Data Processing Agreement
S účinnosťou od 29. septembra 2023 | Zobraziť predchádzajúcu verziu Dohody o spracúvaní údajov | Porovnať zmeny
V súlade s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), poskytovateľ (ďalej len „sprostredkovateľ“) a vy (ďalej len „prevádzkovateľ“) vstupujete do zmluvného vzťahu týkajúceho sa spracúvania údajov s cieľom vymedziť podmienky pre spracúvanie osobných údajov a spôsob ich ochrany, ako aj stanoviť ďalšie práva a povinnosti obidvoch strán pri spracúvaní osobných údajov dotknutých osôb v mene prevádzkovateľa v priebehu vykonávania predmetu týchto podmienok ako hlavnej zmluvy.
1. Spracúvanie osobných údajov. Služby poskytované v súlade s týmito podmienkami zahŕňajú spracúvanie informácií týkajúcich sa identifikovanej alebo identifikovateľnej fyzickej osoby, ktoré sú uvedené v zásadách ochrany osobných údajov (ďalej len „osobné údaje“).
2. Poverenie. Prevádzkovateľ poveruje sprostredkovateľa spracúvaním osobných údajov, pričom
(i) „účel spracúvania“ znamená poskytovanie služieb v súlade s týmito podmienkami, sprostredkovateľ môže spracúvať osobné údaje v mene prevádzkovateľa len v súvislosti s poskytovaním služieb vyžiadaných prevádzkovateľom, všetky informácie zhromaždené na dodatočné účely sa spracúvajú mimo zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom,
(ii) doba spracúvania znamená obdobie od začatia spolupráce podľa týchto podmienok do ukončenia služieb,
(iii) rozsah a kategórie osobných údajov. Tieto služby sú určené na spracúvanie iba všeobecných osobných údajov. Prevádzkovateľ však nesie výhradnú zodpovednosť za určenie rozsahu osobných údajov,
(iv) dotknutá osoba je fyzická osoba ako oprávnený používateľ zariadení prevádzkovateľa,
(v) spracovateľské činnosti predstavujú všetky operácie potrebné na spracúvanie,
(vi) „zdokumentované pokyny” znamenajú pokyny uvedené v týchto podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe. Prevádzkovateľ je zodpovedný za právnu prípustnosť spracúvania osobných údajov sprostredkovateľom s ohľadom na príslušné platné ustanovenia zákona o ochrane osobných údajov.
3. Povinnosti sprostredkovateľa. Sprostredkovateľ je povinný:
(i) spracúvať osobné údaje len na základe zdokumentovaných pokynov a na účely definované v podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe,
(ii) poučiť osoby oprávnené spracúvať osobné údaje (ďalej len „oprávnené osoby“) o ich právach a povinnostiach podľa všeobecného nariadenia o ochrane údajov, o ich zodpovednosti v prípade porušenia a zabezpečiť, aby sa oprávnené osoby zaviazali zachovávať dôvernosť informácií a dodržiavali zdokumentované pokyny,
(iii) implementovať a dodržiavať opatrenia opísané v podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe,
(iv) pomáhať prevádzkovateľovi reagovať na žiadosti dotknutých osôb súvisiace s ich právami. Sprostredkovateľ nesmie opraviť, odstrániť ani obmedziť spracúvanie osobných údajov bez pokynu prevádzkovateľa. Všetky žiadosti dotknutej osoby týkajúce sa osobných údajov spracúvaných v mene prevádzkovateľa sa bezodkladne prepošlú prevádzkovateľovi,
(v) pomáhať prevádzkovateľovi s oznámením porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe. Sprostredkovateľ oznámi prevádzkovateľovi každé porušenie spracúvania osobných údajov alebo bezpečnosti osobných údajov okamžite po jeho zistení. Sprostredkovateľ bude v primeranom rozsahu spolupracovať pri vyšetrovaní a náprave takéhoto porušenia a prijme primerané opatrenia, aby obmedzil ďalšie negatívne dôsledky.
(vi) podľa rozhodnutia prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje prevádzkovateľovi po skončení doby spracúvania. Prevádzkovateľ sa zaväzuje informovať sprostredkovateľa o svojom rozhodnutí do desiatich (10) dní po skončení doby spracúvania. Toto ustanovenie nemá vplyv na právo sprostredkovateľa uchovávať osobné údaje v nevyhnutnom rozsahu na účely archivácie vo verejnom záujme, na účely vedeckého výskumu, na štatistické účely alebo na účely preukazovania, uplatňovania alebo ochrany právnych nárokov,
(vii) viesť aktuálny register všetkých kategórií spracovateľských činností, ktoré vykonal v mene prevádzkovateľa,
(viii) sprístupniť prevádzkovateľovi všetky informácie potrebné na preukázanie súladu v rámci podmienok, ich príloh, zásad ochrany osobných údajov a dokumentácie k službe. V prípade auditu alebo kontroly spracúvania osobných údajov zo strany prevádzkovateľa je prevádzkovateľ povinný písomne informovať sprostredkovateľa najmenej tridsať (30) dní pred plánovaným auditom alebo kontrolou.
4. Zapojenie ďalšieho sprostredkovateľa. Sprostredkovateľ je oprávnený zapojiť ďalšieho sprostredkovateľa na vykonávanie špecifických spracovateľských činností, ako je napríklad poskytovanie cloudového úložiska a infraštruktúry pre službu, v súlade s podmienkami, ich prílohami, zásadami ochrany osobných údajov a dokumentáciou k službe. V súčasnosti poskytuje cloudové úložisko a infraštruktúru spoločnosť Microsoft ako súčasť cloudovej služby Azure. Aj v tomto prípade zostane sprostredkovateľ jediným kontaktným miestom a stranou zodpovednou za zaistenie súladu s požiadavkami. Sprostredkovateľ sa týmto zaväzuje informovať Prevádzkovateľa o každom pridaní alebo nahradení iného sprostredkovateľa, čím mu umožní voči takejto zmene namietať.
5. Územná pôsobnosť. Sprostredkovateľ vynaloží maximálne úsilie s cieľom zabezpečiť, aby sa spracúvanie údajov uskutočňovalo v Európskom hospodárskom priestore alebo v krajine označenej Európskou komisiou za bezpečnú, a to na základe rozhodnutia Prevádzkovateľa. Štandardné zmluvné doložky sa uplatňujú v prípade prenosov údajov a spracúvania prebiehajúceho mimo Európskeho hospodárskeho priestoru alebo krajiny označenej Európskou komisiou za bezpečnú na žiadosť prevádzkovateľa.
6. Bezpečnosť. Sprostredkovateľ je držiteľom certifikátu ISO 27001:2013 a používa štandard ISO 27001 pre implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov sa pravidelne vyhodnocuje a prehodnocuje podobne ako iné infraštruktúry a operácie sprostredkovateľa, pričom sa tiež neustále prijímajú nevyhnutné kroky na zabezpečenie súladu s požiadavkami. Sprostredkovateľ zaisťuje bezpečnosť údajov pomocou systému riadenia bezpečnosti informácií (ISMS) založenom na norme ISO 27001. Bezpečnostná dokumentácia obsahuje najmä dokumenty týkajúce sa politík pre bezpečnosť informácií, fyzickú bezpečnosť, zabezpečenie zariadení, správu incidentov, riešenie únikov údajov a bezpečnostných incidentov atď.
7. Technické a organizačné opatrenia. Sprostredkovateľ chráni osobné údaje pred náhodným a nezákonným poškodením a zničením, náhodnou stratou, zmenou, neoprávneným prístupom a zverejnením. Na tento účel sprostredkovateľ prijme primerané technické a organizačné opatrenia zodpovedajúce spôsobu spracúvania a riziku, ktoré spracúvanie predstavuje pre práva dotknutých osôb v súlade s požiadavkami všeobecného nariadenia o ochrane údajov. Detailný opis technických a organizačných opatrení je uvedený v bezpečnostnej politike.
8. Kontaktné informácie sprostredkovateľa. Všetky oznámenia, žiadosti, požiadavky a ďalšia komunikácia týkajúca sa ochrany osobných údajov sa adresujú spoločnosti ESET, spol. s.r.o., zodpovednej osobe: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.