Dodatak obrade podataka

Ovaj Dodatak čini sastavni dio Ugovora i sklapaju ga:

(i) Klijent (" Izvoznik podataka ")
(ii) IQUALIF (" Uvoznik podataka ")

Svaka je " Stranka " i obično " Stranke ".

Preambula

GDJE Uvoznik podataka pruža profesionalne softverske usluge, računalne i povezane usluge (kao što su preglednici s naprednim funkcijama pretraživanja);

GDJE je u skladu s Ugovorom Uvoznik podataka pristao Izvozniku podataka pružiti usluge navedene u Ugovoru (" Usluge ");

GDJE, pružanjem Usluga, Uvoznik podataka prima ili ima koristi od pristupa podacima Izvoznika podataka ili informacijama drugih osoba koje imaju (potencijalni) odnos s Izvoznikom podataka, takve informacije mogu se kvalificirati kao osobni podaci u smislu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka io slobodnom kretanju takvih podataka (" GDPR ") i drugim primjenjivim zakonima o zaštiti podataka.

GDJE ovaj Dodatak sadrži uvjete i odredbe primjenjive na prikupljanje, obradu i korištenje takvih osobnih podataka od strane Uvoznika podataka u svojstvu ovlaštenog agenta za obradu podataka Izvoznika podataka, kako bi se osiguralo da se Strane pridržavaju primjenjivog zakona o zaštiti podataka .

STOGA, i kako bi se strankama omogućilo zakoniti nastavak njihovog odnosa, stranke su zaključile ovaj Dodatak kako slijedi:

1. dio

1. Struktura dokumenta i definicije

1.1 Struktura

Ovaj Dodatak sastoji se od sljedećih različitih dijelova:

1. dio:	sadrži opće odredbe, npr. koje se tiču definicija korištenih u ovom Dodatku, sukladnosti s lokalnim zakonima, vremenskom rasporedu i raskidu
2. dio:	sadrži tijelo neizmijenjenog dokumenta Standardnih ugovornih klauzula
Dodatak 1.1 Dijela 2:	sadrži pojedinosti o postupcima obrade koje je Uvoznik podataka dostavio Izvozniku podataka kao ovlaštenom agentu za obradu podataka (uključujući obradu, prirodu i svrhu obrade, vrstu osobnih podataka i kategorije ispitanika) prema ovom dodatak
Dodatak 2 dijela 2:	sadrži opis tehničkih i organizacijskih sigurnosnih mjera Uvoznika podataka, koje se primjenjuju u vezi sa svim aktivnostima obrade opisanim u Dodatku 1.1 Dijela 2.
dio 3:	sadrži potpise strana koje će biti vezane ovim Dodatkom i identificira svakog uvoznika podataka

1.2 Terminologija i definicije

Za potrebe ovog Dodatka primjenjiva je terminologija i definicije koje koristi GDPR (u tijelu dokumenta Standardne ugovorne klauzule u 2. dijelu, gdje se definirani pojmovi ne pišu velikim slovima).

"Država članica"	znači državu koja pripada Europskoj uniji ili Europskom gospodarskom prostoru
"Posebne kategorije (osobnih) podataka"	odnosi se na osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička stajališta, vjerska ili filozofska uvjerenja ili sindikalno članstvo te genetske podatke, biometrijske podatke, ako se obrađuju u svrhu jedinstvene identifikacije osobe, podatke o zdravlju, podatke o spolu osobe života ili seksualne orijentacije
"Standardne ugovorne klauzule"	znači Standardne ugovorne klauzule za prijenos osobnih podataka agenata za obradu osnovanih u trećim zemljama, prema Odluci Komisije 2010/87/EU od 5. veljače 2010., koja je izmijenjena Provedbenom odlukom Komisije (EU) 2016/2297 od 16. prosinca 2016
"Obrađivač podataka".	znači bilo koji agent za obradu, koji se nalazi unutar ili izvan EU/EEA, koji pristaje primiti od Uvoznika podataka ili bilo kojeg drugog izvršitelja obrade Uvoznika podataka, osobne podatke u isključivu svrhu aktivnosti obrade koje će izvršiti Izvoznik podataka nakon prijenos u skladu s uputama Izvoznika podataka, uvjetima ovog Dodatka i Ugovora s Uvoznikom podataka

2. Obveze Izvoznika podataka

2.1 Izvoznik podataka ima obvezu osigurati usklađenost sa svim primjenjivim obvezama prema GDPR-u i bilo kojem drugom primjenjivom zakonu o zaštiti podataka koji se primjenjuje na Izvoznika podataka te pokazati takvu usklađenost u skladu s člankom 5. stavkom 2. GDPR-a. Izvoznik podataka jamči da je Uvoznik podataka dobio prethodni pristanak ispitanika u skladu s člankom 6. (a) GDPR-a i da je ispunio svoju obvezu informiranja ispitanika u skladu s člankom 13. i 14. GDPR-a.

2.2 Izvoznik podataka mora dostaviti Uvozniku podataka odgovarajuće datoteke aktivnosti obrade u skladu s člankom 30. stavkom 1. GDPR-a u vezi s Uslugama prema ovom Dodatku, u mjeri potrebnoj da Uvoznik podataka ispuni obvezu prema Članak 30. stavak 2. GDPR-a.

2.3 Izvoznik podataka mora imenovati službenika za zaštitu podataka ili predstavnika u mjeri u kojoj to zahtijeva važeći zakon o zaštiti podataka. Izvoznik podataka dužan je Uvozniku podataka dostaviti kontakt podatke agenta za zaštitu podataka ili predstavnika, ako postoji.

2.4. Izvoznik podataka potvrđuje prije dovršetka obrade, prihvaćanjem ovog Dodatka, da su tehničke i organizacijske sigurnosne mjere Uvoznika podataka, kako je navedeno u Dodatku 2. Dijelu 2., primjerene i dostatne za zaštitu prava nositelja podataka. te potvrđuje da Uvoznik podataka pruža dostatne zaštitne mjere u tom pogledu.

3. Usklađenost s lokalnim zakonom

Kako bi se ispunili zahtjevi za implementaciju sredstava za obradu u skladu s člankom 28. GDPR-a, primjenjive su sljedeće izmjene:

3.1 Upute

(i) Izvoznik podataka daje upute Uvozniku podataka da obrađuje osobne podatke samo u ime Izvoznika podataka. Upute Izvoznika podataka navedene su u ovom Dodatku iu Ugovoru. Izvoznik podataka ima obvezu osigurati da su sve upute dane Uvozniku podataka u skladu s primjenjivim zakonima o zaštiti podataka. Uvoznik podataka mora obrađivati osobne podatke samo u skladu s uputama koje je dostavio Izvoznik podataka, osim ako drugačije ne zahtijeva Europska unija ili zakon države članice (u potonjem slučaju primjenjuje se Dio 1, klauzula 3.2 (iv) (c)) .
(ii) Sve druge upute koje nadilaze upute u ovom Dodatku ili u Ugovoru moraju biti uključene u predmet ovog Dodatka i Ugovora. Ako provedba ove dodatne upute uključuje troškove za Uvoznika podataka, Uvoznik podataka će obavijestiti Izvoznika podataka o takvim troškovima i dati objašnjenje prije provedbe upute. Tek nakon što Izvoznik podataka potvrdi prihvaćanje ovih troškova za provedbu upute, Uvoznik podataka će provesti ovu dodatnu uputu. Izvoznik podataka mora dati dodatne upute u pisanom obliku osim ako hitnost ili druge posebne okolnosti ne zahtijevaju drugi oblik (npr. usmeni, elektronički). Upute u obliku koji nije u pisanom obliku moraju biti potvrđene u pisanom obliku i bez odlaganja od strane Izvoznika podataka.
1. Osim ako Izvoznik podataka ne može sam izvršiti ispravak, brisanje ili ograničavanje osobnih podataka, upute se također mogu odnositi na ispravak, brisanje i/ili ograničavanje osobnih podataka kako je navedeno u Dijelu 1, klauzuli 3.3.
2. Uvoznik podataka mora odmah obavijestiti Izvoznika podataka ako, po njegovom mišljenju, Uputa krši GDPR ili druge primjenjive odredbe o zaštiti podataka Europske unije ili države članice (" Osporena uputaAko nadzorno tijelo osporenu Uputu ocijeni zakonitom, Uvoznik podataka je dužan provesti osporenu Uputu. Dio 1, klauzula 3.1 (ii) ostaje primjenjiva.

3.2 Obveze Uvoznika podataka

(i) Uvoznik podataka mora osigurati da su se osobe koje je Uvoznik podataka ovlastio za obradu osobnih podataka u ime Izvoznika podataka, posebno zaposlenici Uvoznika podataka i zaposlenici bilo kojeg Podizvođača, obvezali na poštivanje povjerljivosti ili podliježu odgovarajuću zakonsku obvezu povjerljivosti, te da osobe koje imaju pristup osobnim podacima iste obrađuju u skladu s uputama Izvoznika podataka.
(ii) Uvoznik podataka mora primijeniti tehničke i organizacijske sigurnosne mjere kako je navedeno u Dodatku 2 Dijelu 2 prije obrade osobnih podataka u ime Izvoznika podataka. Uvoznik podataka može s vremena na vrijeme promijeniti tehničke i organizacijske sigurnosne mjere ako one ne pružaju manju zaštitu od one navedene u Dodatku 2. Dijelu 2.
(iii) Uvoznik podataka će Izvozniku podataka, na zahtjev Izvoznika podataka, staviti na raspolaganje informacije za dokazivanje usklađenosti s obvezama Uvoznika podataka prema ovom Dodatku. Strane su suglasne da se ova obveza informiranja ispunjava dostavljanjem izvješća o reviziji Izvozniku podataka (koje pokriva sigurnost načela, dostupnost sustava i povjerljivost) ("Izvješće o reviziji"). Ako su zakonski potrebne dodatne revizijske aktivnosti, Izvoznik podataka može zahtijevati da inspekcije provede Izvoznik podataka ili drugi revizor kojeg je imenovao Izvoznik podataka, pod uvjetom da takav revizor sklopi ugovor o povjerljivosti s Uvoznikom podataka prema Uvozniku podataka. razumno zadovoljstvo ("Revizija"). Ova revizija podliježe sljedećim uvjetima: (i) prethodni službeni pismeni pristanak Uvoznika podataka; i (ii) Izvoznik podataka će snositi sve troškove koji se odnose na reviziju na licu mjesta za Izvoznika podataka i Uvoznika podataka. Izvoznik podataka mora izraditi izvješće o reviziji sažimajući rezultate i zapažanja revizije na licu mjesta ("Izvješće o reviziji na licu mjesta"). Izvješća o nadzoru na licu mjesta i izvješća o nadzoru povjerljive su informacije Uvoznika podataka i ne smiju se otkrivati trećim stranama osim ako to zahtijeva važeći zakon o zaštiti podataka ili u skladu s privolom Uvoznika podataka.
(iv) Uvoznik podataka ima obvezu obavijestiti Izvoznika podataka bez nepotrebnog odgađanja:
1. a. u vezi sa bilo kojim pravno obvezujućim zahtjevom za otkrivanje osobnih podataka od strane tijela za provođenje zakona, osim ako nije drugačije zabranjeno, kao što je zabrana prema kaznenom zakonu za zaštitu povjerljivosti istrage za provođenje zakona
2. b. u vezi s bilo kojom pritužbom i zahtjevom primljenim izravno od subjekta podataka (npr. u vezi s pristupom, ispravkom, brisanjem, ograničenjem obrade, prenosivošću podataka, prigovorom na obradu podataka, automatskim donošenjem odluka) bez odgovora na taj zahtjev, osim ako je Uvoznik podataka ovlašten učini tako
3. c. ako je Uvoznik podataka ili izvršitelj obrade obvezan, prema pravu Europske unije ili države članice kojoj podliježe Uvoznik podataka ili izvršitelj obrade, obrađivati osobne podatke izvan uputa Izvoznika podataka, prije nego što izvrši takvu obradu izvan upute, osim ako zakoni Europske unije ili države članice zabranjuju takvu obradu na temelju vitalnog javnog interesa, u kojem će slučaju obavijest Izvozniku podataka navesti pravni zahtjev prema tom pravu Europske unije ili države članice; ili
4. d. ako Uvoznik podataka ostvari povredu osobnih podataka, isključivo zbog sebe ili svog podizvođača, što bi utjecalo na osobne podatke Izvoznika podataka obuhvaćene ovim ugovorom, u kojem slučaju će Uvoznik podataka pomoći Izvozniku podataka u njegovoj obvezi, vis-Ã -vis primjenjivog zakona o zaštiti podataka, informirati subjekte podataka i, gdje je primjenjivo, nadzorna tijela pružanjem informacija kojima raspolaže, u skladu s člankom 33. stavkom 3. GDPR-a.
5. (v) Na zahtjev Izvoznika podataka, Uvoznik podataka bit će primoran pomoći Izvozniku podataka u njegovoj obvezi provedbe procjene učinka na zaštitu podataka koja se može zahtijevati prema članku 35. GDPR-a i prethodnom savjetovanju koje može biti zahtijeva se člankom 36. GDPR-a u vezi s uslugama koje Uvoznik podataka pruža Izvozniku podataka prema ovom Dodatku, pružajući potrebne informacije Izvozniku podataka. Uvoznik podataka će biti dužan pružiti takvu pomoć samo ako Izvoznik podataka ne može ispuniti svoju obvezu na drugi način. Uvoznik podataka obavijestit će Izvoznika podataka o troškovima takve pomoći. Čim Izvoznik podataka potvrdi da može snositi ovaj trošak, Uvoznik podataka će Izvozniku podataka pružiti ovu pomoć.
6. (vi) Na kraju pružanja usluga, Izvoznik podataka može zatražiti povrat osobnih podataka koje je Uvoznik podataka obradio prema ovom Dodatku u roku od mjesec dana nakon usluga. Osim ako zakonodavstvo države članice ili Europske unije zahtijeva od Uvoznika podataka pohranu ili zadržavanje takvih osobnih podataka, Uvoznik podataka će izbrisati sve takve osobne ili neosobne podatke nakon razdoblja od mjesec dana, bez obzira jesu li vraćeni Izvoznik podataka na njegov zahtjev ili ne.

3.3 Prava dotičnih osoba

1. (i) Izvoznik podataka upravlja i odgovara na zahtjeve ispitanika. Uvoznik podataka nije dužan odgovoriti izravno subjektima podataka.
2. (ii) Ako Izvoznik podataka zahtijeva pomoć Uvoznika podataka u obradi i odgovaranju na zahtjeve Ispitanika podataka, Izvoznik podataka će izdati daljnje upute u skladu s klauzulom 3.1 (ii) Dijela 1. Uvoznik podataka će pomoći Izvozniku podataka sa sljedećim odgovarajućim tehničkim organizacijskim mjerama za odgovor na zahtjeve za ostvarivanje prava ispitanika navedenih u Poglavlju III. GDPR-a kako slijedi:
3. a. Što se tiče zahtjeva za informacijama, Uvoznik podataka će Izvozniku podataka pružiti samo one informacije koje zahtijeva članak 13. i 14. PGRD-a koje može imati na raspolaganju ako ih Izvoznik podataka ne može pronaći sam.
4. b. Što se tiče zahtjeva za pristup (članak 15. GDPR-a), Uvoznik podataka će Izvozniku podataka dati samo one informacije koje se trebaju dati subjektu podataka za navedeni zahtjev za pristup, a koje može imati na raspolaganju ako potonji ne može pronaći sam.
5. c. Što se tiče zahtjeva za ispravak (članak 16. GDPR-a), zahtjeva za brisanje (članak 17. GDPR-a), ograničenja zahtjeva za obradu (članak 18. GDPR-a), ili zahtjeva za prenosivost (članak 20. GDPR-a), i samo ako Izvoznik podataka ne može sam ispraviti ili izbrisati, ograničiti ili prenijeti osobne podatke drugoj trećoj strani, Uvoznik podataka će Izvozniku podataka ponuditi mogućnost da ispravi ili izbriše, ograniči ili prenese dotične osobne podatke drugoj trećoj strani, ili ako to nije moguće, pružit će pomoć za ispravljanje ili brisanje, ograničavanje ili prijenos dotičnih osobnih podataka drugoj trećoj strani.
6. d. Što se tiče obavijesti koja se odnosi na ispravak, brisanje ili ograničenje obrade (članak 19. GDPR-a), Uvoznik podataka pomoći će Izvozniku podataka obavještavanjem svih primatelja osobnih podataka koje je Uvoznik podataka angažirao kao izvršitelje obrade ako Izvoznik podataka to zatraži i ako Izvoznik podataka ne može sam popraviti situaciju.
7. e. Što se tiče prava na prigovor koje koristi nositelj podataka (članak 21. i 22. GDPR-a), Izvoznik podataka će utvrditi je li prigovor legitiman i kako s njim postupiti.
8. (iii) Obveze pomoći Uvoznika podataka ograničene su na osobne podatke koji se obrađuju unutar njegove infrastrukture (npr. baze podataka, sustavi, aplikacije u vlasništvu ili koje pruža Uvoznik podataka).
9. (iv) Izvoznik podataka će odrediti može li Subjekt podataka ostvariti prava Subjekata podataka navedenih u Klauzuli 3.1 ovog Dijela 1 i obavijestit će Uvoznika podataka o opsegu pomoći navedenoj u Klauzulama 3.3 (ii), ( iii) Dijela 1 je potrebno.
10. (v) Ako Izvoznik podataka zatraži dodatne ili modificirane tehničke i organizacijske mjere kako bi se ispunila prava subjekata podataka koja nadilaze pomoć koju pruža Uvoznik podataka prema potklauzuli 3.3 (ii), (iii) Dijela 1, Podaci Uvoznik će obavijestiti Izvoznika podataka o troškovima provedbe takvih dodatnih ili izmijenjenih tehničkih i organizacijskih mjera. Čim Izvoznik podataka potvrdi da može podmiriti te troškove, Uvoznik podataka će implementirati takve dodatne ili izmijenjene tehničke i organizacijske mjere kako bi pomogao Izvozniku podataka u odgovoru na zahtjeve Subjekata podataka.
11. (vi) Bez ograničavanja opsega klauzule 3.3 (v) Dijela 1, Izvoznik podataka je dužan nadoknaditi Uvozniku podataka njegove razumne troškove nastale u odgovoru na zahtjeve Subjekata podataka.

3.4 Podobrada

1. (i) Izvoznik podataka odobrava Uvozniku podataka korištenje podizvođača za pružanje usluga prema ovom Dodatku. Uvoznik podataka pažljivo će odabrati izvršitelja obrade podataka. Izvoznik podataka odobrava izvršitelje obrade podataka navedene u Dodatku 1.1 na kraju Dijela 2.
2. (ii) Uvoznik podataka prenosi svoje obveze prema ovom Dodatku na izvršitelja obrade podataka u mjeri primjenjivoj na podugovorene usluge.
3. (iii) Uvoznik podataka može otpustiti, zamijeniti ili imenovati drugog odgovarajućeg i pouzdanog izvršitelja obrade podataka prema vlastitom nahođenju. Ako Izvoznik podataka to pismeno zatraži, Uvoznik podataka mora slijediti postupak naveden u nastavku:
1. a. Uvoznik podataka obavijestit će Izvoznika podataka prije bilo kakvih promjena na popisu izvršitelja obrade podataka naveden u klauzuli 3.4 (i) Dijela 1. Ako se izvoznik podataka ne protivi prema klauzuli 3.4. (b) Dijela 1. trideset dana nakon primitka obavijesti od Uvoznika podataka, dodatni izvršitelji obrade podataka smatrat će se prihvaćenima.
2. b. Ako Izvoznik podataka ima legitiman razlog za prigovor na dodatnog izvršitelja obrade podataka, o tome će prethodno pisano obavijestiti Uvoznika podataka u roku od trideset dana od primitka obavijesti Uvoznika podataka i prije nego što usluga Uvoznika podataka počne raditi. Ako se Izvoznik podataka protivi korištenju dodatnog procesora podataka, uvoznik podataka može ukloniti prigovor na jednu od sljedećih opcija (odabranih prema vlastitom nahođenju): (A) Uvoznik podataka će otkazati svoje planove za korištenje dodatnog procesora u vezi s osobni podaci Izvoznika podataka; (B) Uvoznik podataka će poduzeti korektivne mjere koje je Izvoznik podataka zatražio u svom prigovoru (poništiti prigovor) i koristiti dodatnog procesora u vezi s osobnim podacima Izvoznika podataka;
1. (iv) ako se Izvršitelj obrade podataka nalazi izvan EU-EEA u zemlji za koju nije priznato da nudi odgovarajuću razinu zaštite podataka nakon odluke Europske komisije, Uvoznik podataka će poduzeti mjere za usklađivanje s odgovarajućom razinom zaštite podataka u skladu s GDPR-om (takve mjere mogu uključivati - između ostalog i - korištenje ugovora o obradi podataka na temelju klauzula EU modela, prijenos samocertificiranim obrađivačima podataka u okviru EU-US Protection Shield-a , ili sličan program).

3.5 Istek

Istek ovog Dodatka identičan je datumu isteka odgovarajućeg Ugovora. Osim ako je drugačije navedeno u ovom Dodatku, prava i obveze u vezi s raskidom bit će ista kao ona sadržana u Ugovoru.

4. Ograničenje odgovornosti

4.1 Svaka strana obrađuje svoje obveze prema ovom Dodatku i važećim zakonima o zaštiti podataka.

4.2 Svaka odgovornost koja se odnosi na kršenje obveza prema ovom Dodatku ili primjenjivom zakonodavstvu o zaštiti podataka podliježe i upravlja se odredbama o odgovornosti navedenim u Ugovoru ili primjenjivim na Ugovor, osim ako je drugačije navedeno u ovom Dodatku. Ako je odgovornost regulirana odredbama o odgovornosti navedenim ili primjenjivim na Ugovor, za izračun ograničenja odgovornosti ili određivanje primjene drugih ograničenja odgovornosti, smatrat će se da svaka odgovornost koja proizlazi iz ovog Dodatka proizlazi iz Ugovora.

5. Opće odredbe

5.1 Ako postoje bilo kakve nedosljednosti ili odstupanja između dijelova 1 i 2 ovog Dodatka, dio 2 ima prednost. Konkretno, čak i u takvom slučaju, Dio 1 koji jednostavno nadilazi Dio 2 (tj. uvjete standardnih klauzula) bez protuslovlja ostat će valjan.

5.2 Ako dođe do bilo kakvog odstupanja između odredaba ovog Dodatka i onih iz drugih ugovora koji obvezuju strane, ovaj Dodatak ima prednost u pogledu obveza stranaka na zaštitu podataka. U slučaju dvojbe o tome odnose li se klauzule u drugim ugovorima na obveze strana u zaštiti podataka, ovaj će Dodatak biti mjerodavan.

5.3 Ako je bilo koja odredba ovog Dodatka nevažeća ili neprovediva, ostatak ovog Dodatka ostat će na snazi i učinku. Nevaljana ili neprovediva odredba bit će (i) izmijenjena kako bi se osigurala njezina valjanost i provedivost, uz očuvanje koliko god je to moguće namjere stranaka, ili - ako to nije moguće - (ii) tumačena kao da je nevaljani ili neprovedivi dio nikada nije bio dio ugovora. Prethodno će se također primijeniti ako u ovom Dodatku postoji propust.

5.5 U mjeri u kojoj je to potrebno, stranke mogu zatražiti izmjene Dijela 1, klauzule 3 (Usklađenost s lokalnim zakonom) ili drugih dijelova Dodatka kako bi bile u skladu s tumačenjima, direktivama ili naredbama koje izdaju nadležna tijela Unije ili Države članice, nacionalne odredbe o provedbi ili bilo koji drugi pravni razvoj u vezi s GDPR-om ili drugim uvjetima delegiranja bilo kojim subjektima uključenim u obradu podataka, a posebno u vezi s upotrebom standardnih ugovornih klauzula u GDPR-u. Uvjeti Standardnih ugovornih klauzula ne smiju se mijenjati ili zamijeniti osim ako to izričito ne odobri Europska komisija (npr. novim odgovarajućim klauzulama i standardima zaštite podataka).

5.6 Bilo koje upućivanje u ovom Dodatku na "Klauzule" smatra se da se odnosi na sve odredbe ovog Dodatka osim ako nije drugačije navedeno.

5.7 Izbor prava u Dijelu 2, Klauzula 9 primjenjuje se na cijeli Ugovor.

6. Osobni podaci koje strane prenose i obrađuju u osobne svrhe (prijenos od voditelja obrade do voditelja obrade)

6.1 Strane su u potpunosti svjesne da će se određeni osobni podaci prenijeti s Izvoznika podataka na Uvoznika podataka i obrnuto te da takve podatke obrađuje svaka Strana za svoje potrebe. Što se tiče takvih osobnih podataka, to ne utječe na ostale odredbe ovog Dodatka (osim ove klauzule 6).

6.2 Izvoznik podataka može prenijeti osobne podatke koji se odnose na osoblje Uvoznika podataka Uvozniku podataka, uključujući informacije o sigurnosnim incidentima ili bilo koje druge dokumente ili datoteke koje je izradio ili uspostavio Izvoznik podataka u vezi s Uslugama koje pruža osoblje uvoznik podataka. Uvoznik podataka može obrađivati takve osobne podatke za vlastite potrebe, posebno u svojim profesionalnim odnosima s osobljem Uvoznika podataka, za kontrolu kvalitete i obuku ili u poslovne svrhe.

6.3. Uvoznik podataka može prenijeti osobne podatke Izvozniku podataka, uključujući ime i podatke za kontakt osoblja Uvoznika podataka. Izvoznik podataka može obrađivati takve osobne podatke za vlastite potrebe.

6.4 Obje strane će se pridržavati svih važećih zakona o zaštiti podataka, uključujući GDPR, u prikupljanju, obradi i korištenju takvih osobnih podataka primljenih od druge strane prema klauzuli 1 Dijela 1. Posebno, obje strane će poduzeti odgovarajuće sigurnosne mjere, pružajući sličnu razinu zaštite sigurnosnim mjerama navedenim u Dodatku 2. Dijela 2. Svaki pristup takvim osobnim podacima bit će ograničen na potrebu da se oni znaju.

6.5 Obje strane moraju izbrisati takve osobne podatke što je prije moguće nakon što su ciljevi postignuti.

2. dio

ODLUKA POVJERENSTVA

5. veljače 2010

o standardnim ugovornim klauzulama za prijenos osobnih podataka izvršiteljima obrade podataka s poslovnim nastanom u trećim zemljama prema Direktivi 95/46/EZ Europskog parlamenta i Vijeća

Klauzula 1

Definicije

U smislu klauzula:

a) 'osobni podaci', 'posebne kategorije podataka', 'obrada/obrada', 'kontrolor', 'izvršitelj obrade', 'ispitanik' i 'nadzorno tijelo' imaju isto značenje kao u 95/46/EC Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom kretanju takvih podataka (1);

b) 'Izvoznik podataka' je voditelj obrade podataka koji prenosi osobne podatke;

c) 'Uvoznik podataka' je izvršitelj obrade podataka koji pristaje primiti od Izvoznika podataka osobne podatke namijenjene obradi u ime Izvoznika podataka nakon prijenosa u skladu s njegovim uputama i pod uvjetima ovih klauzula i koji nije podliježe mehanizmu treće zemlje koji osigurava odgovarajuću zaštitu u smislu članka 25. stavka 1. Direktive 95/46/EZ; (d) 'Obrađivač podataka' znači izvršitelj obrade podataka kojeg je angažirao Uvoznik podataka ili bilo koji drugi izvršitelj obrade podataka Uvoznika podataka koji pristaje primiti od Uvoznika podataka ili bilo kojeg drugog izvršitelja obrade podataka Uvoznika podataka osobne podatke isključivo za aktivnosti obrade za izvršiti u ime Izvoznika podataka nakon prijenosa u skladu s uputama Izvoznika podataka,

e) "važeći zakon o zaštiti podataka" znači zakon koji štiti temeljna prava i slobode pojedinaca, uključujući pravo na privatnost u vezi s obradom osobnih podataka, a koji se primjenjuje na voditelja obrade u državi članici u kojoj Izvoznik podataka ima poslovni nastan;

f) „tehničke i organizacijske mjere koje se odnose na sigurnost” znači mjere namijenjene zaštiti osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka preko mreža, i protiv sve ostale nezakonite oblike obrade.

Klauzula 2

Detalji prijenosa

Pojedinosti o prijenosu, uključujući, prema potrebi, posebne kategorije osobnih podataka, navedene su u Dodatku 1, koji čini sastavni dio ovih klauzula.

klauzula 3

Klauzula o korisniku treće strane

1. Ispitanik može protiv Izvoznika podataka primijeniti ovu klauzulu, klauzulu 4(b) do (i), klauzulu 5(a) do (e) i (g) do (j), klauzulu 6 (1) i (2 ), klauzula 7, klauzula 8(2) i klauzule 9 do 12 kao treća strana korisnik

2. Ispitanik može primijeniti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv Uvoznika podataka tamo gdje Izvoznik podataka ima fizički nestao ili je prestao postojati u zakonu, osim ako su sve njegove zakonske obveze prenesene, ugovorom ili po sili zakona, na subjekt slijednika, na koji se stoga vraćaju prava i obveze Izvoznika podataka, i protiv kojeg podaci subjekt stoga može provoditi navedene klauzule.

Ispitanik može primijeniti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv Izvršitelja obrade podataka, ali samo u slučajevima kada podaci Izvoznik i Uvoznik podataka su fizički nestali, prestali pravno postojati ili su postali nesolventni, osim ako su sve zakonske obveze Izvoznika podataka prenesene, ugovorom ili po sili zakona, na pravnog sljednika, na kojega su prava i stoga su obveze Izvoznika podataka i protiv koga subjekt podataka stoga može primijeniti takve klauzule. Takva odgovornost Izvršitelja obrade podataka mora biti ograničena na njegove vlastite aktivnosti obrade prema ovim klauzulama.

4. Strane se ne protive tome da nositelja podataka zastupa udruga ili drugo tijelo ako on ili ona to želi i ako nacionalno pravo to dopušta.

Članak 4

Obveze Izvoznika podataka

Izvoznik podataka prihvaća i jamči sljedeće:

a) obrada, uključujući stvarni prijenos osobnih podataka, bila je i nastavit će se provoditi u skladu s relevantnim odredbama primjenjivog zakona o zaštiti podataka (i, gdje je primjenjivo, o njoj su obaviještena nadležna tijela države članice u kojoj je sjedište Izvoznika podataka) i ne krši relevantne odredbe te države;

b) dali su upute, i dat će upute tijekom trajanja usluga obrade osobnih podataka, Uvozniku podataka da obrađuje osobne podatke prenesene isključivo u ime Izvoznika podataka iu skladu s primjenjivim zakonom o zaštiti podataka i ovim klauzulama;

c) Uvoznik podataka će osigurati dostatne zaštitne mjere u pogledu tehničkih i organizacijskih sigurnosnih mjera navedenih u Dodatku 2 ovog ugovora;

d) nakon procjene zahtjeva primjenjivog zakona o zaštiti podataka, sigurnosne mjere su primjerene za zaštitu osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže i protiv svih drugih nezakonitih oblika obrade te osigurati razinu sigurnosti primjerenu rizicima koje predstavlja obrada i priroda podataka koje treba zaštititi, uzimajući u obzir razinu tehnologije i trošak provedbe;

e) osigurat će poštivanje sigurnosnih mjera;

f) ako se prijenos odnosi na posebne kategorije podataka, ispitanik je obaviješten ili će biti obaviješten prije prijenosa ili što je prije moguće nakon prijenosa da se njegovi podaci mogu prenijeti u treću zemlju koja ne nudi odgovarajuću razinu zaštite u smislu Direktive 95/46/EZ;

g) proslijedit će svaku obavijest primljenu od Uvoznika podataka ili bilo kojeg obrađivača podataka prema klauzulama 5 (b) i 8 (3) nadzornom tijelu za zaštitu podataka ako ono odluči nastaviti s prijenosom ili ukinuti obustavu;

h) ispitanicima će, ako to zatraže, staviti na raspolaganje kopiju ovih klauzula, osim Dodatka 2, i sažetak opisa sigurnosnih mjera, te kopiju bilo kojeg daljnjeg ugovora o podugovaranju, zaključenog prema ovim klauzulama, osim ako Klauzule ili ugovor sadrže komercijalne informacije, u kojem slučaju on može povući takve informacije;

i) u slučaju podugovaranja procesa obrade podataka, aktivnost obrade provodi u skladu s klauzulom 11. izvršitelj obrade podataka koji pruža najmanje istu razinu zaštite osobnih podataka i prava nositelja podataka kao Uvoznik podataka prema ovim klauzulama ; i

j) osigurat će usklađenost s klauzulom 4 (a) do (i).

Članak 5

Obveze Uvoznika podataka

Uvoznik podataka prihvaća i jamči sljedeće:

a) obrađivati će osobne podatke samo u ime Izvoznika podataka i prema uputama Izvoznika podataka i ovim klauzulama; ako se iz bilo kojeg razloga ne može pridržavati, suglasni su obavijestiti Izvoznika podataka o svojoj nemogućnosti što je prije moguće, u kojem slučaju Izvoznik podataka može obustaviti prijenos podataka i/ili raskinuti ugovor;

b) nemaju razloga vjerovati da ga zakon koji je primjenjiv na njih sprječava u ispunjavanju uputa koje je dao Izvoznik podataka i obveza koje su mu nametnute prema ugovoru, i ako je takav zakon podložan promjeni koja bi mogla imati materijalnu štetu učinak na jamstva i obveze prema klauzulama, obavijestit će Izvoznika podataka o promjeni bez odgode nakon što za nju sazna, u kojem slučaju Izvoznik podataka može obustaviti prijenos podataka i/ili raskinuti ugovor; (c) su proveli tehničke i organizacijske sigurnosne mjere navedene u Dodatku 2 prije obrade prenesenih osobnih podataka;

d) bez odlaganja će obavijestiti Izvoznika podataka:

i) svaki obvezujući zahtjev za otkrivanje osobnih podataka od strane tijela za provođenje zakona, osim ako nije drugačije navedeno, kao što je kaznena zabrana usmjerena na očuvanje tajnosti policijske istrage;

ii) svaki slučajni ili neovlašteni pristup; i

iii) svaki zahtjev primljen izravno od dotičnih osoba bez odgovora na njega osim ako je za to ovlašten; administratori

e) odmah će i ispravno rješavati sve upite Izvoznika podataka u vezi s njegovom obradom osobnih podataka koji se prenose i postupat će prema mišljenju nadzornog tijela u vezi s obradom prenesenih podataka;

f) na zahtjev Izvoznika podataka, podvrgnut će njegove objekte za obradu podataka reviziji aktivnosti obrade obuhvaćenih ovim klauzulama koju će provesti Izvoznik podataka ili nadzorno tijelo sastavljeno od neovisnih članova s potrebnim stručnim kvalifikacijama, podliježu obvezi čuvanja tajnosti i bira ih Izvoznik podataka, prema potrebi uz suglasnost nadzornog tijela;

g) ispitaniku će staviti na raspolaganje, ako on to zatraži, kopiju ovih klauzula ili bilo kojeg postojećeg podugovaranja ugovora o obradi podataka, osim ako klauzule ili ugovor sadrže komercijalne informacije, u kojem slučaju može ukloniti takve informacije, osim Dodatka 2, koji će biti zamijenjen sažetim opisom sigurnosnih mjera, gdje nositelj podataka ne može dobiti kopiju od Izvoznika podataka;

h) u slučaju povjerljivog daljnjeg podugovaranja obrade podataka, osigurat će da unaprijed obavijesti Izvoznika podataka i dobije pismenu suglasnost Izvoznika podataka;

i) usluge obrade koje pruža Izvršitelj obrade podataka moraju biti u skladu s klauzulom 11;

j) odmah će Izvozniku podataka poslati kopiju bilo kojeg podugovaranja ugovora o obradi podataka koji su sklopili prema ovim klauzulama.

Članak 6

Odgovornost

1. Strane su suglasne da svaki nositelj podataka koji je pretrpio štetu zbog kršenja obveza navedenih u klauzuli 3 ili klauzuli 11 od strane jedne strane ili obrađivača podataka može dobiti naknadu od Izvoznika podataka za pretrpljenu štetu.

2. Ako je subjekt podataka spriječen pokrenuti tužbu za naknadu štete kako je navedeno u stavku 1. protiv Izvoznika podataka zbog propusta Uvoznika podataka ili njegovog obrađivača podataka da se pridržava bilo koje od svojih obveza prema Klauzuli 3 ili Klauzuli 11 jer Podaci Izvoznik je fizički nestao, prestao zakonski postojati ili je postao insolventan, Uvoznik podataka je suglasan da subjekt podataka može podnijeti pritužbu protiv njega kao da je Izvoznik podataka osim ako su sve zakonske obveze Izvoznika podataka prenesene ugovorom. ili po sili zakona, njegovom sljedbeniku, protiv kojeg nositelj podataka tada može ostvariti svoja prava. Uvoznik podataka ne smije se oslanjati na kršenje svojih obveza od strane izvršitelja obrade podataka kako bi izbjegao vlastitu odgovornost.

3. Ako je subjekt podataka spriječen pokrenuti radnju iz stavaka 1. i 2. protiv Izvoznika podataka ili Uvoznika podataka zbog kršenja od strane Izvršitelja obrade svojih obveza prema Klauzuli 3. ili Klauzuli 11. jer Izvoznik podataka i Uvoznik podataka fizički nestale, prestale zakonski postojati ili postale nesolventne, Izvršitelj obrade podataka pristaje da ispitanik može podnijeti pritužbu protiv njega u vezi s vlastitim aktivnostima obrade u skladu s ovim klauzulama kao da je Izvoznik ili Uvoznik podataka osim ako svi pravne obveze Izvoznika podataka ili Uvoznika podataka prenesene su, ugovorom ili po sili zakona, na pravnog sljednika, protiv kojeg ispitanik tada može tražiti svoja prava.Odgovornost Izvršitelja obrade podataka mora biti ograničena na njegove vlastite aktivnosti obrade u skladu s ovim klauzulama.

Članak 7

Posredovanje i nadležnost

1. Uvoznik podataka je suglasan da će, ako se prema klauzulama, ispitanik pozove protiv njega na pravo korisnika treće strane i/ili zatraži naknadu za pretrpljenu štetu, prihvatiti odluku ispitanika:

a) dati spor na posredovanje neovisnoj osobi ili, prema potrebi, nadzornom tijelu;

b) iznijeti spor pred sudove države članice u kojoj je sjedište Izvoznika podataka.

2. Strane su suglasne da izbor ispitanika neće utjecati na procesno ili materijalno pravo ispitanika da dobije pravnu zaštitu u skladu s drugim odredbama nacionalnog ili međunarodnog prava.

Članak 8

Suradnja s nadzornim tijelima

1. Izvoznik podataka pristaje pohraniti kopiju ovog ugovora kod nadzornog tijela ako ono to zahtijeva ili ako je takvo polaganje predviđeno primjenjivim zakonom o zaštiti podataka.

2. Strane su suglasne da nadzorno tijelo može provoditi provjere kod Uvoznika podataka i bilo kojeg izvršitelja obrade podataka u istoj mjeri i pod istim uvjetima kao kod provjera koje se provode kod Izvoznika podataka u skladu s primjenjivim zakonom o zaštiti podataka.

3. Uvoznik podataka obavijestit će Izvoznika podataka što je prije moguće o postojanju zakona koji se odnose na Uvoznika podataka ili bilo kojeg izvršitelja obrade podataka koji sprječava provjeru kod Uvoznika podataka ili bilo kojeg izvršitelja obrade podataka u skladu sa stavkom 2. U takvom slučaju, Izvoznik podataka može poduzeti mjere predviđene klauzulom 5 (b).

Članak 9

Mjerodavno pravo

Klauzule se primjenjuju i regulirane su zakonom države članice u kojoj je sjedište Izvoznika podataka.

Članak 10

Izmjena ugovora

Strane se obvezuju da neće mijenjati ove klauzule. Strane su slobodne uključiti druge komercijalne klauzule koje smatraju potrebnima, pod uvjetom da nisu u suprotnosti s ovim klauzulama.

Članak 11

Naknadno podugovaranje

1. Uvoznik podataka neće podugovarati nijednu od svojih aktivnosti obrade koje se provode u ime Izvoznika podataka prema ovim klauzulama bez prethodnog pisanog pristanka Izvoznika podataka. Uvoznik podataka će svoje obveze prema ovim klauzulama prenijeti samo na podugovore, uz pristanak Izvoznika podataka, putem pisanog ugovora s Izvršiteljem obrade podataka kojim se Izvršitelju obrade podataka nameću iste obveze kao one koje su nametnute Uvozniku podataka prema ovim Klauzulama. Ako Izvršitelj obrade podataka ne može ispuniti svoje obveze zaštite podataka prema tom pisanom ugovoru, Uvoznik podataka ostaje u potpunosti odgovoran Izvozniku podataka za ispunjenje tih obveza.

2. Prethodni pisani ugovor između Uvoznika podataka i Izvršitelja obrade podataka također će uključivati klauzulu o korisniku treće strane kako je navedeno u Klauzuli 3 za slučajeve kada je ispitanik spriječen podnijeti zahtjev za naknadu štete iz Klauzule 6 (1 ), protiv Izvoznika ili Uvoznika podataka jer je Izvoznik ili Uvoznik podataka fizički nestao, prestao zakonski postojati ili je postao nesolventan, a sve pravne obveze Izvoznika ili Uvoznika podataka nisu prenesene, ugovorom ili operacijom zakona, drugom subjektu sljedniku. Odgovornost Izvršitelja obrade podataka mora biti ograničena na njegove vlastite aktivnosti obrade u skladu s ovim klauzulama.

3. Odredbe koje se odnose na aspekte zaštite podataka podugovaranja obrade podataka ugovora iz stavka 1. regulirat će se pravom države članice u kojoj Izvoznik podataka ima poslovni nastan.

4. Izvoznik podataka će voditi popis podugovarača i ugovora o obradi podataka sklopljenih prema ovim klauzulama i o kojima je obavijestio uvoznik podataka u skladu s klauzulom 5 (j), koji će se ažurirati najmanje jednom godišnje. Ovaj popis mora biti dostupan nadzornom tijelu za zaštitu podataka Izvoznika podataka.

Članak 12

Obveza nakon prestanka usluge obrade osobnih podataka

1. Strane su suglasne da će po završetku usluga obrade podataka Uvoznik podataka i Izvršitelj obrade podataka, prema Izvozniku podataka, vratiti sve prenesene osobne podatke i njihove kopije Izvozniku podataka ili uništiti sve takve podatke i pružiti dokaz uništenje Izvozniku podataka, osim ako zakonodavstvo nametnuto Uvozniku podataka sprječava vraćanje ili uništavanje svih ili dijela prenesenih osobnih podataka. U tom slučaju Uvoznik podataka jamči da će osigurati povjerljivost prenesenih osobnih podataka i da više neće aktivno obrađivati podatke.

2. Uvoznik podataka i izvršitelj obrade osigurat će da će, ako to zatraži Izvoznik podataka i/ili nadzorno tijelo, podvrgnuti svoja sredstva obrade podataka provjeri mjera iz stavka 1.

Dodatak 1.1 2. dijelu

Detalji prijenosa

Izvoznik podataka

Izvoznik podataka je Kupac definiran Ugovorom.

Uvoznik podataka

Uvoznik podataka je IQUALIF i dodijeljen je za obradu podataka, pružajući usluge Izvozniku podataka.

Subjekti podataka

Preneseni osobni podaci odnose se na sljedeće kategorije ispitanika:

˜' telefonski pretplatnici navedeni u univerzalnom imeniku

˜ Ostalo, uključujući:

Kategorije podataka

Preneseni osobni podaci odnose se na sljedeće kategorije podataka:

Posebno kategorije osobnih podataka subjekata Izvoznika podataka,

˜' Puno ime

˜' Poštanska adresa

˜' Kontakt podaci (e-mail, telefon, IP adresa, itd.)

˜' Detalji marketinških aktivnosti u vezi s telefonskim pretplatnikom

˜' Ostalo, uključujući vrstu stanovanja, prihode i prosječnu dob prema gradu napravljeno anonimno

Posebne kategorije podataka (ako je primjenjivo)

Preneseni osobni podaci odnose se na sljedeće posebne kategorije podataka:

˜ Prijenos posebnih kategorija podataka nije predviđen

˜ Rasno ili etničko podrijetlo

˜ Religiozna ili filozofska uvjerenja

˜ Članstvo u sindikatu

˜ Politički stavovi

˜ Genetske informacije

˜ Biometrijski podaci

˜ Podaci o seksualnoj orijentaciji ili seksualnom životu

˜ Zdravstveni podaci

Aktivnosti obrade

Preneseni osobni podaci podliježu sljedećim osnovnim aktivnostima obrade:

- • Svrha obrade

Obrada koja se provodi u ime Izvoznika podataka temelji se na sljedećim temama, posebno:

˜' Preuzimanje proizvoda ili usluga koje nudi Izvoznik podataka

˜' Ponuda proizvoda ili usluge koju pozvana osoba može zatražiti

˜' Nalozi preuzeti od pozvanih osoba i daljnja obrada istih

˜ Proučite upitnike i analize

˜' Telemarketing

˜ Ostalo, uključujući:

- ¢ Priroda i svrha obrade

Uvoznik podataka obrađuje osobne podatke ispitanika u ime Izvoznika podataka, kako bi pružio sljedeće usluge, a posebno:

˜' Prodaja i marketing

˜' Ostalo, uključujući ažuriranje baza podataka gradskih vijećnica i političkih stranaka

- • Pružanje usluga i zapošljavanje pružatelja usluga

IQUALIF uglavnom kombinira, centralizira i pruža usluge Izvozniku podataka. Usluge koje pruža imenovani pružatelj usluga mogu biti strukturirane (između ostalog prema potrebi) oko sljedećih pomoćnih usluga: (i) pružanje aplikacija, alata, sustava i IT infrastrukture u odnosu na korištene centre za obradu podataka, kako bi se pružilo i podržavati usluge, uključujući obradu osobnih podataka ispitanika kako je gore opisano, putem takvih aplikacija, alata i sustava, (ii) pružanje IT podrške, održavanja i drugih usluga koje se odnose na takve aplikacije, alate, sustave i IT infrastrukturu, uključujući potencijalni pristup osobnim podacima pohranjenim u takvim aplikacijama, alatima i sustavima, i (iii) pružanje usluga zaštite podataka, nadzor zaštite i usluge odgovora na incidente, uključujući mogući pristup osobnim podacima prilikom pružanja takvih usluga zaštite. IQUALIF može angažirati obrađivače podataka kako je navedeno u nastavku za pružanje usluga, uključujući pomoćne usluge.

- • Vanjski pružatelji usluga trećih strana kao pod-entiteti kojima je dodijeljena obrada podataka

IQUALIF angažira vanjske pružatelje usluga i pružatelje usluga trećih strana, koji nisu podružnice IQUALIF-a, da podrže pružanje usluga Izvozniku podataka. Izvoznik podataka odobrava takve vanjske pružatelje usluga trećih strana kao pod-entitete dodijeljene obradi podataka.

Ako se pod-subjekt uključen u obradu podataka nalazi izvan EU/EEA, u zemlji za koju se smatra da nema odgovarajuću razinu zaštite podataka prema odluci Europske komisije, Uvoznik podataka će poduzeti korake kako bi dobio odgovarajuću razinu zaštite podataka. zaštitu podataka u skladu s GDPR-om i odjeljkom 3.4 (iv) Dijela 1.

Dodatak 2, 2. dio

Tehničke i organizacijske mjere zaštite

Uvoznik podataka će poduzeti sljedeće tehničke i organizacijske mjere zaštite koje je potvrdio Izvoznik podataka, kako bi se zajamčila odgovarajuća razina sigurnosti prava i sloboda pojedinaca, ovisno o rizicima. Pri procjeni dotične razine zaštite, Izvoznik podataka je posebno razmotrio rizike uključene u obradu, uključujući slučajno ili nezakonito uništenje, promjenu, neovlašteno otkrivanje ili pristup osobnim podacima koji se prenose, pohranjuju ili obrađuju na drugi način. Pojašnjenjem: Ove tehničke i organizacijske mjere zaštite ne odnose se na aplikacije, alate, sustave i/ili IT infrastrukturu koju pruža Izvoznik podataka.

1 Opće tehničke i organizacijske mjere zaštite

1.1 Opće informacije i strategije zaštite podataka

Treba poduzeti sljedeće korake kako bi se slijedile opće strategije zaštite podataka i informacija:

a) poduzeti mjere za ocjenu poduzetih mjera u pogledu tehničke i organizacijske zaštite;

b) osigurati obuku za podizanje svijesti među zaposlenicima;

c) imati opis dotičnih sustava i omogućiti pristup zaposlenicima;

d) uspostaviti formalni proces dokumentacije kad god se sustavi implementiraju ili modificiraju;

e) dokumentiranje organizacijske strukture, procesa, odgovornosti i odgovarajućih procjena;

1.2 Organizacija zaštite informacija

Za koordinaciju aktivnosti zaštite podataka i informacija potrebno je poduzeti sljedeće mjere:

a) definirane odgovornosti za zaštitu informacija i podataka (npr. kroz politiku upravljanja zaštitom podataka);

b) potrebno stručno znanje o zaštiti informacija i podataka koji ostaju dostupni;

c) svi su zaposlenici posvećeni osiguravanju povjerljivosti osobnih podataka i obaviješteni su o mogućim posljedicama kršenja ove obveze.

1.3 Kontrola pristupa područjima obrade

Moraju se poduzeti sljedeće mjere kako bi se neovlaštenim osobama spriječio pristup sustavima za obradu podataka (osobito softveru i hardveru) kada se osobni podaci obrađuju, pohranjuju ili prenose:

a) uspostaviti sigurna područja;

b) zaštititi i ograničiti pristup sustavima za obradu podataka;

c) uspostaviti ovlaštenja za pristup zaposlenicima i trećim stranama, uključujući odgovarajuće dokumente;

d) svaki pristup centrima za obradu podataka u kojima su pohranjeni osobni podaci bit će evidentiran.

1.4 Kontrola pristupa sustavima za obradu podataka

Moraju se poduzeti sljedeće mjere kako bi se spriječio neovlašteni pristup sustavima za obradu podataka:

a) politike i procedure provjere autentičnosti korisnika;

b) korištenje lozinki na svim računalnim sustavima;

c) udaljeni pristup mreži zahtijeva višestruku autentifikaciju i dopušten je dotičnoj osobi u skladu s njezinim odgovornostima i nakon ovlaštenja;

d) pristup određenim funkcijama temelji se na funkcijama posla i/ili atributima pojedinačno dodijeljenim korisničkom računu;

e) prava pristupa u vezi s osobnim podacima redovito se pregledavaju;

f) evidencija o promjenama prava pristupa se ažurira.

1.5 Kontrola pristupa određenim područjima korištenja sustava za obradu podataka

Moraju se poduzeti sljedeće mjere kako bi se osiguralo da ovlaštene osobe s pravom korištenja sustava za obradu podataka mogu pristupiti podacima samo u okviru svojih odgovornosti i ovlaštenja pristupa te da se osobni podaci ne mogu čitati, kopirati, mijenjati ili brisati bez ovlaštenja:

1. a) politike, upute i obuku zaposlenika, u vezi s obvezama svakog od njih o povjerljivosti, pravima pristupa osobnim podacima i opsegu obrade osobnih podataka;

b) disciplinske mjere protiv osoba koje neovlašteno pristupaju osobnim podacima;

c) pristup osobnim podacima bit će dopušten samo ovlaštenim osobama, prema potrebi;

d) voditi popis administratora sustava i poduzimati odgovarajuće mjere za nadzor administratora sustava;

e) da neće kopirati ili reproducirati osobne podatke na bilo kojem sustavu za pohranu kako bi se neovlaštenim osobama omogućilo uklanjanje informacija izvornika;

f) kontrolirano i dokumentirano brisanje ili uništavanje podataka;

g) za sigurno pohranjivanje svih osobnih podataka koji se moraju čuvati iz pravnih ili regulatornih razloga (npr. obveze čuvanja podataka), i to samo onoliko dugo koliko je propisano zakonom.

1.6 Upravljanje mjenjačima

Moraju se poduzeti sljedeće mjere kako bi se spriječilo čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka od strane neovlaštenih trećih strana tijekom prijenosa ili transporta uređaja za pohranu podataka (ovisno o poduzetoj obradi osobnih podataka):

1. a) korištenje vatrozida;

b) izbjegavanje pohrane osobnih podataka na mobilnim uređajima za pohranu u svrhu transporta ili šifriranje uređaja;
c) korištenje na prijenosnim računalima i drugim mobilnim uređajima samo nakon što je aktivirana enkripcijska zaštita;

d) bilježenje prijenosa osobnih podataka.

1.7 Kontrola unosa podataka

Moraju se poduzeti sljedeće mjere kako bi se osiguralo da je moguće provjeriti i utvrditi jesu li osobni podaci uneseni u sustave za obradu podataka ili izbrisani iz njih i tko ih je izvršio:

1. a) politiku za autorizaciju čitanja, izmjene i brisanja pohranjenih podataka;

b) mjere zaštite u vezi s čitanjem, mijenjanjem i brisanjem pohranjenih podataka.

1.8 Kontrola rada

U slučaju delegirane obrade osobnih podataka potrebno je poduzeti sljedeće mjere kako bi se osiguralo da se ti podaci obrađuju u skladu s uputama Nadzornika:

1. a) subjekti ili pod- subjekti kojima je dodijeljena obrada podataka, pažljivo odabrani (pružatelji usluga koji obrađuju osobne podatke u ime voditelja obrade);

b) upute u vezi s opsegom bilo koje obrade osobnih podataka zaposlenicima, subjektima ili pod-subjektima kojima je dodijeljena obrada podataka;

c) revizijska prava dogovorena sa subjektima ili pod-subjektima kojima je dodijeljena obrada podataka;

d) ugovore koji postoje sa subjektima ili pod-entitetima kojima je dodijeljena obrada podataka.

1.9 Odvajanje od obrade u druge svrhe

Moraju se poduzeti sljedeće mjere kako bi se osiguralo da se podaci prikupljeni u druge svrhe mogu zasebno obrađivati:

1. a) odvojen pristup osobnim podacima u skladu s postojećim pravima korisnika;

b) sučelja, skupna obrada i izvješćivanje za druge svrhe i funkcije, tako da se podaci prikupljeni za druge svrhe mogu zasebno obrađivati.

1.10 Pseudonimizacija

U pogledu pseudonimizacije osobnih podataka potrebno je poduzeti sljedeće mjere:

1. a) Ako Izvoznik podataka naredi određenu radnju obrade ili ako to Uvoznik podataka smatra prikladnim u skladu s važećim zakonima o zaštiti podataka koji se odnose na određene aktivnosti obrade, obrada osobnih podataka će se provesti na takav način da Podaci se više ne mogu pripisati određenoj osobi bez upotrebe dodatnih informacija. Ove dodatne informacije čuvat će se odvojeno;

b) korištenje tehnika pseudonimizacije, uključujući randomizaciju popisa dodjele; stvaranje vrijednosti u obliku oštrih.

1.11 Šifriranje

Treba poduzeti sljedeće korake za šifriranje osobnih podataka u aplikacijama i prijenosima koji podržavaju enkripciju:

1. a) korištenje tehnika šifriranja;

b) uspostavljanje upravljanja enkripcijom za podršku tehnikama šifriranja koje su ovlaštene za korištenje;

c) podržavanje korištenja kriptografije kroz postupke i protokole za generiranje, modificiranje, opoziv, uništavanje, distribuciju, ovjeravanje, pohranjivanje, hvatanje, korištenje i arhiviranje kriptografskih ključeva za zaštitu od neovlaštene izmjene i otkrivanja.

1.12 Cjelovitost sustava i usluga za obradu podataka

Potrebno je poduzeti sljedeće mjere kako bi se osigurala cjelovitost sustava i usluga za obradu podataka:

a) zaštita sustava za obradu podataka od manipulacije ili uništenja odgovarajućim sredstvima (npr. antivirusni softver, softver za sprječavanje gubitka podataka i softver protiv zlonamjernog softvera, softverske zakrpe, vatrozidi i upravljana zaštita radne površine);

b) zabraniti instaliranje bilo koje usluge ili softvera štetnog za sustave obrade podataka, usluge ili manipulaciju osobnim podacima;

c) korištenje sustava za detekciju i sprječavanje upada u mrežu u strukturi same mreže.

1.13 Dostupnost sustava i usluga za obradu podataka te mogućnost ponovnog uspostavljanja pristupa i korištenja osobnih podataka u slučaju materijalnog ili tehničkog incidenta

Moraju se poduzeti sljedeće mjere kako bi se osigurala dostupnost sustava za obradu podataka, kao i kako bi se mogla brzo vratiti dostupnost i pristup osobnim podacima, u slučaju materijalnog ili tehničkog incidenta (osobito osiguravanjem da osobni podaci zaštićeni su od slučajnog uništenja ili gubitka):

a) imati sredstva kontrole za čuvanje sigurnosnih kopija i vraćanje izgubljenih ili izbrisanih podataka;

b) infrastrukturnu redundanciju i testiranje performansi;

c) fizičku zaštitu računalnih resursa;

d) korištenje alata za praćenje stanja i dostupnosti interne mreže;

e) politike izvješćivanja o incidentima i odgovora na njih koje uređuju postupak upravljanja incidentima, te ponavljanje pridržavanja ovih politika kao dio redovite obuke;

f) sigurnosne kopije (ponekad izvan mjesta) za vraćanje sustava kako bi ponovno mogao obavljati svoje funkcije;

g) planovi kontinuiteta poslovanja/oporavka od katastrofe

1.14 Otpornost sustava i usluga za obradu podataka

Moraju se poduzeti sljedeće mjere kako bi se osigurala otpornost sustava i usluga za obradu podataka:

a) sustavi i skladno konfigurirani, koristeći odobrene sigurnosne parametre;

b) redundantnost mreže;

c) zaštitu kritičnih sustava.

1.15 Postupak za redovito testiranje, evaluaciju i procjenu učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade podataka

Postupak redovitog testiranja, evaluacije i procjene učinkovitosti tehničkih i organizacijskih mjera zaštite obrade podataka.

a) poduzeti potrebne korake za procjenu rizika i strategije ublažavanja;

b) sastanci analize usluga IT odjela za rješavanje tekućih pitanja;

c) planovi kontinuiteta poslovanja/oporavka od katastrofe redovito se ažuriraju.

dio 3

Potpisi stranaka i popis Uvoznika podataka

Kada ispunite obrazac za online narudžbu i potvrdite ga kvačicom u polju za prihvaćanje općih uvjeta korištenja, sklapa se ugovor kojim se uređuju odnosi između Kupca i IQUALIF-a.

Slanjem uplate IQUALIF-u ugovor će se smatrati dogovorenim i uspostavljenim.

Imajte na umu: ovaj tekst je preveden s francuskog. Izvorna francuska verzija, koja je važeća i zakonski restriktivna, dostupna je ovdje .