Megjegyzés. Jelen dokumentum egy szabványos sablon, amely a Felek (mint Adatkezelő és Adatfeldolgozó) közötti adatfeldolgozói jogviszony alapját képezi. A szerződéskötéskor a Felek által aláírt formában válik kötelező erejűvé. A szerződés elválaszthatatlan részét képezik az 1., 2. és 3. számú mellékletek (adatkör, alvállalkozók, biztonsági intézkedések).
§ 0A Felek
Adatfeldolgozó:
Horváth Tamás egyéni vállalkozó (a továbbiakban: Athlon vagy Adatfeldolgozó)
Székhely: 2521 Csolnok, Szénbányászok útja 57.
Adószám: 56819650-1-31
E-mail: info@athlon.hu
Adatvédelmi tisztviselő (DPO): Horváth Tamás (info@athlon.hu)
Adatkezelő: [[a szövetség / klub teljes hivatalos neve]]
Székhely: [[…]]
Adószám / nyilvántartási szám: [[…]]
Képviselő: [[…]]
Kapcsolattartó (adatvédelmi kérdésekben): [[név, e-mail]]
§ 1Tárgya
Jelen Szerződés szabályozza azon személyes adatok feldolgozását, amelyeket az Adatkezelő a köztük létrejött szolgáltatási szerződés keretében (Athlon Általános Szerződési Feltételek, „ÁSZF") az Adatfeldolgozó rendelkezésére bocsát, és amelyeket az Adatfeldolgozó az Adatkezelő nevében és utasításai alapján kezel. Az adatfeldolgozás részletes leírása az 1. számú mellékletben található.
§ 2Az Adatfeldolgozó általános kötelezettségei
Az Adatfeldolgozó vállalja, hogy:
- a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli; ha jogszabály eltérő kötelezést ír elő, az adatkezelés megkezdése előtt erről az Adatkezelőt írásban tájékoztatja, kivéve ha a tájékoztatást jogszabály tiltja;
- biztosítja, hogy a személyes adatokhoz hozzáférő minden személy a megfelelő titoktartási kötelezettség alá tartozzon;
- a GDPR 32. cikke szerinti technikai és szervezési intézkedéseket fenntartja és rendszeresen felülvizsgálja (lásd 3. számú melléklet);
- a 4. pont szerinti feltételekkel további adatfeldolgozót vesz igénybe;
- az Adatkezelőt — a kezelés jellegét figyelembe véve — megfelelő technikai és szervezési intézkedésekkel segíti az érintetti jogok gyakorlásával összefüggő kötelezettségei teljesítésében;
- az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikke szerinti kötelezettségek teljesítésének igazolásához szükséges;
- az Adatkezelő választása szerint a szerződés megszűnésekor minden személyes adatot töröl vagy visszaszolgáltat (lásd 9. pont).
§ 3Az Adatkezelő kötelezettségei
Az Adatkezelő szavatolja, hogy:
- a személyes adatok kezelésének jogalapja a rá vonatkozó jogszabályok szerint megfelelően biztosított (különösen kiskorú érintettek esetén a törvényes képviselő hozzájárulása beszerzésre került);
- az érintetteket az adatkezelésről megfelelően tájékoztatta;
- kizárólag olyan adatokat továbbít az Adatfeldolgozónak, amelyek kezelésére jogosult;
- az Adatfeldolgozó részére adott utasításai jogszerűek; jogszerűtlen utasítás esetén az Adatfeldolgozó az utasítás teljesítésének megtagadására jogosult.
§ 4További adatfeldolgozók (sub-processors)
Az Adatkezelő jelen Szerződés aláírásával általános felhatalmazást ad az Adatfeldolgozónak további adatfeldolgozók igénybevételére. Az aktuális alvállalkozói lista a 2. számú mellékletben található. Az Adatfeldolgozó új alvállalkozó bevonásáról vagy meglévő cseréjéről az Adatkezelőt legalább 30 nappal a változás előtt értesíti, amely idő alatt az Adatkezelő kifogással élhet. Kifogás esetén a Felek jóhiszeműen tárgyalnak; ha a kifogás megalapozott és az Adatfeldolgozó nem tud alternatív megoldást nyújtani, az Adatkezelő jogosult a szolgáltatási szerződést rendkívüli felmondással felmondani.
Az Adatfeldolgozó a további adatfeldolgozóra ugyanazokat a kötelezettségeket telepíti, mint amelyek őt jelen Szerződés alapján terhelik; az alvállalkozó teljesítéséért az Adatkezelő irányában úgy felel, mint sajátjáért.
§ 5Az érintettek jogainak támogatása
Ha érintett közvetlenül az Adatfeldolgozóhoz fordul jogai gyakorlása érdekében, az Adatfeldolgozó a megkeresést haladéktalanul, de legkésőbb 5 munkanapon belül továbbítja az Adatkezelőnek. Az érintetti jogok teljesítése az Adatkezelőt terheli; az Adatfeldolgozó a kezelés jellegéhez igazodó technikai és szervezési intézkedésekkel — különösen adatexport, adathelyesbítés és adattörlés funkciókkal — segíti az Adatkezelőt e kötelezettségek teljesítésében.
§ 6Adatvédelmi incidens kezelése
Az Adatfeldolgozó az adatvédelmi incidens tudomására jutását követően indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti az Adatkezelőt. Az értesítés tartalmazza:
- az incidens jellegét, az érintett adatkategóriákat és érintettek hozzávetőleges számát;
- az adatvédelmi tisztviselő nevét és elérhetőségét;
- az incidens valószínűsíthető következményeit;
- a már megtett vagy tervezett intézkedéseket az incidens kezelésére és enyhítésére.
Az Adatkezelő a GDPR 33. és 34. cikke szerinti bejelentési és értesítési kötelezettségét maga teljesíti; az Adatfeldolgozó ehhez minden szükséges közreműködést megad.
§ 7Auditjog
Az Adatkezelő jogosult naptári évente egy alkalommal (vagy ezen felül adatvédelmi incidenst követően) felülvizsgálatot (auditot) végezni az Adatfeldolgozó adatkezelési gyakorlatáról. Az auditot az Adatkezelő legalább 30 nappal előre, írásban kezdeményezi. Az audit nem szakíthatja meg az Adatfeldolgozó rendes üzletmenetét. Az Adatkezelő kérheti továbbá az Adatfeldolgozó által beszerzett független harmadik féltől származó megfelelőségi tanúsítványok vagy ellenőri jelentések rendelkezésre bocsátását, amennyiben ilyenek elérhetők.
§ 8Harmadik országba történő adattovábbítás
Az Adatfeldolgozó az EGT-n kívülre történő adattovábbítást csak akkor végez, ha azt az Adatkezelő utasítása előírja, vagy ha a továbbítás az alvállalkozó által nyújtott szolgáltatás rendeltetésszerű igénybevételéhez szükséges. Ilyen esetben a továbbítás kizárólag a GDPR V. fejezete szerinti megfelelő garanciák — különösen az Európai Bizottság által jóváhagyott általános szerződéses feltételek (SCC) — alapján történik.
§ 9A szerződés megszűnése — az adatok sorsa
A szolgáltatási szerződés megszűnésekor az Adatfeldolgozó — jogszabályon alapuló adatmegőrzési kötelezettség hiányában — az Adatkezelő választása szerint:
- a kezelt személyes adatokat visszaszolgáltatja (export), vagy
- azokat véglegesen törli, és a törlésről írásbeli megerősítést ad.
A felmondást követő 30 napos türelmi időszakban az Adatkezelő bármikor kezdeményezheti az adatok exportját. A 30 nap leteltével az Adatfeldolgozó az adatokat — a jogszabály alapján megőrzendő számviteli bizonylatok kivételével — véglegesen törli.
§ 10Felelősség, kapcsolódó rendelkezések
A Felek a GDPR és az Infotv. szerinti felelősségüket viselik. Az Adatfeldolgozó jelen Szerződésen alapuló kártérítési felelőssége — a jogszabály által megengedett legszélesebb körben — az ÁSZF-ben rögzített felelősségkorlátozási rendelkezések szerint alakul. A korlátozás nem terjed ki azokra a károkra, amelyekért a jogszabály alapján a felelősség nem korlátozható.
A jelen Szerződésben nem szabályozott kérdésekben az ÁSZF, a GDPR, az Infotv. és a magyar Polgári Törvénykönyv rendelkezései az irányadók.
§ A11. számú melléklet — Az adatkezelés részletei
Tárgya: az Adatkezelő mint sportszövetség / klub tagjainak (sportolók, edzők, bírák) és kapcsolódó működésének adminisztratív kezelése az Athlon SaaS-felületen keresztül.
Időtartama: a szolgáltatási szerződés (ÁSZF) fennállásáig, kiegészítve a megszűnést követő 30 napos türelmi időszakkal.
Jellege és célja: tagnyilvántartás, igazolások és sportorvosi engedélyek kezelése, mérkőzés- és verseny-adminisztráció, kintlévőség- és számlakezelés, oktatási és vizsgáztatási modul.
A személyes adatok típusai:
- azonosító adatok (név, születési dátum), kapcsolattartási adatok;
- kiskorú érintettek esetén a törvényes képviselő kapcsolattartási adatai;
- versenyengedély- és igazolási adatok;
- különleges kategóriájú adat (GDPR 9. cikk): sportorvosi engedély érvényessége, lejárati dátum és érvényesítő orvos megjelölése;
- edzői képesítések, bírói minősítések;
- mérkőzés- és verseny-metaadatok, videó-tagelés;
- pénzügyi adatok (tagdíj, számlák).
Érintettek kategóriái: sportolók (felnőttek és kiskorúak), edzők, bírák, klubadminisztrátorok, szövetségi adminisztrátorok, törvényes képviselők (kiskorúak esetén).
§ A22. számú melléklet — Engedélyezett további adatfeldolgozók
Az Adatkezelő hozzájárulásával bevont alvállalkozók a hatályos Adatvédelmi tájékoztató 8. pontjában felsorolt szolgáltatók (Hetzner Online GmbH — tárhely; Neon Inc. — adatbázis; Cloudflare, Inc. — CDN / biztonság; Resend, Inc. — tranzakciós e-mail; Stripe Payments Europe Ltd. — online fizetés). A lista mindenkori naprakész változata az adatvédelmi tájékoztatóban érhető el; változásról az Adatkezelő a 4. pont szerint kerül értesítésre.
§ A33. számú melléklet — Technikai és szervezési intézkedések (TOM)
Az Adatfeldolgozó az alábbi intézkedéseket alkalmazza:
- Adattárolás helye: EGT-n belül (Hetzner Németország + Neon EU Frankfurt);
- Titkosítás: teljes hálózati forgalom TLS-en, adatbázis nyugalmi állapotban (encryption-at-rest);
- Mentés és helyreállítás: napi automatikus mentés, 30 napos megőrzéssel;
- Hozzáférés-vezérlés: szerepalapú jogosultságkezelés (RBAC), kétfaktoros bejelentkezés támogatása, „least privilege" elv;
- Hitelesítés: Better Auth alapú jelszó-tárolás iparági standard egyirányú hash-eléssel;
- Audit: kritikus műveletek (jogosultság-változás, törlés, exportkérelem) naplózása legalább 12 hónapra visszamenőleg;
- Logikai elkülönítés: többbérlős (multi-tenant) architektúra szigorú tenant-szintű elkülönítéssel; az egyik szövetség adata sem érhető el a másik részéről;
- Munkavállalói titoktartás és képzés: minden, az adatokhoz hozzáférő személy titoktartási kötelezettség alatt áll és rendszeres adatvédelmi felkészítésen vesz részt.