ZMLUVA O SPRACOVANÍ OSOBNÝCH ÚDAJOV

TÁTO ZMLUVA O SPRACOVANÍ OSOBNÝCH ÚDAJOV (ďalej len: Zmluva o spracovaní osobných údajov) vzniká medzi nasledovnými stranami, dňom (posledného) jej podpisu:

  1. NUTURELLA s.r.o., ktorá má sídlo: Vodná 23/10, 945 01 Komárno, IČO: 51157349, IČO: 52953416, DIČ: 2121185286 (ďalej len: Správca osobných údajov) a
  2. NUTURELLA s.r.o., ktorá má sídlo: Vodná 23/10, 945 01 Komárno, IČO: 51157349, IČO: 52953416, DIČ: 2121185286(ďalej len: Spracovateľ osobných údajov),

Ďalej len strana alebo strany.

VŠEOBECNE

  1. Spracovateľ osobných údajov stanovuje cieľ a formu spracovania tých osobných údajov, ktoré spracuje spracovateľ osobných údajov, ktoré súvisia so službou poskytovanou Správcom osobných údajov, v mene Správcu osobných údajov.
  2. Strany touto Zmluvou o spracovaní osobných údajov mienia doplniť Zmluvu za účelom upresnenia spracovania osobných údajov, tiež v záujme toho, aby to zodpovedalo nariadeniu Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a voľný pohyb takýchto údajov, a ktorým sa zrušuje nariadenie (ES) č. 95/46 (všeobecná ochrana údajov (ďalej len "GDPR").
  3. Prvoradým cieľom tejto Zmluvy o spracovaní osobných údajov je, poskytnúť primerané preventívne opatrenia týkajúce sa ochrany údajov, tiež zabezpečenie toho, aby spracovanie osobných údajov prebiehalo podľa záväzkov Spracovateľa a Správcu osobných údajov.

  1. DOHODA
I.1. Okrem hlavného textu dohody táto dohoda o spracovaní údajov obsahuje nasledujúce dokumenty:
Príloha č. 1 - Pokyny na spracovanie osobných údajov
Príloha č. 2 - Minimálne bezpečnostné opatrenia

I.2. V prípade, že ktorákoľvek časť tejto Zmluvy o ochrane osobných údajov je v rozpore s niektorou podmienkou Zmluvy, smerodajná je táto Zmluva o ochrane osobných údajov. Na v tejto zmluve nevysvetlené pojmy (ak nejaké existujú) sa vzťahujú v Zmluve ustanovené vysvetlenia, a vysvetlenia v zmysle GDPR.

     II. VYSVETĽUJÚCE USTANOVENIA

II.1. Pre účely tejto Zmluvy o spracovaní údajov znamenajú nižšie uvedené pojmy nasledovné:

Spracovanie: Akýkoľvek úkon alebo kombinácia úkonov vykonaných automaticky alebo neautomaticky na osobných údajoch, čiže ich zber, nahrávanie, organizovanie, ukladanie, úprava alebo zmena, vyhľadávanie, kontrola, použitie, zverejnenie postúpením, šírenia alebo iného sprístupnenia, zarovnanie, prepojenie, zamykanie, vymazanie alebo zničenie. V tejto dohode výrazy „spracovať” alebo „spracované” a akejkoľvek ich forme použitia, by sa mali vykladať zodpovedajúcim spôsobom;

Schválený subdodávateľ: Akýkoľvek podnikateľ definovaný v bode 1;

Schválený cieľ: i) nevyhnutné na splnenie účelu predtým uzavretej zmluvy alebo ii) na spracovanie údajov, ktoré písomne definuje ​​spracovateľ údajov;

Služby: Služby poskytované Spracovateľom osobných údajov na základe Zmluvy;

     III. VŠEOBECNÉ USTANOVENIA

III.1. Táto dohoda o spracovaní údajov upravuje spôsob spracúvania osobných údajov Spracovateľom osobných údajov na účely vykonávania služieb podľa zmluvy. Spracovateľ osobných údajov je povinný spravoať osobné údaje výlučne v súlade s určeným Cieľom a na neho sa vzťahujúcich pravidiel, v zmysle tejto Dohody o spracovaní osobných údajov (najmä pokyny uvedené v prílohe č. 1) a v zmysle Zmluvy.

III.2. Spracovateľ osobných údajov je povinný bezodkladne informovať Správcu osobných údajov, ak podľa jeho posúdenia narušuje platné právne predpisy.

III.3. Spracovateľ osobných údajov v súvislosti s osobnými údajmi nemá žiadne práva, s výnimkou nevýhradného, ​​odvolateľného a časovo obmedzeného práva na spracovanie osobných údajov pre schválený účel.

     IV. SCHVÁLENÝ ÚČEL SPRACOVANIA OSOBNÝCH ÚDAJOV

IV.1. Spracovateľ osobných údajov môže spracovať osobné údaje výlučne v zmysle schváleného účelu. Spracúvanie osobných údajov na akýkoľvek iný účel je prísne zakázané, preto sa takéhoto konanie považuje za prísne porušenie tejto Dohody o spracovaní osobných údajov a Zmluvy.

     V. SCHVÁLENÉ MIESTA SPRACOVANIA OSOBNÝCH ÚDAJOV

V.1. Spracovanie osobných údajov sa môže uskutočňovať výlučne v technologickom prostredí schválenom Spracovateľom osobných údajov, Správcom osobných údajov a schváleným Subdodávateľom.

V.2. Ak sú osobné údaje dostupné zo vzdialeného miesta, považuje sa to za prenos osobných údajov. Dostupnosť osobných údajov okrem schválených miest je zakázaná.

     VI. POMOC ZO STRANY SPRACOVATEĽA OSOBNÝCH ÚDAJOV

VI.1. Spracovateľ osobných údajov je povinný bezodkladne poskytnúť pomoc Správcovi osobných údajov, taktiež je povinný zabezpečiť, aby Subdodávateľ Spracovateľa osobných údajov poskytol pomoc Správcovi osobných údajov v tom, aby poskytol odpovede a informácie dotknutým stranám a vnútroštátnym regulačným orgánom. Spracovateľ osobných údajov je povinný zabezpečiť, aby poskytol pomoc v rámci odôvodnených vymedzení Správcom osobných údajov takéto informácie v záujme toho, aby mohol Správca údajov dodržiavať príslušné zákony dotknutých orgánov. Spracovateľ osobných údajov je obzvlášť povinný:


     VII. SUBDODÁVATEĽOV

VII.1. Spracovateľ osobných údajov môže využiť pomoc výlučne takých Subdodávateľov, ktorý má oprávnenie na vykonávanie služby v zmysle Dohody o spracovaní osobných údajov. Spracovateľ osobných údajov je povinný postarať sa o to, aby osobné údaje použité Subdodávateľom v akejkoľvek forme bolo v súlade so všetkými ustanoveniami tejto Dohody o spracovaní osobných údajov. Patrí sem aj to, aby boli bezpečnostné opatrenia uplatňované schváleným Subdodávateľom na rovnakej úrovni, ako pre Spracovateľa osobných údajov podľa tejto Dohody o spracovaní osobných údajov. V prípade vyzvania Správcom osobných údajov je povinný Spracovateľ osobných údajov bez neodôvodneného omeškania predložiť doklad o schválení ktoréhokoľvek Subdodávateľa.

VII.2. Správca osobných údajov je povinný zabezpečiť, aby Spracovateľom osobných údajov a schváleným Subdodávateľom vznikla zmluva o spracovaní osobných údajov ešte pred tým, ako schválený Subdodávateľ začne akékoľvek osobné údaje spracovávať. Dohoda(y) o spracovaní osobných údajov zbezpečí/ia, aby sa na schváleného Subdodávateľa vzťahovali minimálne také prísne predpisy, ako na Správcu osobných údajov a Spracovateľa osobných údajov, ako je uvedené v tejto Zmluve o spracovaní údajov a v zmysle príslušných zákonov týkajúcich sa spracovateľských činností na spracovanie dát.

VII.3. V zmysle tejto Dohody o spracovaní osobných údajov subdodávatelia (nech sú to už schválený subdodávateľ alebo nie) je za akékoľvek opatrenie alebo opomenutie, ktoré má vplyv na dotknuté strany zodpovedný výhradne spracovateľa osobných údajov.

VII.4. Správca osobných údajov môže v rámci svojej právomoci odobrať schválenie, ktoré súvisí s využitím služby niektorého subdodávateľa. V tomto prípade poskytne Spracovateľ Správcovi osobných údajov dôvody odobratia schválenia. V prípaade, že odobratie schválenia bráni Spracovateľovi osobných údajov v splnení služby, zmluvné strany vedú rokovania o alternatívnych riešeniach a / alebo subdodávateľoch na ďalšie poskytovanie služby.

     VIII. TECHNICKÉ A ORGANIZAČNÉ BEZPEČNOSTNÉ OPATRENIA

VIII.1. Spracovateľ osobných údajov je povinný podľa tejto Dohody o spracovaní osobných údajov splniť svoje záväzky s odbornosťou, pozornosťou a starostlivosťou.

VIII.2. Spracovateľ je povinný používať vhodné technické a organizačné bezpečnostné opatrenia v záujme zamedzenia vzniku škôd spôsobených akýmkoľvek neoprávneným alebo protiprávnym spracovaním, stratením, zničením, poškodením, zmenením alebo uverejnením osobných údajov, s ohľadom na charakter chránených osobných údajov. Úroveň bezpečnosti musí zodpovedať minimálne bezpečnostným opatreniam uvedeným v prílohe č. 2.

VIII.3. Spracovateľ osobných údajov je povinný dokumentovať pre splnenie požiadaviek stanovených v bode 2. ním používané technické a organizačné bezpečnostné opatrenia. Dokumentáciu je povinný v prípade požiadania Správcu osobných údajov sprístupniť.

VIII.4. Ak má Spracovateľ osobných údajov informáciu o tom, že jeho vlastné bezpečnostné opatrenia, alebo bezpečnostné opatrenia jeho subdodávateľa, nezodpovedajú bezpečnostným opatreniam stanoveným v bode 2., je povinný oznámiť to Správcovi osobných údajov podľa postupu stanovenom v bode 11.

     IX. MLČANLIVOSŤ

IX.1. Spracovateľ osobných údajov je povinný zabezpečiť, aby sa jeho zamestnanci dodržiavali mlčanlivosť ohľadom všetkých osobných údajov, a tiež to, aby mali zamestnanci Spracovateľa osobných údajov prístup k osobným údajom výlučne v miere potrebnej k výkonu ich práce. Spracovateľ osobných údajov je obzvlášť povinný postarať sa o to, aby boli všetci jeho zamestnanci, ktorých sa spracovanie osobných údajov týka, vhodne vyškolení a preskúšaní ohľadom spracovania osobných údajov.

IX.2. Spracovateľ osobných údajov je povinný považovať osobné údaje za svoje vlastníctvo a/alebo vlastníctvo dotknutej osoby, na ktoré sa vzťahujú vhodné bezpečnostné opatrenia ich spracovania prijaté v tejto Dohode o spracovaní osobných údajov a v Zmluve o poskytovaní služieb.

     X. KONTROLA

X.1. Spracovateľ osobných údajov je povinný zachovať všeky informácie potrebné k preukázaniu súladu s povinnosťami obsiahnutými v tejto dohode, vrátane akéhokoľvek relevantného posúdenia vplyvu ochrany osobných údajov a viesť presnú evidenciu (Evidencia) o všetkých spracovaniach osobných údajov a všetkých technológických systémov (systému), pomocou ktorých osobné údaje prijíma alebo vysiela (Systémy), ďalej je povinný tieto informácie kedykoľvek sprístupniť Správcovi osobných údajov.

X.2. Správca osobných údajov je v zmysle tejto Dohody o spracovaní osobných údajov oprávnený Spracovateľa osobných údajov skontrolovať.
Správca osobných údajov má právo poveriť svojho zamestnanca alebo poverenú osobu (sem patrí tretia nezávislá osoba - auditor (ďalej len: Auditor)), aby v riadnom pracovnom čase jeho informovaním o tejto skutočnosti v predstihu 10 (desať) pracovných dní Spracovateľa osobných údajov skontroloval, jeho technické a organizačné bezpečnostné opatrenia dohodnuté v zmluve a systémy Spracovateľa osobných údajov. Auditorovi je potrebné zabezpečiť prístup k Evidenciám, interným predpisom a bežným pracovným postupom, prípadne k akýmkoľvek iným informáciám uchovávaným v priestoroch spracovateľa osobných údajov, o ktorých si môže urobiť kópie. Audit môže zahŕňať aj iné vhodné kontroly, napríklad prehľad technickej dokumentácie, náhodný výber vzoriek alebo širšiu kontrolu na mieste. Spracovateľ osobných údajov je povinný k vykonaniu týchto kontrol prispieť všetkými spôsobmi.

X.3. Právo na kontrolu je možné uplatniť za kalendárny rok jedenkrát, prípadne vtedy, keď je predpoklad, že sa stal incident ohľadom ochrany osobných údajov alebo sa vyskytla taká skutočnosť, ktorá odôvodňuje vykonanie auditu. V prípade, že sa pri kontrole objaví akékoľvek nevhodnosť, Správca osobných údajov je oprávnený pre zachovanie záujmov tejto zmluvy vykonať následnú kontrolu vlastným Auditorom. Tento bod 10.3 nemôže byť vyložený tak, aby boli obmedzené akékoľvek práva na kontrolu Spracovateľa osobných údajov v zmysle Prílohy č 2. bod 1. „Bezpečnostný audit, testovanie a overovanie ”.

X.4. Ak štátna inštitúcia na ochranu osobných údajov príslušná sídlu Správcovi osobných údajov o to požiada, Správca osobných údajov je oprávnený zdieľať s týmito inštitúciami správy a/alebo výsledky týchto kontrol.

     XI. OZNÁMENIE INCIDENTU TÝKAJUCEHO SA OCHRANY OSOBNÝCH ÚDAJOV

XI.1. Ak sa Spracovateľ osobných údajov dozvie o akomkoľvek incidente týkajúcom sa ochrany osobných údajov, je povinný bezodkladne, najneskôr však do 24 hodín, informovať Správcu osobných údajov a v plnej miere spolupracovať na jednoduchom a rýchlom odstránení incidentu. Oznámenie musí obsahovať nasledovné náležitosti (ak sú známe):

  1. Popis incidentu, vrátane okruhu a počtu Doktnutých osôb; zhrnutie udalostí, ktoré viedli ku vzniku incidentu; dátum a hodinu danej udalosti; kategóriu a počet príslušných záznamov údajov; charakter osobných údajov a ich obsah, miesto incidentu a dotknutých nosičov údajov;
  2. Okolnosti incidentu ohľadom ochrany osobných údajov (napr. strata, ukradnutie, kopírovanie);
  3. opis opatrení na zmiernenie nepriaznivých účinkov spôsobených incidentom ohľadom ochrany osobných údajov;
  4. opis všetkých pravdepodobných dôsledkov a potenciálnych rizík, ktoré môže incident ohľadom ochrany osobnch údajov spôsobiť dotknutej osobe;
  5. opis navrhovaných alebo prijatých opatrení súvisicich so spracovaním osobných údajov, ktoré schválili Spracovateľ osobných údajov alebo jeho Subdodávateľ;
  6. popis akýchkoľvek ďalších informácií, ktoré môžu byť dôležité pre incident ohľadom ochrany osobných údajov alebo na jeho zmiernenie, najmä informácie, ktoré Správca osobných údajov údajov predtým označil za relevantné informácie.

     XII. OSTATNÉ OZNÁMENIA

XII. 1. Spracovateľ osobných údajov je povinný:

  1. bez neodôvodneného meškania, písomne informovať Správcu osobných údajov o akýchkoľvek plánovaných zmenách Služieb poskytovaných Správcom osobných údajov, z organizačného a finančného hľadiska, tiež o takých zmenách týkajúcich sa Spracovateľa osobných údajov a ich Subdodávateľov, ktoré môžu nepriaznivo ovplyvniť schopnosť alebo ochotu Spracovateľa osobných údajov a jeho Subdodávateľov na to, aby spravovanie osobných údajov vykonali podľa očakávania Správcu osobných údajov alebo podľa Dohody o spracovaní osobných údajov;
  2. do 5 (päť) kalendárnych dní, písomne informovať Správcu osobných údajov, ak (i) od niektorej dotknutej strany dostane žiadosť o nahliadnutie do svojich osobných údajov; alebo (ii) ak Správca osobných údajov a/alebo jeho klient uplatní nároky týkajúce sa povinností vyplývajúcich z platných právnych predpisov o ochrane údajov. Spracovateľ osobných údajov nemôže prijať žiadne rozhodnutia, alebo opatrenia, ktoré môžu nepriaznivo ovplyvniť obhajobu alebo vyriešenie takejto námietky, je povinný Správcovi osobných údajov poskytnúť každú logickú pomoc, ktorú ten môže v prípade takejto námietky potrebovať;
  3. bez neodôvodneného meškania informovať Správcu osobných údajov, ak niektorá inštitúcia na ochranu osobných údajov vyzve Spracovateľa osobných údajov alebo niektorého jeho Subdodávateľa, aby pre takúto inštitúcie zabezpečil prístup k osobným údajom. Toto opatrenie je potrebné vykovať v zmysle právnych predpisov, pred vydaním akýchkoľvek osobných údajov.

     XIII. ROZSAH

XIII.1. Táto dohoda o spracovaní osobných údajov je platná odo dňa jej podpisu (všetkými zmluvnými stranami) a je platná do vtedy, kým Spracovateľ osobných údajov alebo niektorý z jeho Subdodávateľov spracúva osobné údaje, alebo má k nim prístup (Rozsah).

XIII.2. V prípade, že je Spracovateľ osobných údajov vyzvaný na poskytnutie informácií o spracovaných osobných údajoch orgánmi na ochranu osobných údajov alebo Dotknutými osobami, v zmysle Zmluvy a tejto Dohody o spracovaní osobných údajov, je povinný zabezpečiť zachovanie mlčanlivosti aj po zrušení Zmluvy.

     XIV. PORUŠENIE ZMLUVY

XIV.1. Akékoľvek nedodržanie podmienok stanovených v tejto Dohode o spracovaní osobných údajov sa zo strany Spracovateľa osobných údajov považuje za porušenie zmluvy. Spracovateľ osobných údajov je povinný postarať sa o čo najrýchlejšie napravenie porušenia zmluvy. Spracovateľ osobných údajov je povinný pravidelne informovať Správcu osobných údajov o prípadnom vývoji udalosti a dokumentovať všetky kroky vedúce k napraveniu nedodržania podmienok.

XIV.2. Akékoľvek nedodržanie podminok stanovených v tejto Dohode o spracovaní osobných údajov môže Správca osobných údajov okamžite nariadiť Spracovateľovi osobných údajov pozastavenie alebo ukončenie ďalšieho spracovania osobných údajov.

XIV.3. Spracovateľ osobných údajov je povinný v plnej miere odškodniť a kompenzovať Správcu osobných údajov vrátane požiadaviek, zodpovednosti, nákladov, výdavkov a škôd, ako aj strát, ktoré vyplývajú z toho, že Spracovateľ osobných údajov neplní podmienky vyplývajúce z tejto Dohody o spracovaní osobných údajov a právnych predpisov vzťahujúcich sa na spracovanie osobných údajov.

     XV. POSKYTNUTIE POMOCI PRE MIGRÁCIU ÚDAJOV

XV.1. Spracovateľ osobných údajov je povinný bezodplatne poskytnúť pomoc v primeraných medziach Správcovi osobných údajov a/alebo niektorej tretej strane ak o to požiada na to, aby bolo možné osobné údaje v štandardných formátoch preniesť.

     XVI. POVINNOSŤ ZMAZANIA ÚDAJOV

XVI.1. Je zakázané uschovávať osobné údaje po dlhšiu dobu ako bol pôvodný cieľ ich uchovávania. Spracovateľ osobných údajov je povinný dodržiavať ustanovenia uvedené v článku č. 1. ohľadom rutinných postupov na pokračovanie vymzania údajov uvedených v prílohe.

XVI.2. Spracovateľ osobných údajov v prípade zrušenie Zmluvy reálne zmazať všetky osobné údaje, ak Správca osobných údajov nevydá opačný príkaz. V zmysle tejto Dohody o spracovaní osobných údajov znamená reálne zmazanie to, že vymazanie osobných údajov prebieha podľa takých predpisov, aby osobné údaje nebolo možné žiadnymi známymi technológiami obnoviť.

XVI.3. Spracovateľ osobných údajov je pred každým zmazaním žiadať potvrdenie od Správcu osobných údajov o tom, že môže vymazanie vykonať. Ak takéto potvrdenie nedostane, Spracovateľ osobných údajov je po uplynutí 30 dní odo dňa ukončenia Zmluvy oprávnený osobné údaje vymazať.

XVI.4. Bez vyššie uvedených obmedzení je Spracovateľ osobných údajov počas doby platnosti Dohody o spracovaní osobných údajov povinný kedykoľvek reálne vymazať osobné údaje vtedy, ak ho o to požiada Správca osobných údajov alebo je to uvedené v prílohe č. 1.

     XVII. PRÁVNE VYMEDZENIA A RIEŠENIE SPOROV

Spory, procesy alebo požiadavky vyplývajúce z tejto Dohody o spracovaní osobných údajov alebo s ňou súvisiace, nezávisle od ich charakteru, je potrebné vykladať na základe právnych predpisov Slovenskej republiky.

Príloha č. 1. – Pokyny na spracovanie osobných údajov
  1. Osobné údaje na spracovanie

Spracované budú údaje nasledovných dotknutých strán:


Spracované budú nasledovné druhy osobných údajov:


  1. Schválené oblasti

Ohľadom spracovania osobných údajov schválené oblasti sú nasledovné regióny alebo oblasti: Slovenská republika

     3. Rutinné a iné pracovné procesy zabezpečujúce zmazanie údajov

Spracovateľ osobných údajov na pokyn Správcu osobných údajov koná pri zmazaní údajov podľa jeho pokynov. Spracovateľ osobných údajov počas plnenia podmienok zmluvy je povinný zo svojich systémov zmazať ním spoznané osobné údaje, nemôže na nich vykonať žiadne spracovateľské úkony bez vysloveného príkazu Správcu osobných údajov.

Príloha č. 2. – Minimálne bezpečnostné opatrenia


    1. Správca osobných údajov si vyhradzuje právo, aby vykonával audity, testy a kontroly súvisice s bezpečnosťou, k čomu je Spracovateľ osobných údajov povinný poskytnúť odôvodnenú pomoc a dokumentáciu potrebnú k vykonaniu auditu.
    2. Správca osobných údajov je povinný najmenej dva týždne vopred informovať Spracovateľa osobných údajov o takomto bezpečnostnom audite, testovaní, kontrole, s výnimkou, ak by to nepriaznivo ovplyvnilo cieľ alebo priebeh daného bezpečnostného auditu, testovania a/alebo kontroly. Okrem toho je potrebné zabezpečiť včasné informovanie minimálne 24 hodín pred vykonaním takéhoto auditu.
    1. Spracovateľ osobných údajov je povinný vytvoriť inventár o spracovaní osobných údajoch v zmysle tejto Dohody o spracovaní osobných údajov, o všetkých aplikáciách a systémoch, viesť ich evidenciu a minimálne štvťročne ich aktualizovať.
    2. Spracovateľ osobných údajov na výzvu Správcu osobných údajov v prípade jeho včasného oznámenia je povinný v zmysle tejto Dohody o spracovaní osobných údajov poskytnúť inventár o všetkých používaných aplikáciách a systémoch na spracovanie osobných údajov.
    1. Spracovateľ osobných údajov je povinný počas procesu selektovania zabezpečiť, že zamestnanci pracujúci s osobnými údajmi, ktorými disponuje Správca osobných údajov:
    2. Sú skutočne tie osoby, za ktoré sa vydávajú, čiže pri ich prijímaní je potrebné vykonať identifikáciu ich osoby;
    3. Disponujú patričným vzdelaním potrebným k výkonu svojho povolania, majú vhodné morálne zázemie a sú bezúhonní, preto je potrebné od nich vyžiadať výpis z registra trestov alebo referencie.
    4. Spracovateľ osobných údajov je zodpovedný za svojich zamestnancov a za ich správanie. Spracovateľ osobných údajov je povinný uzavrieť s každým svojím zamestnancom záväznú zmluvu, v ktorej stanoví ich povinnosti voči Spracovateľovi osobných údajov, vrátane služobnej mlčanlivosti, tiež dodržiavania IT a bezpečnostných predpisov.
    5. Spracovateľ osobných údajov je povinný zabezpečiť, aby zamestnanci, ktorí majú uzatvorené zmluvy so Spracovateľom osobných údajov, a ktorí porušia akékoľvek podmienky alebo akékoľvek povinnosti voči Spracovateľovi osobných údajov – ak Spracovateľ osobných údajov nekvalifikuje tieto porušenia za nemej závažné, úmyselné a sú bez následkov – mali zakázané všetky prístupové práva k osobným údajom spravovaným Spracovateľom osobných údajov, aby mali s okamžitou platnosťou odobraté všetky fyzické a logické prístupové práva ku všetkým takým informáciám alebo funkciám, ktoré sú nejakým spôsobom dôležité v zmysle tejto Dohody o spracovaní osobných údajov.
    1. Spracovateľ osobných údajov je pre zachovanie ochrany osobných údajov povinný disponovať zdokumentovanými ustanoveniami realizovanými v praxi, ktoré sa výzvu Správcu osobných údajov je povinný vydokladovať.
    2. Pre zachovanie a ochranu osobných údajov všetky miesta, kde vykonáva Spracovateľ osobných údajov úlohy pre Správcu osobných údajov, ktoré potenciálne vplývajú na osobné údaje Správcu osobných údajov, je povinný zabezpečiť v súlade s fyzickou bezpečnosťou alebo s pravidlami.
    3. Spracovateľ osobných údajov je povinný zabezpečiť, aby bezpečnostné pravidlá Spracovateľa osobných údajov boli dodržané vo všetkých oblastiach, kde Spracovateľ osobných údajov vykonáva činnosti pre Správcu osobných údajov tak, aby takto dosiahnutá fyzická bezpečnosť zodpovedala uvedeným požiadavkam o vlastnej fyzickej bezpečnosti Správcu osobných údajov.
    4. Konkrétne: všetky kancelárska priestory, kde Spracovateľ osobných údajov vykonáva pre Správcu osobných údajov činnosti, je potrebné zabezpečiť tak, aby zodpovedali vlastným bezpečnostným podmienkam Správcu osobných údajov. Ďalej všetky servery, nosiče, routery alebo switch a iné systémové a IT zariadenia, cez ktoré sa osobné údaje Správcu osobných údajov skladujú alebo spracúvajú, a podľa svojho cieľa si nevyžadujú pravidelné používateľské užívanie, je potrebné umiestniť v takých zabezpečených inštitúciách, ktoré zodpovedajú uvedeným požiadavkam o vlastnej fyzickej bezpečnosti Správcu osobných údajov.
    1. Pred uzatvorením tejto dohody o ochrane osobných údajov Spracovateľ osobných údajov je povinný vytvoriť vhodné a aktuálne bezpečnostné opatrenia a udržať počas celej doby trvania Zmluvy o poskytovaní služieb a zachovať všetky také koncové zariadenia, servery, siete, digitálne nosiče a mobilné zariadenia, ktoré používa za cieľom služieb poskytovaných Správcom osobných údajov.
    2. Koknrétne Spracovateľ osobných údajov je povinný:
    3. Nainštalovať ochranu (anti-malware) proti škodlivým hosťovským programom na všetky také koncové zariadenia, na ktorých je program proti škodlivým hosťovským programom relevantný, vrátane pravidelného obnovovania mechanizmu anti-malware softweru;
    4. nainštalujte hostiteľské riešenie firewall pre všetky používané koncové zariadenia;
    5. systematicky posilňovať svoje systémy, aby zminimalizoval priestor pre útoky;
    6. uplatňovať mechanizmy na bezpečnostné centrálne zálohovanie relevantných údajov zo všetkých node-počítačov a za účelom bezpečnostného zálohovania všetkých centrálnych úložísk;
    7. Údaje je povinný chrániť aj na nepoužívaných a stratených zariadeniach, v danom prípade, podľa potreby použitím šifrovacích technológií.
    1. Pri prideľovaní úloh súvisiacich so spracovaním osobných údajov Správcu osobných údajov sa musí presadzovať prísne oddelenie povinností.
    2. Prístupové práva, privilégiá a činnosti spracujúca, rozdeľujúca alebo kontrolujúca osoba, ktorá pracuje v niktorých systémoch a mechanizmoch spracovateľa (z technického alebo manažérskeho hľadiska) zodpovednosť voči okruhu povinností a osobám musí prebiehať tak, aby žiadna osoba nemala možnosť zaobchádzať s vlastnými prístupovými právami, privilégiami, aby nemala vplyv na ich pridelenie alebo kontrolu, okrem toho je potrebné aj v samotnom systéme vykonať také potrebné kontroly a obmedzenia, ktoré bránia jeho náhodným alebo úmyselným výskytom. V záujme minimalizovania prístupnosti k údajom Správcu osobných údajov je potrebné uplatniť minimálny prístup a oprávnenosť .
    1. Postup prístupnosti a spracovania Spracovateľa osobných údajov musí zodpovedať nasledovnému:
    2. Iba obmedzený počet vedúcich pracovníkov môže dostať príležitosť na zabezpečenie prístupnosti takých systémov, v ktorých sa spracúvajú osobné údaje Správcu osobných údajov (ďalej len: autorizátor).
    3. Správca osobných údajov podľa potreby môže kedykoľvek nahliadnuť do zoznamu autorizátorov.
    4. Spracovateľ osobných údajov je povinný vytvoriť postupy pre vstupné údaje, ktoré sa už nepovažujú za bezpečné (heslá, atď.) pre ich okamžité, non stop (7/24) nahlásenie a zablokovanie.
  1. Spracovateľ osobných údajov je povinný bezodkladne vykonať všetky logické kroky a zaviesť všetky primerané kroky, aby minimalizoval negatívne vplyvy spôsobené incidentom v oblasti ochrany osobných údajov. Spracovateľ osobných údajov je povinný bezodkladne oznámiť Správcovi osobných údajov všetky také informácie, ktoré môžu ovplyvniť schopnosť Spracovateľa osobných údajov minimalizovať všetky možné negatívne vplyvy vyplývajúce z incidentu v oblasti ochrany osobných údajov pri ochrane osobných údajov dozorovaných Správcom osobných údajov.