Data processing appendix | Postcodezip studio

Spracovanie údajov príloha

Tento dodatok tvorí neoddeliteľnú súčasť zmluvy a uzatvárajú ho:

(i) Klient („ Exportér údajov “)
(ii) POSTODEZIP (" Importér údajov ")

Každá je „ stranou “ a obyčajne „ stranou “.

Preambula

KDE importér údajov poskytuje profesionálne softvérové služby, počítačové a súvisiace služby;

KDE v súlade so Zmluvou Dovozca údajov súhlasil s poskytovaním služieb uvedených v Zmluve Exportérovi údajov (ďalej len „ Služby “);

KDE poskytovaním Služieb dovozca údajov získava alebo má prospech z prístupu k informáciám vývozcu údajov alebo k informáciám iných osôb, ktoré majú (potenciálny) vzťah s vývozcom údajov, takéto informácie možno kvalifikovať ako osobné údaje v zmysle nariadenia (EÚ) 2016/679 Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „ GDPR “) a ďalšie platné zákony o ochrane údajov.

KEĎ tento dodatok obsahuje podmienky, ktoré sa vzťahujú na zhromažďovanie, spracúvanie a používanie takýchto osobných údajov dovozcom údajov v jeho postavení oprávneného zástupcu na spracovanie údajov vývozcu údajov, aby sa zabezpečilo, že zmluvné strany budú dodržiavať platné zákony o ochrane údajov .

PRETO, a aby Strany mohli pokračovať vo svojom vzťahu zákonným spôsobom, uzavreli Strany tento Dodatok takto:

Časť 1

1. Structure of the document and definitions

1.1 Structure

Tento dodatok sa skladá z nasledujúcich častí:

Časť 1:

obsahuje všeobecné ustanovenia, napr. týkajúce sa definícií použitých v tomto dodatku, súladu s miestnymi zákonmi, načasovania a ukončenia

Časť 2:

obsahuje telo nezmeneného dokumentu Štandardné zmluvné doložky

Dodatok 1.1 časti 2:

obsahuje podrobnosti o spracovateľských operáciách, ktoré dovozca údajov poskytol vývozcovi údajov ako oprávnenému zástupcovi spracovania údajov (vrátane spracovania, povahy a účelu spracovania, typu osobných údajov a kategórií dotknutých osôb) podľa tohto Dodatok

Dodatok 2 k časti 2:

obsahuje popis technických a organizačných bezpečnostných opatrení Dovozcu údajov, ktoré sa uplatňujú v súvislosti so všetkými spracovateľskými činnosťami popísanými v Prílohe 1.1 časti 2

Časť 3:

obsahuje podpisy strán, ktoré budú viazané týmto dodatkom, a identifikuje každého dovozcu údajov

1.2 Terminológia a definície

Na účely tohto dodatku sa uplatňuje terminológia a definície používané v GDPR (v tele dokumentu Štandardná zmluvná doložka v časti 2, kde sa definované pojmy neuvádzajú veľkými písmenami).

"Členský štát"

znamená krajinu patriacu do Európskej únie alebo Európskeho hospodárskeho priestoru

"Špeciálne kategórie (osobných) údajov"

ide o osobné údaje prezrádzajúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch a genetické údaje, biometrické údaje, ak sa spracúvajú na účely jednoznačnej identifikácie osoby, údaje o zdravotnom stave, údaje o pohlaví osoby života alebo sexuálnej orientácie

"Štandardné zmluvné doložky"

znamená Štandardné zmluvné doložky na prenos osobných údajov spracovateľov usadených v tretích krajinách podľa rozhodnutia Komisie 2010/87/EÚ z 5. februára 2010, ktoré bolo zmenené a doplnené vykonávacím rozhodnutím Komisie (EÚ) 2016/2297 zo 16. decembra 2016

“Spracovateľ údajov”??

znamená akýkoľvek spracovateľský zástupca so sídlom v EÚ/EHP alebo mimo neho, ktorý súhlasí s tým, že od Dovozcu údajov alebo iného spracovateľa Dovozcu údajov dostane osobné údaje výlučne na účely spracovateľských činností, ktoré má vývozca údajov vykonať po prenos v súlade s pokynmi exportéra údajov, podmienkami tohto dodatku a zmluvou s importérom údajov

2. Povinnosti Exportéra údajov

2.1 Vývozca údajov má povinnosť zabezpečiť súlad so všetkými príslušnými povinnosťami podľa GDPR a akéhokoľvek iného platného zákona o ochrane údajov, ktorý sa vzťahuje na Vývozcu údajov, a preukázať takýto súlad, ako to vyžaduje článok 5 ods. 2 GDPR. Vývozca údajov zaručuje, že dovozca údajov získal predchádzajúci súhlas dotknutých osôb v súlade s článkom 6 písm. a) GDPR a splnil svoju povinnosť informovať dotknuté osoby v súlade s článkom 13 a 14 GDPR.

2.2 Vývozca údajov musí poskytnúť dovozcovi údajov príslušné súbory spracovateľských činností v súlade s článkom 30 ods. 1 GDPR súvisiace so službami podľa tohto dodatku v rozsahu potrebnom na to, aby dovozca údajov splnil povinnosť podľa Článok 30 ods. 2 GDPR.

2.3 Vývozca údajov musí vymenovať úradníka alebo zástupcu pre ochranu údajov v rozsahu, ktorý vyžaduje platný zákon o ochrane údajov. Vývozca údajov je povinný poskytnúť dovozcovi údajov kontaktné údaje zástupcu pre ochranu údajov alebo zástupcu, ak existuje.

2.4. Exportér údajov pred dokončením spracovania potvrdzuje prijatím tohto dodatku, že technické a organizačné bezpečnostné opatrenia dovozcu údajov, ako sú uvedené v prílohe 2 k časti 2, sú primerané a dostatočné na ochranu práv dotknutej osoby a potvrdzuje, že dovozca údajov poskytuje v tomto smere dostatočné záruky.

3. Súlad s miestnymi zákonmi

Aby boli splnené požiadavky na implementáciu spracovateľov podľa článku 28 GDPR, platia tieto zmeny:

3.1 Pokyny

(i) Vývozca údajov dáva pokyn dovozcovi údajov, aby spracúval osobné údaje iba v mene vývozcu údajov. Pokyny exportéra údajov sú uvedené v tomto dodatku a v zmluve. Vývozca údajov má povinnosť zabezpečiť, aby všetky pokyny boli poskytnuté dovozcovi údajov v súlade s platnými zákonmi o ochrane údajov. Dovozca údajov musí spracúvať osobné údaje iba v súlade s pokynmi poskytnutými vývozcom údajov, pokiaľ Európska únia alebo právo členského štátu nevyžaduje inak (v druhom prípade platí časť 1 bod 3.2 (iv) (c)) .
(ii) Všetky ostatné pokyny, ktoré presahujú rámec pokynov v tomto Dodatku alebo v Zmluve, musia byť zahrnuté v predmete tohto Dodatku a Zmluvy. Ak implementácia tohto dodatočného pokynu zahŕňa náklady pre dovozcu údajov, dovozca údajov o takýchto nákladoch informuje vývozcu údajov a pred vykonaním pokynu poskytne vysvetlenie. Až potom, čo vývozca údajov potvrdí prijatie týchto nákladov na vykonanie pokynu, dovozca údajov vykoná tento dodatočný pokyn. Vývozca údajov musí poskytnúť dodatočné pokyny písomne, pokiaľ si naliehavosť alebo iné špecifické okolnosti nevyžadujú inú formu (napr. ústnu, elektronickú). Inštrukcie v inej ako písomnej forme musí exportér údajov bezodkladne potvrdiť písomne.
1. Pokiaľ vývozca údajov nemôže vykonať opravu, vymazanie alebo obmedzenie osobných údajov sám, pokyny sa môžu týkať aj opravy, vymazania a/alebo obmedzenia osobných údajov, ako je uvedené v časti 1, bod 3.3.
2. Dovozca údajov musí bezodkladne informovať vývozcu údajov, ak podľa jeho názoru Pokyn porušuje GDPR alebo iné platné ustanovenia o ochrane údajov Európskej únie alebo členského štátu („ Sporný pokyn"). Ak sa Dovozca údajov domnieva, že Pokyn porušuje GDPR alebo iné platné ustanovenia o ochrane údajov Európskej únie alebo členského štátu, Dovozca údajov nie je povinný postupovať podľa Namietaného pokynu. Ak Exportér údajov napadnutý pokyn potvrdí obdržaní informácií od Dovozcu údajov a uznáva svoju zodpovednosť za Napadnutý pokyn, Dovozca údajov Napadnutý pokyn zrealizuje, pokiaľ sa Napadnutý pokyn netýka (i) implementácie technických a organizačných opatrení, (ii) práv Údajov Predmety alebo (iii) zapojenie spracovateľov údajov V prípadoch (i) až (iii) môže dovozca údajov kontaktovať príslušný dozorný orgán, aby sporný Pokyn právne posúdil.Ak dozorný orgán vyhlási napadnutý Pokyn za zákonný, Dovozca údajov napadnutý Pokyn vykoná. Časť 1 odsek 3.1 (ii) zostáva v platnosti.

3.2 Povinnosti Dovozcu údajov

(i) The Data Importer must ensure that persons authorized by the Data Importer to process personal data on behalf of the Data Exporter, in particular employees of the Data Importer and employees of any Sub-Contractor, have undertaken to observe confidentiality or are subject to an appropriate statutory duty of confidentiality, and that such persons who have access to personal data process it in accordance with the Data Exporter's instructions.
(ii) The Data Importer must implement the technical and organizational security measures as set out in Appendix 2 to Part 2 before processing the personal data on behalf of the Data Exporter. The Data Importer may change the technical and organizational security measures from time to time if they do not provide less protection than those set out in Appendix 2 to Part 2.
(iii) The Data Importer shall make available to the Data Exporter, upon request by the Data Exporter, information to show compliance with the Data Importer's obligations under this Appendix. The Parties agree that this information obligation is met by providing the Data Exporter with an audit report (covering security of principles, system availability, and confidentiality) ("Audit Report"). If additional audit activities are legally required, the Data Exporter may request that inspections be carried out by the Data Exporter or another auditor appointed by the Data Exporter, subject to the execution by such auditor of a confidentiality agreement with the Data Importer to the Data Importer's reasonable satisfaction ("Audit"). This Audit is subject to the following conditions: (i) the prior formal written acceptance of the Data Importer; and (ii) the Data Exporter shall bear all costs relating to the On-Site Audit for the Data Exporter and the Data Importer. The Data Exporter must create an audit report summarizing the results and observations of the On-Site Audit ("On-Site Audit Report"). The On-Site Audit Reports, and the Audit Reports, are confidential information of the Data Importer and must not be disclosed to third parties unless required by applicable data protection law or in accordance with the consent of the Data Importer.
(iv) The Data Importer has an obligation to notify the Data Exporter without undue delay:
a. regarding any legally binding request for disclosure of personal data by a law enforcement authority, unless otherwise prohibited, such as a prohibition under criminal law to protect the confidentiality of a law enforcement investigation
b. regarding any complaint and request received directly from a data subject (e.g. regarding access, rectification, deletion, restriction of processing, data portability, objection to data processing, automated decision making) without responding to that request, unless the Data Importer has been authorized to do so
c. if the Data Importer or Data processor is obligated, under the law of the European Union or of the Member State to which the Data Importer or Data processor is subject, to process the personal data beyond the Data Exporter's instructions, before carrying out such processing beyond the instructions, unless laws of the European Union or of the Member State prohibits such processing on vital public interest grounds, in which case the notification to the Data Exporter shall specify the legal requirement under that law of the European Union or of the Member State; or
d. if the Data Importer realizes an infringement of personal data, solely because of itself or its sub-contractor, which would affect the Data Exporter's personal data covered by the present contract, in which case the Data Importer will assist the Data Exporter in its obligation, vis-à-vis the applicable data protection law, to inform the data subjects and, where applicable, the supervisory authorities by providing the information at its disposal, in accordance with Article 33 (3) of the GDPR.
(v) At the request of the Data Exporter, the Data Importer shall be compelled to assist the Data Exporter in its obligation to carry out a data protection impact assessment that may be required by Article 35 of the GDPR and a prior consultation that may be required by Article 36 of the GDPR concerning the services provided by the Data Importer to the Data Exporter under this Appendix, providing the necessary and information to the Data Exporter. The Data Importer will only be obliged to provide such assistance if the Data Exporter cannot fulfill its obligation by other means. The Data Importer will advise the Data Exporter of the cost of such assistance. As soon as the Data Exporter has confirmed that it can bear this cost, the Data Importer will provide the Data Exporter with this help.
(vi) At the end of the provision of the services, the Data Exporter may request the return of the personal data processed by the Data Importer under this Appendix within one month after the services. Unless the legislation of the Member State or of the European Union requires the Data Importer to store or retain such personal data, the Data Importer will delete all such personal or non-personal data after the one-month period, whether they have been returned to the Data Exporter at its request or not.

3.3 Práva dotknutých osôb

(i) Vývozca údajov spravuje žiadosti dotknutých osôb a odpovedá na ne. Dovozca údajov nie je povinný odpovedať priamo dotknutým osobám.
(ii) Ak vývozca údajov vyžaduje pomoc dovozcu údajov pri spracovaní a odpovedaní na žiadosti dotknutej osoby, vývozca údajov vydá ďalšie pokyny v súlade s článkom 3.1 (ii) časti 1. Importér údajov pomôže vývozcovi údajov s nasledujúcimi vhodnými a technickými organizačnými opatreniami, aby bolo možné reagovať na žiadosti o výkon práv dotknutých osôb uvedených v kapitole III GDPR takto:
a. Pokiaľ ide o žiadosti o informácie, dovozca údajov poskytne vývozcovi údajov iba informácie požadované v článku 13 a 14 PGRD, ktoré môže mať k dispozícii, ak ich vývozca údajov nemôže nájsť sám.
b. Pokiaľ ide o žiadosti o prístup (článok 15 GDPR), dovozca údajov poskytne vývozcovi údajov iba tie informácie, ktoré sa majú poskytnúť dotknutej osobe na účely uvedenej žiadosti o prístup, ktoré môže mať k dispozícii, ak posledný to nemôže nájsť sám.
c. Pokiaľ ide o žiadosti o opravu (článok 16 GDPR), žiadosti o vymazanie (článok 17 GDPR), obmedzenie žiadostí o spracovanie (článok 18 GDPR) alebo žiadosti o prenosnosť (článok 20 GDPR) a iba ak vývozca údajov nemôže sám opraviť alebo vymazať, obmedziť alebo preniesť osobné údaje inej tretej strane, dovozca údajov ponúkne vývozcovi údajov možnosť opraviť alebo vymazať, obmedziť alebo preniesť dotknuté osobné údaje inej tretej strane, alebo ak to nie je možné, poskytne pomoc na opravu alebo vymazanie, obmedzenie alebo prenos dotknutých osobných údajov inej tretej strane.
d. Pokiaľ ide o oznámenie týkajúce sa opravy, vymazania alebo obmedzenia spracovania (článok 19 GDPR), dovozca údajov pomôže vývozcovi údajov upozornením všetkých príjemcov osobných údajov, ktorých zaangažoval dovozca údajov ako spracovateľov, ak o to vývozca údajov požiada a ak vývozca údajov nemôže situáciu napraviť sám.
e. Pokiaľ ide o právo na námietku uplatňované dotknutou osobou (články 21 a 22 GDPR), vývozca údajov určí, či je námietka oprávnená a ako sa s ňou vysporiada.
(iii) Povinnosti dovozcu údajov poskytnúť pomoc sú obmedzené na osobné údaje spracúvané v rámci jeho infraštruktúry (napr. databázy, systémy, aplikácie, ktoré vlastní alebo poskytuje dovozca údajov).
(iv) Vývozca údajov určí, či Dotknutá osoba môže vykonávať práva Dotknutých osôb uvedené v článku 3.1 tejto Časti 1, a informuje Dovozcu údajov o rozsahu pomoci uvedenej v článku 3.3 (ii), ( iii) časti 1 je potrebné.
(v) Ak vývozca údajov požaduje dodatočné alebo upravené technické a organizačné opatrenia na splnenie práv dotknutých osôb, ktoré presahujú rámec pomoci poskytovanej dovozcom údajov podľa odseku 3.3 (ii), (iii) časti 1, údaje Dovozca informuje Vývozcu údajov o nákladoch na implementáciu takýchto dodatočných alebo upravených technických a organizačných opatrení. Len čo vývozca údajov potvrdí, že dokáže uhradiť tieto náklady, dovozca údajov zavedie takéto dodatočné alebo upravené technické a organizačné opatrenia, aby pomohol vývozcovi údajov reagovať na žiadosti dotknutých osôb.
(vi) Bez obmedzenia rozsahu článku 3.3 (v) Časti 1 je Vývozca údajov povinný uhradiť Dovozcovi údajov jeho primerané výdavky, ktoré mu vznikli pri odpovedi na žiadosti Dotknutých osôb.

3.4 Čiastkové spracovanie

(i) Exportér údajov povoľuje dovozcovi údajov využívať subdodávateľov na poskytovanie služieb podľa tohto dodatku. Dovozca údajov si takýchto spracovateľov údajov starostlivo vyberie. Vývozca údajov schvaľuje spracovateľov údajov uvedených v prílohe 1.1 na konci časti 2.
(ii) Dovozca údajov prevedie svoje povinnosti podľa tohto dodatku na spracovateľov údajov v rozsahu uplatniteľnom na subdodávateľské služby.
(iii) Dovozca údajov môže podľa vlastného uváženia prepustiť, nahradiť alebo vymenovať iného vhodného a spoľahlivého spracovateľa údajov. Ak o to vývozca údajov písomne požiada, dovozca údajov musí postupovať podľa nižšie uvedeného postupu:

a. Dovozca údajov informuje vývozcu údajov pred akýmikoľvek zmenami v zozname spracovateľov údajov uvedených v článku 3.4 (i) časti 1. Ak vývozca údajov nevznesie námietky podľa článku 3.4. b) časti 1 tridsať dní po prijatí oznámenia od dovozcu údajov sa ďalší spracovatelia údajov považujú za akceptovaných.
b. Ak má vývozca údajov legitímny dôvod namietať voči ďalšiemu spracovateľovi údajov, vopred to písomne oznámi dovozcovi údajov do tridsiatich dní od prijatia oznámenia od dovozcu údajov a pred uvedením služby dovozcu údajov do prevádzky. Ak má vývozca údajov námietky proti používaniu ďalšieho procesora údajov, dovozca údajov môže námietku odstrániť jednou z nasledujúcich možností (zvolených podľa vlastného uváženia): (A) dovozca údajov zruší svoje plány na používanie ďalšieho spracovateľa, pokiaľ ide o osobné údaje vývozcu údajov; (B) Dovozca údajov prijme nápravné opatrenia požadované Exportérom údajov vo svojej námietke (zrušenie námietky) a použije dodatočného spracovateľa, pokiaľ ide o osobné údaje Vývozcu údajov;(C) Dovozca údajov môže prestať poskytovať alebo Exportér údajov môže súhlasiť s tým, že nebude používať (dočasne alebo trvalo) konkrétny aspekt služby, ktorý by zahŕňal používanie osobných údajov vývozcu údajov ďalším spracovateľom údajov.

(iv) if the Data processor is based outside the EU-EEA in a country that is not recognized as offering an adequate level of data protection following a decision of the European Commission, the Data Importer will take the measures to comply with an adequate level of data protection in accordance with the GDPR (such measures may include - among others and - the use of data processing contracts based on the clauses of the EU Model, transfer to self-certified Data processors in the framework of the EU-US Protection Shield, or a similar program).

3.5 Uplynutie platnosti

Ukončenie platnosti tohto Dodatku je totožné s dátumom ukončenia platnosti príslušnej Zmluvy. Ak nie je v tomto dodatku stanovené inak, práva a povinnosti súvisiace s ukončením zmluvy sú rovnaké ako tie, ktoré sú uvedené v zmluve.

4. Obmedzenie zodpovednosti

4.1 Každá strana plní svoje povinnosti podľa tohto dodatku a príslušných právnych predpisov o ochrane údajov.

4.2 Akákoľvek zodpovednosť súvisiaca s porušením povinností podľa tohto dodatku alebo príslušných právnych predpisov o ochrane údajov bude podliehať a bude sa riadiť ustanoveniami o zodpovednosti uvedenými v zmluve alebo platnými pre zmluvu, pokiaľ nie je v tomto dodatku stanovené inak. Ak sa zodpovednosť riadi ustanoveniami o zodpovednosti uvedenými v Zmluve alebo sa na ňu vzťahujú, pokiaľ ide o výpočet limitov zodpovednosti alebo určenie uplatnenia iných obmedzení zodpovednosti, bude sa mať za to, že akákoľvek zodpovednosť vyplývajúca z tohto Dodatku vzniká na základe Zmluvy.

5. Všeobecné ustanovenia

5.1 V prípade akýchkoľvek nezrovnalostí alebo nezrovnalostí medzi časťami 1 a 2 tohto dodatku má prednosť časť 2. Konkrétne, aj v takom prípade zostáva v platnosti časť 1, ktorá jednoducho presahuje časť 2 (tj podmienky štandardných klauzúl) bez toho, aby bola v rozpore.

5.2 Ak vznikne akýkoľvek rozpor medzi ustanoveniami tohto dodatku a ustanoveniami iných zmlúv, ktoré sú záväzné pre zmluvné strany, tento dodatok má prednosť, pokiaľ ide o povinnosti zmluvných strán v oblasti ochrany údajov. V prípade pochybností, či sa ustanovenia v iných zmluvách týkajú povinností zmluvných strán v oblasti ochrany údajov, má prednosť tento dodatok.

5.3 Ak je niektoré ustanovenie tohto dodatku neplatné alebo nevymáhateľné, zvyšok tohto dodatku zostane v plnej platnosti a účinnosti. Neplatné alebo nevykonateľné ustanovenie bude (i) zmenené tak, aby bola zabezpečená jeho platnosť a vykonateľnosť, pričom sa v maximálnej možnej miere zachová vôľa strán, alebo – ak to nie je možné – (ii) bude interpretované tak, ako keby neplatná alebo nevykonateľná časť mala nikdy nebolo súčasťou zmluvy. Vyššie uvedené platí aj v prípade vynechania tohto dodatku.

5.5 Zmluvné strany môžu v nevyhnutnom rozsahu požiadať o zmeny časti 1, doložky 3 (Súlad s miestnym právom) alebo iných častí dodatku, aby boli v súlade s výkladmi, smernicami alebo príkazmi vydanými príslušnými orgánmi Únie alebo Členské štáty, vnútroštátne ustanovenia o presadzovaní práva alebo akýkoľvek iný právny vývoj týkajúci sa GDPR alebo iných podmienok delegovania na akékoľvek subjekty zapojené do spracovania údajov a konkrétne v súvislosti s používaním štandardných zmluvných doložiek v GDPR. Podmienky štandardných zmluvných doložiek nemožno upravovať ani nahrádzať, pokiaľ to Európska komisia výslovne neschváli (napr. novými primeranými doložkami a normami na ochranu údajov).

5.6 Akýkoľvek odkaz v tomto Dodatku na „Články“ sa má chápať ako odkaz na všetky ustanovenia tohto Dodatku, pokiaľ nie je uvedené inak.

5.7 Voľba práva uvedená v časti 2, bode 9. sa vzťahuje na celú Zmluvu.

6. Osobné údaje prenášané a spracovávané stranami na osobné účely (prenos od prevádzkovateľa údajov prevádzkovateľovi)

6.1 Zmluvné strany si sú plne vedomé toho, že určité osobné údaje budú prenesené od Vývozcu údajov Dovozcovi údajov a naopak a že tieto údaje každá Strana spracúva na svoje vlastné účely. Pokiaľ ide o takéto osobné údaje, neovplyvňujú ostatné ustanovenia tohto dodatku (okrem tohto bodu 6).

6.2 Vývozca údajov môže preniesť osobné údaje týkajúce sa zamestnancov dovozcu údajov dovozcovi údajov, vrátane informácií o bezpečnostných incidentoch, alebo akýchkoľvek iných dokumentov alebo súborov vytvorených alebo zriadených vývozcom údajov v súvislosti so službami poskytovanými pracovníkmi spoločnosti importér údajov. Dovozca údajov môže takéto osobné údaje spracúvať na svoje vlastné účely, najmä v rámci svojich profesionálnych vzťahov s pracovníkmi dovozcu údajov, na kontrolu kvality a školenia alebo na obchodné účely.

6.3. Dovozca údajov môže preniesť osobné údaje vývozcovi údajov vrátane mena a kontaktných údajov zamestnancov dovozcu údajov. Vývozca údajov môže spracúvať takéto osobné údaje na vlastné účely.

6.4 Obidve strany budú pri zhromažďovaní, spracúvaní a používaní takýchto osobných údajov prijatých od druhej strany podľa odseku 1 časti 1 dodržiavať všetky príslušné zákony na ochranu údajov vrátane GDPR. Obe strany prijmú najmä primerané bezpečnostné opatrenia za predpokladu, že podobnú úroveň ochrany ako bezpečnostné opatrenia uvedené v dodatku 2 časti 2. Akýkoľvek prístup k takýmto osobným údajom je obmedzený na potrebu ich poznať.

6.5 Obe strany musia vymazať takéto osobné údaje čo najskôr po dosiahnutí cieľov.

Časť 2

ROZHODNUTIE KOMISIE

dňa 5. februára 2010

o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom údajov usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES

bod 1

Definície

a) „osobné údaje“, „osobitné kategórie údajov“, „spracovanie/spracovanie“, „prevádzkovateľ“, „spracovateľ“, „dotknutá osoba“ a „dozorný orgán“ majú rovnaký význam ako v smernici 95/46/ES smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov (1);

b) „vývozca údajov“ je prevádzkovateľ, ktorý prenáša osobné údaje;

c) „Dovozca údajov“ je sprostredkovateľ údajov, ktorý súhlasí s tým, že od vývozcu údajov dostane osobné údaje, ktoré majú byť spracované v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podľa podmienok týchto odsekov a ktorý nie je podlieha mechanizmu tretej krajiny, ktorý zabezpečuje primeranú ochranu v zmysle článku 25 ods. 1 smernice 95/46/ES; (d) „Spracovateľ údajov“ znamená spracovateľa údajov najatého dovozcom údajov alebo akýmkoľvek iným spracovateľom údajov dovozcu údajov, ktorý súhlasí s tým, že od dovozcu údajov alebo akéhokoľvek iného spracovateľa údajov dovozcu údajov dostane osobné údaje výlučne na účely spracovania vykonávať v mene vývozcu údajov po prenose v súlade s pokynmi vývozcu údajov,za podmienok stanovených v týchto doložkách a za podmienok písomnej subdodávky zmluvy o spracovaní údajov;

e) „uplatniteľné právo na ochranu údajov“ znamená právne predpisy na ochranu základných práv a slobôd jednotlivcov vrátane práva na súkromie v súvislosti so spracovaním osobných údajov, ktoré sa vzťahujú na prevádzkovateľa v členskom štáte, v ktorom má vývozca údajov sídlo;

f) „technické a organizačné opatrenia týkajúce sa bezpečnosti“? znamená opatrenia určené na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez siete, a pred všetkými ostatnými nezákonnými formami spracovania.

bod 2

Podrobnosti o prevode

Podrobnosti o prenose, v prípade potreby vrátane osobitných kategórií osobných údajov, sú uvedené v dodatku 1, ktorý tvorí neoddeliteľnú súčasť týchto ustanovení.

bod 3

Doložka o oprávnenej tretej strane

1. Dotknutá osoba môže voči vývozcovi údajov uplatniť tento článok, článok 4(b) až (i), článok 5(a) až (e) a (g) až (j), článok 6(1) a (2) ), článok 7, článok 8 ods. 2 a články 9 až 12 ako príjemca tretej strany

2. Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči dovozcovi údajov, ak má vývozca údajov fyzicky zanikol alebo zanikol zo zákona, pokiaľ všetky jeho zákonné povinnosti neprešli zmluvou alebo zo zákona na nástupnícky subjekt, na ktorý sa teda práva a povinnosti vývozcu údajov vracajú a voči ktorému údaje subjekt teda môže uvedené doložky uplatniť.

Dotknutá osoba môže uplatniť tento článok, článok 5 (a) až (e) a (g), článok 6, článok 7, článok 8 (2) a články 9 až 12 voči spracovateľovi údajov, ale iba v prípadoch, keď údaje Vývozca a dovozca údajov fyzicky zmizli, zanikli zo zákona alebo sa dostali do platobnej neschopnosti, pokiaľ všetky zákonné povinnosti vývozcu údajov neprešli zmluvou alebo zo zákona na právneho nástupcu, na ktorého práva a povinnosti vývozcu údajov sú teda zverené a voči komu si dotknutá osoba môže uplatniť takéto doložky. Takáto zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti podľa týchto odsekov.

4. Strany nenamietajú proti tomu, aby bola dotknutá osoba zastupovaná združením alebo iným orgánom, ak si to želá a ak to vnútroštátne právo umožňuje.

bod 4

Povinnosti Exportéra údajov

Exportér údajov akceptuje a garantuje nasledovné:

a) spracovanie vrátane samotného prenosu osobných údajov sa vykonávalo a naďalej bude vykonávať v súlade s príslušnými ustanoveniami platných právnych predpisov o ochrane údajov (a prípadne bolo oznámené príslušným orgánom členského štátu v ktorej má vývozca údajov sídlo) a neporušuje príslušné ustanovenia tohto štátu;

b) dali pokyn a počas trvania služieb spracovania osobných údajov dajú pokyn, aby dovozca údajov spracúval prenesené osobné údaje výlučne v mene vývozcu údajov a v súlade s platnými právnymi predpismi o ochrane údajov a týmito doložkami;

c) Dovozca údajov poskytne dostatočné záruky týkajúce sa technických a organizačných bezpečnostných opatrení uvedených v Prílohe 2 k tejto zmluve;

d) po vyhodnotení požiadaviek platných právnych predpisov na ochranu údajov sú bezpečnostné opatrenia primerané na ochranu osobných údajov pred náhodným alebo nezákonným zničením alebo náhodnou stratou, zmenou, neoprávneným zverejnením alebo prístupom, najmä ak spracovanie zahŕňa prenos údajov cez sieť a proti všetkým ostatným nezákonným formám spracovania a zabezpečiť úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť, so zreteľom na úroveň technológie a náklady na implementáciu;

e) zabezpečia dodržiavanie bezpečnostných opatrení;

f) ak sa prenos týka osobitných kategórií údajov, dotknutá osoba bola alebo bude informovaná pred prenosom alebo čo najskôr po prenose, že jej údaje možno preniesť do tretej krajiny, ktorá neponúka primeranú úroveň ochrany v zmysle smernice 95/46/ES;

g) zašlú akékoľvek oznámenie prijaté od dovozcu údajov alebo akéhokoľvek spracovateľa údajov podľa článkov 5 (b) a 8 (3) dozornému orgánu pre ochranu údajov, ak sa rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie;

h) sprístupnia dotknutým osobám, ak o to požiadajú, kópiu týchto doložiek, s výnimkou dodatku 2, a súhrnný popis bezpečnostných opatrení a kópiu akejkoľvek ďalšej subdodávateľskej zmluvy uzavretej podľa týchto doložiek, pokiaľ Doložky alebo dohoda obsahujú obchodné informácie, v takom prípade môže tieto informácie stiahnuť;

i) v prípade subdodávateľského procesu spracovania údajov je spracovateľská činnosť vykonávaná v súlade s článkom 11 spracovateľom údajov, ktorý poskytuje minimálne rovnakú úroveň ochrany osobných údajov a práv dotknutej osoby ako dovozca údajov podľa týchto článkov ; a

j) zabezpečí súlad s odsekom 4 písm. a) až i).

bod 5

Povinnosti importéra údajov

Importér údajov akceptuje a garantuje nasledovné:

a) budú spracúvať osobné údaje iba v mene Exportéra údajov a podľa pokynov Exportéra údajov a týchto doložiek; ak z akéhokoľvek dôvodu nemôže vyhovieť, súhlasia s tým, že budú čo najskôr informovať vývozcu údajov o svojej neschopnosti, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu;

b) nemajú dôvod domnievať sa, že právo, ktoré sa na nich vzťahuje, mu bráni v plnení pokynov poskytnutých exportérom údajov a povinností, ktoré mu vyplývajú zo zmluvy, a ak takéto právo podlieha zmene, ktorá by mohla mať podstatnú nevýhodu, vplyv na záruky a povinnosti podľa doložiek, oznámi túto zmenu vývozcovi údajov bezodkladne po tom, čo sa o nej dozvie, pričom v takom prípade môže vývozca údajov pozastaviť prenos údajov a/alebo ukončiť zmluvu; c) pred spracovaním prenesených osobných údajov zaviedli technické a organizačné bezpečnostné opatrenia uvedené v dodatku 2;

d) bezodkladne oznámia vývozcovi údajov:

i) akákoľvek záväzná žiadosť orgánu činného v trestnom konaní o sprístupnenie osobných údajov, ak nie je uvedené inak, ako je napríklad trestný zákaz zameraný na zachovanie tajomstva policajného vyšetrovania;

ii) akýkoľvek náhodný alebo neoprávnený prístup; a

iii) každej žiadosti prijatej priamo od dotknutých osôb bez toho, aby na ňu odpovedali, pokiaľ na to nebola oprávnená; správcovia

e) budú promptne a riadne riešiť všetky otázky vývozcu údajov týkajúce sa jeho spracúvania prenášaných osobných údajov a budú konať podľa názoru dozorného orgánu týkajúceho sa spracúvania prenášaných údajov;

f) na žiadosť vývozcu údajov podrobia svoje zariadenia na spracovanie údajov auditu spracovateľských činností, na ktoré sa vzťahujú tieto doložky, ktorý vykoná vývozca údajov alebo dozorný orgán zložený z nezávislých členov s požadovanou odbornou kvalifikáciou, podlieha povinnosti mlčanlivosti a vybral si ho vývozca údajov, ak je to vhodné, so súhlasom dozorného orgánu;

g) sprístupnia dotknutej osobe, ak o to požiada, kópiu týchto doložiek alebo akejkoľvek existujúcej subdodávateľskej zmluvy o spracovaní údajov, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie, v takom prípade môže takéto doložky odstrániť informácie okrem dodatku 2, ktorý bude nahradený súhrnným popisom bezpečnostných opatrení, ak dotknutá osoba nemôže získať kópiu od vývozcu údajov;

h) v prípade dôverných ďalších subdodávok spracovania údajov zabezpečí, aby o tom vopred informoval vývozcu údajov a získal písomný súhlas vývozcu údajov;

i) služby spracovania poskytované spracovateľom údajov budú v súlade s článkom 11;

j) bezodkladne zašlú kópiu akejkoľvek subdodávky zmluvy o spracovaní údajov, ktorú uzavrel podľa týchto doložiek, vývozcovi údajov.

bod 6

Zodpovednosť

1. Zmluvné strany sa dohodli, že každá dotknutá osoba, ktorá utrpela škodu v dôsledku porušenia povinností uvedených v článku 3 alebo článku 11 jednou stranou alebo spracovateľom údajov, môže od vývozcu údajov získať náhradu za vzniknutú škodu.

2. Ak dotknutá osoba nemôže podať žalobu o náhradu škody, ako je uvedené v odseku 1, proti vývozcovi údajov z dôvodu, že dovozca údajov alebo jeho spracovateľ údajov nesplní niektorú zo svojich povinností podľa článku 3 alebo článku 11, pretože údaje Vývozca fyzicky zmizol, prestal podľa zákona existovať alebo sa stal platobne neschopným, Dovozca údajov súhlasí s tým, že dotknutá osoba môže podať sťažnosť proti nemu, ako keby to bol Vývozca údajov, pokiaľ neboli na základe zmluvy prevedené všetky zákonné povinnosti Vývozcu údajov. alebo zo zákona na jeho nástupnícky subjekt, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva. Dovozca údajov sa nemôže spoliehať na porušenie svojich povinností zo strany spracovateľa údajov, aby sa vyhol vlastnej zodpovednosti.

3. Ak dotknutej osobe bránia podať žalobu uvedenú v odsekoch 1 a 2 proti vývozcovi údajov alebo dovozcovi údajov za porušenie povinností spracovateľa údajov podľa odseku 3 alebo odseku 11, pretože vývozca údajov a dovozca údajov fyzicky zmizli, prestali existovať zo zákona alebo sa stali platobne neschopnými, Spracovateľ súhlasí s tým, že dotknutá osoba môže podať sťažnosť týkajúcu sa jej vlastných spracovateľských činností v súlade s týmito doložkami, ako keby bola vývozcom údajov alebo dovozcom údajov, pokiaľ všetky zákonné povinnosti Vývozcu údajov alebo Dovozcu údajov prešli zmluvou alebo zo zákona na právneho nástupcu, voči ktorému si potom môže dotknutá osoba uplatniť svoje práva.Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito bodmi.

bod 7

Mediácia a súdna právomoc

1. Dovozca údajov súhlasí s tým, že ak sa dotknutá osoba podľa doložiek bude voči nemu dovolávať práva príjemcu tretej strany a/alebo bude požadovať náhradu za utrpenú ujmu, bude akceptovať rozhodnutie dotknutej osoby:

a) predložiť spor na mediáciu nezávislej osobe alebo prípadne dozornému orgánu;

b) predložiť spor na súdy členského štátu, v ktorom má sídlo vývozca údajov.

2. Zmluvné strany sa dohodli, že výber uskutočnený dotknutou osobou neovplyvní procesné alebo hmotné právo dotknutej osoby získať nápravu v súlade s inými ustanoveniami vnútroštátneho alebo medzinárodného práva.

bod 8

Spolupráca s dozornými orgánmi

1. Vývozca údajov súhlasí s uložením kópie tejto zmluvy u dozorného orgánu, ak si to dozorný orgán vyžiada alebo ak takéto uloženie umožňuje príslušný zákon o ochrane údajov.

2. Zmluvné strany sa dohodli, že dozorný orgán môže vykonávať kontroly u dovozcu údajov a akéhokoľvek spracovateľa údajov v rovnakom rozsahu a za rovnakých podmienok ako pri kontrolách vykonávaných u vývozcu údajov v súlade s platnými právnymi predpismi o ochrane údajov.

3. Dovozca údajov čo najskôr informuje vývozcu údajov o existencii právnych predpisov týkajúcich sa dovozcu údajov alebo akéhokoľvek spracovateľa údajov, ktoré bránia overeniu u dovozcu údajov alebo akéhokoľvek spracovateľa údajov v súlade s odsekom 2. V takom prípade Vývozca údajov môže prijať opatrenia uvedené v doložke 5 písm. b).

bod 9

Platné právo

Doložky sa uplatňujú a riadia sa právom členského štátu, v ktorom má vývozca údajov sídlo.

Ustanovenie 10

Úprava zmluvy

Zmluvné strany sa zaväzujú nezmeniť tieto doložky. Zmluvné strany majú možnosť zahrnúť ďalšie obchodné doložky, ktoré považujú za potrebné, za predpokladu, že nie sú v rozpore s týmito doložkami.

Ustanovenie 11

Následné subdodávky

1. Dovozca údajov nezadá žiadne zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek bez predchádzajúceho písomného súhlasu vývozcu údajov. Dovozca údajov zadá svoje povinnosti podľa týchto doložiek subdodávateľom iba so súhlasom vývozcu údajov prostredníctvom písomnej dohody so spracovateľom údajov, ktorá ukladá spracovateľovi údajov rovnaké povinnosti, ako sú povinnosti uložené dovozcovi údajov podľa týchto doložiek. Ak spracovateľ údajov nemôže splniť svoje povinnosti v oblasti ochrany údajov podľa tejto písomnej zmluvy, dovozca údajov zostáva plne zodpovedný voči vývozcovi údajov za splnenie týchto povinností.

2. Predchádzajúca písomná dohoda medzi Dovozcom údajov a Spracovateľom údajov bude obsahovať aj doložku o oprávnení tretej strany, ako je uvedené v článku 3 pre prípady, keď dotknutej osobe bráni uplatniť nárok na náhradu škody podľa článku 6 ods. ), voči vývozcovi údajov alebo dovozcovi údajov, pretože vývozca alebo dovozca údajov fyzicky zmizol, prestal existovať zo zákona alebo sa stal insolventným a všetky zákonné povinnosti vývozcu alebo dovozcu údajov neboli prevedené zmluvou alebo operáciou zákona, na iný nástupnícky subjekt. Zodpovednosť spracovateľa údajov musí byť obmedzená na jeho vlastné spracovateľské činnosti v súlade s týmito doložkami.

3. Ustanovenia týkajúce sa aspektov ochrany údajov subdodávateľského spracovania údajov zmluvy uvedeného v odseku 1 sa riadia právom členského štátu, v ktorom má vývozca údajov sídlo.

4. Vývozca údajov vedie zoznam subdodávateľských zmlúv o spracovaní údajov uzatvorených podľa týchto doložiek a oznámených dovozcom údajov v súlade s odsekom 5 písm. j), ktorý sa aktualizuje najmenej raz ročne. Tento zoznam sa sprístupní dozornému orgánu pre ochranu údajov vývozcu údajov.

Ustanovenie 12

Obligation after the termination of personal data processing services

1. Zmluvné strany sa dohodli, že po ukončení služieb spracovania údajov dovozca údajov a spracovateľ údajov podľa želania vývozcu údajov vrátia všetky prenesené osobné údaje a ich kópie vývozcovi údajov alebo zničia všetky takéto údaje a poskytnú dôkaz likvidáciu vývozcovi údajov, pokiaľ právne predpisy uložené dovozcovi údajov nebránia vo vrátení alebo zničení všetkých alebo časti prenesených osobných údajov. V takom prípade sa Dovozca údajov zaručuje, že zabezpečí dôvernosť prenášaných osobných údajov a že údaje už nebude aktívne spracúvať.

2. Dovozca údajov a spracovateľ údajov zabezpečia, že ak o to vývozca údajov a/alebo dozorný orgán požiada, podrobia svoje prostriedky spracovania údajov overeniu opatrení uvedených v odseku 1.

Príloha 1.1 k časti 2

Podrobnosti o prevode

Exportér údajov

Exportér údajov je Zákazník definovaný v Zmluvnej dohode.

Importér údajov

Importér údajov je POSTODEZIP a je poverený spracovaním údajov a poskytovaním služieb Exportérovi údajov.

Subjekty údajov

Prenášané osobné údaje sa týkajú nasledujúcich kategórií dotknutých osôb:

â˜?? telefónnych účastníkov uvedených v univerzálnom zozname

„ Iné, vrátane:

Kategórie údajov

The personal data transferred concern the following categories of data:

Categories of personal data of the Data Exporter's data subjects in particular,

☒ Full name

☒ Postal address

☒ Contact details (e-mail, telephone, IP address, etc.)

☒ Details of marketing activities concerning the telephone subscriber

☒ Others, including the type of housing, income, and average ages by the city made anonymously

Špeciálne kategórie údajov (ak existujú)

Prenášané osobné údaje sa týkajú týchto osobitných kategórií údajov:

„ Prenos osobitných kategórií údajov sa nepredpokladá

â˜?? Rasový alebo etnický pôvod

â˜?? Náboženské alebo filozofické presvedčenia

â˜?? Členstvo v odboroch

â˜?? Politické názory

â˜?? Genetické informácie

â˜?? Biometrické informácie

â˜?? Informácie o sexuálnej orientácii alebo sexuálnom živote

â˜?? Zdravotné údaje

Processing activities

Prenesené osobné údaje budú podliehať nasledujúcim základným spracovateľským činnostiam:

• Účel spracovania

Spracovanie vykonávané v mene vývozcu údajov je založené na nasledujúcich subjektoch, najmä:

â˜' Prevzatie produktov alebo služieb ponúkaných Exportérom údajov

â˜' Ponuka produktu alebo služby, o ktorú môže volaná osoba požiadať

â˜' Objednávky prijaté od volaných osôb a ďalšie spracovanie týchto objednávok

â˜' Študijné dotazníky a analýzy

â˜' Telemarketing

â˜?? Iné, vrátane:

• Povaha a účel spracovania

Dovozca údajov spracúva osobné údaje dotknutých osôb v mene Vývozcu údajov za účelom poskytovania nasledujúcich služieb, a to najmä:

â˜' Automatické vyplnenie formulára
â˜' Formulár na potvrdenie adresy

â˜' Predaj a marketing

â˜' Ostatné vrátane aktualizácie databáz radníc a politických strán

• Poskytovanie služieb a zamestnávanie poskytovateľov služieb

POSTCODEZIP hlavne kombinuje, centralizuje a poskytuje služby Exportérovi údajov. Služby poskytované uvedeným poskytovateľom služieb môžu byť štruktúrované (okrem iného podľa potreby) okolo nasledujúcich doplnkových služieb: (i) poskytovanie aplikácií, nástrojov, systémov a IT infraštruktúry vo vzťahu k používaným centrám spracovania údajov s cieľom poskytnúť a podporovať služby vrátane spracovania osobných údajov dotknutých osôb, ako je opísané vyššie, prostredníctvom takýchto aplikácií, nástrojov a systémov, (ii) poskytovanie IT podpory, údržby a iných služieb súvisiacich s takýmito aplikáciami, nástrojmi, systémami a IT infraštruktúru vrátane potenciálneho prístupu k osobným údajom uloženým v takýchto aplikáciách, nástrojoch a systémoch a (iii) poskytovanie služieb ochrany údajov, monitorovania ochrany a služieb reakcie na incidenty,vrátane potenciálneho prístupu k osobným údajom pri poskytovaní takýchto služieb ochrany. POSTCODEZIP môže na poskytovanie služieb, vrátane doplnkových služieb, zapojiť spracovateľov údajov, ako je uvedené nižšie.

• Externí poskytovatelia služieb tretích strán ako subentity pridelené na spracovanie údajov

POSTCODEZIP zapája externých poskytovateľov služieb a poskytovateľov služieb tretích strán, ktorí nie sú dcérskymi spoločnosťami POSTCODEZIP, na podporu poskytovania služieb Exportérovi údajov. Exportér údajov schvaľuje takýchto externých poskytovateľov služieb tretích strán ako podsubjekty pridelené na spracovanie údajov.

Ak sa podsubjekt zapojený do spracovania údajov nachádza mimo EÚ/EHP, v krajine, ktorá sa na základe rozhodnutia Európskej komisie považuje za krajinu, ktorá nemá primeranú úroveň ochrany údajov, dovozca údajov podnikne kroky na získanie primeranej úrovne ochrany údajov. ochranu údajov v súlade s GDPR a oddielom 3.4 (iv) časti 1.

Príloha 2, časť 2

Technické a organizačné ochranné opatrenia

Dovozca údajov prijme nasledujúce technické a organizačné ochranné opatrenia potvrdené vývozcom údajov, aby zaručil primeranú úroveň bezpečnosti práv a slobôd jednotlivcov v závislosti od rizík. Pri posudzovaní úrovne dotknutej ochrany vývozca údajov zohľadnil najmä riziká spojené so spracovaním, vrátane náhodného alebo nezákonného zničenia, zmeny, neoprávneného zverejnenia alebo prístupu k prenášaným, uchovávaným alebo inak spracovávaným osobným údajom. Na vysvetlenie: Tieto technické a organizačné ochranné opatrenia sa nevzťahujú na aplikácie, nástroje, systémy a/alebo IT infraštruktúru poskytovanú Exportérom údajov.

1 Všeobecné technické a organizačné ochranné opatrenia

1.1 Všeobecné informácie a stratégie ochrany údajov

Pri dodržiavaní všeobecných stratégií ochrany údajov a informácií je potrebné vykonať nasledujúce kroky:

a) prijať opatrenia na vyhodnotenie prijatých opatrení týkajúcich sa technickej a organizačnej ochrany;

b) poskytovať školenia na zvýšenie informovanosti zamestnancov;

c) mať popis príslušných systémov a poskytovať zamestnancom prístup;

d) zaviesť formálny proces dokumentácie vždy, keď sa systémy implementujú alebo upravia;

e) dokumentovanie organizačnej štruktúry, procesov, zodpovedností a príslušných hodnotení;

1.2 Organizácia ochrany informácií

Na koordináciu činností v oblasti ochrany údajov a informácií by sa mali prijať tieto opatrenia:

a) definované zodpovednosti za ochranu informácií a údajov (napr. prostredníctvom politiky riadenia ochrany údajov);

b) potrebné odborné znalosti v oblasti ochrany informácií a údajov, ktoré sú k dispozícii;

c) všetci zamestnanci sa zaviazali zabezpečiť dôvernosť osobných údajov a boli informovaní o možných dôsledkoch porušenia tohto záväzku.

1.3 Kontrola prístupu do oblastí spracovania

The following measures must be taken to prevent unauthorized persons from gaining access to data processing systems (in particular software and hardware) when personal data are processed, stored, or transmitted:

a) vytvoriť bezpečné oblasti;

b) chrániť a obmedzovať prístup k systémom spracovania údajov;

c) zriadiť prístupové oprávnenia pre zamestnancov a tretie strany vrátane príslušných dokumentov;

d) každý prístup do stredísk spracovania údajov, v ktorých sú uložené osobné údaje, sa zaprotokoluje.

1.4 Kontrola prístupu k systémom spracovania údajov

Aby sa zabránilo neoprávnenému prístupu do systémov spracovania údajov, musia sa prijať tieto opatrenia:

a) zásady a postupy overovania používateľov;

b) the use of passwords on all computer systems;

c) vzdialený prístup do siete vyžaduje viacfaktorovú autentifikáciu a udeľuje sa dotknutej osobe podľa jej povinností a na základe autorizácie;

d) prístup k špecifickým funkciám je založený na pracovných funkciách a/alebo atribútoch individuálne priradených k užívateľskému účtu;

e) prístupové práva súvisiace s osobnými údajmi sú pravidelne kontrolované;

f) záznamy o zmenách prístupových práv sú aktuálne.

1.5 Kontrola prístupu k jednotlivým oblastiam použitia systémov na spracovanie údajov

The following measures must be taken to ensure that authorized persons with the right to use the data processing system can only access data within their respective responsibilities and access authorizations and that personal data cannot be read, copied, modified, or deleted without authorization:

a) zásady, pokyny a školenia zamestnancov týkajúce sa povinností každého z nich o dôvernosti, právach na prístup k osobným údajom a rozsahu spracúvania osobných údajov;

b) disciplinárne opatrenia voči osobám, ktoré neoprávnene pristupujú k osobným údajom;

c) prístup k osobným údajom sa poskytuje len oprávneným osobám na základe potreby poznať;

d) viesť zoznam správcov systému a prijať vhodné opatrenia na monitorovanie správcov systému;

e) nekopírovať ani nereprodukovať osobné údaje v žiadnom úložnom systéme s cieľom umožniť neoprávneným osobám odstrániť informácie o pôvodcovi;

f) kontrolované a zdokumentované vymazanie alebo zničenie údajov;

g) bezpečne uchovávať všetky osobné údaje, ktoré musia byť uchovávané z právnych alebo regulačných dôvodov (napr. povinnosti uchovávať údaje), a to len tak dlho, ako to vyžaduje zákon.

1.6 Ovládanie prevodoviek

Aby sa zabránilo čítaniu, kopírovaniu, úprave alebo vymazaniu osobných údajov neoprávnenými tretími stranami počas prenosu alebo prepravy zariadení na ukladanie údajov (v závislosti od vykonávaného spracovania osobných údajov), je potrebné prijať nasledujúce opatrenia:

a) používanie brán firewall;

b) vyhýbanie sa ukladaniu osobných údajov na mobilné pamäťové zariadenia na účely prepravy alebo šifrovanie zariadení;
c) používať na notebookoch a iných mobilných zariadeniach až po aktivácii šifrovacej ochrany;

d) protokolovanie prenosov osobných údajov.

1.7 Kontrola zadávania údajov

Na zabezpečenie toho, aby bolo možné overiť a určiť, či boli osobné údaje vložené do systémov spracúvania údajov alebo z nich boli vymazané a kto ich vložil, je potrebné prijať tieto opatrenia:

a) zásady povoľovania čítania, zmeny a vymazania uložených údajov;

b) ochranné opatrenia týkajúce sa čítania, zmeny a vymazania uložených údajov.

1.8 Kontrola práce

In the case of delegated processing of personal data, the following measures must be taken to ensure that such data are processed in accordance with the instructions of the Supervisor:

a) subjekty alebo podsubjekty poverené spracúvaním údajov, ktoré boli starostlivo vybrané (poskytovatelia služieb spracúvajúci osobné údaje v mene prevádzkovateľa);

b) instructions concerning the scope of any processing of personal data to the employees, entities, or sub-entities assigned to the data processing;

c) práva na audit dohodnuté so subjektmi alebo podsubjektmi poverenými spracúvaním údajov;

d) uzatvorené dohody so subjektmi alebo podsubjektmi poverenými spracúvaním údajov.

1.10 Pseudonymizácia

V súvislosti s pseudonymizáciou osobných údajov je potrebné prijať tieto opatrenia:

a) Ak si vývozca údajov objedná konkrétnu spracovateľskú operáciu alebo ak to dovozca údajov považuje za vhodné v súlade s platnými zákonmi o ochrane údajov týkajúcich sa určitých spracovateľských činností, spracúvanie osobných údajov bude prebiehať tak, že údaje už nie je možné priradiť konkrétnej osobe bez použitia dodatočných informácií. Tieto dodatočné informácie budú uchovávané oddelene;

b) používanie pseudonymizačných techník vrátane randomizácie prideľovacieho zoznamu; vytváranie hodnôt vo forme ostrých predmetov.

1.11 Šifrovanie

Na zašifrovanie osobných údajov v aplikáciách a prenosoch, ktoré podporujú šifrovanie, je potrebné vykonať nasledujúce kroky:

a) používanie šifrovacích techník;

b) zavedenie správy šifrovania na podporu šifrovacích techník, ktoré sa majú používať;

c) podpora používania kryptografie prostredníctvom postupov a protokolov na generovanie, úpravu, zrušenie, ničenie, distribúciu, certifikáciu, ukladanie, zachytávanie, používanie a archiváciu kryptografických kľúčov na ochranu pred neoprávnenou úpravou a zverejnením.

1.12 Úplnosť systémov a služieb spracovania údajov

Na zabezpečenie úplnosti systémov a služieb spracovania údajov je potrebné prijať tieto opatrenia:

1. a) ochrana systémov spracovania údajov pred manipuláciou alebo zničením vhodnými prostriedkami (napr. antivírusový softvér, softvér na zabránenie straty údajov a softvér pred škodlivým softvérom, softvérové záplaty, firewally a riadená ochrana pracovnej plochy);

b) zakázať inštaláciu akejkoľvek služby alebo softvéru škodlivého pre systémy spracovania údajov, služby alebo manipuláciu s osobnými údajmi;

c) použitie systému detekcie a prevencie narušenia siete v štruktúre samotnej siete.

1.13 Dostupnosť systémov a služieb spracovania údajov a možnosť obnovenia prístupu k osobným údajom a ich používania v prípade materiálneho alebo technického incidentu

Na zabezpečenie dostupnosti systémov spracovania údajov, ako aj na rýchle obnovenie dostupnosti osobných údajov a prístupu k nim v prípade materiálneho alebo technického incidentu je potrebné prijať nasledujúce opatrenia (najmä zabezpečením toho, aby osobné údaje sú chránené pred náhodným zničením alebo stratou):

a) mať prostriedky kontroly na uchovávanie záložných kópií a obnovu stratených alebo vymazaných údajov;

b) nadbytočnosť infraštruktúry a testovanie výkonnosti;

c) fyzická ochrana počítačových zdrojov;

d) používanie nástrojov na monitorovanie stavu a dostupnosti vnútornej siete;

e) zásady hlásenia a reakcie na incidenty, ktorými sa riadi postup riadenia incidentov, a opakovanie dodržiavania týchto zásad ako súčasť pravidelného školenia;

f) zálohy (niekedy mimo lokality) na obnovenie systému, aby mohol znova vykonávať svoje funkcie;

g) plány na zabezpečenie kontinuity prevádzky/obnovy po havárii

1.14 Odolnosť systémov a služieb na spracovanie údajov

Na zabezpečenie odolnosti systémov a služieb spracovania údajov sa musia prijať tieto opatrenia:

a) systémy a sú harmonicky nakonfigurované s použitím schválených bezpečnostných parametrov;

b) redundancia siete;

c) ochrana kritických systémov v kontajnmente.

1.15 Postup pravidelného testovania, vyhodnocovania a posudzovania účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracovania údajov

Postup pravidelného testovania, vyhodnocovania a posudzovania účinnosti technických a organizačných opatrení na ochranu spracúvania údajov.

a) prijať potrebné opatrenia na posúdenie rizík a stratégií na ich zmiernenie;

b) servisné analytické stretnutia oddelenia IT na riešenie aktuálnych problémov;

c) plány na zabezpečenie kontinuity prevádzky/obnovy po katastrofe sa pravidelne aktualizujú.

Časť 3

Podpisy strán a zoznam dovozcov údajov

When you fill in the online order form and validate it by ticking the box accepting the general terms and conditions of use, the contract governing the relationship between the Customer and POSTCODEZIP is established.

Sending the payment to POSTCODEZIP will consider the contract agreed to and established.

Poznámka: Tento text bol preložený z francúzštiny. Pôvodná francúzska verzia, ktorá je platná a právne obmedzujúca, je dostupná tu .