Adatfeldolgozási Megállapodás (AVV)

1. § – Tárgy és időtartam

A tárgy weboldalak automatizált technikai elemzése. A feldolgozás a felhasználási szerződés időtartamára szól. Ezen túlmutató feldolgozás nem történik.

A felhasználási szerződés megszűnésekor az Adatfeldolgozó 30 napon belül törli a jelen AVV keretében kezelt összes személyes adatot, kivéve ha törvényes megőrzési kötelezettségek ezt megakadályozzák. A törlésről az Adatkezelőt írásban értesítjük.

2. § – Adatfeldolgozás jellege és célja

Feldolgozott adatok: az elemzett weboldalak IP-címei (nem a végfelhasználóké), az elemzett oldalak nyilvánosan hozzáférhető tartalmai és metaadatai, elemzési eredmények. Cél: weboldalak technikai minőségének és jogszerűségének ellenőrzése.

3. § – Utasítási jog

Az Adatfeldolgozó (Qavlar Tech) a személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezeli. Az elemzésre benyújtott URL megadása utasításnak minősül. További utasítások írásban adhatók a qalyze@qavlar.tech e-mail-címen. A szóbeli utasításokat haladéktalanul írásban kell megerősíteni. Ha az Adatfeldolgozó úgy ítéli meg, hogy egy utasítás sérti az adatvédelmi jogszabályokat, erről haladéktalanul tájékoztatja az Adatkezelőt.

4. § – Technikai és szervezési intézkedések (TOM)

A Qavlar Tech az alábbi védelmi intézkedéseket alkalmazza: SSL/TLS titkosítás minden átvitelnél; tárhelyszolgáltatás Németországban (EU-s adatközpont); hitelesítéssel ellátott hozzáférés-szabályozás; automatikus adattörlés 30 nap után; rendszeres biztonsági frissítések; harmadik félnek való átadás kizárva jogalap nélkül.

5. § – Alvállalkozók

5.1 Az Adatkezelő felhatalmazza az Adatfeldolgozót az alábbi alvállalkozók igénybevételére: • NetCup GmbH (szervertárhely, Németország) • Mailjet SAS (tranzakciós e-mail küldés, Franciaország – EU)

5.2 Az Adatfeldolgozó legalább 30 nappal előre tájékoztatja az Adatkezelőt az alvállalkozók tervezett változásairól. Az Adatkezelő 14 napon belül tiltakozhat. Ha nem érkezik tiltakozás, a változás elfogadottnak tekintendő. Tiltakozás esetén az Adatfeldolgozó a folyó időszak végén felmondhatja a szerződést.

5.3 Minden alvállalkozóval egyenértékű adatvédelmi kötelezettségeket előíró szerződés kerül megkötésre. Az EU/EGT-n kívüli alvállalkozók esetén megfelelő garanciák (Általános Szerződési Feltételek) biztosítottak.

6. § – Érintetti jogok

6.1 Az Adatfeldolgozó segíti az Adatkezelőt a GDPR 12–22. cikke szerinti kötelezettségei (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás) teljesítésében, figyelembe véve az adatkezelés jellegét.

6.2 Az érintettektől érkező megkereséseket a qalyze@qavlar.tech e-mail-címre kell küldeni. Az Adatfeldolgozó haladéktalanul értesíti az Adatkezelőt, amint érintetti megkeresés érkezik.

7. § – Adattörlés a szerződés megszűnése után

A felhasználási szerződés megszűnése után az Adatkezelő által kezdeményezett összes szkennelési adatot 30 napon belül visszavonhatatlanul töröljük, vagy kérésre géppel olvasható formátumban átadjuk.

8. § – Auditok

8.1 Az Adatkezelő naptári évenként egyszer, 14 napos írásos előzetes értesítéssel auditálhatja az adatfeldolgozási tevékenységeket.

8.2 Az auditokat normál munkaidőben, az üzemeltetés aránytalan zavarása nélkül kell végezni.

8.3 Az Adatfeldolgozó minden szükséges információt rendelkezésre bocsát a megfelelőség igazolásához.

8.4 Az audit költségeit az Adatkezelő viseli, kivéve, ha az audit az Adatfeldolgozó lényeges szerződésszegését tárja fel.

9. § – Adatvédelmi kapcsolattartó

Adatvédelmi kapcsolattartó: István Ékes, qalyze@qavlar.tech.

10. § – Adatvédelmi incidens bejelentése

10.1 Az Adatfeldolgozó haladéktalanul, de legkésőbb az incidens tudomásszerzésétől számított 48 órán belül értesíti az Adatkezelőt minden, a jelen AVV keretében kezelt adatokat érintő adatvédelmi incidensről.

10.2 Az értesítés tartalmazza: az incidens jellegét, az érintett személyek és adatrekordok kategóriáit és hozzávetőleges számát, a várható következményeket, valamint a megtett vagy tervezett intézkedéseket.

10.3 Az Adatfeldolgozó segíti az Adatkezelőt a GDPR 33. és 34. cikke szerinti saját bejelentési kötelezettségeinek teljesítésében.

11. § – Adatvédelmi hatásvizsgálat

Az Adatfeldolgozó segíti az Adatkezelőt az adatvédelmi hatásvizsgálatok (DPIA) elvégzésében és a felügyeleti hatóságokkal való előzetes konzultációkban, amennyiben ezek jelen AVV adatfeldolgozási tevékenységeit érintik.