Zpět na hlavní stránku / Všeobecné obchodní podmínky/ Zpracování dat příloha

Zpracování dat příloha

 

Tento dodatek tvoří nedílnou součást smlouvy a uzavírá jej:

 

  1. (i) Klient (" Exportér údajů ")
  2. (ii) IQUALIF (" Importér údajů ")

 

Každý z nich je „ strana “ a obvykle „ strana “.

 

Preambule

KDE importér dat poskytuje profesionální softwarové služby, počítačové a související služby (jako jsou prohlížeče s pokročilými funkcemi vyhledávání);

KDE na základě Smlouvy dovozce dat souhlasil s poskytováním služeb uvedených ve Smlouvě vývozci dat (dále jen „ Služby “);

KDE poskytováním Služeb dovozce údajů získává nebo má prospěch z přístupu k informacím vývozce údajů nebo informacím jiných osob, které mají (potenciální) vztah s vývozcem údajů, mohou být takové informace kvalifikovány jako osobní údaje ve smyslu nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „ GDPR “) a dalšími platnými zákony na ochranu údajů.

KDE tento dodatek obsahuje podmínky, které se vztahují na shromažďování, zpracování a používání takových osobních údajů dovozcem údajů v jeho postavení oprávněného zpracovatele údajů vývozce údajů, aby bylo zajištěno, že strany dodržují platné zákony na ochranu údajů .

 

PROTO, a aby Strany mohly pokračovat ve svém vztahu zákonně, uzavřely Strany tento Dodatek takto:

Část 1

 

1. Struktura dokumentu a definice

1.1 Struktura

Tento dodatek se skládá z následujících částí:

 

Část 1: 

obsahuje obecná ustanovení, např. týkající se definic použitých v tomto dodatku, souladu s místními zákony, načasování a ukončení

 

Část 2:

obsahuje tělo nezměněného dokumentu Standardní smluvní doložky

 

Dodatek 1.1 části 2:

obsahuje podrobnosti o operacích zpracování, které dovozce údajů poskytl vývozci údajů jako oprávněnému zástupci zpracování údajů (včetně zpracování, povahy a účelu zpracování, typu osobních údajů a kategorií subjektů údajů) podle tohoto slepé střevo

 

Dodatek 2 části 2:

obsahuje popis technických a organizačních bezpečnostních opatření dovozce údajů, která jsou uplatňována v souvislosti se všemi činnostmi zpracování popsanými v příloze 1.1 části 2.

 

Část 3:

obsahuje podpisy stran, které mají být vázány tímto dodatkem, a identifikuje každého dovozce údajů

 

 

1.2 Terminologie a definice

Pro účely tohoto dodatku platí terminologie a definice používané v GDPR (v těle dokumentu Standardní smluvní doložka v části 2, kde definované pojmy nejsou velkými písmeny). 

 

"Členský stát"

znamená zemi, která patří do Evropské unie nebo Evropského hospodářského prostoru

 

"Zvláštní kategorie (osobních) údajů"

jde o osobní údaje prozrazující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech a dále genetické údaje, biometrické údaje, pokud jsou zpracovávány za účelem jednoznačné identifikace osoby, údaje o zdraví, údaje o pohlaví osoby život nebo sexuální orientaci

 

"Standardní smluvní doložky"

se rozumí Standardní smluvní doložky pro předávání osobních údajů zpracovatelů usazených ve třetích zemích podle rozhodnutí Komise 2010/87/EU ze dne 5. února 2010, které bylo změněno prováděcím rozhodnutím Komise (EU) 2016/2297 ze dne 16. prosince 2016

 

“Zpracovatel dat.

znamená jakýkoli zpracovatel nacházející se v EU/EHP nebo mimo ni, který souhlasí s tím, že od dovozce údajů nebo jiného zpracovatele dovozce údajů obdrží osobní údaje výhradně pro účely zpracování, které má vývozce údajů provést po přenést v souladu s pokyny exportéra dat, podmínkami tohoto dodatku a smlouvou s importérem dat

 

 

 

2. Povinnosti Exportéra dat

2.1 Vývozce údajů má povinnost zajistit dodržování všech příslušných povinností podle GDPR a jakýchkoli dalších platných zákonů o ochraně údajů, které se na Vývozce údajů vztahují, a prokázat takové dodržování, jak vyžaduje čl. 5 odst. 2 GDPR. Vývozce údajů zaručuje, že dovozce údajů získal předchozí souhlas subjektů údajů v souladu s čl. 6 písm. a) GDPR a splnil svou povinnost informovat subjekty údajů v souladu s čl. 13 a 14 GDPR.

2.2 Exportér údajů musí poskytnout dovozci údajů příslušné soubory činností zpracování v souladu s čl. 30 odst. 1 GDPR související se službami podle tohoto dodatku, a to v rozsahu nezbytném k tomu, aby dovozce údajů splnil povinnost podle čl. 30 odst. 2 GDPR.

2.3 Vývozce údajů musí jmenovat pověřence nebo zástupce pro ochranu údajů v rozsahu požadovaném platnými zákony o ochraně údajů. Exportér údajů je povinen poskytnout dovozci údajů kontaktní údaje zástupce pro ochranu údajů nebo zástupce, pokud existuje.

2.4. Exportér údajů před dokončením zpracování potvrzuje přijetím tohoto dodatku, že technická a organizační bezpečnostní opatření dovozce údajů, jak jsou uvedena v příloze 2 k části 2, jsou vhodná a dostatečná k ochraně práv subjektu údajů a potvrzuje, že dovozce údajů poskytuje v tomto ohledu dostatečné záruky.

 

3. Soulad s místními zákony

Aby byly splněny požadavky na implementaci zpracovatelů podle článku 28 GDPR, platí následující změny:

 

3.1 Pokyny

  1. (i) Vývozce údajů dává pokyn dovozci údajů, aby zpracovával osobní údaje pouze jménem Vývozce údajů. Pokyny Exportéra dat jsou uvedeny v tomto dodatku a ve smlouvě. Vývozce údajů má povinnost zajistit, aby všechny pokyny byly předány dovozci údajů v souladu s platnými zákony na ochranu údajů. Dovozce údajů musí zpracovávat osobní údaje pouze v souladu s pokyny poskytnutými vývozcem údajů, pokud Evropská unie nebo právo členského státu nevyžaduje jinak (v druhém případě platí část 1 čl. 3.2 (iv) (c)) .
  2. (ii) Všechny ostatní pokyny jdoucí nad rámec pokynů uvedených v tomto dodatku nebo ve smlouvě musí být součástí předmětu tohoto dodatku a smlouvy. Pokud zavedení tohoto dodatečného pokynu znamená pro dovozce údajů náklady, bude dovozce údajů o těchto nákladech informovat vývozce údajů a před provedením pokynu poskytne vysvětlení. Až poté, co vývozce dat potvrdí přijetí těchto nákladů na provedení pokynu, provede dovozce údajů tento dodatečný pokyn. Vývozce údajů musí dát další pokyny písemně, pokud naléhavost nebo jiné zvláštní okolnosti nevyžadují jinou formu (např. ústní, elektronickou). Instrukce v jiné než písemné formě musí exportér dat bezodkladně písemně potvrdit.
  3. 1. Pokud vývozce údajů nemůže provést opravu, výmaz nebo omezení osobních údajů sám, mohou se pokyny týkat také opravy, výmazu a/nebo omezení osobních údajů, jak je uvedeno v části 1, bod 3.3.
  4. 2. Dovozce údajů musí neprodleně informovat vývozce údajů, pokud podle jeho názoru Pokyn porušuje GDPR nebo jiná platná ustanovení o ochraně údajů Evropské unie nebo členského státu („ sporný pokyn “Pokud dozorový úřad prohlásí napadený Pokyn za zákonný, Dovozce údajů napadený Pokyn provede. Část 1, odstavec 3.1 (ii), zůstane v platnosti.

 

3.2 Povinnosti dovozce údajů

  1. (i) Dovozce údajů musí zajistit, aby se osoby pověřené Dovozcem údajů zpracovávat osobní údaje jménem Exportéra údajů, zejména zaměstnanci Dovozce údajů a zaměstnanci kteréhokoli Subdodavatele, zavázaly dodržovat mlčenlivost nebo podléhaly odpovídající zákonnou povinnost mlčenlivosti a aby tyto osoby, které mají přístup k osobním údajům, zpracovávaly je v souladu s pokyny Exportéra údajů.
  2. (ii) Dovozce údajů musí před zpracováním osobních údajů jménem vývozce údajů zavést technická a organizační bezpečnostní opatření uvedená v příloze 2 k části 2. Dovozce údajů může čas od času změnit technická a organizační bezpečnostní opatření, pokud neposkytují nižší ochranu než ta, která jsou uvedena v Dodatku 2 k části 2.
  3. (iii) Dovozce údajů zpřístupní vývozci údajů na žádost vývozce údajů informace prokazující dodržování povinností dovozce údajů podle tohoto dodatku. Smluvní strany se dohodly, že tato informační povinnost je splněna tím, že vývozci dat poskytnou zprávu o auditu (zahrnující bezpečnost principů, dostupnost systému a důvěrnost) (dále jen „Auditní zpráva“). Pokud jsou ze zákona vyžadovány další auditní činnosti, může vývozce údajů požádat, aby kontroly provedl vývozce údajů nebo jiný auditor jmenovaný vývozcem údajů, s výhradou, že takový auditor uzavře smlouvu o mlčenlivosti s dovozcem údajů a dovozcem údajů přiměřené zadostiučinění ("Audit"). Tento audit podléhá následujícím podmínkám: (i) předchozí formální písemný souhlas dovozce údajů; a (ii) Exportér dat ponese veškeré náklady související s auditem na místě pro exportéra dat a importéra dat. Exportér dat musí vytvořit zprávu o auditu shrnující výsledky a pozorování auditu na místě (dále jen „zpráva o auditu na místě“). Zprávy o auditu na místě a zprávy o auditu jsou důvěrnými informacemi dovozce údajů a nesmějí být poskytnuty třetím stranám, pokud to nevyžaduje platný zákon na ochranu údajů nebo v souladu se souhlasem dovozce údajů.
  4. (iv) Dovozce údajů má povinnost bez zbytečného odkladu vývozci údajů oznámit:
    1. A. ohledně jakékoli právně závazné žádosti o zpřístupnění osobních údajů ze strany orgánu činného v trestním řízení, pokud není zakázáno jinak, jako je zákaz podle trestního práva na ochranu důvěrnosti vyšetřování činných v trestním řízení
    2. b. ohledně jakékoli stížnosti a žádosti obdržené přímo od subjektu údajů (např. ohledně přístupu, opravy, výmazu, omezení zpracování, přenositelnosti údajů, námitky proti zpracování údajů, automatizovaného rozhodování), aniž by na tuto žádost reagoval, ledaže by byl dovozce údajů oprávněn Učiň tak
    3. C. pokud je dovozce údajů nebo zpracovatel údajů povinen podle práva Evropské unie nebo členského státu, kterému dovozce údajů nebo zpracovatel údajů podléhá, ​​zpracovávat osobní údaje nad rámec pokynů vývozce údajů, a to před provedením takového zpracování nad rámec pokyny, pokud zákony Evropské unie nebo členského státu takové zpracování nezakazují z důvodů zásadního veřejného zájmu, v takovém případě musí oznámení vývozci údajů upřesnit právní požadavek podle tohoto práva Evropské unie nebo členského státu; nebo
    4. d. pokud dovozce údajů zjistí porušení osobních údajů výhradně kvůli sobě nebo jeho subdodavateli, které by ovlivnilo osobní údaje vývozce údajů, na které se vztahuje tato smlouva, v takovém případě bude dovozce údajů pomáhat vývozci údajů v jeho povinnosti, v souladu s platnými právními předpisy o ochraně údajů informovat subjekty údajů a případně dozorové orgány poskytnutím informací, které má k dispozici, v souladu s článkem 33 (3) GDPR.
    5. (v) Na žádost vývozce údajů je dovozce údajů nucen pomoci vývozci údajů v jeho povinnosti provést posouzení vlivu na ochranu údajů, které může být vyžadováno článkem 35 GDPR, a předchozí konzultaci, která může být vyžadované článkem 36 GDPR týkající se služeb poskytovaných dovozcem údajů vývozci údajů podle tohoto dodatku, poskytování nezbytných informací a informací vývozci údajů. Dovozce údajů bude povinen takovou pomoc poskytnout pouze v případě, že vývozce údajů nemůže splnit svou povinnost jiným způsobem. Importér údajů bude informovat vývozce údajů o ceně takové pomoci. Jakmile exportér dat potvrdí, že tyto náklady unese, poskytne importér dat exportérovi dat tuto pomoc.
    6. (vi) Po ukončení poskytování služeb může vývozce údajů požádat o vrácení osobních údajů zpracovávaných dovozcem údajů podle tohoto dodatku do jednoho měsíce po poskytnutí služeb. Pokud právní předpisy členského státu nebo Evropské unie nevyžadují, aby dovozce údajů uchovával nebo uchovával tyto osobní údaje, dovozce údajů po uplynutí jednoho měsíce všechny tyto osobní nebo neosobní údaje vymaže, bez ohledu na to, zda byly vráceny vývozce dat na jeho žádost nebo ne.

 

3.3 Práva dotčených osob

  1.  
    1. (i) Vývozce údajů spravuje žádosti subjektů údajů a odpovídá na ně. Dovozce údajů není povinen odpovídat přímo subjektům údajů.
    2. (ii) Pokud vývozce údajů vyžaduje pomoc dovozce údajů při zpracování a odpovídání na požadavky subjektu údajů, vývozce údajů vydá další pokyn v souladu s článkem 3.1 (ii) části 1. Importér údajů bude vývozci údajů pomáhat s následujícími vhodnými a technickými organizačními opatřeními pro reakci na žádosti o výkon práv subjektů údajů uvedených v kapitole III GDPR takto:
    3. A. Pokud jde o žádosti o informace, dovozce údajů poskytne vývozci údajů pouze informace požadované podle článků 13 a 14 PGRD, které může mít k dispozici, pokud je vývozce údajů nemůže najít sám.
    4. b. Pokud jde o žádosti o přístup (čl. 15 GDPR), dovozce údajů poskytne vývozci údajů pouze informace, které mají být subjektu údajů poskytnuty pro uvedenou žádost o přístup, a které může mít k dispozici, pokud poslední to nemůže najít sám.
    5. C. Pokud jde o žádosti o opravu (článek 16 GDPR), žádosti o výmaz (článek 17 GDPR), omezení žádostí o zpracování (článek 18 GDPR) nebo žádosti o přenositelnost (článek 20 GDPR) a pouze pokud vývozce údajů nemůže sám opravit nebo vymazat, omezit nebo předat osobní údaje jiné třetí straně, dovozce údajů nabídne vývozci údajů možnost opravit nebo vymazat, omezit nebo předat dotčené osobní údaje jiné třetí straně, nebo pokud to není možné, poskytne pomoc při opravě nebo vymazání, omezení nebo předání dotčených osobních údajů jiné třetí straně.
    6. d. Pokud jde o oznámení týkající se opravy, výmazu nebo omezení zpracování (článek 19 GDPR), bude dovozce údajů pomáhat vývozci údajů tím, že oznámí všem příjemcům osobních údajů, které dovozce údajů zaměstnává jako zpracovatele, pokud o to vývozce údajů požádá a pokud Exportér údajů nemůže situaci napravit sám.
    7. E. Pokud jde o právo na námitku uplatňované subjektem údajů (článek 21 a 22 GDPR), vývozce údajů určí, zda je námitka oprávněná a jak se s ní vypořádat.
    8. (iii) Povinnosti pomoci dovozce údajů jsou omezeny na osobní údaje zpracovávané v rámci jeho infrastruktury (např. databáze, systémy, aplikace vlastněné nebo poskytované dovozcem údajů).
    9. (iv) Vývozce údajů určí, zda může subjekt údajů uplatňovat práva subjektů údajů stanovená v článku 3.1 této části 1, a informuje dovozce údajů o rozsahu, v jakém je pomoc uvedená v odstavcích 3.3 (ii), ( iii) části 1 je nezbytné.
    10. (v) Pokud vývozce údajů požaduje dodatečná nebo upravená technická a organizační opatření ke splnění práv subjektů údajů, která jdou nad rámec pomoci poskytované dovozcem údajů podle pododstavce 3.3 (ii), (iii) části 1, údaje Dovozce informuje Vývozce údajů o nákladech na zavedení takových dodatečných nebo upravených technických a organizačních opatření. Jakmile vývozce údajů potvrdí, že je schopen tyto náklady uhradit, zavede dovozce údajů taková dodatečná nebo upravená technická a organizační opatření, která vývozci údajů pomohou reagovat na požadavky subjektů údajů.
    11. (vi) Aniž by byl omezen rozsah článku 3.3 (v) části 1, je vývozce údajů povinen uhradit dovozci údajů jeho přiměřené náklady vzniklé při odpovídání na požadavky subjektů údajů.

 

3.4 Dílčí zpracování

  1.  
    1. (i) Exportér údajů povoluje dovozci údajů využívat subdodavatele k poskytování služeb podle tohoto dodatku. Dovozce údajů takové zpracovatele údajů pečlivě vybere. Exportér dat schvaluje zpracovatele dat uvedeného v příloze 1.1 na konci části 2.
    2. (ii) Dovozce údajů převede své povinnosti podle tohoto dodatku na zpracovatele údajů v rozsahu použitelném pro subdodavatelské služby.
    3. (iii) Dovozce údajů může podle svého uvážení odvolat, nahradit nebo jmenovat jiného vhodného a spolehlivého zpracovatele údajů. Pokud o to vývozce údajů písemně požádá, musí dovozce údajů postupovat podle níže uvedeného postupu:
  2.  
    1. A. Dovozce údajů informuje vývozce údajů o jakýchkoli změnách v seznamu zpracovatelů údajů uvedených v článku 3.4 (i) části 1. Pokud vývozce údajů nevznese námitky podle článku 3.4. (b) části 1 třicet dní po obdržení oznámení od dovozce údajů se další zpracovatelé údajů považují za přijaté.
    2. b. Pokud má vývozce údajů oprávněný důvod vznést námitku proti dalšímu zpracovateli údajů, oznámí to předem písemně dovozci údajů do třiceti dnů od obdržení oznámení dovozce údajů a před uvedením služby dovozce údajů do provozu. Pokud Exportér dat vznese námitky proti použití dalšího zpracovatele dat, může importér dat námitku odstranit jednou z následujících možností (zvolených podle vlastního uvážení): (A) Importér dat zruší své plány na použití dalšího zpracovatele týkající se osobní údaje vývozce údajů; (B) dovozce údajů přijme nápravná opatření požadovaná vývozcem údajů ve své námitce (zrušení námitky) a využije dalšího zpracovatele ohledně osobních údajů vývozce údajů;
  3.  
    1. (iv) pokud zpracovatel údajů sídlí mimo EU-EHP v zemi, která není na základě rozhodnutí Evropské komise uznávána jako země poskytující odpovídající úroveň ochrany údajů, přijme dovozce údajů opatření, aby dodržel odpovídající úroveň ochrany údajů o ochraně údajů v souladu s GDPR (taková opatření mohou mimo jiné zahrnovat použití smluv o zpracování údajů na základě doložek modelu EU, předávání samocertifikovaným zpracovatelům údajů v rámci EU-US Protection Shield nebo podobný program).

 

3.5 Vypršení platnosti

Doba platnosti tohoto dodatku je shodná s datem vypršení platnosti příslušné Smlouvy. Pokud není v tomto dodatku uvedeno jinak, práva a povinnosti související s ukončením smlouvy jsou stejné jako ty, které jsou obsaženy ve smlouvě.

 

4. Omezení odpovědnosti

4.1 Každá strana plní své povinnosti podle tohoto dodatku a příslušných právních předpisů o ochraně údajů.

4.2 Jakákoli odpovědnost související s porušením povinností podle tohoto dodatku nebo platných právních předpisů o ochraně údajů bude podléhat a řídit se ustanoveními o odpovědnosti uvedenými ve smlouvě nebo platnými pro smlouvu, pokud není v tomto dodatku stanoveno jinak. Pokud se odpovědnost řídí ustanoveními o odpovědnosti uvedenými ve Smlouvě nebo se na ni vztahují, pro výpočet limitů odpovědnosti nebo určování použití jiných omezení odpovědnosti, bude se mít za to, že jakákoli odpovědnost vyplývající z tohoto dodatku vzniká na základě Smlouvy.

 

5. Obecná ustanovení

5.1 Vyskytnou-li se nějaké nesrovnalosti nebo nesrovnalosti mezi částmi 1 a 2 tohoto dodatku, má přednost část 2. Konkrétně i v takovém případě zůstává v platnosti část 1, která jde nad rámec části 2 (tj. podmínky standardních klauzulí), aniž by jí byla v rozporu.

5.2 Vyskytne-li se jakýkoli rozpor mezi ustanoveními tohoto dodatku a ustanoveními jiných smluv zavazujících strany, má tento dodatek přednost, pokud jde o povinnosti stran v oblasti ochrany údajů. V případě pochybností o tom, zda se ustanovení v jiných smlouvách týkají povinností stran ochrany údajů, má přednost tento dodatek.

5.3 Pokud je kterékoli ustanovení tohoto dodatku neplatné nebo nevymahatelné, zbytek tohoto dodatku zůstane v plné platnosti a účinnosti. Neplatné nebo nevymahatelné ustanovení bude (i) změněno tak, aby byla zajištěna jeho platnost a vymahatelnost, přičemž bude pokud možno zachován úmysl stran, nebo - pokud to není možné - (ii) bude vykládáno tak, jako by neplatná nebo nevymahatelná část měla nikdy nebylo součástí smlouvy. Výše uvedené platí také v případě opomenutí v tomto dodatku.

5.5 Strany si mohou v nezbytném rozsahu vyžádat změny části 1 článku 3 (soulad s místním právem) nebo jiných částí přílohy, aby byly v souladu s výklady, směrnicemi nebo příkazy vydanými příslušnými orgány Unie nebo Členské státy, vnitrostátní ustanovení o prosazování nebo jakýkoli jiný právní vývoj týkající se GDPR nebo jiných podmínek delegování na jakékoli subjekty zapojené do zpracování údajů a konkrétně pokud jde o použití Standardních smluvních doložek v GDPR. Podmínky Standardních smluvních doložek nelze měnit ani nahrazovat, pokud to Evropská komise výslovně neschválí (např. novými adekvátními doložkami a standardy ochrany údajů).

5.6 Jakýkoli odkaz v tomto Dodatku na „Články“ se rozumí odkazem na všechna ustanovení tohoto Dodatku, pokud není uvedeno jinak.

5.7 Volba práva v části 2, článku 9 se vztahuje na celou smlouvu.

 

6. Osobní údaje přenášené a zpracovávané stranami pro osobní účely (přenos od správce údajů správci údajů)

6.1 Strany si jsou plně vědomy toho, že určité osobní údaje budou předány vývozcem údajů dovozci údajů a naopak a že tyto údaje každá smluvní strana zpracovává pro své vlastní účely. Pokud jde o tyto osobní údaje, nemají vliv na ostatní ustanovení tohoto dodatku (kromě tohoto bodu 6).

6.2 Vývozce údajů může předávat osobní údaje týkající se zaměstnanců dovozce údajů dovozci údajů, včetně informací o bezpečnostních incidentech, nebo jakýchkoli jiných dokumentů nebo souborů vytvořených nebo zřízených vývozcem údajů v souvislosti se službami poskytovanými zaměstnanci společnosti importér dat. Dovozce údajů může tyto osobní údaje zpracovávat pro své vlastní účely, zejména v rámci svých profesionálních vztahů s pracovníky dovozce údajů, pro kontrolu kvality a školení nebo pro obchodní účely.

6.3. Dovozce údajů může vývozci údajů předávat osobní údaje, včetně jména a kontaktních údajů zaměstnanců dovozce údajů. Exportér údajů může zpracovávat tyto osobní údaje pro své vlastní účely.

6.4 Obě strany budou při shromažďování, zpracovávání a používání takových osobních údajů obdržených od druhé strany podle odstavce 1 části 1 dodržovat veškeré platné zákony na ochranu údajů, včetně GDPR. Obě strany zejména přijmou odpovídající bezpečnostní opatření a zajistí podobnou úroveň ochrany jako bezpečnostní opatření stanovená v dodatku 2 části 2. Jakýkoli přístup k těmto osobním údajům je omezen na potřebu je znát.

6.5 Obě strany musí tyto osobní údaje vymazat co nejdříve po dosažení cílů.

Část 2

 

ROZHODNUTÍ KOMISE

dne 5. února 2010

o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům údajů usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES

 

 

 

Ustanovení 1

Definice

Ve smyslu ustanovení:

a) „osobní údaje“, „zvláštní kategorie údajů“, „zpracování/zpracování“, „správce“, „zpracovatel“, „subjekt údajů“ a „dozorový orgán“ mají stejný význam jako v 95/46/ES směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob při zpracování osobních údajů ao volném pohybu těchto údajů (1);

b) „vývozcem údajů“ je správce údajů přenášející osobní údaje;

c) „Dovozce údajů“ je zpracovatel údajů, který souhlasí s tím, že od vývozce údajů obdrží osobní údaje, které mají být zpracovány jménem vývozce údajů po předání v souladu s jeho pokyny a podle podmínek těchto odstavců, a který není podléhající mechanismu třetí země zajišťující přiměřenou ochranu ve smyslu čl. 25 odst. 1 směrnice 95/46/ES; (d) „Zpracovatel údajů“ znamená zpracovatele údajů najatý dovozcem údajů nebo jakýmkoli jiným zpracovatelem údajů dovozce údajů, který souhlasí s tím, že od dovozce údajů nebo jakéhokoli jiného zpracovatele údajů dovozce údajů obdrží osobní údaje výhradně za účelem zpracování být provedeny jménem Exportéra dat po převodu v souladu s pokyny Exportéra dat,

e) „platným právem na ochranu údajů“ právní předpisy na ochranu základních práv a svobod fyzických osob, včetně práva na soukromí, pokud jde o zpracování osobních údajů, a které se vztahují na správce v členském státě, kde je vývozce údajů usazen;

f) „technickými a organizačními opatřeními týkajícími se bezpečnosti“ se rozumí opatření určená k ochraně osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů po sítích, a proti všechny další nezákonné formy zpracování.

Ustanovení 2

Podrobnosti o převodu

Podrobnosti o předání, případně včetně zvláštních kategorií osobních údajů, jsou uvedeny v příloze 1, která tvoří nedílnou součást těchto ustanovení.

Ustanovení 3

Doložka o oprávněné třetí straně

1. Subjekt údajů může vůči vývozci údajů vymáhat tento článek, článek 4(b) až (i), článek 5(a) až (e) a (g) až (j), článek 6 (1) a (2) ), článek 7, článek 8(2) a články 9 až 12 jako oprávněná třetí strana

2. Subjekt údajů může vymáhat tento článek, článek 5 (a) až (e) a (g), článek 6, článek 7, článek 8 (2) a články 9 až 12 vůči dovozci údajů, pokud má vývozce údajů fyzicky zanikla nebo ze zákona zanikla, pokud všechny jeho právní povinnosti nepřešly smlouvou nebo ze zákona na nástupnický subjekt, na který se tedy práva a povinnosti vývozce údajů převádějí a vůči němuž údaje subjekt tedy může uvedené doložky vynutit.

Subjekt údajů může vůči zpracovateli údajů vymáhat tento článek, článek 5 (a) až (e) a (g), článek 6, článek 7, článek 8 (2) a články 9 až 12, ale pouze v případech, kdy údaje Vývozce a dovozce údajů fyzicky zmizeli, ze zákona přestali existovat nebo se dostali do platební neschopnosti, pokud všechny právní povinnosti vývozce údajů nepřešly smlouvou nebo ze zákona na právního nástupce, na kterého práva a povinnosti vývozce údajů jsou tedy svěřeny a vůči komu může subjekt údajů takové doložky vymáhat. Tato odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti podle těchto článků.

4. Strany nenamítají, aby byl subjekt údajů zastupován sdružením nebo jiným orgánem, pokud si to přeje a pokud to vnitrostátní právo umožňuje.

Ustanovení 4

Povinnosti Exportéra dat

Exportér dat přijímá a zaručuje následující:

a) zpracování, včetně samotného předávání osobních údajů, bylo a nadále bude prováděno v souladu s příslušnými ustanoveními platných právních předpisů o ochraně údajů (a případně bylo oznámeno příslušným orgánům členského státu ve kterém má Vývozce údajů sídlo) a neporušuje příslušná ustanovení tohoto státu;

b) daly a po dobu poskytování služeb zpracování osobních údajů nařídí dovozci údajů, aby zpracovával předané osobní údaje výhradně jménem vývozce údajů a v souladu s platnými právními předpisy o ochraně údajů a těmito doložkami;

c) Dovozce údajů poskytne dostatečné záruky týkající se technických a organizačních bezpečnostních opatření uvedených v Příloze 2 této smlouvy;

d) po vyhodnocení požadavků platných právních předpisů na ochranu údajů jsou bezpečnostní opatření přiměřená k ochraně osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů prostřednictvím sítě a proti všem dalším nezákonným formám zpracování a zajistit úroveň zabezpečení odpovídající rizikům, která představuje zpracování, a povaze údajů, které mají být chráněny, s ohledem na úroveň technologie a náklady na implementaci;

e) zajistí dodržování bezpečnostních opatření;

f) pokud se předání týká zvláštních kategorií údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve po předání, že jeho údaje mohou být předány do třetí země, která nenabízí odpovídající úroveň ochrany ve smyslu směrnice 95/46/ES;

g) zašlou jakékoli oznámení obdržené od dovozce údajů nebo jakéhokoli zpracovatele údajů podle článků 5 (b) a 8 (3) orgánu dozoru pro ochranu údajů, pokud se rozhodne pokračovat v předávání nebo zrušit jeho pozastavení;

h) zpřístupní subjektům údajů, pokud o to požádají, kopii těchto doložek, s výjimkou dodatku 2, a souhrnný popis bezpečnostních opatření a kopii jakékoli další subdodavatelské smlouvy uzavřené podle těchto doložek, pokud Doložky nebo dohoda obsahují obchodní informace, v takovém případě může tyto informace stáhnout;

i) v případě subdodávky zpracování údajů je činnost zpracování prováděna v souladu s článkem 11 zpracovatelem údajů, který poskytuje minimálně stejnou úroveň ochrany osobních údajů a práv subjektu údajů jako dovozce údajů podle těchto článků ; a

j) zajistí soulad s článkem 4 (a) až (i).

Ustanovení 5

Povinnosti dovozce údajů

Importér údajů přijímá a zaručuje následující:

a) bude zpracovávat osobní údaje pouze jménem Exportéra dat a podle pokynů Exportéra dat a těchto doložek; pokud nemůže z jakéhokoli důvodu vyhovět, souhlasí s tím, že o své neschopnosti co nejdříve informují vývozce údajů, v takovém případě může vývozce údajů pozastavit přenos údajů a/nebo ukončit smlouvu;

b) nemají důvod se domnívat, že právo, které se na ně vztahuje, mu brání ve splnění pokynů vývozce údajů a povinností, které pro něj vyplývají ze smlouvy, a pokud takové právo podléhá změně, která by mohla mít podstatnou nevýhodu s dopadem na záruky a povinnosti podle doložek, oznámí změnu vývozci dat neprodleně poté, co se o ní dozví, přičemž v takovém případě může vývozce dat pozastavit přenos dat a/nebo ukončit smlouvu; c) před zpracováním předávaných osobních údajů provedli technická a organizační bezpečnostní opatření uvedená v dodatku 2;

d) bezodkladně oznámí vývozci údajů:

i) jakákoli závazná žádost orgánu činného v trestním řízení o zpřístupnění osobních údajů, není-li stanoveno jinak, např. trestní zákaz směřující k zachování mlčenlivosti policejního vyšetřování;

ii) jakýkoli náhodný nebo neoprávněný přístup; a

iii) jakékoli žádosti obdržené přímo od dotčených osob, aniž by na ni odpověděly, pokud k tomu nebyly oprávněny; správci

e) bude neprodleně a řádně vyřizovat všechny dotazy vývozce údajů týkající se jeho zpracování předávaných osobních údajů a bude jednat podle názoru dozorového úřadu ohledně zpracování předávaných údajů;

f) na žádost Exportéra údajů podrobí jeho zařízení pro zpracování údajů auditu zpracovatelských činností, na které se vztahují tyto doložky, který provede Exportér údajů nebo dozorčí orgán složený z nezávislých členů s požadovanou odbornou kvalifikací, podléhá povinnosti mlčenlivosti a je vybrán vývozcem údajů, případně se souhlasem dozorového úřadu;

g) zpřístupní subjektu údajů, pokud o to požádá, kopii těchto doložek nebo jakékoli existující subdodavatelské smlouvy o zpracování údajů, pokud doložky nebo smlouva neobsahují obchodní informace, v takovém případě může takové doložky odstranit informace s výjimkou Přílohy 2, která bude nahrazena souhrnným popisem bezpečnostních opatření, pokud subjekt údajů nemůže získat kopii od Exportéra údajů;

h) v případě důvěrných dalších subdodávek zpracování údajů zajistí, aby o tom předem informoval vývozce údajů a získal písemný souhlas vývozce údajů;

i) služby zpracování poskytované zpracovatelem údajů budou v souladu s článkem 11;

j) neprodleně zašlou kopii jakékoli subdodavatelské smlouvy o zpracování údajů, kterou uzavřel podle těchto článků, vývozci údajů.

Ustanovení 6

Odpovědnost

1. Smluvní strany se dohodly, že jakýkoli subjekt údajů, který utrpěl škodu v důsledku porušení povinností uvedených v článku 3 nebo článku 11 jednou ze stran nebo zpracovatelem údajů, může od vývozce údajů získat náhradu za utrpěnou škodu.

2. Pokud je subjektu údajů bráněno podat žalobu o náhradu škody podle odstavce 1 proti vývozci údajů za to, že dovozce údajů nebo jeho zpracovatel údajů nesplní některou ze svých povinností podle článku 3 nebo článku 11, protože údaje Vývozce fyzicky zmizel, přestal existovat ze zákona nebo se stal insolventním, Dovozce údajů souhlasí s tím, že subjekt údajů může proti němu podat stížnost, jako by to byl Vývozce údajů, pokud nebyly převedeny všechny zákonné povinnosti Vývozce údajů smluvně. nebo ze zákona svému nástupnickému subjektu, vůči kterému pak může subjekt údajů uplatňovat svá práva. Dovozce údajů se nemůže spoléhat na porušení svých povinností ze strany zpracovatele údajů, aby se vyhnul své vlastní odpovědnosti.

3. Pokud subjektu údajů brání podat žalobu uvedenou v odstavcích 1 a 2 proti vývozci údajů nebo dovozci údajů kvůli porušení povinností zpracovatele údajů podle článku 3 nebo článku 11, protože vývozce údajů a dovozce údajů fyzicky zmizely, přestaly existovat ze zákona nebo se staly insolventní, zpracovatel údajů souhlasí s tím, že subjekt údajů může proti němu podat stížnost týkající se jeho vlastních činností zpracování v souladu s těmito ustanoveními, jako by byl vývozcem údajů nebo dovozcem údajů, ledaže by zákonné povinnosti vývozce nebo dovozce údajů přešly smlouvou nebo ze zákona na právního nástupce, u kterého pak může subjekt údajů uplatňovat svá práva.Odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti v souladu s těmito články.

 

Ustanovení 7

Mediace a jurisdikce

1. Dovozce údajů souhlasí s tím, že pokud se subjekt údajů podle doložek dovolá vůči němu práva oprávněné třetí strany a/nebo bude požadovat náhradu za utrpěnou újmu, bude akceptovat rozhodnutí subjektu údajů:

a) předložit spor k mediaci nezávislé osobě nebo případně dozorovému orgánu;

b) předložit spor soudům členského státu, kde sídlí vývozce údajů.

2. Strany se dohodly, že volba učiněná subjektem údajů neovlivní procesní nebo hmotné právo subjektu údajů získat nápravu v souladu s jinými ustanoveními vnitrostátního nebo mezinárodního práva.

Ustanovení 8

Spolupráce s dozorovými orgány

1. Exportér dat souhlasí s uložením kopie této smlouvy u dozorového úřadu, pokud to dozorový úřad vyžaduje nebo pokud takové uložení stanoví platný zákon o ochraně údajů.

2. Strany se dohodly, že dozorový úřad může provádět kontroly u Dovozce údajů a jakéhokoli zpracovatele údajů ve stejném rozsahu a za stejných podmínek jako u kontrol prováděných u Exportéra údajů v souladu s platnými právními předpisy o ochraně údajů.

3. Dovozce údajů co nejdříve informuje vývozce údajů o existenci právních předpisů týkajících se dovozce údajů nebo jakéhokoli zpracovatele údajů, které brání ověření u dovozce údajů nebo jakéhokoli zpracovatele údajů v souladu s odstavcem 2. V takovém případě Vývozce údajů může přijmout opatření stanovená v článku 5 písm. b).

Ustanovení 9

Aplikované právo

Ustanovení platí a řídí se právem členského státu, ve kterém má vývozce údajů sídlo.

Ustanovení 10

Úprava smlouvy

Strany se zavazují, že nebudou měnit tato ustanovení. Strany mohou zahrnout další obchodní doložky, které považují za nezbytné, za předpokladu, že nejsou v rozporu s těmito ustanoveními.

Ustanovení 11

Následné subdodávky

1. Dovozce údajů nezadá žádnou ze svých činností zpracování prováděných jménem vývozce údajů podle těchto doložek bez předchozího písemného souhlasu vývozce údajů. Dovozce údajů zadá své povinnosti podle těchto článků pouze se souhlasem vývozce údajů prostřednictvím písemné smlouvy se zpracovatelem údajů, která ukládá zpracovateli údajů stejné povinnosti, jaké jsou uloženy dovozci údajů podle těchto článků. Pokud zpracovatel údajů nemůže splnit své povinnosti v oblasti ochrany údajů podle této písemné smlouvy, dovozce údajů zůstává plně odpovědný vývozci údajů za splnění těchto povinností.

2. Předchozí písemná dohoda mezi dovozcem údajů a zpracovatelem údajů rovněž obsahuje ustanovení o oprávněnosti třetí strany, jak je uvedeno v článku 3 pro případy, kdy je subjektu údajů bráněno uplatnit nárok na náhradu škody podle článku 6 (1). ), vůči exportérovi dat nebo importérovi dat, protože exportér nebo importér dat fyzicky zmizel, přestal existovat ze zákona nebo se stal insolventním a všechny právní povinnosti exportéra nebo importéra dat nebyly převedeny smlouvou nebo operací zákona na jiný nástupnický subjekt. Odpovědnost zpracovatele údajů musí být omezena na jeho vlastní zpracovatelské činnosti v souladu s těmito články.

3. Ustanovení týkající se aspektů ochrany údajů u subdodávek zpracování údajů smlouvy uvedené v odstavci 1 se řídí právem členského státu, ve kterém je vývozce údajů usazen.

4. Vývozce údajů vede seznam subdodavatelských smluv o zpracování údajů uzavřených podle těchto článků a oznámených dovozcem údajů v souladu s článkem 5 písm. j), který bude aktualizován alespoň jednou ročně. Tento seznam bude zpřístupněn dozorčímu orgánu pro ochranu údajů vývozce údajů.

Ustanovení 12

Povinnost po ukončení služeb zpracování osobních údajů

1. Strany se dohodly, že po dokončení služeb zpracování údajů dovozce údajů a zpracovatel údajů podle potřeby vývozce údajů vrátí veškeré přenesené osobní údaje a jejich kopie vývozci údajů nebo všechna taková data zničí a poskytnou důkaz zničení vývozci údajů, pokud mu právní předpisy uložené dovozci údajů nebrání vrátit nebo zničit všechny nebo část přenesených osobních údajů. V takovém případě se dovozce údajů zaručuje, že zajistí důvěrnost předávaných osobních údajů a že údaje již nebude aktivně zpracovávat.

2. Dovozce údajů a zpracovatel údajů zajistí, že pokud o to vývozce údajů a/nebo dozorový orgán požádá, podrobí své prostředky zpracování údajů ověření opatření uvedených v odstavci 1.

 

 

 

 

Dodatek 1.1 k části 2

Podrobnosti o převodu

 

 

Exportér dat

Exportérem dat je Zákazník definovaný ve Smluvní dohodě.

 

Importér dat

Importér údajů je IQUALIF a je pověřen zpracováním údajů a poskytováním služeb Exportérovi údajů.

 

Subjekty údajů

Předávané osobní údaje se týkají následujících kategorií subjektů údajů:

˜' telefonní účastníci uvedení v univerzálním seznamu

˜ Ostatní, včetně:

 

Kategorie dat

Předávané osobní údaje se týkají následujících kategorií údajů:

 

Kategorie osobních údajů zejména subjektů údajů Exportéra údajů,

˜' Celé jméno

˜' Poštovní adresa

˜' Kontaktní údaje (e-mail, telefon, IP adresa atd.)

˜' Podrobnosti o marketingových aktivitách týkajících se telefonního účastníka

˜' Ostatní, včetně typu bydlení, příjmu a průměrného věku městem provedené anonymně

 

Zvláštní kategorie údajů (pokud existují)

Předávané osobní údaje se týkají následujících zvláštních kategorií údajů:

„Přenos zvláštních kategorií údajů se nepředpokládá

˜ Rasový nebo etnický původ

˜ Náboženské nebo filozofické přesvědčení

˜ Členství v odborech

˜ Politické názory

˜ Genetické informace

˜ Biometrické informace

˜ Informace o sexuální orientaci nebo sexuálním životě

˜ Údaje o zdraví

 

Zpracovatelské činnosti

Předávané osobní údaje budou předmětem následujících základních činností zpracování:

 

  •  
    • Účel zpracování

Zpracování prováděné jménem Exportéra údajů je založeno na následujících subjektech, zejména:

˜' Převzetí odpovědnosti za produkty nebo služby nabízené Exportérem dat

˜' Nabídka produktu nebo služby, kterou může volaná osoba požadovat

˜' Příkazy přijaté od volaných osob a další zpracování těchto příkazů

˜' Studujte dotazníky a analýzy

˜' Telemarketing

˜ Ostatní, včetně:

 

  •  
    • Povaha a účel zpracování

Dovozce údajů zpracovává osobní údaje subjektů údajů jménem Exportéra údajů za účelem poskytování následujících služeb, a to zejména:

˜' Prodej a marketing

˜' Ostatní, včetně aktualizace databází radnic a politických stran

 

  •  
    • Poskytování služeb a zaměstnávání poskytovatelů služeb

 

IQUALIF především kombinuje, centralizuje a poskytuje služby Exportérovi dat. Služby poskytované jmenovaným poskytovatelem služeb mohou být strukturovány (mimo jiné podle potřeby) kolem následujících doplňkových služeb: (i) poskytování aplikací, nástrojů, systémů a IT infrastruktury ve vztahu k používaným centrům zpracování dat za účelem poskytování a podpora služeb, včetně zpracování osobních údajů subjektů údajů, jak je popsáno výše, prostřednictvím takových aplikací, nástrojů a systémů, (ii) poskytování IT podpory, údržby a dalších služeb souvisejících s těmito aplikacemi, nástroji, systémy a IT infrastruktura, včetně potenciálního přístupu k osobním údajům uloženým v takových aplikacích, nástrojích a systémech, a (iii) poskytování služeb ochrany dat, monitorování ochrany a služeb reakce na incidenty, včetně potenciálního přístupu k osobním údajům při poskytování takových služeb ochrany. IQUALIF může k poskytování služeb, včetně doplňkových služeb, zapojit níže uvedené zpracovatele údajů.

 

  •  
    • • Externí poskytovatelé služeb třetích stran jako dílčí entity přiřazené ke zpracování dat

 

IQUALIF zapojuje externí poskytovatele služeb a poskytovatele služeb třetích stran, kteří nejsou dceřinými společnostmi IQUALIF, na podporu poskytování služeb Exportérovi dat. Exportér dat schvaluje takové externí poskytovatele služeb třetích stran jako dílčí subjekty přiřazené ke zpracování dat.

 

Pokud se podsubjekt zapojený do zpracování údajů nachází mimo EU/EHP, v zemi, která se podle rozhodnutí Evropské komise nepovažuje za přiměřenou úroveň ochrany údajů, učiní dovozce údajů kroky k získání odpovídající úrovně ochrany údajů. ochrana údajů v souladu s GDPR a oddílem 3.4 (iv) části 1.

 

 

Příloha 2, část 2

Technická a organizační ochranná opatření

 

Dovozce údajů přijme následující technická a organizační ochranná opatření potvrzená vývozcem údajů, aby byla zaručena přiměřená úroveň zabezpečení práv a svobod fyzických osob v závislosti na rizicích. Při posuzování dotčené úrovně ochrany vývozce dat zvažoval zejména rizika spojená se zpracováním, včetně náhodného nebo nezákonného zničení, pozměňování, neoprávněného zveřejnění nebo přístupu k přenášeným, uchovávaným nebo jinak zpracovávaným osobním údajům. Pro upřesnění: Tato technická a organizační ochranná opatření se nevztahují na aplikace, nástroje, systémy a/nebo IT infrastrukturu poskytovanou Exportérem dat.

1 Obecná technická a organizační ochranná opatření
1.1 Obecné informace a strategie ochrany údajů
Pro dodržení obecných strategií ochrany dat a informací je třeba podniknout následující kroky:
  • a) přijímat opatření k vyhodnocení přijatých opatření týkajících se technické a organizační ochrany;
  • b) poskytovat školení ke zvýšení povědomí mezi zaměstnanci;
  • c) mít popis příslušných systémů a umožnit přístup zaměstnancům;
  • d) zavést formální dokumentační proces, kdykoli jsou systémy implementovány nebo změněny;
  • e) dokumentování organizační struktury, procesů, odpovědností a příslušných hodnocení;
 
1.2 Organizace ochrany informací
Za účelem koordinace činností v oblasti ochrany údajů a informací by měla být přijata následující opatření:
  • a) definované odpovědnosti za ochranu informací a dat (např. prostřednictvím politiky řízení ochrany dat);
  • b) nezbytné odborné znalosti v oblasti ochrany informací a údajů, které jsou k dispozici;
  • c) všichni zaměstnanci se zavázali zajistit důvěrnost osobních údajů a byli informováni o možných důsledcích porušení tohoto závazku.
 
1.3 Řízení přístupu do oblastí zpracování
Aby se zabránilo neoprávněným osobám získat přístup k systémům zpracování údajů (zejména k softwaru a hardwaru), je třeba přijmout následující opatření, když jsou zpracovávány, ukládány nebo přenášeny osobní údaje:
  • a) vytvořit bezpečné oblasti;
  • b) chránit a omezovat přístup k systémům zpracování údajů;
  • c) zřídit přístupová oprávnění pro zaměstnance a třetí strany, včetně příslušných dokumentů;
  • d) každý přístup do středisek zpracování údajů, ve kterých jsou uloženy osobní údaje, musí být zaprotokolován.
 
1.4 Řízení přístupu k systémům zpracování dat
Aby se zabránilo neoprávněnému přístupu do systémů zpracování údajů, je třeba přijmout následující opatření:
  • a) zásady a postupy ověřování uživatelů;
  • b) používání hesel na všech počítačových systémech;
  • c) vzdálený přístup k síti vyžaduje vícefaktorovou autentizaci a je udělován dotčené osobě podle jejích povinností a na základě autorizace;
  • d) přístup ke konkrétním funkcím je založen na pracovních funkcích a/nebo atributech individuálně přiřazených k uživatelskému účtu;
  • e) přístupová práva související s osobními údaji jsou pravidelně kontrolována;
  • f) záznamy o změnách přístupových práv jsou průběžně aktualizovány.
 
1.5 Řízení přístupu k jednotlivým oblastem použití systémů zpracování dat
Je třeba přijmout následující opatření, aby bylo zajištěno, že oprávněné osoby s právem používat systém zpracování údajů budou mít přístup k údajům pouze v rámci svých příslušných povinností a oprávnění k přístupu a že osobní údaje nebude možné bez oprávnění číst, kopírovat, upravovat nebo mazat:
  1.  
    1. a) zásady, pokyny a školení zaměstnanců týkající se povinností každého z nich ohledně důvěrnosti, práv na přístup k osobním údajům a rozsahu zpracování osobních údajů;
  • b) disciplinární opatření proti osobám, které neoprávněně přistupují k osobním údajům;
  • c) přístup k osobním údajům je umožněn pouze oprávněným osobám na základě potřeby vědět;
  • d) vést seznam správců systému a přijímat vhodná opatření ke sledování správců systému;
  • e) nekopírovat ani nereprodukovat osobní údaje v žádném úložném systému, aby neoprávněné osoby mohly odstranit informace o původci;
  • f) kontrolované a dokumentované vymazání nebo zničení údajů;
  • g) bezpečně uchovávat všechny osobní údaje, které musí být uchovávány z právních nebo regulačních důvodů (např. povinnosti uchovávat údaje), a to pouze po dobu, kterou vyžaduje zákon.
 
1.6 Ovládání převodovek
Aby se zabránilo čtení, kopírování, úpravě nebo vymazání osobních údajů neoprávněnými třetími stranami během přenosu nebo přepravy zařízení pro ukládání dat (v závislosti na prováděném zpracování osobních údajů), je třeba přijmout následující opatření:
  1.  
    1. a) používání firewallů;
  • b) zamezení ukládání osobních údajů na mobilní úložná zařízení pro účely přepravy nebo šifrování zařízení;
  • c) používat na noteboocích a jiných mobilních zařízeních pouze po aktivaci ochrany šifrováním;
  • d) protokolování přenosů osobních údajů.
 
1.7 Kontrola zadávání dat
Aby bylo zajištěno, že bude možné ověřit a určit, zda byly osobní údaje vloženy do systémů zpracování údajů nebo z nich byly vymazány a kým bylo zajištěno, musí být přijata následující opatření:
  1.  
    1. a) zásady pro autorizaci čtení, pozměňování a mazání uložených dat;
  • b) ochranná opatření týkající se čtení, pozměňování a mazání uložených dat.
 
1.8 Kontrola práce
V případě pověřeného zpracování osobních údajů je třeba přijmout následující opatření, aby bylo zajištěno, že tyto údaje budou zpracovávány v souladu s pokyny Správce:
  1.  
    1. a) subjekty nebo podsubjekty pověřené zpracováním údajů, zvolené s péčí (poskytovatelé služeb zpracovávající osobní údaje jménem správce);
  • b) pokyny týkající se rozsahu jakéhokoli zpracování osobních údajů zaměstnancům, subjektům nebo podsubjektům pověřeným zpracováním údajů;
  • c) práva auditu dohodnutá se subjekty nebo dílčími subjekty pověřenými zpracováním údajů;
  • d) uzavřené smlouvy se subjekty nebo dílčími subjekty pověřenými zpracováním údajů.
 
1.9 Oddělení od zpracování pro jiné účely
Aby bylo zajištěno, že údaje shromážděné pro jiné účely lze zpracovávat odděleně, je třeba přijmout následující opatření:
  1.  
    1. a) samostatný přístup k osobním údajům v souladu se stávajícími právy uživatelů;
  • b) rozhraní, dávkové zpracování a hlášení slouží k jiným účelům a funkcím, takže údaje shromážděné pro jiné účely lze zpracovávat samostatně.
 
1.10 Pseudonymizace
Ohledně pseudonymizace osobních údajů je třeba přijmout následující opatření:
  1.  
    1. a) Pokud si vývozce údajů objedná konkrétní operaci zpracování nebo pokud to dovozce údajů považuje za vhodné v souladu s platnými zákony na ochranu údajů týkajícími se určitých činností zpracování, bude zpracování osobních údajů probíhat tak, že údaje již nelze přiřadit konkrétní osobě bez použití dalších informací. Tyto dodatečné informace budou uchovávány samostatně;
  • b) používání pseudonymizačních technik, včetně randomizace alokačního seznamu; vytváření hodnot v podobě ostrých předmětů.
 
1.11 Šifrování

K šifrování osobních údajů v aplikacích a přenosech, které šifrování podporují, je třeba provést následující kroky:

  1.  
    1. a) použití šifrovacích technik;
  • b) zavedení správy šifrování na podporu šifrovacích technik, které mají být použity;
  • c) podpora používání kryptografie prostřednictvím postupů a protokolů pro generování, úpravy, rušení, ničení, distribuci, certifikaci, ukládání, zachycování, používání a archivaci kryptografických klíčů za účelem ochrany proti neoprávněné úpravě a zveřejnění.
 
1.12 Úplnost systémů a služeb zpracování dat
Aby byla zajištěna úplnost systémů a služeb zpracování údajů, je třeba přijmout následující opatření:
  1. a) ochrana systémů zpracování dat před manipulací nebo zničením vhodnými prostředky (např. antivirový software, software pro prevenci ztráty dat a software proti malwaru, softwarové záplaty, firewally a spravovaná ochrana desktopů);
  • b) zakázat instalaci jakékoli služby nebo softwaru škodlivého pro systémy zpracování dat, služby nebo manipulaci s osobními údaji;
  • c) použití systému detekce a prevence narušení sítě ve struktuře samotné sítě.
 
1.13 Dostupnost systémů a služeb zpracování údajů a možnost obnovení přístupu k osobním údajům a jejich použití v případě materiálního nebo technického incidentu
Aby byla zajištěna dostupnost systémů zpracování údajů a aby bylo možné rychle obnovit dostupnost osobních údajů a přístup k nim v případě materiálního nebo technického incidentu, je třeba přijmout následující opatření (zejména zajištěním toho, aby osobní údaje jsou chráněny před náhodným zničením nebo ztrátou):
  • a) mít kontrolní prostředky pro uchovávání záložních kopií a obnovu ztracených nebo vymazaných dat;
  • b) testování nadbytečnosti infrastruktury a výkonu;
  • c) fyzická ochrana počítačových zdrojů;
  • d) používání nástrojů pro sledování stavu a dostupnosti vnitřní sítě;
  • e) zásady hlášení a reakce na incidenty upravující postup řízení incidentů a opakování dodržování těchto zásad jako součást pravidelného školení;
  • f) zálohy (někdy mimo pracoviště) pro obnovení systému, aby mohl znovu vykonávat své funkce;
  • g) plány zachování provozu / obnovy po havárii
 
1.14 Odolnost systémů a služeb zpracování dat
Aby byla zajištěna odolnost systémů a služeb zpracování údajů, je třeba přijmout následující opatření:
  • a) systémy a harmonicky konfigurované s použitím schválených bezpečnostních parametrů;
  • b) redundance sítě;
  • c) ochrana kritických systémů kontejnmentem.
 
1.15 Postup pravidelného testování, hodnocení a posuzování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování údajů
Postup pravidelného testování, hodnocení a posuzování účinnosti technických a organizačních opatření na ochranu zpracování dat.
  • a) přijmout nezbytná opatření k posouzení rizik a strategií zmírňování;
  • b) servisní analytické porady IT oddělení k řešení aktuálních problémů;
  • c) plány kontinuity provozu / obnovy po havárii jsou pravidelně aktualizovány.

 

Část 3

Podpisy stran a seznam dovozců údajů

 

Když vyplníte online objednávkový formulář a potvrdíte jej zaškrtnutím políčka, kterým souhlasíte se všeobecnými podmínkami používání, je uzavřena smlouva upravující vztah mezi zákazníkem a IQUALIF.

Odeslání platby společnosti IQUALIF bude považovat smlouvu za odsouhlasenou a uzavřenou.

Vezměte na vědomí: Tento text byl přeložen z francouzštiny. Původní francouzská verze, která je platná a právně omezující, je k dispozici zde .