra, hogy a Szolgáltatás funkcióival összhangban egy adott érintettre hivatkozva Személyes Adatokat kinyerjen, vagy (ii) a vonatkozó adatkészletet minden esetben strukturált, általánosan használt és géppel olvasható formátumban teszi elérhetővé a Siemens és/vagy az illetékes Felhatalmazott Szervezet számára.
  • e) Adatvédelmi hatásvizsgálatok. Amennyiben a Siemens kéri, a Szolgáltató minden információt és ésszerű támogatást nyújt az alkalmazandó adatvédelmi törvények értelmében az adatvédelmi hatásvizsgálatok elvégzéséhez.

11. AZ ADATKEZELÉSI KAPCSOLAT MEGSZŰNÉSE

Az adatkezelési viszony megszűnése után, hacsak a Siemens másként nem utasítja vagy itt nem rendelkezik, a Szolgáltató visszaküldi a Siemens-nek a Szolgáltató rendelkezésére bocsátott, vagy a Szolgáltató által a szerződésben megkötött Szolgáltatásokkal kapcsolatban szerzett vagy generált Személyes Adatot, és visszavonhatatlanul törli vagy megsemmisíti a fennmaradó adatokat. A törlést vagy megsemmisítést a Szolgáltató kérésre írásban megerősíti.

12. ÉRTESÍTÉSI KÖTELEZETTSÉGEK

  • a) A Szolgáltató haladéktalanul, de minden esetben 48 órán belül értesíti a Siemenst, amennyiben a Szolgáltató bármilyen adatmegsértést észlel vagy indokoltan gyanítja.
  • b) A Siemens-nek küldött értesítésben a Szolgáltató a következő információkat adja meg a Siemens számára: i. egy kapcsolattartó pont adatai, ahol (vagy akitől) további információk szerezhetők be, ii. a jogsértés jellegének leírása (ideértve adott esetben az érintett érintettek nevét, kategóriáját és hozzávetőleges számát és a személyes adatok nyilvántartását), iii. a jogsértés kezelésére tett vagy javasolt intézkedéseket, beleértve adott esetben annak enyhítésére irányuló intézkedéseket káros hatások. Ha és amennyiben nem lehetséges az összes információ egyidejű megadása, az első értesítésnek tartalmaznia kell az akkor rendelkezésre álló információkat, és a további információkat, amennyiben azok elérhetővé válnak, később indokolatlan késedelem nélkül meg kell adni.
  • c) Bármely erről szóló értesítés 12. szakasz (i) a megállapodásban megjelölt kapcsolattartó ponthoz kell eljuttatni, ii. pedig dataprotection@siemens.com.
  • d) A Szolgáltató költségére (i) teljes mértékben együttműködik a Siemensszel az adatsértések kivizsgálásában; (ii) segíti és együttműködik a Siemensszel az érintett személyek (egyéni kommunikáció, médián keresztüli nyilvános kommunikáció vagy hasonló intézkedések útján), bűnüldözési szervek, szabályozók és/vagy egyéb harmadik személyek számára előírt értesítésekkel vagy közzétételekkel kapcsolatban; iii) megtesz minden más intézkedést, amelyet a Siemens szükségesnek tart az adatsértéssel, vagy bármely jogvitával vagy követeléssel kapcsolatban Ez az adatsértésre vonatkozik.
  • e) Amennyiben az alkalmazandó jog vagy illetékes szabályozó hatóság másképp nem írja elő, a Siemens saját belátása szerint végső döntést hoz: i. az adatmegsértéshez értesítést igényelnek-e, és (ii) az értesítés módjáról. Abban az esetben, ha a Szolgáltató ilyen értesítést küld Adatsértéssel kapcsolatban, az ilyen értesítéseket előzetesen jóvá kell hagynia a Siemens.
  • f) A Szolgáltató a maga költségén megteszi a megfelelő intézkedéseket az adatvédelmi sérülés kezelésére, ideértve a káros hatások enyhítésére irányuló intézkedéseket (beleértve a működési környezet védelmét szolgáló lépéseket is). A Szolgáltató azonnali intézkedéseket is megtesz annak érdekében, hogy megakadályozza az adatvédelmi jogsértések megismétlődését, beleértve az alkalmazandó adatvédelmi törvények által előírt intézkedéseket is.
  • g) A Szolgáltató megtéríti a Siemens-nek a Szolgáltató által okozott adatmegsértésekért felmerült valamennyi költséget és költséget, ideértve, de nem kizárólagosan, azon személyek hitelfelügyeletének költségeit, akiknek Személyes adatait az Adatsértés érintette. A Szerződés értelmében a Szolgáltató javára vonatkozó felelősségkorlátozások ebben a tekintetben nem vonatkoznak.

13. DOKUMENTÁCIÓ ÉS ELLENŐRZÉSEK

  • a) (i) a Szolgáltató megfelelő eszközökkel figyelemmel kíséri a jelen DPA és az alkalmazandó adatvédelmi törvény szerinti adatvédelmi kötelezettségeinek betartását; ii. kapcsolódó időszakos (legalább éves) és alkalomalapú jelentéseket készít (mindegyik a”Jelentés”); és (iii) kérésre hozzáférhetővé teszi a Jelentéseket a Siemens és az engedélyezett szervezetek számára. Amennyiben a Szolgáltató által végrehajtott ellenőrzési szabvány és keretrendszer ellenőrzéseket ír elő, ezeket az ellenőrzéseket a szabályozó vagy akkreditáló testület szabványainak és szabályainak megfelelően kell végrehajtani az egyes alkalmazandó ellenőrzési szabványokra vagy keretrendszerre vonatkozóan.
  • b) Amennyiben az alkalmazandó adatvédelmi törvény, az alkalmazandó adatátviteli garanciák szerinti könyvvizsgálati jogainak és kötelezettségeinek megfelelően teljesítenie kell, vagy ha az illetékes adatvédelmi hatóság vagy más illetékes kormányhatóság vagy ügynökség kéri, a Szolgáltató a Jelentéseken kívül minden ésszerűen kért információt a Siemens vagy meghatalmazott szervezetek által végzett ellenőrzéseket, beleértve az ellenőrzéseket. Ebből a célból a Siemens, a Felhatalmazott Szervezetek vagy a Siemens által megbízott más könyvvizsgáló jogosult a rendszeres munkaidőben helyszíni ellenőrzéseket végezni a Szolgáltató üzleti működésének megzavarása nélkül, ésszerű előzetes értesítés után.

14. COOKIE-K HASZNÁLATA

Amennyiben a Szolgáltatás cookie-kat vagy hasonló technológiákat használ, az alábbiak érvényesek: A Szolgáltató, hacsak a Siemens erre hivatkozva kifejezetten másként nem állapodott meg 14. szakasz, kizárólag információt tárol (pl. cookie írásával), vagy hozzáférhet a Szolgáltatás felhasználójának végberendezésében már tárolt információkhoz (pl. cookie segítségével) kizárólag az elektronikus hírközlő hálózaton keresztüli kommunikáció továbbításának céljából, vagy amennyiben feltétlenül szükséges ahhoz, hogy a Szolgáltató biztosítsa a Szolgáltatás alapvető funkcióit.

15. EGYÉB

A Szolgáltató tudomásul veszi és egyetért azzal, hogy a jelen ÁSZF követelményei a Megállapodás szerves részét képezik, és e követelmények bármelyikének lényeges megsértését a Szerződés Szolgáltatója lényeges megsértésének minősül, ami feljogosítja a Siemens a Szerződésben foglalt lényeges jogorvoslatokra.

16. A SIEMENS ADATAIRA VONATKOZÓ TOVÁBBI KÖVETELMÉNYEK

Ha és amennyiben a Szolgáltató az Amerikai Egyesült Államokban székhellyel rendelkező Siemens cégtől kapott Személyes Adatokhoz férhet hozzá (”)Siemens amerikai vállalat”) vagy az Amerikai Egyesült Államok lakóhelye szerinti érintett, akkor a Szolgáltató a fentieken túlmenően: (i) betartja a Szolgáltatóra, az ilyen Személyes Adatokra és az ilyen Személyes Adatok tulajdonosaira vagy adatkezelőire vonatkozó amerikai szövetségi, állami és helyi törvényeket; (ii) ha a fentiek alkalmazandók, az itt használt „alkalmazandó adatvédelmi törvény” kifejezés magában foglalja a fenti törvényeket; (ii) az itt kifejezetten előírt esetek kivételével a Szerződésben vagy a Szerződésben nem adhat el, nem oszthat meg, nem adhat bérbe, nem bocsáthat ki, nem hozhat nyilvánosságra, terjesztést vagy elérhetővé Személyes adatokat harmadik feleknek; és nem ötvözi a Személyes adatokat más információkkal; (iii) értesíti a Siemenst, ha a Szolgáltató úgy dönt, hogy a Szolgáltató már nem teljesíti az itt foglalt kötelezettségeit; (iv) biztosítja, hogy a Személyes Adatokat kezelő minden személyre titoktartási kötelezettség vonatkozzon; (v) az alkalmazandó adatvédelmi törvény (beleértve a kaliforniai fogyasztói adatvédelmi törvény). végrehajtási rendeletei és azok módosításai); és (vii) ezennel igazolja, hogy megérti az itt foglalt korlátozásokat, és betartja azokat.

A DPA I. melléklete (és adott esetben az általános szerződéses záradékok)

A. FELEK LISTÁJA

Szolgáltatások címzettjei/adatátvitel:

Név:

A végrehajtási űrlapon megadott Siemens entitás

Cím:

Ahogy a végrehajtási űrlapon szerepel

Kapcsolattartó neve, beosztása és elérhetőségei

A Siemens adatvédelmi tisztviselőjének irodája

Werner-von-Siemens-Straße 1, 80333 München, Németország

Email: datapotection@siemens.com

Az átvitel/feldolgozott adatokkal kapcsolatos tevékenységek

A Partner a Szerződésnek megfelelően vevői sikerszolgáltatásokat és/vagy karbantartást és támogatást nyújt az Ügyfeleknek a Partner Engedélyezési űrlapon feltüntetett módon. Ezen szolgáltatások teljesítése során a Partner hozzáférhet a Siemens végügyfélrendszereihez és hálózatokhoz is, és a személyes adatokhoz való hozzáférés nem zárható ki.

Szerep (vezérlő/processzor)

A Siemens Adatkezelőként jár el a Szolgáltató által a Siemens vonatkozásában végzett adatkezelési tevékenységeknél, és Felhatalmazott Szervezeteinek utasításai alapján Adatkezelőként jár el a Szolgáltató által a Felhatalmazott Szervezetekkel szembeni feldolgozási tevékenységekre vonatkozóan.

Szolgáltató/adatimportőr:

Név:

A Végrehajtási űrlapon megadott szolgáltatói entitás

Cím:

Ahogy a végrehajtási űrlapon szerepel

Kapcsolattartó neve, beosztása és elérhetőségei

A Partner Engedélyezési űrlapon megadott módon

Az átvitel/feldolgozott adatokkal kapcsolatos tevékenységek

Lásd a fenti táblázatot

Szerep (vezérlő/processzor)

A Szolgáltató a Siemens és adott esetben a Felhatalmazott Szervezetek nevében Személyes Adatkezelőként jár el.

B. AZ ÁTVITELI/FELDOLGOZÁSI MŰVELETEK LEÍRÁSA

Azon érintettek kategóriái, akiknek Személyes adatait továbbítottak/feldolgozzák:

☒ Munkavállalók és alkalmazottak (beleértve a pályázókat, rendszeres, ideiglenes, részmunkaidős, gyakornokokat, vállalkozókat és ügynököket)

☒ Kapcsolattartó személyek üzleti partnerekkel, beszállítókkal, szállítókkal és egyéb együttműködési partnerekkel

☒ Ügyfél (k) és/vagy alkalmazottaik és alkalmazottaik (beleértve a pályázókat, rendszeres, ideiglenes, részmunkaidős, gyakornokokat, vállalkozókat és ügynököket)

☒ A Siemens szoftvertermékek/szolgáltatások felhasználói

☐ Egyéb, kérjük, sorolja fel:

További érintettek, akiknek személyes adatai a nyújtott Szolgáltatások hatálya alá tartozó alkalmazásban vagy informatikai rendszerben találhatók.

Az átvitel/feldolgozott személyes adatok kategóriái

☒ Kapcsolattartási adatok (például név, cím, telefon- vagy faxszám, e-mail cím stb.)

☒ Szervezeti szervezet (például munkahely, osztály stb.)

☒ Helyadatok (például GPS stb.)

☐ Kormányzati és személyes azonosítók (például társadalombiztosítási szám, vezetői engedély száma, társadalombiztosítási szám stb.)

☐ Pénzügyi adatok (például jövedelem, hiteliratok, tranzakciók, hitelinformációk, vásárlási és fogyasztási szokások, fizetésképtelenségi állapot stb.)

☐ Foglalkoztatási adatok (például toborzási adatok és képesítés, kompenzációs és bérszámfejtési adatok, munkavállalói azonosító adatok, munkavállalói státusz, jelenléti adatok, munkatörténeti adatok stb.)

☒ Felhasználói fiók adatai (például felhasználónév/azonosító és jelszó stb.)

☒ Az érintett informatikai eszközök használatára vonatkozó információk (például IP-cím, bejelentkezési adatok, hitelesítő adatok stb.)

☐ Pénzügyi számlaadatok (például banki/hitelkártyaadatok, számlaszámok, hitelkártyaszámok stb.)

☐ Egyéb; kérjük, sorolja fel:

Minden további személyes adat, amely egy olyan alkalmazásban vagy informatikai rendszerben található, amely a nyújtott Szolgáltatások hatálya alá tartozik.

A hozzáférhető vagy feldolgozandó személyes adatok speciális kategóriái

☐ Információ a faji vagy etnikai származásról

☐ Információ a politikai véleményekről

☐ Információ a vallási vagy filozófiai hiedelmekről

☐ Információ a szakszervezeti tagságról

☐ Információ a szexuális életről vagy a szexuális irányultságról

☐ Biometrikus adatok

☐ Genetikai adatok

☐ Egészségügyi adatok (például szellemi vagy testi fogyatékosság, családi kórtörténet, személyes kórtörténet, orvosi nyilvántartás, receptek stb.)

☐ Egyéb; kérjük, sorolja fel:

Az ilyen érzékeny Személyes adatokra alkalmazott korlátozásokat vagy biztosítékokat a következő cikkben ismertetjük II. melléklet ehhez a DPA-hoz

Az átvitel gyakorisága (hozzáférés/feldolgozás)

☐ A Szolgáltató a Siemens és adott esetben az engedélyezett szervezetek nevében tárolja a Személyes Adatokat

☒ A Szolgáltató távolról hozzáférhet a Személyes Adatokhoz a szolgáltatások nyújtásakor

☒ egyszeri alapon

☒ folyamatos alapon

☐ A Szolgáltató egyébként kezeli a Személyes adatokat a szolgáltatások nyújtása során

☐ egyszeri alapon

☐ folyamatos alapon

A feldolgozás jellege

☐ Gyűjtemény

☒ Felvétel

☒ Szervezet

☒ Strukturálás

☐ Tárolás

☒ Alkalmazkodás vagy módosítás

☐ Visszakeresés

☒ Konzultáció

☒ Használja

☐ Közzététel továbbítással

☐ Terjesztés

☐ Egyébként elérhetővé tétele

☐ Igazítás vagy kombináció

☐ Korlátozás

☐ Az adatok törlése vagy megsemmisítése

☒ Távoli hozzáférés

☐ Egyéb:

Az átvitel/feldolgozott adatok szempontjából releváns cél/tevékenységek

☒ Szolgáltató biztosítja karbantartási és támogatási szolgáltatások és hozzáférést kaphat, beleértve a személyes adatokhoz való távoli hozzáférést is.

☐ Szolgáltató biztosítja professzionális szolgáltatások olyan alkalmazás/rendszerrel vagy hálózattal kapcsolatos szolgáltatások végzésével, mint például: telepítés, konfigurálás vagy adatáttelepítés vagy egyéb kapcsolódó informatikai szolgáltatások, és hozzáférést kaphatnak, beleértve a személyes adatokhoz való távoli hozzáférést is.

☐ Szolgáltató biztosítja felügyelt szolgáltatások, beleértve az adatközpontok és az infrastruktúra kezelését, a biztonsági mentések és helyreállítási kezelést, valamint hozzáférést kaphat, beleértve a személyes adatokhoz való távoli hozzáférést is.

☐ Szolgáltató biztosítja XaaS (Software-, Platform- vagy Infrastruktúra szolgáltatásként) tárhely-, üzemeltetési, kezelési, karbantartási és támogatási szolgáltatások nyújtásával.

☒ Egyéb: A Szolgáltató vevői sikerszolgáltatásokat nyújt, és hozzáférhet, beleértve a távoli hozzáférést is, a Személyes adatokhoz.

Időtartam

☐ A Személyes Adatokat a Szerződés időtartama alatt megőrizzük.

☐ A Személyes Adatokat a következő időtartamig őrizzük meg:

☒ Egyéb: A Személyes adatokat a Megrendelés időtartama alatt megőrizzük, hacsak másként nem utasítjuk.

Az alfeldolgozó (ok) részére történő átadások esetében meg kell határozni az adatkezelés tárgyát, jellegét és időtartamát is

Az adatkezelés tárgyát, jellegét és időtartamát alfeldolgozónként határozzák meg: III. melléklet ehhez a DPA-hoz.

C. ILLETÉKES FELÜGYELETI HATÓSÁG

Amennyiben a Siemens székhelye egy uniós tagállamban van, illetékes felügyeleti hatóságként jár el a Siemens által az adatátvitel tekintetében a GDPR-nak való megfeleléséért felelős felügyeleti hatóság. A németországi Siemens Aktiengesellschaft esetében a felügyeleti hatóság a következő:

Bayeri Adatvédelmi Tájvédelmi Terület (BayLDA)

Sétány 18

91522 Ansbach

Németország

Amennyiben a Siemens székhelye nem uniós tagállamban van, de a GDPR 3. cikkének (2) bekezdésével összhangban a GDPR területi alkalmazási körébe tartozik, annak a tagállamnak a felügyeleti hatósága, amelyben a GDPR 27. cikk (1) bekezdése szerinti képviselő letelepedett, illetékes felügyeleti hatóságként jár el; nevezetesen:

Bayeri Adatvédelmi Tájvédelmi Terület (BayLDA)

Sétány 18

91522 Ansbach

Németország

A DPA II. melléklete (és adott esetben az általános szerződéses záradékok)

Műszaki és szervezeti intézkedések (beleértve az adatok biztonságát biztosító technikai és szervezeti intézkedéseket is)

A következő intézkedések csak a Szolgáltatóra vonatkoznak, amennyiben az alapul szolgáló informatikai rendszerek, hálózatok és alkalmazások a Szolgáltató felelőssége és/vagy felügyelete alatt áll. A Szolgáltató és Alfeldolgozója (i) által végrehajtott műszaki és szervezeti biztonsági intézkedések leírása:

#

Intézkedések

Sféra

Szabály azonosítója

Fizikai és környezeti Security

A Szolgáltató megfelelő intézkedéseket hajt végre annak megakadályozására, hogy jogosulatlan személyek hozzáférjenek az adatfeldolgozó berendezésekhez (nevezetesen adatbázis- és alkalmazáskiszolgálókhoz és a kapcsolódó hardverekhez). Ezt az alábbiakkal kell megvalósítani:

biztonsági területek létrehozása;

a hozzáférési utak védelme és korlátozása;

decentralizált adatfeldolgozó berendezések és személyi számítógépek biztosítása;

a munkavállalók és harmadik felek hozzáférési engedélyeinek létrehozása, beleértve a vonatkozó dokumentációt is;

a hozzáférési kártyákra vonatkozó szabályok;

a hozzáférési kártyák korlátozásai;

a személyes adatok tárolásának helye szerinti adatközponthoz való minden hozzáférés naplózásra, figyelemmel kísérésre és nyomon követésre kerül;

az adatközpontot, ahol a Személyes adatokat tárolják, korlátozott hozzáférési ellenőrzésekkel és egyéb megfelelő biztonsági intézkedésekkel védik; és

az informatikai területeken és adatközpontokban a támogató berendezések karbantartását és ellenőrzését csak felhatalmazott személyzet végezheti.

11.1.1-02

Hozzáférés-ellenőrzés (IT-rendszerek és/vagy IT-alkalmazás)

A szolgáltató szerepek és felelősségek koncepcióját valósítja meg.

06.1.1-01

A Szolgáltató engedélyezési és hitelesítési keretrendszert valósít meg, amely magában foglalja, de nem kizárólagosan, a következő elemeket:

szerepalapú hozzáférés-ellenőrzések végrehajtása;

végrehajtott fiókok létrehozásának, módosításának és törlésének folyamata;

az informatikai rendszerekhez és alkalmazásokhoz való hozzáférést hitelesítési mechanizmusok védik;

megfelelő hitelesítési módszereket alkalmaznak az informatikai rendszer vagy alkalmazás jellemzői és műszaki lehetőségei alapján;

az informatikai rendszerekhez és alkalmazásokhoz való hozzáféréshez legalább kétfaktoros hitelesítést kell igényelnie a kiváltságos számlák esetében;

a személyes adatokhoz való hozzáférés naplózása, ellenőrzése és nyomon követése történik;

az informatikai rendszerekhez és alkalmazásokhoz való bejövő hálózati kapcsolatok engedélyezési és naplózási intézkedései (beleértve a bejövő hálózati kapcsolatok engedélyezésére vagy megtagadására szolgáló tűzfalakat is);

az informatikai rendszerekhez, alkalmazásokhoz és hálózati szolgáltatásokhoz való kiváltságos hozzáférési jogokat csak azoknak a személyeknek adják meg, akiknek feladataik elvégzéséhez szükségük van rá (legalacsonyabb kiváltság elve);

az informatikai rendszerekhez és alkalmazásokhoz való kiváltságos hozzáférési jogokat dokumentálják és naprakészen tartják;

az informatikai rendszerekhez és alkalmazásokhoz való hozzáférési jogokat rendszeresen felülvizsgálják és frissítik;

bevezetett jelszószabályzat, beleértve a jelszó összetettségére, a minimális hosszra és a megfelelő idő utáni lejáratra vonatkozó követelményeket, a nemrégiben használt jelszavak újrafelhasználásának tiltását;

Az informatikai rendszerek és alkalmazások technikailag érvényesítik a jelszószabályzatot;

a munkavállalók és a külső személyzet informatikai rendszerekhez és alkalmazásokhoz való hozzáférési jogai azonnal megszűnnek a munkaszerződés vagy a szerződés megszűnésével; és

biztonságos, korszerű hitelesítési tanúsítványok használata biztosított.

09.1.1-02

09.1.1-03

09.2.3-01

09.4.2-02

Az informatikai rendszerek és alkalmazások egy ésszerűen meghatározott üresjárati határidő túllépése után automatikusan lezáródnak vagy lezárják a munkamenetet.

11.2.9-03

11.2.9-04

A szolgáltató korlátozza a felhőalapú eszközökhöz való kiváltságos hozzáférést egyetlen vagy meghatározott IP-címek tartományára.

ST002-0008

A felhőalapú eszközökhöz való kiváltságos hozzáférés egy bastion hoston keresztül történik.

SZT002-0009

A Szolgáltató bejelentkezési eljárásokat tart fenn az informatikai rendszereken, biztosítva a gyanús bejelentkezési tevékenység ellen (pl. brute-force és jelszó találgatási támadások ellen).

09.4.2-02

Elérhetőség ellenőrzése

A Szolgáltató megvédi a rendszereket és alkalmazásokat a rosszindulatú szoftverek ellen a megfelelő és legkorszerűbb kártékony programok elleni megoldások

12.2.1-01

A Szolgáltató meghatározza, dokumentálja és megvalósítja az informatikai rendszerek biztonsági mentési koncepcióját, beleértve a következő műszaki és szervezeti elemeket:

a biztonsági mentési adathordozók védve vannak a jogosulatlan hozzáférés és a környezeti fenyegetések ellen (pl. hő, páratartalom, tűz);

meghatározott biztonsági mentési intervallumok; és

a biztonsági másolatokból származó adatok helyreállítását rendszeresen tesztelik az informatikai rendszer vagy alkalmazás kritikussága alapján.

12.3.1-01

A szolgáltató a biztonsági másolatokat a termelő rendszer tárolásának helyétől eltérő fizikai helyen tárolja.

SZT002-0013

Az informatikai rendszerek és alkalmazások a nem termelési környezetben logikusan vagy fizikailag elkülönülnek az informatikai rendszerektől és a termelési környezetben alkalmazott alkalmazásoktól.

12.1.4-01

Az adatközpontok, amelyekben Személyes adatokat tárolnak vagy dolgoznak fel, védettek természeti katasztrófák, fizikai támadások vagy balesetek ellen.

11.1.4-02

Az informatikai területek és adatközpontok támogató berendezései, például kábelek, villamos energia, távközlési létesítmények, vízellátó vagy légkondicionáló rendszerek védve vannak a zavaroktól és a jogosulatlan manipulációktól.

11.1.4-02

Műveleti Security

A Szolgáltató az itt leírt intézkedéseket tükröző Információbiztonsági Keretrendszert tart fenn és hajt végre, amelyet rendszeresen felülvizsgálnak és frissítenek.

05.1.1-01

A szolgáltató naplózza a biztonsági szempontból releváns eseményeket, például a felhasználókezelési tevékenységeket (pl. létrehozás, törlés), a sikertelen bejelentkezéseket, a rendszer biztonsági konfigurációjának változásait az informatikai rendszereken és alkalmazásokban.

12.4.1-01

A Szolgáltató folyamatosan elemzi az adott informatikai rendszerek és alkalmazások naplóadatait rendellenességek, szabálytalanságok, kompromisszumok mutatói és egyéb gyanús tevékenységek szempontjából.

12.4.1-03

A szolgáltató rendszeresen ellenőrzi és teszteli az informatikai rendszereket és alkalmazásokat biztonsági rések szempontjából.

12.6.1-01

A Szolgáltató az informatikai rendszerek és alkalmazások változáskezelési folyamatát valósít meg és tart fenn.

12.1.2-01

A Szolgáltató folyamatot tart fenn a szállítói biztonsági javítások és frissítések frissítésére és végrehajtására az adott informatikai rendszereken és alkalmazásokban.

12.6.1-03

A szolgáltató visszavonhatatlanul törli az adatokat, vagy fizikailag megsemmisíti az adathordozót az informatikai rendszer ártalmatlanítása vagy újrafelhasználása előtt.

11.2.7-01

Átviteli vezérlők

A szolgáltató rendszeresen dokumentálja és frissíti a hálózati topológiákat és azok biztonsági követelményeit.

13.1.1-02

Szolgáltató folyamatosan és szisztematikusan figyelemmel kíséri az informatikai rendszereket, alkalmazásokat és releváns hálózati zónákat a rosszindulatú és rendellenes hálózati

Tűzfalak (pl. állapotú tűzfalak, alkalmazástűzfalak);

Proxy szerverek;

Behatolásérzékelő rendszerek (IDS) és/vagy behatolásmegelőző rendszerek (IPS);

URL-szűrés; és

Security információs és eseménykezelő (SIEM) rendszerek.

13.1.1-06

A szolgáltató az informatikai rendszereket és alkalmazásokat a legmodernebb titkosított kapcsolatok használatával kezeli.

13.1.3-09

A szolgáltató a tartalom integritását a továbbítás során a legmodernebb hálózati protokollokkal, például a TLS-vel védi.

13.2.3-05

A Szolgáltató titkosítja vagy lehetővé teszi Szolgáltatóinak titkosítását a nyilvános hálózatokon keresztül továbbított Szolgáltatói adatokat.

SZT002-0017

A szolgáltató biztonságos kulcskezelő rendszereket (KMS) használ a titkos kulcsok tárolására a felhőben.

SZT002-0018

Security események

A Szolgáltató incidenskezelési folyamatot tart fenn és hajt végre, beleértve, de nem kizárólagosan:

biztonsági megsértések nyilvántartása;

Szolgáltatói értesítési folyamatok; és

incidensekre reagáló rendszer a következők kezelésére az esemény idején: (i) szerepek, felelősségek, valamint kommunikációs és kapcsolatfelvételi stratégiák kompromisszum esetén (ii) konkrét eseményekre reagálási eljárások és (iii) a rendszer valamennyi kritikus összetevőjének lefedettsége és válaszai.

06.1.3-01

Vagyonkezelés, rendszerbeszerzés, fejlesztés és karbantartás

A Szolgáltató azonosítja és dokumentálja az információbiztonsági követelményeket az új informatikai rendszerek és alkalmazások fejlesztése és beszerzése előtt, valamint a meglévő informatikai rendszerek és alkalmazások fejlesztése előtt.

14.1.1-01

A Szolgáltató hivatalos folyamatot hoz létre a kifejlesztett alkalmazások módosításának ellenőrzésére és végrehajtására.

14.2.2-01

A szolgáltató megtervezi és beépíti a biztonsági teszteket az informatikai rendszerek és alkalmazások rendszerfejlesztési életciklusába.

14.2.8-01

A szolgáltató megfelelő biztonsági javítási folyamatot hajt végre, amely magában foglalja:

a komponensek potenciális hiányosságok (CVE-k) figyelemmel kísérése;

a fix prioritási besorolása;

a javítás időben történő végrehajtása; és

javítások letöltése megbízható forrásokból.

08.1.1-01

PR001-0001

Emberi erőforrás-biztonság

A Szolgáltató az alábbi intézkedéseket hajtja végre az emberi erőforrás-biztonság területén:

a személyes adatokhoz hozzáféréssel rendelkező munkavállalókat titoktartási kötelezettség köti; és

A Személyes adatokhoz hozzáféréssel rendelkező munkavállalók rendszeresen képzést kapnak az alkalmazandó adatvédelmi törvények és előírások vonatkozásában.

07.1.1-01

A Szolgáltató offboarding folyamatot hajt végre a Szolgáltató alkalmazottai és a külső szállítók számára.

07.3.1-02

08.1.4-01

Kriptográfia (releváns a DP esetében a hálózati szolgáltatások összefüggésében)

A szolgáltató biztonságos, korszerű tanúsítványokat használ, és a következőket valósítja meg

a digitális tanúsítványok csak akkor fogadhatók el és megbízhatók, ha a digitális tanúsítványt megbízható tanúsító hatóság állította ki;

a tanúsítványokat dedikált informatikai rendszerekhez és alkalmazásokhoz használják és hozzárendelnek; és

a digitális tanúsítványok érvényességét ellenőrzik.

07.1.1-01

A Szolgáltató a kriptográfiai kulcsok kezelésére és megvalósítására irányuló folyamatot hajt végre, beleértve a kriptográfiai kulcsok létrehozására, tárolására, mentésére, terjesztésére és visszavonására vonatkozó szabályokat és követelményeket.

07.3.1-02

08.1.4-01

A DPA III. melléklete (és adott esetben az általános szerződéses záradékok)

AZ ALFELDOLGOZÓK ÉS AZ ADATKÖZPONTOK HELYEINEK LISTÁJA

A „Partner Engedélyezési űrlap” meghatározza a

Személyes adatok tárolásában/tárolásával foglalkozó szervezetek (beleértve a Partnereket és az alfeldolgozókat is),

Alkalmazható adatközpontok helyszínei,

a személyes adatok nem tárolási/tárolási célokra történő feldolgozásában részt vevő alfeldolgozók,

melyeket e hivatkozás tartalmazza.

A Szolgáltató a személyes adatokat a megfelelő Adatközpont Helyszínéről a Siemens hozzájárulása nélkül nem továbbíthatja. Az értesítési és kifogásolási mechanizmus 8. szakasz e tekintetben nem alkalmazandó.