Megállapodás és tájékoztató Adatfeldolgozási Megbízásról

amely létrejött egyrészt

az Ön vagy a regisztrációban megadott vállalkozása részéről– a továbbiakban„Adatkezelő” –

másrészt az OL Munkaidő Kft.- a továbbiakban„Adatfeldolgozó”

-Preambulum

A regisztráció napjától hatályos „Megállapodásban (Felhasználói szerződés)” (a továbbiakban: „Főszerződés”) Adatfeldolgozó vállalja, hogy a következő szolgáltatásokat nyújtja munkaidő nyilvántartás az Adatkezelő számára. A Fõszerzõdés részletesen szabályozza a Felek közötti általános szerződéses kapcsolatot és az Adatfeldolgozó által nyújtandó szolgáltatásokat.Az Adatfeldolgozó által a Főszerződés alapján nyújtandó szolgáltatások (a továbbiakban: „Szolgáltatások”) személyes adatok feldolgozását igénylik az Adatkezelő nevében (a továbbiakban: „Adatfeldolgozás”). Ezáltal a Megbízó Adatkezelőként jár el, és OL Munkaidő Kft. mint olyan vállalat, amely az Adatfeldolgozást az Adatkezelő utasításai alapján végzi (a továbbiakban „Adatfeldolgozó”).

Ez a Megállapodás, a Főszerződés Mellékleteként, előírja a Felek Adatfeldolgozással kapcsolatos adatvédelmi kötelezettségeit. Amennyiben a jelen Megállapodás rendelkezései és a Főszerződés rendelkezései között ellentmondás lenne, akkor a jelen Megállapodásnak a személyes adatok feldolgozásával kapcsolatos rendelkezései az irányadóak.Az érintett személyek magánéletének és személyes adatainak védelmére vonatkozó megfelelő intézkedések biztosítása érdekében a felek kölcsönösen egyetértenek és kötelezettséget vállalnak a jelen Megállapodásban és annak Mellékleteiben foglalt feltételek betartására, az alábbiak szerint:

1. A megbízás Tárgya és Időtartama

Tárgy

A megbízás tárgya  a regisztráció időpontjától hatályos felhasználói szerződésből [pl. Szolgáltatási Megállapodás] származik, amelyre itt hivatkozás történik (a továbbiakban: „Szolgáltatási Megállapodás”).Az adatfeldolgozási megbízás tárgya az Adatfeldolgozó által a következő feladatok elvégzése:

Munkaidő és munkaügyi adatok szoftveres feldolgozása.

A megbízás időtartama

A megbízás határozatlan időre szól amennyiben a Felhasználó aktívan használja a Rendszert. Amennyieben valaki nem lépett be 30 napnál régebben úgy az Adatfeldolgozó fönntartja a jogot, hogy az Adatfeldolgozói megbízást megszűntesse és a Rendszerben tárolt adatokat véglegesen törölje. A megbízást bármelyik fél felmondhatja 30 napon belüli felmondási idővel címezve. A megbízás azonnali hatályú felmondásának jogát a fentiek nem érintik.

2. A megbízás tartalmi megalapozottsága

Az adatok tervezett gyűjtésének, feldolgozásának és felhasználásának Hatóköre és CéljaAz Adatkezelő nevében az Adatfeldolgozó által végzett személyes adatgyűjtés, feldolgozás alkalmazási köre és célja a megbízás napjától hatályos Szolgáltatási Megállapodásban van részletezve.

Az Adatok jellege

A személyes adatok gyűjtésének, feldolgozásának és / vagy használatának tárgya a következő típusú / adatkategóriákra terjed ki (az adatkategóriák listája / leírása):

Főbb személyi adatok (mint például név, lakcím, születési idő, TB szám, Adószám, Anyja neve)

Munkaviszony adatok

Munkaidő adatok

Jogviszony adatok

Beosztás adatok

Elérhetőségek (mint például telefon, e-mail)

Munkaszerződés főbb adatai (szerződéses kapcsolat, )Számlázási és fizetési adatok

Tervezéssel és ügyvitellel kapcsolatos adatok

A továbbiakban: „Adatok”Érintett személyek

Az Adataik feldolgozásával a jelen megbízás hatálya alá tartozó érintett személyek (az érintett személyek csoportjainak felsorolása / leírása): Munkavállalók

3. Technikai és szervezési intézkedések

(1) Az Adatfeldolgozó vállalja, hogy dokumentálja a technikai és szervezési intézkedéseket az Általános Adatvédelmi Rendelet („Rendelet”) 32. cikke alapján a Feldolgozás megkezdése előtt, és azokat felülvizsgálati célból az Adatkezelőnek bemutatja. Feltéve, hogy az Adatkezelő jóváhagyja a konkrét technikai és szervezési intézkedéseket az Adatfeldolgozás megkezdődhet a jelen Megállapodásban foglalt egyéb követelményeknek megfelelően. A bemutatott technikai és szervezési intézkedések a jelen Megállapodás részét képezik, és amelyek az 1. Mellékletként csatolva találhatók. Az Adatfeldolgozó kötelezettséget vállal arra, hogy a jelen Megállapodás időtartama alatt végrehajtja és betartja ezeket az intézkedéseket.

(2) Abban az esetben, ha az intézkedéseknek az Adatkezelő általi vizsgálata / ellenőrzése vagy jogszabályi, vagy technikai módosítás szükségessé teszi az intézkedések kiigazítását, az Adatkezelő haladéktalanul végrehajtja azt és igazolja ezt a kiigazítást. Az 1. Mellékletet ennek megfelelően aktualizálni kell.

(3) A technikai és szervezési intézkedéseket folyamatosan naprakésszé kell tenni annak érdekében, hogy azok tükrözzék a tudomány és technológia állását, amely által a korszerűsített intézkedések biztonsági szintje nem csökken az eredetileg meghatározott szint alá. Az Adatok integritását, bizalmas jellegét vagy elérhetőségét érintő lényeges módosításokat ésszerű határidőn belül előzetesen be kell jelenteni az Adatkezelőnek és koordinálni kell az Adatkezelővel; a lényeges módosításokat dokumentálni kell, jelenteni kell az Adatkezelőnek és mellékelni kell a jelen Megállapodás 1. Mellékletként. Az olyan intézkedések, amelyek csak csekély technikai vagy szervezési módosításokat jelentenének és amelyek nem érintenék az adatok integritását, bizalmas jellegét és elérhetőségét negatív módon, az Adatfeldolgozó által megvalósíthatóak az Adatkezelővel folytatott egyeztetés nélkül.

4. Az érintett személyek jogainak védelme

(1) Az Adatfeldolgozó csak az Adatkezelő utasításainak megfelelően helyesbíti, törli vagy korlátozza az Adatkezelő nevében feldolgozott Adatokat. Ha az Adatfeldolgozót az érintett személy közvetlenül kéri az Adatainak kijavítására vagy törlésére, akkor az Adatfeldolgozó azonnal továbbítja ezt a kérelmet az Adatkezelőnek.

(2) Az Adatfeldolgozó együttműködik az Adatkezelővel, ha az érintett személy az alkalmazandó adatvédelmi jogszabályok szerint gyakorolja jogait; ez különösen magában foglalja a segítségnyújtást megfelelő technikai és szervezési intézkedések révén az érintett személyek jogainak védelmével kapcsolatos kérelmekre adott válaszokra vonatkozóan.

5. Az Adatfeldolgozó ellenőrzései és egyéb kötelezettségei

(1)Az Adatfeldolgozó biztosítja a következő kötelezettségek teljesítését:(1) Az Adatvédelmi Tisztviselő írásbeli kinevezése, amennyiben azt jogszabály előírja. A kapcsolattartók adatait az Adatkezelőnek kell átadni, hogy lehetővé váljon a közvetlen kapcsolat. Az Adatkezelőt haladéktalanul értesíteni kell az Adatvédelmi Tisztviselő változásáról.

(2) Minden olyan személy, aki a jelen megbízás körén belül hozzáférhet az Adatkezelő által kezelt személyes Adatokhoz, köteles azokat titokban tartani, és tájékoztatni kell ezen személyeket a jelen megbízásból eredő speciális adatvédelmi kötelezettségekről, valamint az utasításokra és az Adatfeldolgozás céljára vonatkozó érvényes kötelezettségvállalásról. Az Adatfeldolgozó kérésre bemutatja a kötelezettségvállalásról szóló nyilatkozatokat az Adatkezelő részére.

(3) Az Adatfeldolgozó az illetékes adatvédelmi felügyeleti hatóságok számára biztosítja az ellenőrzések elvégzésének lehetőségét ugyanolyan mértékben, mint az Adatkezelő részéről történő ellenőrzés lehetőségét. Adatkezelő részére történő segítségnyújtás az ellenőrzésekkel és a felügyeleti hatóságok kérelmeivel kapcsolatban.

(4) Az Adatkezelő azonnali tájékoztatása az adatvédelmi felügyeleti hatóság ellenőrzéseiről és intézkedéseiről. Ez arra az esetre is vonatkozik, amikor az illetékes hatóság vizsgálatot folytat az Adatkezelő helyiségeiben a Rendelet 57, 58 és soron következő cikkei alapján.

(5) Az Adatkezelő megfelelő támogatása, amennyiben az Adatfeldolgozás tekintetében adatvédelmi hatásvizsgálatot kell végezni a Rendelet 35 cikke alapján. Az Adatkezelő a hatásvizsgálatot a saját költségén végeztetheti el az Adatfeldolgozóval.  Az Adatfeldolgozó támogatja az Adatkezelőt, ha az illetékes adatvédelmi felügyeleti hatósággal történő előzetes konzultáció válik szükségessé a Rendelet 36 cikke alapján.

(6) A szükséges részletek rendelkezésre bocsátása a Rendelet 30. cikk (2) bekezdése szerint.

6. Alvállalkozók

(1) Az Adatfeldolgozó nem vehet igénybe alvállalkozót semmilyen szerződéses kötelezettsége teljesítéséhez a jelen Megállapodás alapján az Adatkezelő előzetes írásbeli hozzájárulása nélkül. Ilyen esetben az Adatfeldolgozónak az alvállalkozóval/alvállalkozókkal olyan módon kell meghatároznia a szerződéses feltételeket, hogy azok tükrözzék azokat az adatvédelmi rendelkezéseket, amelyeket a jelen Megállapodás az Adatkezelő és az Adatfeldolgozó között létrejött megállapodásként tartalmaz, valamint a Rendelet követelményeit. Az alvállalkozó további alvállalkozót csak az Adatkezelő előzetes írásbeli hozzájárulását követően vehet igénybe.

(2) Az Adatfeldolgozó köteles kellő gondossággal kiválasztani az alvállalkozót és biztosítani a megbízást megelőzően, hogy az alvállalkozó képes eleget tenni az Adatkezelő és az Adatfeldolgozó között létrejött Megállapodásban foglaltaknak. Az Adatfeldolgozó különösen köteles előzetesen és rendszeresen ellenőrizni, hogy az alvállalkozó megvalósította a személyes adatok védelme érdekében szükséges technikai és szervezési intézkedéseket a Rendelet 32. cikkének megfelelően.

(3) Az Adatkezelő valamennyi ellenőrzési- és utasításadási jogát bele kell foglalni az alvállalkozóval kötendő megállapodásba. Ez magában foglalja az Adatkezelőnek azt a jogát is, hogy az Adatfeldolgozótól – írásbeli kérelem alapján – információt kapjon a megállapodás lényegéről és az adatvédelmi kötelezettségeknek az alvállalkozói jogviszony keretében történő megvalósításáról, szükség esetén a vonatkozó szerződéses dokumentáció megvizsgálásával vagy a megfelelő igazolások független ellenőrök által történő rendelkezésre bocsátásával.

(4) Amennyiben az alvállalkozó az Európai Unión („EU”) vagy az Európai Gazdasági Térségen („EGT”) kívüli országban található, a Megállapodás 7. cikke alkalmazandó.

(5) Az Adatfeldolgozó teljes felelősséggel tartozik az általa igénybe vett alvállalkozókért.

7. Harmadik országokba történő továbbítás

Az Adatok Adatfeldolgozó által történő feldolgozása az EU és az EGT területére korlátozott. Az Adatoknak olyan címzett részére történő Adatfeldolgozó általi továbbítása, amelynek bejegyzett székhelye az EGT területén kívül található csak akkor fogadható el, ha megfelel a Rendelet 44. és soron következő cikkeinek és az Adatkezelő külön előzetes írásbeli jóváhagyásához kötött. Az Adatfeldolgozónak, különösen, biztosítania kell, hogy az Adatkezelő megköthesse az Adatok címzettjével az Általános Szerződési Feltételeket (lásd például az Európai Bizottság 2010. február 5-ei, az Európai Unió Hivatalos Lapjában L39/5, C (2010) 593 számon megjelent határozatát).

8. Az Adatkezelő ellenőrzési jogai

(1) Az Adatfeldolgozóval egyeztetve, az Adatkezelő ellenőrzéseket végezhet abból a célból, hogy az Adatfeldolgozó által végzett adatfeldolgozásra a jelen Megállapodással és a Rendelet 28. cikkében megfogalmazott kötelezettségekkel összhangban kerül-e sor, vagy erre ellenőrt kérhet fel. Adatkezelő jogosult arra, hogy az ilyen ellenőrzések révén meggyőződjön arról, hogy az Adatfeldolgozó betartja a Megállapodásban foglaltakat az Adatfeldolgozó által folytatott üzleti tevékenységek során az Adatkezelő saját költségén.

(2) Továbbá, az Adatfeldolgozó kötelezettséget vállal arra, hogy az Adatkezelő részére rendelkezésre bocsátja a jelen Megállapodásban meghatározott kötelezettségeknek, illetve a Rendelet 28. cikkének történő megfelelést alátámasztó szükséges információkat és hogy hozzáférhetővé teszi a megfelelő bizonyítékokat. Ez magában foglalja a technikai és szervezési intézkedések végrehajtásával kapcsolatos bizonyítékok rendelkezésre bocsátását is. Ebből kifolyólag, az Adatkezelő vagylagosan kérheti az Adatfeldolgozótól, hogy naprakész bizonyítékokat szolgáltasson az Adatfeldolgozás megkezdése előtt és azt követően visszatérően, ésszerű időközönként, a Rendelet 42. és soron következő cikkei szerint a technikai és szervezési intézkedéseknek történő megfelelésről.

9. Az Adatfeldolgozó értesítései jogsértésekről

(1) Az Adatfeldolgozó köteles haladéktalanul értesíteni az Adatkezelőt bármely, az Adatkezelő Adatainak védelmével kapcsolatos előírás (különösen a Rendelet) vagy a jelen Megállapodás rendelkezései általa, vagy az általa alkalmazott munkavállalói vagy bármely alvállalkozója részéről történő megsértéséről, vagy ha ennek gyanúja áll fenn.

(2) Az Adatfeldolgozónak az ilyen incidenseket dokumentálnia kell, haladéktalanul meg kell szüntetnie és enyhítenie kell ezek következményeit. Az Adatfeldolgozó az Adatkezelőt mindaddig köteles tájékoztatni a folyamatról, amíg az ügy megoldást nem nyer.

(3) Abban az esetben, ha a jogsértés az érintett személyek jogai és szabadsága tekintetében kockázattal járna a Rendelet 34. cikke szerint, akkor az Adatfeldolgozó köteles az Adatkezelő részére átfogó segítséget nyújtani az incidens tisztázása és az adatvédelmi felügyeleti hatóság vagy az érintett személy megfelelő értesítése érdekében.

10. Az Adatkezelő utasításadási joga

(1) Az Adatokat csak a szerződéses megállapodások feltételei alapján és az Adatkezelő által adott utasítások szerint lehet feldolgozni. A jelen Megállapodásban meghatározott megbízás feltételei alapján az Adatkezelő fenntart magának egy általános utasításadási jogot az Adatfeldolgozás jellege, hatóköre és módszere vonatkozásában, amelyeket egyedi utasításokban konkretizálhat. A feldolgozás tárgyára vonatkozó és a folyamatot érintő módosításokat kölcsönösen kell elfogadni és dokumentálni. Az Adatfeldolgozó csak az Adatkezelő előzetes írásbeli hozzájárulásával továbbíthat információt harmadik felek vagy érintett személyek részére.

(2) A szóbeli utasításokat szükséges haladéktalanul írásban vagy e-mailben (szöveges formában) megerősíteni az Adatkezelő által. Az Adatfeldolgozó nem használhatja az Adatokat más célokra és különösen nem megengedett számára azok harmadik felek részére történő továbbítása. Másolatokat vagy utánzatokat nem szabad az Adatkezelő tudomása nélkül készíteni. Ez nem vonatkozik a biztonsági mentésekre, amennyiben ezek szükségesek a megfelelő adatfeldolgozás biztosításához, valamint az olyan Adatokra, amelyek a törvényes megőrzési kötelezettségeknek való megfelelés érdekében szükségesek.

(3) Az Adatfeldolgozó köteles haladéktalanul értesíteni az Adatkezelőt, ha úgy ítéli meg, hogy bármely utasítás az Adatvédelmi rendelkezések megsértésére vezetne. Az Adatfeldolgozó felfüggesztheti az utasítás végrehajtását, amíg az írásbeli úton megerősítésre vagy megváltoztatásra nem kerül az Adatkezelő erre feljogosított személye részéről.

(4) Az Adatfeldolgozó köteles dokumentálni az utasításokat.

11. Az adatok törlése és az adathordozók visszaszolgáltatása

(1) A szerződéses munka teljesítésekor vagy az Adatkezelő erre vonatkozó utasítása alapján ezt megelőzően is – de legkésőbb a Szolgáltatási Megállapodás megszűnésekor – az Adatfeldolgozó köteles vagy valamennyi a szerződéses jogviszonnyal összefüggésben birtokába került dokumentum, valamennyi a feldolgozás vagy a felhasználás eredményeként létrejött dolog, valamint az adatfájlok Adatkezelő részére történő visszaszolgáltatására, vagy ezek törlésére a vonatkozó adatvédelmi jogszabályoknak megfelelően az Adatkezelő előzetes hozzájárulásával. Ugyanez vonatkozik a tesztekre és a selejt anyagra. A törlési naplót kérelem esetén rendelkezésre kell bocsátani Adatkezelő saját költségén végezhet tesztet vagy teljes adatmentést.

(2) A megbízással összhangban álló megfelelő adatfeldolgozást igazoló dokumentációt az Adatfeldolgozó köteles megőrizni a vonatkozó megőrzési időtartamnak megfelelően a Megállapodás időtartamát követően és ez csak erre a célra használható fel. Ezeket az Adatfeldolgozó az Adatkezelő részére átadhatja a Megállapodás megszűnésekor és ebben az esetben mentesül e kötelezettség alól.

12. Felelősség

(1) Az Adatfeldolgozó teljes mértékben felelős az Adatkezelő felé minden olyan kárért, amelyet ő, a munkavállalói vagy az általa megbízott bármely személy gondatlanul okozott a szerződéses szolgáltatások teljesítése során.
(2) Az Adatkezelő és az Adatfeldolgozó teljes felelősséggel tartozik egy érintett személy által elszenvedett olyan károk megtérítéséért, amelyek a meg nem engedett vagy helytelen adatfeldolgozás miatt következtek be a szerződéses jogviszony keretein belül alkalmazandó jogi adatvédelmi rendelkezések alapján, feltéve, hogy nem mentesülnek a felelősség alól a Rendelet 82. cikk (3) bekezdése szerint. Ha az érintett személy igényt érvényesített az Adatkezelővel szemben a károk megtérítése miatt, az Adatkezelő jogosult – a Rendelet 82. cikkének rendelkezései szerint – regressz igényt érvényesíteni az Adatfeldolgozóval szemben. Ugyanez vonatkozik az Adatfeldolgozóra, amennyiben igényeket érvényesít vele szemben egy érintett személy.

13. Vegyes rendelkezések, írásbeli forma, részleges érvénytelenség, joghatóság

(1) Az Adatfeldolgozó köteles az Adatkezelő érdekében védelemmel biztosítani azokat az adathordozókat, amelyek az Adatkezelők Adatait tartalmazó fájlokat tartalmaznak. Ezeket az adathordozókat kötelező speciális módon megjelölni.

(2) Amennyiben az Adatkezelő olyan tulajdona, amely az Adatfeldolgozó birtokában áll harmadik felek intézkedései (például elkobzás vagy lefoglalás), felszámolási eljárás vagy kényszeregyezséggel kapcsolatos eljárás vagy más incidensek miatt veszélybe kerül, az Adatfeldolgozó köteles az Adatkezelőt haladéktalanul értesíteni.

(3) A jelen Megállapodás bármely módosítását és kiegészítését vagy hatályon kívül helyezését írásbeli úton kell megtenni. Ez vonatkozik a jelen, írásbeli formát előíró kikötés módosítására is.

(4) A jelen Megállapodás érvényességét nem érinti az egyes rendelkezések érvénytelensége vagy a szabályozási hézagok. Egy jogilag érvénytelen rendelkezés vagy szabályozási hézag helyébe egy olyan jogilag érvényes rendelkezésnek kell lépnie, amely a lehető legjobban megfelel az érvénytelen rendelkezés vagy a jelen Megállapodás fennmaradó rendelkezései céljának.

(5) A Megállapodásból eredő, a Megállapodással vagy annak érvényességével kapcsolatban felmerülő valamennyi vita kizárólagosan a Budai Központi Kerületi Bíróság elé tartozik.OL Munkaidő Kft.Budapest, 2018-04-27

Amennyiben egyetért és elfogadja az Adatfeldolgozási megbízást és tájékoztatót, hagyja jóvá a regisztrációját. Felhívjuk szíves figyelmét, hogy a GDPR szabályoknak megfelelően Önnek fel kell tűntetnie az OL Munkaidő Kft-t az adatkezelési nyilvántartásaiban, mint Adatkezelő!

Tájékoztatás a Megállapodás 1. számú Melléklete

a Rendelet 28. cikke szerint (példa):

Az Adatfeldolgozó technikai és szervezési intézkedései

A helyes technikai és szervezési intézkedéseknek meg kell felelniük a Rendelet 32. cikkében megfogalmazott követelményeknek. Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják.Az adott rendelés feldolgozásától függően a következő intézkedések betartása szolgálhat ilyen megfelelést:

• Álnevesítés

Személyes Adatok kezelése olyan módon, hogy ezek az adatok a továbbiakban már nem társíthatóak egy adott érintett személyhez további információ felhasználása nélkül, amennyiben az ilyen további információt külön tárolják, és amelyek maguk is a technikai és szervezési intézkedések hatálya alá tartoznak, amelyek biztosítják, hogy a Személyes Adatok nem rendelhetőek hozzá valamely beazonosított vagy beazonosítható természetes személyhez.

• Titkosítás

Az Adatok titkosíthatóak a legújabb technológiának megfelelően.• A helyiségekhez és létesítményekhez történő hozzáférés ellenőrzése

Meg kell akadályozni a helyiségekhez stb. történő jogosulatlan hozzáférést (fizikai értelemben)
A helyiségekhez történő hozzáférés ellenőrzésére szolgáló technikai és szervezési intézkedések, különösen a jogosult személyek jogosultságának igazolása érdekében.

• Példák: Beléptető rendszerek, személyazonosító okmány olvasó, mágneskártya, chipkártya; kulcsok / kulcsok kiadása; ajtózár (elektromos ajtónyitók stb.); biztonsági személyzet, portások; térfigyelő berendezések; riasztórendszer; videó / TV monitor.

• A rendszerekhez történő hozzáférés ellenőrzése

Az illetéktelen személyek számára megtagadja a hozzáférést azokhoz a feldolgozást végző berendezésekhez, amelyek által az Adatfeldolgozást végzik.Technikai (azonosító biztonság/jelszóbiztonság) és szervezési (felhasználói törzsadatok) intézkedések a felhasználó azonosításához és hitelesítéséhez:• Példa: Jelszókezelések (különleges karakterek, minimális hossz, rendszeres jelszóváltoztatás); automatikus blokkolás (például jelszó vagy időtúllépés); felhasználónként egy törzsnyilvántartás létrehozása.

• A tárolás ellenőrzéseA Személyes Adatok jogosulatlanul történő bevitelének, valamint a tárolt Személyes Adatokhoz történő jogosulatlan hozzáférésnek, azok jogosulatlan megváltoztatásának vagy törlésének megakadályozásaA jogosultsági koncepció igényközpontú meghatározása, technikai és szervezési intézkedések a felhasználó azonosításához és hitelesítéséhez.• Példák: Jelszókezelések (különleges karakterek, minimális hossz, rendszeres jelszóváltoztatás); automatikus blokkolás (például jelszó vagy időtúllépés); differenciált jogosultságok létrehozása (például profilok vagy szerepkörök tagolása írási, olvasási, változtatási és törlési jogosultság szerint).

• A felhasználó ellenőrzéseAz automatizált feldolgozó rendszerek adatátvitelt lehetővé tévő eszközök segítségével történő illetéktelen személyek általi használatának megakadályozása.Egy jogosultsági koncepció megvalósítása a hozzáférési jogosultságokra és azok nyomon követésére és naplózására tekintettel.

• Példák: Differenciált jogosultságok létrehozása (profilok, szerepkörök, ügyletek és célok); jelszókezelések; a hozzáférések rögzítése a rendszeren keresztül.

• Az adatokhoz történő hozzáférés ellenőrzéseBiztosítani kell, hogy az automatizált feldolgozó rendszer használatára jogosultsággal rendelkező személyek a Személyes Adatokhoz csak a hozzáférési engedélyük keretein belül férhessenek hozzá.A jogosultsági koncepció és a hozzáférési jogosultságok, valamint azok nyomon követésének és naplózásának igényközpontú meghatározása.• Példák: Differenciált jogosultságok létrehozása (profilok, szerepkörök, ügyletek és célok); jelentések; információk a hozzáférésről, változásról, törlésről.

• Az adattovábbítás ellenőrzéseBiztosítani kell, hogy hitelesíthető és meghatározható legyen, hogy Személyes Adatok továbbítására mikor került vagy kerülhet sor vagy, hogy azokat mikor tették hozzáférhetővé adattovábbítási eszközök útján. A Személyes Adatok továbbításának szempontjait szabályozni kell: Elektronikus adattovábbítás, az átvitel ellenőrzése.
Az átvitelre és az adattovábbításra és az azt követő hitelesítésre vonatkozó technikai és szervezési intézkedések.

• Példák: titkosítás / alagút típusú átvitel (VPN = Virtuális Magán Hálózat); elektronikus aláírás, tevékenységnaplók / eseménynaplók; jelszóvédelem.

• Az adathordozók ellenőrzése

Az adathordozók jogosulatlan olvasásának, másolásának, megváltoztatásának vagy törlésének megakadályozása.
Műszaki és szervezési intézkedések (jelszavas védelem) az adathordozókon történő tárolás és az adathordozók használata (kézi vagy elektronikus úton) tekintetében
• Példák: Az adathordozók jelszavakkal történő titkosítása; a címzett külön értesítése a jelszóról.

• A szállítás ellenőrzése

Biztosítani kell, hogy az Adatok bizalmas jellege és integritása védelemben részesül a Személyes Adatok átvitelekor és az adathordozók szállításakor.Az adathordozók szállítására, valamint az Adatok átvitelére és továbbítására vonatkozó technikai és szervezési intézkedések. A helyes címzett utólagos hitelesítése.

• Példák: Titkosítás, alagút típusú átvitel (VPN = Virtuális Magán Hálózat); elektronikus aláírás; eseménynaplók; a feladás naplózása; az adathordozók jelszavas védelme; a címzett külön értesítése a jelszóról; a címzett visszaigazolása az átvételről; szállítás biztonság, illetve az adathordozók futárszolgálat általi biztonságos szállítása.

• A bemenet ellenőrzése
Biztosítani kell annak a lehetőségét, hogy utólagosan hitelesíthető és meghatározható legyen, hogy mely Személyes Adatokat mikor és ki vitt fel az automatizált feldolgozó rendszerekbe vagy változtatta meg azokat.Technikai és szervezési intézkedések az utólagos hitelesítéshez, ha adatokat vittek fel, változtattak meg vagy távolítottak el (töröltek) és, hogy ki által.
• Példa: Naplózási és jelentési rendszerek.

• Az adatfeldolgozási megbízás ellenőrzéseBiztosítani kell, hogy az Adatkezelő nevében feldolgozott Személyes Adatokat csak az Adatkezelő utasításai szerint dolgozzák fel.Technikai és szervezési intézkedések az Adatkezelő és az Adatfeldolgozó közötti felelősség elkülönítésére.
• Példák: A Megállapodás egyértelmű megfogalmazása; formális megbízás (kérelem űrlap); az Adatfeldolgozó kiválasztására vonatkozó kritériumok; a szerződés végrehajtásának nyomon követése.

• Az elérhetőség ellenőrzése

Az adatokat védeni kell a megsemmisülés és az adatvesztés ellen.Az adatbiztonság biztosítására vonatkozó technikai intézkedések (fizikai úton / logikai úton).• Példák: biztonsági mentésre vonatkozó eljárások, merevlemezek tükrözése, mint például RAID technológia; szünetmentes tápegység (UPS); távoli tárolás, vírusirtó rendszerek / tűzfalak; katasztrófa helyreállítási terv.

• Az adatelkülönítés ellenőrzése

Biztosítani kell annak a lehetőségét, hogy a különböző célokra gyűjtött Adatok elkülönítve kerülhessenek feldolgozásra.Intézkedések a különböző célokra gyűjtött adatok elkülönítve történő feldolgozására (tárolására, megváltoztatására, törlésére, továbbítására):
• Példák: „Belső ügyfél” / a használat korlátozása; a funkciók elkülönítése, például gyártás, minőségbiztosítás, tréning és teszt környezet.

• Helyreállíthatóság

Biztosítani kell, hogy a telepített rendszerek meghibásodás esetén helyreállíthatóak legyenek.Intézkedések a Személyes Adatok haladéktalan helyreállításának és az azokhoz történő hozzáférés biztosítása érdekében; biztonsági mentések.• Példa: Folyamatszemléletű katasztrófa helyreállítási terv megvalósítása, biztonsági mentésre vonatkozó eljárások.
• Megbízhatóság

Biztosítani kell, hogy a rendszer valamennyi funkciója rendelkezésre álljon, és hogy az előforduló üzemzavarok jelentésre kerüljenek.A technikai és szervezési intézkedések hatékonyságának rendszeres ellenőrzésére és a rendszerek alkalmasságának ellenőrzésére szolgáló eljárások; szervezési intézkedések a meghibásodások jelentésére vonatkozóan.
• Példák: a teljes informatikai környezet behatolás vizsgálata; a rendszerek hackertámadásokkal, vírusokkal stb. szembeni védelmét szolgáló intézkedések megvalósítása; a rendszerek méretezhetőségének biztosítása; a rendszerek auditálása, egy folyamatszemléletű jelentési és hibaelhárítási eljárás létrehozása.
• Adatintegritás

Biztosítani kell, hogy a tárolt Személyes Adatok ne károsodhassanak a rendszer üzemzavarai miatt.Intézkedések annak biztosítása érdekében, hogy az adatok a feldolgozás vagy a továbbítás folyamán ne legyenek eltávolíthatóak vagy megváltoztathatóak illetéktelen személyek által és hogy az adatok helyesek, megbízhatóak és konzisztensek legyenek.
• Példák: Titkosítás; az Adatok rendszeres ellenőrzése; a hackertámadásokkal, vírusokkal stb. szembeni védelmet szolgáló intézkedések megvalósítása; jogosultsági koncepciók megvalósítása; eseménynaplók.