Adatfeldolgozói szerződés (AVSZ)

GDPR 28. cikk · revFADP 9. cikk

Swiss Cybersecurity Management Center GmbH (SCMC)

1.0 verzió — Állapot: 2026. április 19.

A jelen adatfeldolgozási megállapodás (DVV / AVV) a DSGVO (EU általános adatvédelmi rendelet, GDPR) 28. cikke és a revDSG (felülvizsgált svájci adatvédelmi törvény) 9. cikke szerint szabályozza a személyes adatok SCMC általi feldolgozását az ügyfelek (Megbízó) megbízásából.

1. Tárgy és időtartam

1.1 Tárgy

Az SCMC adatfeldolgozóként szolgáltatásokat nyújt az információbiztonsági irányítás (ISMS) területén, beleértve az SCMC platform rendelkezésre bocsátását és üzemeltetését, valamint a kapcsolódó tanácsadási szolgáltatásokat.

E szolgáltatások keretében az SCMC kizárólag a Megbízó megbízásából és utasítása szerint dolgoz fel személyes adatokat.

1.2 Időtartam

A megállapodás az SCMC és a Megbízó között fennálló főszerződés időtartamára érvényes.

2. Az adatkezelés jellege és célja

A személyes adatok feldolgozása az alábbi célokból történik:

  • Az SCMC platform és a kapcsolódó funkciók biztosítása
  • Felhasználói fiókok kezelése a Megbízó megbízásából
  • Biztonsági értékelések elvégzésének támogatása
  • A platform technikai üzemeltetése és karbantartása

3. A személyes adatok jellege

Az adatfeldolgozás keretében a következő adatkategóriák kezelhetők:

  • A Megbízó munkatársainak neve és kapcsolattartási adatai
  • Hozzáférési adatok (felhasználónév, titkosított jelszavak)
  • Használati és naplóadatok
  • A biztonsági értékelések keretében megadott tartalmak és válaszok

4. Az érintett személyek kategóriái

  • A Megbízó munkatársai
  • A Megbízó által az SCMC platformon regisztrált felhasználók

5. Az SCMC mint adatfeldolgozó kötelezettségei

Az SCMC kötelezettséget vállal arra, hogy:

  • A személyes adatokat kizárólag a Megbízó dokumentált utasítása alapján dolgozza fel
  • Titoktartást tart az általa feldolgozott személyes adatok tekintetében
  • Az összes szükséges technikai és szervezési intézkedést végrehajtja a DSGVO / revDSG 32. cikke szerint
  • Haladéktalanul tájékoztatja a Megbízót, ha valamely utasítás sérti az alkalmazandó adatvédelmi jogot
  • Támogatja a Megbízót az érintettek jogainak érvényesítésében
  • Támogatja a Megbízót az adatvédelmi incidenseknek a felügyeleti hatóságokhoz történő bejelentésében
  • Támogatja a Megbízót az adatvédelmi hatásvizsgálatok (DSFA) elvégzésében, amennyiben az a feldolgozott adatokat érinti (DSGVO 28. cikk (3) bekezdés f) pont)
  • A szerződéses jogviszony megszűnését követően az összes adatot törli vagy visszaszolgáltatja, és kérésre írásbeli igazolást nyújt a Megbízónak a teljes körű törlésről
  • A Megbízó rendelkezésére bocsát minden szükséges információt a jelen megállapodás betartásának igazolásához (DSGVO 28. cikk (3) bekezdés h) pont)

6. Technikai és szervezési intézkedések (TOM)

Az SCMC az alábbi intézkedéseket vezette be:

  • Adattárolás kizárólag Svájcban (AWS svájci adatközpontok)
  • Titkosítás a tárolt és továbbított adatokra (TLS, AES-256)
  • Hozzáférés-ellenőrzés a need-to-know elv alapján
  • Kéttényezős hitelesítés a privilegizált hozzáférésekhez
  • Rendszeres biztonsági mentések és katasztrófa-helyreállítási eljárások
  • Biztonsági felügyelet és audit-naplózás
  • Tanúsítványok: az AWS infrastruktúra ISO 27001, SOC 2 és PCI DSS tanúsítvánnyal rendelkezik

7. Aladatfeldolgozók

Az SCMC az alábbi aladatfeldolgozókat veszi igénybe:

Szolgáltató Cél Helyszín
Amazon Web Services (AWS) Hosting, infrastruktúra, adattárolás Svájc
Stripe Fizetésfeldolgozás Írország / USA

A Stripe felé az USA-ba történő adattovábbítások esetén az SCMC általános szerződési feltételekre (az EU Bizottság 2021/914 számú határozata), valamint a Swiss-U.S. Data Privacy Framework keretrendszerre támaszkodik, kiegészítve a Stripe adatkezelési kiegészítésével (elérhető: stripe.com/legal/dpa).

A Megbízó ezennel általános engedélyt ad ezen aladatfeldolgozók igénybevételéhez. Az SCMC tájékoztatja a Megbízót a tervezett változásokról, és lehetőséget biztosít számára kifogás emelésére.

8. A Megbízó jogai

A Megbízó jogosult:

  • Utasítást adni az adatfeldolgozással kapcsolatban
  • Ellenőrzéseket és auditokat végezni vagy harmadik fél által végeztetni
  • A szerződés megszűnését követően minden személyes adat teljes körű törlését vagy visszaszolgáltatását kérni

9. Adatvédelmi incidensek

Az SCMC haladéktalanul, de legkésőbb a tudomásszerzéstől számított 72 órán belül jelenti a Megbízónak az adatvédelmi jogsértéseket, megadva minden rendelkezésre álló információt a DSGVO 33. cikke szerint.

10. Kapcsolat és lezárás

Az AVV az SCMC valamennyi olyan ügyfelére vonatkozik, akik az SCMC platformon keresztül személyes adatokat dolgoznak fel. Egyedi adatfeldolgozási megállapodás megkötése vagy kérdések esetén kérjük, forduljon hozzánk:

Swiss Cybersecurity Management Center GmbH (SCMC)
Tiefenhöfe 10
8001 Zürich
Svájc
📧 E-mail: info@scmc.ch

További jogi információk:
Impresszum · Adatvédelmi nyilatkozat · Általános Szerződési Feltételek