Dodatok k

spracovaniu objednávok Tieto podmienky spracovania objednávok dopĺňajú Všeobecné obchodné podmienky spoločnosti Jungherz GmbH ako prevádzkovateľa značky AppConfector (ďalej len „zmluvný partner“). Vzhľadom na to, že sú s nimi pevne prepojené, vy ako zákazník (ďalej len „objednávateľ“) automaticky súhlasíte s týmto dodatkom v rámci obchodného vzťahu. V prípade rozporu medzi týmito predpismi a všeobecnými obchodnými podmienkami majú pri spracovaní objednávok prednosť tieto predpisy.

Zhotoviteľ a zákazník sú ďalej označovaní spoločným pojmom „strany“.

Strany sa dohodli, že súčasne so začiatkom platnosti tejto zmluvy o spracovaní na základe poverenia sa existujúca zmluva o spracovaní údajov na základe poverenia medzi stranami podľa § 11 nemeckého federálneho zákona o ochrane údajov a všetky ostatné zmluvy o spracovaní údajov na základe poverenia ukončia na základe vzájomnej dohody a nahradia ich táto nová zmluva o spracovaní na základe poverenia.

1. Všeobecné ustanovenia

(1) Spracovateľ spracúva osobné údaje v mene zákazníka v zmysle článku 4 č. 8 a článku 28 nariadenia (EÚ) 2016/679 – Všeobecného nariadenia o ochrane údajov (GDPR). Táto zmluva upravuje práva a povinnosti strán v súvislosti so spracovaním osobných údajov.

(2) Pokiaľ sa v tejto zmluve používa pojem „spracovanie údajov“ alebo „spracovanie“ (údajov), platí definícia „spracovania“ v zmysle článku 4 ods. 2 GDPR.

(3) Všetky odkazy v tejto zmluve na GDPR (nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov, o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (základné nariadenie o ochrane údajov)) sa vzťahujú na GDPR v jeho aktuálnom znení.

2. Predmet zákazky

Predmet spracovania, spôsob a účel spracovania, druh osobných údajov a kategórie dotknutých osôb sú stanovené v prílohe č. 1 k tejto zmluve.

3. Práva a povinnosti klienta

(1) Zákazník je zodpovednou osobou v zmysle čl. 4 ods. 7 GDPR za spracúvanie údajov v mene spracovateľov. V súlade s čl. 4 ods. 5 tejto zmluvy je spracovateľ oprávnený informovať zákazníka, ak je predmetom objednávky a/alebo pokynu spracúvanie údajov, ktoré je podľa jeho názoru právne neprijateľné.

(2) Zákazník je zodpovedný za ochranu práv dotknutých osôb. Spracovateľ bezodkladne informuje zákazníka, ak dotknuté osoby uplatnia svoje práva voči spracovateľovi.

(3) Zákazník má právo kedykoľvek vydávať spracovateľovi dodatočné pokyny týkajúce sa druhu, rozsahu a postupu spracovania údajov. Pokyny môžu byť vydané v textovej forme (napr. e-mailom).

(4) Ustanovenia týkajúce sa prípadnej náhrady dodatočných nákladov, ktoré vznikli spracovateľovi v dôsledku dodatočných pokynov od klienta, zostávajú nedotknuté.

5. Zadávateľ bezodkladne informuje spracovateľa, ak zistí chyby alebo nezrovnalosti v súvislosti so spracovaním osobných údajov spracovateľom.

(6) V prípade, že existuje povinnosť informovať tretie strany v súlade s článkami 33 a 34 GDPR alebo akákoľvek iná zákonná oznamovacia povinnosť, ktorá sa vzťahuje na klienta, je klient zodpovedný za splnenie tejto povinnosti.

4. Všeobecné povinnosti spracovateľa

(1) Spracovateľ spracúva osobné údaje výlučne v rozsahu uzavretých zmlúv a/alebo v súlade s akýmikoľvek doplňujúcimi pokynmi vydanými klientom. Výnimkou sú právne predpisy, ktoré môžu spracovateľa zaväzovať spracúvať údaje iným spôsobom. V takom prípade spracovateľ informuje zadávateľa o týchto právnych požiadavkách pred spracovaním, pokiaľ príslušný zákon nezakazuje takéto oznámenie z dôvodu dôležitého verejného záujmu. Účel, povaha a rozsah spracúvania údajov sa inak riadia výlučne touto zmluvou a/alebo pokynmi zadávateľa. Akékoľvek spracúvanie údajov, ktoré sa od toho odchyľuje, je spracovateľovi zakázané,

pokiaľ

k tomu nedal písomný súhlas.

(2) Spracovateľ sa zaväzuje vykonávať spracúvanie údajov v mene zákazníka výlučne v rámci Európskeho hospodárskeho priestoru, pokiaľ to technické požiadavky nevyžadujú inak.

(3) V oblasti spracovania osobných údajov v súlade so zákazkou spracovateľ zaručuje zmluvné vykonanie všetkých dohodnutých opatrení

. (4) Spracovateľ je povinný zorganizovať svoju spoločnosť a svoje prevádzkové postupy tak, aby údaje spracovávané spracovateľom v mene zákazníka boli zabezpečené v rozsahu potrebnom v každom jednotlivom prípade a chránené pred neoprávneným prístupom tretích osôb. Zmeny v organizácii spracovania údajov v mene zákazníka, ktoré sú významné pre bezpečnosť údajov,

spracovateľ

vopred odsúhlasí so zákazníkom

. (5) Spracovateľ na základe objednávky bezodkladne informuje zákazníka, ak sa domnieva, že pokyn vydaný zákazníkom porušuje zákonné predpisy. Spracovateľ je oprávnený pozastaviť vykonávanie príslušného pokynu, kým ho zmluvná strana nepotvrdí alebo neupraví. Ak spracovateľ dokáže preukázať, že spracovanie v súlade s pokynmi zákazníka môže viesť k zodpovednosti spracovateľa podľa článku 82 GDPR, je oprávnený pozastaviť ďalšie spracovanie v tomto ohľade až do vyjasnenia zodpovednosti medzi stranami.

(6) Spracúvanie údajov

v mene

klienta mimo obchodných priestorov spracovateľa alebo subdodávateľa je povolené len so súhlasom klienta v písomnej alebo textovej forme. Spracúvanie údajov pre klienta v súkromných domácnostiach je povolené len so súhlasom klienta v písomnej alebo textovej forme v jednotlivých prípadoch

. (7) Spracovateľ bude údaje, ktoré spracúva v mene klienta, spracúvať oddelene od ostatných údajov. Fyzické oddelenie nie je povinné.

5.

Zodpovedná osoba za ochranu údajov

spracovateľa

(1) Spracovateľ potvrdzuje, že vymenoval zodpovednú osobu za ochranu údajov v súlade s článkom 37 GDPR. Spracovateľ zabezpečí, aby zodpovedná osoba za ochranu údajov mala potrebnú kvalifikáciu a odborné znalosti. Spracovateľ informuje klienta osobitne v textovej forme o mene a kontaktných údajoch svojej zodpovednej osoby za ochranu údajov.

(2) Od povinnosti vymenovať poverenca pre ochranu údajov podľa odseku 1 možno upustiť na základe rozhodnutia zadávateľa, ak spracovateľ preukáže, že nie je zo zákona povinný vymenovať poverenca pre ochranu údajov, a ak spracovateľ preukáže, že existujú prevádzkové opatrenia, ktoré zabezpečujú, že osobné údaje sa spracúvajú v súlade s právnymi predpismi, ustanoveniami tejto zmluvy a akýmikoľvek ďalšími pokynmi zadávateľa.

6. Oznamovacia povinnosť spracovateľa

(1) Spracovateľ je povinný bezodkladne informovať zákazníka o akomkoľvek porušení predpisov o ochrane údajov alebo uzavretých zmluvných dohôd a/alebo pokynov daných zákazníkom, ku ktorému došlo v priebehu spracúvania údajov ním alebo inými osobami zapojenými do spracúvania. To isté platí pre akékoľvek porušenie ochrany osobných údajov spracúvaných spracovateľom v mene zákazníka.

(2) Spracovateľ ďalej bezodkladne informuje zákazníka, ak dozorný orgán podľa článku 58 GDPR podnikne kroky proti spracovateľovi a toto sa môže týkať aj kontroly spracovania, ktoré spracovateľ vykonáva v mene zákazníka.

(3) Spracovateľ si je vedomý, že na klienta sa môže vzťahovať oznamovacia povinnosť podľa článkov 33 a 34 GDPR, ktorá stanovuje oznámenie dozornému orgánu do 72 hodín od zistenia porušenia. Spracovateľ podporí klienta pri plnení oznamovacích povinností. Spracovateľ najmä bezodkladne, najneskôr však do 48 hodín od zistenia takéhoto prístupu, oznámi klientovi akýkoľvek neoprávnený prístup k osobným údajom spracúvaným v mene klienta. Oznámenie spracovateľov klientovi musí obsahovať najmä tieto informácie:

  • opis povahy porušenia ochrany osobných údajov, ak je to možné, s uvedením kategórií a približného počtu dotknutých osôb, dotknutých kategórií a približného počtu dotknutých záznamov osobných údajov;
  • opis opatrení, ktoré spracovateľ prijal alebo navrhol na nápravu porušenia ochrany osobných údajov, a v prípade potreby opatrení na zmiernenie jeho možných nepriaznivých účinkov.

7. Povinnosti spracovateľa zadaných úloh pri spolupráci

(1) Spracovateľ zadaných úloh podporuje klienta pri plnení jeho povinnosti reagovať na žiadosti o uplatnenie práv dotknutej osoby v súlade s článkami 12 až 23 GDPR. Uplatňujú sa ustanovenia § 11 tejto zmluvy.

(2) Spracovateľ sa podieľa na vypracovaní zoznamov činností spracúvania zo strany objednávateľa. Spracovateľ poskytne zákazníkovi potrebné informácie vhodným spôsobom.

(3) S prihliadnutím na druh spracovania a informácie, ktoré má k dispozícii, spracovateľ pomáha zákazníkovi pri plnení povinností stanovených v článkoch 32 až 36 GDPR.

(4) Spracovateľ má právo požadovať od zákazníka primeranú odmenu za tieto služby, ktorá zodpovedá vynaloženým nákladom.

8. Kontrolné právomoci

(1) Zákazník má právo kedykoľvek v potrebnom rozsahu skontrolovať, či spracovateľ dodržiava zákonné ustanovenia o ochrane údajov a/alebo zmluvné ustanovenia dohodnuté medzi stranami a/alebo či spracovateľ dodržiava pokyny zákazníka.

Dôkaz o splnení povinností, ktoré má zmluvný spracovateľ v súlade s GDPR, by mali v prvom rade poskytovať nezávislé testovacie správy a certifikácia.

Ak má zákazník na základe faktických dôkazov odôvodnené pochybnosti, že testovacie správy alebo certifikáty sú nedostatočné alebo nesprávne, alebo ak to odôvodňujú osobitné udalosti v zmysle čl. 33 ods. 1 GDPR v súvislosti s plnením spracovania objednávky zákazníka, môže zákazník vykonávať kontroly v súlade s § 8 ods. 2.

(2) Aby klient mohol vykonať kontrolu spracovania a najmä skontrolovať technické a organizačné opatrenia prijaté u povereného spracovateľa pred začatím a pravidelne počas spracovania údajov, poverený spracovateľ umožní kontrolu neutrálnou treťou stranou (súdnym znalcom) poverenou klientom. Poverený spracovateľ je oprávnený určiť termíny kontroly podľa prevádzkových možností. Kontrola sa umožní v primeranej lehote po podaní žiadosti. Alternatívne môže spracovateľ vyhovieť právu klienta na kontrolu aj poskytnutím kontrolnej správy vypracovanej nezávislým, súdnym audítorom v mene spracovateľa. Uplatňovanie práva na kontrolu nesmie neprimerane narúšať obchodnú činnosť spracovateľa ani byť zneužívajúce.

(3) Spracovateľ objednávky je oprávnený požadovať od zákazníka primeranú odmenu za kontroly v zmysle bodu 8. (2).

9. Podiel subdodávok

(1) Zadávanie subdodávok zo strany spracovateľa je povolené len so súhlasom zákazníka v písomnej forme. Spracovateľ objednávky uvedie všetky subdodávateľské vzťahy, ktoré už existujú v čase uzavretia zmluvy, v prílohe 2 k tejto zmluve.

(2) Spracovateľ objednávok starostlivo vyberie subdodávateľa a pred zadávaním objednávky skontroluje, či je subdodávateľ schopný dodržať dohody uzavreté medzi zákazníkom a spracovateľom objednávok. Spracovateľ objednávok najmä vopred a pravidelne počas trvania zmluvy skontroluje, či subdodávateľ prijal technické a organizačné opatrenia požadované podľa článku 32 GDPR na ochranu osobných údajov. Výsledok kontroly zdokumentuje subdodávateľ a na požiadanie ho sprístupní zákazníkovi.

(3) Spracovateľ je povinný získať od subdodávateľa potvrdenie, že tento vymenoval podnikového poverenca pre ochranu údajov v súlade s článkom 37 GDPR. V prípade, že subdodávateľ nevymenoval poverenca pre ochranu údajov, spracovateľ o tejto skutočnosti informuje zákazníka a poskytne informácie, z ktorých vyplýva, že subdodávateľ nie je zo zákona povinný vymenovať poverenca pre ochranu údajov.

(4) Spracovateľ zabezpečí, aby sa ustanovenia dohodnuté v tejto zmluve a prípadné doplňujúce pokyny zákazníka vzťahovali aj na subdodávateľa.

(5) Spracovateľ uzavrie so subdodávateľom zmluvu, ktorá spĺňa požiadavky článku 28 GDPR. Okrem toho spracovateľ uloží subdodávateľovi rovnaké povinnosti v oblasti ochrany osobných údajov, ako sú povinnosti stanovené medzi zákazníkom a spracovateľom.

(6) Spracovateľ je najmä povinný zmluvnými ustanoveniami zabezpečiť, aby sa kontrolné právomoci (článok 8 tejto zmluvy) zákazníka a dozorných orgánov vzťahovali aj na subdodávateľa a aby boli príslušné kontrolné práva dohodnuté so zákazníkom a dozornými orgánmi. Okrem toho sa zmluvne dohodne, že subdodávateľ bude tolerovať tieto kontrolné opatrenia a akékoľvek kontroly na mieste.

(7) Subdodávateľské vzťahy v zmysle odsekov 1 až 6 sa nepovažujú za služby, ktoré spracovateľ získava od tretích strán ako čisto doplnkové služby na účely vykonávania podnikateľskej činnosti. Medzi takéto služby patria napríklad upratovacie služby, čisto telekomunikačné služby bez konkrétneho odkazu na služby, ktoré spracovateľ poskytuje zadávateľovi, poštové a kuriérske služby, dopravné služby, bezpečnostné služby. Spracovateľ je však povinný zabezpečiť, aj v prípade doplnkových služieb poskytovaných tretími stranami, aby boli prijaté primerané preventívne opatrenia a technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov. Údržba a servis IT systémov alebo aplikácií predstavuje subdodávateľský vzťah a spracovanie objednávok v zmysle čl. 28 GDPR, ktorý vyžaduje schválenie, ak sa údržba a testovanie týka takých IT systémov, ktoré sa používajú aj v súvislosti s poskytovaním služieb pre klienta, a ak je počas údržby možný prístup k osobným údajom spracúvaným v

mene

klienta.

10. Povinnosť

zachovávať mlčanlivosť (1) Pri spracúvaní údajov v mene klienta je spracovateľ povinný zachovávať mlčanlivosť o údajoch, ktoré dostane alebo o ktorých sa dozvie v súvislosti so zákazkou. Spracovateľ sa zaväzuje dodržiavať rovnaké pravidlá

ochrany

tajomstva, aké platia pre zadávateľa. Zadávateľ je povinný informovať spracovateľa o akýchkoľvek osobitných pravidlách ochrany tajomstva.

(2) Spracovateľ zaručuje, že je si vedomý platných predpisov o ochrane údajov a že je oboznámený s ich uplatňovaním. Zadávateľ ďalej zaručuje, že oboznámil svojich zamestnancov s ustanoveniami o ochrane údajov, ktoré sa na nich vzťahujú, a zaviazal ich k zachovaniu dôvernosti. Zhotoviteľ ďalej zaručuje, že najmä svojich zamestnancov zapojených do plnenia zákazky zaviazal k zachovaniu mlčanlivosti a oboznámil ich s pokynmi objednávateľa.

(3) Povinnosť zamestnancov podľa odseku 2 je potrebné na požiadanie preukázať objednávateľovi.

11. Ochrana práv dotknutých osôb

(1) Za ochranu práv dotknutých osôb zodpovedá výlučne objednávateľ. Spracovateľ je povinný podporovať objednávateľa pri plnení jeho povinnosti vybavovať žiadosti dotknutých osôb v súlade s článkami 12 až 23 GDPR. Spracovateľ údajov najmä zabezpečí, aby boli v tejto súvislosti požadované informácie bezodkladne poskytnuté objednávateľovi, aby mohol splniť svoje povinnosti podľa článku 12 ods. 3 GDPR.

(2) Pokiaľ je spolupráca povereného spracovateľa nevyhnutná na ochranu práv dotknutých osôb – najmä na informácie, opravu, blokovanie alebo vymazanie – zo strany klienta, poverený spracovateľ prijme príslušné nevyhnutné opatrenia v súlade s pokynmi klienta. Ak je to možné, spracovateľ údajov podporí klienta vhodnými technickými a organizačnými opatreniami, aby splnil svoju povinnosť reagovať na žiadosti o uplatnenie práv dotknutých osôb. Spracovateľ je oprávnený požadovať od klienta primeranú odmenu za tieto služby.

(3) Tým nie sú dotknuté žiadne ustanovenia o možnej náhrade dodatočných nákladov, ktoré vznikli spracovateľovi v dôsledku služieb spolupráce v súvislosti s uplatňovaním práv dotknutých osôb voči klientovi.

12. Povinnosť mlčanlivosti

(1) Obidve strany sa zaväzujú, že všetky informácie získané v súvislosti s plnením tejto zmluvy budú na dobu neurčitú považovať za dôverné a budú ich používať výlučne na účely plnenia zmluvy. Žiadna zo strán nie je oprávnená tieto informácie čiastočne ani v celom rozsahu používať na iné účely, ako sú uvedené vyššie, ani ich sprístupňovať tretím osobám.

(2) Vyššie uvedená povinnosť sa nevzťahuje na informácie, ktoré jedna zo strán preukázateľne získala od tretích osôb bez povinnosti zachovávať mlčanlivosť alebo ktoré sú verejne známe.

13. Spracovanie

Spracovateľ nedostane za túto zmluvu osobitnú odmenu.

14. Technické a organizačné opatrenia na zabezpečenie údajov

(1) Spracovateľ sa voči zákazníkovi zaväzuje dodržiavať technické a organizačné opatrenia potrebné na splnenie platných predpisov o ochrane údajov. To zahŕňa najmä požiadavky článku 32 GDPR.

(2) Stav technických a organizačných opatrení existujúcich v čase uzavretia zmluvy je k tejto zmluve priložený ako príloha 3. Zmluvné strany sa dohodli, že zmeny technických a organizačných opatrení môžu byť potrebné na prispôsobenie sa technickým a právnym podmienkam. Významné zmeny, ktoré môžu ovplyvniť integritu, dôvernosť alebo dostupnosť osobných údajov, spracovateľ vopred odsúhlasí so zákazníkom. Opatrenia, ktoré zahŕňajú iba menšie technické alebo organizačné zmeny a nemajú negatívny vplyv na integritu, dôvernosť a dostupnosť osobných údajov, môže spracovateľ údajov implementovať bez konzultácie so zákazníkom. Zákazník môže kedykoľvek požiadať o aktuálnu verziu technických a

organizačných

opatrení

prijatých

spracovateľom

. (3) Zhotoviteľ pravidelne a podľa potreby skontroluje účinnosť technických a organizačných opatrení, ktoré prijal. V prípade potreby optimalizácie a/alebo úpravy o tom spracovateľ informuje klienta.

15. Trvanie zmluvy

(1) Zmluva nadobúda platnosť dňom zadania a uzatvára sa na dobu neurčitú.

(2) Zmluva končí ukončením hlavnej zmluvy (balíka aplikácií alebo akejkoľvek služby) bez potreby osobitného vypovedania.

Akékoľvek povinnosti

týkajúce sa

vymazania a vrátenia po ukončení tejto zmluvy sa riadia článkom 16.

(3) Zadávateľ môže zmluvu kedykoľvek vypovedať bez výpovednej lehoty, ak dôjde k závažnému porušeniu ustanovení o ochrane údajov platných pre spracovateľa alebo povinností vyplývajúcich z tejto zmluvy, ak spracovateľ nie je schopný alebo ochotný vykonať pokyn zadávateľa alebo ak spracovateľ v rozpore so zmluvou odmietne prístup zadávateľovi alebo príslušnému dozornému orgánu.

16. Ukončenie

(1) Po ukončení zmluvy je spracovateľ na základe poverenia povinný vrátiť zákazníkovi alebo vymazať všetky dokumenty, údaje a vytvorené výsledky spracovania alebo používania, ktoré sa dostali do jeho držby v súvislosti so zmluvným vzťahom, podľa voľby zákazníka. Vymazanie sa musí vhodným spôsobom zdokumentovať. Akékoľvek zákonné povinnosti uchovávania alebo iné povinnosti uchovávať údaje zostávajú nedotknuté. V prípade nosičov údajov musia byť tieto v prípade vymazania požadovaného zákazníkom zlikvidované, pričom musí byť dodržaná aspoň úroveň bezpečnosti 3 podľa normy DIN 66399; zákazník musí predložiť dôkaz o likvidácii s odkazom na úroveň bezpečnosti podľa normy DIN 66399.

(2) Zákazník má právo kontrolovať úplné a zmluvné vrátenie a vymazanie údajov u spracovateľa. To je možné urobiť aj prostredníctvom kontroly zariadení na spracovanie údajov v priestoroch spracovateľa. Kontrolu na mieste oznámi klient s primeranou lehotou.

17. Zadržovacie právo

Strany sa dohodli, že je vylúčené uplatnenie zadržovacieho práva zo strany spracovateľa v zmysle § 273 BGB (nemecký občiansky zákonník) vo vzťahu k spracovaným údajom a súvisiacim nosičom údajov.

18. Záverečné ustanovenia

(1) Ak je majetok zákazníka v priestoroch spracovateľa ohrozený opatreniami tretích osôb (napr. zabavením alebo konfiškáciou), konkurzným konaním alebo inými udalosťami, spracovateľ o tom bezodkladne informuje zákazníka. Spracovateľ bezodkladne informuje veriteľov o skutočnosti, že údaje sa spracúvajú na základe objednávky.

(2) Vedľajšie dohody musia mať písomnú formu.

(3) Ak by sa jednotlivé časti tejto zmluvy ukázali za neplatné, nemá to vplyv na platnosť ostatných ustanovení zmluvy.

Príloha 1 – Predmet objednávky

1. Predmet a účel spracovania

Objednávka klienta u spracovateľa zahŕňa nasledujúce práce a/alebo služby: Poskytovanie mobilných aplikácií (podrobnejšie opísaných v príslušnom platnom popise služieb), ako aj webových stránok s podobným obsahom. To zahŕňa zber, spracovanie a odosielanie zaznamenaných údajov.

2. Druhy osobných údajov

Pravidelne sa spracúvajú nasledujúce druhy údajov: Dáta o prevádzke, obsahové údaje, kontaktné údaje, osobné kmeňové údaje a komunikačné údaje (meno, adresa, telefónne číslo, faxové číslo, e-mailová adresa).

3. Okruh dotknutých osôb

Okruh osôb, ktorých sa spracovanie údajov týka: Používatelia vášho účtu, volajúci a volaní účastníci alebo odosielatelia/príjemcovia SMS/faxov, zamestnanci, zákazníci, obchodní partneri, záujemcovia a poskytovatelia služieb klienta.

Ak je klient partnerom spracovateľa: Kontaktné, osobné kmeňové a komunikačné údaje (meno, adresa, telefónne číslo, faxové číslo, e-mailová adresa) dodávateľov/spoločností odporučených partnerom, ktorý zadal objednávku.

Klient je povinný informovať používateľov účtu a – v prípade potreby – zamestnaneckú radu alebo porovnateľných zástupcov o spracovaní údajov uvedených v bode 2.

4. Miesto spracovania údajov:

Všetky údaje sa spracúvajú na serveroch v rámci Európskeho hospodárskeho priestoru.

Príloha 2 – Subdodávateľ

Na spracovanie údajov v mene zadávateľa spracovateľ využíva služby tretích strán, ktoré spracúvajú údaje v jeho mene („subdodávatelia“).

Spracovateľ využíva na poskytovanie svojich služieb rôznych subdodávateľov.

Títo subdodávatelia sú spočiatku nasledujúce spoločnosti spracovateľa a vykonávajú prípravné práce na realizáciu služieb spracovateľa. Medzi spoločnosťami existujú potrebné zmluvné dohody o spracovaní týchto údajov.

Ide o nasledujúce spoločnosti:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlín,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francúzsko

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlín

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Írsko

Príloha 3 – Technické a organizačné opatrenia spracovateľa objednávok

Spracovateľ objednávok prijme nasledujúce technické a organizačné opatrenia na zabezpečenie ochrany údajov v zmysle článku 32 GDPR.

1. Dôvernosť

Kontrola prístupu

S cieľom zabrániť neoprávnenému prístupu k systémom na spracovanie údajov, prostredníctvom ktorých sa údaje spracúvajú alebo používajú, spracovateľ a jeho subdodávatelia, ako napríklad Netcup a divízia Google Cloud, zaviedli rozsiahle formálne procesy kontroly prístupu.

V používaných priestoroch sa nachádzajú serverové miestnosti a miestnosť so serverovou technikou. Na prístup sa vybraným zamestnancom subdodávateľa vydávajú elektronické kľúče. Kľúče oprávňujú príslušného zamestnanca subdodávateľa iba na otváranie/zatváranie jednotlivých dverí, ktoré boli na tento účel schválené. Všetky operácie otvárania a zatvárania kľúčom sa elektronicky zaznamenávajú spolu s jedinečným identifikačným číslom kľúča. Za správu kľúčov sú zodpovední iba zamestnanci subdodávateľa, ktorých priamo poverilo vedenie.

Serverová miestnosť je neustále uzamknutá a môžu do nej vstúpiť len vybraní zamestnanci

subdodávateľa

.

V budove príslušnej lokality sú prístupové práva zamestnancov subdodávateľa – aj tých, ktorí majú kľúč – obmedzené na rozsah nevyhnutný na vykonanie konkrétnej úlohy.

Počas pracovnej doby sa na trvalo obsadenej recepcii vykonáva kontrola osôb vstupujúcich do budovy. Mimo pracovnej doby sú všetky vchody do budovy uzamknuté a zabezpečené alarmom. Budova je dodatočne strážená bezpečnostnou službou. Všetky poplachy poplachového systému sa hlásia priamo bezpečnostnej službe.

Vo všetkých dátových centrách sa uplatňujú štandardné bezpečnostné opatrenia. Tieto zodpovedajú najnovšiemu stavu techniky a osvedčeným postupom v odvetví IT. Patria sem elektronické systémy kontroly prístupu s protokolovaním, vďaka ktorým majú prístup do budovy len oprávnené osoby, poplachové systémy, kamerový dohľad vo vnútri/vonku, bezpečnostný personál 24/7, zabezpečenie budovy ostnatým drôtom, ochrana externými bezpečnostnými službami, ktoré sú v prípade poplachu automaticky informované prostredníctvom vyhradenej poplachovej linky.

Kľúče od jednotlivých miestností a klietok v dátovom centre je vždy potrebné vyzdvihnúť u bezpečnostného personálu.

Kontrola prístupu

Aby sa zabezpečilo, že osoby oprávnené používať systém na spracovanie údajov majú prístup k údajom len v rozsahu svojho prístupového oprávnenia a že uložené alebo spracovávané údaje nemôžu neoprávnené osoby čítať, kopírovať, meniť ani odstraňovať, spracovateľ používa centrálny systém na správu prístupových oprávnení. Všetky prístupy sa ukladajú lokálne a na centrálnom logovom serveri. Správcovské práva je možné vykonávať iba prostredníctvom centrálneho správcovského programu.

Prístup k všetkým údajom je obmedzený na rozsah potrebný na to, aby všetky oprávnené osoby mohli plniť svoje konkrétne úlohy. Dodržiavajú sa zákonné požiadavky na ochranu údajov, najmä požiadavky základného nariadenia o ochrane údajov (GDPR) a TKG.

Oddelenie

Spracovateľ spracúva údaje na serverových systémoch, ktoré sú logicky oddelené systémom logických a fyzických kontrol prístupu v sieti.

2. Integrita

Kontrola vkladania

Aby bolo možné dodatočne overiť a zistiť, či a kým boli údaje v systémoch na spracovanie údajov vložené, zmenené alebo odstránené, všetky prístupy k uloženým údajom zákazníka sa zaznamenávajú lokálne a na centrálnom logovom serveri.

Kontrola odosielania

Aby sa zabezpečilo, že údaje nemôžu byť počas elektronického prenosu, prepravy alebo ukladania prečítané, kopírované, zmenené alebo odstránené neoprávnenými osobami a aby bolo možné overiť, kam majú byť údaje prenesené systémami prenosu údajov, prístup ku všetkým systémom, ktoré spracúvajú údaje zákazníkov, podlieha účinným kontrolám prístupu. Tieto mechanizmy kontroly prístupu sú už podrobnejšie opísané vyššie v bode 3.

3. Dostupnosť a odolnosť

Spracovateľ používa vo všetkých systémoch kombináciu redundantných systémov a zálohovacích riešení s cieľom chrániť uložené údaje a v prípade potreby ich obnoviť. Tieto systémy sú prevádzkované výlučne v priestoroch zabezpečených a vybavených v súlade s aktuálnym stavom techniky, ktoré disponujú potrebnou klimatizáciou, protipožiarnymi a dymovými poplachovými systémami a pre ktoré existujú podrobné núdzové plány.

4. Postupy pravidelného preskúmavania, posudzovania a hodnotenia

Všetci naši zamestnanci a zamestnanci subdodávateľa sú pravidelne školení v otázkach ochrany údajov. Tieto školenia sa realizujú výlučne interne, aby bolo možné presne prispôsobiť obsah otázkam relevantným pre spracovateľa objednávok. Počas týchto školení sa podrobne riešia aj individuálne otázky.

Všetci zamestnanci spracovateľa, ktorí prichádzajú do styku so spracúvaním osobných údajov v rámci svojej práce, sú povinní zaobchádzať s osobnými údajmi dôverne. To sa pravidelne vykonáva pri prijímaní nových zamestnancov prostredníctvom zmluvného vyhlásenia o záväzku, ktoré musí každý zamestnanec podpísať.

Spracovateľ vymenoval poverenca pre ochranu údajov. Poverenec pre ochranu údajov spolu so svojimi zástupcami zabezpečuje, aby boli otázky dotknutých osôb zodpovedané včas.

Spracovateľ vedie register činností spracúvania v zmysle čl. 30 ods. 1 a 2 GDPR. Tento zoznam činností spracúvania nie je verejný.

(k 16. februáru 2022)