Adatkezelési szabályzat
Adatkezeléssel kapcsolatos rendelkezések
A Felek közötti szolgáltatási szerződés tekintetében a Művészeti Szilícium Völgy Kft. , mint Adatkezelő, a Telekom New Media Zrt., mint Adatfeldolgozó jár el.
Jelen adatkezeléssel kapcsolatos melléklet a Felek közötti szerződés elválaszthatatlan részét képezi és a Felek ezt abból a célból kötik, hogy a Felek közötti szerződés által rendezett szolgáltatáshoz kapcsolódóan Adatfeldolgozó által végzett adatkezelési tevékenység megfeleljen:
- az alkalmazandó magyar jogszabályoknak, különösen az információs önrendelkezési jogról és
az információszabadságról szóló a 2011. évi CXII. törvény (továbbiakban: „Info tv”); valamint - a GDPR-nak.
I) Fogalommeghatározás
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
adatvédelmi hatásvizsgálat: a GDPR 35. cikke szerinti kötelezettség;
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
GDPR: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
II) Az adatkezelési tevékenység meghatározása
Az Adatfeldolgozó által végzett adatkezelési tevékenység feltételei az alábbiak:
a) az adatkezelés tárgya: a műsorban szavazók adatai: telefonszám
b) az adatkezelés időtartama: a műsorfolyam és az azt követő sorsolás ideje alatt
c) az adatkezelés célja: az adatkezelő részére biztosítani a szavazás folyamatát és azt követően nyereményjátékhoz kapcsolódó sorsolás elvégzése
d) a személyes adatok típusa: telefonszám, a kisorsolt nyertesek neve és lakcíme
e) az érintettek kategóriái: a szavazásban résztvevő nézők
III) Jogok és kötelezettségek
III.1 Adatfeldolgozó vállalja, hogy:
a) a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az Adatfeldolgozóra alkalmazandó uniós
vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az adatkezelést megelőzően értesíti;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő
technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
(i) a személyes adatok álnevesítését és titkosítását;
(ii) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
(iii) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; továbbá
(iv) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
d) intézkedéseket hoz annak biztosítására, hogy az Adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat;
e) az Adatkezelő jelen adatfeldolgozási szerződéssel előzetesen felhatalmazza Adatfeldolgozót további adatfeldolgozó igénybevételére;
f) amennyiben az Adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyek jelen Adatfeldolgozási Szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért;
g) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
h) segíti az Adatkezelőt a GDPR 32–36. cikk (Az adatkezelés biztonsága, Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak, Az érintett tájékoztatása az adatvédelmi incidensről, Adatvédelmi hatásvizsgálat, Előzetes konzultáció) szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat;
i) az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
j) az Adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatok, illetve a másolatok törlésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a GDPR vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
k) az adatvédelmi incidenst, az arról való tudomásszerzését számított 72 órán belül bejelenti a Adatkezelőnek. Az említett bejelentésben legalább:
(i) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
(ii) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
(iii) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint
(iv) ismertetni kell az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
l) támogatja az Adatkezelőt abban, hogy az az Érintetteknek a GDPR-ben biztosított egy vagy több joguk gyakorlására irányuló kéréseit teljesítse;
m) amennyiben Adatfeldolgozó bármely Érintettől a GDPR-ben biztosított egy vagy több joga gyakorlására irányuló kérést kap, akkor Adatfeldolgozó az Érintettet arról tájékoztatja, hogy megkeresésével közvetlenül az Adatkezelőhöz forduljon, egyúttal a megkeresésről az Adatkezelőt is haladéktalanul tájékoztatja;
n) vezeti a GDPR 30. cikke (2) bekezdésében előírt összes nyilvántartást, és amennyiben a személyes adatok Adatkezelő nevében történő feldolgozása ezt lehetővé teszi, kérésre az Adatkezelő rendelkezésére bocsátja ezeket a nyilvántartásokat.
III.2 Adatkezelő vállalja, hogy a kezelésében álló személyes adatokat kizárólag a vonatkozó jogszabályoknak megfelelően kezeli.
III.3 Adatkezelő jogosult a jelen szerződésben rögzített tevékenység ellátását, így különösen az Érintettek személyes adatai tárolásának, kezelésének a módját évente egyszer előzetesen egyeztetett időpontban ellenőrizni.
IV) Felelősség
Amennyiben Adatfeldolgozót az Adatkezelő tevékenységével kapcsolatban kár éri, úgy Adatkezelő köteles azt megtéríteni. Amennyiben Adatfeldolgozónál az Adatkezelő tevékenységével kapcsolatban kártérítési igényérvényesítéssel lépnek fel vagy eljárást indítanak, úgy Adatkezelő köteles Adatfeldolgozót a kártérítés, kiszabott bírság, büntetés alól mentesíteni 30 napon belül.
V) Egyebek
A jelen Adatfeldolgozási Szerződés irányadó joga Magyarország és az Európai Unió joga. A jelen Adatfeldolgozási Szerződésben nem szabályozott kérdésekben különösen a GDPR, az Info tv., illetve a Magyar Polgári Törvénykönyv rendelkezései az irányadók.