Tento dodatok tvorí neoddeliteľnú súčasť zmluvy a uzatvárajú ho:
Každá je „ stranou “ a obyčajne „ stranou “.
Preambula
KDE importér údajov poskytuje profesionálne softvérové služby, počítačové a súvisiace služby (ako sú prehliadače s pokročilými funkciami vyhľadávania);
KDE v súlade so Zmluvou Dovozca údajov súhlasil s poskytovaním služieb uvedených v Zmluve Exportérovi údajov (ďalej len „ Služby “);
KDE poskytovaním Služieb dovozca údajov získava alebo má prospech z prístupu k informáciám vývozcu údajov alebo k informáciám iných osôb, ktoré majú (potenciálny) vzťah s vývozcom údajov, takéto informácie možno kvalifikovať ako osobné údaje v zmysle nariadenia (EÚ) 2016/679 Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „ GDPR “) a ďalšie platné zákony o ochrane údajov.
KEĎ tento dodatok obsahuje podmienky, ktoré sa vzťahujú na zhromažďovanie, spracúvanie a používanie takýchto osobných údajov dovozcom údajov v jeho postavení oprávneného zástupcu na spracovanie údajov vývozcu údajov, aby sa zabezpečilo, že zmluvné strany budú dodržiavať platné zákony o ochrane údajov .
PRETO, a aby Strany mohli pokračovať vo svojom vzťahu zákonným spôsobom, uzavreli Strany tento Dodatok takto:
Časť 1
1. Štruktúra dokumentu a definície
1.1 Štruktúra
Tento dodatok sa skladá z nasledujúcich častí:
Časť 1: | obsahuje všeobecné ustanovenia, napr. týkajúce sa definícií použitých v tomto dodatku, súladu s miestnymi zákonmi, načasovania a ukončenia
|
Časť 2: | obsahuje telo nezmeneného dokumentu Štandardné zmluvné doložky
|
Dodatok 1.1 časti 2: | obsahuje podrobnosti o spracovateľských operáciách, ktoré dovozca údajov poskytol vývozcovi údajov ako oprávnenému zástupcovi spracovania údajov (vrátane spracovania, povahy a účelu spracovania, typu osobných údajov a kategórií dotknutých osôb) podľa tohto Dodatok
|
Dodatok 2 k časti 2: | obsahuje popis technických a organizačných bezpečnostných opatrení Dovozcu údajov, ktoré sa uplatňujú v súvislosti so všetkými spracovateľskými činnosťami popísanými v Prílohe 1.1 časti 2
|
Časť 3: | obsahuje podpisy strán, ktoré budú viazané týmto dodatkom, a identifikuje každého dovozcu údajov
|
1.2 Terminológia a definície
Na účely tohto dodatku sa uplatňuje terminológia a definície používané v GDPR (v tele dokumentu Štandardná zmluvná doložka v časti 2, kde sa definované pojmy neuvádzajú veľkými písmenami).
"Členský štát" | znamená krajinu patriacu do Európskej únie alebo Európskeho hospodárskeho priestoru
|
"Špeciálne kategórie (osobných) údajov" | ide o osobné údaje prezrádzajúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch a genetické údaje, biometrické údaje, ak sa spracúvajú na účely jednoznačnej identifikácie osoby, údaje o zdravotnom stave, údaje o pohlaví osoby života alebo sexuálnej orientácie
|
"Štandardné zmluvné doložky" | znamená Štandardné zmluvné doložky na prenos osobných údajov spracovateľov usadených v tretích krajinách podľa rozhodnutia Komisie 2010/87/EÚ z 5. februára 2010, ktoré bolo zmenené a doplnené vykonávacím rozhodnutím Komisie (EÚ) 2016/2297 zo 16. decembra 2016
|
„Spracovateľ údajov“. | znamená akýkoľvek spracovateľský zástupca so sídlom v EÚ/EHP alebo mimo neho, ktorý súhlasí s tým, že od dovozcu údajov alebo akéhokoľvek iného spracovateľa dovozcu údajov dostane osobné údaje výlučne na účely spracovateľských činností, ktoré má vývozca údajov vykonať po prenos v súlade s pokynmi exportéra údajov, podmienkami tohto dodatku a zmluvou s importérom údajov
|
2. Povinnosti Exportéra údajov
2.1 Vývozca údajov má povinnosť zabezpečiť súlad so všetkými príslušnými povinnosťami podľa GDPR a akéhokoľvek iného platného zákona o ochrane údajov, ktorý sa vzťahuje na Vývozcu údajov, a preukázať takýto súlad, ako to vyžaduje článok 5 ods. 2 GDPR. Vývozca údajov zaručuje, že dovozca údajov získal predchádzajúci súhlas dotknutých osôb v súlade s článkom 6 písm. a) GDPR a splnil svoju povinnosť informovať dotknuté osoby v súlade s článkom 13 a 14 GDPR.
2.2 Vývozca údajov musí poskytnúť dovozcovi údajov príslušné súbory spracovateľských činností v súlade s článkom 30 ods. 1 GDPR súvisiace so službami podľa tohto dodatku v rozsahu potrebnom na to, aby dovozca údajov splnil povinnosť podľa Článok 30 ods. 2 GDPR.
2.3 Vývozca údajov musí vymenovať úradníka alebo zástupcu pre ochranu údajov v rozsahu, ktorý vyžaduje platný zákon o ochrane údajov. Vývozca údajov je povinný poskytnúť dovozcovi údajov kontaktné údaje zástupcu pre ochranu údajov alebo zástupcu, ak existuje.
2.4. Exportér údajov pred dokončením spracovania potvrdzuje prijatím tohto dodatku, že technické a organizačné bezpečnostné opatrenia dovozcu údajov, ako sú uvedené v prílohe 2 k časti 2, sú primerané a dostatočné na ochranu práv dotknutej osoby a potvrdzuje, že dovozca údajov poskytuje v tomto smere dostatočné záruky.
3. Súlad s miestnymi zákonmi
Aby boli splnené požiadavky na implementáciu spracovateľov podľa článku 28 GDPR, platia tieto zmeny:
3.1 Pokyny
3.2 Povinnosti Dovozcu údajov
3.3 Práva dotknutých osôb
3.4 Čiastkové spracovanie
3.5 Uplynutie platnosti
Ukončenie platnosti tohto Dodatku je totožné s dátumom ukončenia platnosti príslušnej Zmluvy. Ak nie je v tomto dodatku stanovené inak, práva a povinnosti súvisiace s ukončením zmluvy sú rovnaké ako tie, ktoré sú uvedené v zmluve.
4. Obmedzenie zodpovednosti
4.1 Každá strana plní svoje povinnosti podľa tohto dodatku a príslušných právnych predpisov o ochrane údajov.
4.2 Akákoľvek zodpovednosť súvisiaca s porušením povinností podľa tohto dodatku alebo príslušných právnych predpisov o ochrane údajov bude podliehať a bude sa riadiť ustanoveniami o zodpovednosti uvedenými v zmluve alebo platnými pre zmluvu, pokiaľ nie je v tomto dodatku stanovené inak. Ak sa zodpovednosť riadi ustanoveniami o zodpovednosti uvedenými v Zmluve alebo sa na ňu vzťahujú, pokiaľ ide o výpočet limitov zodpovednosti alebo určenie uplatnenia iných obmedzení zodpovednosti, bude sa mať za to, že akákoľvek zodpovednosť vyplývajúca z tohto Dodatku vzniká na základe Zmluvy.
5. Všeobecné ustanovenia
5.1 V prípade akýchkoľvek nezrovnalostí alebo nezrovnalostí medzi časťami 1 a 2 tohto dodatku má prednosť časť 2. Konkrétne, aj v takom prípade zostáva v platnosti časť 1, ktorá jednoducho presahuje časť 2 (tj podmienky štandardných klauzúl) bez toho, aby bola v rozpore.
5.2 Ak vznikne akýkoľvek rozpor medzi ustanoveniami tohto dodatku a ustanoveniami iných zmlúv, ktoré sú pre zmluvné strany záväzné, tento dodatok má prednosť, pokiaľ ide o povinnosti zmluvných strán v oblasti ochrany údajov. V prípade pochybností, či sa ustanovenia v iných zmluvách týkajú povinností zmluvných strán v oblasti ochrany údajov, má prednosť tento dodatok.
5.3 Ak je niektoré ustanovenie tohto dodatku neplatné alebo nevymáhateľné, zvyšok tohto dodatku zostane v plnej platnosti a účinnosti. Neplatné alebo nevykonateľné ustanovenie bude (i) zmenené tak, aby bola zabezpečená jeho platnosť a vykonateľnosť, pričom sa v maximálnej možnej miere zachová vôľa strán, alebo – ak to nie je možné – (ii) bude interpretované tak, ako keby neplatná alebo nevykonateľná časť mala nikdy nebolo súčasťou zmluvy. Vyššie uvedené platí aj v prípade vynechania tohto dodatku.
5.5 Zmluvné strany môžu v nevyhnutnom rozsahu požiadať o zmeny časti 1, doložky 3 (Súlad s miestnym právom) alebo iných častí dodatku, aby boli v súlade s výkladmi, smernicami alebo príkazmi vydanými príslušnými orgánmi Únie alebo Členské štáty, vnútroštátne ustanovenia o presadzovaní práva alebo akýkoľvek iný právny vývoj týkajúci sa GDPR alebo iných podmienok delegovania na akékoľvek subjekty zapojené do spracovania údajov a konkrétne v súvislosti s používaním štandardných zmluvných doložiek v GDPR. Podmienky štandardných zmluvných doložiek nemožno upravovať ani nahrádzať, pokiaľ to Európska komisia výslovne neschváli (napr. novými primeranými doložkami a normami na ochranu údajov).
5.6 Akýkoľvek odkaz v tomto Dodatku na „Články“ sa má chápať ako odkaz na všetky ustanovenia tohto Dodatku, pokiaľ nie je uvedené inak.
5.7 Voľba práva uvedená v časti 2, bode 9. sa vzťahuje na celú Zmluvu.
6. Osobné údaje prenášané a spracovávané stranami na osobné účely (prenos od prevádzkovateľa údajov prevádzkovateľovi)
6.1 Zmluvné strany si sú plne vedomé toho, že určité osobné údaje budú prenesené od Vývozcu údajov Dovozcovi údajov a naopak a že tieto údaje každá Strana spracúva na svoje vlastné účely. Pokiaľ ide o takéto osobné údaje, neovplyvňujú ostatné ustanovenia tohto dodatku (okrem tohto bodu 6).
6.2 Vývozca údajov môže preniesť osobné údaje týkajúce sa zamestnancov dovozcu údajov dovozcovi údajov, vrátane informácií o bezpečnostných incidentoch, alebo akýchkoľvek iných dokumentov alebo súborov vytvorených alebo zriadených vývozcom údajov v súvislosti so službami poskytovanými pracovníkmi spoločnosti importér údajov. Dovozca údajov môže takéto osobné údaje spracúvať na svoje vlastné účely, najmä v rámci svojich profesionálnych vzťahov s pracovníkmi dovozcu údajov, na kontrolu kvality a školenia alebo na obchodné účely.
6.3. Dovozca údajov môže preniesť osobné údaje vývozcovi údajov vrátane mena a kontaktných údajov zamestnancov dovozcu údajov. Vývozca údajov môže takéto osobné údaje spracúvať na vlastné účely.
6.4 Obidve strany budú pri zhromažďovaní, spracúvaní a používaní takýchto osobných údajov prijatých od druhej strany podľa odseku 1 časti 1 dodržiavať všetky príslušné zákony na ochranu údajov vrátane GDPR. Obe strany prijmú najmä primerané bezpečnostné opatrenia za predpokladu, že podobnú úroveň ochrany ako bezpečnostné opatrenia uvedené v dodatku 2 časti 2. Akýkoľvek prístup k takýmto osobným údajom je obmedzený na potrebu ich poznať.
6.5 Obe strany musia vymazať takéto osobné údaje čo najskôr po dosiahnutí cieľov.
Časť 2
ROZHODNUTIE KOMISIE
dňa 5. februára 2010
o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom údajov so sídlom v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES
bod 1
Definície
V zmysle ustanovení:
a) „osobné údaje“, „osobitné kategórie údajov“, „spracovanie/spracovanie“, „prevádzkovateľ“, „spracovateľ“, „dotknutá osoba“ a „dozorný orgán“ majú rovnaký význam ako v smernici 95/46/ES smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov (1);
b) „vývozca údajov“ je prevádzkovateľ údajov, ktorý prenáša osobné údaje;
c) „Dovozca údajov“ je spracovateľ údajov, ktorý súhlasí s tým, že od vývozcu údajov dostane osobné údaje, ktoré majú byť spracované v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podľa podmienok týchto odsekov a ktorý nie je podlieha mechanizmu tretej krajiny, ktorý zabezpečuje primeranú ochranu v zmysle článku 25 ods. 1 smernice 95/46/ES; (d) „Spracovateľ údajov“ znamená spracovateľa údajov najatého dovozcom údajov alebo akýmkoľvek iným spracovateľom údajov dovozcu údajov, ktorý súhlasí s tým, že od dovozcu údajov alebo akéhokoľvek iného spracovateľa údajov dovozcu údajov dostane osobné údaje výlučne na účely spracovania vykonávať v mene vývozcu údajov po prenose v súlade s pokynmi vývozcu údajov,
e) „uplatniteľné právo na ochranu údajov“ znamená právne predpisy na ochranu základných práv a slobôd jednotlivcov vrátane práva na súkromie v súvislosti so spracovaním osobných údajov, ktoré sa vzťahujú na prevádzkovateľa v členskom štáte, v ktorom má vývozca údajov sídlo;
f) „technické a organizačné opatrenia týkajúce sa bezpečnosti“ sú opatrenia určené na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez siete, a proti všetky ostatné nezákonné formy spracúvania.
bod 2
Podrobnosti o prevode
Podrobnosti o prenose, v prípade potreby vrátane osobitných kategórií osobných údajov, sú uvedené v dodatku 1, ktorý tvorí neoddeliteľnú súčasť týchto ustanovení.
bod 3
Doložka o oprávnenej tretej strane
1. Dotknutá osoba môže voči vývozcovi údajov uplatniť tento článok, článok 4(b) až (i), článok 5(a) až (e) a (g) až (j), článok 6(1) a (2) ), článok 7, článok 8 ods. 2 a články 9 až 12 ako príjemca tretej strany
2. Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči dovozcovi údajov, ak má vývozca údajov fyzicky zanikol alebo zanikol zo zákona, pokiaľ všetky jeho zákonné povinnosti neprešli zmluvou alebo zo zákona na nástupnícky subjekt, na ktorý sa teda práva a povinnosti vývozcu údajov vracajú a voči ktorému údaje subjekt teda môže uplatniť uvedené doložky.
Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči spracovateľovi údajov, ale iba v prípadoch, keď údaje Vývozca a dovozca údajov fyzicky zmizli, zanikli zo zákona alebo sa dostali do platobnej neschopnosti, pokiaľ všetky zákonné povinnosti vývozcu údajov neprešli zmluvou alebo zo zákona na právneho nástupcu, na ktorého práva a povinnosti vývozcu údajov sú teda zverené a voči komu si dotknutá osoba môže uplatniť takéto doložky. Takáto zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti podľa týchto odsekov.
4. Strany nenamietajú proti tomu, aby bola dotknutá osoba zastupovaná združením alebo iným orgánom, ak si to želá a ak to vnútroštátne právo umožňuje.
bod 4
Povinnosti exportéra údajov
Exportér údajov akceptuje a garantuje nasledovné:
a) spracovanie vrátane samotného prenosu osobných údajov sa vykonávalo a naďalej bude vykonávať v súlade s príslušnými ustanoveniami platných právnych predpisov o ochrane údajov (a prípadne bolo oznámené príslušným orgánom členského štátu v ktorej má vývozca údajov sídlo) a neporušuje príslušné ustanovenia tohto štátu;
b) dali pokyn a počas trvania služieb spracovania osobných údajov dajú pokyn, aby dovozca údajov spracúval prenesené osobné údaje výlučne v mene vývozcu údajov a v súlade s platnými právnymi predpismi o ochrane údajov a týmito doložkami;
c) Dovozca údajov poskytne dostatočné záruky týkajúce sa technických a organizačných bezpečnostných opatrení uvedených v Prílohe 2 k tejto zmluve;
d) po vyhodnotení požiadaviek platných právnych predpisov na ochranu údajov sú bezpečnostné opatrenia primerané na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez sieť a proti všetkým ostatným nezákonným formám spracovania a zabezpečiť úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť, so zreteľom na úroveň technológie a náklady na implementáciu;
e) zabezpečia dodržiavanie bezpečnostných opatrení;
f) ak sa prenos týka osobitných kategórií údajov, dotknutá osoba bola alebo bude informovaná pred prenosom alebo čo najskôr po prenose, že jej údaje možno preniesť do tretej krajiny, ktorá neponúka primeranú úroveň ochrany v zmysle smernice 95/46/ES;
g) zašlú akékoľvek oznámenie prijaté od dovozcu údajov alebo akéhokoľvek spracovateľa údajov podľa článkov 5 (b) a 8 (3) dozornému orgánu pre ochranu údajov, ak sa rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie;
h) sprístupnia dotknutým osobám, ak o to požiadajú, kópiu týchto doložiek, s výnimkou dodatku 2, a súhrnný popis bezpečnostných opatrení a kópiu akejkoľvek ďalšej subdodávateľskej zmluvy uzavretej podľa týchto doložiek, pokiaľ Doložky alebo dohoda obsahujú obchodné informácie, v takom prípade môže tieto informácie stiahnuť;
i) v prípade subdodávateľského procesu spracovania údajov je spracovateľská činnosť vykonávaná v súlade s článkom 11 spracovateľom údajov, ktorý poskytuje minimálne rovnakú úroveň ochrany osobných údajov a práv dotknutej osoby ako dovozca údajov podľa týchto článkov ; a
j) zabezpečí súlad s odsekom 4 písm. a) až i).
bod 5
Povinnosti importéra údajov
Importér údajov akceptuje a zaručuje nasledovné:
a) budú spracúvať osobné údaje len v mene Exportéra údajov a podľa pokynov Exportéra údajov a týchto doložiek; ak z akéhokoľvek dôvodu nemôže vyhovieť, súhlasia s tým, že budú čo najskôr informovať vývozcu údajov o svojej neschopnosti, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu;
b) nemajú dôvod domnievať sa, že právo, ktoré sa na nich vzťahuje, mu bráni v plnení pokynov poskytnutých exportérom údajov a povinností, ktoré mu vyplývajú zo zmluvy, a ak takéto právo podlieha zmene, ktorá by mohla mať podstatnú nevýhodu, vplyv na záruky a povinnosti podľa doložiek, oznámi túto zmenu vývozcovi údajov bezodkladne po tom, čo sa o nej dozvie, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu; c) pred spracovaním prenesených osobných údajov zaviedli technické a organizačné bezpečnostné opatrenia uvedené v dodatku 2;
d) bezodkladne oznámia vývozcovi údajov:
i) akákoľvek záväzná žiadosť orgánu činného v trestnom konaní o sprístupnenie osobných údajov, ak nie je uvedené inak, ako je napríklad trestný zákaz zameraný na zachovanie tajomstva policajného vyšetrovania;
ii) akýkoľvek náhodný alebo neoprávnený prístup; a
iii) o každej žiadosti prijatej priamo od dotknutých osôb bez toho, aby na ňu odpovedali, pokiaľ na to nebola oprávnená; správcovia
e) budú promptne a riadne riešiť všetky otázky vývozcu údajov týkajúce sa jeho spracúvania prenášaných osobných údajov a budú konať podľa názoru dozorného orgánu týkajúceho sa spracúvania prenášaných údajov;
f) na žiadosť vývozcu údajov podrobia svoje zariadenia na spracovanie údajov auditu spracovateľských činností, na ktoré sa vzťahujú tieto doložky, ktorý vykoná vývozca údajov alebo dozorný orgán zložený z nezávislých členov s požadovanou odbornou kvalifikáciou, podlieha povinnosti mlčanlivosti a vybral si ho vývozca údajov, ak je to vhodné, so súhlasom dozorného orgánu;
g) sprístupnia dotknutej osobe, ak o to požiada, kópiu týchto doložiek alebo akejkoľvek existujúcej subdodávateľskej zmluvy o spracovaní údajov, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie, v takom prípade môže takéto doložky odstrániť informácie okrem dodatku 2, ktorý bude nahradený súhrnným popisom bezpečnostných opatrení, ak dotknutá osoba nemôže získať kópiu od vývozcu údajov;
h) v prípade dôverných ďalších subdodávok spracovania údajov zabezpečí, aby o tom vopred informoval vývozcu údajov a získal písomný súhlas vývozcu údajov;
i) služby spracovania poskytované spracovateľom údajov budú v súlade s článkom 11;
j) bezodkladne zašlú kópiu akejkoľvek subdodávky zmluvy o spracovaní údajov, ktorú uzavrel podľa týchto doložiek, vývozcovi údajov.
bod 6
Zodpovednosť
1. Zmluvné strany sa dohodli, že každá dotknutá osoba, ktorá utrpela škodu v dôsledku porušenia povinností uvedených v článku 3 alebo článku 11 jednou stranou alebo spracovateľom údajov, môže od vývozcu údajov získať náhradu za vzniknutú škodu.
2. Ak dotknutá osoba nemôže podať žalobu o náhradu škody, ako je uvedené v odseku 1, proti vývozcovi údajov z dôvodu, že dovozca údajov alebo jeho spracovateľ údajov nesplní niektorú zo svojich povinností podľa článku 3 alebo článku 11, pretože údaje Vývozca fyzicky zmizol, prestal podľa zákona existovať alebo sa stal platobne neschopným, Dovozca údajov súhlasí s tým, že dotknutá osoba môže podať sťažnosť proti nemu, ako keby to bol Vývozca údajov, pokiaľ neboli na základe zmluvy prevedené všetky zákonné povinnosti Vývozcu údajov. alebo zo zákona na jeho nástupnícky subjekt, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva. Dovozca údajov sa nemôže spoliehať na porušenie svojich povinností zo strany spracovateľa údajov, aby sa vyhol vlastnej zodpovednosti.
3. Ak dotknutej osobe bránia podať žalobu uvedenú v odsekoch 1 a 2 proti vývozcovi údajov alebo dovozcovi údajov za porušenie povinností spracovateľa údajov podľa odseku 3 alebo odseku 11, pretože vývozca údajov a dovozca údajov fyzicky zmizli, prestali existovať zo zákona alebo sa stali platobne neschopnými, Spracovateľ súhlasí s tým, že dotknutá osoba môže podať sťažnosť týkajúcu sa jej vlastných spracovateľských činností v súlade s týmito doložkami, ako keby bola vývozcom údajov alebo dovozcom údajov, pokiaľ všetky zákonné povinnosti Vývozcu údajov alebo Dovozcu údajov prešli zmluvou alebo zo zákona na právneho nástupcu, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva.Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito bodmi.
bod 7
Mediácia a súdna právomoc
1. Dovozca údajov súhlasí s tým, že ak sa dotknutá osoba podľa doložiek bude voči nemu dovolávať práva príjemcu tretej strany a/alebo bude požadovať náhradu za utrpenú ujmu, bude akceptovať rozhodnutie dotknutej osoby:
a) predložiť spor na mediáciu nezávislej osobe alebo prípadne dozornému orgánu;
b) predložiť spor na súdy členského štátu, v ktorom má sídlo vývozca údajov.
2. Zmluvné strany sa dohodli, že výber uskutočnený dotknutou osobou neovplyvní procesné alebo hmotné právo dotknutej osoby získať nápravu v súlade s inými ustanoveniami vnútroštátneho alebo medzinárodného práva.
bod 8
Spolupráca s dozornými orgánmi
1. Vývozca údajov súhlasí s uložením kópie tejto zmluvy u dozorného orgánu, ak si to dozorný orgán vyžiada alebo ak takéto uloženie umožňuje príslušný zákon o ochrane údajov.
2. Zmluvné strany sa dohodli, že dozorný orgán môže vykonávať kontroly u dovozcu údajov a akéhokoľvek spracovateľa údajov v rovnakom rozsahu a za rovnakých podmienok ako pri kontrolách vykonávaných u vývozcu údajov v súlade s platnými právnymi predpismi o ochrane údajov.
3. Dovozca údajov čo najskôr informuje vývozcu údajov o existencii právnych predpisov týkajúcich sa dovozcu údajov alebo akéhokoľvek spracovateľa údajov, ktoré bránia overeniu u dovozcu údajov alebo akéhokoľvek spracovateľa údajov v súlade s odsekom 2. V takom prípade Vývozca údajov môže prijať opatrenia uvedené v doložke 5 písm. b).
bod 9
Platné právo
Doložky sa uplatňujú a riadia sa právom členského štátu, v ktorom má vývozca údajov sídlo.
Ustanovenie 10
Úprava zmluvy
Zmluvné strany sa zaväzujú nezmeniť tieto doložky. Zmluvné strany majú možnosť zahrnúť ďalšie obchodné doložky, ktoré považujú za potrebné, za predpokladu, že nie sú v rozpore s týmito doložkami.
Ustanovenie 11
Následné subdodávky
1. Dovozca údajov nezadá žiadne zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek bez predchádzajúceho písomného súhlasu vývozcu údajov. Dovozca údajov zadá svoje povinnosti podľa týchto doložiek subdodávateľom len so súhlasom vývozcu údajov prostredníctvom písomnej dohody so spracovateľom údajov, ktorá ukladá spracovateľovi údajov rovnaké povinnosti, ako sú povinnosti uložené dovozcovi údajov podľa týchto doložiek. Ak spracovateľ údajov nemôže splniť svoje povinnosti v oblasti ochrany údajov podľa tejto písomnej zmluvy, dovozca údajov zostáva plne zodpovedný voči vývozcovi údajov za splnenie týchto povinností.
2. Predchádzajúca písomná dohoda medzi Dovozcom údajov a Spracovateľom údajov bude obsahovať aj doložku o oprávnení tretej strany, ako je uvedené v článku 3 pre prípady, keď dotknutej osobe bráni uplatniť nárok na náhradu škody podľa článku 6 ods. ), voči vývozcovi údajov alebo dovozcovi údajov, pretože vývozca alebo dovozca údajov fyzicky zmizol, prestal existovať zo zákona alebo sa stal insolventným a všetky zákonné povinnosti vývozcu alebo dovozcu údajov neboli prevedené zmluvou alebo operáciou zákona, na iný nástupnícky subjekt. Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito doložkami.
3. Ustanovenia týkajúce sa aspektov ochrany údajov subdodávateľského spracovania údajov zmluvy uvedeného v odseku 1 sa riadia právom členského štátu, v ktorom má vývozca údajov sídlo.
4. Vývozca údajov vedie zoznam subdodávateľských zmlúv o spracovaní údajov uzatvorených podľa týchto doložiek a oznámených dovozcom údajov v súlade s odsekom 5 písm. j), ktorý sa aktualizuje najmenej raz ročne. Tento zoznam sa sprístupní dozornému orgánu pre ochranu údajov vývozcu údajov.
Ustanovenie 12
Povinnosť po ukončení služieb spracovania osobných údajov
1. Zmluvné strany sa dohodli, že po ukončení služieb spracovania údajov dovozca údajov a spracovateľ údajov podľa želania vývozcu údajov vrátia všetky prenesené osobné údaje a ich kópie vývozcovi údajov alebo zničia všetky takéto údaje a poskytnú dôkaz likvidáciu vývozcovi údajov, pokiaľ právne predpisy uložené dovozcovi údajov nebránia vo vrátení alebo zničení všetkých alebo časti prenesených osobných údajov. V takom prípade sa Dovozca údajov zaručuje, že zabezpečí dôvernosť prenášaných osobných údajov a že údaje už nebude aktívne spracúvať.
2. Dovozca údajov a spracovateľ údajov zabezpečia, že ak o to vývozca údajov a/alebo dozorný orgán požiada, podrobia svoje prostriedky spracovania údajov overeniu opatrení uvedených v odseku 1.
Príloha 1.1 k časti 2
Podrobnosti o prevode
Exportér údajov
Exportér údajov je Zákazník definovaný v Zmluvnej dohode.
Importér údajov
Importér údajov je IQUALIF a je poverený spracovaním údajov a poskytovaním služieb Exportérovi údajov.
Subjekty údajov
Prenášané osobné údaje sa týkajú nasledujúcich kategórií dotknutých osôb:
˜' telefónnych účastníkov uvedených v univerzálnom zozname
˜ Ostatné, vrátane:
Kategórie údajov
Prenášané osobné údaje sa týkajú nasledujúcich kategórií údajov:
najmä kategórie osobných údajov dotknutých osôb vývozcu údajov,
˜' Celé meno
˜' Poštová adresa
˜' Kontaktné údaje (e-mail, telefón, IP adresa atď.)
˜' Podrobnosti o marketingových aktivitách týkajúcich sa telefónneho účastníka
˜' Ostatné, vrátane typu bývania, príjmu a priemerného veku mestom urobené anonymne
Špeciálne kategórie údajov (ak existujú)
Prenášané osobné údaje sa týkajú týchto osobitných kategórií údajov:
„Prenos osobitných kategórií údajov sa nepredpokladá
˜ Rasový alebo etnický pôvod
˜ Náboženské alebo filozofické presvedčenia
˜ Členstvo v odboroch
˜ Politické názory
˜ Genetické informácie
˜ Biometrické informácie
˜ Informácie o sexuálnej orientácii alebo sexuálnom živote
˜ Zdravotné údaje
Spracovateľské činnosti
Prenesené osobné údaje budú podliehať nasledujúcim základným spracovateľským činnostiam:
Spracovanie vykonávané v mene vývozcu údajov je založené na nasledujúcich subjektoch, najmä:
˜' Prevzatie produktov alebo služieb ponúkaných Exportérom údajov
˜' Ponuka produktu alebo služby, o ktorú môže volaná osoba požiadať
˜' Objednávky prijaté od volaných osôb a ďalšie spracovanie týchto objednávok
˜' Študijné dotazníky a analýzy
˜' Telemarketing
˜ Ostatné, vrátane:
Dovozca údajov spracúva osobné údaje dotknutých osôb v mene Vývozcu údajov za účelom poskytovania nasledujúcich služieb, a to najmä:
˜' Predaj a marketing
˜' Ostatné vrátane aktualizácie databáz radníc a politických strán
IQUALIF hlavne kombinuje, centralizuje a poskytuje služby pre exportéra údajov. Služby poskytované uvedeným poskytovateľom služieb môžu byť štruktúrované (okrem iného podľa potreby) okolo nasledujúcich doplnkových služieb: (i) poskytovanie aplikácií, nástrojov, systémov a IT infraštruktúry vo vzťahu k používaným centrám spracovania údajov s cieľom poskytnúť a podporovať služby vrátane spracovania osobných údajov dotknutých osôb, ako je opísané vyššie, prostredníctvom takýchto aplikácií, nástrojov a systémov, (ii) poskytovanie IT podpory, údržby a iných služieb súvisiacich s takýmito aplikáciami, nástrojmi, systémami a IT infraštruktúru vrátane potenciálneho prístupu k osobným údajom uloženým v takýchto aplikáciách, nástrojoch a systémoch a (iii) poskytovanie služieb ochrany údajov, monitorovania ochrany a služieb reakcie na incidenty, vrátane potenciálneho prístupu k osobným údajom pri poskytovaní takýchto služieb ochrany. Spoločnosť IQUALIF môže na poskytovanie služieb vrátane doplnkových služieb zapojiť nižšie uvedených spracovateľov údajov.
IQUALIF zapája externých poskytovateľov služieb a poskytovateľov služieb tretích strán, ktorí nie sú dcérskymi spoločnosťami IQUALIF, aby podporili poskytovanie služieb Exportérovi údajov. Exportér údajov schvaľuje takýchto externých poskytovateľov služieb tretích strán ako podsubjekty pridelené na spracovanie údajov.
Ak sa podsubjekt zapojený do spracovania údajov nachádza mimo EÚ/EHP, v krajine, ktorá sa na základe rozhodnutia Európskej komisie považuje za krajinu, ktorá nemá primeranú úroveň ochrany údajov, dovozca údajov podnikne kroky na získanie primeranej úrovne ochrany údajov. ochranu údajov v súlade s GDPR a oddielom 3.4 (iv) časti 1.
Príloha 2, časť 2
Technické a organizačné ochranné opatrenia
Dovozca údajov prijme nasledujúce technické a organizačné ochranné opatrenia potvrdené vývozcom údajov, aby zaručil primeranú úroveň bezpečnosti práv a slobôd jednotlivcov v závislosti od rizík. Pri posudzovaní úrovne dotknutej ochrany vývozca údajov zohľadnil najmä riziká spojené so spracovaním, vrátane náhodného alebo nezákonného zničenia, zmeny, neoprávneného zverejnenia alebo prístupu k prenášaným, uchovávaným alebo inak spracovávaným osobným údajom. Na vysvetlenie: Tieto technické a organizačné ochranné opatrenia sa nevzťahujú na aplikácie, nástroje, systémy a/alebo IT infraštruktúru poskytovanú Exportérom údajov.
1 Všeobecné technické a organizačné ochranné opatrenia |
1.1 Všeobecné informácie a stratégie ochrany údajov |
Pri dodržiavaní všeobecných stratégií ochrany údajov a informácií je potrebné vykonať nasledujúce kroky: |
|
|
|
|
|
1.2 Organizácia ochrany informácií |
Na koordináciu činností v oblasti ochrany údajov a informácií by sa mali prijať tieto opatrenia: |
|
|
|
1.3 Kontrola prístupu do oblastí spracovania |
Aby sa zabránilo neoprávneným osobám získať prístup k systémom spracúvania údajov (najmä k softvéru a hardvéru), musia byť prijaté tieto opatrenia, keď sa spracúvajú, uchovávajú alebo prenášajú osobné údaje: |
|
|
|
|
1.4 Kontrola prístupu k systémom spracovania údajov |
Aby sa zabránilo neoprávnenému prístupu do systémov spracovania údajov, musia sa prijať tieto opatrenia: |
|
|
|
|
|
|
1.5 Kontrola prístupu k jednotlivým oblastiam použitia systémov na spracovanie údajov |
Je potrebné prijať nasledujúce opatrenia, aby sa zabezpečilo, že oprávnené osoby s právom používať systém spracovania údajov budú mať prístup k údajom iba v rámci svojich príslušných zodpovedností a prístupových oprávnení a že osobné údaje nebude možné bez povolenia čítať, kopírovať, upravovať alebo vymazávať: |
|
|
|
|
|
|
|
1.6 Ovládanie prevodoviek |
Aby sa zabránilo čítaniu, kopírovaniu, úprave alebo vymazaniu osobných údajov neoprávnenými tretími stranami počas prenosu alebo prepravy zariadení na ukladanie údajov (v závislosti od vykonávaného spracovania osobných údajov), je potrebné prijať nasledujúce opatrenia: |
|
|
|
1.7 Kontrola zadávania údajov |
Na zabezpečenie toho, aby bolo možné overiť a určiť, či boli osobné údaje vložené do systémov spracúvania údajov alebo z nich boli vymazané a kto ich vložil, je potrebné prijať tieto opatrenia: |
|
|
1.8 Kontrola práce |
V prípade delegovaného spracúvania osobných údajov je potrebné prijať tieto opatrenia, aby sa zabezpečilo, že takéto údaje budú spracúvané v súlade s pokynmi Dozorného orgánu: |
|
|
|
|
1.9 Oddelenie od spracovania na iné účely |
Aby sa zabezpečilo, že údaje zhromaždené na iné účely možno spracovať oddelene, musia sa prijať tieto opatrenia: |
|
|
1.10 Pseudonymizácia |
V súvislosti s pseudonymizáciou osobných údajov je potrebné prijať tieto opatrenia: |
|
|
1.11 Šifrovanie |
Na zašifrovanie osobných údajov v aplikáciách a prenosoch, ktoré podporujú šifrovanie, je potrebné vykonať nasledujúce kroky:
|
|
|
1.12 Úplnosť systémov a služieb spracovania údajov |
Na zabezpečenie úplnosti systémov a služieb spracovania údajov je potrebné prijať tieto opatrenia: |
|
|
|
1.13 Dostupnosť systémov a služieb spracovania údajov a možnosť obnovenia prístupu k osobným údajom a ich používania v prípade materiálneho alebo technického incidentu |
Na zabezpečenie dostupnosti systémov spracovania údajov, ako aj na rýchle obnovenie dostupnosti osobných údajov a prístupu k nim v prípade materiálneho alebo technického incidentu je potrebné prijať nasledujúce opatrenia (najmä zabezpečením toho, aby osobné údaje sú chránené pred náhodným zničením alebo stratou): |
|
|
|
|
|
|
|
1.14 Odolnosť systémov a služieb na spracovanie údajov |
Na zabezpečenie odolnosti systémov a služieb spracovania údajov sa musia prijať tieto opatrenia: |
|
|
|
1.15 Postup pri pravidelnom testovaní, vyhodnocovaní a posudzovaní účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracovania údajov |
Postup pravidelného testovania, vyhodnocovania a posudzovania účinnosti technických a organizačných opatrení na ochranu spracúvania údajov. |
|
|
|
Časť 3
Podpisy strán a zoznam dovozcov údajov
Keď vyplníte online objednávkový formulár a potvrdíte ho zaškrtnutím políčka súhlasu so všeobecnými podmienkami používania, vzniká zmluva, ktorou sa riadi vzťah medzi zákazníkom a IQUALIF.
Odoslanie platby IQUALIF bude považovať zmluvu za dohodnutú a uzavretú.
Poznámka: Tento text bol preložený z francúzštiny. Pôvodná francúzska verzia, ktorá je platná a právne obmedzujúca, je dostupná tu .