Kodex ochrany osobních údajů společnosti ADP pro služby zpracování klientských údajů

ADP poskytuje Zákazníkům širokou škálu služeb v oblasti lidských zdrojů. ADP se k ochraně Osobních údajů zavázala ve svém Kodexu podnikatelského chování a etiky.

Tento Kodex ochrany Osobních údajů společnosti ADP pro služby zpracování údajů Zákazníků definuje, jak se tento závazek uplatňuje na zpracování Osobních údajů týkajících se Zaměstnanců zákazníků, které společnost ADP provádí v souvislosti s poskytování služeb Zákazníkům a s Podpůrnými klientskými činnostmi. V tomto rámci společnost ADP zpracovává Klientské údaje jakožto Zpracovatel pro Zákazníky.

Pokud jde o pravidla platná pro zpracování Osobních údajů, která ADP zpracovává jako Správce, tedy údajů týkajících se Fyzických osob, s nimiž je ADP v obchodním vztahu (např. Fyzické osoby zastupující Zákazníky, Dodavatele, Obchodní partnery ADP, další Profesionálové a spotřebitelé) a dalších Fyzických osob, jejichž Osobní údaje ADP v rámci svého podnikání zpracovává jakožto Správce Osobních údajů, viz Kodex ochrany osobních údajů v obchodním styku.

Článek 1 - Rozsah platnosti a provádění předpisu

Rozsah platnosti - platnost pro údaje v rámci EHP

1.1

Tento Kodex pojednává o zpracování Osobních údajů Zaměstnanců zákazníků společností ADP jakožto Zpracovatelem pro Zákazníky v rámci poskytování služeb Zákazníkům v případech, kdy tyto Osobní údaje (a) podléhají Platným předpisům EHP (nebo Platným předpisům EHP podléhaly před předáním Osobních údajů Společnosti ve skupině se sídlem mimo EHP ve státě, který příslušné orgány EHP nepovažují za stát s dostatečnou úrovní ochrany Osobních údajů); a (b) jsou zpracovávány na základě smlouvy o poskytování služeb, která výslovně stanoví, že se tento Kodex na dané Osobní údaje vztahuje.

V případě pochybnosti o platnosti tohoto Kodexu musí příslušný Pracovník odpovědný za ochranu Osobních údajů před zpracováním požádat o radu Globální tým ochrany osobních údajů a řízení.

Zpracování

v elektronické a v papírové formě

1.2

Tento Kodex se vztahuje na zpracování údajů Zákazníků společnosti ADP elektronickými prostředky i v soustavně dostupných zakládacích systémech na papíře.

Platnost místních předpisů

1.3

Nic v tomto Kodexu nesmí být vykládáno tak, že by Zaměstnance zákazníka zbavovalo práv či právních prostředků, které jim případně přísluší dle Platných předpisů. V případech, kdy Platné předpisy poskytují vyšší úroveň ochrany než tento Kodex, platí příslušná ustanovení Platných předpisů. Tam, kde tento Kodex poskytuje větší ochranu než Platné předpisy, anebo poskytuje Fyzickým osobám další pojistky, práva nebo právní prostředky, platí tento

Kodex.

Interní předpisy a pokyny

1.4

Společnost ADP může tento Kodex doplňovat interními směrnicemi, normami, příkazy a pokyny, které jsou s ním slučitelné.

Odpovědnost

1.5

Tento Kodex je pro ADP závazný. Příslušní Odpovědní vedoucí jsou odpovědni za dodržování tohoto Kodexu v organizacích, které řídí. Tento Kodex musí dodržovat všichni Zaměstnanci ADP.

Datum účinnosti

1.6

Tento Kodex schválil Právní ředitel na základě návrhu Globálního ředitele pro ochranu osobních údajů a následně jej schválilo Vrcholové vedení ADP. Tento Kodex nabývá účinnosti dnem 11.4.2018 (dále jen Datum účinnosti). Tento Kodex (včetně seznamu Společností ve skupině, které se podílejí na zpracování údajů Zákazníků) bude zveřejněn na stránkách xxx.xxx.xxx. Na vyžádání bude také poskytnut Fyzickým osobám.

Tento Kodex bude skupina ADP zavádět do praxe v termínech uvedených v Článku 6.

Dosavadní předpisy

1.7

Tento Kodex doplňuje dosavadní předpisy ADP o ochraně Osobních údajů a v rozsahu, v jakém jsou s tímto Kodexem v rozporu, dosavadní ustanovení ruší a nahrazuje.

Úloha Pověřeného subjektu ADP

1.8

Společnost Automatic Data Processing, Inc. pověřila společnost ADP Nederland B.V., se sídlem Lylantse Baan 1, 2908 LG CAPELLE AAN DEN IJSSEL, Nizozemí, jakožto Pověřený subjekt ADP, jehož úkolem bude zajišťovat dodržování tohoto Kodexu v rámci skupiny ADP, a společnost ADP

Nederland toto pověření přijala.

Článek 2 - Smlouva o poskytování služeb

Smlouva o poskytování služeb, Subdodavatelé zpracování

2.1

ADP bude údaje Zákazníků zpracovávat výhradně na základě smlouvy o poskytování služeb, která zahrnuje i povinná smluvní ustanovení dle Platných předpisů pro Zpracovatele údajů, a to pro povolené účely uvedené v článku 4. Smluvní subjekt ADP využívá při běžném poskytování služeb Zákazníkům subdodavatelských zpracovatelů, a to jak v rámci skupiny, tak i externích. Smlouvy o poskytování služeb uzavřené ADP musí využití těchto subdodavatelů umožňovat, za podmínky, že smluvní subjekt ADP zůstane vůči Zákazníkovi odpovědný za to, že subdodavatelé budou plnit v souladu s podmínkami smlouvy o poskytování služeb. Využívání subdodavatelů zpracování dále upravují ustanovení článku 7.

Zánik smlouvy o

2.2

Po ukončení poskytování služeb danému Zákazníkovi je ADP povinna vůči

poskytování služeb

tomuto Zákazníkovi splnit povinnosti stanovené ve smlouvě o poskytování služeb, tj. vrátit Zákazníkovi Klientské údaje tak, že mu poskytne údaje nezbytné pro pokračování jeho podnikatelské činnosti (pokud již nebyly údaje Zákazníkovi předány nebo poskytnuty dříve pomocí příslušné počítačové funkce, např. možnosti si Klientské údaje stáhnout).

Po splnění závazků ADP ze smlouvy o poskytování služeb je ADP povinna zbývající kopie Klientských údajů bezpečným způsobem zlikvidovat, a (na vyžádání Zákazníka) o tom Zákazníkovi vystavit potvrzení. ADP si může ponechat kopii Klientských údajů, pokud jí to ukládají Platné předpisy, pokud k tomu Zákazník udělil souhlas, anebo pokud je potřebuje k řešení sporů. ADP nadále nebude Klientské údaje zpracovávat, kromě rozsahu, v jakém je to nutné k výše uvedeným účelům. Povinnost utajení, kterou ADP měla dle příslušné smlouvy o poskytování služeb, trvá i po zániku smlouvy, dokud má ADP v držení kopii Klientských údajů.

Audit opatření při zániku smlouvy

2.3

Do 30 dnů po zániku smlouvy o poskytování služeb (pokud příslušný dozorový úřad nevyžaduje jinak) je společnost ADP povinna na žádost Zákazníka nebo příslušného dozorového úřadu umožnit provedení auditu pracoviště, kde zpracování provádí, dle článků 11.2 nebo 11.3 (podle toho, který se na daný případ vztahuje), k ověření, že ADP splnila své povinnosti v souvislosti se

zánikem smlouvy dle článku 2.2.

Článek 3 - Povinnosti dodržování předpisů a pokynů

Pokyny Zákazníka

3.1

ADP bude Klientské údaje zpracovávat pro Zákazníka výhradně v souladu se smlouvou o poskytování služeb, dle veškerých zdokumentovaných pokynů obdržených od Zákazníka, anebo dle potřeby tak, aby dodržela Platné předpisy.

Dodržování Platných předpisů

3.2

ADP bude Klientské údaje zpracovávat v souladu s Platnými předpisy pro Zpracovatele údajů.

ADP je povinna neprodleně a vhodně reagovat na žádosti Zákazníka o součinnost tak, jak jí ukládá zákon, aby mohl Zákazník dodržet své povinnosti dle Platných předpisů pro Správce údajů, v souladu se smlouvou o poskytování služeb.

Porušení, významný nepříznivý

účinek

3.3

Pokud se některá Společnost ve skupině dozví, že je pravděpodobné, že Platné předpisy některého státu mimo EHP vztahující se na Zpracovatele údajů, změna takových předpisů ve státě mimo EHP, anebo pokyn Zákazníka

budou mít významný nepříznivý vliv na schopnost společnosti ADP splnit

povinnosti dle bodů 3.1, 3.2 nebo 11.3, musí o tom tato společnost neprodleně vyrozumět Pověřený subjekt ADP a Zákazníka; v takovém případě je Zákazník dle tohoto Kodexu oprávněn dočasně pozastavit předávání Klientských údajů společnosti ADP tak dlouho, dokud nebude příslušné zpracování upraveno tak, aby bylo porušení odstraněno. V případě, že úprava není možná, má Zákazník právo od příslušné části zpracování prováděného ADP odstoupit v souladu s podmínkami smlouvy o poskytování služeb. Tato práva a povinnosti neplatí v případě, kdy jsou dané okolnosti nebo změna předpisů Platných pro Zpracovatele údajů důsledkem zákonných povinností.

Požadavek na předání Klientských údajů

3.4

Obdrží-li ADP od orgánu činného v trestním řízení nebo státního bezpečnostního orgánu státu mimo EHP či nadnárodního orgánu požadavek na předání Klientských údajů, nejprve v každém jednotlivém případě posoudí, zda má požadavek oporu v zákoně, a zda je pro ADP závazný. Proti veškerým požadavkům, které nemají oporu v zákoně a nejsou pro ADP závazné, se bude společnost bránit v souladu s Platnými předpisy.

Za podmínek stanovených v následujícím odstavci ADP o každém takovém právně podloženém a pro ADP závazném požadavku uvedených orgánů neprodleně informuje Zákazníka, Hlavní dozorový úřad a dozorový úřad příslušný pro Zákazníka dle Článku 11.3, a požádá žádající orgán, aby přiměřenou dobu posečkal, aby mohl Hlavní dozorový úřad vydat vyjádření o přípustnosti požadovaného předání údajů.

Je-li odklad výkonu právně podloženého a závazného požadavku na předání údajů a/nebo jeho oznámení Hlavnímu dozorovému úřadu zakázáno, např. v případě trestního řízení, s cílem utajení šetření v trestní věci, požádá ADP příslušný orgán, aby od zákazu upustil, a zdokumentuje skutečnost, že takovou žádost předložila. ADP každý rok předloží Hlavnímu dozorovému úřadu obecné informace o počtu a druhu požadavků na předání údajů, které od uvedených orgánů za poslední období 12 měsíců obdržela.

Tento článek se nevztahuje na požadavky, které ADP obdrží od příslušných orgánů v rámci své běžné činnosti jakožto poskytovatel služeb personální agendy (např. soudní příkazy ke srážkám ze mzdy), které může ADP i nadále plnit v souladu s Platnými předpisy, smlouvou o poskytování služeb a pokyny Zákazníka.

Dotazy Zákazníka

3.5

ADP je povinna neprodleně a řádně zodpovídat dotazy Zákazníka týkající se zpracování Klientských údajů v souladu s podmínkami smlouvy o poskytování služeb.

Článek 4 - Účely zpracování údajů

Oprávněné obchodní účely

4.1

ADP zpracovává Osobní údaje (včetně Zvláštních kategorií Osobních údajů) týkající se Zaměstnanců zákazníků v rozsahu nezbytném k poskytování služeb Zákazníkům, Podpůrných klientských činností a pro tyto další účely:

(a) hostování, uchovávání a další zpracování nezbytné ke kontinuitě činnosti a k obnově v případě ztráty dat, včetně pořizování záložních a archívních kopií Osobních údajů;

(b) správa a zabezpečení systémů a sítí, včetně monitoringu infrastruktury, správy identit a přístupových údajů, ověřování a autentizace, a omezení přístupu;

(c) průběžná i jiná kontrola nezbytná k zabezpečení transakcí a jejich zajištění proti narušení (např. finanční transakce a činnosti převodu peněz), včetně účelů due diligence (např. ověření totožnosti Fyzické osoby a jejího oprávnění obdržet produkty nebo služby (např. ověření, že je zaměstnancem dané společnosti, nebo stavu účtu);

(d) vymáhání plnění smluv a ochrana společnosti ADP, jejích Zaměstnanců, zákazníků, Zaměstnanců zákazníků a veřejnosti proti krádežím, hmotné odpovědnosti, podvodům nebo zneužití, včetně: (i) odhalování, šetření, prevence a zmírňování následků dokonaných trestných činů nebo pokusů o finanční podvody, krádeže totožnosti a další činy ohrožující finanční a hmotný majetek, přístupové údaje a informační systémy; (ii) účasti na externích iniciativách zaměřených na počítačovou bezpečnost, boj proti podvodům a proti legalizaci výnosů z trestné činnosti; a (iii) v nezbytném rozsahu k ochraně životně důležitých zájmů Fyzických osob, např. upozornění těchto osob na zjištěné ohrožení zabezpečení;

(e) realizace a řízení interních postupů ADP, které vedou k okrajovému zpracování údajů Zákazníků za účelem:

(1) interního auditu a konsolidovaného výkaznictví;

(2) dodržení Platných předpisů, vč. povinných hlášení, použití a předávání informací, které nařizují Platné předpisy;

(3) anonymizace dat a jejich následné agregace pro účely minimalizace dat a analýzy služeb;

(4) použití anonymizovaných a agregovaných dat povolené Zákazníky za účelem analýzy, pokračování a zlepšování produktů a služeb ADP; a

(5) podpory řízení firmy, vč. sloučení, splynutí, převodu části podniku a zakládání společných podniků.

Článek 5 - Požadavky na zabezpečení

Zabezpečení dat

5.1

ADP použije na ochranu Klientských údajů proti zneužití nebo náhodnému, nezákonnému či nepovolenému zničení, ztrátě, pozměnění, vyzrazení, získání či přístupu během zpracování taková vhodná technická, fyzická a organizační opatření, jaká po ní lze z obchodního hlediska přiměřeně požadovat; tato opatření musí splňovat požadavky Platných předpisů EHP, anebo přísnější předpisy, pokud to smlouva o poskytování služeb stanoví. Společnost ADP je v každém případě povinna přijmout opatření uvedená v příloze č. 2 tohoto Kodexu; ADP může tato opatření změnit za podmínky, že dané změny podstatným způsobem nesníží úroveň zabezpečení poskytnutou Klientským údajům na základě přílohy 2.

Přístup k údajům a utajení

5.2

Zaměstnanci budou mít oprávnění přístupu ke Klientským údajům pouze v rozsahu nezbytném k plnění příslušných účelů zpracování údajů dle článku 4. ADP zaváže Zaměstnance, kteří budou mít ke Klientským údajům přístup, k mlčenlivosti.

Hlášení Porušení zabezpečení osobních údajů

5.3

ADP je povinna Zákazníka vyrozumět o Porušení zabezpečení údajů bez zbytečného odkladu poté, co se dozví, že k takovému Porušení došlo, pokud příslušník orgánu činného v trestním řízení nebo dozorový úřad neurčí, že by oznámení bránilo vyšetřování trestného činu, ohrozilo bezpečnost státu nebo vedlo k narušení důvěry v příslušné odvětví. V takovém případě bude oznámení provedeno později dle pokynů daného orgánu činného v trestím řízení nebo dozorového úřadu. ADP je povinna neprodleně odpovídat na

dotazy Zákazníků týkající se takového Porušení zabezpečení údajů.

Článek 6 - Transparentnost vůči Zaměstnancům zákazníka

Další požadavky Zaměstnanců zákazníka

6.1

ADP je povinna neprodleně vyrozumět Zákazníka o požadavcích nebo stížnostech týkajících se zpracování Osobních údajů prováděného společností ADP, které obdrží přímo od Zaměstnanců zákazníka, aniž by na tyto požadavky či stížnosti odpovídala, není-li ve smlouvě o poskytování služeb nebo v pokynech Zákazníka stanoveno jinak.

Má-li od Zákazníka ve smlouvě o poskytování služeb pokyn na požadavky a stížnosti Zaměstnanců zákazníka odpovídat, musí ADP zajistit, aby Zaměstnanci zákazníka obdrželi veškeré přiměřeně potřebné informace (např. kontaktní místo a postup) tak, aby mohli svůj požadavek nebo stížnost skutečně podat.

Ustanovení tohoto článku 6.1 se nevztahují na požadavky, které ADP řeší při běžném poskytování služeb Zákazníkům a Podpůrných klientských činností.

Článek 7 - Subdodavatelé zpracování

Smlouvy o subdodavatelském zpracování s externími subjekty	7.1	Externí subdodavatelé zpracování mohou údaje Zákazníků zpracovávat pouze na základě smlouvy o subdodavatelském zpracování. Smlouva o subdodavatelském zpracování musí Externímu zpracovateli ukládat podmínky ve věci ochrany dat, které nejsou méně přísné, než jaké ukládá smlouva o poskytování služeb a tento Kodex smluvnímu subjektu ADP.
Zveřejnění přehledu Subdodavatelů zpracování	7.2	ADP zveřejní přehled kategorií Subdodavatelů zpracování, kteří se podílejí na poskytování příslušných služeb Zákazníkům, na příslušných internetových stránkách ADP. V případě změn bude tento přehled bezodkladně aktualizován.
Oznámení o nových Subdodavatelích zpracování a právo vznést námitku	7.3	ADP Zákazníka vyrozumí o veškerých nových Subdodavatelích zpracování, s nimiž ADP uzavře smlouvu za účelem poskytování služeb Zákazníkovi. Do 30 dnů od doručení uvedeného oznámení může Zákazník proti danému Subdodavateli zpracování vznést námitku písemným sdělením zaslaným ADP, v němž uvede objektivní a prokazatelné důvody související s neschopností daného Zpracovatele ochránit Klientské údaje v souladu s příslušnými závazky ve smlouvě o subdodavatelském zpracování uvedené v čl. 7.1. V případě, že strany nenaleznou řešení přijatelné pro obě strany, ADP buď neposkytne danému Subdodavateli zpracování přístup k údajům tohoto Zákazníka, anebo umožní Zákazníkovi odstoupit od smlouvy o příslušných službách v souladu s podmínkami smlouvy o poskytování služeb.
Výjimka	7.4	Ustanovení tohoto článku 7 neplatí v případě, že Zákazník udělí společnosti ADP pokyn umožnit Třetí osobě zpracování Klientských údajů na základě smlouvy, kterou Zákazník uzavřel přímo s danou Třetí osobou (např. externím poskytovatelem zaměstnaneckých benefitů).

Článek 8 - Dozor a dodržování předpisů

Globální ředitel pro

ochranu osobních údajů

8.1

Skupina ADP má Globálního ředitele pro ochranu osobních údajů, jehož úkoly jsou:

(a) předsedá Radě pro ochranu osobních údajů;

(b) dohlíží na dodržování tohoto Kodexu;

(c) dohlíží, koordinuje, komunikuje a konzultuje otázky ochrany Osobních údajů s příslušnými členy Sítě ochrany osobních údajů;

(d) předkládá Vrcholovému vedení ADP výroční zprávy o rizicích a dodržování předpisů v oblasti ochrany Osobních údajů;

(e) koordinuje úřední šetření nebo řešení dotazů státních orgánů týkající se zpracování Klientských údajů, společně s příslušnými členy Sítě ochrany

osobních údajů a právním oddělením ADP;

(f) řeší rozpory mezi tímto Kodexem a Platnými předpisy;

(g) průběžně kontroluje postup provádění posouzení vlivu na ochranu Osobních údajů a dle potřeby tato posouzení reviduje;

(h) průběžně kontroluje dokumentaci, hlášení a oznamování Porušení zabezpečení osobních údajů;

(i) poskytuje poradenství o procesech, systémech a nástrojích správy dat pro realizaci řídícího rámce ochrany Osobních údajů tak, jak jej stanovila Rada pro ochranu Osobních údajů, včetně:

(1) udržování, aktualizace a vydávání tohoto Kodexu a souvisejících směrnic a norem;

(2) poskytování poradenství o nástrojích pro vytváření, údržbu a aktualizaci přehledů obsahujících informace o struktuře a fungování všech systémů, které zpracovávají Klientské údaje;

(3) poskytování, podpory nebo poradenství ve věci školení Zaměstnanců o ochraně Osobních údajů tak, aby znali své úkoly dle tohoto Kodexu a plnili je;

(4) v koordinaci s oddělením interního auditu ADP a s dalšími, vývoj a údržba vhodného zajišťovacího programu s cílem kontrolovat dodržování tohoto Kodexu, provádět o něm audity a vykazovat jeho dodržování, s jehož pomocí může ADP dle potřeby dodržování Kodexu ověřovat a osvědčovat;

(5) dle potřeby zavádění postupů k řešení dotazů, problémů a stížností v oblasti ochrany Osobních údajů; a

(6) poradenství ve věci vhodných sankcí za porušení tohoto Kodexu (např. kázeňské normy).

Síť ochrany osobních údajů

8.2

ADP vytvoří Síť ochrany osobních údajů dostatečnou k tomu, aby usměrňovala dodržování tohoto Kodexu v rámci celosvětové organizace ADP.

Síť ochrany osobních údajů bude vytvářet a udržovat rámec, který bude pomáhat Globálnímu řediteli pro ochranu osobních údajů a dohlížet na úkoly stanovené v článku 8.1 i na další případně potřebné k údržbě a aktualizaci tohoto Kodexu. Členové Sítě ochrany osobních údajů budou dle své funkce v daném regionu nebo organizaci plnit tyto další úkoly:

(a) dohlíží na zavádění procesů, systémů a nástrojů správy dat, které umožňují dodržování tohoto Kodexu ve společnostech skupiny ADP v příslušných oblastech či organizacích;

(b) podporují a vyhodnocují celkové zajišťování a dodržování ochrany Osobních údajů ve společnostech skupiny ve svých regionech;

(c) pravidelně informují příslušné zástupce pro ochranu osobních údajů a Globálního ředitele pro ochranu osobních údajů o regionálních nebo místních rizicích v oblasti ochrany Osobních údajů a problémech s dodržováním předpisů;

(d) kontrolují, zda jsou udržovány příslušné přehledy systémů zpracovávajících Klientské údaje;

(e) jsou k dispozici pro řešení požadavků na schválení nebo poradenství v oblasti ochrany Osobních údajů;

(f) poskytují Globálnímu řediteli pro ochranu osobních údajů potřebné informace pro zpracování výroční zprávy o ochraně Osobních údajů;

(g) pomáhají Globálnímu řediteli pro ochranu osobních údajů v případě úředních šetření nebo dotazů státních orgánů;

(h) zpracovávají a vydávají směrnice a normy ochrany Osobních údajů vhodné pro své regiony či organizace;

(i) poskytují Společnostem ve skupině rady o archivaci a likvidaci údajů;

(j) informují Globálního ředitele pro ochranu osobních údajů o stížnostech a pomáhají při jejich řešení; a

(k) pomáhají Globálnímu řediteli pro ochranu osobních údajů, dalším členům Sítě ochrany osobních údajů, Zástupcům pro ochranu osobních údajů a jiným osobám dle potřeby, s cílem:

(1) zajistit, aby společnosti nebo organizace ve skupině mohly dodržovat Kodex s použitím vytvořených pokynů, nástrojů a školení;

(2) předávat nejlepší praxi v oblasti zajišťování ochrany Osobních údajů v rámci regionu;

(3) potvrzovat, že se k požadavkům ochrany Osobních údajů přihlíží vždy, když společnosti či organizace ve skupině zavádějí nové produkty a služby; a

(4) pomáhat Zástupcům pro ochranu osobních údajů, Společnostem ve skupině, dalším podnikatelským subjektům, odborným útvarům a Pracovníkům nákupu při využívání Subdodavatelů zpracování.

Zástupci pro ochranu osobních údajů

8.3

Zástupci pro ochranu osobních údajů jsou vedoucí Pracovníci ADP, které Odpovědný vedoucí a/nebo Vrcholové vedení ADP pověřili, aby zaváděli Kodex v rámci podnikatelského subjektu nebo odborného útvaru ADP a zajišťovali jeho dodržování. Zástupci pro ochranu osobních údajů jsou odpovědni za skutečné uplatňování Kodexu v příslušném podnikatelském subjektu nebo odborném útvaru. Zejména musí Zástupci pro ochranu osobních údajů kontrolovat, zda jsou do všech obchodních postupů ovlivňujících

Klientské údaje integrovány účinné kontrolní mechanismy pro zajištění ochrany

Osobních údajů, a že jsou k plnění povinností vyplývajících z tohoto Kodexu zajištěny odpovídající finanční i materiální zdroje. Zástupci pro ochranu osobních údajů mohou své úkoly delegovat a jsou povinni přidělovat vhodné zdroje dle potřeby tak, aby plnili své povinnosti a dosahovali cílů dodržování předpisů.

Zástupci pro ochranu osobních údajů mají tyto úkoly:

(a) průběžně kontrolují celkové zajišťování a dodržování ochrany Osobních údajů v příslušné Společnosti ve skupině, jiném podnikatelském subjektu nebo odborném útvaru, a kontrolují, zda jsou účinně zavedeny veškeré procesy, systémy a nástroje vytvořené Globálním týmem ochrany osobních údajů a řízení;

(b) potvrzují, že jsou úkoly zajišťování a dodržování ochrany Osobních údajů řádně delegovány, a to jak v běžném provozu, tak i po reorganizaci, subdodavatelském zajištění služeb, sloučení, akvizicích či odprodejích části podniku;

(c) spolupracují s Globálním ředitelem pro ochranu osobních údajů a s příslušnými členy Sítě ochrany osobních údajů s cílem seznámit se s novými požadavky předpisů a řešit je, a kontrolují, zda jsou procesy zajišťování ochrany Osobních údajů aktualizovány s ohledem na měnící se podmínky a požadavky zákonů a předpisů;

(d) konzultují s Xxxxxxxxx ředitelem pro ochranu osobních údajů a příslušnými členy Sítě ochrany osobních údajů ve všech případech, kdy existuje skutečný nebo potenciální rozpor mezi Platnými předpisy a tímto Kodexem;

(e) kontrolují Subdodavatele zpracování používané příslušnou Společností ve skupině, podnikatelským subjektem či odborným útvarem, k ověření soustavného dodržování tohoto Kodexu a smluv o subdodavatelském zpracování ze strany subdodavatelů;

(f) kontrolují, zda všichni Pracovníci dané Společnosti ve skupině, podnikatelského subjektu či odborného útvaru prošli povinnými školeními o ochraně Osobních údajů; a

(g) přikazují, aby byly uchovávané Klientské údaje vymazány, zničeny, anonymizovány či předány dle článku 2.2.

Odpovědní vedoucí

8.4

Odpovědní vedoucí jakožto vedoucí podnikatelských subjektů nebo odborných útvarů jsou odpovědni za zajištění účinné ochrany Osobních údajů v organizacích, které řídí. Každý Odpovědný vedoucí je povinen (a) jmenovat příslušné Zástupce pro ochranu osobních údajů, (b) zajistit dostatečné finanční a materiální zdroje k zajištění dodržování předpisů, a (c) dle potřeby poskytnout Zástupcům pro ochranu osobních údajů podporu při řešení nedostatků a řízení

rizik.

Rada pro ochranu osobních údajů

8.5

Globální ředitel pro ochranu osobních údajů předsedá Radě pro ochranu osobních údajů, která se skládá ze Zástupců pro ochranu osobních údajů, členů Sítě ochrany osobních údajů vybraných Xxxxxxxxx ředitelem pro ochranu osobních údajů a dalších osob, které mohou při plnění úkolů Rady pomoci. Rada pro ochranu osobních údajů vytváří a udržuje vhodný rámec na podporu úkolů tak, aby mohly Společnosti ve skupině, podnikatelské subjekty a odborné útvary tento Kodex dodržovat, plnit úkoly v něm stanovené a poskytovat podporu Xxxxxxxxxx řediteli pro ochranu osobních údajů.

Náhradní členové Sítě ochrany osobních údajů a Zástupci pro ochranu osobních údajů

8.6

Pokud v určitou chvíli není funkce Globálního ředitele pro ochranu osobních údajů obsazena nebo ředitel není schopen své úkoly plnit, jmenuje Právní ředitel dočasného Globálního ředitele pro ochranu osobních údajů. Pokud v určitou chvíli neexistuje člen Sítě ochrany osobních údajů jmenovaný pro určitý region nebo organizaci, bude úkoly tohoto člena Sítě ochrany osobních údajů stanovené v článku 8.2 plnit Globální ředitel pro ochranu osobních údajů.

Pokud v určité chvíli není pro určitou Společnost ve skupině, podnikatelský subjekt nebo odborný útvar jmenován Zástupce pro ochranu osobních údajů, jmenuje Odpovědný vedoucí vhodnou osobu, která bude plnit úkoly stanovené v článku 8.3.

Funkce ze zákona

8.7

V případě, že členové Sítě ochrany osobních údajů, např. pověřenci pro ochranu osobních údajů dle Platných předpisů EHP, zastávají své funkce na základě zákona, plní úkoly vyplývající ze svého pracovního zařazení v takovém

rozsahu, v jakém nejsou ve střetu s příslušnou funkcí ze zákona.

Článek 9 - Směrnice a postupy

Směrnice a postupy

9.1

ADP bude vytvářet a zavádět do praxe směrnice, normy, pokyny a postupy s cílem dodržování tohoto Kodexu.

Informační systém

9.2

ADP bude udržovat snadno dostupné informace o struktuře a fungování všech systémů a procesů, které zpracovávají Klientské údaje, např. přehledy systémů a procesů s vlivem na Klientské údaje, spolu s informacemi vytvořenými při posouzeních vlivu na ochranu Osobních údajů. Jedno vyhotovení těchto informací bude na vyžádání předáno Hlavnímu dozorovému úřadu nebo

dozorovému úřadu příslušnému pro daného Zákazníka.

Článek 10 - Školení

Školení

10.1

ADP poskytne všem Pracovníkům, kteří mají ke Klientským údajům přístup nebo mají úkoly související se zpracováním Klientských údajů, školení o

povinnostech a zásadách stanovených v tomto Kodexu.

Článek 11 - Kontrola a audit dodržování Kodexu

Interní audity

11.1

ADP bude provádět pravidelné audity podnikatelských procesů a postupů zahrnujících zpracování Klientských údajů, z hlediska dodržování tohoto Kodexu. Zejména:

(a) audity mohou probíhat v rámci běžných činností interního auditu ADP (a to i s použitím nezávislých externích auditorů) a dalších interních týmů plnících zajišťovací funkce, a dále jednorázově na žádost Globálního ředitele pro ochranu osobních údajů;

(b) Globální ředitel pro ochranu osobních údajů si může rovněž vyžádat provedení auditu externím auditorem; informuje o xxx Xxxxxxxxxxx vedoucího příslušného podnikatelského subjektu a/nebo dle potřeby Vrcholové vedení ADP;

(d) o výsledcích auditů bude informován Globální ředitel pro ochranu osobních údajů a příslušný člen Sítě ochrany osobních údajů;

(e) pokud audit odhalí porušování tohoto Kodexu, bude zjištění nahlášeno příslušným Zástupcům pro ochranu osobních údajů a Odpovědným vedoucím. Zástupci pro ochranu osobních údajů budou spolupracovat s Globálním týmem ochrany osobních údajů a řízení na zpracování a realizaci příslušného plánu nápravných opatření;

(f) jedno vyhotovení výsledků auditu ve věci dodržování tohoto Kodexu bude na vyžádání předloženo Hlavnímu dozorovému úřadu nebo

příslušnému dozorovému úřadu dle článku 11.3.

Zákaznický audit

11.2

ADP bude požadavky na provedení zákaznických auditů řešit tak, jak je popsáno v tomto článku 11.2. ADP zodpoví dotazy Zákazníka týkající se zpracování Klientských údajů v ADP. V případě, že se Zákazník důvodně domnívá, že odpovědi poskytnuté ADP vyžadují další analýzu, je ADP po dohodě se Zákazníkem povinna buď:

(a) poskytnout možnost provedení auditu prostor, které využívá ke zpracování Klientských údajů, nezávislým externím hodnotitelem vyslaným Zákazníkem, který bude pro ADP přiměřeně přijatelný a bude vázán povinností mlčenlivosti v rozsahu pro ADP uspokojivém. Zákazník předá jedno vyhotovení zprávy o auditu Globálnímu řediteli pro ochranu osobních údajů; se zprávou bude nakládáno jako s důvěrnými informacemi ADP. Audit může každý Zákazník provádět nejvýše jednou ročně po dobu účinnosti smlouvy o poskytování služeb, a to v běžné pracovní době, za těchto podmínek: (i) písemně o to ADP požádá nejméně 45 dnů před požadovaným datem auditu; (ii) předloží podrobný písemný plán auditu, který zkontroluje a schválí bezpečnostní útvary ADP; a (iii) bude dodržovat bezpečnostní pravidla v prostorách ADP. Takové audity budou probíhat jedině v přítomnosti zástupce Globální bezpečnostní kanceláře ADP, Globálního týmu ochrany osobních údajů a řízení ADP nebo osoby jmenované příslušným zástupcem. Audity nesmí narušit činnosti zpracování v ADP ani ohrozit bezpečnost a utajení Osobních údajů náležejících jiným Zákazníkům ADP; nebo

(b) ADP Zákazníkovi předloží prohlášení vystavené kvalifikovaným nezávislým externím hodnotitelem osvědčující, že podnikatelské procesy a postupy ADP zahrnující zpracování Klientských údajů jsou v souladu s tímto Kodexem.

Za takové audity může ADP Zákazníkům účtovat přiměřený poplatek.

Tento článek 11.2 doplňuje a vyjasňuje práva auditu, která Zákazníci případně mají na základě Platných předpisů nebo smluv o poskytování služeb. V případě rozporu mají přednost ustanovení Platných předpisů a smluv o poskytování služeb.

Audity orgánů ochrany osobních údajů

11.3

Kterýkoli úřad pro ochranu osobních údajů některého státu EHP, který je příslušný k provedení auditu u některého Zákazníka ADP, je oprávněn provádět audit příslušného předávání údajů z hlediska souladu s tímto Kodexem, a to za stejných podmínek, jaké by platily pro audit prováděný tímto orgánem u daného Zákazníka dle příslušných předpisů vztahujících se na

Správce osobních údajů.

Pro usnadnění takového auditu:

(a) ADP a Zákazník budou v dobré víře spolupracovat s cílem vyřešit požadavek tím, že dozorovému úřadu poskytnou informace, např. zprávy o auditu ADP, a podpoří jednání mezi dozorovým úřadem a odborníky na danou problematiku v ADP a u Zákazníka, kteří mohou prověřit zabezpečení, ochranu Osobních údajů a zavedené provozní kontrolní mechanismy. Zákazník bude mít přístup ke svým Klientským údajům v souladu se smlouvou o poskytování služeb a může tento přístup delegovat na zástupce dozorového úřadu;

(b) jsou-li informace dostupné těmito kanály k řešení uváděných cílů dozorového úřadu nedostatečné, poskytne ADP tomuto úřadu možnost komunikovat s auditorem ADP;

(c) pokud ani to nestačí, poskytne ADP dozorovému úřadu po vyrozumění přiměřenou dobu předem možnost přímo si prohlédnout zařízení ADP používané ke zpracování Klientských údajů, a to v pracovní době a při plném dodržení důvěrného charakteru získaných informací a obchodních tajemství společnosti ADP. Dozorový úřad má přístup pouze ke Klientským údajům patřícím danému Zákazníkovi.

Tento článek 11.3 doplňuje a vyjasňuje práva auditu, která dozorové úřady případně mají na základě Platných předpisů nebo smluv o poskytování služeb. V případě rozporu mají přednost ustanovení Platných předpisů.

Výroční zpráva

11.4

Globální ředitel pro ochranu osobních údajů zpracuje pro Vrcholové vedení ADP výroční zprávu o dodržování tohoto Kodexu, rizicích v oblasti ochrany Osobních údajů a dalších relevantních tématech. Zpráva bude obsahovat informace poskytnuté Sítí ochrany osobních údajů a dalšími ve věci místních změn a konkrétní problematiky v jednotlivých společnostech skupiny.

Zmírnění následků

11.5

ADP přijme vhodné kroky k řešení všech případů nedodržení tohoto Kodexu zjištěných při auditech zaměřených na jeho dodržování.

Článek 12 - Právní otázky

Práva Zaměstnanců Zákazníků

12.1

Pokud ADP poruší tento Kodex ve věci Osobních údajů Zaměstnance zákazníka, na které se tento Kodex vztahuje, může se daný Zaměstnanec zákazníka jakožto Třetí osoba, jíž tento Kodex svědčí, domáhat článků 1.5, 1.6, 2.1, 2.2, 3, 5, 6, 7.1, 7.3, 7.4, 11.2, 11.3, 12.1, 12.2, 12.3, 12.5, 12.7, 12.8, a

14.3 tohoto Kodexu zpracovatele proti smluvnímu subjektu ADP.

V rozsahu, v jakém se Zaměstnanec zákazníka může těchto práv domáhat vůči

smluvnímu subjektu ADP, se smluvní subjekt ADP nemůže vyhnout odpovědnosti poukazem na skutečnost, že své povinnosti porušil Subdodavatel zpracování, s výjimkou rozsahu, v jakém obhajoba Subdodavatele zpracování bude představovat i obhajobu ADP. ADP však může uplatnit veškeré právní prostředky nebo práva, která by měl i Zákazník. ADP může při obhajobě proti nároku poškozené Fyzické osoby uplatnit i prostředky, které by ADP mohla uplatnit vůči Zákazníkovi (např. podíl na nedbalostním jednání).

Postup vyřizování stížností

12.2

Zaměstnanci zákazníka mohou ve věci nároků dle článku 12.1 podat písemnou stížnost Globálnímu týmu ochrany osobních údajů a řízení, a to e-mailem na adresu uvedenou na konci tohoto Kodexu. Zaměstnanec zákazníka může také podat stížnost nebo uplatnit nárok u orgánů a soudů dle článku 12.3 tohoto Kodexu.

Za řešení stížností je odpovědný Globální tým ochrany osobních údajů a řízení. Každá stížnost bude přidělena vhodnému Pracovníkovi (v rámci Globálního týmu ochrany osobních údajů a řízení nebo v příslušném podnikatelském subjektu či odborném útvaru). Tito Pracovníci:

(a) neprodleně potvrdí obdržení stížnosti;

(b) stížnost analyzují a v případě potřeby zahájí šetření;

(c) je-li stížnost důvodná, informují příslušného Zástupce pro ochranu osobních údajů a příslušného člena Sítě ochrany osobních údajů tak, aby bylo možno zpracovat a realizovat plán nápravy; a

(d) vedou evidenci o všech obdržených stížnostech, odpovědích na ně a opatřeních přijatých společností ADP.

ADP vynaloží takové úsilí, jaké po ní lze spravedlivě požadovat, na vyřešení stížností bez zbytečného odkladu tak, aby Zaměstnanec zákazníka obdržel odpověď do čtyř týdnů od data podání stížnosti. Odpověď bude písemná a bude Zaměstnanci zákazníka zaslána stejným způsobem, jakým Zaměstnanec zákazníka původně ADP kontaktoval (např. poštou nebo e- mailem). V odpovědi budou uvedeny kroky, které ADP přijala v rámci šetření stížnosti, a dále rozhodnutí ADP o tom, jaké kroky (pokud nějaké) na základě stížnosti přijme.

V případě, že po ADP nelze spravedlivě požadovat, aby šetření provedla a odpověď zaslala do čtyř týdnů, informuje do čtyř týdnů Zaměstnance zákazníka o tom, že šetření probíhá, a že dostane odpověď v následujících osmi týdnech.

Není-li Zaměstnanec zákazníka s odpovědí ADP na stížnost spokojen (např. je- li jeho požadavek zamítnut), anebo nedodrží-li ADP podmínky postupu řešení stížností stanovené v tomto článku 12.2, může Zaměstnanec zákazníka podat

stížnost nebo žalobu u orgánů a soudů dle článku 12.3.

Příslušnost soudu pro žaloby Zaměstnanců zákazníků

12.3

Zaměstnanci zákazníků jsou vyzýváni, aby před podáním stížnosti k příslušnému úřadu nebo žaloby k soudu použili postup stížností uvedený v článku 12.2 tohoto Kodexu.

Zaměstnanci zákazníků mohou dle vlastního uvážení podat stížnost/žalobu dle článku 12.1 k:

(i) dozorovému úřadu ve státě svého obvyklého pobytu, pracoviště nebo místa, kde došlo k porušení, proti smluvnímu subjektu ADP nebo Pověřenému subjektu ADP; nebo

(ii) Hlavnímu dozorovému úřadu nebo soudům v Nizozemí, avšak v tomto případě pouze proti Pověřenému subjektu ADP.

Zaměstnanci zákazníků mohou dle vlastního uvážení podat stížnost/žalobu dle článku 12.1 k:

(i) soudům ve státě svého obvyklého pobytu, anebo ve státě, odkud byly údaje dle tohoto Kodexu předány, proti smluvnímu subjektu ADP nebo proti Pověřenému subjektu ADP; nebo

(ii) Hlavnímu dozorovému úřadu nebo soudům v Nizozemí, avšak v tomto případě pouze proti Pověřenému subjektu ADP.

Dozorové úřady a soudy ve sporech rozhodnou dle vlastního hmotného i procesního práva. Volba Zaměstnance zákazníka je bez újmy hmotněprávním nebo procesním právům, které mohou mít strany dle Platných předpisů.

Práva Zákazníků

12.4

Zákazník se může ustanovení tohoto Kodexu domáhat proti (i) smluvnímu subjektu ADP nebo (ii) Pověřenému subjektu ADP u Hlavního dozorového úřadu nebo u soudů v Nizozemí, avšak pouze v případě, že smluvní subjekt nemá sídlo ve státě EHP. Pověřený subjekt ADP zajistí přijetí dostatečných opatření k řešení porušení tohoto Kodexu smluvním subjektem ADP nebo jinou zúčastněnou Společností ve skupině.

Smluvní subjekt ADP a Pověřený subjekt ADP se nemohou vyhnout odpovědnosti poukazem na skutečnost, že své povinnosti porušila jiná Společnost ve skupině nebo Subdodavatel zpracování, s výjimkou rozsahu v jakém bude obhajoba této Společnosti ve skupině nebo Subdodavatele zpracování představovat i obhajobu ADP.

Právní prostředky, důkazní břemeno pro Zaměstnance zákazníka

12.5

V případě, že má Zaměstnanec zákazníka nárok dle článku 12.1, má také nárok na náhradu veškerých škod v rozsahu stanoveném Platnými předpisy v EHP.

Vznesou-li Zaměstnanci zákazníka nároky na náhradu škody dle článku 12.1, je na nich, aby utrpěnou škodu prokázali, a aby prokázali skutečnosti, na jejichž

základě lze s dostatečnou pravděpodobností soudit, že škoda vznikla

		v důsledku porušení tohoto Kodexu. Následně je na smluvním subjektu ADP (případně Pověřeném subjektu ADP), aby prokázal, že škoda, kterou Zaměstnanec zákazníka v důsledku porušení tohoto Kodexu utrpěl, nebyla zaviněna příslušnou Společností ve skupině nebo subdodavatelem zpracování, anebo použil jiné možné prostředky obhajoby.
Náhrada škody	12.6	V případě porušení tohoto Kodexu a s výhradou podmínek smlouvy o
Zákazníkovi		poskytování služeb mají Zákazníci nárok na náhradu přímých škod v souladu
		s ustanoveními smlouvy o poskytování služeb.
Vzájemná součinnost	12.7	Všechny Společnosti ve skupině jsou povinny dle potřeby spolupracovat a poskytnout součinnost v rozsahu, v jakém je to přiměřeně možné, při (a) řešení požadavku, stížnosti nebo žaloby podané Zákazníkem nebo Zaměstnancem zákazníka, nebo (b) zákonném vyšetřování nebo šetření prováděném příslušným státním orgánem.
		Společnost ve skupině, která obdrží žádost o informace dle článku 6.1 nebo stížnost či žalobu dle čl. 12.2 nebo 12.3, zajišťuje veškerou komunikaci se Zákazníkem nebo Zaměstnancem zákazníka ve věci požadavku nebo nároku, s výjimkou případů, kdy okolnosti vyžadují jiný postup, anebo jiný postup nařídí Globální tým ochrany osobních údajů a řízení.
Doporučení a	12.8	ADP bude v dobré víře spolupracovat s Hlavním dozorovým úřadem a
závazná		příslušným dozorovým úřadem a vynaloží veškeré úsilí, které po ní lze
rozhodnutí		spravedlivě požadovat, aby se řídila jejich doporučeními dle čl. 12.3 vydanými
dozorového		ve věci výkladu a platnosti tohoto Kodexu. ADP bude dodržovat závazná
úřadu		rozhodnutí příslušných dozorových úřadů.
Rozhodné právo pro tento Kodex	12.9	Tento Kodex se řídí a musí být vykládán dle práva Nizozemí.

Článek 13 - Sankce za nedodržování Kodexu

Nedodržování Kodexu

13.1

V případě nedodržování tohoto Kodexu Pracovníky mohou být přijata vhodná kázeňská či pracovněprávní opatření v souladu s Platnými předpisy a interními

předpisy ADP, a to včetně ukončení pracovního poměru.

Článek 14 - Rozpory mezi tímto Kodexem a Platnými předpisy pro Zpracovatele

Rozpor mezi tímto Kodexem a předpisy

14.1

V případě rozporu mezi Platnými předpisy vztahujícími se na Zpracovatele údajů a tímto Kodexem konzultuje příslušný Odpovědný vedoucí nebo Zástupce pro ochranu osobních údajů s Xxxxxxxxx ředitelem pro ochranu osobních údajů, příslušným členem nebo členy Sítě ochrany osobních údajů (dle potřeby) a s právním oddělením daného podnikatelského subjektu, aby určili, jak tento Kodex dodržet a v přiměřeně možné míře rozpor vyřešit, s ohledem na zákonné povinnosti, které se na ADP vztahují.

Nové zákonné povinnosti, které jsou s Kodexem v rozporu

14.2

Pracovníci právního oddělení, Pracovníci Business Security a Zástupci pro ochranu osobních údajů neprodleně informují Globální tým ochrany osobních údajů a řízení o veškerých nových požadavcích předpisů, o nichž se doví, a které by mohly být překážkou dodržování tohoto Kodexu společností ADP.

Příslušní Zástupci pro ochranu osobních údajů po konzultaci s právním oddělením neprodleně informují Odpovědné vedoucí o veškerých nových právních povinnostech, které mohou být překážkou dodržování tohoto Kodexu společností ADP.

Hlášení Hlavnímu dozorovému úřadu

14.3

Pokud se ADP dozví, že Xxxxxx předpisy vztahující se na Zpracovatele údajů či změny v předpisech pro Zpracovatele údajů budou mít pravděpodobně podstatný negativní vliv na schopnost společnosti ADP plnit povinnosti dle čl.

3.1, 3.2 nebo 11.3, nahlásí ADP tuto skutečnost Hlavnímu dozorovému úřadu.

Článek 15 - Změny tohoto Kodexu

Schvalování změn

15.1

Veškeré podstatné změny tohoto Kodexu musí předem schválit Globální ředitel pro ochranu osobních údajů a Právní ředitel, poté Vrcholové vedení ADP; následně se předají Společnostem ve skupině. Menší změny Kodexu lze provést na základě předchozího schválení Globálního ředitele pro ochranu osobních údajů. Pověřený subjekt ADP bude změny tohoto Kodexu hlásit Hlavnímu dozorovému úřadu jednou ročně.

V případech, kdy má změna tohoto Kodexu významný vliv na podmínky zpracování v rámci služeb Zákazníkům, bude o tom ADP neprodleně informovat Hlavní dozorový úřad, včetně stručného vysvětlení změny, a změnu oznámí také Zákazníkovi. Do 30 dnů od doručení takového oznámení může Zákazník proti změně vznést námitku písemným oznámením zaslaným ADP. V případě, že se strany nedohodnou na řešení přijatelném pro obě strany, je ADP povinna zavést alternativní řešení předávání údajů. Není-li to možné, má Zákazník na základě tohoto Kodexu právo příslušné předávání Klientských údajů společnosti ADP pozastavit. Není-li pozastavení předávání údajů možné, musí ADP umožnit Zákazníkovi od příslušných služeb odstoupit v souladu s podmínkami smlouvy o poskytování služeb.

Schvalování změn

15.1

V případě, že má některá změna tohoto Kodexu významný vliv na podmínky zpracování v rámci služeb Zákazníkům, ADP o tom neprodleně informuje Hlavní dozorový úřad, včetně stručného vysvětlení změny, a o změně informuje také Zákazníka. Do 30 dnů od doručení takového oznámení může Zákazník proti změně vznést námitku písemným oznámením zaslaným ADP. V případě, že se strany nedohodnou na řešení přijatelném pro obě strany, je ADP povinna zavést alternativní řešení předávání údajů. Není-li to možné, má Zákazník na základě tohoto Kodexu právo příslušné předávání Klientských údajů společnosti ADP pozastavit. Není-li pozastavení předávání údajů možné, musí ADP umožnit Zákazníkovi od příslušných služeb odstoupit v souladu s podmínkami smlouvy o poskytování služeb.

Datum účinnosti změn

15.2

Veškeré změny nabývají účinnosti okamžitě po schválení dle článku 15.1, zveřejnění na stránkách xxx.xxx.xxx a předání Zákazníkům.

Předchozí verze

15.3

Veškeré požadavky, stížnosti nebo žaloby Zaměstnanců zákazníků týkající se tohoto Kodexu se posuzují dle verze Kodexu platné v okamžiku předložení

požadavku, stížnosti či podání žaloby.

Článek 16 - Zavedení a přechodná období

Zavedení

16.1

Na zavádění tohoto Kodexu budou dohlížet Zástupci pro ochranu osobních údajů za pomoci Globálního týmu ochrany osobních údajů a řízení. S níže uvedenými výjimkami bude po datu účinnosti (stanoveném v čl. 1.6) následovat 18měsíční přechodné období k zajištění dodržování tohoto Kodexu.

Na základě toho, není-li uvedeno jinak, musí být veškeré zpracování Klientských údajů do 18 měsíců od data účinnosti prováděno v souladu s tímto Kodexem, a tento Kodex bude plně platný. Během přechodného období nabude Kodex účinnosti pro danou Společnost ve skupině tehdy, až tato společnost dokončí úkoly nezbytné pro jeho plné zavedení a oznámí tuto skutečnost Globálnímu řediteli pro ochranu osobních údajů.

Nové Společnosti ve skupině

16.2

Subjekt, který se po datu účinnosti stane Společností ve skupině, musí začít tento Kodex dodržovat do dvou let od vstupu do skupiny.

Odprodané subjekty

16.3

Na subjekt, který skupinu opustí, se tento Kodex bude i nadále vztahovat po dobu, kterou bude ADP potřebovat k oddělení zpracování Klientských údajů vztahujícího se k odprodanému subjektu.

Přechodné období pro stávající smlouvy

16.4

Tam, kde již existují smlouvy se Subdodavateli zpracování či jinými Třetími osobami, kterých se tento Kodex týká, platí ustanovení těchto smluv do doby, kdy budou obvyklým způsobem obnoveny; ovšem s tím, že tyto smlouvy musí

být v souladu s tímto Kodexem do 18 měsíců od data účinnosti.

Kontaktní údaje

Globální tým ochrany osobních údajů a řízení ADP: xxxxxxx@xxx.xxx

Pověřený subjekt ADP ADP Nederland B.V. Lylantse Baan 1, 2908

LG CAPELLE AAN DEN IJSSEL NIZOZEMÍ

Výklad

VÝKLAD TOHOTO KODEXU:

(i) nevyžaduje-li kontext jinak, veškeré odkazy na články či přílohy jsou odkazy na články, resp. přílohy tohoto dokumentu v platném znění;

(ii) názvy kapitol jsou uvedeny pouze pro přehlednost a nelze je použít k výkladu žádného ustanovení tohoto Kodexu;

(iii) je-li určité slovo nebo slovní spojení definováno, mají stejný význam i jeho ostatní gramatické formy;

(iv) mužský rod zahrnuje i ženský rod;

(v) výrazy "zahrnuje", "obsahuje", "včetně" a veškerá slova za nimi následující je nutno bez omezení vykládat jako vztažená obecně ke slovům či pojmům jim předcházejícím, a naopak;

(vi) pojem "písemný/á/é" zahrnuje veškerou zdokumentovanou komunikaci, písemnost, smlouvu, elektronický záznam, elektronický podpis, výstup z faxu či jiný právně platný a účinný instrument, bez ohledu na formát;

(vii) odkaz na určitý dokument (zejména na tento Kodex) je odkazem na dokument ve znění veškerých změn, dodatků či novel, s výjimkou případů, kdy to tento Kodex nebo příslušný dokument zakazuje; a

(viii) odkaz na předpisy zahrnuje veškeré požadavky předpisů, oborová doporučení a nejlepší praxi vydané příslušnými národními a mezinárodními dozorovými či jinými orgány.

PŘÍLOHA 1 - Definice

Rozhodnutí o odpovídající ochraně

ROZHODNUTÍM O ODPOVÍDAJÍCÍ OCHRANĚ se rozumí jakékoli rozhodnutí některého úřadu pro ochranu Osobních údajů nebo jiného příslušného orgánu o tom, že se má za to, že určitý stát, region nebo příjemce datového přenosu poskytuje Osobním údajům dostatečnou

úroveň ochrany. Mezi subjekty, pro něž existuje Rozhodnutí o

	odpovídající ochraně, patří příjemci nacházející se ve státech, na které se dle Platných předpisů pohlíží tak, že poskytují dostatečnou úroveň ochrany, jakož i příjemci vázaní jiným dokumentem (například závaznými vnitropodnikovými pravidly), který byl schválen příslušným úřadem pro ochranu Osobních údajů nebo jiným příslušným orgánem. V případě Spojených států amerických se Rozhodnutí o odpovídající ochraně vztahuje na společnosti, které získaly certifikaci podle jakéhokoli rámce ochrany Osobních údajů platného pro vztah USA-EHP a/nebo USA-Švýcarsko, jako je například „Privacy Shield“.
ADP (Skupina ADP)	ADP (SKUPINOU ADP) se rozumí společnost Automatic Data Processing, Inc. (mateřská společnost) společně se Společnostmi ve skupině včetně ADP, LLC.
Smluvní subjekt ADP	SMLUVNÍM SUBJEKTEM ADP se rozumí Společnost ve skupině, která uzavřela smlouvu vyžadovanou Kodexy, např. smlouvu o poskytování služeb, smlouvu o subdodavatelském zpracování nebo dohodu o předávání údajů.
Pověřený subjekt ADP	POVĚŘENÝM SUBJEKTEM ADP se rozumí společnost ADP Nederland, B.V., se sídlem na adrese Xxxxxxxx Xxxx 0, 0000 LG CAPELLE AAN DEN IJSSEL, Nizozemí.
Vrcholové vedení ADP	VRCHOLOVÝM VEDENÍM ADP se rozumí výbor vedoucích pracovníků složený z (i) generálního ředitele (CEO) společnosti Automatic Data Processing, Inc. a (ii) dalších vedoucích pracovníků, kteří jsou přímo podřízeni generálnímu řediteli a společně odpovídají za provoz skupiny ADP.
Subdodavatel zpracování ADP	Pro účely Kodexu ochrany osobních údajů pro služby zpracování klientských údajů se SUBDODAVATELEM ZPRACOVÁNÍ ADP rozumí kterákoli Společnost ve skupině vykonávající pro jinou Společnost ve skupině činnost subdodavatele zpracování klientských údajů.
Platné předpisy pro Správce údajů	Pro účely Kodexu ochrany osobních údajů pro služby zpracování klientských údajů se PLATNÝMI PŘEDPISY PRO SPRÁVCE ÚDAJŮ rozumí veškeré zákony o ochraně osobních údajů, které se vztahují na zákazníka společnosti ADP jakožto Správce daných údajů.
Platné předpisy pro zpracovatele údajů	Pro účely Kodexu ochrany osobních údajů pro služby zpracování klientských údajů se PLATNÝMI PŘEDPISY PRO ZPRACOVATELE ÚDAJŮ rozumí veškeré zákony o ochraně Osobních údajů, které se vztahují na společnost ADP jakožto zpracovatele pro zákazníka, který je Správcem údajů.
Platné předpisy	PLATNÝMI PŘEDPISY se rozumí veškeré zákony o ochraně Osobních údajů, které se vztahují na konkrétní činnosti zpracování.

Uchazeč	UCHAZEČEM se rozumí Fyzická osoba, která poskytuje ADP Osobní údaje v souvislosti s ucházením se o místo u ADP na pozici zaměstnance.
Archiv	ARCHIVEM se rozumí soubor Osobních údajů, které již nejsou nezbytné pro naplnění účelu, pro který byly původně shromážděny, nebo které již neslouží obecným obchodním činnostem, ale jsou užívány pouze příležitostně pro historické, vědecké nebo statistické účely, řešení sporů, vyšetřování nebo obecné archivační účely. Přístup do archivu je vyhrazen Správcům systému a osobám, jejichž pracovní náplň přístup do archivu konkrétně vyžaduje.
Zaměstnanec	ZAMĚSTNANCEM se rozumí Uchazeč, současný zaměstnanec ADP nebo bývalý zaměstnanec ADP, s výjimkou Společných zaměstnanců. POZNÁMKA: Kodex ADP ochrany osobních údajů na pracovišti se proto na zpracování osobních údajů Společných zaměstnanců nevztahuje.
Automatic Data Processing, Inc.	AUTOMATIC DATA PROCESSING, INC. je mateřskou společností skupiny ADP. Jde o společnost se sídlem v Delaware, USA, se sídlem na adrese Xxx XXX Xxxxxxxxx, Xxxxxxxx, Xxx Xxxxxx, 00000-0000, XXX.
Závazná podniková pravidla	ZÁVAZNÝMI PODNIKOVÝMI PRAVIDLY se rozumí interní předpisy skupiny propojených společností na ochranu Osobních údajů, o nichž se podle Platných předpisů má za to, že zaručují odpovídající úroveň ochrany pro předávání Osobních údajů v rámci takové skupiny společností.
Obchodní kontaktní údaje	OBCHODNÍMI KONTAKTNÍMI ÚDAJI se rozumí jakékoli údaje o Profesionálovi obvykle uváděné na vizitce nebo v podpisu e-mailu.
Obchodní partner	OBCHODNÍM PARTNEREM se rozumí Třetí osoba, která není Zákazníkem ani Dodavatelem, a která má nebo měla obchodní vztah či strategické spojenectví s ADP (např. partner pro společný prodej, společný podnik nebo partner pro společný rozvoj).
Obchodní účel	OBCHODNÍM ÚČELEM se rozumí legitimní účel zpracování Osobních údajů ve smyslu článku 2, 3 či 4 kteréhokoli Kodexu ADP, nebo zpracování Zvláštních kategorií údajů ve smyslu článku 4 kteréhokoli Kodexu ADP.
Děti	Pro účely shromažďování údajů a marketingu společnosti ADP se DĚTMI rozumí Fyzické osoby mladší věku stanoveného Platnými předpisy pro způsobilost vyjádřit souhlas s takovým shromažďováním údajů a/nebo marketingem.

Zákazník	ZÁKAZNÍKEM se rozumí Třetí osoba využívající v rámci vlastní podnikatelské činnosti jeden nebo více produktů nebo služeb ADP.
Klientské údaje	KLIENTSKÝMI ÚDAJI se rozumí Osobní údaje týkající se Zaměstnanců zákazníka (včetně potenciálních Zaměstnanců, bývalých Zaměstnanců a Závislých osob Zaměstnanců) zpracovávané ADP v souvislosti s poskytováním služeb Zákazníkům.
Zaměstnanec zákazníka	ZAMĚSTNANCEM ZÁKAZNÍKA se rozumí jakákoli Fyzická osoba, jejíž Osobní údaje jsou zpracovávány ADP jakožto zpracovatelem údajů pro Zákazníka v souladu se smlouvou o poskytování služeb. Pro objasnění uvádíme, že ZAMĚSTNANCEM ZÁKAZNÍKA se rozumí všechny Fyzické osoby, jejichž Osobní údaje jsou zpracovávány ADP při poskytování služeb Zákazníkům (bez ohledu na povahu právního vztahu mezi Fyzickou osobou a Zákazníkem). Nepatří sem Profesionálové, jejichž Osobní údaje ADP zpracovává v souvislosti s přímým vztahem mezi ADP a Zákazníkem. ADP může například zpracovávat Osobní údaje Profesionála - personalisty za účelem uzavření smlouvy se Zákazníkem – tyto údaje podléhají Kodexu ochrany osobních údajů v obchodním styku. Pokud však ADP poskytuje Zákazníkovi služby zpracování mezd (např. tiskne výplatní pásky, poskytuje pomoc při používání systému ADP), budou údaje takové Fyzické osoby zpracovávány jako Klientské údaje.
Služby zákazníkům	SLUŽBAMI ZÁKAZNÍKŮM se rozumí služby nakládání s lidskými zdroji, které ADP poskytuje Zákazníkům, např. nábor Zaměstnanců, mzdová a náhradová agenda,zaměstnanecké benefity, management talentů, personální administrativa, poradenství a analýza a penzijní služby.
Podpůrné klientské činnosti	PODPŮRNÝMI KLIENTSKÝMI ČINNOSTMI se rozumí činnosti zpracování prováděné ADP za účelem podpory poskytování produktů a služeb. Podpůrné klientské činnosti mohou zahrnovat například školení Profesionálů, odpovídání na dotazy o službách, otevírání a řešení požadavků na technickou podporu, poskytování informací o produktech a službách (včetně upozornění na aktualizace a právní povinnosti), kontrolu a monitorování jakosti, jakož i související činnosti přispívající k efektivnímu využití produktů a služeb ADP.
Kodex	KODEXEM se rozumí (podle okolností) Kodex ochrany osobních údajů v obchodním styku, Kodex ochrany osobních údajů na pracovišti (interní pro ADP) a Kodex ochrany osobních údajů pro služby zpracování Klientských údajů; společně jsou označovány jako Kodexy.
Společný zaměstnanec	SPOLEČNÝM ZAMĚSTNANCEM se rozumí Zaměstnanec zákazníka z USA, který je zároveň zaměstnán nepřímou americkou dceřinou

	společností společnosti Automatic Data Processing, Inc. v rámci služby profesní zaměstnavatelské organizace nabízené v USA.
Spotřebitel	SPOTŘEBITELEM se rozumí Fyzická osoba, která přichází do styku s ADP sama za sebe. Mezi spotřebitele patří například Fyzické osoby, které se zúčastňují programů rozvoje talentů nebo využívají produkty a služby ADP pro osobní potřebu (tj. nikoli v rámci pracovního poměru s ADP nebo se Zákazníkem ADP).
Externí pracovník	EXTERNÍM PRACOVNÍKEM se rozumí Fyzická osoba, která poskytuje služby ADP (a to pod přímým vedením ADP) na dočasném základě či na dobu určitou, jako jsou pracovníci na dobu určitou, pracovníci na dohodu, nezávislí Dodavatelé nebo poradci.
Správce údajů	SPRÁVCEM ÚDAJŮ se rozumí Fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky Zpracování Osobních údajů.
Zpracovatel údajů	ZPRACOVATELEM ÚDAJŮ se rozumí Fyzická nebo právnická osoba, která Zpracovává Osobní údaje pro Správce;
Úřad pro ochranu osobních údajů nebo dozorový úřad	ÚŘADEM PRO OCHRANU OSOBNÍCH ÚDAJŮ NEBO DOZOROVÝM ÚŘADEM se rozumí regulační nebo dozorový orgán, který dohlíží na ochranu Osobních údajů ve státě, kde sídlí některá Společnost ve skupině.
Posouzení vlivu na ochranu osobních údajů (DPIA)	POSOUZENÍM VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ (DPIA) se rozumí řízení zaměřené na provedení a dokumentaci posouzení vlivu, který může mít určité Zpracování na ochranu Osobních údajů v případech, kdy je pravděpodobné, že určitý druh Zpracování, zejména při využití nových technologií, bude mít za následek vysoké riziko pro práva a svobody Fyzických osob. DPIA zahrnuje: (i) popis: (a) rozsahu a souvislosti Zpracování; (b) obchodních účelů, pro které jsou údaje zpracovávány; (c) konkrétních účelů, pro které se zpracovávají Zvláštní kategorie Osobních údajů; (d) kategorií příjemců Osobních údajů, včetně příjemců, na které se nevztahuje Rozhodnutí o odpovídající ochraně; (e) doby uchovávání Osobních údajů; (ii) posouzení: (f) nezbytnosti a přiměřenosti Zpracování; (g) nebezpečí pro práva Fyzických osob na ochranu

	Osobních údajů; a opatření ke snížení těchto nebezpečí včetně záruk, bezpečnostních opatření a dalších mechanismů (jako je Privacy by Design) k zajištění ochrany Osobních údajů.
Porušení zabezpečení údajů	PORUŠENÍM ZABEZPEČENÍ ÚDAJŮ se rozumí každý incident, který ovlivní utajení, neporušenost nebo dostupnost Osobních údajů, např. nepovolené použití či vyzrazení Osobních údajů, nebo nepovolený přístup k nim, který naruší utajení nebo zabezpečení Osobních údajů.
Závislá osoba	ZÁVISLOU OSOBOU se rozumí manžel/manželka, partner/partnerka, dítě nebo osoba vyživovaná Zaměstnancem, anebo kontaktní osoba Zaměstnance či Externího pracovníka pro případ nouze.
Odprodaný subjekt	ODPRODANÝM SUBJEKTEM se rozumí dosavadní Společnost ve skupině, jejímž vlastníkem již není ADP v důsledku převodu akcií či části podniku či jiného vyčlenění ze skupiny, takže již nesplňuje podmínky pro Společnost ve skupině.
EHP	EHP neboli EVROPSKÝM HOSPODÁŘSKÝM PROSTOREM se rozumí všechny členské státy Evropské unie plus Norsko, Island a Lichtenštejnsko, a pro účely Kodexů rovněž Švýcarsko. Na základě rozhodnutí právního ředitele – které bude zveřejněno na xxx.xxx.xxx - může zahrnovat i další státy, jejichž zákony na ochranu Osobních údajů omezují předávání údajů způsobem srovnatelným s omezeními předávání údajů v rámci EHP.
Platné předpisy EHP	PLATNÝMI PŘEDPISY EHP se rozumí povinnosti stanovené Platnými předpisy EHP, které se vztahují na veškeré Osobní údaje původně shromážděné v rámci činnosti Společnosti ve skupině se sídlem v EHP (i poté, co byly předány jiné Společnosti ve skupině mimo EHP).
Omezení předávání údajů v rámci EHP	OMEZENÍM PŘEDÁVÁNÍ ÚDAJŮ V RÁMCI EHP se rozumí veškerá omezení přeshraničního předávání Osobních údajů na základě předpisů o ochraně Osobních údajů určitého státu nebo EHP.
Datum účinnosti	DATEM ÚČINNOSTI se rozumí den, kdy Kodex nabude účinnosti, jak je stanoveno v článku 1 každého Kodexu.
Právní ředitel	PRÁVNÍM ŘEDITELEM se rozumí právní ředitel společnosti Automatic Data Processing, Inc.
Globální ředitel pro ochranu osobních údajů	GLOBÁLNÍM ŘEDITELEM PRO OCHRANU OSOBNÍCH ÚDAJŮ se rozumí Zaměstnanec ADP, který tuto funkci zastává ve společnosti Automatic Data Processing, Inc.
Společnost ve	SPOLEČNOSTÍ VE SKUPINĚ se rozumí právnická osoba, která je

skupině	dceřinou společností společnosti Automatic Data Processing, Inc. a/nebo ADP, LLC., pokud buď Automatic Data Processing, Inc., nebo ADP, LLC. drží přímo nebo nepřímo více než 50 % hodnoty vydaných akcií, má více než 50 % hlasovacích práv na valné hromadě, má pravomoc jmenovat většinu členů představenstva, anebo činnost dané právnické osoby ovládá jiným způsobem.
Fyzická osoba	FYZICKOU OSOBOU se rozumí jakákoli identifikovaná nebo identifikovatelná Fyzická osoba, jejíž Osobní údaje ADP zpracovává buď jako Zpracovatel, nebo jako Správce údajů, s výjimkou Společných zaměstnanců. POZNÁMKA: Kodex ADP ochrany osobních údajů v obchodním styku a Kodex ADP ochrany osobních údajů na pracovišti se proto na zpracování Osobních údajů Společných zaměstnanců nevztahuje.
Interní zpracovatel	INTERNÍM ZPRACOVATELEM se rozumí Společnost ve skupině, která zpracovává Osobní údaje pro jinou Společnost ve skupině, která je Správcem osobních údajů.
Hlavní dozorový úřad	HLAVNÍM DOZOROVÝM ÚŘADEM se rozumí nizozemský úřad pro ochranu Osobních údajů.
Povinné požadavky	POVINNÝMI POŽADAVKY se rozumí povinnosti dle jakýchkoli Platných předpisů pro zpracovatele údajů, které vyžadují zpracování Osobních údajů pro účely: (i) národní bezpečnosti nebo obrany; (ii) veřejné bezpečnosti; (iii) prevence, vyšetřování, odhalování či stíhání trestných činů nebo etických deliktů v regulovaných profesích; nebo (iv) ochrany kterékoli Fyzické osoby či práv a svobod Fyzických osob.
Globální tým ochrany osobních údajů a řízení	GLOBÁLNÍM TÝMEM OCHRANY OSOBNÍCH ÚDAJŮ A ŘÍZENÍ se rozumí Kancelář ADP pro ochranu osobních údajů a jejich řízení. V čele Kanceláře pro ochranu osobních údajů a jejich řízení stojí Globální ředitel pro ochranu osobních údajů a skládá se z pověřenců pro ochranu osobních údajů, vedoucích pro ochranu osobních údajů a dalších pracovníků podřízených Xxxxxxxxxx řediteli pro ochranu osobních údajů nebo pověřencům či vedoucím pro ochranu osobních údajů.
Převažující zájem	PŘEVAŽUJÍCÍM ZÁJMEM se rozumí naléhavý zájem vymezený v článku 13.1 Kodexu ADP ochrany osobních údajů na pracovišti a Kodexu ADP ochrany osobních údajů v obchodním styku, na jehož základě mohou být povinnosti ADP nebo práva Fyzických osob vymezená v článku 13.2 a 13.3 Kodexů za určitých okolností pozastavena, pokud daný převažující zájem nad zájmem Fyzické osoby převáží.
Osobní údaje neboli	OSOBNÍMI ÚDAJI nebo ÚDAJI se rozumí veškeré informace o identifikované nebo identifikovatelné Fyzické osobě. Ve směrnicích a

údaje	normách vydaných k provádění Kodexů mohou být Osobní údaje rovněž označovány jako "Osobní informace".
Rada pro ochranu osobních údajů	RADOU PRO OCHRANU OSOBNÍCH ÚDAJŮ se rozumí rada, jíž předsedá Globální ředitel pro ochranu osobních údajů, a jejími členy jsou Zástupci pro ochranu osobních údajů, členové Sítě ochrany osobních údajů vybraní Xxxxxxxxx ředitelem pro ochranu osobních údajů a další osoby, které mohou být potřebné, aby pomohly při plnění úkolů Rady.
Síť ochrany osobních údajů	SÍTÍ OCHRANY OSOBNÍCH ÚDAJŮ se rozumí členové Globálního týmu ochrany osobních údajů a řízení a další pracovníci právního oddělení, včetně odborníků na soulad s právními předpisy a pověřenců pro ochranu osobních údajů, kteří mají na starosti soulad s právními požadavky na úseku ochrany Osobních údajů ve svých regionech, státech, podnikatelských subjektech nebo odborných útvarech.
Zástupce pro ochranu osobních údajů	ZÁSTUPCEM PRO OCHRANU OSOBNÍCH ÚDAJŮ se rozumí vedoucí pracovník ADP, kterého Odpovědný vedoucí a/nebo Vrcholové vedení ADP pověřili, aby zaváděl Kodex v rámci podnikatelského subjektu ADP a zajišťoval jeho dodržování.
Zpracování	ZPRACOVÁNÍM se rozumí jakákoli operace s Osobními údaji prováděná pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenání, uložení, uspořádání, přizpůsobení, použití, zpřístupnění (včetně poskytnutí vzdáleného přístupu), předání nebo výmaz Osobních údajů;
Smlouva o zpracování	SMLOUVOU O ZPRACOVÁNÍ se rozumí jakákoli smlouva o zpracování Osobních údajů uzavřená mezi ADP a Externím zpracovatelem.
Profesionál	PROFESIONÁLEM se rozumí Fyzická osoba (která není Zaměstnancem), která je v přímém kontaktu s ADP z titulu své profese nebo obchodního styku. Mezi Profesionály patří např. personalisté Zákazníka, kteří spolupracují s ADP jakožto uživatelé produktů nebo služeb ADP. Mezi Profesionály rovněž patří kontaktní osoby klientů, Dodavatelů a obchodních partnerů, další kontaktní osoby, kontaktní osoby z profesních sdružení, zástupci regulačních orgánů, médií a další Fyzické osoby komunikující s ADP z pracovních důvodů.
Odpovědný vedoucí	ODPOVĚDNÝM VEDOUCÍM se rozumí ředitel Společnosti ve skupině nebo vedoucí jiného podnikatelského subjektu v rámci skupiny či odborného útvaru, který má za danou společnost či subjekt ve skupině nebo odborný útvar primární rozpočtovou odpovědnost.

Sekundární účel	SEKUNDÁRNÍM ÚČELEM se rozumí jakýkoli účel odlišný od původního účelu, pro který jsou Osobní údaje dále zpracovávány.
Smlouva o poskytování služeb	SMLOUVOU O POSKYTOVÁNÍ SLUŽEB se rozumí jakákoli smlouva, dohoda nebo podmínky, na jejichž základě ADP poskytuje Zákazníkovi služby.
Zvláštní kategorie osobních údajů	ZVLÁŠTNÍMI KATEGORIEMI OSOBNÍCH ÚDAJŮ se rozumí Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech či členství v politické straně či obdobných organizacích, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a profesních organizacích, o fyzickém či duševním zdravotním stavu včetně veškerých názorů na něj, postižení, genetických údajích, závislostech, o sexuálním životě, trestných činech, trestním rejstříku nebo řízeních týkajících se trestné činnosti či nezákonného jednání.
Pracovníci	PRACOVNÍKY se rozumí souhrnně současní Zaměstnanci ADP a ti Externí pracovníci, kteří pro ADP v současnosti pracují.
Smlouva o subdodavatelském zpracování	SMLOUVOU O SUBDODAVATELSKÉM ZPRACOVÁNÍ se rozumí smlouva uzavřená v písemné nebo elektronické podobě mezi ADP a Externím subdodavatelem zpracování dle čl. 7.1. Kodexu ochrany osobních údajů pro služby zpracování Klientských údajů.
Subdodavatelé zpracování	SUBDODAVATELI ZPRACOVÁNÍ se rozumí souhrnně subdodavatelé zpracování ADP a Externí subdodavatelé zpracování.
Dodavatel	DODAVATELEM se rozumí jakákoli Třetí osoba, která dodává ADP zboží nebo služby (např. jako dodavatel služeb, zástupce, zpracovatel údajů, poradce nebo prodejce).
Třetí osoba	TŘETÍ OSOBOU se rozumí jakákoli osoba, soukromoprávní organizace nebo státní orgán, které nejsou Společností ve skupině.
Externí správce	EXTERNÍM SPRÁVCEM se rozumí Třetí osoba, která zpracovává Osobní údaje a určuje účely a prostředky tohoto zpracování.
Externí zpracovatel	EXTERNÍM ZPRACOVATELEM se rozumí Třetí osoba, která zpracovává Osobní údaje pro ADP a není přímo řízena ADP.
Externí subdodavatel zpracování	EXTERNÍM SUBDODAVATELEM ZPRACOVÁNÍ se rozumí Třetí osoba za tímto účelem najatá ADP.

PŘÍLOHA 2 - Bezpečnostní opatření

Presented by: ADP - Global Security Organization

Version: 1.8

Released: October 2018

1. Information Security Policies 36

A. Information Security Management 36

B. Independence of Information Security Function 36

C. Formal Definition of an Information Security Policy 36

D. Information Security Policy Review 37

2. Organization of Information Security 38

A. Information Security Roles and Responsibilities 38

B. Mobile Computing and Teleworking Policy 38

3. Human Resource Security 39

A. Background Checks 39

B. Confidentiality Agreements with Employees and Contractors 39

C. Information Security Training Program 39

D. Security Awareness of Employee and Contractors 39

E. Employees Responsibilities and Disciplinary Processes 39

F. Termination of Employment Responsibilities 39

4. Asset Management 41

A. Acceptable Use of Assets 41

B. Classification of Information 41

C. Equipment and Media Disposal 41

D. Physical Media in Transit 41

5. Access Control 43

A. Business Requirements of Access Control 43

B. Access to Infrastructure - Access Control Management 43

C. Password policy 44

D. Session Timeouts 44

6. Cryptography 45

A. Cryptographic Controls 45

B. Key Management 45

7. Physical and Environmental Security 46

A. Physical Security 46

B. Physical Access Control Mechanisms 46

C. Review of Access to Sensitive Areas 46

D. Identification of ADP Personnel 47

E. Physical and Environmental Security Controls in Data Centers 47

8. Operations Security 48

A. Formalization of IT Operations Procedures 48

B. Infrastructure Change Management 48

C. System Capacity Planning and Acceptance 48

D. Protection against Malicious Code 48

E. Back-Up Management Policy 48

F. Security Logging and Monitoring 49

G. Infrastructure Systems and Monitoring 49

H. Technical Vulnerability Management 50

9. Communications Security 51

A. Network Security Management 51

B. Exchange of Information 51

C. Use of Messaging Systems 51

10. System acquisition, development, and maintenance 52

A. Security in Development and Support Processes 52

B. Security in Development Environment 52

C. Test Data 52

11. Supplier relationships 53

A. Identification of Risks Related to External Parties 53

B. Information Security Agreements with External Parties 53

12. Information Security Incident Management 54

A. Management of Information Security Incidents and Improvements 54

13. Information Security Aspects of Business Resiliency Management 55

A. ADP Business Resiliency Program 55

B. Implementation of Business Resiliency 55

C. Availability of Disaster Recovery Facilities 56

14. Compliance 58

A. Compliance with Legal Requirements 58

B. Compliance with Security Policies and Standards 58

C. Technical Compliance 58

D. Retention of Data 58

15. Appendix 60

A. Logical Network Diagram 60

Terms and Definitions

The following terms may appear throughout the document:

Term or Acronym used	Definition
PTSS	GSO’s Preventative Technical Security Services
GETS	Global Enterprise Technology & Solutions
GSO	Global Security Organization
CAB	Change Advisory Board
DRP	Disaster Recovery Plan
CIRC	GSO’s Critical Incident Response Center
SIEM	Security Information and Event Management
IDS	Intrusion Detection System
DNS	Domain Name System
LDAP	Lightweight Directory Access Protocol
NTP	Network Time Protocol
SOC	Service Organization Controls
TPSI	Trusted Platform Security Infrastructure

Document History

Version	Release date	Author/Sponsor	Revision Summary
1.0	Aug 2013	ADP Global Security Organization	Original Version
1.1	Xxx 2014	ADP Global Security Organization	Minor updates
1.2	Dec 2014	ADP Global Security Organization	Update to LLC
1.3	Feb 2015	Client Security Management Office	Revised to ISO 27001:2013 to fit for EMEA
1.4	Xxx 2016	ADP Global Security Organization / ADP Legal Department	Revised to fit GES EMEA and MNC in the same document
1.5	Jun 2017	Client Security Management Office	Minor updates
1.6	Sep 2017	Client Security Management Office	Document globalization
1.61	Sep 2017	Client Security Management Office	Minor update
1.7	Feb 2018	Client Security Management Office	Minor update
1.8	Oct 2018	Client Security Management Office	Minor updates

Overview

ADP maintains a formal information security program containing administrative, technical and physical safe- guards to protect the security, confidentiality and integrity of client information. This program is reasonably designed to (i) safeguard the security and confidentiality of client information, (ii) protect against any antici- pated threats or hazards to the security or integrity of the information, and (iii) protect against unauthorized access to or use of the information.

This document contains an overview of ADP’s information security measures and practices, as of the re- lease date and which are subject to change by ADP. These requirements and practices are designed to be consistent with the ISO/IEC 27001:2013 information security standards. References to the corresponding sections of ISO 27001 are included in each section in [italics].

ADP periodically assesses its security policies, standards. Our goal is to ensure that the security program effectively and efficiently operates to protect all of the information entrusted to us by our clients and their employees.

1. Information Security Policies

A. Information Security Management

ADP is committed to ensuring that information security is properly managed and that the measures described in this document are implemented and appropriately adhered to by ADP staff and appli- cable third parties.

B. Independence of Information Security Function

ADP has a Chief Security Officer who oversees ADP’s Global Security Organization (GSO) and reports to Chief Financial Officer, instead of to the Chief Information Officer, which gives GSO the necessary independence from IT. The GSO is a cross-divisional security team that creates a multi- disciplinary approach in the areas of cyber and information security and compliance, operational risk management, client security management, workforce protection, and business resilience. GSO senior management, under our Chief Security Officer are responsible for managing security policies, procedures and guidelines.

C. Formal Definition of an Information Security Policy

[5.1.1] Policies for information security

ADP has developed and documented formal information security policies that set out ADP's ap- proach to managing information security.

Specific areas covered by this policy include, but are not limited to the following:

o Security, Risk and Privacy Management Policy – Reviews the responsibilities of the Global Security Organization (“GSO”), the Chief Security Officer (“CSO”) and the Glob- al Chief Privacy Officer (“GCPO”).

o Global Privacy Policy - Discusses the collection of personal information, access to, accuracy, disclosures, and privacy statement to clients.

o Information Security Responsibilities for Associates and Managers Policy – In- cludes the Information Security Responsibilities and controls on hiring process from a security perspective.

o Acceptable Use of Electronic Communications and Data Protection Policy – Dis- cusses acceptable use, different electronic communications, encryption, and key man- agement.

o Information Handling and Classification Policy – Provides requirements for the classification of ADP information and establishes protection controls.

o Physical Security Policy– Examines the security of ADP facilities and subsequently our Associates and visitors who work there.

o Security Operations Management Policy – Provides minimum controls for maintain- ing system patches, effectively address the threat from malware, and maintain backups and database security controls.

o Security Monitoring Policy – Provides controls for intrusion detection systems (IDS), logs, and data loss prevention (DLP).

o Investigations, Electronic Discovery and Incident Management Policy – This co- vers: incident response, EDILS, workforce protection, access to associates electronic stored information.

o Access & Authentication Policy – Covers authentication (e.g. user ID and password), remote access and wireless access.

o Network Security Policy – Security architecture of routers, firewalls, AD, DNS, email servers, DMZ, cloud services, network devices, web proxy, and switched network tech- nology.

o Global Vendor Assurance Policy – Sets minimum security controls for engaging any third party to assist ADP in achieving its business objectives.

o Application Management Policy – Establishes appropriate security controls into each stage of the system development lifecycle.

o Business Resiliency Policy –Ensures the protection, integrity and preservation of ADP by establishing the minimum requirements to document, implement, maintain and continually improve Business Resiliency Programs

o Operational Risk Management Policy – Identification, monitoring, response, analysis, governance, and new business initiatives.

Policies are published in the Associate Portal and are accessible to all employees and contractors from within ADP network.

D. Information Security Policy Review

[5.1.2] Review of the policies for information security

ADP reviews its information security policy at least once a year or whenever there are major changes impacting the functioning of ADP’s information systems.

2. Organization of Information Security

A. Information Security Roles and Responsibilities

[6.1.1] Information security roles and responsibilities

The GSO consists of cross-divisional security teams leveraging a multi-disciplinary approach to compliance with cyber and information security standards, operational risk management, client se- curity management, workforce protection and business resilience. Roles and responsibilities have been formally defined in writing for all members of the GSO. The GSO is charged with the design, implementation and oversight of our information security program based on corporate policies. The GSO’s activities are overseen by the Executive Security Committee, composed of the Chief Secu- rity Officer, the Chief Executive Officer, the Chief Financial Officer, the Chief Information Officer, Chief Human Resources Officer and the General Counsel.

B. Mobile Computing and Teleworking Policy

[6.2.1] Mobile device policy [6.2.2] Teleworking

ADP requires all confidential information to be encrypted on mobile devices, in order to prevent any data leakage resulting from a theft or a loss of a computer. Antivirus software, with updated vi- rus signature files and two-factor authentication over VPN is also required to access the corporate networks remotely. All remote devices are required to be password protected.

ADP employees are required to report lost or stolen remote computing devices immediately through a Security Incident Reporting Process.

All employees and contractors, as a condition of employment with ADP, must comply with the ADP’s acceptable use and other relevant Policies.

3. Human Resource Security

A. Background Checks

[7.1.1] Screening

Consistent with applicable legal requirements in the individual’s jurisdiction, ADP conducts appro- priate background checks commensurate with the duties and responsibilities of its employees, contractors and/or third parties to ensure their suitability for handling clients’ information prior to engaging or hiring such individuals.

Background screening may include the following components:

a) Identity/employment eligibility verification

b) Employment history

c) Educational history and professional qualifications

d) Criminal records (where legally authorized and depending on local country regulations)

B. Confidentiality Agreements with Employees and Contractors

[7.1.2] Terms and conditions of employment

ADP employment contracts and contracts with contractors contain terms setting out an appropriate catalogue of obligations and responsibilities concerning client information to which they will have access. All ADP employees and contractors are bound by confidentiality obligations.

C. Information Security Training Program

[7.2.2] Information security awareness, education and training

ADP ensures that all personnel scheduled to access and/or otherwise process ADP’s clients’ in- formation, are provided with information security and privacy awareness training with the objective to promote effective privacy and security practices.

All employees receive information security training as part of their on boarding plan. In addition, ADP delivers annual security training in order to remind employees of their responsibilities when performing their day-to-day duties.

D. Security Awareness of Employee and Contractors

[7.2.2] Information security awareness, education and training

The ADP information security policy document is approved by management, published and com- municated to all employees, onsite contractors and applicable third parties.

ADP employees and onsite contractors are required to comply with the Information Security Re- sponsibilities and associated information security policies.

E. Employees Responsibilities and Disciplinary Processes

[7.2.3] Disciplinary process

ADP has published a security policy that all ADP associates need to comply with. Violations of se- curity policies may lead to revocation of access privileges and/or disciplinary actions up to and in- cluding termination of consulting contracts or employment.

F. Termination of Employment Responsibilities

[7.3.1] Termination or change of employment responsibilities [8.1.4] Return of assets

[9.2.6] Removal or adjustment of access rights

Responsibilities upon termination of employment have been formally documented and include at least:

a) Return all ADP information and assets in the possession of the respective employee, on whatever medium it is stored

b) Termination of access rights to ADP facilities, information and systems

c) Change of passwords for remaining active shared accounts, if applicable

d) Transfer of knowledge, if applicable.

Access rights of all ADP employees and contractors to data and data processing facilities are re- moved upon termination of their contract with ADP.

4. Asset Management

A. Acceptable Use of Assets

[8.1.3] Acceptable use of assets

Acceptable use of assets is articulated across several policies, applicable to ADP employees and contractors, in order to ensure that ADP’s and clients’ information are not exposed by use of such assets. Examples of areas described in these policies are: use of electronic communications, use of electronic equipment, and use of information assets.

B. Classification of Information

[8.2.1] Classification of information

Information acquired, created or maintained by or on behalf of ADP is assigned, as applicable, a security classification of:

• Public

• ADP Internal Use Only

• ADP Confidential

• ADP Restricted

Requirements for handling information are directly correlated to the information security classifica- tion.

Personal Information and Sensitive Personal Information are considered in all cases ADP Confi- dential.

ADP employees are accountable for protecting and handling information assets in accordance with their security classification level, which provides protection of information and applicable handling requirements for each classification level. All client information is classified as confidential.

The ADP confidentiality classification is applied to all information stored, transmitted or handled by third parties.

C. Equipment and Media Disposal

[8.3.1] Management of removable media [8.3.2] Disposal of media

When ADP equipment, documents, files, and media are disposed of or reused, appropriate measures are taken to prevent subsequent retrieval of client’s information originally stored in them.

All information on computers or electronic storage media regardless of classification is overwritten or degaussed, unless the media is physically destroyed before being released outside ADP facili- ties.

The procedures for ensuring the secure destruction/erasure of ADP information held on equip- ment, in documents, files, and media are formally documented.

D. Physical Media in Transit

[8.3.3] Physical media transfer

Organizational measures are taken to ensure that printed materials containing clients’ information cannot be viewed by unauthorized individuals.

Measures are also taken to protect printed materials containing clients’ information against theft, loss, and/or unauthorized access/modification (i) during transit e.g. sealed envelopes, containers

and hand delivery to authorized user; and (ii) during review, revision or other processing where removed from secure storage.

5. Access Control

A. Business Requirements of Access Control

[9.1.1] Access control policy

ADP’s Access control policy is based on business defined requirements. The policies and control standards are articulated into access controls enforced in all components of the provided service and are based on a “least-privilege” and “need to know” principle.

B. Access to Infrastructure - Access Control Management

[9.2.1] User registration and de-registration [9.2.2] User access provisioning

[9.2.5] Review of user access rights [9.4.3] Password management system

Access requests to move, add, create and delete are logged, approved and periodically reviewed.

A formal review is performed at least yearly to make sure individual users correspond correctly to the relevant business role and would not have continued access after a position change. This pro- cess is audited and documented in a SOC11 type II report.

From within an Identity Management System, a dedicated ADP team is responsible for granting, denying, cancelling, terminating and decommissioning/deactivating any access to ADP facilities and information systems.

Administrator access is only possible from ADP internal network or equivalent through a secure remote VPN access using two-factor authentication.

For the UNIX domain, access to privilege accounts is based on a “need to know” principle. All ac- cess requests are validated by the Security Team and an audit trail is maintained.

For the Windows domain, user accounts are defined in a central Active Directory (AD). The AD for servers in production is different from the AD used for workstations.

ADP uses a centralized identity and access management (IAM) tool that is managed centrally by a dedicated GETS team. According to the access rights requested through the centralized IAM tool, a validation workflow will be triggered that could involve the users’ supervisor. Access is provided on a temporary basis and workflows exist to prevent such access from remaining permanent.

An employee's access to a facility is decommissioned immediately after the last day of employ- ment by deactivating their access card (employee badge). The employee’s user IDs are immedi- ately deactivated.

Any employee’s assets will be returned and checked by the competent line manager against the asset list present in the configuration management data base.

Following a job position change, or organizational changes, user profiles or user access rights are required to be modified by the applicable business unit management and the IAM Team. Addition- ally, a formal review of access rights is performed every year to verify that individual users’ rights correspond to their relevant business role and that there are no remaining irrelevant access rights after a position transfer.

1 In the case of certain US Services offered by ADP, this is audited in a SOC 2 Type 2 report.

C. Password policy

[9.1.1] Access control policy [9.4.2] Secure log-on procedures

[9.4.3] Password management system

ADP associate password policies are enforced in servers, databases and network devices and applications, to the extent the device/application allows it. The password complexity is derived from a risk based analysis of the protected data and content.

The policies meet prevailing industry standards for strength and complexity, and include a mini- mum password length of 8 characters, with password composition of 1 or more characters from at least 3 of the following 4 classes:

• English upper case letters (e.g., A, B, C, ...Z)

• English lower case letters (e.g., a, b, c, ...z)

• Digits (e.g., 0, 1, 2, ...9)

• Non-alphanumeric special characters (e.g., ?,!,%,$,#, etc.)

Additionally, ADP associate passwords must be compliant with the following rules:

• Passwords are changed at regular intervals according to the sensitivity of the information accessible through the systems to which they relate in accordance with ADP global securi- ty policies

• Passwords are stored using one-way hash with “salt”

• Passwords must not contain the user ID in the password

• Passwords must not contain the user's first and/or last name

• Maximum of 4 repeating characters in the password

• Previous 4 passwords cannot be reused

• There is a list of prohibited passwords

• Passwords can be changed only once per day

• Password expire after 90 days

• User is disabled after 180 days of inactivity

• Account is locked after 4 failed logon attempts

Client application authentication requirements vary by product, and federated services (SAML 2.0) is available on specific ADP applications using a unified network and security layer managed by GETS.

D. Session Timeouts

[A.9.4.1] Information access restriction

ADP enforces automatic timeouts to all servers, workstations, applications and VPN connections.

• Server session: timeout after 20 minutes of inactivity.

• Workstation session (laptops, PCs, terminals, etc.): timeout after 20 minutes of inactivity.

• Applications: all applications have a timeout after a period of inactivity, which will vary de- pending on the application.

• VPN session: timeout after no longer than 24 hours of usage.

Re-establishment of sessions may take place only after the user has provided a valid password.

6. Cryptography

A. Cryptographic Controls

[10.1.1] Policy on the use of cryptographic controls

ADP requires that sensitive information being exchanged between ADP and ADP third parties must be encrypted (or transport channel must be encrypted) using industry accepted encryption techniques and strengths. Alternatively, a private leased line must be used.

B. Key Management

[10.1.2] Key management

ADP has an internal Encryption Security Standard that includes well-defined key management and key escrow procedures, including both symmetric and asymmetric keys management.

Encryption keys used for ADP information are always classified as confidential information. Access to such keys is strictly limited to those who have a need to know and, unless an exception approv- al is provided, encryption keys are not revealed to consultants, contractors, temporary associates, or third parties.

For encryption, copies of server certificates are exported and secured. Certificates are managed via a VeriSign Global Server account.

7. Physical and Environmental Security

A. Physical Security

[11.1.1] Physical security perimeter

[11.1.3] Securing offices, rooms and facilities

ADP ensures that designated workspaces for payroll processing and information processing facili- ties are physically isolated from the rest of the facility through the use of secured access controls and walls extending from floor to ceiling.

B. Physical Access Control Mechanisms

[11.1.2] Physical entry controls

ADP facilities

Access to ADP facilities requires electronic security badges using card key authentication and the maintenance of physical access logs to the premises.

Any access, including access to sensitive areas of ADP facilities, such as server rooms and tape libraries, is controlled by Electronic Access Control (EAC) mechanisms.

Data Centers

ADP hosting infrastructures are all contained within physically secured environments. Access to the hosting center requires electronic security badges using card key and pin or biometric authen- tication and the maintenance of a physical access logs to the premises.

C. Review of Access to Sensitive Areas [9.2.1] User registration and de-registration [11.1.2] Physical entry controls

ADP facilities

Access to ADP facilities and sensitive areas is restricted to ADP employees and other authorized persons. Access to facility resources is granted on the basis of each individual’s work responsibili- ties.

Audit trails are kept of all admissions in and out of all buildings and sensitive areas. Audit trails are maintained and reviewed as appropriate.

Data Centers

The data center security officer and/or facilities manager is/are responsible for managing access rights to any ADP data center. ADP is responsible for maintaining and controlling access to ADP areas according to a pre-approved list.

Audit trails are kept of all admissions in and out of data centers. Audit trails are maintained and re- viewed by hosting center management and audit personnel on a monthly basis.

In order to gain admittance into the data centers, all visitors must be announced in advance and accompanied by authorized personnel once in the facility.

ADP management reviews the accuracy and appropriateness of physical access rights to ADP da- ta centers monthly and for other ADP facilities at least on an annual basis. Access is removed when an employee leaves ADP.

D. Identification of ADP Personnel [11.1.5] Working in secure areas ADP facilities

All ADP personnel must wear and display their identification badges at all times within ADP facili- ties. Visitors are required to sign a visitors’ log, wear a visitor badge and be escorted by ADP per- sonnel.

Data Centers

All ADP personnel, clients, contractors, and visitors must wear and display data center’s identifica- tion badge at all times within the data center. Clients, contractors, and visitors are required to be accompanied by authorized personnel.

Tailgating or any similar practices of allowing an unauthorized person to enter behind or along with an authorized cardholder, or attempting to enter where a cardholder has not been granted access, are prohibited.

E. Physical and Environmental Security Controls in Data Centers

[11.1.4] Protecting against external and environmental threats

ADP data center facilities are monitored using controls of environmental conditions, surveillance cameras, motion detection cameras and security guards. All facilities utilize entry alarms.

Physical and environmental controls against reasonably anticipated site specific disasters such as flood and fire have been applied to ADP data centers.

ADP data centers have a minimum of the following environmental and physical security controls:

a) Redundant HVAC (heating, ventilation, and air conditioning) systems

b) Temperature/humidity monitoring

c) Local and remote alarms (power, temperature, humidity)

d) N+1 UPS

e) Redundant power supply

f) Automatic fire detection alarm

g) Automatic fire suppression

h) Additional manual fire suppression mechanisms

i) Servers located in protected areas

Cables and wires connected to or coming from computing equipment and peripherals are routed to minimize damage. Power distribution cabling for the computer equipment is located in trays under a raised floor or in conduits routed above the suspended ceiling. Only dedicated staff from hosting center and authorized support personnel can access phone/cable closets. Equipment is continu- ously monitored by automatic systems. All incidents are reviewed on a daily basis and corrective actions, such as replacement of equipment, are taken, as necessary. Appropriate change man- agement controls also apply to equipment replacement.

8. Operations Security

A. Formalization of IT Operations Procedures

[12.1.1] Documented operating procedures

GETS is the ADP unit responsible for IT infrastructure operations and maintenance. GETS formally maintains and documents IT operations policies and procedures. These procedures include, but are not limited to the following:

a) Change management

b) Back-up management

c) System error handling

d) System restart and recovery

e) System monitoring

f) Jobs scheduling and monitoring

B. Infrastructure Change Management

[12.1.2] Change management

A periodic Change Advisory Board (CAB), including representatives from a wide variety of ADP teams, is held by GETS. CAB meetings take place to discuss impacts, to agree on deployment windows and to approve the promotions to production, as well as to coordinate any other change in the production infrastructure.

C. System Capacity Planning and Acceptance

[12.1.3] Capacity management

Capacity requirements are continuously monitored and regularly reviewed. Following these re- views, systems and networks are scaled up or down accordingly.

When significant changes have to be performed due to a change in capacity or a technological evolution, the GETS benchmarking team can perform stress tests to the relevant application and/or system, thus providing a detailed report of performance evolution by gauging the changes in (i) components, (ii) system configuration or version, or (iii) middleware configuration or version.

D. Protection against Malicious Code

[12.2.1] Controls against malware

Antivirus software is installed on all computer systems connected to an ADP network, and virus signatures are updated automatically and periodically as per vendor updates and release sched- ule.

E. Back-Up Management Policy

[12.3.1] Information backup

ADP has policies in place that require all production hosting operations to back-up production in- formation. The scope and the frequency of back-ups are executed in accordance with the business requirements of relevant ADP services, the security requirements of the information involved, and the criticality of the information in respect of disaster recovery.

According to those requirements, the following back-ups are performed:

a) Daily incremental back-ups

b) Weekly full back-ups

c) Monthly full back-ups

Monitoring of scheduled back-ups is performed by GETS, in order to identify back-up issues or ex- ceptions. Any issue identified or abnormal event will trigger a ticket in ADP's case management system and will be tracked until resolution.

F. Security Logging and Monitoring

[12.4.1] Event logging

[12.4.3] Administrator and operator logs

ADP has implemented a central and read-only logging infrastructure (SIEM) and a log correlation and alerting system (TPSI). Log alerts are monitored and treated in a timely manner by the CIRC.

Such logs include, but are not limited to:

• IDS

• Firewalls

• DNS

• LDAP

• Active Directory

• Operating System

• Internet accesses

• SMTP Gateways

All of these systems are synchronized using a unique NTP based clock reference. Every single log contains at a minimum:

• Timestamp

• Who (identity of the operator or administrator)

• What (information about the event)

Audit trails and System logging for ADP applications have been designed and set up in order to track the following information:

• Authorized access

• Privileged operations

• Unauthorized access attempts

• Systems alerts or failures

• Changes to systems security settings, when the system allows such logging

These logs are only available to ADP authorized personnel, and are sent in live mode to prevent data from being tampered with before being stored in the secure logging appliances.

G. Infrastructure Systems and Monitoring

[12.4.1] Event logging

ADP uses appropriate measures to provide infrastructure monitoring 24 hours per day, 7 days per week. Disruption alerts are managed by different teams according to their severity level and the skills required to resolve them.

ADP hosting center facilities employ monitoring applications that are constantly running on all re- lated processing systems and on the network components to provide ADP staff proactive notifica- tion of issues and warnings in anticipation of possible problems. These application functions in- clude, but are not limited to, the following:

• Monitoring and analysis of web site traffic

• Monitoring network equipment

• Monitoring and management of Internet circuit performance and availability

• Monitoring IDS sensors and firewalls for intrusions

H. Technical Vulnerability Management

[12.6.1] Management of technical vulnerabilities

All computers installed in the hosting infrastructure must comply with the installation of a special- ized security hardened operating system (or secure build process). Hosted operations employ a hardened, approved and standardized build for every type of server used within our infrastructure. Out-of-the-box installation of operating systems is prohibited since these installations may create vulnerabilities, such as generic system account passwords, that would introduce an infrastructure risk. These configurations reduce the exposure of hosted computers running unnecessary services that can lead to vulnerabilities.

PTSS is responsible for managing the entire assessment and remediation processes. PTSS is in- dependent and maintains a separation of duties from other teams that are responsible for partici- pating in the process, requesting services, and providing remediation efforts.

ADP has developed a documented methodology for conducting release and periodic vulnerability assessments and compliance reviews of Internet facing web-based applications and their corre- sponding infrastructure components, which include at least 15 primary categories of testing.

Assessment methodology is based on both internal and industry best practices, including, but not limited to, Open Web Application Security Project (OWASP), SANS Institute and Web Application Security Consortium (WASC).

9. Communications Security

A. Network Security Management

[13.1.1] Network controls

[13.1.2] Security of network services

ADP employs a network-based intrusion detection system that monitors traffic at the network infra- structure level (24 hours a day, 7 days a week) and identifies suspicious activity or potential at- tacks.

ADP only permits modem usage under special, duly justified circumstances and that usage is lim- ited to dial out. Wireless network and access points must be approved by security and are only permitted when configured using secure protocols.

ADP has defined a network management policy and related controls:

a) Security parameter changes documentation and authorization: Security parameter change requests (like firewall rule sets) are documented, qualified and authorized by the network competency center prior to being applied into the production environment.

b) Firewalls facilities and DMZ protections: ADP network access points are protected by fire- walls facilities and Demilitarized Zones (DMZ).

c) Segregation of network segments: Production network segments are logically segregated from the end-user network and between environments with different security level.

d) Relay servers: Access to systems (network components, application and database servers) is only permitted from authorized relay servers or authentication DMZ.

e) Data transmission security between ADP data center/infrastructure and its clients: External data transmissions between ADP data center and its clients are secured via one of the fol- lowing network means: private leased line, IPSec VPN, MPLS-VPN. Web applications use ADP-approved encryption technology to secure data transmitted by clients to ADP data centers.

Additionally, the GETS Network competency center has implemented a firewall compliance tool. Firewall flows are subjected to change management process before being implemented.

B. Exchange of Information

[13.2.1] Information transfer policies and procedures

ADP implements appropriate controls so that ADP clients' information sent to third parties is trans- ferred between authorized information systems and resources only, and is only exchanged through ADP’s secure and authorized transfer mechanisms.

C. Use of Messaging Systems

[13.2.3] Electronic messaging

ADP prohibits the use of non-secured external instant messaging applications for transmission of client data.

10. System acquisition, development, and maintenance

A. Security in Development and Support Processes

[14.1.1] Information security requirements analysis and specification [14.2.1] Secure development policy

[14.2.2] System change control procedures

During the development cycle, applicable documentation is generated and testing plans are built for the testing phase. Different stages are defined for each environment with relevant approval at each phase:

Development

•Unitary test

•Integration test

Testing

•Functional test

Pre-production

•User acceptance test

Production

• From testing to pre-production environment, approval from ADP’s Quality team is needed.

• From pre-production to production, approval from IT Operations is required.

Development teams are required to utilize secure coding methods. Application changes are tested in development and regression environments before they reach the production systems. Tests are performed and documented. Upon approval, changes are deployed into production. Penetration testing is performed after siginificant changes.

A periodic CAB, including representatives from a wide variety of ADP teams, is held by GETS. CAB meetings take place on a regular basis, and are meant to discuss impacts, to agree on de- ployment windows and to approve the promotion of software packages to production, as well as to inform about any other changes in production infrastructure.

ADP’s IT Operations team provides the final approval before any promotion to production envi- ronment of the software packages.

B. Security in Development Environment

[14.2.6] Secure development environment

All environments are logically segregated and independent from each other. Software packages are accessible at each stage of the development process and only by the teams involved in that particular stage.

C. Test Data

[14.3.1] Protection of test data

Use of real or unsanitized data in development and testing is not permitted as per ADP’s global security policy unless explicitly requested and authorized by client.

11. Supplier relationships

A. Identification of Risks Related to External Parties

[15.1.1] Information security policy for supplier relationships

Risk assessments of third parties who require access to ADP and/or client information are periodi- cally performed with a view to determine their compliance with ADP security requirements for third parties, and to identify any gaps in the applied controls. If a security gap is identified, new controls are agreed upon with such external parties.

B. Information Security Agreements with External Parties

[15.1.2] Addressing security within supplier agreements

ADP enters into agreements with all third parties which include appropriate security commitments in order to meet ADP’s security requirements.

12. Information Security Incident Management

A. Management of Information Security Incidents and Improvements

[16.1.1] Responsibilities and procedures

[16.1.4] Assessment of and decision on information security events

ADP has developed a documented methodology for responding to security incidents quickly, con- sistently, and effectively.

Should an incident occur, a predefined team of ADP employees will activate a formal incident re- sponse plan that addresses areas such as:

• Escalations based on the classification of incident or incident severity

• Contact list for incident reporting/escalation

• Guidelines for initial responses and follow up with involved clients

• Compliance with applicable security breach notification laws

• Investigation log

• System recovery

• Issue resolution, reporting, and review

• Lessons learned

ADP policies define a security incident, incident management and all employees’ responsibilities regarding the reporting of security incidents. All ADP employees and contractors must read and follow these policies.

ADP also schedules regular training for ADP employees and contractors to ensure awareness of reporting requirements.

13. Information Security Aspects of Business Resiliency Management

A. ADP Business Resiliency Program

[17.1.1] Planning information security continuity

One of ADP’s priorities is to establish, maintain and test comprehensive business resumption and contingency planning programs. These programs must allow for the timely and effective recovery of mission-critical ADP business functions in the event of a partial or total loss, preventing an ex- tended period of disruption to any ADP client or ADP business unit.

ADP's Executive Management is committed to protecting ADP's business operations from disrup- tion, ensuring that:

• An understanding of the benefits and goals of the Business Resiliency Program are defined and a proactive approach is taken to Business Resiliency;

• Formal procedures are established to manage business disruptions;

• Business Resiliency requirements are included and implemented in business operations;

• Business Resiliency concepts and controls are understood by associates responsible for re- sponding to incidents and business disruptions;

• Resource requirements are estimated to resume business operations including staffing, fa- cilities, technical infrastructure, information, external services and suppliers and proper re- sources are allocated to the Business Resiliency Program.

ADP Business Resiliency Organization has documented the Business Resiliency responsibilities of the organization based on Management directives. Among other responsibilities, the ADP Busi- ness Resiliency Organization is in charge of:

• Maintaining the Business Resiliency Policy, Standards, Practices and Guidelines for the or- ganization, including the review of these documents on a periodic basis;

• Establishing common systems designated to be used for Plan documentation and notifica- tion/escalation processes;

• Maintaining the Business Resiliency Program, including regular reviews, audits, updates to documentation and related procedures;

• Establishing metrics for measuring and demonstrating program effectiveness and maturity; ADP’s Business Resiliency Program is composed of three main components:

• Incident Management, which is in charge of major incident management, and preventing them from escalating to a crisis;

• Business Continuity, to develop protocols that ensure the resumption of business opera- tions;

• Disaster Recovery, where operating procedures to address restoration processes are creat- ed and maintained for ADP’s critical systems;

B. Implementation of Business Resiliency

[17.1.2] Implementing information security continuity

[17.1.3] Verify, review and evaluate information security continuity

The three components of ADP’s Business Resiliency Program – Incident Management, Business Continuity, and Disaster Recovery – are deployed following the following phases:

• Risk Threat Analysis (RTA)

The Risk Threat Analysis is used to evaluate threats against all ADP locations worldwide, and rate this risk in order to assign a risk level to each facility. It is required to be reviewed periodically or sooner if a significant event has occurred.

• Business Impact Analysis (BIA)

A formal Business Impact Analysis has been conducted and is regularly reviewed to identify critical business processes that need to be recovered after a business disruption. The BIA is required to be reviewed and revised periodically or sooner if a significant event or a change in a critical business function has occurred. The Business Impact Analysis identi- fies:

o Critical business functions and processes;

o IT applications that support the identified critical business functions;

o Interdependencies of processes, assets, infrastructure and resources;

o Recovery Time Objectives (RTO’s) and Recovery Point Objectives (RPO’s) for pro- cesses and data;

o Estimated potential losses from a business disruption.

• Incident Management and Business Continuity Plans Development

Once the RTA and BIA are completed, all information is compiled and Incident Manage- ment Plans and Business Continuity Plans are created.

ADP has defined this set of plans and capabilities that work together collectively to enhance the ADP Business Resiliency Program thereby minimizing the adverse impacts a disruption may have on ADP service delivery to clients and third parties.

• Testing and Exercising

Business Resiliency Plans are tested periodically through a table-top exercise held with the Crisis Committee. This exercise is limited to a basic scenario and a theoretical discussion, testing the abilities and reaction capabilities of the Incident Management Committee.

• Maintenance

The overall Business Resiliency Program is reviewed and revised at least once annually or more frequently as required due to changes in personnel or other circumstances. Addition- ally, various components may be subject to periodic reviews.

C. Availability of Disaster Recovery Facilities

[17.2.1] Availability of information Processing facilities [10.5] Back-Up

In addition, a standard Disaster Recovery operating procedure contains detailed plans to address restoration processes for ADP’s mission critical systems, based on the following scenarios:

• Critical equipment failure at the primary computing center

• Site disaster at the primary computing center

ADP data is synchronized on an ongoing basis between the primary Data Center and the disaster recovery site. Local back-ups are also stored in the primary Data Center in order to keep a longer period and volume of data.

The IT department conducts an annual test of its ability to restore the IT platforms and communica- tion capabilities, which support the critical business functions. Business units define and validate the DRP test scope together with GETS. Once the DRP scope is defined and validated, several teams from the IT department and business units are involved.

The Disaster Recovery test methodology covers the following areas:

• Disaster Recovery Plan Playbook: technical documentation to activate the DRP;

• Disaster Recovery testing: technical and functional test scripts to validate DRP activation;

• Disaster Recovery test results: executive report, including results of the DRP test as well as findings and lessons learned;

• Disaster Recovery improvement activities: post mortem review action items and plan.

Guidelines describing preparatory measures and communication plans in case of a severe incident are published and communicated to all employees and relevant external parties, in order to be prepared. These include:

• Internal and external communication guidelines;

• Preparatory guidelines and preventive measures for employees;

• Planned or unplanned building evacuation simulation, updated annually.

14. Compliance

A. Compliance with Legal Requirements

[18.1.1] Identification of applicable legislation and contractual requirements

ADP privacy and security controls are designed to allow us to meet the obligations imposed on da- ta processors by data protection laws in all of the countries where ADP offers its services, includ- ing those deriving from the Data Protection Directive 95/46/EC and EU’s Global Data Protection Regulation (officially, Regulation (EU) 2016/679) on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

ADP reserves the right to use third party data processors and subcontractors including for pro- cessing, hosting and storage purposes. ADP remains responsible for the quality of the services and for these sub-processors’ compliance with data protection / privacy law as it applies to data processors. ADP is committed to working with its clients to achieve an appropriate level of trans- parency around its use of sub-processors.

In order to protect its clients’ personal data (client information) wherever they are processed, ADP has implemented a Global Privacy Policy that provides the foundation for the processing of client data worldwide. The Global Privacy Policy requires every ADP affiliate and every ADP associate to protect client personal data and to only use it for the purposes specified in our client contracts.

B. Compliance with Security Policies and Standards [18.2.1] Independent review of information security [18.2.3] Technical compliance review

To the extent indicated in the terms and conditions of the Agreement, ADP performs a SOC12 type II audit on a periodic basis. These audits are conducted by a well-known third-party audit firm and audit reports are available on a yearly basis for clients upon request, when applicable.

C. Technical Compliance

[18.2.2] Compliance with security policies and standards

In order to ensure technical compliance with best practices, ADP performs regularly scheduled network vulnerability scans. The scan results are then prioritized and developed into corrective ac- tion plans with the hosting teams and their management.

Vulnerability scans are performed on a product-by-product basis. Utilizing specialized application scanning tools, application level vulnerabilities, if any, are identified, shared with the product de- velopment management teams, and incorporated into the quality assurance processes for correc- tive action. The results are analyzed and corrective action plans developed and prioritized.

D. Retention of Data

[18.1.3] Protection of records

ADP’s data retention policy regarding client information is designed to comply with applicable laws.

At the end of a client contract, ADP will comply with its contractual obligations relating to client’s information, i.e. ADP will either return, or allow client to retrieve (e.g. by data download), all client information required for the continuity of client's business activities (if not previously provided).

2 In the case of certain US Services offered by ADP, there would be also SOC 2 Type II exec. reports

Then ADP will securely destroy remaining client information, except to the extent required under applicable law, authorized by the client or needed for dispute resolution purposes.

15. Appendix

A. Logical Network Diagram

Redundantní firewally vnitřního perimetru

Vyvažování zátěže a proxy služby

Redundantní firewally vnějšího perimetru

Redundantní ISP routery

Prezentační služby

Databázové služby v clusteru

Síťové přepínače

Síť úložiště

Aplikační služby

PŘÍLOHA 3 - Seznam společností ve skupině, které jsou Kodexem zpracovatele vázány

ADP (Philippines), Inc	6/F Glorietta 0 Xxxxxxxxx Xxxxxx, Xxxx Xxxxx, Xxxxx Xxxxxx, Xxxxxx Xxxx, Xxxxxxxx, 0000
ADP (Suisse) SA	Lerzenstr. 10, 8953 Dietikon, Švýcarsko
ADP Canada Co.	0000 Xxxxx Xxxxxx Xxxx, 00xx Xxxxx, Xxxxxxxxx, Xxxxxxx X0X 0X0, Xxxxxx
ADP Employer Services Belgium BVBA	Xxxxxxxxxxxxx 00/0, 0000 Xxxxxx, Xxxxxx
ADP Employer Services Česká republika a.s.	Rohanské nábřeží 670/17, 18600 Xxxxx 0, Xxxxx republika
ADP Employer Services GmbH	Frankfurter Str. 227, 63263 Neu-Isenburg, SRN
ADP Employer Services Iberia, S.L.U.	Cami Antic de Valencia, 54 B, 08005 Barcelona, Španělsko
ADP Employer Services Italia SPA	Viale X. Xxxxxxx 5/A – 20143 Milan, Itálie
ADP ES Tunisie SARL	MIRMAR Business City Lot B16 Centre Urbain Nord – 1003 Tunis, Tunisko
ADP Europe, S.A.S.	00, xxxxxx Xxxxx Xxxxxxx, 00000 Xxxxxxxx, Xxxxxxx
ADP France SAS	00, xxxxxx Xxxxx Xxxxxxx, 00000 Xxxxxxxx, Xxxxxxx
ADP Gestion des Paiements SAS	00, xxxxxx Xxxxx Xxxxxxx, 00000 Xxxxxxxx, Xxxxxxx
ADP GlobalView B.V.	Lylantse Bann 1, 2908 LG Capelle aan den, Ljseel, Nizozemí
ADP GSI France SAS	00-00, xxxxxx Xxxxx Xxxxxxx, 00000 Xxxxxxxx, Xxxxxxx
ADP India Private Ltd.	Tamarai Tech Park, S.P. Plot No.16 to 20 & 20A, Thiru-Vi-Ka Industrial Estate, Inner Ring Road, Guindy, Chennai – 600 032 Indie
ADP International Services B.V.	Lylantse Bann 1, 2908 LG Capelle aan den, Ljseel, Nizozemí
ADP Nederland B.V.	K.P. van der Xxxxxxxxxxx 0-00, 0000 XX Xxxxxxxxx, Postbus 4065, 3006 AB Rotterdam
ADP Outsourcing Italia SRL	Viale X. Xxxxxxx 5/A – 20143 Milan, Itálie
ADP Payroll Services, Inc.	Xxx XXX Xxxxxxxxx, Xxxxxxxx, XX, XXX 07068
ADP Polska Sp. zo.o.	Prosta 70, 00-838 Varšava, Polsko
ADP Private Limited	6-3-1091/C/1, Fortune 0, Xxx Xxxxxx Xxxx, Xxxxxxxxxx, Xxxxxxxxx, Xxxxxxxxx, Indie – 500082
ADP RPO UK Limited	00 Xxxxxxxx Xxxx, Xxxxxx, Xxxxxx, XX0X 0XX
ADP RPO, LLC	0000 Xxxxxxxxxx Xxxxx, Xxxxxxx, XX, XXX 00000

ADP Screening and Selection Services, Inc.	Xxx XXX Xxxxxxxxx, Xxxxxxxx, XX, XXX 07068
ADP Slovakia s.r.o.	Černyševského 26, 851 01 Bratislava, Slovensko
ADP Software Solutions Italia SRL	Xxx Xxxxx 00 – 00000 Xxxxx, Xxxxxx
ADP, LLC	One XXX Xxxxxxxxx, Xxxxxxxx, XX, XXX 07068
Automatic Data Processing (ADP) Romania SRL	4B Xxxx Xxxxxxxxx Xx., 1st – 0xx xxxxx, Xxxxxxxx 0, Xxxxxxxx, Xxxxxxxx 000000
Automatic Data Processing Limited (Australia)	0 Xxxxx Xxxxx, Xxxxxxxx, XXX 0000, Xxxxxxxxx
Automatic Data Processing Limited (UK)	Syward Place, Pyrcroft Road, Chertsey, Surrey, KT16 9JT, England
Business Management Software Limited	0 Xxxxxxxxxxxx Xxxxxxxx Xxxx, Xxxxx Wood, Peterborough, Cambridgeshire, PE2 6FZ, England
Celergo Hungary kft	1093 Xxxxxxxx, Xxxxxxxxx xxxx 00. 0. emelet., Cg. 01-090980824, Hungary
Celergo LLC	Xxx XXX Xxxxxxxxx, Xxxxxxxx, XX, XXX 07068
Ridgenumber - Processamento de Dados LDA	Xxx Xxxxx x Xxxxx, 000 - 0x, 0000-000 Xxxxxxxxxx, Xxxxxxxxxxx
The Xxxxxx Xxxxxxxxxx Company	0000 Xxxxxxxx Xxxxxxxxx, #000, Xxxxxxx Xxxxx, XX, XXX 00000
VirtualEdge Corporation	Xxx XXX Xxxxxxxxx, Xxxxxxxx, XX, XXX 07068

Document Metadata

Table of Contents

Kodex ochrany osobních údajů společnosti ADP pro služby zpracování klientských údajů

Document Metadata