Spracovanie údajov príloha

 

Tento dodatok tvorí neoddeliteľnú súčasť zmluvy a uzatvárajú ho:

 

  1. (i) Klient („ Exportér údajov “)
  2. (ii) IQUALIF (" Importér údajov ")

 

Každá je „ stranou “ a obyčajne „ stranou “.

 

Preambula

KDE importér údajov poskytuje profesionálne softvérové ​​služby, počítačové a súvisiace služby (ako sú prehliadače s pokročilými funkciami vyhľadávania);

KDE v súlade so Zmluvou Dovozca údajov súhlasil s poskytovaním služieb uvedených v Zmluve Exportérovi údajov (ďalej len „ Služby “);

KDE poskytovaním Služieb dovozca údajov získava alebo má prospech z prístupu k informáciám vývozcu údajov alebo k informáciám iných osôb, ktoré majú (potenciálny) vzťah s vývozcom údajov, takéto informácie možno kvalifikovať ako osobné údaje v zmysle nariadenia (EÚ) 2016/679 Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „ GDPR “) a ďalšie platné zákony o ochrane údajov.

KEĎ tento dodatok obsahuje podmienky, ktoré sa vzťahujú na zhromažďovanie, spracúvanie a používanie takýchto osobných údajov dovozcom údajov v jeho postavení oprávneného zástupcu na spracovanie údajov vývozcu údajov, aby sa zabezpečilo, že zmluvné strany budú dodržiavať platné zákony o ochrane údajov .

 

PRETO, a aby Strany mohli pokračovať vo svojom vzťahu zákonným spôsobom, uzavreli Strany tento Dodatok takto:

Časť 1

 

1. Štruktúra dokumentu a definície

1.1 Štruktúra

Tento dodatok sa skladá z nasledujúcich častí:

 

Časť 1: 

obsahuje všeobecné ustanovenia, napr. týkajúce sa definícií použitých v tomto dodatku, súladu s miestnymi zákonmi, načasovania a ukončenia

 

Časť 2:

obsahuje telo nezmeneného dokumentu Štandardné zmluvné doložky

 

Dodatok 1.1 časti 2:

obsahuje podrobnosti o spracovateľských operáciách, ktoré dovozca údajov poskytol vývozcovi údajov ako oprávnenému zástupcovi spracovania údajov (vrátane spracovania, povahy a účelu spracovania, typu osobných údajov a kategórií dotknutých osôb) podľa tohto Dodatok

 

Dodatok 2 k časti 2:

obsahuje popis technických a organizačných bezpečnostných opatrení Dovozcu údajov, ktoré sa uplatňujú v súvislosti so všetkými spracovateľskými činnosťami popísanými v Prílohe 1.1 časti 2

 

Časť 3:

obsahuje podpisy strán, ktoré budú viazané týmto dodatkom, a identifikuje každého dovozcu údajov

 

 

1.2 Terminológia a definície

Na účely tohto dodatku sa uplatňuje terminológia a definície používané v GDPR (v tele dokumentu Štandardná zmluvná doložka v časti 2, kde sa definované pojmy neuvádzajú veľkými písmenami). 

 

"Členský štát"

znamená krajinu patriacu do Európskej únie alebo Európskeho hospodárskeho priestoru

 

"Špeciálne kategórie (osobných) údajov"

ide o osobné údaje prezrádzajúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch a genetické údaje, biometrické údaje, ak sa spracúvajú na účely jednoznačnej identifikácie osoby, údaje o zdravotnom stave, údaje o pohlaví osoby života alebo sexuálnej orientácie

 

"Štandardné zmluvné doložky"

znamená Štandardné zmluvné doložky na prenos osobných údajov spracovateľov usadených v tretích krajinách podľa rozhodnutia Komisie 2010/87/EÚ z 5. februára 2010, ktoré bolo zmenené a doplnené vykonávacím rozhodnutím Komisie (EÚ) 2016/2297 zo 16. decembra 2016

 

„Spracovateľ údajov“.

znamená akýkoľvek spracovateľský zástupca so sídlom v EÚ/EHP alebo mimo neho, ktorý súhlasí s tým, že od dovozcu údajov alebo akéhokoľvek iného spracovateľa dovozcu údajov dostane osobné údaje výlučne na účely spracovateľských činností, ktoré má vývozca údajov vykonať po prenos v súlade s pokynmi exportéra údajov, podmienkami tohto dodatku a zmluvou s importérom údajov

 

 

 

2. Povinnosti Exportéra údajov

2.1 Vývozca údajov má povinnosť zabezpečiť súlad so všetkými príslušnými povinnosťami podľa GDPR a akéhokoľvek iného platného zákona o ochrane údajov, ktorý sa vzťahuje na Vývozcu údajov, a preukázať takýto súlad, ako to vyžaduje článok 5 ods. 2 GDPR. Vývozca údajov zaručuje, že dovozca údajov získal predchádzajúci súhlas dotknutých osôb v súlade s článkom 6 písm. a) GDPR a splnil svoju povinnosť informovať dotknuté osoby v súlade s článkom 13 a 14 GDPR.

2.2 Vývozca údajov musí poskytnúť dovozcovi údajov príslušné súbory spracovateľských činností v súlade s článkom 30 ods. 1 GDPR súvisiace so službami podľa tohto dodatku v rozsahu potrebnom na to, aby dovozca údajov splnil povinnosť podľa Článok 30 ods. 2 GDPR.

2.3 Vývozca údajov musí vymenovať úradníka alebo zástupcu pre ochranu údajov v rozsahu, ktorý vyžaduje platný zákon o ochrane údajov. Vývozca údajov je povinný poskytnúť dovozcovi údajov kontaktné údaje zástupcu pre ochranu údajov alebo zástupcu, ak existuje.

2.4. Exportér údajov pred dokončením spracovania potvrdzuje prijatím tohto dodatku, že technické a organizačné bezpečnostné opatrenia dovozcu údajov, ako sú uvedené v prílohe 2 k časti 2, sú primerané a dostatočné na ochranu práv dotknutej osoby a potvrdzuje, že dovozca údajov poskytuje v tomto smere dostatočné záruky.

 

3. Súlad s miestnymi zákonmi

Aby boli splnené požiadavky na implementáciu spracovateľov podľa článku 28 GDPR, platia tieto zmeny:

 

3.1 Pokyny

  1. (i) Vývozca údajov dáva pokyn dovozcovi údajov, aby spracúval osobné údaje iba v mene vývozcu údajov. Pokyny exportéra údajov sú uvedené v tomto dodatku a v zmluve. Vývozca údajov je povinný zabezpečiť, aby všetky pokyny boli poskytnuté dovozcovi údajov v súlade s platnými zákonmi o ochrane údajov. Dovozca údajov musí spracúvať osobné údaje iba v súlade s pokynmi poskytnutými vývozcom údajov, pokiaľ to Európska únia alebo právo členského štátu nevyžaduje inak (v druhom prípade platí časť 1 bod 3.2 (iv) (c)) .
  2. (ii) Všetky ostatné pokyny, ktoré presahujú rámec pokynov v tomto Dodatku alebo v Zmluve, musia byť zahrnuté v predmete tohto Dodatku a Zmluvy. Ak implementácia tohto dodatočného pokynu zahŕňa náklady pre dovozcu údajov, dovozca údajov o takýchto nákladoch informuje vývozcu údajov a pred vykonaním pokynu poskytne vysvetlenie. Až potom, čo vývozca údajov potvrdí prijatie týchto nákladov na vykonanie pokynu, dovozca údajov vykoná tento dodatočný pokyn. Vývozca údajov musí poskytnúť dodatočné pokyny písomne, pokiaľ si naliehavosť alebo iné špecifické okolnosti nevyžadujú inú formu (napr. ústnu, elektronickú). Inštrukcie v inej ako písomnej forme musí exportér údajov bezodkladne potvrdiť písomne.
  3. 1. Pokiaľ vývozca údajov nemôže vykonať opravu, vymazanie alebo obmedzenie osobných údajov sám, pokyny sa môžu týkať aj opravy, vymazania a/alebo obmedzenia osobných údajov, ako je uvedené v časti 1, bod 3.3.
  4. 2. Dovozca údajov musí bezodkladne informovať vývozcu údajov, ak podľa jeho názoru Pokyn porušuje GDPR alebo iné platné ustanovenia o ochrane údajov Európskej únie alebo členského štátu („ Sporný pokynAk dozorný orgán vyhlási napadnutý Pokyn za zákonný, Dovozca údajov napadnutý Pokyn vykoná. Časť 1 odsek 3.1 (ii) zostáva v platnosti.

 

3.2 Povinnosti Dovozcu údajov

  1. (i) Dovozca údajov musí zabezpečiť, aby sa osoby poverené dovozcom údajov na spracúvanie osobných údajov v mene vývozcu údajov, najmä zamestnanci dovozcu údajov a zamestnanci ktoréhokoľvek subdodávateľa, zaviazali zachovávať mlčanlivosť alebo podliehali primeranú zákonnú povinnosť mlčanlivosti a že osoby, ktoré majú prístup k osobným údajom, ich spracúvajú v súlade s pokynmi Exportéra údajov.
  2. (ii) Dovozca údajov musí pred spracovaním osobných údajov v mene vývozcu údajov zaviesť technické a organizačné bezpečnostné opatrenia uvedené v prílohe 2 k časti 2. Dovozca údajov môže z času na čas zmeniť technické a organizačné bezpečnostné opatrenia, ak neposkytujú menšiu ochranu ako tie, ktoré sú uvedené v Dodatku 2 k časti 2.
  3. (iii) Dovozca údajov sprístupní vývozcovi údajov na žiadosť vývozcu údajov informácie preukazujúce dodržiavanie povinností dovozcu údajov podľa tohto dodatku. Zmluvné strany sa dohodli, že táto informačná povinnosť je splnená poskytnutím správy o audite Exportérovi údajov (zahŕňajúca bezpečnosť princípov, dostupnosť systému a dôvernosť) (ďalej len „Správa o audite“). Ak sa zo zákona vyžadujú dodatočné audítorské činnosti, vývozca údajov môže požiadať, aby kontroly vykonal vývozca údajov alebo iný audítor poverený vývozcom údajov za predpokladu, že takýto audítor uzatvorí zmluvu o mlčanlivosti s dovozcom údajov a dovozcom údajov. primerané zadosťučinenie („Audit“). Tento audit podlieha nasledujúcim podmienkam: (i) predchádzajúci formálny písomný súhlas Dovozcu údajov; a (ii) vývozca údajov znáša všetky náklady súvisiace s auditom na mieste pre vývozcu údajov a dovozcu údajov. Exportér údajov musí vytvoriť správu o audite, v ktorej sú zhrnuté výsledky a pozorovania auditu na mieste (ďalej len „správa o audite na mieste“). Správy o audite na mieste a správy o audite sú dôvernými informáciami dovozcu údajov a nesmú byť poskytnuté tretím stranám, pokiaľ to nevyžaduje príslušný zákon na ochranu údajov alebo v súlade so súhlasom dovozcu údajov.
  4. (iv) Dovozca údajov má povinnosť bez zbytočného odkladu oznámiť vývozcovi údajov:
    1. a. v súvislosti s akoukoľvek právne záväznou žiadosťou orgánu činného v trestnom konaní o sprístupnenie osobných údajov, pokiaľ nie je zakázané inak, ako je zákaz podľa trestného práva na ochranu dôvernosti vyšetrovania orgánov činných v trestnom konaní
    2. b. v súvislosti s akoukoľvek sťažnosťou a žiadosťou prijatou priamo od dotknutej osoby (napr. pokiaľ ide o prístup, opravu, vymazanie, obmedzenie spracovania, prenosnosť údajov, námietku proti spracovaniu údajov, automatizované rozhodovanie) bez toho, aby ste na túto žiadosť odpovedali, pokiaľ dovozca údajov nebol oprávnený urob tak
    3. c. ak je dovozca údajov alebo spracovateľ údajov podľa práva Európskej únie alebo členského štátu, ktorému dovozca údajov alebo spracovateľ údajov podlieha, povinný spracúvať osobné údaje nad rámec pokynov vývozcu údajov, a to pred uskutočnením takéhoto spracúvania nad rámec pokyny, pokiaľ zákony Európskej únie alebo členského štátu nezakazujú takéto spracúvanie z dôvodu zásadného verejného záujmu, pričom v takom prípade sa v oznámení vývozcovi údajov uvedie právna požiadavka podľa tohto práva Európskej únie alebo členského štátu; alebo
    4. d. ak dovozca údajov zistí porušenie osobných údajov výlučne kvôli sebe alebo jeho subdodávateľovi, ktoré by ovplyvnilo osobné údaje vývozcu údajov, na ktoré sa vzťahuje táto zmluva, v takom prípade bude dovozca údajov pomáhať vývozcovi údajov pri plnení jeho povinnosti, v súlade s platnými právnymi predpismi o ochrane údajov informovať dotknuté osoby a prípadne dozorné orgány poskytnutím informácií, ktoré má k dispozícii, v súlade s článkom 33 ods. 3 GDPR.
    5. (v) Na žiadosť vývozcu údajov je dovozca údajov povinný pomôcť vývozcovi údajov pri plnení jeho povinnosti vykonať posúdenie vplyvu na ochranu údajov, ktoré môže vyžadovať článok 35 GDPR, a predchádzajúcu konzultáciu, ktorá môže byť vyžadované v článku 36 GDPR týkajúceho sa služieb poskytovaných Dovozcom údajov Vývozcovi údajov podľa tohto Dodatku, poskytovanie potrebných informácií a informácií Vývozcovi údajov. Dovozca údajov bude povinný poskytnúť takúto súčinnosť len v prípade, ak vývozca údajov nemôže splniť svoju povinnosť iným spôsobom. Importér údajov bude informovať vývozcu údajov o nákladoch na takúto pomoc. Len čo exportér údajov potvrdí, že môže znášať tieto náklady, importér údajov poskytne exportérovi údajov túto pomoc.
    6. (vi) Po ukončení poskytovania služieb môže vývozca údajov požiadať o vrátenie osobných údajov spracúvaných dovozcom údajov podľa tohto dodatku do jedného mesiaca po poskytnutí služieb. Pokiaľ legislatíva členského štátu alebo Európskej únie nevyžaduje od dovozcu údajov uchovávať alebo uchovávať takéto osobné údaje, dovozca po uplynutí jedného mesiaca všetky takéto osobné alebo neosobné údaje vymaže, či už boli vrátené vývozcu údajov na jeho žiadosť alebo nie.

 

3.3 Práva dotknutých osôb

  1.  
    1. (i) Vývozca údajov spravuje žiadosti dotknutých osôb a odpovedá na ne. Dovozca údajov nie je povinný odpovedať priamo dotknutým osobám.
    2. (ii) Ak vývozca údajov vyžaduje pomoc dovozcu údajov pri spracovaní a odpovedaní na žiadosti dotknutej osoby, vývozca údajov vydá ďalšie pokyny v súlade s článkom 3.1 (ii) časti 1. Importér údajov pomôže vývozcovi údajov s nasledujúcimi vhodnými a technickými organizačnými opatreniami, aby bolo možné reagovať na žiadosti o výkon práv dotknutých osôb uvedených v kapitole III GDPR takto:
    3. a. Pokiaľ ide o žiadosti o informácie, dovozca údajov poskytne vývozcovi údajov iba informácie požadované v článku 13 a 14 PGRD, ktoré môže mať k dispozícii, ak ich vývozca údajov nemôže nájsť sám.
    4. b. Pokiaľ ide o žiadosti o prístup (článok 15 GDPR), dovozca údajov poskytne vývozcovi údajov iba tie informácie, ktoré sa majú poskytnúť dotknutej osobe na účely uvedenej žiadosti o prístup, ktoré môže mať k dispozícii, ak posledný to nemôže nájsť sám.
    5. c. Pokiaľ ide o žiadosti o opravu (článok 16 GDPR), žiadosti o vymazanie (článok 17 GDPR), obmedzenie žiadostí o spracovanie (článok 18 GDPR) alebo žiadosti o prenosnosť (článok 20 GDPR) a iba ak vývozca údajov nemôže sám opraviť alebo vymazať, obmedziť alebo preniesť osobné údaje inej tretej strane, dovozca údajov ponúkne vývozcovi údajov možnosť opraviť alebo vymazať, obmedziť alebo preniesť dotknuté osobné údaje inej tretej strane, alebo ak to nie je možné, poskytne pomoc na opravu alebo vymazanie, obmedzenie alebo prenos dotknutých osobných údajov inej tretej strane.
    6. d. Pokiaľ ide o oznámenie týkajúce sa opravy, vymazania alebo obmedzenia spracovania (článok 19 GDPR), dovozca údajov pomôže vývozcovi údajov upozornením všetkých príjemcov osobných údajov, ktorých zaangažoval dovozca údajov ako spracovateľov, ak o to vývozca údajov požiada a ak vývozca údajov nemôže situáciu napraviť sám.
    7. e. Pokiaľ ide o právo na námietku uplatňované dotknutou osobou (články 21 a 22 GDPR), vývozca údajov určí, či je námietka oprávnená a ako sa s ňou vysporiada.
    8. (iii) Povinnosti dovozcu údajov poskytnúť pomoc sú obmedzené na osobné údaje spracúvané v rámci jeho infraštruktúry (napr. databázy, systémy, aplikácie, ktoré vlastní alebo poskytuje dovozca údajov).
    9. (iv) Vývozca údajov určí, či Dotknutá osoba môže vykonávať práva Dotknutých osôb uvedené v článku 3.1 tejto Časti 1, a informuje Dovozcu údajov o rozsahu pomoci uvedenej v článku 3.3 (ii), ( iii) časti 1 je potrebné.
    10. (v) Ak vývozca údajov požaduje dodatočné alebo upravené technické a organizačné opatrenia na splnenie práv dotknutých osôb, ktoré presahujú rámec pomoci poskytovanej dovozcom údajov podľa odseku 3.3 (ii), (iii) časti 1, údaje Dovozca informuje Vývozcu údajov o nákladoch na implementáciu takýchto dodatočných alebo upravených technických a organizačných opatrení. Len čo vývozca údajov potvrdí, že dokáže uhradiť tieto náklady, dovozca údajov zavedie takéto dodatočné alebo upravené technické a organizačné opatrenia, aby pomohol vývozcovi údajov reagovať na žiadosti dotknutých osôb.
    11. (vi) Bez obmedzenia rozsahu článku 3.3 (v) Časti 1 je Vývozca údajov povinný uhradiť Dovozcovi údajov jeho primerané výdavky, ktoré mu vznikli pri odpovedi na žiadosti Dotknutých osôb.

 

3.4 Čiastkové spracovanie

  1.  
    1. (i) Exportér údajov oprávňuje dovozcu údajov využívať subdodávateľov na poskytovanie služieb podľa tohto dodatku. Dovozca údajov si takýchto spracovateľov údajov starostlivo vyberie. Vývozca údajov schvaľuje spracovateľov údajov uvedených v prílohe 1.1 na konci časti 2.
    2. (ii) Dovozca údajov prevedie svoje povinnosti podľa tohto dodatku na spracovateľov údajov v rozsahu, ktorý sa vzťahuje na subdodávateľské služby.
    3. (iii) Dovozca údajov môže podľa vlastného uváženia prepustiť, nahradiť alebo vymenovať iného vhodného a spoľahlivého spracovateľa údajov. Ak o to vývozca údajov písomne ​​požiada, dovozca údajov musí postupovať podľa nižšie uvedeného postupu:
  2.  
    1. a. Dovozca údajov informuje vývozcu údajov pred akýmikoľvek zmenami v zozname spracovateľov údajov uvedených v článku 3.4 (i) časti 1. Ak vývozca údajov nevznesie námietky podľa článku 3.4. b) časti 1 tridsať dní po prijatí oznámenia od dovozcu údajov sa ďalší spracovatelia údajov považujú za akceptovaných.
    2. b. Ak má vývozca údajov legitímny dôvod namietať voči ďalšiemu spracovateľovi údajov, vopred to písomne ​​oznámi dovozcovi údajov do tridsiatich dní od prijatia oznámenia od dovozcu údajov a pred uvedením služby dovozcu údajov do prevádzky. Ak má vývozca údajov námietky proti používaniu ďalšieho procesora údajov, dovozca údajov môže námietku odstrániť jednou z nasledujúcich možností (zvolených podľa vlastného uváženia): (A) dovozca údajov zruší svoje plány na používanie ďalšieho spracovateľa, pokiaľ ide o osobné údaje vývozcu údajov; (B) Dovozca údajov prijme nápravné opatrenia požadované Exportérom údajov vo svojej námietke (zrušenie námietky) a použije dodatočného spracovateľa, pokiaľ ide o osobné údaje Vývozcu údajov;
  3.  
    1. (iv) ak spracovateľ údajov sídli mimo EÚ-EHP v krajine, ktorá nie je uznaná ako krajina poskytujúca primeranú úroveň ochrany údajov na základe rozhodnutia Európskej komisie, dovozca údajov prijme opatrenia na dodržanie primeranej úrovne o ochrane údajov v súlade s GDPR (takéto opatrenia môžu zahŕňať okrem iného aj používanie zmlúv o spracovaní údajov na základe doložiek modelu EÚ, prenos samocertifikovaným spracovateľom údajov v rámci EU-US Protection Shield alebo podobný program).

 

3.5 Uplynutie platnosti

Ukončenie platnosti tohto Dodatku je totožné s dátumom ukončenia platnosti príslušnej Zmluvy. Ak nie je v tomto dodatku stanovené inak, práva a povinnosti súvisiace s ukončením zmluvy sú rovnaké ako tie, ktoré sú uvedené v zmluve.

 

4. Obmedzenie zodpovednosti

4.1 Každá strana plní svoje povinnosti podľa tohto dodatku a príslušných právnych predpisov o ochrane údajov.

4.2 Akákoľvek zodpovednosť súvisiaca s porušením povinností podľa tohto dodatku alebo príslušných právnych predpisov o ochrane údajov bude podliehať a bude sa riadiť ustanoveniami o zodpovednosti uvedenými v zmluve alebo platnými pre zmluvu, pokiaľ nie je v tomto dodatku stanovené inak. Ak sa zodpovednosť riadi ustanoveniami o zodpovednosti uvedenými v Zmluve alebo sa na ňu vzťahujú, pokiaľ ide o výpočet limitov zodpovednosti alebo určenie uplatnenia iných obmedzení zodpovednosti, bude sa mať za to, že akákoľvek zodpovednosť vyplývajúca z tohto Dodatku vzniká na základe Zmluvy.

 

5. Všeobecné ustanovenia

5.1 V prípade akýchkoľvek nezrovnalostí alebo nezrovnalostí medzi časťami 1 a 2 tohto dodatku má prednosť časť 2. Konkrétne, aj v takom prípade zostáva v platnosti časť 1, ktorá jednoducho presahuje časť 2 (tj podmienky štandardných klauzúl) bez toho, aby bola v rozpore.

5.2 Ak vznikne akýkoľvek rozpor medzi ustanoveniami tohto dodatku a ustanoveniami iných zmlúv, ktoré sú pre zmluvné strany záväzné, tento dodatok má prednosť, pokiaľ ide o povinnosti zmluvných strán v oblasti ochrany údajov. V prípade pochybností, či sa ustanovenia v iných zmluvách týkajú povinností zmluvných strán v oblasti ochrany údajov, má prednosť tento dodatok.

5.3 Ak je niektoré ustanovenie tohto dodatku neplatné alebo nevymáhateľné, zvyšok tohto dodatku zostane v plnej platnosti a účinnosti. Neplatné alebo nevykonateľné ustanovenie bude (i) zmenené tak, aby bola zabezpečená jeho platnosť a vykonateľnosť, pričom sa v maximálnej možnej miere zachová vôľa strán, alebo – ak to nie je možné – (ii) bude interpretované tak, ako keby neplatná alebo nevykonateľná časť mala nikdy nebolo súčasťou zmluvy. Vyššie uvedené platí aj v prípade vynechania tohto dodatku.

5.5 Zmluvné strany môžu v nevyhnutnom rozsahu požiadať o zmeny časti 1, doložky 3 (Súlad s miestnym právom) alebo iných častí dodatku, aby boli v súlade s výkladmi, smernicami alebo príkazmi vydanými príslušnými orgánmi Únie alebo Členské štáty, vnútroštátne ustanovenia o presadzovaní práva alebo akýkoľvek iný právny vývoj týkajúci sa GDPR alebo iných podmienok delegovania na akékoľvek subjekty zapojené do spracovania údajov a konkrétne v súvislosti s používaním štandardných zmluvných doložiek v GDPR. Podmienky štandardných zmluvných doložiek nemožno upravovať ani nahrádzať, pokiaľ to Európska komisia výslovne neschváli (napr. novými primeranými doložkami a normami na ochranu údajov).

5.6 Akýkoľvek odkaz v tomto Dodatku na „Články“ sa má chápať ako odkaz na všetky ustanovenia tohto Dodatku, pokiaľ nie je uvedené inak.

5.7 Voľba práva uvedená v časti 2, bode 9. sa vzťahuje na celú Zmluvu.

 

6. Osobné údaje prenášané a spracovávané stranami na osobné účely (prenos od prevádzkovateľa údajov prevádzkovateľovi)

6.1 Zmluvné strany si sú plne vedomé toho, že určité osobné údaje budú prenesené od Vývozcu údajov Dovozcovi údajov a naopak a že tieto údaje každá Strana spracúva na svoje vlastné účely. Pokiaľ ide o takéto osobné údaje, neovplyvňujú ostatné ustanovenia tohto dodatku (okrem tohto bodu 6).

6.2 Vývozca údajov môže preniesť osobné údaje týkajúce sa zamestnancov dovozcu údajov dovozcovi údajov, vrátane informácií o bezpečnostných incidentoch, alebo akýchkoľvek iných dokumentov alebo súborov vytvorených alebo zriadených vývozcom údajov v súvislosti so službami poskytovanými pracovníkmi spoločnosti importér údajov. Dovozca údajov môže takéto osobné údaje spracúvať na svoje vlastné účely, najmä v rámci svojich profesionálnych vzťahov s pracovníkmi dovozcu údajov, na kontrolu kvality a školenia alebo na obchodné účely.

6.3. Dovozca údajov môže preniesť osobné údaje vývozcovi údajov vrátane mena a kontaktných údajov zamestnancov dovozcu údajov. Vývozca údajov môže takéto osobné údaje spracúvať na vlastné účely.

6.4 Obidve strany budú pri zhromažďovaní, spracúvaní a používaní takýchto osobných údajov prijatých od druhej strany podľa odseku 1 časti 1 dodržiavať všetky príslušné zákony na ochranu údajov vrátane GDPR. Obe strany prijmú najmä primerané bezpečnostné opatrenia za predpokladu, že podobnú úroveň ochrany ako bezpečnostné opatrenia uvedené v dodatku 2 časti 2. Akýkoľvek prístup k takýmto osobným údajom je obmedzený na potrebu ich poznať.

6.5 Obe strany musia vymazať takéto osobné údaje čo najskôr po dosiahnutí cieľov.

Časť 2

 

ROZHODNUTIE KOMISIE

dňa 5. februára 2010

o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom údajov so sídlom v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES

 

 

 

bod 1

Definície

V zmysle ustanovení:

a) „osobné údaje“, „osobitné kategórie údajov“, „spracovanie/spracovanie“, „prevádzkovateľ“, „spracovateľ“, „dotknutá osoba“ a „dozorný orgán“ majú rovnaký význam ako v smernici 95/46/ES smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov (1);

b) „vývozca údajov“ je prevádzkovateľ údajov, ktorý prenáša osobné údaje;

c) „Dovozca údajov“ je spracovateľ údajov, ktorý súhlasí s tým, že od vývozcu údajov dostane osobné údaje, ktoré majú byť spracované v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podľa podmienok týchto odsekov a ktorý nie je podlieha mechanizmu tretej krajiny, ktorý zabezpečuje primeranú ochranu v zmysle článku 25 ods. 1 smernice 95/46/ES; (d) „Spracovateľ údajov“ znamená spracovateľa údajov najatého dovozcom údajov alebo akýmkoľvek iným spracovateľom údajov dovozcu údajov, ktorý súhlasí s tým, že od dovozcu údajov alebo akéhokoľvek iného spracovateľa údajov dovozcu údajov dostane osobné údaje výlučne na účely spracovania vykonávať v mene vývozcu údajov po prenose v súlade s pokynmi vývozcu údajov,

e) „uplatniteľné právo na ochranu údajov“ znamená právne predpisy na ochranu základných práv a slobôd jednotlivcov vrátane práva na súkromie v súvislosti so spracovaním osobných údajov, ktoré sa vzťahujú na prevádzkovateľa v členskom štáte, v ktorom má vývozca údajov sídlo;

f) „technické a organizačné opatrenia týkajúce sa bezpečnosti“ sú opatrenia určené na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez siete, a proti všetky ostatné nezákonné formy spracúvania.

bod 2

Podrobnosti o prevode

Podrobnosti o prenose, v prípade potreby vrátane osobitných kategórií osobných údajov, sú uvedené v dodatku 1, ktorý tvorí neoddeliteľnú súčasť týchto ustanovení.

bod 3

Doložka o oprávnenej tretej strane

1. Dotknutá osoba môže voči vývozcovi údajov uplatniť tento článok, článok 4(b) až (i), článok 5(a) až (e) a (g) až (j), článok 6(1) a (2) ), článok 7, článok 8 ods. 2 a články 9 až 12 ako príjemca tretej strany

2. Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči dovozcovi údajov, ak má vývozca údajov fyzicky zanikol alebo zanikol zo zákona, pokiaľ všetky jeho zákonné povinnosti neprešli zmluvou alebo zo zákona na nástupnícky subjekt, na ktorý sa teda práva a povinnosti vývozcu údajov vracajú a voči ktorému údaje subjekt teda môže uplatniť uvedené doložky.

Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči spracovateľovi údajov, ale iba v prípadoch, keď údaje Vývozca a dovozca údajov fyzicky zmizli, zanikli zo zákona alebo sa dostali do platobnej neschopnosti, pokiaľ všetky zákonné povinnosti vývozcu údajov neprešli zmluvou alebo zo zákona na právneho nástupcu, na ktorého práva a povinnosti vývozcu údajov sú teda zverené a voči komu si dotknutá osoba môže uplatniť takéto doložky. Takáto zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti podľa týchto odsekov.

4. Strany nenamietajú proti tomu, aby bola dotknutá osoba zastupovaná združením alebo iným orgánom, ak si to želá a ak to vnútroštátne právo umožňuje.

bod 4

Povinnosti exportéra údajov

Exportér údajov akceptuje a garantuje nasledovné:

a) spracovanie vrátane samotného prenosu osobných údajov sa vykonávalo a naďalej bude vykonávať v súlade s príslušnými ustanoveniami platných právnych predpisov o ochrane údajov (a prípadne bolo oznámené príslušným orgánom členského štátu v ktorej má vývozca údajov sídlo) a neporušuje príslušné ustanovenia tohto štátu;

b) dali pokyn a počas trvania služieb spracovania osobných údajov dajú pokyn, aby dovozca údajov spracúval prenesené osobné údaje výlučne v mene vývozcu údajov a v súlade s platnými právnymi predpismi o ochrane údajov a týmito doložkami;

c) Dovozca údajov poskytne dostatočné záruky týkajúce sa technických a organizačných bezpečnostných opatrení uvedených v Prílohe 2 k tejto zmluve;

d) po vyhodnotení požiadaviek platných právnych predpisov na ochranu údajov sú bezpečnostné opatrenia primerané na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez sieť a proti všetkým ostatným nezákonným formám spracovania a zabezpečiť úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť, so zreteľom na úroveň technológie a náklady na implementáciu;

e) zabezpečia dodržiavanie bezpečnostných opatrení;

f) ak sa prenos týka osobitných kategórií údajov, dotknutá osoba bola alebo bude informovaná pred prenosom alebo čo najskôr po prenose, že jej údaje možno preniesť do tretej krajiny, ktorá neponúka primeranú úroveň ochrany v zmysle smernice 95/46/ES;

g) zašlú akékoľvek oznámenie prijaté od dovozcu údajov alebo akéhokoľvek spracovateľa údajov podľa článkov 5 (b) a 8 (3) dozornému orgánu pre ochranu údajov, ak sa rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie;

h) sprístupnia dotknutým osobám, ak o to požiadajú, kópiu týchto doložiek, s výnimkou dodatku 2, a súhrnný popis bezpečnostných opatrení a kópiu akejkoľvek ďalšej subdodávateľskej zmluvy uzavretej podľa týchto doložiek, pokiaľ Doložky alebo dohoda obsahujú obchodné informácie, v takom prípade môže tieto informácie stiahnuť;

i) v prípade subdodávateľského procesu spracovania údajov je spracovateľská činnosť vykonávaná v súlade s článkom 11 spracovateľom údajov, ktorý poskytuje minimálne rovnakú úroveň ochrany osobných údajov a práv dotknutej osoby ako dovozca údajov podľa týchto článkov ; a

j) zabezpečí súlad s odsekom 4 písm. a) až i).

bod 5

Povinnosti importéra údajov

Importér údajov akceptuje a zaručuje nasledovné:

a) budú spracúvať osobné údaje len v mene Exportéra údajov a podľa pokynov Exportéra údajov a týchto doložiek; ak z akéhokoľvek dôvodu nemôže vyhovieť, súhlasia s tým, že budú čo najskôr informovať vývozcu údajov o svojej neschopnosti, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu;

b) nemajú dôvod domnievať sa, že právo, ktoré sa na nich vzťahuje, mu bráni v plnení pokynov poskytnutých exportérom údajov a povinností, ktoré mu vyplývajú zo zmluvy, a ak takéto právo podlieha zmene, ktorá by mohla mať podstatnú nevýhodu, vplyv na záruky a povinnosti podľa doložiek, oznámi túto zmenu vývozcovi údajov bezodkladne po tom, čo sa o nej dozvie, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu; c) pred spracovaním prenesených osobných údajov zaviedli technické a organizačné bezpečnostné opatrenia uvedené v dodatku 2;

d) bezodkladne oznámia vývozcovi údajov:

i) akákoľvek záväzná žiadosť orgánu činného v trestnom konaní o sprístupnenie osobných údajov, ak nie je uvedené inak, ako je napríklad trestný zákaz zameraný na zachovanie tajomstva policajného vyšetrovania;

ii) akýkoľvek náhodný alebo neoprávnený prístup; a

iii) o každej žiadosti prijatej priamo od dotknutých osôb bez toho, aby na ňu odpovedali, pokiaľ na to nebola oprávnená; správcovia

e) budú promptne a riadne riešiť všetky otázky vývozcu údajov týkajúce sa jeho spracúvania prenášaných osobných údajov a budú konať podľa názoru dozorného orgánu týkajúceho sa spracúvania prenášaných údajov;

f) na žiadosť vývozcu údajov podrobia svoje zariadenia na spracovanie údajov auditu spracovateľských činností, na ktoré sa vzťahujú tieto doložky, ktorý vykoná vývozca údajov alebo dozorný orgán zložený z nezávislých členov s požadovanou odbornou kvalifikáciou, podlieha povinnosti mlčanlivosti a vybral si ho vývozca údajov, ak je to vhodné, so súhlasom dozorného orgánu;

g) sprístupnia dotknutej osobe, ak o to požiada, kópiu týchto doložiek alebo akejkoľvek existujúcej subdodávateľskej zmluvy o spracovaní údajov, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie, v takom prípade môže takéto doložky odstrániť informácie okrem dodatku 2, ktorý bude nahradený súhrnným popisom bezpečnostných opatrení, ak dotknutá osoba nemôže získať kópiu od vývozcu údajov;

h) v prípade dôverných ďalších subdodávok spracovania údajov zabezpečí, aby o tom vopred informoval vývozcu údajov a získal písomný súhlas vývozcu údajov;

i) služby spracovania poskytované spracovateľom údajov budú v súlade s článkom 11;

j) bezodkladne zašlú kópiu akejkoľvek subdodávky zmluvy o spracovaní údajov, ktorú uzavrel podľa týchto doložiek, vývozcovi údajov.

bod 6

Zodpovednosť

1. Zmluvné strany sa dohodli, že každá dotknutá osoba, ktorá utrpela škodu v dôsledku porušenia povinností uvedených v článku 3 alebo článku 11 jednou stranou alebo spracovateľom údajov, môže od vývozcu údajov získať náhradu za vzniknutú škodu.

2. Ak dotknutá osoba nemôže podať žalobu o náhradu škody, ako je uvedené v odseku 1, proti vývozcovi údajov z dôvodu, že dovozca údajov alebo jeho spracovateľ údajov nesplní niektorú zo svojich povinností podľa článku 3 alebo článku 11, pretože údaje Vývozca fyzicky zmizol, prestal podľa zákona existovať alebo sa stal platobne neschopným, Dovozca údajov súhlasí s tým, že dotknutá osoba môže podať sťažnosť proti nemu, ako keby to bol Vývozca údajov, pokiaľ neboli na základe zmluvy prevedené všetky zákonné povinnosti Vývozcu údajov. alebo zo zákona na jeho nástupnícky subjekt, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva. Dovozca údajov sa nemôže spoliehať na porušenie svojich povinností zo strany spracovateľa údajov, aby sa vyhol vlastnej zodpovednosti.

3. Ak dotknutej osobe bránia podať žalobu uvedenú v odsekoch 1 a 2 proti vývozcovi údajov alebo dovozcovi údajov za porušenie povinností spracovateľa údajov podľa odseku 3 alebo odseku 11, pretože vývozca údajov a dovozca údajov fyzicky zmizli, prestali existovať zo zákona alebo sa stali platobne neschopnými, Spracovateľ súhlasí s tým, že dotknutá osoba môže podať sťažnosť týkajúcu sa jej vlastných spracovateľských činností v súlade s týmito doložkami, ako keby bola vývozcom údajov alebo dovozcom údajov, pokiaľ všetky zákonné povinnosti Vývozcu údajov alebo Dovozcu údajov prešli zmluvou alebo zo zákona na právneho nástupcu, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva.Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito bodmi.

 

bod 7

Mediácia a súdna právomoc

1. Dovozca údajov súhlasí s tým, že ak sa dotknutá osoba podľa doložiek bude voči nemu dovolávať práva príjemcu tretej strany a/alebo bude požadovať náhradu za utrpenú ujmu, bude akceptovať rozhodnutie dotknutej osoby:

a) predložiť spor na mediáciu nezávislej osobe alebo prípadne dozornému orgánu;

b) predložiť spor na súdy členského štátu, v ktorom má sídlo vývozca údajov.

2. Zmluvné strany sa dohodli, že výber uskutočnený dotknutou osobou neovplyvní procesné alebo hmotné právo dotknutej osoby získať nápravu v súlade s inými ustanoveniami vnútroštátneho alebo medzinárodného práva.

bod 8

Spolupráca s dozornými orgánmi

1. Vývozca údajov súhlasí s uložením kópie tejto zmluvy u dozorného orgánu, ak si to dozorný orgán vyžiada alebo ak takéto uloženie umožňuje príslušný zákon o ochrane údajov.

2. Zmluvné strany sa dohodli, že dozorný orgán môže vykonávať kontroly u dovozcu údajov a akéhokoľvek spracovateľa údajov v rovnakom rozsahu a za rovnakých podmienok ako pri kontrolách vykonávaných u vývozcu údajov v súlade s platnými právnymi predpismi o ochrane údajov.

3. Dovozca údajov čo najskôr informuje vývozcu údajov o existencii právnych predpisov týkajúcich sa dovozcu údajov alebo akéhokoľvek spracovateľa údajov, ktoré bránia overeniu u dovozcu údajov alebo akéhokoľvek spracovateľa údajov v súlade s odsekom 2. V takom prípade Vývozca údajov môže prijať opatrenia uvedené v doložke 5 písm. b).

bod 9

Platné právo

Doložky sa uplatňujú a riadia sa právom členského štátu, v ktorom má vývozca údajov sídlo.

Ustanovenie 10

Úprava zmluvy

Zmluvné strany sa zaväzujú nezmeniť tieto doložky. Zmluvné strany majú možnosť zahrnúť ďalšie obchodné doložky, ktoré považujú za potrebné, za predpokladu, že nie sú v rozpore s týmito doložkami.

Ustanovenie 11

Následné subdodávky

1. Dovozca údajov nezadá žiadne zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek bez predchádzajúceho písomného súhlasu vývozcu údajov. Dovozca údajov zadá svoje povinnosti podľa týchto doložiek subdodávateľom len so súhlasom vývozcu údajov prostredníctvom písomnej dohody so spracovateľom údajov, ktorá ukladá spracovateľovi údajov rovnaké povinnosti, ako sú povinnosti uložené dovozcovi údajov podľa týchto doložiek. Ak spracovateľ údajov nemôže splniť svoje povinnosti v oblasti ochrany údajov podľa tejto písomnej zmluvy, dovozca údajov zostáva plne zodpovedný voči vývozcovi údajov za splnenie týchto povinností.

2. Predchádzajúca písomná dohoda medzi Dovozcom údajov a Spracovateľom údajov bude obsahovať aj doložku o oprávnení tretej strany, ako je uvedené v článku 3 pre prípady, keď dotknutej osobe bráni uplatniť nárok na náhradu škody podľa článku 6 ods. ), voči vývozcovi údajov alebo dovozcovi údajov, pretože vývozca alebo dovozca údajov fyzicky zmizol, prestal existovať zo zákona alebo sa stal insolventným a všetky zákonné povinnosti vývozcu alebo dovozcu údajov neboli prevedené zmluvou alebo operáciou zákona, na iný nástupnícky subjekt. Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito doložkami.

3. Ustanovenia týkajúce sa aspektov ochrany údajov subdodávateľského spracovania údajov zmluvy uvedeného v odseku 1 sa riadia právom členského štátu, v ktorom má vývozca údajov sídlo.

4. Vývozca údajov vedie zoznam subdodávateľských zmlúv o spracovaní údajov uzatvorených podľa týchto doložiek a oznámených dovozcom údajov v súlade s odsekom 5 písm. j), ktorý sa aktualizuje najmenej raz ročne. Tento zoznam sa sprístupní dozornému orgánu pre ochranu údajov vývozcu údajov.

Ustanovenie 12

Povinnosť po ukončení služieb spracovania osobných údajov

1. Zmluvné strany sa dohodli, že po ukončení služieb spracovania údajov dovozca údajov a spracovateľ údajov podľa želania vývozcu údajov vrátia všetky prenesené osobné údaje a ich kópie vývozcovi údajov alebo zničia všetky takéto údaje a poskytnú dôkaz likvidáciu vývozcovi údajov, pokiaľ právne predpisy uložené dovozcovi údajov nebránia vo vrátení alebo zničení všetkých alebo časti prenesených osobných údajov. V takom prípade sa Dovozca údajov zaručuje, že zabezpečí dôvernosť prenášaných osobných údajov a že údaje už nebude aktívne spracúvať.

2. Dovozca údajov a spracovateľ údajov zabezpečia, že ak o to vývozca údajov a/alebo dozorný orgán požiada, podrobia svoje prostriedky spracovania údajov overeniu opatrení uvedených v odseku 1.

 

 

 

 

Príloha 1.1 k časti 2

Podrobnosti o prevode

 

 

Exportér údajov

Exportér údajov je Zákazník definovaný v Zmluvnej dohode.

 

Importér údajov

Importér údajov je IQUALIF a je poverený spracovaním údajov a poskytovaním služieb Exportérovi údajov.

 

Subjekty údajov

Prenášané osobné údaje sa týkajú nasledujúcich kategórií dotknutých osôb:

˜' telefónnych účastníkov uvedených v univerzálnom zozname

˜ Ostatné, vrátane:

 

Kategórie údajov

Prenášané osobné údaje sa týkajú nasledujúcich kategórií údajov:

 

najmä kategórie osobných údajov dotknutých osôb vývozcu údajov,

˜' Celé meno

˜' Poštová adresa

˜' Kontaktné údaje (e-mail, telefón, IP adresa atď.)

˜' Podrobnosti o marketingových aktivitách týkajúcich sa telefónneho účastníka

˜' Ostatné, vrátane typu bývania, príjmu a priemerného veku mestom urobené anonymne

 

Špeciálne kategórie údajov (ak existujú)

Prenášané osobné údaje sa týkajú týchto osobitných kategórií údajov:

„Prenos osobitných kategórií údajov sa nepredpokladá

˜ Rasový alebo etnický pôvod

˜ Náboženské alebo filozofické presvedčenia

˜ Členstvo v odboroch

˜ Politické názory

˜ Genetické informácie

˜ Biometrické informácie

˜ Informácie o sexuálnej orientácii alebo sexuálnom živote

˜ Zdravotné údaje

 

Spracovateľské činnosti

Prenesené osobné údaje budú podliehať nasledujúcim základným spracovateľským činnostiam:

 

  •  
    • Účel spracovania

Spracovanie vykonávané v mene vývozcu údajov je založené na nasledujúcich subjektoch, najmä:

˜' Prevzatie produktov alebo služieb ponúkaných Exportérom údajov

˜' Ponuka produktu alebo služby, o ktorú môže volaná osoba požiadať

˜' Objednávky prijaté od volaných osôb a ďalšie spracovanie týchto objednávok

˜' Študijné dotazníky a analýzy

˜' Telemarketing

˜ Ostatné, vrátane:

 

  •  
    • Povaha a účel spracovania

Dovozca údajov spracúva osobné údaje dotknutých osôb v mene Vývozcu údajov za účelom poskytovania nasledujúcich služieb, a to najmä:

˜' Predaj a marketing

˜' Ostatné vrátane aktualizácie databáz radníc a politických strán

 

  •  
    • Poskytovanie služieb a zamestnávanie poskytovateľov služieb

 

IQUALIF hlavne kombinuje, centralizuje a poskytuje služby pre exportéra údajov. Služby poskytované uvedeným poskytovateľom služieb môžu byť štruktúrované (okrem iného podľa potreby) okolo nasledujúcich doplnkových služieb: (i) poskytovanie aplikácií, nástrojov, systémov a IT infraštruktúry vo vzťahu k používaným centrám spracovania údajov s cieľom poskytnúť a podporovať služby vrátane spracovania osobných údajov dotknutých osôb, ako je opísané vyššie, prostredníctvom takýchto aplikácií, nástrojov a systémov, (ii) poskytovanie IT podpory, údržby a iných služieb súvisiacich s takýmito aplikáciami, nástrojmi, systémami a IT infraštruktúru vrátane potenciálneho prístupu k osobným údajom uloženým v takýchto aplikáciách, nástrojoch a systémoch a (iii) poskytovanie služieb ochrany údajov, monitorovania ochrany a služieb reakcie na incidenty, vrátane potenciálneho prístupu k osobným údajom pri poskytovaní takýchto služieb ochrany. Spoločnosť IQUALIF môže na poskytovanie služieb vrátane doplnkových služieb zapojiť nižšie uvedených spracovateľov údajov.

 

  •  
    • • Externí poskytovatelia služieb tretích strán ako subentity pridelené na spracovanie údajov

 

IQUALIF zapája externých poskytovateľov služieb a poskytovateľov služieb tretích strán, ktorí nie sú dcérskymi spoločnosťami IQUALIF, aby podporili poskytovanie služieb Exportérovi údajov. Exportér údajov schvaľuje takýchto externých poskytovateľov služieb tretích strán ako podsubjekty pridelené na spracovanie údajov.

 

Ak sa podsubjekt zapojený do spracovania údajov nachádza mimo EÚ/EHP, v krajine, ktorá sa na základe rozhodnutia Európskej komisie považuje za krajinu, ktorá nemá primeranú úroveň ochrany údajov, dovozca údajov podnikne kroky na získanie primeranej úrovne ochrany údajov. ochranu údajov v súlade s GDPR a oddielom 3.4 (iv) časti 1.

 

 

Príloha 2, časť 2

Technické a organizačné ochranné opatrenia

 

Dovozca údajov prijme nasledujúce technické a organizačné ochranné opatrenia potvrdené vývozcom údajov, aby zaručil primeranú úroveň bezpečnosti práv a slobôd jednotlivcov v závislosti od rizík. Pri posudzovaní úrovne dotknutej ochrany vývozca údajov zohľadnil najmä riziká spojené so spracovaním, vrátane náhodného alebo nezákonného zničenia, zmeny, neoprávneného zverejnenia alebo prístupu k prenášaným, uchovávaným alebo inak spracovávaným osobným údajom. Na vysvetlenie: Tieto technické a organizačné ochranné opatrenia sa nevzťahujú na aplikácie, nástroje, systémy a/alebo IT infraštruktúru poskytovanú Exportérom údajov.

1 Všeobecné technické a organizačné ochranné opatrenia
1.1 Všeobecné informácie a stratégie ochrany údajov
Pri dodržiavaní všeobecných stratégií ochrany údajov a informácií je potrebné vykonať nasledujúce kroky:
  • a) prijať opatrenia na vyhodnotenie prijatých opatrení týkajúcich sa technickej a organizačnej ochrany;
  • b) poskytovať školenia na zvýšenie informovanosti zamestnancov;
  • c) mať popis príslušných systémov a poskytovať zamestnancom prístup;
  • d) zaviesť formálny proces dokumentácie vždy, keď sa systémy implementujú alebo upravia;
  • e) dokumentovanie organizačnej štruktúry, procesov, zodpovedností a príslušných hodnotení;
 
1.2 Organizácia ochrany informácií
Na koordináciu činností v oblasti ochrany údajov a informácií by sa mali prijať tieto opatrenia:
  • a) definované zodpovednosti za ochranu informácií a údajov (napr. prostredníctvom politiky riadenia ochrany údajov);
  • b) potrebné odborné znalosti v oblasti ochrany informácií a údajov, ktoré sú k dispozícii;
  • c) všetci zamestnanci sa zaviazali zabezpečiť dôvernosť osobných údajov a boli informovaní o možných dôsledkoch porušenia tohto záväzku.
 
1.3 Kontrola prístupu do oblastí spracovania
Aby sa zabránilo neoprávneným osobám získať prístup k systémom spracúvania údajov (najmä k softvéru a hardvéru), musia byť prijaté tieto opatrenia, keď sa spracúvajú, uchovávajú alebo prenášajú osobné údaje:
  • a) vytvoriť bezpečné oblasti;
  • b) chrániť a obmedzovať prístup k systémom spracovania údajov;
  • c) zriadiť prístupové oprávnenia pre zamestnancov a tretie strany vrátane príslušných dokumentov;
  • d) každý prístup do stredísk spracovania údajov, v ktorých sú uložené osobné údaje, sa zaprotokoluje.
 
1.4 Kontrola prístupu k systémom spracovania údajov
Aby sa zabránilo neoprávnenému prístupu do systémov spracovania údajov, musia sa prijať tieto opatrenia:
  • a) zásady a postupy overovania používateľov;
  • b) používanie hesiel na všetkých počítačových systémoch;
  • c) vzdialený prístup do siete vyžaduje viacfaktorovú autentifikáciu a udeľuje sa dotknutej osobe podľa jej povinností a na základe autorizácie;
  • d) prístup k špecifickým funkciám je založený na pracovných funkciách a/alebo atribútoch individuálne priradených k užívateľskému účtu;
  • e) prístupové práva súvisiace s osobnými údajmi sú pravidelne kontrolované;
  • f) záznamy o zmenách prístupových práv sú aktuálne.
 
1.5 Kontrola prístupu k jednotlivým oblastiam použitia systémov na spracovanie údajov
Je potrebné prijať nasledujúce opatrenia, aby sa zabezpečilo, že oprávnené osoby s právom používať systém spracovania údajov budú mať prístup k údajom iba v rámci svojich príslušných zodpovedností a prístupových oprávnení a že osobné údaje nebude možné bez povolenia čítať, kopírovať, upravovať alebo vymazávať:
  1.  
    1. a) zásady, pokyny a školenia zamestnancov týkajúce sa povinností každého z nich o dôvernosti, právach na prístup k osobným údajom a rozsahu spracúvania osobných údajov;
  • b) disciplinárne opatrenia voči osobám, ktoré neoprávnene pristupujú k osobným údajom;
  • c) prístup k osobným údajom sa poskytuje len oprávneným osobám na základe potreby poznať;
  • d) viesť zoznam správcov systému a prijať vhodné opatrenia na monitorovanie správcov systému;
  • e) nekopírovať ani nereprodukovať osobné údaje v žiadnom úložnom systéme s cieľom umožniť neoprávneným osobám odstrániť informácie o pôvodcovi;
  • f) kontrolované a zdokumentované vymazanie alebo zničenie údajov;
  • g) bezpečne uchovávať všetky osobné údaje, ktoré musia byť uchovávané z právnych alebo regulačných dôvodov (napr. povinnosti uchovávať údaje), a to len tak dlho, ako to vyžaduje zákon.
 
1.6 Ovládanie prevodoviek
Aby sa zabránilo čítaniu, kopírovaniu, úprave alebo vymazaniu osobných údajov neoprávnenými tretími stranami počas prenosu alebo prepravy zariadení na ukladanie údajov (v závislosti od vykonávaného spracovania osobných údajov), je potrebné prijať nasledujúce opatrenia:
  1.  
    1. a) používanie brán firewall;
  • b) vyhýbanie sa ukladaniu osobných údajov na mobilné pamäťové zariadenia na účely prepravy alebo šifrovanie zariadení;
  • c) používať na notebookoch a iných mobilných zariadeniach až po aktivácii šifrovacej ochrany;
  • d) protokolovanie prenosov osobných údajov.
 
1.7 Kontrola zadávania údajov
Na zabezpečenie toho, aby bolo možné overiť a určiť, či boli osobné údaje vložené do systémov spracúvania údajov alebo z nich boli vymazané a kto ich vložil, je potrebné prijať tieto opatrenia:
  1.  
    1. a) zásady povoľovania čítania, zmeny a vymazania uložených údajov;
  • b) ochranné opatrenia týkajúce sa čítania, zmeny a vymazania uložených údajov.
 
1.8 Kontrola práce
V prípade delegovaného spracúvania osobných údajov je potrebné prijať tieto opatrenia, aby sa zabezpečilo, že takéto údaje budú spracúvané v súlade s pokynmi Dozorného orgánu:
  1.  
    1. a) subjekty alebo podsubjekty poverené spracúvaním údajov, ktoré boli starostlivo vybrané (poskytovatelia služieb spracúvajúci osobné údaje v mene prevádzkovateľa);
  • b) pokyny týkajúce sa rozsahu akéhokoľvek spracúvania osobných údajov zamestnancom, subjektom alebo podsubjektom povereným spracúvaním údajov;
  • c) práva na audit dohodnuté so subjektmi alebo podsubjektmi poverenými spracúvaním údajov;
  • d) uzavreté dohody so subjektmi alebo podsubjektmi poverenými spracúvaním údajov.
 
1.9 Oddelenie od spracovania na iné účely
Aby sa zabezpečilo, že údaje zhromaždené na iné účely možno spracovať oddelene, musia sa prijať tieto opatrenia:
  1.  
    1. a) samostatný prístup k osobným údajom v súlade s existujúcimi právami používateľov;
  • b) rozhrania, dávkové spracovanie a hlásenie slúžia na iné účely a funkcie, takže údaje zozbierané na iné účely možno spracovávať oddelene.
 
1.10 Pseudonymizácia
V súvislosti s pseudonymizáciou osobných údajov je potrebné prijať tieto opatrenia:
  1.  
    1. a) Ak si vývozca údajov objedná konkrétnu spracovateľskú operáciu alebo ak to dovozca údajov považuje za vhodné v súlade s platnými zákonmi o ochrane údajov týkajúcich sa určitých spracovateľských činností, spracúvanie osobných údajov bude prebiehať tak, že údaje už nie je možné priradiť konkrétnej osobe bez použitia dodatočných informácií. Tieto dodatočné informácie budú uchovávané oddelene;
  • b) používanie pseudonymizačných techník vrátane randomizácie prideľovacieho zoznamu; vytváranie hodnôt vo forme ostrých predmetov.
 
1.11 Šifrovanie

Na zašifrovanie osobných údajov v aplikáciách a prenosoch, ktoré podporujú šifrovanie, je potrebné vykonať nasledujúce kroky:

  1.  
    1. a) používanie šifrovacích techník;
  • b) zavedenie správy šifrovania na podporu šifrovacích techník, ktoré sa majú používať;
  • c) podpora používania kryptografie prostredníctvom postupov a protokolov na generovanie, úpravu, zrušenie, ničenie, distribúciu, certifikáciu, ukladanie, zachytávanie, používanie a archiváciu kryptografických kľúčov na ochranu pred neoprávnenou úpravou a zverejnením.
 
1.12 Úplnosť systémov a služieb spracovania údajov
Na zabezpečenie úplnosti systémov a služieb spracovania údajov je potrebné prijať tieto opatrenia:
  1. a) ochrana systémov spracovania údajov pred manipuláciou alebo zničením vhodnými prostriedkami (napr. antivírusový softvér, softvér na zamedzenie straty údajov a softvér proti malvéru, softvérové ​​záplaty, brány firewall a riadená ochrana pracovnej plochy);
  • b) zakázať inštaláciu akejkoľvek služby alebo softvéru škodlivého pre systémy spracovania údajov, služby alebo manipuláciu s osobnými údajmi;
  • c) použitie systému detekcie a prevencie narušenia siete v štruktúre samotnej siete.
 
1.13 Dostupnosť systémov a služieb spracovania údajov a možnosť obnovenia prístupu k osobným údajom a ich používania v prípade materiálneho alebo technického incidentu
Na zabezpečenie dostupnosti systémov spracovania údajov, ako aj na rýchle obnovenie dostupnosti osobných údajov a prístupu k nim v prípade materiálneho alebo technického incidentu je potrebné prijať nasledujúce opatrenia (najmä zabezpečením toho, aby osobné údaje sú chránené pred náhodným zničením alebo stratou):
  • a) mať prostriedky kontroly na uchovávanie záložných kópií a obnovu stratených alebo vymazaných údajov;
  • b) nadbytočnosť infraštruktúry a testovanie výkonnosti;
  • c) fyzická ochrana počítačových zdrojov;
  • d) používanie nástrojov na monitorovanie stavu a dostupnosti vnútornej siete;
  • e) zásady hlásenia a reakcie na incidenty, ktorými sa riadi postup riadenia incidentov, a opakovanie dodržiavania týchto zásad ako súčasť pravidelného školenia;
  • f) zálohy (niekedy mimo lokality) na obnovenie systému, aby mohol znova vykonávať svoje funkcie;
  • g) plány na zabezpečenie kontinuity prevádzky/obnovy po havárii
 
1.14 Odolnosť systémov a služieb na spracovanie údajov
Na zabezpečenie odolnosti systémov a služieb spracovania údajov sa musia prijať tieto opatrenia:
  • a) systémy a sú harmonicky nakonfigurované s použitím schválených bezpečnostných parametrov;
  • b) redundancia siete;
  • c) ochrana kritických systémov kontajnmentom.
 
1.15 Postup pri pravidelnom testovaní, vyhodnocovaní a posudzovaní účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracovania údajov
Postup pravidelného testovania, vyhodnocovania a posudzovania účinnosti technických a organizačných opatrení na ochranu spracúvania údajov.
  • a) prijať potrebné kroky na posúdenie rizík a stratégií na ich zmiernenie;
  • b) servisné analytické stretnutia oddelenia IT na riešenie aktuálnych problémov;
  • c) plány na zabezpečenie kontinuity prevádzky/obnovy po katastrofe sa pravidelne aktualizujú.

 

Časť 3

Podpisy strán a zoznam dovozcov údajov

 

Keď vyplníte online objednávkový formulár a potvrdíte ho zaškrtnutím políčka súhlasu so všeobecnými podmienkami používania, vzniká zmluva, ktorou sa riadi vzťah medzi zákazníkom a IQUALIF.

Odoslanie platby IQUALIF bude považovať zmluvu za dohodnutú a uzavretú.


Poznámka: Tento text bol preložený z francúzštiny. Pôvodná francúzska verzia, ktorá je platná a právne obmedzujúca, je dostupná tu .