Data Processing Agreement
V súlade s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), poskytovateľ (ďalej len „sprostredkovateľ“) a vy (ďalej len „prevádzkovateľ“) vstupujete do zmluvného vzťahu týkajúceho sa spracúvania údajov s cieľom vymedziť podmienky pre spracúvanie osobných údajov a spôsob ich ochrany, ako aj stanoviť ďalšie práva a povinnosti obidvoch strán pri spracúvaní osobných údajov dotknutých osôb v mene prevádzkovateľa v priebehu vykonávania predmetu týchto podmienok ako hlavnej zmluvy.
1. Spracúvanie osobných údajov. Služby poskytované v súlade s týmito podmienkami zahŕňajú spracúvanie informácií týkajúcich sa identifikovanej alebo identifikovateľnej fyzickej osoby, ktoré sú uvedené v zásadách ochrany osobných údajov (ďalej len „osobné údaje“).
2. Poverenie. Prevádzkovateľ poveruje sprostredkovateľa spracúvaním osobných údajov, pričom
(i) „účel spracúvania“ znamená poskytovanie služieb v súlade s týmito podmienkami, sprostredkovateľ môže spracúvať osobné údaje v mene prevádzkovateľa len v súvislosti s poskytovaním služieb vyžiadaných prevádzkovateľom, všetky informácie zhromaždené na dodatočné účely sa spracúvajú mimo zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom,
(ii) doba spracúvania znamená obdobie od začatia spolupráce podľa týchto podmienok do ukončenia služieb,
(iii) rozsah a kategórie osobných údajov zahŕňajú všeobecné osobné údaje, s výnimkou všetkých osobitných kategórií osobných údajov,
(iv) „subjekt údajov“ je fyzická osoba ako oprávnený používateľ zariadení prevádzkovateľa,
(v) spracovateľské činnosti predstavujú všetky operácie potrebné na účel spracúvania,
(vi) „zdokumentované pokyny” znamenajú pokyny uvedené v týchto podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe. Prevádzkovateľ je zodpovedný za právnu prípustnosť spracúvania osobných údajov sprostredkovateľom s ohľadom na príslušné platné ustanovenia zákona právnych predpisov o ochrane osobných údajov.
3. Povinnosti sprostredkovateľa. Sprostredkovateľ je povinný:
(i) spracúvať osobné údaje len na základe zdokumentovaných pokynov a na účely definované v podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe,
(ii) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií a budú dodržiavať zdokumentované pokyny,
(iii) implementovať a dodržiavať opatrenia opísané v podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii k službe,
(iv) pomáhať prevádzkovateľovi reagovať na žiadosti dotknutých osôb súvisiace s ich právami. Sprostredkovateľ nesmie opraviť, odstrániť ani obmedziť spracúvanie osobných údajov bez pokynu prevádzkovateľa. Všetky žiadosti dotknutej osoby týkajúce sa osobných údajov spracúvaných v mene prevádzkovateľa sa bezodkladne prepošlú prevádzkovateľovi,
(v) pomáhať prevádzkovateľovi s oznámením porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe,
(vi) odstrániť alebo vrátiť všetky osobné údaje prevádzkovateľovi po skončení obdobia spracúvania,
(vii) viesť aktuálny register všetkých kategórií spracovateľských činností, ktoré vykonal v mene prevádzkovateľa,
(viii) sprístupniť prevádzkovateľovi všetky informácie potrebné na preukázanie súladu v rámci podmienok, ich príloh, zásad ochrany osobných údajov a dokumentácie k službe.
4. Zapojenie ďalšieho sprostredkovateľa. Sprostredkovateľ je oprávnený zapojiť ďalšieho sprostredkovateľa na vykonávanie špecifických spracovateľských činností, ako je napríklad poskytovanie cloudového úložiska a infraštruktúry pre službu, v súlade s podmienkami, prílohami, zásadami ochrany osobných údajov a dokumentáciou k službe. V súčasnosti poskytuje cloudové úložisko a infraštruktúru spoločnosť Microsoft ako súčasť cloudovej služby Azure. Aj v tomto prípade zostane sprostredkovateľ jediným kontaktným miestom a stranou zodpovednou za zaistenie súladu s požiadavkami.
5. Územná pôsobnosť. Sprostredkovateľ vynaloží maximálne úsilie s cieľom zabezpečiť, aby sa spracúvanie údajov uskutočňovalo v Európskom hospodárskom priestore alebo v krajine označenej Európskou komisiou za bezpečnú, a to na základe rozhodnutia Prevádzkovateľa. Štandardné zmluvné doložky sa uplatňujú v prípade prenosov údajov a spracúvania prebiehajúceho mimo Európskeho hospodárskeho priestoru alebo krajiny označenej Európskou komisiou za bezpečnú na žiadosť prevádzkovateľa.
6. Bezpečnosť. Sprostredkovateľ je držiteľom certifikátu ISO 27001:2013 a používa štandard ISO 27001 pre implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov sa pravidelne vyhodnocuje a prehodnocuje podobne ako iné infraštruktúry a operácie sprostredkovateľa, pričom sa tiež neustále prijímajú nevyhnutné kroky pre zabezpečenie súladu s požiadavkami. Sprostredkovateľ zaisťuje bezpečnosť údajov pomocou systému riadenia bezpečnosti informácií (ISMS) založenom na norme ISO 27001. Bezpečnostná dokumentácia obsahuje najmä dokumenty týkajúce sa politík pre bezpečnosť informácií, fyzickú bezpečnosť a zabezpečenie zariadení, správu incidentov, riešenie únikov údajov a bezpečnostných incidentov atď.
7. Kontaktné informácie sprostredkovateľa. Všetky oznámenia, žiadosti, požiadavky a ďalšia komunikácia týkajúca sa ochrany osobných údajov sa adresujú spoločnosti ESET, spol. s.r.o., zodpovednej osobe: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.