Dodatak za obradu podataka

 

Ovaj Dodatak čini sastavni dio Ugovora i sklapa ga:

 

  1. (i) Klijent (" Izvoznik podataka ")
  2. (ii) POSTCODEZIP (" Uvoznik podataka ")

 

Svaka je " Stranka " i obično " Stranke ".

 

Preambula

GDJE Uvoznik podataka pruža profesionalne softverske usluge, računalne i povezane usluge;

GDJE je u skladu s Ugovorom Uvoznik podataka pristao pružati Izvozniku podataka usluge navedene u Ugovoru (" Usluge ");

GDJE, pružanjem usluga, Uvoznik podataka prima ili ima koristi od pristupa informacijama Izvoznika podataka ili informacijama drugih osoba koje imaju (potencijalni) odnos s Izvoznikom podataka, takve se informacije mogu kvalificirati kao osobni podaci u smislu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (" GDPR ") i drugim primjenjivim zakonima o zaštiti podataka.

GDJE ovaj Dodatak sadrži odredbe i uvjete primjenjive na prikupljanje, obradu i korištenje takvih osobnih podataka od strane Uvoznika podataka u svojstvu ovlaštenog agenta za obradu podataka Izvoznika podataka, kako bi se osiguralo da se stranke pridržavaju primjenjivog zakona o zaštiti podataka .

 

STOGA, i kako bi se strankama omogućilo da zakonito nastave svoj odnos, stranke su zaključile ovaj Dodatak kako slijedi:

1. dio

 

1. Struktura dokumenta i definicije

1.1 Struktura

Ovaj dodatak se sastoji od različitih dijelova kako slijedi:

 

1. dio:

sadrži opće odredbe, npr. koje se odnose na definicije korištene u ovom Dodatku, usklađenost s lokalnim zakonima, vrijeme i prekid

2. dio:

sadrži tijelo neizmijenjenog dokumenta Standardnih ugovornih klauzula

Dodatak 1.1 dijela 2:

sadrži pojedinosti o operacijama obrade koje Uvoznik podataka daje Izvozniku podataka kao ovlaštenom agentu za obradu podataka (uključujući obradu, prirodu i svrhu obrade, vrstu osobnih podataka i kategorije ispitanika) u skladu s ovim dodatak

Dodatak 2. dijela 2.:

sadrži opis tehničkih i organizacijskih sigurnosnih mjera Uvoznika podataka koje se primjenjuju u vezi sa svim aktivnostima obrade opisanim u Dodatku 1.1. 2. dijela

dio 3:

sadrži potpise stranaka koje obvezuje ovaj Dodatak i identificira svakog uvoznika podataka

 

1.2 Terminologija i definicije

Za potrebe ovog dodatka primjenjiva je terminologija i definicije koje koristi GDPR (u tijelu dokumenta Standardne ugovorne klauzule u 2. dijelu, gdje definirani pojmovi nisu napisani velikim slovima). 

 

"Država članica"

označava državu koja pripada Europskoj uniji ili Europskom gospodarskom prostoru

"Posebne kategorije (osobnih) podataka"

odnosi se na osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, te genetske podatke, biometrijske podatke, ako se obrađuju u svrhu jedinstvene identifikacije osobe, podatke koji se odnose na zdravlje, podatke koji se odnose na spol osobe životna ili seksualna orijentacija

"Standardne ugovorne klauzule"

znači Standardne ugovorne klauzule za prijenos osobnih podataka agenata za obradu s poslovnim nastanom u trećim zemljama, prema Odluci Komisije 2010/87/EU od 5. veljače 2010., koja je izmijenjena Provedbenom odlukom Komisije (EU) 2016/2297 16. prosinca 2016

"Procesor podataka"

znači bilo koji agent za obradu, koji se nalazi unutar ili izvan EU/EGP, koji pristaje primiti od Uvoznika podataka ili bilo kojeg drugog obrađivača Uvoznika podataka, osobne podatke u isključivu svrhu aktivnosti obrade koje će izvršiti Izvoznik podataka nakon prijenos u skladu s uputama Izvoznika podataka, uvjetima ovog Dodatka i Ugovora s Uvoznikom podataka

 

 

2. Obveze Izvoznika podataka

2.1 Izvoznik podataka ima obvezu osigurati usklađenost sa svim primjenjivim obvezama prema GDPR-u i svim drugim primjenjivim zakonima o zaštiti podataka koji se primjenjuju na Izvoznika podataka i pokazati takvu usklađenost kako se zahtijeva člankom 5. stavkom 2. GDPR-a. Izvoznik podataka jamči da je Uvoznik podataka dobio prethodnu suglasnost ispitanika u skladu s člankom 6. (a) GDPR-a te da je ispunio svoju obvezu informiranja ispitanika u skladu s člankom 13. i 14. GDPR-a.

2.2 Izvoznik podataka mora Uvozniku podataka dostaviti odgovarajuće datoteke aktivnosti obrade u skladu s člankom 30. stavkom 1. GDPR-a koji se odnose na Usluge iz ovog Dodatka, u mjeri u kojoj je Uvoznik podataka u skladu s obvezom iz Članak 30. stavak 2. GDPR-a.

2.3 Izvoznik podataka mora imenovati službenika za zaštitu podataka ili predstavnika u mjeri u kojoj to zahtijeva primjenjivi zakon o zaštiti podataka. Izvoznik podataka dužan je Uvozniku podataka dostaviti kontakt podatke agenta za zaštitu podataka ili predstavnika, ako postoji.

2.4. Prije dovršetka obrade, prihvaćanjem ovog Dodatka, Izvoznik podataka potvrđuje da su tehničke i organizacijske sigurnosne mjere Uvoznika podataka, kako je navedeno u Dodatku 2. Dijelu 2, prikladne i dovoljne za zaštitu prava ispitanika i potvrđuje da Uvoznik podataka pruža dovoljne mjere zaštite u tom pogledu.

 

3. Usklađenost s lokalnim zakonima

Kako bi se ispunili zahtjevi implementacije agenata za obradu prema članku 28. GDPR-a, primjenjuju se sljedeće izmjene:

 

3.1 Upute

  1. (i) Izvoznik podataka daje upute Uvozniku podataka da obrađuje osobne podatke samo u ime Izvoznika podataka. Upute Izvoznika podataka nalaze se u ovom Dodatku i u Ugovoru. Izvoznik podataka ima obvezu osigurati da su sve upute dane Uvozniku podataka u skladu s primjenjivim zakonima o zaštiti podataka. Uvoznik podataka mora obrađivati ​​osobne podatke samo u skladu s uputama koje daje Izvoznik podataka, osim ako Europska unija ili zakon države članice ne zahtijeva drugačije (u potonjem slučaju primjenjuje se 1. dio stavka 3.2 (iv) (c)) .
  2. (ii) Sve ostale upute koje nadilaze upute u ovom Dodatku ili u Ugovoru moraju biti uključene u predmet ovog Dodatka i Ugovora. Ako provedba ove dodatne upute uključuje troškove za Uvoznika podataka, Uvoznik podataka će obavijestiti Izvoznika podataka o takvim troškovima i dati objašnjenje prije provedbe upute. Tek nakon što Izvoznik podataka potvrdi prihvaćanje ovih troškova za provedbu upute, Uvoznik podataka će provesti ovu dodatnu uputu. Izvoznik podataka mora dati dodatne upute u pisanom obliku osim ako hitnost ili druge posebne okolnosti zahtijevaju drugi oblik (npr. usmeni, elektronički). Izvoznik podataka mora bez odgađanja potvrditi upute u obliku koji nije pisani.
  3. 1. Osim ako Izvoznik podataka ne može sam izvršiti ispravak, brisanje ili ograničenje osobnih podataka, upute se također mogu odnositi na ispravak, brisanje i/ili ograničenje osobnih podataka kako je navedeno u 1. dijelu stavka 3.3.
  4. 2. Uvoznik podataka mora odmah obavijestiti Izvoznika podataka ako, prema njegovom mišljenju, Uputa krši GDPR ili druge primjenjive odredbe o zaštiti podataka Europske unije ili države članice (" Sporna uputa"). Ako Uvoznik podataka smatra da Uputa krši GDPR ili druge primjenjive odredbe o zaštiti podataka Europske unije ili države članice, Uvoznik podataka nije dužan slijediti Osporenu uputu. Ako Izvoznik podataka potvrdi Osporenu Uputu nakon primivši informacije od Uvoznika podataka i priznaje svoju odgovornost za Osporenu instrukciju, Uvoznik podataka će provesti Osporenu uputu, osim ako se Osporena instrukcija ne odnosi na (i) provedbu tehničkih i organizacijskih mjera, (ii) prava na podatke Subjekti ili (iii) angažman obrađivača podataka U slučajevima (i) do (iii), Uvoznik podataka može kontaktirati nadležno nadzorno tijelo kako bi to tijelo pravno ocijenilo osporenu Uputu.Ako nadzorno tijelo proglasi osporenu Uputu zakonitom, Uvoznik podataka će provesti osporenu Uputu. Dio 1, klauzula 3.1 (ii) ostaje primjenjiv.

 

3.2 Obveze uvoznika podataka

  1. (i) Uvoznik podataka mora osigurati da su se osobe koje je Uvoznik podataka ovlastio za obradu osobnih podataka u ime Izvoznika podataka, posebno zaposlenici Uvoznika podataka i zaposlenici bilo kojeg podizvođača, obvezali poštivati ​​povjerljivost ili su podložni odgovarajuću zakonsku obvezu povjerljivosti, te da osobe koje imaju pristup osobnim podacima obrađuju ih u skladu s uputama Izvoznika podataka.
  2. (ii) Uvoznik podataka mora provesti tehničke i organizacijske sigurnosne mjere kako je navedeno u Dodatku 2. Dijelu 2. prije obrade osobnih podataka u ime Izvoznika podataka. Uvoznik podataka može s vremena na vrijeme promijeniti tehničke i organizacijske sigurnosne mjere ako one ne pružaju manju zaštitu od onih navedenih u Dodatku 2. Dijelu 2.
  3. (iii) Uvoznik podataka stavlja na raspolaganje Izvozniku podataka, na zahtjev Izvoznika podataka, informacije koje pokazuju usklađenost s obvezama Uvoznika podataka prema ovom Dodatku. Stranke su suglasne da se ova obveza informiranja ispunjava davanjem izvješća o reviziji Izvozniku podataka (koji pokriva sigurnost načela, dostupnost sustava i povjerljivost) ("Izvješće o reviziji"). Ako su zakonski potrebne dodatne revizijske aktivnosti, Izvoznik podataka može zahtijevati da inspekcije provede Izvoznik podataka ili drugi revizor kojeg je imenovao Izvoznik podataka, pod uvjetom da takav revizor izvrši ugovor o povjerljivosti s Uvoznikom podataka za Uvoznika podataka razumno zadovoljstvo ("Revizija"). Ova revizija podliježe sljedećim uvjetima:(i) prethodno službeno pismeno prihvaćanje Uvoznika podataka; i (ii) Izvoznik podataka snosi sve troškove u vezi s revizijom na licu mjesta za Izvoznika podataka i Uvoznika podataka. Izvoznik podataka mora izraditi izvješće revizije u kojem se sažimaju rezultati i zapažanja revizije na licu mjesta ("Izvješće o reviziji na licu mjesta"). Izvješća o reviziji na licu mjesta i izvješća o reviziji povjerljive su informacije Uvoznika podataka i ne smiju se otkrivati ​​trećim stranama osim ako to zahtijeva primjenjivi zakon o zaštiti podataka ili u skladu s pristankom Uvoznika podataka.Izvješća o reviziji na licu mjesta i izvješća o reviziji povjerljive su informacije Uvoznika podataka i ne smiju se otkrivati ​​trećim stranama osim ako to zahtijeva primjenjivi zakon o zaštiti podataka ili u skladu s pristankom Uvoznika podataka.Izvješća o reviziji na licu mjesta i izvješća o reviziji povjerljive su informacije Uvoznika podataka i ne smiju se otkrivati ​​trećim stranama osim ako to zahtijeva primjenjivi zakon o zaštiti podataka ili u skladu s pristankom Uvoznika podataka.
  4. (iv) Uvoznik podataka ima obvezu obavijestiti Izvoznika podataka bez nepotrebnog odgađanja:
    1. a. u vezi sa bilo kojim pravno obvezujućim zahtjevom za otkrivanje osobnih podataka od strane tijela za provedbu zakona, osim ako nije drugačije zabranjeno, kao što je zabrana prema kaznenom zakonu radi zaštite povjerljivosti istrage za provedbu zakona
    2. b. u vezi s bilo kojom pritužbom i zahtjevom primljenim izravno od nositelja podataka (npr. u vezi s pristupom, ispravkom, brisanjem, ograničenjem obrade, prijenosom podataka, prigovorom na obradu podataka, automatiziranim donošenjem odluka) bez odgovora na taj zahtjev, osim ako je Uvoznik podataka ovlašten za učini tako
    3. c. ako je uvoznik podataka ili obrađivač podataka dužan, prema zakonu Europske unije ili države članice kojoj je podvrgnut uvoznik podataka ili obrađivač podataka, obraditi osobne podatke izvan uputa Izvoznika podataka, prije nego što izvrši takvu obradu izvan upute, osim ako zakoni Europske unije ili države članice zabranjuju takvu obradu iz razloga vitalnog javnog interesa, u kojem slučaju će se u obavijesti Izvozniku podataka navesti pravni zahtjev prema tom zakonu Europske unije ili države članice; ili
    4. d. ako Uvoznik podataka shvati povredu osobnih podataka, isključivo zbog sebe ili svog podizvođača, što bi utjecalo na osobne podatke Izvoznika podataka obuhvaćene ovim ugovorom, u kojem slučaju će Uvoznik podataka pomoći Izvozniku podataka u njegovoj obvezi, vis-Ã -vis primjenjivog zakona o zaštiti podataka, obavijestiti ispitanike i, gdje je primjenjivo, nadzorna tijela pružanjem informacija kojima raspolaže, u skladu s člankom 33. stavkom 3. GDPR-a.
    5. (v) Na zahtjev Izvoznika podataka, Uvoznik podataka će biti primoran pomoći Izvozniku podataka u njegovoj obvezi da provede procjenu utjecaja na zaštitu podataka koja se može zahtijevati člankom 35. GDPR-a i prethodnog savjetovanja koje može biti zahtijeva članak 36. GDPR-a u vezi s uslugama koje uvoznik podataka pruža Izvozniku podataka prema ovom Dodatku, pružajući potrebne i informacije Izvozniku podataka. Uvoznik podataka će biti dužan pružiti takvu pomoć samo ako Izvoznik podataka ne može ispuniti svoju obvezu na drugi način. Uvoznik podataka obavijestit će Izvoznika podataka o cijeni takve pomoći. Čim Izvoznik podataka potvrdi da može snositi ovaj trošak, Uvoznik podataka pružit će Izvozniku podataka ovu pomoć.
    6. (vi) Po završetku pružanja usluga, Izvoznik podataka može zatražiti povrat osobnih podataka koje obrađuje Uvoznik podataka u skladu s ovim Dodatkom u roku od mjesec dana nakon pružanja usluga. Osim ako zakonodavstvo države članice ili Europske unije zahtijeva od Uvoznika podataka da pohrani ili zadrži takve osobne podatke, Uvoznik podataka će izbrisati sve takve osobne ili neosobne podatke nakon razdoblja od mjesec dana, bez obzira jesu li vraćeni Izvoznik podataka na njegov zahtjev ili ne.

 

3.3 Prava dotičnih osoba

  1.  
    1. (i) Izvoznik podataka upravlja i odgovara na zahtjeve ispitanika. Uvoznik podataka nije dužan izravno odgovarati ispitanicima.
    2. (ii) Ako Izvoznik podataka zahtijeva pomoć Uvoznika podataka u obradi i odgovaranju na zahtjeve ispitanika, Izvoznik podataka će izdati daljnje upute u skladu s člankom 3.1 (ii) Dijela 1. Uvoznik podataka pomoći će Izvozniku podataka sa sljedećim odgovarajućim i tehničkim organizacijskim mjerama za odgovor na zahtjeve za ostvarivanje prava ispitanika navedenih u poglavlju III. GDPR-a kako slijedi:
    3. a. Što se tiče zahtjeva za informacijama, Uvoznik podataka dostavit će Izvozniku podataka samo one podatke propisane člankom 13. i 14. PGRD-a koje može imati na raspolaganju ako ih Izvoznik podataka ne može sam pronaći.
    4. b. Što se tiče zahtjeva za pristup (članak 15. GDPR-a), Uvoznik podataka dostavit će Izvozniku podataka samo one informacije koje se trebaju dati ispitaniku za navedeni zahtjev za pristup, a koje može imati na raspolaganju ako potonji ga ne mogu pronaći sami.
    5. c. Što se tiče zahtjeva za ispravak (članak 16. GDPR-a), zahtjeva za brisanje (članak 17. GDPR-a), ograničenja zahtjeva za obradu (članak 18. GDPR-a) ili zahtjeva za prijenos (članak 20. GDPR-a), i samo ako Izvoznik podataka ne može sam ispraviti ili izbrisati, ograničiti ili prenijeti osobne podatke drugoj trećoj strani, Uvoznik podataka ponudit će Izvozniku podataka mogućnost da ispravi ili izbriše, ograniči ili prenese dotične osobne podatke drugoj trećoj strani, ili ako to nije moguće, pružit će pomoć za ispravljanje ili brisanje, ograničenje ili prijenos dotičnih osobnih podataka drugoj trećoj strani.
    6. d. U vezi s obavijesti koja se odnosi na ispravak, brisanje ili ograničenje obrade (članak 19. GDPR-a), Uvoznik podataka će pomoći Izvozniku podataka obavijestiti sve primatelje osobnih podataka koje je Uvoznik podataka angažirao kao obrađivače ako Izvoznik podataka to zatraži i ako Izvoznik podataka ne može sam popraviti situaciju.
    7. e. Što se tiče prava na prigovor koji koristi nositelj podataka (članci 21. i 22. GDPR-a), Izvoznik podataka će odrediti je li prigovor legitiman i kako se s njime nositi.
    8. (iii) Obveze pomoći Uvoznika podataka ograničene su na osobne podatke koji se obrađuju unutar njegove infrastrukture (npr. baze podataka, sustavi, aplikacije u vlasništvu ili koje pruža Uvoznik podataka).
    9. (iv) Izvoznik podataka će odrediti može li ispitanik ostvariti prava subjekata podataka iz članka 3.1. ovog dijela 1 i obavijestit će Uvoznika podataka o mjeri u kojoj je pomoć navedena u klauzulama 3.3 (ii), ( iii) 1. dijela je potrebno.
    10. (v) Ako Izvoznik podataka zatraži dodatne ili izmijenjene tehničke i organizacijske mjere kako bi ispunio prava ispitanika koji nadilaze pomoć koju pruža Uvoznik podataka u skladu s podtočkom 3.3 (ii), (iii) 1. dijela, podaci Uvoznik će obavijestiti Izvoznika podataka o troškovima provedbe takvih dodatnih ili izmijenjenih tehničkih i organizacijskih mjera. Čim Izvoznik podataka potvrdi da može podmiriti te troškove, Uvoznik podataka će provesti takve dodatne ili modificirane tehničke i organizacijske mjere kako bi pomogao Izvozniku podataka u odgovoru na zahtjeve Subjekata podataka.
    11. (vi) Bez ograničavanja opsega klauzule 3.3 (v) Dijela 1, Izvoznik podataka dužan je nadoknaditi Uvozniku podataka njegove razumne troškove nastale u odgovoru na zahtjeve Subjekata podataka.

 

3.4 Podobrada

  1.  
    1. (i) Izvoznik podataka ovlašćuje Uvoznika podataka da koristi podizvođače za pružanje usluga prema ovom Dodatku. Uvoznik podataka će pažljivo odabrati takve procesore podataka. Izvoznik podataka odobrava procesor(e) podataka naveden u Dodatku 1.1 na kraju 2. dijela.
    2. (ii) Uvoznik podataka će svoje obveze prema ovom Dodatku prenijeti na obrađivača(e) podataka u mjeri u kojoj je to primjenjivo na podugovorene usluge.
    3. (iii) Uvoznik podataka može otpustiti, zamijeniti ili imenovati drugog odgovarajućeg i pouzdanog(e) obrađivača(e) podataka prema vlastitom nahođenju. Ako to pisanim putem zatraži Izvoznik podataka, Uvoznik podataka mora slijediti dolje navedeni postupak:
  1.  
    1. a. Uvoznik podataka će obavijestiti Izvoznika podataka prije bilo kakvih promjena na popisu obrađivača podataka na koje se upućuje u skladu s člankom 3.4 (i) Dijela 1. Ako se Izvoznik podataka ne usprotivi prema točki 3.4. (b) 1. dijela trideset dana nakon primitka obavijesti od Uvoznika podataka, smatrat će se da su dodatni obrađivači podataka prihvaćeni.
    2. b. Ako Izvoznik podataka ima legitiman razlog da prigovori dodatnom procesoru podataka, prethodno će pisano obavijestiti Uvoznika podataka u roku od trideset dana od primitka obavijesti Uvoznika podataka i prije nego što usluga Uvoznika podataka počne s radom. Ako se Izvoznik podataka usprotivi korištenju dodatnog procesora podataka, Uvoznik podataka može ukloniti prigovor jednom od sljedećih opcija (odabranih prema vlastitom nahođenju): (A) Uvoznik podataka će otkazati svoje planove za korištenje dodatnog procesora u vezi s osobni podaci Izvoznika podataka; (B) Uvoznik podataka će poduzeti korektivne mjere koje je zatražio Izvoznik podataka u svom prigovoru (otkazivanje prigovora) i koristiti dodatni obrađivač u vezi s osobnim podacima Izvoznika podataka;(C) Uvoznik podataka može prestati pružati ili se Izvoznik podataka može složiti da neće koristiti (privremeno ili trajno) određeni aspekt usluge koji bi uključivao korištenje daljnjeg obrađivača osobnih podataka Izvoznika podataka Izvoznika podataka.
  1.  
    1. (iv) ako se obrađivač podataka nalazi izvan EU-EEA u zemlji koja nije priznata kao pruža adekvatnu razinu zaštite podataka nakon odluke Europske komisije, Uvoznik podataka poduzet će mjere za usklađivanje s odgovarajućom razinom zaštite podataka u skladu s GDPR-om (takve mjere mogu uključivati ​​- između ostalog i - korištenje ugovora o obradi podataka na temelju klauzula EU modela, prijenos samocertificiranim obrađivačima podataka u okviru EU-US Protection Shield-a , ili sličan program).

 

3.5 Istek

Istek ovog Dodatka identičan je datumu isteka odgovarajućeg Ugovora. Osim ako je drugačije određeno u ovom Dodatku, prava i dužnosti u vezi s raskidom bit će ista kao i ona sadržana u Ugovoru.

 

4. Ograničenje odgovornosti

4.1 Svaka strana ispunjava svoje obveze prema ovom Dodatku i primjenjivim zakonima o zaštiti podataka.

4.2 Svaka odgovornost u vezi s kršenjem obveza iz ovog Dodatka ili primjenjivog zakonodavstva o zaštiti podataka podliježe odredbama o odgovornosti koje su navedene u Ugovoru ili se na njega primjenjuju, osim ako nije drugačije navedeno u ovom Dodatku. Ako je odgovornost uređena odredbama o odgovornosti utvrđenim u Ugovoru ili primjenjivim na Ugovor, za izračun ograničenja odgovornosti ili određivanje primjene drugih ograničenja odgovornosti, smatrat će se da svaka odgovornost proizlazi iz ovog Dodatka proizlazi iz Ugovora.

 

5. Opće odredbe

5.1 Ako postoje bilo kakve nedosljednosti ili nepodudarnosti između dijelova 1. i 2. ovog Dodatka, 2. dio ima prednost. Konkretno, čak i u takvom slučaju, Dio 1 koji jednostavno nadilazi Dio 2 (tj. odredbe Standardnih klauzula) bez da mu proturječi ostaje valjan.

5.2 Ako dođe do bilo kakvog neslaganja između odredbi ovog Dodatka i odredbi drugih ugovora koji obvezuju strane, ovaj Dodatak ima prednost u pogledu obveza zaštite podataka stranaka. U slučaju sumnje da li se klauzule u drugim ugovorima odnose na obveze zaštite podataka stranaka, ovaj Dodatak ima prednost.

5.3 Ako je bilo koja odredba ovog Dodatka nevažeća ili neprovediva, ostatak ovog Dodatka ostaje na punoj snazi ​​i učinku. Nevažeća ili neprovediva odredba bit će (i) izmijenjena kako bi se osigurala njezina valjanost i provedivost, uz očuvanje koliko je god moguće namjere stranaka, ili - ako to nije moguće - (ii) tumačiti kao da je nevažeći ili neprovediv dio imao nikada nije bio dio ugovora. Gore navedeno vrijedi i ako postoji propust u ovom Dodatku.

5.5 U mjeri u kojoj je to potrebno, Stranke mogu zatražiti izmjene i dopune 1. dijela, klauzule 3 (Sukladnost s lokalnim zakonom) ili drugih dijelova Dodatka kako bi se uskladile s tumačenjima, direktivama ili nalozima koje su izdala nadležna tijela Unije ili Države članice, nacionalne odredbe o provedbi ili bilo koji drugi pravni razvoj u vezi s GDPR-om ili drugim uvjetima delegiranja na sve subjekte uključene u obradu podataka, a posebno u vezi s korištenjem Standardnih ugovornih klauzula u GDPR-u. Uvjeti Standardnih ugovornih klauzula ne mogu se mijenjati ili zamijeniti osim ako to Europska komisija izričito ne odobri (npr. novim adekvatnim klauzulama i standardima zaštite podataka).

5.6 Svako upućivanje u ovom Dodatku na "klauzule" odnosi se na sve odredbe ovog Dodatka, osim ako nije drugačije navedeno.

5.7 Odabir prava u 2. dijelu, klauzula 9. primjenjuje se na cijeli Ugovor.

 

6.  Osobni podaci koje stranke prenose i obrađuju u osobne svrhe (prijenos s voditelja obrade na voditelja obrade)

6.1 Stranke u potpunosti znaju da će se određeni osobni podaci prenijeti od Izvoznika podataka do Uvoznika podataka i obrnuto, te da takve podatke svaka Strana obrađuje u svoje svrhe. Što se tiče takvih osobnih podataka, oni ne utječu na ostale odredbe ovog Dodatka (osim ove točke 6.).

6.2 Izvoznik podataka može prenijeti osobne podatke koji se odnose na osoblje Uvoznika podataka Uvozniku podataka, uključujući informacije o sigurnosnim incidentima, ili bilo koje druge dokumente ili datoteke koje je stvorio ili uspostavio Izvoznik podataka u vezi s Uslugama koje pruža osoblje uvoznik podataka. Uvoznik podataka može takve osobne podatke obrađivati ​​za vlastite potrebe, posebno u svojim profesionalnim odnosima s osobljem Uvoznika podataka, za kontrolu kvalitete i obuku ili u poslovne svrhe.

6.3. Uvoznik podataka može prenijeti osobne podatke Izvozniku podataka, uključujući ime i podatke za kontakt osoblja Uvoznika podataka. Izvoznik podataka može takve osobne podatke obrađivati ​​za vlastite potrebe.

6.4 Obje strane će se pridržavati svih primjenjivih zakona o zaštiti podataka, uključujući GDPR, u prikupljanju, obradi i korištenju takvih osobnih podataka primljenih od druge strane u skladu s klauzulom 1. dijela 1. Obje strane će posebno poduzeti odgovarajuće sigurnosne mjere, osiguravajući slična razina zaštite sigurnosnim mjerama navedenim u Dodatku 2. Dijela 2. Svaki pristup takvim osobnim podacima bit će ograničen na potrebu njihovog poznavanja.

6.5 Obje strane moraju izbrisati takve osobne podatke što je prije moguće nakon što su ciljevi postignuti.

2. dio

 

ODLUKA POVJERENSTVA

dana 5. veljače 2010

o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima podataka osnovanim u zemljama trećih strana prema Direktivi 95/46/EZ Europskog parlamenta i Vijeća

 

 

 

klauzula 1

Definicije

U smislu klauzula:

a) 'osobni podaci', 'posebne kategorije podataka', 'obrada/obrada', 'kontrolor', 'obrađivač', 'subjekt podataka' i 'nadzorno tijelo' imaju isto značenje kao u 95/46/EZ Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u pogledu obrade osobnih podataka i o slobodnom kretanju takvih podataka (1);

b) 'Izvoznik podataka' je voditelj obrade podataka koji prenosi osobne podatke;

c) 'Uvoznik podataka' je obrađivač podataka koji pristaje primiti od Izvoznika podataka osobne podatke namijenjene obradi u ime Izvoznika podataka nakon prijenosa u skladu s njegovim uputama i prema uvjetima ovih klauzula i koji nije podliježe mehanizmu treće zemlje koji osigurava odgovarajuću zaštitu u smislu članka 25. stavka 1. Direktive 95/46/EZ; (d) „Obrađivač podataka” znači obrađivač podataka kojeg je angažirao Uvoznik podataka ili bilo koji drugi obrađivač podataka Uvoznika podataka koji pristaje primati od Uvoznika podataka ili bilo kojeg drugog obrađivača podataka Uvoznika podataka osobne podatke isključivo za aktivnosti obrade za izvršiti u ime Izvoznika podataka nakon prijenosa u skladu s uputama Izvoznika podataka,pod uvjetima navedenim u ovim klauzulama i pod uvjetima pisanog podugovaranja ugovora o obradi podataka;

e) "primjenjivi zakon o zaštiti podataka" znači zakonodavstvo koje štiti temeljna prava i slobode pojedinaca, uključujući pravo na privatnost u vezi s obradom osobnih podataka, a primjenjuje se na voditelja obrade u državi članici u kojoj je Izvoznik podataka osnovan;

f) "tehničke i organizacijske mjere koje se odnose na sigurnost" znači mjere namijenjene zaštiti osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka preko mreža, te protiv svih drugih nezakonitih oblika obrade.

klauzula 2

Detalji prijenosa

Pojedinosti prijenosa, uključujući, prema potrebi, posebne kategorije osobnih podataka, navedeni su u Dodatku 1, koji čini sastavni dio ovih klauzula.

klauzula 3

Klauzula o korisniku treće strane

1. Ispitanik može protiv Izvoznika podataka primijeniti ovu klauzulu, klauzulu 4(b) do (i), klauzulu 5(a) do (e) i (g) do (j), klauzulu 6 (1) i (2 ), klauzula 7, klauzula 8(2) i klauzule 9 do 12 kao korisnik treće strane

2. Ispitanik može provesti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv Uvoznika podataka kada je Izvoznik podataka fizički nestao ili je prestao postojati u zakonu, osim ako sve njegove pravne obveze nisu prenesene, ugovorom ili temeljem zakona, na subjekt nasljednika, na koji se stoga vraćaju prava i obveze Izvoznika podataka, i protiv kojeg se podaci subjekt stoga može provesti navedene klauzule.

Ispitanik može provesti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv obrađivača podataka, ali samo u slučajevima kada podaci Izvoznik i Uvoznik podataka fizički su nestali, prestali postojati u zakonu ili su postali insolventni, osim ako sve zakonske obveze Izvoznika podataka nisu prenesene, ugovorom ili temeljem zakona, na pravnog sljednika na kojeg prava i Stoga su obveze Izvoznika podataka i prema kojem ispitanik stoga može provesti takve klauzule. Takva odgovornost Obrađivača podataka mora biti ograničena na njegove vlastite aktivnosti obrade prema ovim klauzulama.

4. Stranke se ne protive da nositelja podataka predstavlja udruga ili drugo tijelo ako on ili ona to želi i ako nacionalni zakon to dopušta.

klauzula 4

Obveze Izvoznika podataka

Izvoznik podataka prihvaća i jamči sljedeće:

a) obrada, uključujući stvarni prijenos osobnih podataka, bila je i nastavit će se provoditi u skladu s relevantnim odredbama primjenjivog zakona o zaštiti podataka (i, gdje je primjenjivo, o tome obaviještena nadležna tijela države članice u kojem se nalazi Izvoznik podataka) i ne krši relevantne odredbe te države;

b) dali su upute i uputit će za vrijeme trajanja usluga obrade osobnih podataka Uvoznika podataka da obrađuje osobne podatke prenesene u isključivo ime Izvoznika podataka iu skladu s primjenjivim zakonom o zaštiti podataka i ovim klauzulama;

c) Uvoznik podataka će osigurati dovoljne mjere zaštite u pogledu tehničkih i organizacijskih sigurnosnih mjera navedenih u Dodatku 2. ovog ugovora;

d) nakon procjene zahtjeva primjenjivog zakona o zaštiti podataka, sigurnosne mjere su prikladne za zaštitu osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka preko mreže i protiv svih drugih nezakonitih oblika obrade te osigurati razinu sigurnosti primjerenu rizicima koje predstavlja obrada i prirodi podataka koji se trebaju zaštititi, uzimajući u obzir razinu tehnologije i troškove implementacije;

e) osigurat će poštivanje sigurnosnih mjera;

f) ako se prijenos odnosi na posebne kategorije podataka, ispitanik je obaviješten ili će biti obaviješten prije prijenosa ili što je prije moguće nakon prijenosa da se njegovi ili njezini podaci mogu prenijeti u treću zemlju koja ne nudi odgovarajuću razinu zaštite u smislu Direktive 95/46/EZ;

g) proslijedit će svaku obavijest primljenu od Uvoznika podataka ili bilo kojeg obrađivača podataka u skladu s klauzulama 5 (b) i 8 (3) nadzornom tijelu za zaštitu podataka ako odluči nastaviti prijenos ili ukinuti njegovu suspenziju;

h) stavljaju na raspolaganje ispitanicima, ako to zatraže, kopiju ovih klauzula, osim Dodatka 2, i sažeti opis sigurnosnih mjera, te kopiju bilo kojeg daljnjeg ugovora o podugovaranju, sklopljenog prema ovim klauzulama, osim ako Klauzule ili ugovor sadrže komercijalne informacije, u kojem slučaju on može povući takve informacije;

i) u slučaju podugovaranja procesa obrade podataka, aktivnost obrade u skladu s člankom 11. provodi obrađivač podataka koji pruža najmanje istu razinu zaštite osobnih podataka i prava ispitanika kao i Uvoznik podataka prema ovim klauzulama ; i

j) osigurat će usklađenost s klauzulom 4 (a) do (i).

klauzula 5

Obveze uvoznika podataka

Uvoznik podataka prihvaća i jamči sljedeće:

a) obrađivati ​​će osobne podatke samo u ime Izvoznika podataka i prema uputama Izvoznika podataka i ovim klauzulama; ako se iz bilo kojeg razloga ne može udovoljiti, suglasni su obavijestiti Izvoznika podataka o svojoj nemogućnosti što je prije moguće, u kojem slučaju Izvoznik podataka može obustaviti prijenos podataka i/ili raskinuti ugovor;

b) nemaju razloga vjerovati da ga zakon koji se na njih primjenjuje sprječava u ispunjavanju uputa koje je dao Izvoznik podataka i obvezama koje su mu nametnute prema ugovoru, te ako je takav zakon podložan promjeni koja bi mogla imati materijalne negativne posljedice utječu na jamstva i obveze prema klauzulama, on će obavijestiti Izvoznika podataka o promjeni bez odgode nakon što je svjestan, u kojem slučaju Izvoznik podataka može obustaviti prijenos podataka i/ili raskinuti ugovor; (c) su proveli tehničke i organizacijske sigurnosne mjere navedene u Dodatku 2 prije obrade prenesenih osobnih podataka;

d) bez odgađanja će obavijestiti Izvoznika podataka:

i) svaki obvezujući zahtjev za otkrivanje osobnih podataka od tijela za provedbu zakona, osim ako nije drugačije određeno, kao što je kaznena zabrana usmjerena na očuvanje tajnosti policijske istrage;

ii) svaki slučajni ili neovlašteni pristup; i

iii) svaki zahtjev primljen izravno od dotičnih osoba bez odgovora na njega, osim ako je za to ovlašten; administratori

e) odmah će i pravilno rješavati sve upite Izvoznika podataka u vezi s njegovom obradom osobnih podataka koji se prenose i postupat će prema mišljenju nadzornog tijela u pogledu obrade prenesenih podataka;

f) na zahtjev Izvoznika podataka podvrgnut će svoje objekte za obradu podataka reviziji aktivnosti obrade obuhvaćenih ovim klauzulama koju će provesti Izvoznik podataka ili nadzorno tijelo sastavljeno od neovisnih članova s ​​potrebnim stručnim kvalifikacijama, podliježe obvezi čuvanja tajnosti i odabire ih Izvoznik podataka, prema potrebi uz suglasnost nadzornog tijela;

g) stavit će na raspolaganje ispitaniku, ako on to zatraži, kopiju ovih klauzula ili bilo kojeg postojećeg podugovaranja ugovora o obradi podataka, osim ako klauzule ili ugovor ne sadrže komercijalne informacije, u kojem slučaju može ukloniti takve informacije, osim Dodatka 2, koji će biti zamijenjen sažetim opisom sigurnosnih mjera, gdje ispitanik ne može dobiti kopiju od Izvoznika podataka;

h) u slučaju povjerljivog daljnjeg podugovaranja obrade podataka, osigurat će da unaprijed obavijesti Izvoznika podataka i dobije pismenu suglasnost Izvoznika podataka;

i) usluge obrade koje pruža Obrađivač podataka moraju biti u skladu s klauzulom 11;

j) odmah će poslati kopiju svakog podugovaranja ugovora o obradi podataka koji je sklopio prema ovim klauzulama Izvozniku podataka.

Klauzula 6

Odgovornost

1. Stranke su suglasne da svaki ispitanik koji je pretrpio štetu zbog kršenja obveza navedenih u klauzuli 3 ili klauzuli 11 od strane jedne strane ili od strane obrađivača podataka može dobiti naknadu od Izvoznika podataka za pretrpljenu štetu.

2. Ako je ispitanik spriječen pokrenuti tužbu za naknadu štete iz stavka 1. protiv Izvoznika podataka zbog propusta Uvoznika podataka ili njegovog obrađivača podataka da ispoštuje bilo koju od svojih obveza iz članka 3. ili članka 11. jer podaci Izvoznik je fizički nestao, prestao postojati u zakonu ili je postao insolventan, Uvoznik podataka je suglasan da ispitanik može podnijeti pritužbu protiv njega kao da je Izvoznik podataka osim ako su sve zakonske obveze Izvoznika podataka prenesene ugovorom ili na temelju zakona, svom subjektu sljedniku, protiv kojeg ispitanik tada može ostvariti svoja prava. Uvoznik podataka ne smije se oslanjati na kršenje svojih obveza od strane obrađivača podataka kako bi izbjegao vlastitu odgovornost.

3. Ako je ispitanik spriječen da podnese tužbu iz stavaka 1. i 2. protiv Izvoznika podataka ili Uvoznika podataka zbog kršenja svojih obveza od strane Obrađivača podataka iz članka 3. ili članka 11. jer Izvoznik podataka i Uvoznik podataka fizički nestali, prestali zakonski postojati ili postali nelikvidni, Obrađivač podataka suglasan je da ispitanik može podnijeti pritužbu protiv njega u vezi s vlastitim aktivnostima obrade u skladu s ovim klauzulama kao da je Izvoznik podataka ili Uvoznik podataka osim ako svi pravne obveze Izvoznika podataka ili Uvoznika podataka prenijete su, ugovorom ili temeljem zakona, na pravnog sljednika, protiv kojeg ispitanik tada može ostvariti svoja prava.Odgovornost obrađivača podataka mora biti ograničena na njegove vlastite aktivnosti obrade u skladu s ovim klauzulama.

 

klauzula 7

Posredovanje i nadležnost

1. Uvoznik podataka suglasan je da će, ako se prema klauzulama, ispitanik protiv njega poziva na pravo treće strane korisnika i/ili zahtijeva naknadu za pretrpljenu štetu, prihvatiti odluku ispitanika:

a) predati spor na posredovanje neovisne osobe ili, prema potrebi, nadzornog tijela;

b) pokrenuti spor pred sudovima države članice u kojoj se nalazi sjedište Izvoznika podataka.

2. Stranke su suglasne da izbor koji je izvršio ispitanik neće utjecati na postupovno ili materijalno pravo ispitanika da dobije naknadu u skladu s drugim odredbama nacionalnog ili međunarodnog prava.

klauzula 8

Suradnja s nadzornim tijelima

1. Izvoznik podataka pristaje pohraniti kopiju ovog ugovora kod nadzornog tijela ako to potonje zahtijeva ili ako je takvo pohranjivanje predviđeno primjenjivim zakonom o zaštiti podataka.

2. Strane su suglasne da nadzorno tijelo može provoditi provjere kod Uvoznika podataka i bilo kojeg obrađivača podataka u istoj mjeri i pod istim uvjetima kao i provjere koje se provode kod Izvoznika podataka u skladu s primjenjivim zakonom o zaštiti podataka.

3. Uvoznik podataka će obavijestiti Izvoznika podataka što je prije moguće o postojanju zakona koji se odnosi na Uvoznika podataka ili bilo kojeg obrađivača podataka koji onemogućuje provjeru kod Uvoznika podataka ili bilo kojeg obrađivača podataka u skladu sa stavkom 2. U tom slučaju, Izvoznik podataka može poduzeti mjere predviđene člankom 5 (b).

klauzula 9

Mjerodavno pravo

Klauzule se primjenjuju i regulirane su pravom države članice u kojoj se nalazi sjedište Izvoznika podataka.

klauzula 10

Izmjena ugovora

Stranke se obvezuju da neće mijenjati ove klauzule. Stranke ostaju slobodne uključiti druge komercijalne klauzule koje smatraju potrebnima, pod uvjetom da nisu u suprotnosti s ovim klauzulama.

klauzula 11

Naknadno podugovaranje

1. Uvoznik podataka neće podugovarati nijednu od svojih aktivnosti obrade koje se provode u ime Izvoznika podataka prema ovim klauzulama bez prethodnog pisanog pristanka Izvoznika podataka. Uvoznik podataka svoje obveze prema ovim klauzulama daje samo podizvođačima, uz suglasnost Izvoznika podataka, putem pisanog sporazuma s Obrađivačem podataka koji obrađivaču podataka nameće iste obveze kao one koje su nametnute Uvozniku podataka prema ovim klauzulama. Ako obrađivač podataka ne može ispuniti svoje obveze zaštite podataka prema tom pisanom ugovoru, Uvoznik podataka ostaje u potpunosti odgovoran Izvozniku podataka za ispunjenje tih obveza.

2. Prethodni pisani sporazum između Uvoznika podataka i Obrađivača podataka također uključuje klauzulu o korisniku treće strane kao što je navedeno u članku 3. za slučajeve u kojima je ispitanik spriječen podnijeti zahtjev za naknadu štete iz članka 6 (1. ), protiv Izvoznika podataka ili Uvoznika podataka jer je Izvoznik podataka ili Uvoznik podataka fizički nestao, prestao postojati u zakonu ili je postao insolventan i sve zakonske obveze Izvoznika podataka ili Uvoznika podataka nisu prenesene, ugovorom ili operacijom zakona, drugom subjektu sljedniku. Odgovornost obrađivača podataka mora biti ograničena na njegove vlastite aktivnosti obrade u skladu s ovim klauzulama.

3. Odredbe koje se odnose na aspekte zaštite podataka podugovaranja obrade podataka iz ugovora iz stavka 1. reguliraju se pravom države članice u kojoj je Izvoznik podataka osnovan.

4. Izvoznik podataka će voditi popis podugovaratelja ugovora o obradi podataka sklopljenih prema ovim klauzulama i o kojima je obavijestio Uvoznik podataka u skladu s člankom 5 (j), koji će se ažurirati najmanje jednom godišnje. Taj se popis stavlja na raspolaganje nadzornom tijelu za zaštitu podataka Izvoznika podataka.

klauzula 12

Obveza nakon prestanka usluga obrade osobnih podataka

1. Stranke su suglasne da će po završetku usluga obrade podataka, Uvoznik podataka i Obrađivač podataka, prema potrebi Izvoznika podataka, vratiti sve prenesene osobne podatke i njihove kopije Izvozniku podataka ili uništiti sve te podatke i pružiti dokaz uništenje Izvozniku podataka, osim ako ga zakonodavstvo nametnuto Uvozniku podataka sprječava da vrati ili uništi sve ili dio prenesenih osobnih podataka. U tom slučaju Uvoznik podataka jamči da će osigurati povjerljivost prenesenih osobnih podataka i da više neće aktivno obrađivati ​​podatke.

2. Uvoznik podataka i obrađivač podataka osiguravaju da, ako to zahtijevaju Izvoznik podataka i/ili nadzorno tijelo, podvrgnu svoja sredstva obrade podataka provjeri mjera iz stavka 1.

 

 

 

 

Dodatak 1.1 Dijelu 2

Detalji prijenosa

 

 

Izvoznik podataka

Izvoznik podataka je Kupac definiran u Ugovoru.

 

Uvoznik podataka

Uvoznik podataka je POSTCODEZIP i dodijeljen mu je za obradu podataka, pružajući usluge Izvozniku podataka.

 

Subjekti podataka

Preneseni osobni podaci odnose se na sljedeće kategorije ispitanika:

�? telefonski pretplatnici navedeni u univerzalnom imeniku

â˜' Ostali, uključujući:

 

Kategorije podataka

Preneseni osobni podaci odnose se na sljedeće kategorije podataka:

 

Posebno kategorije osobnih podataka ispitanika Izvoznika podataka,

�? Puno ime

â˜' Poštanska adresa

�? Kontakt podaci (e-mail, telefon, IP adresa, itd.)

â˜?? Pojedinosti marketinških aktivnosti koje se odnose na telefonskog pretplatnika

â˜' Ostali, uključujući vrstu stanovanja, prihode i prosječnu starost od strane grada anonimno

 

Posebne kategorije podataka (ako je primjenjivo)

Preneseni osobni podaci odnose se na sljedeće posebne kategorije podataka:

â˜' Prijenos posebnih kategorija podataka nije predviđen

â˜?? Rasa ili etničko podrijetlo

�? Religijska ili filozofska uvjerenja

â˜?? Članstvo u sindikatu

â˜?? Politički pogledi

�? Genetske informacije

�? Biometrijske informacije

â˜?? Informacije o seksualnoj orijentaciji ili seksualnom životu

�? Zdravstveni podaci

 

Aktivnosti obrade

Preneseni osobni podaci bit će podvrgnuti sljedećim osnovnim aktivnostima obrade:

 

  •  
    • •  Svrha obrade

Obrada koja se poduzima u ime Izvoznika podataka temelji se na sljedećim temama, posebno:

â˜' Preuzimanje proizvoda ili usluga koje nudi Izvoznik podataka

â˜' Ponuda proizvoda ili usluge koju pozvana osoba može zatražiti

â˜' Preuzete narudžbe od pozvanih osoba i daljnja obrada tih naloga

â˜' Studijski upitnici i analize

â˜' Telemarketing

â˜?? Ostali, uključujući:

 

  •  
    • •  Priroda i svrha obrade

Uvoznik podataka obrađuje osobne podatke ispitanika u ime Izvoznika podataka, kako bi pružio sljedeće usluge, a ponajviše:

  • â˜' Automatsko popunjavanje obrasca
  • â˜' Adresa obrasca za provjeru valjanosti

â˜' Prodaja i marketing

â˜' Ostalo, uključujući ažuriranje baza podataka gradskih vijećnica i političkih stranaka

 

  •  
    • •  Pružanje usluga i zapošljavanje pružatelja usluga

 

POSTCODEZIP uglavnom kombinira, centralizira i pruža usluge izvozniku podataka. Usluge koje pruža imenovani pružatelj usluga mogu biti strukturirane (između ostalih prema potrebi) oko sljedećih pomoćnih usluga: (i) pružanje aplikacija, alata, sustava i IT infrastrukture u odnosu na centre za obradu podataka koji se koriste, kako bi se osiguralo i podržavati usluge, uključujući obradu osobnih podataka ispitanika kako je gore opisano, putem takvih aplikacija, alata i sustava, (ii) pružanje IT podrške, održavanja i drugih usluga u vezi s takvim aplikacijama, alatima, sustavima i IT infrastrukturu, uključujući potencijalni pristup osobnim podacima pohranjenim u takvim aplikacijama, alatima i sustavima, i (iii) pružanje usluga zaštite podataka, nadzora zaštite i usluga odgovora na incidente,uključujući potencijalni pristup osobnim podacima prilikom pružanja takvih usluga zaštite. POSTCODEZIP može angažirati procesore podataka kako je navedeno u nastavku za pružanje usluga, uključujući pomoćne usluge.

 

  •  
    • • Vanjski pružatelji usluga trećih strana kao podentitet dodijeljen za obradu podataka

 

POSTCODEZIP angažira vanjske i treće strane davatelje usluga, koji nisu podružnice POSTCODEZIP-a, kako bi podržali pružanje usluga Izvozniku podataka. Izvoznik podataka odobrava takve vanjske pružatelje usluga treće strane kao pod-entitete dodijeljene za obradu podataka.

 

Ako se podentitet uključen u obradu podataka nalazi izvan EU/EGP, u zemlji za koju se prema odluci Europske komisije smatra da nema odgovarajuću razinu zaštite podataka, Uvoznik podataka će poduzeti korake za postizanje odgovarajuće razine zaštita podataka u skladu s GDPR-om i odjeljkom 3.4 (iv) 1. dijela.

 

 

Dodatak 2, dio 2

Tehničke i organizacijske zaštitne mjere

 

Uvoznik podataka će poduzeti sljedeće tehničke i organizacijske mjere zaštite koje je potvrdio Izvoznik podataka, kako bi jamčio odgovarajuću razinu sigurnosti za prava i slobode pojedinaca, ovisno o rizicima. Prilikom procjene dotične razine zaštite, Izvoznik podataka posebno je uzeo u obzir rizike povezane s obradom, uključujući slučajno ili nezakonito uništenje, promjenu, neovlašteno otkrivanje ili pristup osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju. Uz pojašnjenje: Ove tehničke i organizacijske mjere zaštite ne primjenjuju se na aplikacije, alate, sustave i/ili IT infrastrukturu koje pruža Izvoznik podataka.

1 Opće tehničke i organizacijske mjere zaštite

1.1 Opće informacije i strategije zaštite podataka

Za praćenje općih strategija zaštite podataka i informacija potrebno je poduzeti sljedeće korake:

  • a) poduzeti mjere za ocjenu poduzetih u pogledu tehničke i organizacijske zaštite;
  • b) osigurati obuku za podizanje svijesti među zaposlenicima;
  • c) imati opis dotičnih sustava i omogućiti pristup zaposlenicima;
  • d) uspostaviti formalni proces dokumentacije kad god se sustavi implementiraju ili modificiraju;
  • e) dokumentiranje organizacijske strukture, procesa, odgovornosti i odgovarajućih evaluacija;

1.2 Organizacija zaštite informacija

Za koordinaciju aktivnosti zaštite podataka i informacija potrebno je poduzeti sljedeće mjere:

  • a) definirane odgovornosti za zaštitu informacija i podataka (npr. kroz politiku upravljanja zaštitom podataka);
  • b) potrebnu stručnost za zaštitu informacija i podataka koji ostaju dostupni;
  • c) svi zaposlenici obvezuju se osigurati da osobni podaci budu povjerljivi, te su obaviješteni o mogućim posljedicama kršenja ove obveze.

1.3 Kontrola pristupa područjima obrade

Potrebno je poduzeti sljedeće mjere kako bi se spriječilo da neovlaštene osobe dobiju pristup sustavima za obradu podataka (osobito softveru i hardveru) kada se osobni podaci obrađuju, pohranjuju ili prenose:

  • a) uspostaviti sigurna područja;
  • b) zaštititi i ograničiti pristup sustavima za obradu podataka;
  • c) uspostaviti ovlaštenja za pristup zaposlenicima i trećim stranama, uključujući odgovarajuće dokumente;
  • d) svaki pristup centrima za obradu podataka u kojima se pohranjuju osobni podaci bilježi se.

1.4 Kontrola pristupa sustavima za obradu podataka

Kako bi se spriječio neovlašteni pristup sustavima za obradu podataka potrebno je poduzeti sljedeće mjere:

  • a) politike i procedure za provjeru autentičnosti korisnika;
  • b) korištenje lozinki na svim računalnim sustavima;
  • c) daljinski pristup mreži zahtijeva višefaktorsku autentifikaciju i odobrava se dotičnoj osobi prema njezinim odgovornostima i po ovlaštenju;
  • d) pristup određenim funkcijama temelji se na funkcijama posla i/ili atributima pojedinačno dodijeljenim korisničkom računu;
  • e) prava pristupa vezana uz osobne podatke redovito se provjeravaju;
  • f) evidencija promjena prava pristupa se ažurira.

1.5 Kontrola pristupa određenim područjima korištenja sustava za obradu podataka

Potrebno je poduzeti sljedeće mjere kako bi se osiguralo da ovlaštene osobe s pravom korištenja sustava obrade podataka mogu pristupiti podacima samo u okviru svojih odgovornosti i ovlaštenja za pristup te da se osobni podaci ne mogu čitati, kopirati, mijenjati ili brisati bez ovlaštenja:

  1. 1. 
    1. a) politike, upute i obuku zaposlenika, u vezi s obvezama svakog od njih u pogledu povjerljivosti, prava na pristup osobnim podacima i opsega obrade osobnih podataka;
  • b) stegovne mjere protiv osoba koje neovlašteno pristupaju osobnim podacima;
  • c) pristup osobnim podacima odobrava se samo ovlaštenim osobama, na temelju potrebe za informacijama;
  • d) održavati popis administratora sustava i poduzeti odgovarajuće mjere za praćenje administratora sustava;
  • e) ne kopirati ili reproducirati osobne podatke na bilo kojem sustavu za pohranu kako bi se omogućilo neovlaštenim osobama da uklone podatke izvornika;
  • f) kontrolirano i dokumentirano brisanje ili uništavanje podataka;
  • g) za sigurno pohranjivanje svih osobnih podataka koji se moraju čuvati iz pravnih ili regulatornih razloga (npr. obveze čuvanja podataka), i to samo onoliko dugo koliko je propisano zakonom.

1.6 Kontrola mjenjača

Potrebno je poduzeti sljedeće mjere kako bi se spriječilo čitanje, kopiranje, izmjena ili brisanje osobnih podataka od strane neovlaštenih trećih strana tijekom prijenosa ili transporta uređaja za pohranu podataka (ovisno o poduzetoj obradi osobnih podataka):

  1. 1. 
    1. a) korištenje vatrozida;
  • b) izbjegavanje pohrane osobnih podataka na mobilnim uređajima za pohranu u svrhu prijevoza ili šifriranje uređaja;
  • c) koristiti na prijenosnim računalima i drugim mobilnim uređajima samo nakon što je aktivirana zaštita enkripcije;
  • d) evidentiranje prijenosa osobnih podataka.

1.7 Kontrola unosa podataka

Sljedeće mjere moraju se poduzeti kako bi se osiguralo da je moguće provjeriti i utvrditi jesu li osobni podaci uneseni ili izbrisani iz sustava za obradu podataka i tko:

  1. 1. 
    1. a) politiku za odobravanje čitanja, izmjene i brisanja pohranjenih podataka;
  • b) mjere zaštite u vezi s čitanjem, izmjenom i brisanjem pohranjenih podataka.

1.8 Kontrola rada

U slučaju delegirane obrade osobnih podataka potrebno je poduzeti sljedeće mjere kako bi se osiguralo da se takvi podaci obrađuju u skladu s uputama Nadzornika:

  1. 1. 
    1. a) subjekti ili podsubjeti dodijeljeni obradi podataka, pažljivo odabrani (pružatelji usluga koji obrađuju osobne podatke u ime voditelja obrade);
  • b) upute u vezi s opsegom svake obrade osobnih podataka zaposlenicima, subjektima ili podsubjektima dodijeljenim obradi podataka;
  • c) prava revizije dogovorena s subjektima ili podsubjektima koji su dodijeljeni obradi podataka;
  • d) sklopljeni sporazumi s subjektima ili podsubjektima kojima je dodijeljena obrada podataka.

1.9 Odvajanje od obrade u druge svrhe

Potrebno je poduzeti sljedeće mjere kako bi se osiguralo da se podaci prikupljeni u druge svrhe mogu zasebno obraditi:

  1. 1. 
    1. a) odvojen pristup osobnim podacima u skladu s postojećim pravima korisnika;
  • b) sučelja, grupna obrada i izvješćivanje služe za druge svrhe i funkcije, tako da se podaci prikupljeni u druge svrhe mogu zasebno obraditi.

1.10 Pseudonimizacija

U vezi s pseudonimizacijom osobnih podataka potrebno je poduzeti sljedeće mjere:

  1. 1. 
    1. a) Ako Izvoznik podataka naredi određenu radnju obrade ili ako to smatra prikladnim od strane Uvoznika podataka u skladu sa zakonima o zaštiti podataka koji su na snazi ​​u vezi s određenim aktivnostima obrade, obrada osobnih podataka će se provesti na način da podaci se više ne mogu pripisivati ​​određenoj osobi bez korištenja dodatnih informacija. Ove dodatne informacije čuvat će se zasebno;
  • b) korištenje tehnika pseudonimizacije, uključujući randomizaciju popisa dodjele; stvaranje vrijednosti u obliku oštrih.

1.11 Šifriranje

Za šifriranje osobnih podataka u aplikacijama i prijenosima koji podržavaju enkripciju potrebno je poduzeti sljedeće korake:

  1.  
    1. a) korištenje tehnika šifriranja;
  • b) uspostavljanje upravljanja šifriranjem za podršku tehnikama šifriranja koje su dopuštene za korištenje;
  • c) podržavanje upotrebe kriptografije kroz postupke i protokole za generiranje, modificiranje, opoziv, uništavanje, distribuciju, certificiranje, pohranjivanje, hvatanje, korištenje i arhiviranje kriptografskih ključeva radi zaštite od neovlaštene izmjene i otkrivanja.

1.12. Potpunost sustava i usluga za obradu podataka

Potrebno je poduzeti sljedeće mjere kako bi se osigurala cjelovitost sustava i usluga obrade podataka:

  1. 1. a) zaštita sustava za obradu podataka od manipulacije ili uništavanja odgovarajućim sredstvima (npr. antivirusni softver, softver za sprječavanje gubitka podataka i softver od zlonamjernog softvera, softverske zakrpe, vatrozidovi i upravljana zaštita radne površine);
  • b) zabraniti instalaciju bilo koje usluge ili softvera štetnog za sustave za obradu podataka, usluge ili manipulaciju osobnim podacima;
  • c) korištenje sustava za otkrivanje i sprječavanje upada u mrežu u strukturi same mreže.

1.13 Dostupnost sustava i usluga za obradu podataka te mogućnost vraćanja pristupa i korištenja osobnih podataka u slučaju materijalnog ili tehničkog incidenta

Sljedeće mjere moraju se poduzeti kako bi se osigurala dostupnost sustava za obradu podataka, kao i kako bi se mogla brzo vratiti dostupnost i pristup osobnim podacima, u slučaju materijalnog ili tehničkog incidenta (osobito osiguravanjem da osobni podaci zaštićeni su od slučajnog uništenja ili gubitka):

  • a) imati sredstva kontrole za čuvanje sigurnosnih kopija i vraćanje izgubljenih ili izbrisanih podataka;
  • b) infrastrukturna redundantnost i testiranje performansi;
  • c) fizička zaštita računalnih resursa;
  • d) korištenje alata za praćenje statusa i dostupnosti interne mreže;
  • e) politike izvješćivanja o incidentima i reagiranja koje reguliraju postupak upravljanja incidentima, te ponavljanje pridržavanja ovih politika kao dio redovite obuke;
  • f) sigurnosne kopije (ponekad izvan mjesta) za vraćanje sustava kako bi se omogućilo ponovno obavljanje svojih funkcija;
  • g) planove za kontinuitet poslovanja/oporavak od katastrofe

1.14 Otpornost sustava i usluga za obradu podataka

Potrebno je poduzeti sljedeće mjere kako bi se osigurala otpornost sustava i usluga za obradu podataka:

  • a) sustavi i skladno konfigurirani, uz korištenje odobrenih sigurnosnih parametara;
  • b) redundantnost mreže;
  • c) zaštitna zaštita kritičnih sustava.

1.15 Postupak za redovito testiranje, ocjenjivanje i ocjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade podataka

Postupak za redovito testiranje, ocjenjivanje i ocjenjivanje učinkovitosti tehničkih i organizacijskih mjera zaštite obrade podataka.

  • a) poduzeti potrebne korake za procjenu rizika i strategija ublažavanja;
  • b) sastanke za analizu usluga IT odjela radi rješavanja aktualnih problema;
  • c) planovi za kontinuitet poslovanja/oporavak od katastrofe redovito se ažuriraju.

 

dio 3

Potpisi stranaka i popis uvoznika podataka

 

Kada ispunite on-line obrazac za narudžbu i potvrdite ga tako što ćete označiti kvadratić prihvaćajući opće uvjete korištenja, uspostavlja se ugovor kojim se uređuje odnos između Kupca i POSTCODEZIP-a.

Slanjem uplate na POSTCODEZIP smatrat će se da je ugovor dogovoren i uspostavljen.

Imajte na umu: Ovaj tekst je preveden s francuskog. Izvorna francuska verzija, koja je važeća i pravno restriktivna, dostupna je  ovdje .