ESET pomoć na mreži

Pretraga Srpski
Izaberite kategoriju
Izaberite temu

Ugovor o obradi podataka

U skladu sa zahtevima Uredbe (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. godine o zaštiti fizičkih lica u pogledu obrade ličnih podataka i o slobodnom kretanju takvih podataka, kojom se stavlja van snage Direktiva 95/46/EC (u daljem tekstu „GDPR“), dobavljač (u daljem tekstu „Obrađivač“) i vi (u daljem tekstu „Kontroler“) stupate u ugovorni odnos o obradi podataka kako biste definisali uslove i odredbe za obradu ličnih podataka, način njihove zaštite, kao i da definišete druga prava i obaveze obe strane u obradi ličnih podataka subjekata podataka u ime kontrolora tokom ispunjavanja predmeta ovih Uslova kao glavnog ugovora.

1. Obrada ličnih podataka. Usluge koje se pružaju u skladu sa ovim Uslovima uključuju obradu informacija koje se odnose na identifikovano fizičko lice ili fizičko lice koje se može identifikovati i koje je navedeno u Politici privatnosti (u daljem tekstu „Lični podaci“).

2. Odobrenje. Kontrolor odobrava obrađivaču da obrađuje lične podatke, uključujući sledeća uputstva:

(i) svrha obrade je pružanje usluga u skladu sa ovim Uslovima. Obrađivač može da obrađuje lične podatke samo u ime kontrolora u vezi sa pružanjem usluga koje zahteva kontrolor. Sve informacije prikupljene u dodatne svrhe obrađuju se van ugovornog odnosa između kontrolora i obrađivača.

(ii) period obrade je period od početka saradnje pod ovim Uslovima do prestanka usluga,

(iii) obim i kategorije ličnih podataka. Usluge su namenjene samo za obradu opštih ličnih podataka. Međutim, kontrolor je isključivo odgovoran za određivanje obima ličnih podataka.

(iv) subjekt podataka je fizičko lice kao ovlašćeni korisnik uređaja kontrolora,

(v) aktivnosti obrade su sve radnje neophodne za obradu,

(vi) dokumentovana uputstva su uputstva opisana u ovim Uslovima, njihovim Prilozima, Politici privatnosti i dokumentaciji usluge. Kontrolor snosi odgovornost za pravnu prihvatljivost obrade ličnih podataka od strane obrađivača u skladu sa važećim propisima o zaštiti podataka.

3. Obaveze obrađivača. Obrađivač je u obavezi da:

(i) obrađuje lične podatke samo na osnovu dokumentovanih uputstava i u svrhe navedene u Uslovima, njihovim Prilozima, Politici privatnosti i dokumentaciji usluge,

(ii) obavesti lica ovlašćena za obradu ličnih podataka (u daljem tekstu „Ovlašćena lica“) o njihovim pravima i obavezama prema uredbi GDPR, kao i o njihovoj odgovornosti u slučaju kršenja i da obezbedi da su se ovlašćena lica obavezala na poverljivost i da slede dokumentovana uputstva,

(iii) sprovodi i prati mere opisane u Uslovima, njihovim Prilozima, Politici privatnosti i dokumentaciji usluge,

(iv) pomogne kontroloru u odgovaranju na zahteve subjekata podataka u vezi sa njegovim pravima. Obrađivač ne sme da ispravlja, briše ili ograničava obradu ličnih podataka bez instrukcije kontrolora. Svi zahtevi subjekta podataka u vezi sa ličnim podacima koji se obrađuju u ime kontrolora moraju se odmah proslediti kontroloru.

(v) pomogne kontroloru u prijavljivanju kršenja ličnih podataka nadzornom organu i subjektu podataka. Obrađivač će prijaviti svako kršenje obrade ličnih podataka ili bezbednosti ličnih podataka kontroloru odmah po otkrivanju. Obrađivač će u razumnoj meri sarađivati u istrazi i otklanjanju svakog takvog kršenja i preduzeće odgovarajuće mere da ograniči sve dalje štetne efekte.

(vi) po nahođenju kontrolora, izbriše ili vrati sve lične podatke kontroloru na kraju perioda obrade. Kontroler se obavezuje da o svojoj odluci obavesti obrađivača u roku od deset (10) dana nakon završetka perioda obrade. Ova odredba ne utiče na pravo obrađivača da zadrži lične podatke u meri koja je neophodna za potrebe arhiviranja u javnom interesu, naučnoistraživačke svrhe, statističke svrhe ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.

(vii) održava ažurnu evidenciju o svim kategorijama aktivnosti obrade koje se obavljaju u ime kontrolora,

(viii) pruži kontroloru sve informacije neophodne za demonstraciju usklađenosti sa Uslovima, njihovim Prilozima, Politikom privatnosti i dokumentacijom usluge. U slučaju revizije ili kontrole obrade ličnih podataka od strane kontrolora, kontrolor je dužan da pisanim putem obavesti obrađivača najmanje trideset (30) dana pre planirane revizije ili kontrole.

4. Uključivanje drugog obrađivača. Obrađivač ima pravo da zaduži drugog obrađivača da izvrši određene aktivnosti obrade, na primer, obezbeđivanje skladištenja u oblaku i infrastrukture za uslugu, u skladu sa Uslovima, Prilozima, Politikom privatnosti i dokumentacijom usluge. Trenutno, Microsoft pruža skladištenje u oblaku i infrastrukturu kao deo usluge u oblaku Azure. U tom slučaju, obrađivač ostaje jedina osoba za kontakt i strana odgovorna za usklađenost. Obrađivač se ovim obavezuje da obavesti kontrolora o svakom dodavanju ili zameni drugog obrađivača kako bi uložio prigovor na takvu promenu.

5. Teritorija obrade. Obrađivač obezbeđuje da se obrada odvija u Evropskom ekonomskom prostoru ili u zemlji koja je odlukom Evropske komisije na osnovu odluke kontrolora identifikovana kao bezbedna. U slučaju prenosa i obrade van Evropskog ekonomskog prostora ili zemlje koja je odlukom Evropske komisije na zahtev kontrolora određena kao bezbedna, primenjuju se Standardne ugovorne odredbe.

6. Bezbednost. Obrađivač poseduje sertifikat ISO 27001:2013 i koristi okvir ISO 27001 za implementaciju višeslojne bezbednosne strategije kada primenjuje bezbednosne kontrole na nivou mreže, operativnih sistema, baza podataka, aplikacija, osoblja i operativnih procesa. Usklađenost sa regulatornim i ugovornim zahtevima se redovno procenjuje i verifikuje, slično kao i kod druge infrastrukture i operacija obrađivača, a preduzimaju se neophodni koraci radi obezbeđivanja stalne usklađenosti. Obrađivač je organizovao bezbednost podataka koristeći ISMS na osnovu standarda ISO 27001. Bezbednosna dokumentacija uglavnom uključuje dokumente polise za bezbednost informacija, fizičku bezbednost, bezbednost opreme, upravljanje incidentima, rukovanje curenjem podataka i bezbednosnim incidentima itd.

7. Tehničke i organizacione mere. Obrađivač štiti lične podatke od slučajnog i nezakonitog oštećenja i uništenja, slučajnog gubitka, izmene, neovlašćenog pristupa i otkrivanja. U tom cilju, obrađivač će usvojiti odgovarajuće tehničke i organizacione mere koje odgovaraju prirodi obrade i riziku koji obrada predstavlja za prava subjekata podataka, u skladu sa zahtevima uredbe GDPR. Detaljan opis tehničkih i organizacionih mera možete da pronađete u Bezbednosnoj politici.

8. Kontakt informacije obrađivača. Sva obaveštenja, zahtevi, potraživanja i druga komunikacija u vezi sa zaštitom ličnih podataka treba da se dostave na ESET, spol. s.r.o., primalac: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.