Tento dodatek tvoří nedílnou součást smlouvy a uzavírá jej:
Každý z nich je „ strana “ a obvykle „ strana “.
Preambule
KDE importér údajů poskytuje profesionální softwarové služby, počítačové a související služby (jako jsou prohlížeče s pokročilými funkcemi vyhledávání);
KDE na základě Smlouvy dovozce dat souhlasil s poskytováním služeb uvedených ve Smlouvě vývozci dat (dále jen „ Služby “);
KDE poskytováním Služeb dovozce údajů získává nebo má prospěch z přístupu k informacím vývozce údajů nebo informacím jiných osob, které mají (potenciální) vztah s vývozcem údajů, mohou být takové informace kvalifikovány jako osobní údaje ve smyslu nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „ GDPR “) a dalšími platnými zákony na ochranu osobních údajů.
KDE tento dodatek obsahuje podmínky, které se vztahují na shromažďování, zpracování a používání těchto osobních údajů dovozcem údajů v jeho postavení oprávněného zástupce pro zpracování údajů vývozce údajů, aby bylo zajištěno, že strany dodržují platné zákony na ochranu údajů .
PROTO, a aby Strany mohly pokračovat ve vztahu v souladu se zákonem, uzavřely Strany tento Dodatek takto:
Část 1
1. Struktura dokumentu a definice
1.1 Struktura
Tento dodatek se skládá z následujících částí:
Část 1: | obsahuje obecná ustanovení, např. týkající se definic použitých v tomto dodatku, souladu s místními zákony, načasování a ukončení
|
Část 2: | obsahuje tělo nezměněného dokumentu Standardní smluvní doložky
|
Dodatek 1.1 části 2: | obsahuje podrobnosti o operacích zpracování, které dovozce údajů poskytl vývozci údajů jako oprávněnému zástupci zpracování údajů (včetně zpracování, povahy a účelu zpracování, typu osobních údajů a kategorií subjektů údajů) podle tohoto slepé střevo
|
Dodatek 2 části 2: | obsahuje popis technických a organizačních bezpečnostních opatření dovozce údajů, která jsou uplatňována v souvislosti se všemi činnostmi zpracování popsanými v příloze 1.1 části 2.
|
Část 3: | obsahuje podpisy stran, které mají být vázány tímto dodatkem, a identifikuje každého dovozce údajů
|
1.2 Terminologie a definice
Pro účely tohoto dodatku platí terminologie a definice používané v GDPR (v těle dokumentu Standardní smluvní doložka v části 2, kde definované pojmy nejsou velkými písmeny).
"Členský stát" | znamená zemi patřící do Evropské unie nebo Evropského hospodářského prostoru
|
"Zvláštní kategorie (osobních) údajů" | jde o osobní údaje prozrazující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech a dále genetické údaje, biometrické údaje, pokud jsou zpracovávány za účelem jednoznačné identifikace osoby, údaje o zdraví, údaje o pohlaví osoby život nebo sexuální orientaci
|
"Standardní smluvní doložky" | se rozumí Standardní smluvní doložky pro předávání osobních údajů zpracovatelů usazených ve třetích zemích podle rozhodnutí Komise 2010/87/EU ze dne 5. února 2010, které bylo změněno prováděcím rozhodnutím Komise (EU) 2016/2297 ze dne 16. prosince 2016
|
“Zpracovatel dat”. | znamená jakýkoli zpracovatel nacházející se v EU/EHP nebo mimo ni, který souhlasí s tím, že od dovozce údajů nebo jiného zpracovatele dovozce údajů obdrží osobní údaje výhradně pro účely zpracování, které má vývozce údajů provést po převod v souladu s pokyny Exportéra dat, podmínkami tohoto dodatku a smlouvou s importérem dat
|
2. Povinnosti Exportéra dat
2.1 Vývozce údajů má povinnost zajistit dodržování všech příslušných povinností podle GDPR a jakýchkoli dalších platných zákonů o ochraně údajů, které se na Vývozce údajů vztahují, a prokázat takové dodržování, jak vyžaduje čl. 5 odst. 2 GDPR. Vývozce údajů zaručuje, že dovozce údajů získal předchozí souhlas subjektů údajů v souladu s čl. 6 písm. a) GDPR a splnil svou povinnost informovat subjekty údajů v souladu s čl. 13 a 14 GDPR.
2.2 Vývozce údajů musí dovozci údajů poskytnout příslušné soubory činností zpracování v souladu s čl. 30 odst. 1 GDPR související se službami podle tohoto dodatku, a to v rozsahu nezbytném k tomu, aby dovozce údajů splnil povinnost podle čl. 30 odst. 2 GDPR.
2.3 Vývozce údajů musí jmenovat pověřence nebo zástupce pro ochranu údajů v rozsahu požadovaném platnými zákony o ochraně údajů. Vývozce údajů je povinen poskytnout dovozci údajů kontaktní údaje zástupce nebo zástupce pro ochranu údajů, pokud existuje.
2.4. Exportér údajů před dokončením zpracování akceptací tohoto dodatku potvrzuje, že technická a organizační bezpečnostní opatření dovozce údajů, jak jsou uvedena v příloze 2 k části 2, jsou vhodná a dostatečná k ochraně práv subjektu údajů a potvrzuje, že dovozce údajů poskytuje v tomto ohledu dostatečné záruky.
3. Soulad s místními zákony
Aby byly splněny požadavky na implementaci zpracovatelů podle článku 28 GDPR, platí následující změny:
3.1 Pokyny
3.2 Povinnosti dovozce údajů
3.3 Práva dotčených osob
3.4 Dílčí zpracování
3.5 Vypršení platnosti
Doba platnosti této přílohy je shodná s datem vypršení platnosti příslušné Smlouvy. Pokud není v tomto dodatku stanoveno jinak, práva a povinnosti související s ukončením smlouvy jsou stejné jako ty, které jsou obsaženy ve smlouvě.
4. Omezení odpovědnosti
4.1 Každá strana plní své povinnosti podle tohoto dodatku a platných právních předpisů o ochraně údajů.
4.2 Jakákoli odpovědnost související s porušením povinností podle tohoto dodatku nebo platných právních předpisů o ochraně údajů bude podléhat a řídit se ustanoveními o odpovědnosti uvedenými ve smlouvě nebo platnými pro tuto smlouvu, pokud není v tomto dodatku stanoveno jinak. Pokud se odpovědnost řídí ustanoveními o odpovědnosti uvedenými ve Smlouvě nebo se na ni vztahují, pro výpočet limitů odpovědnosti nebo určování použití jiných omezení odpovědnosti, bude se mít za to, že jakákoli odpovědnost vyplývající z tohoto dodatku vzniká na základě Smlouvy.
5. Obecná ustanovení
5.1 Vyskytnou-li se nějaké nesrovnalosti nebo nesrovnalosti mezi částmi 1 a 2 tohoto dodatku, má přednost část 2. Konkrétně i v takovém případě zůstává v platnosti část 1, která jde jednoduše nad rámec části 2 (tj. podmínky standardních klauzulí), aniž by jí byla v rozporu.
5.2 Vyskytne-li se jakýkoli rozpor mezi ustanoveními tohoto dodatku a ustanoveními jiných smluv zavazujících strany, má tento dodatek přednost, pokud jde o povinnosti stran v oblasti ochrany údajů. V případě pochybností o tom, zda se ustanovení jiných smluv týkají povinností stran ochrany údajů, má přednost tento dodatek.
5.3 Pokud je kterékoli ustanovení tohoto dodatku neplatné nebo nevymahatelné, zbývající část tohoto dodatku zůstane v plné platnosti a účinnosti. Neplatné nebo nevymahatelné ustanovení bude (i) změněno tak, aby byla zajištěna jeho platnost a vymahatelnost, přičemž bude pokud možno zachován úmysl stran, nebo – pokud to není možné – (ii) bude interpretováno tak, jako by neplatná nebo nevymahatelná část měla nikdy nebylo součástí smlouvy. Výše uvedené platí také v případě, že je v tomto dodatku opomenuto.
5.5 Strany mohou v nezbytném rozsahu požadovat změny části 1, článku 3 (soulad s místním právem) nebo jiných částí dodatku, aby byly v souladu s výklady, směrnicemi nebo příkazy vydanými příslušnými orgány Unie nebo Členské státy, vnitrostátní ustanovení o prosazování nebo jakýkoli jiný právní vývoj týkající se GDPR nebo jiných podmínek delegování na jakékoli subjekty zapojené do zpracování údajů a konkrétně pokud jde o použití Standardních smluvních doložek v GDPR. Podmínky Standardních smluvních doložek nelze měnit ani nahrazovat, pokud to Evropská komise výslovně neschválí (např. novými adekvátními doložkami a standardy ochrany údajů).
5.6 Jakýkoli odkaz v tomto Dodatku na „Články“ se rozumí odkazem na všechna ustanovení tohoto Dodatku, pokud není uvedeno jinak.
5.7 Volba práva v části 2, článku 9 se vztahuje na celou Smlouvu.
6. Osobní údaje přenášené a zpracovávané stranami pro osobní účely (přenos od správce údajů správci údajů)
6.1 Strany si jsou plně vědomy toho, že určité osobní údaje budou předány vývozcem údajů dovozci údajů a naopak a že tyto údaje každá smluvní strana zpracovává pro své vlastní účely. Pokud jde o tyto osobní údaje, nemají vliv na ostatní ustanovení tohoto dodatku (kromě tohoto bodu 6).
6.2 Vývozce údajů může předávat osobní údaje týkající se zaměstnanců dovozce údajů dovozci údajů, včetně informací o bezpečnostních incidentech, nebo jakýchkoli jiných dokumentů nebo souborů vytvořených nebo zřízených vývozcem údajů v souvislosti se službami poskytovanými zaměstnanci společnosti importér dat. Dovozce údajů může zpracovávat tyto osobní údaje pro své vlastní účely, zejména v rámci svých profesionálních vztahů s pracovníky dovozce údajů, pro kontrolu kvality a školení nebo pro obchodní účely.
6.3. Dovozce údajů může vývozci údajů předávat osobní údaje, včetně jména a kontaktních údajů zaměstnanců dovozce údajů. Exportér údajů může zpracovávat tyto osobní údaje pro své vlastní účely.
6.4 Obě strany budou při shromažďování, zpracovávání a používání takových osobních údajů obdržených od druhé strany podle odstavce 1 části 1 dodržovat veškeré platné zákony na ochranu údajů, včetně GDPR. Obě strany zejména přijmou odpovídající bezpečnostní opatření a zajistí podobnou úroveň ochrany jako bezpečnostní opatření stanovená v dodatku 2 části 2. Jakýkoli přístup k těmto osobním údajům je omezen na potřebu je znát.
6.5 Obě strany musí tyto osobní údaje vymazat co nejdříve po dosažení cílů.
Část 2
ROZHODNUTÍ KOMISE
dne 5. února 2010
o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům údajů usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES
Ustanovení 1
Definice
Ve smyslu ustanovení:
a) „osobní údaje“, „zvláštní kategorie údajů“, „zpracování/zpracování“, „správce“, „zpracovatel“, „subjekt údajů“ a „dozorový orgán“ mají stejný význam jako v 95/46/ES směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob při zpracování osobních údajů ao volném pohybu těchto údajů (1);
b) „vývozcem údajů“ je správce údajů přenášející osobní údaje;
c) „Dovozce údajů“ je zpracovatel údajů, který souhlasí s tím, že od vývozce údajů obdrží osobní údaje, které mají být zpracovány jménem vývozce údajů po předání v souladu s jeho pokyny a podle podmínek těchto článků, a který není s výhradou mechanismu třetí země zajišťující přiměřenou ochranu ve smyslu čl. 25 odst. 1 směrnice 95/46/ES; (d) „Zpracovatel údajů“ znamená zpracovatele údajů najatý dovozcem údajů nebo jakýmkoli jiným zpracovatelem údajů dovozce údajů, který souhlasí s tím, že od dovozce údajů nebo jiného zpracovatele údajů dovozce údajů obdrží osobní údaje výhradně za účelem zpracování být provedeny jménem Exportéra dat po převodu v souladu s pokyny Exportéra dat,
e) „platnými právními předpisy na ochranu údajů“ právní předpisy na ochranu základních práv a svobod fyzických osob, včetně práva na soukromí, pokud jde o zpracování osobních údajů, a které se vztahují na správce v členském státě, kde je vývozce údajů usazen;
f) „technickými a organizačními opatřeními týkajícími se bezpečnosti“ se rozumí opatření určená k ochraně osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů po sítích, a proti všechny další nezákonné formy zpracování.
Ustanovení 2
Podrobnosti převodu
Podrobnosti o předání, případně včetně zvláštních kategorií osobních údajů, jsou uvedeny v dodatku 1, který tvoří nedílnou součást těchto doložek.
Ustanovení 3
Doložka o oprávněné třetí straně
1. Subjekt údajů může vůči vývozci údajů vymáhat tento článek, článek 4(b) až (i), článek 5(a) až (e) a (g) až (j), článek 6 (1) a (2) ), článek 7, článek 8(2) a články 9 až 12 jako oprávněná třetí strana
2. Subjekt údajů může vymáhat tento článek, článek 5 (a) až (e) a (g), článek 6, článek 7, článek 8 (2) a články 9 až 12 vůči dovozci údajů, pokud má vývozce údajů fyzicky zanikla nebo zanikla ze zákona, ledaže všechny jeho zákonné povinnosti byly smluvně nebo ze zákona převedeny na nástupnický subjekt, na který se tedy práva a povinnosti vývozce dat vracejí a vůči němuž údaje subjekt tedy může uvedené doložky vynutit.
Subjekt údajů může vymáhat tento článek, článek 5 (a) až (e) a (g), článek 6, článek 7, článek 8 (2) a články 9 až 12 vůči zpracovateli údajů, ale pouze v případech, kdy údaje Vývozce a dovozce údajů fyzicky zmizeli, ze zákona přestali existovat nebo se dostali do platební neschopnosti, pokud všechny právní povinnosti vývozce údajů nepřešly smlouvou nebo ze zákona na právního nástupce, na kterého práva a povinnosti vývozce údajů jsou tedy svěřeny a vůči komu může subjekt údajů takové doložky vymáhat. Tato odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti podle těchto článků.
4. Strany nemají námitky proti tomu, aby byl subjekt údajů zastupován sdružením nebo jiným orgánem, pokud si to přeje a pokud to vnitrostátní právo umožňuje.
Ustanovení 4
Povinnosti Exportéra dat
Exportér dat přijímá a zaručuje následující:
a) zpracování, včetně samotného předávání osobních údajů, bylo a nadále bude prováděno v souladu s příslušnými ustanoveními platných právních předpisů o ochraně údajů (a případně bylo oznámeno příslušným orgánům členského státu ve kterém má vývozce údajů sídlo) a neporušuje příslušná ustanovení tohoto státu;
b) daly a po dobu poskytování služeb zpracování osobních údajů nařídí dovozci údajů, aby zpracovával předané osobní údaje výhradně jménem vývozce údajů a v souladu s platnými právními předpisy o ochraně údajů a těmito doložkami;
c) Dovozce údajů poskytne dostatečné záruky týkající se technických a organizačních bezpečnostních opatření uvedených v Příloze 2 této smlouvy;
d) po vyhodnocení požadavků platných právních předpisů na ochranu údajů jsou bezpečnostní opatření přiměřená k ochraně osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů prostřednictvím sítě a proti všem dalším nezákonným formám zpracování a zajistit úroveň zabezpečení odpovídající rizikům, která představuje zpracování a povaha údajů, které mají být chráněny, s ohledem na úroveň technologie a náklady na implementaci;
e) zajistí dodržování bezpečnostních opatření;
f) pokud se předání týká zvláštních kategorií údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve po předání, že jeho údaje mohou být předány do třetí země, která nenabízí odpovídající úroveň ochrany ve smyslu směrnice 95/46/ES;
g) zašlou jakékoli oznámení obdržené od dovozce údajů nebo jakéhokoli zpracovatele údajů podle článků 5 (b) a 8 (3) orgánu dozoru pro ochranu údajů, pokud se rozhodne pokračovat v předávání nebo zrušit jeho pozastavení;
h) zpřístupní subjektům údajů, pokud o to požádají, kopii těchto doložek, s výjimkou dodatku 2, a souhrnný popis bezpečnostních opatření a kopii jakékoli další subdodavatelské smlouvy uzavřené podle těchto doložek, pokud Doložky nebo dohoda obsahují obchodní informace, v takovém případě může tyto informace stáhnout;
i) v případě subdodávky zpracování údajů je činnost zpracování prováděna v souladu s článkem 11 zpracovatelem údajů, který poskytuje minimálně stejnou úroveň ochrany osobních údajů a práv subjektu údajů jako dovozce údajů podle těchto článků ; a
j) zajistí soulad s článkem 4 (a) až (i).
Ustanovení 5
Povinnosti dovozce údajů
Importér údajů přijímá a zaručuje následující:
a) bude zpracovávat osobní údaje pouze jménem Exportéra dat a podle pokynů Exportéra dat a těchto doložek; pokud nemůže z jakéhokoli důvodu vyhovět, souhlasí s tím, že o své neschopnosti co nejdříve informují vývozce údajů, v takovém případě může vývozce údajů pozastavit přenos údajů a/nebo ukončit smlouvu;
b) nemají důvod se domnívat, že právo, které se na ně vztahuje, mu brání v plnění pokynů daných vývozcem údajů a povinností, které pro něj vyplývají ze smlouvy, a pokud takové právo podléhá změně, která by mohla mít podstatnou nevýhodu s dopadem na záruky a povinnosti podle doložek, oznámí změnu vývozci dat neprodleně poté, co se o ní dozví, v takovém případě může vývozce dat pozastavit přenos dat a/nebo ukončit smlouvu; c) před zpracováním předávaných osobních údajů provedli technická a organizační bezpečnostní opatření uvedená v dodatku 2;
d) bezodkladně oznámí vývozci údajů:
i) jakákoli závazná žádost orgánu činného v trestním řízení o zpřístupnění osobních údajů, není-li stanoveno jinak, např. trestní zákaz zaměřený na zachování mlčenlivosti policejního vyšetřování;
ii) jakýkoli náhodný nebo neoprávněný přístup; a
iii) jakékoli žádosti obdržené přímo od dotčených osob, aniž by na ni odpověděly, pokud k tomu nebyly oprávněny; správci
e) bude neprodleně a řádně vyřizovat veškeré dotazy vývozce údajů týkající se jeho zpracování předávaných osobních údajů a bude jednat podle názoru dozorového úřadu ohledně zpracování předávaných údajů;
f) na žádost vývozce údajů podrobí jeho zařízení pro zpracování údajů auditu činností zpracování, na které se vztahují tyto doložky, který provede vývozce údajů nebo dozorčí orgán složený z nezávislých členů s požadovanou odbornou kvalifikací, podléhá povinnosti mlčenlivosti a je vybrán vývozcem údajů, případně se souhlasem dozorového úřadu;
g) zpřístupní subjektu údajů, pokud o to požádá, kopii těchto doložek nebo jakékoli existující subdodavatelské smlouvy o zpracování údajů, pokud doložky nebo smlouva neobsahují obchodní informace, v takovém případě může takové doložky odstranit informace s výjimkou Přílohy 2, která bude nahrazena souhrnným popisem bezpečnostních opatření, pokud subjekt údajů nemůže získat kopii od Exportéra údajů;
h) v případě důvěrných dalších subdodávek zpracování údajů zajistí, aby o tom předem informoval vývozce údajů a získal písemný souhlas vývozce údajů;
i) služby zpracování poskytované zpracovatelem údajů budou v souladu s článkem 11;
j) neprodleně zašlou kopii jakékoli subdodavatelské smlouvy o zpracování údajů, kterou uzavřel podle těchto článků, vývozci údajů.
Ustanovení 6
Odpovědnost
1. Strany se dohodly, že jakýkoli subjekt údajů, který utrpěl škodu v důsledku porušení povinností uvedených v článku 3 nebo článku 11 jednou ze stran nebo zpracovatelem údajů, může od vývozce údajů získat náhradu za utrpěnou škodu.
2. Pokud je subjektu údajů bráněno podat žalobu na náhradu škody podle odstavce 1 proti vývozci údajů za to, že dovozce údajů nebo jeho zpracovatel údajů nesplní některou ze svých povinností podle článku 3 nebo článku 11, protože údaje Vývozce fyzicky zmizel, přestal existovat ze zákona nebo se stal insolventním, Dovozce údajů souhlasí s tím, že subjekt údajů může proti němu podat stížnost, jako by to byl Vývozce údajů, pokud nebyly převedeny všechny zákonné povinnosti Vývozce údajů smluvně. nebo ze zákona svému nástupnickému subjektu, vůči kterému pak může subjekt údajů uplatňovat svá práva. Dovozce údajů se nemůže spoléhat na porušení svých povinností ze strany zpracovatele údajů, aby se vyhnul své vlastní odpovědnosti.
3. Pokud subjektu údajů brání podat žalobu uvedenou v odstavcích 1 a 2 proti vývozci údajů nebo dovozci údajů kvůli porušení povinností zpracovatele údajů podle článku 3 nebo článku 11, protože vývozce údajů a dovozce údajů fyzicky zmizely, přestaly existovat ze zákona nebo se staly insolventní, zpracovatel údajů souhlasí s tím, že subjekt údajů může proti němu podat stížnost týkající se jeho vlastních činností zpracování v souladu s těmito ustanoveními, jako by byl vývozcem údajů nebo dovozcem údajů, pokud zákonné povinnosti vývozce nebo dovozce údajů přešly smlouvou nebo ze zákona na právního nástupce, u kterého pak může subjekt údajů uplatňovat svá práva.Odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti v souladu s těmito články.
Ustanovení 7
Zprostředkování a jurisdikce
1. Dovozce údajů souhlasí s tím, že pokud se subjekt údajů podle doložek dovolá vůči němu práva oprávněné třetí strany a/nebo bude požadovat náhradu za utrpěnou újmu, bude akceptovat rozhodnutí subjektu údajů:
a) předložit spor k mediaci nezávislé osobě nebo případně dozorovému orgánu;
b) předložit spor soudům členského státu, kde sídlí vývozce údajů.
2. Strany se dohodly, že volba učiněná subjektem údajů neovlivní procesní nebo hmotné právo subjektu údajů získat nápravu v souladu s jinými ustanoveními vnitrostátního nebo mezinárodního práva.
Ustanovení 8
Spolupráce s dozorovými orgány
1. Exportér dat souhlasí s uložením kopie této smlouvy u dozorového úřadu, pokud to dozorový úřad vyžaduje nebo pokud takové uložení stanoví platný zákon o ochraně údajů.
2. Strany se dohodly, že dozorový úřad může provádět kontroly u Dovozce údajů a kteréhokoli zpracovatele údajů ve stejném rozsahu a za stejných podmínek jako u kontrol prováděných u Exportéra údajů v souladu s platnými právními předpisy o ochraně údajů.
3. Dovozce údajů co nejdříve informuje vývozce údajů o existenci právních předpisů týkajících se dovozce údajů nebo jakéhokoli zpracovatele údajů, které brání ověření u dovozce údajů nebo jakéhokoli zpracovatele údajů v souladu s odstavcem 2. V takovém případě Vývozce údajů může přijmout opatření stanovená v ustanovení 5 písm. b).
Ustanovení 9
Aplikované právo
Ustanovení platí a řídí se právem členského státu, ve kterém má vývozce údajů sídlo.
Ustanovení 10
Úprava smlouvy
Strany se zavazují, že nebudou měnit tato ustanovení. Strany mohou zahrnout další obchodní doložky, které považují za nezbytné, za předpokladu, že nejsou v rozporu s těmito doložkami.
Ustanovení 11
Následné subdodávky
1. Dovozce údajů nezadá žádnou ze svých zpracovatelských činností prováděných jménem vývozce údajů podle těchto doložek bez předchozího písemného souhlasu vývozce údajů. Dovozce údajů zadá své povinnosti podle těchto článků pouze se souhlasem vývozce údajů prostřednictvím písemné dohody se zpracovatelem údajů, která ukládá zpracovateli údajů stejné povinnosti, jaké jsou uloženy dovozci údajů podle těchto článků. Pokud zpracovatel údajů nemůže splnit své povinnosti v oblasti ochrany údajů podle této písemné smlouvy, zůstává dovozce údajů plně odpovědný vývozci údajů za splnění těchto povinností.
2. Předchozí písemná dohoda mezi dovozcem údajů a zpracovatelem údajů bude rovněž obsahovat ustanovení o oprávněnosti třetí strany, jak je uvedeno v článku 3 pro případy, kdy je subjektu údajů bráněno uplatnit nárok na náhradu škody podle článku 6 (1). ), vůči exportérovi dat nebo importérovi dat, protože exportér nebo importér dat fyzicky zmizel, přestal existovat ze zákona nebo se stal insolventním a všechny právní povinnosti exportéra nebo importéra dat nebyly převedeny smlouvou nebo operací zákona na jiný nástupnický subjekt. Odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti v souladu s těmito články.
3. Ustanovení týkající se aspektů ochrany údajů u subdodávek zpracování údajů smlouvy uvedené v odstavci 1 se řídí právem členského státu, ve kterém je vývozce údajů usazen.
4. Vývozce údajů vede seznam subdodavatelských smluv o zpracování údajů uzavřených podle těchto článků a oznámených dovozcem údajů v souladu s článkem 5 písm. j), který bude aktualizován alespoň jednou ročně. Tento seznam bude zpřístupněn dozorčímu orgánu pro ochranu údajů vývozce údajů.
Ustanovení 12
Povinnost po ukončení služeb zpracování osobních údajů
1. Strany se dohodly, že po dokončení služeb zpracování údajů dovozce údajů a zpracovatel údajů, podle přání vývozce údajů, vrátí veškeré přenesené osobní údaje a jejich kopie vývozci údajů, nebo všechna taková data zničí a poskytnou důkaz zničení vývozci údajů, pokud právní předpisy uložené dovozci údajů nebrání vrátit nebo zničit všechny nebo část přenesených osobních údajů. V takovém případě se dovozce údajů zaručuje, že zajistí důvěrnost předávaných osobních údajů a že údaje již nebude aktivně zpracovávat.
2. Dovozce údajů a zpracovatel údajů zajistí, že pokud o to vývozce údajů a/nebo dozorový orgán požádá, podrobí své prostředky zpracování údajů ověření opatření uvedených v odstavci 1.
Dodatek 1.1 k části 2
Podrobnosti převodu
Exportér dat
Exportérem dat je Zákazník definovaný ve Smluvní dohodě.
Importér dat
Importér dat je IQUALIF a je pověřen zpracováním dat a poskytováním služeb exportérovi dat.
Subjekty údajů
Předávané osobní údaje se týkají následujících kategorií subjektů údajů:
˜' telefonní účastníci uvedení v univerzálním seznamu
˜ Ostatní, včetně:
Kategorie dat
Předávané osobní údaje se týkají následujících kategorií údajů:
kategorie osobních údajů zejména subjektů údajů vývozce údajů,
˜' Celé jméno
˜' Poštovní adresa
˜' Kontaktní údaje (e-mail, telefon, IP adresa atd.)
˜' Podrobnosti o marketingových aktivitách týkajících se telefonního účastníka
˜' Ostatní, včetně typu bydlení, příjmu a průměrného věku městem provedené anonymně
Zvláštní kategorie údajů (pokud existují)
Předávané osobní údaje se týkají následujících zvláštních kategorií údajů:
„Přenos zvláštních kategorií údajů se nepředpokládá
˜ Rasa nebo etnický původ
˜ Náboženské nebo filozofické přesvědčení
˜ Členství v odborech
˜ Politické názory
˜ Genetické informace
˜ Biometrické informace
˜ Informace o sexuální orientaci nebo sexuálním životě
˜ Údaje o zdraví
Zpracovatelské činnosti
Předávané osobní údaje budou předmětem následujících základních činností zpracování:
Zpracování prováděné jménem Exportéra údajů je založeno na následujících subjektech, zejména:
˜' Převzetí odpovědnosti za produkty nebo služby nabízené Exportérem dat
˜' Nabídka produktu nebo služby, kterou může volaná osoba požadovat
˜' Příkazy přijaté od volaných osob a další zpracování těchto příkazů
˜' Studujte dotazníky a analýzy
˜' Telemarketing
˜ Ostatní, včetně:
Dovozce údajů zpracovává osobní údaje subjektů údajů jménem Exportéra údajů za účelem poskytování následujících služeb, a to zejména:
˜' Prodej a marketing
˜' Ostatní, včetně aktualizace databází radnic a politických stran
IQUALIF především kombinuje, centralizuje a poskytuje služby pro exportéra dat. Služby poskytované uvedeným poskytovatelem služeb mohou být strukturovány (mimo jiné podle potřeby) kolem následujících doplňkových služeb: (i) poskytování aplikací, nástrojů, systémů a IT infrastruktury ve vztahu k používaným centrům zpracování dat za účelem poskytování a podpora služeb, včetně zpracování osobních údajů subjektů údajů, jak je popsáno výše, prostřednictvím takových aplikací, nástrojů a systémů, (ii) poskytování IT podpory, údržby a dalších služeb souvisejících s těmito aplikacemi, nástroji, systémy a IT infrastrukturu, včetně potenciálního přístupu k osobním údajům uloženým v takových aplikacích, nástrojích a systémech, a (iii) poskytování služeb ochrany dat, monitorování ochrany a služeb reakce na incidenty, včetně potenciálního přístupu k osobním údajům při poskytování takových služeb ochrany. IQUALIF může k poskytování služeb, včetně doplňkových služeb, zapojit níže uvedené zpracovatele údajů.
IQUALIF zapojuje externí poskytovatele služeb a poskytovatele služeb třetích stran, kteří nejsou dceřinými společnostmi IQUALIF, na podporu poskytování služeb Exportérovi dat. Exportér dat schvaluje takové externí poskytovatele služeb třetích stran jako dílčí subjekty přiřazené ke zpracování dat.
Pokud se podsubjekt zapojený do zpracování údajů nachází mimo EU/EHP, v zemi, která se podle rozhodnutí Evropské komise nepovažuje za přiměřenou úroveň ochrany údajů, učiní dovozce údajů kroky k získání odpovídající úrovně ochrany údajů. ochrana údajů v souladu s GDPR a oddílem 3.4 (iv) části 1.
Příloha 2, část 2
Technická a organizační ochranná opatření
Dovozce údajů přijme následující technická a organizační ochranná opatření potvrzená vývozcem údajů, aby byla zaručena přiměřená úroveň zabezpečení práv a svobod fyzických osob v závislosti na rizicích. Při posuzování dotčené úrovně ochrany vývozce dat zvažoval zejména rizika spojená se zpracováním, včetně náhodného nebo nezákonného zničení, pozměňování, neoprávněného zveřejnění nebo přístupu k přenášeným, uchovávaným nebo jinak zpracovávaným osobním údajům. Upřesnění: Tato technická a organizační ochranná opatření se nevztahují na aplikace, nástroje, systémy a/nebo IT infrastrukturu poskytovanou Exportérem dat.
1 Obecná technická a organizační ochranná opatření |
1.1 Obecné informace a strategie ochrany údajů |
Pro dodržení obecných strategií ochrany dat a informací je třeba podniknout následující kroky: |
|
|
|
|
|
1.2 Organizace ochrany informací |
Za účelem koordinace činností v oblasti ochrany údajů a informací by měla být přijata následující opatření: |
|
|
|
1.3 Řízení přístupu do oblastí zpracování |
Aby se zabránilo neoprávněným osobám získat přístup k systémům zpracování údajů (zejména k softwaru a hardwaru), je třeba přijmout následující opatření, když jsou osobní údaje zpracovávány, ukládány nebo přenášeny: |
|
|
|
|
1.4 Kontrola přístupu k systémům zpracování dat |
Aby se zabránilo neoprávněnému přístupu do systémů zpracování údajů, je třeba přijmout následující opatření: |
|
|
|
|
|
|
1.5 Řízení přístupu k jednotlivým oblastem použití systémů zpracování dat |
Je třeba přijmout následující opatření, aby bylo zajištěno, že oprávněné osoby s právem používat systém zpracování údajů budou mít přístup k údajům pouze v rámci svých příslušných povinností a oprávnění k přístupu a že osobní údaje nebude možné bez oprávnění číst, kopírovat, upravovat nebo mazat: |
|
|
|
|
|
|
|
1.6 Ovládání převodovek |
Aby se zabránilo čtení, kopírování, úpravě nebo vymazání osobních údajů neoprávněnými třetími stranami během přenosu nebo přepravy zařízení pro ukládání dat (v závislosti na prováděném zpracování osobních údajů), je třeba přijmout následující opatření: |
|
|
|
1.7 Kontrola zadávání dat |
Aby bylo zajištěno, že bude možné ověřit a určit, zda byly osobní údaje vloženy do systémů zpracování údajů nebo z nich byly vymazány a kým, je třeba přijmout následující opatření: |
|
|
1.8 Kontrola práce |
V případě pověřeného zpracování osobních údajů je třeba přijmout následující opatření, aby bylo zajištěno, že tyto údaje budou zpracovávány v souladu s pokyny Správce: |
|
|
|
|
1.9 Oddělení od zpracování pro jiné účely |
Aby bylo zajištěno, že údaje shromážděné pro jiné účely lze zpracovávat odděleně, je třeba přijmout následující opatření: |
|
|
1.10 Pseudonymizace |
Ohledně pseudonymizace osobních údajů je třeba přijmout následující opatření: |
|
|
1.11 Šifrování |
K šifrování osobních údajů v aplikacích a přenosech, které šifrování podporují, je třeba provést následující kroky:
|
|
|
1.12 Úplnost systémů a služeb zpracování dat |
Aby byla zajištěna úplnost systémů a služeb zpracování údajů, je třeba přijmout následující opatření: |
|
|
|
1.13 Dostupnost systémů a služeb zpracování údajů a možnost obnovení přístupu k osobním údajům a jejich použití v případě materiálního nebo technického incidentu |
Aby byla zajištěna dostupnost systémů zpracování údajů a aby bylo možné rychle obnovit dostupnost osobních údajů a přístup k nim v případě materiálního nebo technického incidentu, je třeba přijmout následující opatření (zejména zajištěním toho, aby osobní údaje jsou chráněny před náhodným zničením nebo ztrátou): |
|
|
|
|
|
|
|
1.14 Odolnost systémů a služeb zpracování dat |
Aby byla zajištěna odolnost systémů a služeb zpracování údajů, je třeba přijmout následující opatření: |
|
|
|
1.15 Postup pravidelného testování, hodnocení a posuzování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování údajů |
Postup pravidelného testování, hodnocení a posuzování účinnosti technických a organizačních opatření na ochranu zpracování dat. |
|
|
|
Část 3
Podpisy stran a seznam dovozců údajů
Když vyplníte online objednávkový formulář a potvrdíte jej zaškrtnutím políčka, kterým souhlasíte se všeobecnými podmínkami používání, je uzavřena smlouva upravující vztah mezi zákazníkem a IQUALIF.
Odeslání platby společnosti IQUALIF bude považovat smlouvu za odsouhlasenou a uzavřenou.
Poznámka: Tento text byl přeložen z francouzštiny. Původní francouzská verze, která je platná a právně omezující, je k dispozici zde .