- Tieto zmluvné podmienky tvoria neoddeliteľnú súčasť zmluvy o poskytnutí prístupu do Systému (ďalej len „zmluva“).
- Pre účely týchto zmluvných podmienok sa za objednávateľa považuje zmluvná strana označená v zmluve ako Objednávateľ a za poskytovateľa sa považuje zmluvná strana označená v zmluve ako Poskytovateľ.
- Poskytovateľ má právo jednostranne zmeniť tieto zmluvné podmienky, a to najmä z dôvodov zmien všeobecne záväzných právnych predpisov, z dôvodu technických, bezpečnostných alebo organizačných zmien na strane poskytovateľa ako aj z dôvodu zvyšovania kvality, bezpečnosti alebo dostupnosti služieb poskytovaných poskytovateľom. V takom prípade je poskytovateľ povinný oznámiť zmenu týchto zmluvných podmienok objednávateľovi najmenej 15 dní pred účinnosťou týchto zmien, a to zaslaním informačnej elektronickej správy na emailovú adresu objednávateľa. V prípade, ak objednávateľ nesúhlasí so zmenou záväzného dokumentu, má právo do 15 dní od zaslania tejto informácie poskytovateľom vypovedať zmluvu s okamžitou účinnosťou. Výpoveď je možné zaslať na adresu sídla poskytovateľa. Pokiaľ objednávateľ najneskôr do dňa účinnosti predmetnej zmeny písomne neodmietne navrhovanú zmenu, platí, že s ňou súhlasí a táto zmena sa preň stáva záväzná odo dňa jej účinnosti.
- Poskytovateľ sa zaväzuje dodržiavať pri plnení zmluvy tieto zmluvné podmienky a rovnako sa zaväzuje zabezpečiť aby ich dodržiavali všetky osoby, ktoré vykonávajú činnosti súvisiace s touto zmluvou pre poskytovateľa, a to ako jeho zamestnanci tak aj jeho subdodávatelia, pokiaľ je poskytovateľ oprávnený ich pre plnenie zmluvy použiť.
- Akékoľvek povinnosti ukladané poskytovateľovi týmito zmluvnými podmienkami sa vzťahujú iba na systémy, zariadenia, informácie a pod. poskytovateľa, ktorými poskytovateľ spracúva akékoľvek údaje poskytnuté poskytovateľovi v súvislosti s plnením zmluvy.
- V prípade, ak pri plnení zmluvy bude poskytovateľ spracúvať osobné údaje v mene objednávateľa, teda poskytovateľ bude v pozícií „sprostredkovateľa“ v zmysle pojmu definovaného GDPR tak objednávateľ týmto poveruje poskytovateľa ako sprostredkovateľa v zmysle čl. 28 GDPR spracúvaním osobných údajov, ktoré môžu byť poskytnuté poskytovateľovi za účelom riadneho plnenia zmluvy.
- Poskytovateľ spracúva osobné údaje v identickom rozsahu, v akom ich spracúva objednávateľ.
Objednávateľ môže obmedziť rozsah spracúvaných osobných údajov. Pokiaľ nebolo výslovne objednávateľom uvedené inak, poskytovateľ nespracúva osobitnú kategóriu osobných údajov. Spracúvať osobné údaje je možné len v rozsahu nevyhnutnom na dosiahnutie účelov uvedených v týchto zmluvných podmienkach, a to najmä: (i) identifikačné a kontaktné údaje a iné údaje súvisiace s účtovnou a obchodnou agendou; (ii) identifikačné údaje a/alebo údaje týkajúce sa činnosti dotknutej osoby, logy a/alebo údaje nevyhnutné pre tvorbu databázy a/alebo mailing listu a/alebo danú komunikáciu a/alebo iné údaje súvisiace s poskytovaním dohodnutých služieb podľa zmluvy; (iii) ďalšie údaje nevyhnutné na dosiahnutie účelu spracúvania (ďalej len „osobné údaje“).
- Vzhľadom na povahu služieb sa môže zoznam kategórií dotknutých osôb meniť. Objednávateľ disponuje aktuálnym zoznamom kategórií dotknutých osôb. Kategóriami dotknutých osôb, ktorých osobné údaje sa môžu spracúvať poskytovateľom (ďalej len „dotknuté osoby“), sú najmä, nie však výlučne:
a) zamestnanci objednávateľa;
b) zamestnanci dodávateľov/odberateľov/klientov objednávateľa;
c) osoby oprávnené konať za/v mene objednávateľa, alebo odberateľa/dodávateľa alebo klientov objednávateľa.
- Poskytovateľ vykonáva s osobnými údajmi spracovateľské operácie nevyhnutné na splnenie účelu spracúvania, a to najmä: získavanie, zhromažďovanie, uchovávanie, tvorba databázy a likvidáciu.
- Poskytovateľ je oprávnený pre objednávateľa spracúvať osobné údaje iba v rozsahu, na účel a za podmienok dojednaných v zmluve, týchto zmluvných podmienkach, podľa zdokumentovaných pokynov objednávateľa a v súlade s platnými právnymi predpismi. Poskytovateľ môže spracúvať osobné údaje aj iným spôsobom iba v prípade, že mu takáto povinnosť vyplýva z práva EÚ alebo platných právnych predpisov Slovenskej republiky.
- Objednávateľ vyhlasuje a zodpovedá za to, že nižšie uvedené vyhlásenia sú v čase podpisu zmluvy a počas trvania zmluvy budú pravdivé:
a) bude mať po celú dobu trvania zmluvy platný titul na spracúvanie osobných údajov v súlade s zmluvou.
b) je oprávneným spracovateľom osobných údajov na vyššie uvedený účel v súlade s ustanoveniami GDPR;
c) je oprávnený poveriť poskytovateľa na spracúvanie osobných údajov v mene objednávateľa za podmienok a v rozsahu podľa zmluvy;
d) má vypracované a implementované interné bezpečnostné opatrenia ochrany osobných údajov podľa GDPR a/alebo Zákona o ochrane osobných údajov a/alebo zmluvy;
e) pri výbere poskytovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.
- Poskytovateľ vyhlasuje a zodpovedá za to, že nižšie uvedené vyhlásenia sú v čase podpisu zmluvy a počas trvania zmluvy budú pravdivé:
a) bude dodržiavať svoju povinnosť zachovávať mlčanlivosť a dôvernosť osobných údajov objednávateľa, ku ktorým má prístup počas plnenia zmluvy a zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje v jeho mene zaviazali, že zachovajú mlčanlivosť v súlade s čl. 28 ods. 3 písm. b) GDPR;
b) bude spracúvať osobné údaje, ku ktorým má prístup počas plnenia zmluvy výhradne v mene objednávateľa a na základe pokynov uvedených v zmluve alebo písomných pokynov objednávateľa vo forme e-mailu v súlade s čl. 28 ods. 3 písm. a) GDPR;
c) poskytne objednávateľovi informácie potrebné na preukázanie splnenia povinností a poskytne súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany objednávateľa, a to v primeranej lehote určenej v predchádzajúcej písomnej výzve objednávateľa, ktorá musí byť preukázateľne doručená poskytovateľovi v súlade s čl. 28 ods. 3 písm. h) GDPR. Objednávateľ je povinný audit oznámiť aspoň 1 mesiac pred plánovaným dátumom auditu. Oznámenie musí obsahovať predmet auditu, ako aj dátum začiatku auditu a jeho dĺžku. Audit musí byť vykonávaný v pracovnom čase poskytovateľa a nesmie neprimeraným spôsobom zasahovať do činnosti poskytovateľa. Audit sa vykoná na náklady objednávateľa a objednávateľ poskytovateľovi nahradí aj všetky náklady, ktoré poskytovateľovi vzniknú v súvislosti s auditom;
d) je povinný viesť záznamy o kategóriách spracovateľských činností, ktoré vykonal v mene objednávateľa, pričom tieto záznamy musí byť v súlade s ustanoveniami čl. 30 ods. 2 GDPR, ak túto povinnosť nevylučuje čl. 30 ods. 5 GDPR;
e) poskytne objednávateľovi súčinnosť (najmä poskytnúť objednávateľovi všetky potrebné informácie a dokumenty) pri zabezpečení plnenia povinností čl. 32 až čl. 36 GDPR a splnenia ostatných povinností stanovených pre sprostredkovateľa v zmluve, GDPR a ostatných súvisiacich všeobecne záväzných právnych predpisov;
f) je povinný zabezpečiť ochranu osobných údajov implementovaním a zdokumentovaním bezpečnostných opatrení v súlade s čl. 28 ods. 3 písm. c) a čl. 32 GDPR, pričom splnenie tejto povinnosti poskytovateľ preukazuje prostredníctvom Prílohy č. 1 týchto zmluvných podmienok, ktorá predstavuje minimálny rozsah poskytovateľom prijatých opatrení;
g) dodrží podmienky zapojenia ďalšieho sprostredkovateľa podľa čl. 28 ods. 2 a ods. 4 GDPR;
h) poskytne objednávateľovi súčinnosť vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III GDPR;
i) bez zbytočného odkladu informuje objednávateľa o akejkoľvek požiadavke dotknutej osoby ohľadom osobných údajov objednávateľa spracúvaných poskytovateľom a vyčká na pokyn objednávateľa na vybavenie takejto požiadavky;
j) má vypracované a implementované interné bezpečnostné opatrenia ochrany osobných údajov podľa GDPR a/alebo Zákona o ochrane osobných údajov a/alebo zmluvy.
- V prípade, že poskytovateľ usúdi, že niektorý z pokynov objednávateľa môže predstavovať porušenie GDPR alebo ďalších platných právnych predpisov, ktoré ho môžu meniť, dopĺňať alebo nahrádzať v budúcnosti, tak poskytovateľ o takejto skutočnosti bezodkladne písomne alebo e-mailom upovedomí objednávateľa (v súlade s čl. 28 GDPR) a požiada ho o zrušenie, úpravu alebo potvrdenie príslušného pokynu. Poskytovateľ môže pozastaviť vykonávanie príslušného pokynu, pokým objednávateľ prijme rozhodnutie ohľadom zrušenia, úpravy alebo potvrdenia príslušného pokynu, o ktorom následne poskytovateľa písomne alebo e-mailom upovedomí. Právo poskytovateľa požadovať v takomto prípade od objednávateľa náhradu škody a nákladov vrátane ušlého zisku týmto nie je dotknuté.
- Poskytovateľ spracúva osobné údaje po celú dobu platnosti a účinnosti zmluvy medzi ním a objednávateľom. Poskytovateľ však spracúva osobné údaje najdlhšie po dobu trvania účelu.
- Poskytovateľ nie je oprávnený zapojiť ďalšieho sprostredkovateľa do spracúvania bez predchádzajúceho osobitného písomného súhlasu objednávateľa. Poskytovateľ je povinný vopred oznámiť zapojenie každého ďalšieho sprostredkovateľa objednávateľovi, informovať objednávateľa o akýchkoľvek zmenách alebo nahradení zapojeného sprostredkovateľa formou e-mailu, pričom objednávateľ je povinný svoj prípadný nesúhlas oznámiť poskytovateľovi písomne alebo elektronicky formou e-mailu v lehote 5 dní odo dňa doručenia správy poskytovateľa. Ak objednávateľ v uvedenej lehote vzniesol námietky voči konkrétnemu sprostredkovateľovi, poskytovateľ sa zaväzuje namietaného sprostredkovateľa nahradiť iným.
- Poskytovateľ je povinný tomuto odsúhlasenému ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v týchto zmluvných podmienkach, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky GDPR, Zákona a týchto zmluvných podmienok. Zodpovednosť voči objednávateľovi nesie pôvodný poskytovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
- Poskytovateľ sa zaväzuje informovať objednávateľa o porušení ochrany osobných údajov bez zbytočného odkladu po tom, čo sa o ňom dozvedel.
- Ukončením zmluvy ostáva záväzok mlčanlivosti poskytovateľa a osôb, ktorých poskytovateľ v zmysle zmluvy zaviazal k mlčanlivosti, nedotknutý.
- Po ukončení zmluvy a po predchádzajúcej písomnej žiadosti objednávateľa preukázateľne doručenej poskytovateľovi, poskytovateľ bez zbytočného odkladu osobné údaje objednávateľa vymaže alebo vráti objednávateľovi a vymaže aj existujúce kópie v súlade s čl. 28 ods. 3 písm. g) GDPR, ak osobitný predpis, právo EÚ alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná neustanovuje inak.
Poskytovateľ potvrdzuje, že má prijaté nasledovné technické a organizačné opatrenia s cieľom zaistiť primeranú úroveň bezpečnosti pri spracúvaní osobných údajov, nasledovne:
1.1 Manažment bezpečnosti
a) Bezpečnostná politika/smernica (a procedúry) na ochranu osobných údajov je zdokumentovaná a pravidelne revidovaná.
b) Roly a zodpovednosti týkajúce sa ochrany osobných údajov sú definované a pridelené, sú predmetom kontroly a včasného riadenia zmien privilégií (vznik, zmena, zrušenie).
c) Politika kontroly prístupu: prístupové práva sú definované, pridelené, kontrolované a včasne riadené v súvislosti so zmenami prístupov.
d) Manažment zdrojov/aktív: udržiava a pravidelne aktualizuje register IT zdrojov používaných pre spracúvanie osobných údajov (hardvér, softvér, sieť).
e) Riadenie zmien: registruje a monitoruje všetky zmeny IT systému určenou osobou/osobami.
f) Sprostredkovatelia: pokiaľ poskytovateľ spracúva osobné údaje prostredníctvom svojho sprostredkovateľa, ten spĺňa povinnosti podľa čl. 28 GDPR.
1.2 Reakcia na incidenty a kontinuita činností
a) Manažment incidentov/porušení ochrany osobných údajov sa riadi podľa dokumentovaných pravidiel a zabezpečuje zaznamenávanie a oznamovanie porušení relevantným autoritám, dotknutým osobám, sprostredkovateľom, prevádzkovateľom.
b) Kontinuita činností a dostupnosť IT systému spracúvajúceho osobné údaje sa riadi dokumentovanými postupmi.
1.3 Ľudské zdroje
a) Vzdelávanie/mlčanlivosť: Poskytovateľ zabezpečuje vzdelávanie a zaviazanie k mlčanlivosti tých osôb, ktoré majú prístup k osobným údajom, aby porozumeli ich zodpovednostiam a povinnostiam týkajúcich sa spracúvania osobných údajov a ich bezpečnosti. Vzdelávanie a povedomie oprávnených osôb sa zabezpečuje pred prvým spracovaním osobných údajov a pravidelne sa opakuje.
2.1 Riadenie prístupu a overovanie (autorizácia a autentifikácia)
a) Systém kontroly prístupu sa vzťahuje na všetkých používateľov pristupujúcich k systému IT a umožňuje vytváranie, schvaľovanie, kontrolu a mazanie používateľských účtov.
b) Používanie spoločných používateľských účtov nie je štandardne povolené. Môže byť povolené vysokým manažmentom len v prípade, pokiaľ majú používatelia rovnaké role a zodpovednosti.
c) Používateľom sa udeľuje prístup len v rozsahu nevyhnutnosti pre plnenie úloh (a spracovateľských operácií) vyplývajúcich z ich postavenia/funkcie.
d) Sprostredkovateľ vyžaduje používanie silných hesiel (obsahujúc požiadavky na dĺžku, zložitosť, neopakovateľnosť, bez spojitosti s osobným životom, alebo ľahko uhádnuteľné), ich pravidelnú zmenu a ochranu pred zverejnením.
2.2 Bezpečnosť servera/databáz
a) Databázové a aplikačné servery sú nakonfigurované na spustenie pomocou samostatného účtu s minimálnymi oprávneniami operačného systému, aby mohli správne fungovať.
b) Databázové a aplikačné servery spracúvajú iba tie osobné údaje, ktoré sú skutočne potrebné na spracovanie (nie nadbytočné), aby sa dosiahli účely ich spracovania.
c) Sprostredkovateľ sa usiluje využiť dodatočné mechanizmy na spracovanie údajov informačných systémov so stredným a vysokým rizikom, ako je minimalizácia údajov, šifrovanie, anonymizácia/pseudonymizácia a pod.
2.3 Bezpečnosť pracovných staníc
a) Používatelia nemajú umožnené deaktivovať alebo obchádzať bezpečnostné nastavenia, rovnako nemajú oprávnenia na inštaláciu alebo deaktiváciu neautorizovaných softvérových aplikácií.
b) Antivírusové aplikácie a detekčné podpisy sa pravidelne konfigurujú.
c) Systém má nastavené časové limity relácie, keď používateľ nie je určitý čas aktívny.
d) Kritické bezpečnostné aktualizácie vydané vývojárom operačného systému sa pravidelne inštalujú.
2.4 Bezpečnosť sietí/komunikácie
a) Celá internetová komunikácia sa šifruje silnými kryptografickými protokolmi (napr. TLS).
b) Celá komunikácie do a z IT systému sa monitoruje prostredníctvom Firewallu.
2.5 Zálohovanie
a) Pravidelné zálohy sa vykonávajú v závislosti od dôležitosti dát, ich monitorovanie a testovanie podľa schválených pravidiel s pridelenými zodpovednosťami. Zálohy sú vhodne fyzicky a environmentálne chránené.
2.6 Mobilné/prenosné zariadenia
a) Používanie mobilných/prenosných zariadení na pristupovanie a spracúvanie osobných údajov je povolené vysokým manažmentom, s jasnými dokumentovanými pravidlami, ktoré vlastníci a používatelia zariadení musia dodržiavať. Každé zariadenie musí byť fyzicky a logicky chránené.
2.7 Zabezpečenie životného cyklu aplikácie
a) Počas životného cyklu vývoja sa dodržiavajú aktuálne postupy, technológie a bezpečné vývojové postupy alebo štandardy.
2.8 Výmaz/likvidácia dát
a) Postupy na bezpečné zničenie/výmaz sú zdokumentované a dodržiavajú sa. Medzi bezpečné spôsoby patrí fyzické zničenie (skartovanie/spálenie) papierových dokumentov a CD/DVD, softvérové prepísanie dát, demagnetizácia, dôveryhodnou zmluvnou spoločnosťou a pod.
2.9 Fyzická bezpečnosť
a) Poskytovateľ má zabezpečený objekt a chránené priestory, proti neoprávnenému fyzickému prístupu, zničeniu alebo zasahovaniu do informácií alebo zariadení spracúvajúcich tieto informácie vhodnými technickými opatreniami a organizačnými opatreniami proti neoprávnenému vstupu, krádeži, neoprávnenému získaniu, odpozeraniu alebo odpočúvaniu informácií.
b) Všetky dokumenty s osobnými údajmi (podľa možnosti aj médiá) sa ukladajú do uzamykateľných chránených objektov (skrinky, trezory, archívna miestnosť). Perimeter IT infraštruktúry nie je prístupný neoprávneným osobám. Server/dátové úložisko je vhodne fyzicky chránené so striktne obmedzenými prístupovými právami.