GENERAL TERMS AND CONDITIONS OF PERSONAL DATA PROCESSING

VŠEOBECNÉ PODMIENKY PRE SPRACÚVANIE OSOBNÝCH ÚDAJOV

spoločnosti MARKÍZA – SLOVAKIA, spol. s r.o. externými subjektami

GENERAL TERMS AND CONDITIONS OF PERSONAL DATA PROCESSING

of MARKÍZA – SLOVAKIA, spol. s r.o. by External Entities

1. ÚVODNÉ USTANOVENIA

1. Tieto všeobecné podmienky (ďalej len “VP“) upravujú práva a povinnosti pre spracúvanie osobných údajov (ďalej len “OÚ“) externými subjektmi vyplývajúce z ich predzmluvného a/alebo zmluvného vzťahu so spoločnosťou MARKÍZA – SLOVAKIA, spol. s r.o., so sídlom na Bratislavská 1/a, 843 56 Bratislava, IČO: 31 444 873, zapísanou v Obchodnom registri Okresného súdu Bratislava I, odd.: Sro, vl. č.: 12330/B (ďalej len “MS“) podľa všeobecného nariadenia o ochrane osobných údajov č. 2016/679 (ďalej len “GDPR“) a zák. č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len “ZOOÚ“) a súvisiacich právnych predpisov. Pre vylúčenie akýchkoľvek pochybností platí, že k vzniku zmluvného vzťahu medzi MS a príslušným externým subjektom môže dôjsť aj na základe inej ako písomnej zmluvy.

2. Externým subjektom sa pre účely týchto VP rozumie fyzická alebo právnická osoba vykonávajúca pre MS na základe objednávky MS a/alebo zmluvy také činnosti a služby, pri ktorých dochádza alebo môže dochádzať k spracúvaniu OÚ v mene MS ako prevádzkovateľa, a teda tento externý subjekt môže byť voči MS podľa čl. 4 bodu

8 GDPR v postavení jej sprostredkovateľa OÚ (ďalej len “externý subjekt“). Za externý subjekt sa považujú predovšetkým (i) sponzori, ktorí venovali cenu do súťaže organizovanej MS; (ii) externé spoločnosti poskytujúce služby súvisiace s organizáciou súťaží; (iii) externé spoločnosti poskytujúce služby súvisiace s organizáciou podujatí; (iv) externí fotografi poskytujúci fotografické služby a externí kameramani, strihači a/alebo redaktori; (v) externé subjekty poskytujúce služby správy sociálnych sietí a/alebo webových stránok prevádzkovaných MS; (vi) externí dodávatelia IT riešení v závislosti od povahy nimi poskytovaných služieb; (vii) externí dodávatelia zabezpečujúci podporu pri správe cookies; (viii) subjekty poskytujúce činnosti súvisiace s prípravou, výrobou a vysielaním relácií a príspevkov do relácií; a

(ix) iní externí dodávatelia MS v závislosti od povahy nimi poskytovaných služieb a činností.

3. V prípade, ak pri poskytovaní dohodnutých činností a služieb MS zo strany externého subjektu dôjde k prístupu a/alebo spracúvaniu OÚ, externý subjekt je povinný dodržiavať všetky podmienky uvedené v týchto VP. V prípade porušenia akejkoľvek povinnosti uvedenej v týchto VP je MS oprávnená uplatniť opatrenia uvedené v týchto VP a/alebo opatrenia v súlade s príslušnými právnymi predpismi.

2. OSOBITNÉ POVINNOSTI PRE SPRACÚVANIE OÚ

1. Externý subjekt sa ako sprostredkovateľ MS zaväzuje dodržiavať najmä nasledovné

povinnosti:

a. Získavať OÚ v mene MS len pre účely vopred stanovené MS, overovať ich aktuálnosť a správnosť, a overovať existenciu právneho základu pre ich spracúvanie.

b. Spracúvať OÚ len v rozsahu nevyhnutne potrebnom na dosiahnutie účelu poskytovania dohodnutých činností a služieb MS, ako je napr. (i) účasť na výbere výhercu a/alebo odovzdanie ceny výhercovi súťaže organizovanej MS;

(ii) realizácia súťaže, zabezpečenie účasti súťažiacich v súťaži a výber vhodného kandidáta na výhercu; (iii) realizácia a organizácia podujatia, registrácia účastníkov podujatia; (iv) vyhotovovanie podobizní, obrazových snímok, zvukových a/alebo obrazovo-zvukových / audiovizuálnych záznamov fyzických osôb, ich triedenie a úprava a/alebo prístup k nim; (v) správa oficiálnych profilov MS na sociálnych sieťach a webových portálov, komunikácia s prispievateľmi na týchto profiloch a webových portáloch, administrácia diskusií, zverejňovanie príspevkov a/alebo organizácia súťaží prebiehajúcich prostredníctvom týchto profilov a webových portáloch v mene MS; (vi) poskytovanie IT riešení pre tvorbu databáz a/alebo rozposielanie newsletterov a/alebo komunikáciu s dotknutými osobami a iné činnosti v závislosti od povahy poskytovaných služieb; (vii) poskytovanie podpory pri správe cookies; (viii) získavanie, uchovávanie, spracovávanie a iné používanie osobných údajov v nevyhnutnom rozsahu v súvislosti s vytváraním reportáží a relácií; a (ix) poskytovanie iných dohodnutých činností a služieb.

c. Spracúvať OÚ len po dobu nevyhnutnú na dosiahnutie účelu poskytovania dohodnutých činností a služieb MS v závislosti od pokynov MS.

d. V prípade priameho získavania OÚ je externý subjekt povinný v mene MS zabezpečiť informovanie dotknutých osôb o spracúvaní ich OÚ, a to najneskôr pri získavaní ich OÚ v rozsahu podľa čl. 13 GDPR. Informovanie dotknutých osôb musí byť jednoduché a zrozumiteľné, a musí byť zabezpečené primeraným spôsobom. Externý subjekt je povinný vedieť MS toto informovanie kedykoľvek preukázať. Dotknutou osobou sú všetky fyzické osoby, ktorých OÚ sa pri poskytovaní dohodnutých činností a služieb spracúvajú ako napr. (i) súťažiaci a výhercovia súťaží; (ii) súťažiaci a výhercovia súťaží; (iii) účastníci podujatia a registrovaní účastníci podujatia; (iv) fyzické osoby zaznamenané na obrazovej snímke, zvukových a/alebo obrazovo-zvukových záznamoch; (v) používatelia sociálnych sietí a/alebo webových stránok prevádzkovaných MS; (vi) osoby, ktorých údaje sa nachádzajú v databáze a/alebo mailing liste a/alebo v príslušnej komunikácii a iné osoby v závislosti od povahy poskytovaných služieb; (vii) návštevníci webových stránok/užívatelia.; (viii) účastníci vysielania a iné dotknuté osoby, ktorých údaje sú súčasťou vysielania a sú nevyhnutné na poskytovanie dohodnutých služieb; a (ix) klienti a iné fyzické osoby v závislosti od poskytovaných činností a služieb.

e. Spracúvať OÚ len na základe pokynov MS, a to aj pokiaľ ide o prípadný prenos OÚ do tretej krajiny alebo medzinárodnej organizácie, s výnimkou prípadov, keď si to vyžaduje právo EÚ alebo právo členského štátu, ktorému externý subjekt podlieha; v takom prípade externý subjekt oznámi MS túto právnu požiadavku ešte pred takýmto spracovaním (pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu).

f. Spracúvať OÚ len v rozsahu nevyhnutnom na dosiahnutie účelov uvedených v bode 1 písm. b) tohto článku, a to najmä: (i) identifikačné a kontaktné údaje a iné údaje nevyhnutné na realizáciu súťaže a odovzdanie výhry; (ii) identifikačné a kontaktné údaje a iné údaje nevyhnutné na realizáciu súťaže a odovzdanie výhry; (iii) identifikačné a kontaktné údaje a iné údaje nevyhnutné na realizáciu a organizáciu podujatia; (iv) podobizne, obrazové snímky, zvukové a/alebo obrazovo-zvukové záznamy a iné údaje nevyhnutné na dosiahnutie účelu spracovania; (v) údaje zverejnené prispievateľmi na sociálnych sieťach

1. RECITALS

1. These General Terms and Conditions (the “GTCs”) regulate the rights and obligations with respect to personal data (“PD”) processing by external entities arising from a pre-contractual and/or contractual relationship with MARKÍZA – SLOVAKIA, spol. s r.o., with its registered office at Xxxxxxxxxxxx 0/x, 000 00 Xxxxxxxxxx, ID No.: 31 444 873, registered in the Business Register of the Bratislava I District Court, Section: Sro, File No. 12330/B (“MS”), in accordance with the General Data Protection Regulation No. 2016/679 (the “GDPR”) and Act No. 18/2018 Coll. on personal data protection (the “PDPA”) and the related legal regulations. For the avoidance of any doubt, a contractual relationship between MS and a respective external entity may also be based on an agreement in a form other than written.

2. An external entity for the purposes of these GTCs means a natural or legal person performing for MS, based on an order and/or an agreement, such activities and services that involve or may involve the processing of PD on behalf of MS as the controller and therefore under Article 4(8) of the GDPR such an external entity may act as a PD processor in relation to MS (the “External Entity”). External Entities are mainly (i) sponsors who donated a prize to a competition organised by MS; (ii) external companies providing services related to the organisation of competitions; (iii) external companies providing services related to the organisation of events; (iv) external photographers providing photographic services and external cameramen, editors and/or reporters; (v) external entities providing social media management services and/or web pages operated by MS; (vi) external suppliers of IT solutions depending on the nature of the services they provide; (vii) external suppliers providing cookie management support; (viii) entities providing activities related to the preparation, production and broadcasting of programs and reports and contributions to programs; and (ix) other external suppliers of MS depending on the nature of the services and activities they provide.

3. When the provision of the agreed activities and services to MS by the External Entity involves access to and/or processing of PD, the External Entity is obliged to comply with all the terms and conditions set out in these GTCs. In the event of a breach of any obligation set out in these GTCs, MS is entitled to take the measures defined in these GTCs and/or measures under the applicable legal regulations.

2. SPECIAL PD PROCESSING OBLIGATIONS

1. The External Entity as the MS’s processor undertakes to comply in particular with the

following obligations:

a. Collect PD on behalf of MS solely for the purposes pre-determined by MS, verify that they are up to date and accurate, and verify the existence of the legal basis for their processing.

b. Process PD solely to the extent necessary to achieve the purpose of providing the agreed activities and services to MS, such as (i) participating in the selection of the winner and/or awarding the prize to the winner of a competition organised by MS; (ii) organising a competition, ensuring the participation of competitors in a competition and selecting a suitable candidate for the winner; (iii) holding and organising an event, registering event participants; (iv) making, sorting, editing and/or accessing photos, images, audio and/or audio-visual recordings of natural persons; (v) managing MS’s official profiles on social media and online platforms, communicating with contributors on these profiles and platforms, administering discussions, publishing posts and/or organising competitions taking place through these profiles and platforms on behalf of MS; (vi) providing IT solutions for the creation of databases and/or the distribution of newsletters and/or communication with data subjects, and other services depending on the nature of the provided services; (vii) providing support for cookie management; (viii) collecting, storing, processing and other use of personal data to the necessary extent in connection with the creation of reports and programs; and (ix) providing other agreed activities and services.

c. Process PD solely for the time necessary to achieve the purpose of providing

the agreed activities and services to MS depending on MS’s instructions.

d. In the event of direct collection of PD, the External Entity is obliged to ensure the notification of data subjects on the processing of their PD on behalf of MS at the latest when collecting their PD to the extent under Article 13 of the GDPR. Notification of data subjects shall be simple and intelligible and shall be provided by appropriate means. The External Entity shall be able to demonstrate the notification to MS at any time. Data subjects are all natural persons whose PD are processed when providing the agreed activities and services, such as (i) competitors and winners of competitions; (ii) competitors and winners of competitions; (iii) event participants and registered event participants; (iv) natural persons recorded on video, audio and/or audio-visual recordings; (v) users of social media and/or websites operated by MS;

(vi) persons whose data are stored in a database and/or in a mailing list and/or in a relevant communication and other persons, depending on the nature of the provided services; (vii) website visitors/users; (viii) program participants and other data subjects whose data is part of the broadcasting and are necessary for the provision of the agreed services; and (ix) clients and other natural persons, depending on the activities and services provided.

e. Process PD solely based on MS’s instructions, even with respect to any PD transfer to a third country or an international organisation, except where required by the law of the EU or the Member State to which the External Entity is subject; in such event the External Entity shall notify MS of this legal requirement before such processing (unless such law prohibits such notification on important grounds of public interest).

f. Process PD solely to the extent necessary to achieve the purposes specified in clause 1(b) of this Article, in particular: (i) identification and contact details and other data necessary to organise a competition and award the prize;

(ii) identification and contact details and other data necessary to organise a competition and award the prize; (iii) identification and contact details and other data necessary to hold and to organise an event; (iv) photos, images, audio and/or audio-visual recordings and other data necessary to achieve the

a webových portáloch ako napr. aktivity, príspevky, xxxxx a iné údaje nevyhnutné na dosiahnutie účelu spracovania; (vi) identifikačné údaje a/alebo údaje týkajúce sa činnosti dotknutej osoby, logy a/alebo údaje nevyhnutné pre tvorbu databázy a/alebo mailing listu a/alebo danú komunikáciu a/alebo iné údaje v závislosti od typu poskytovanej služby súvisiacej s IT riešeniami; (vii) typ browsera, údaje

o operačnom systéme, cookie ID, IP adresa a iné údaje v závislosti od konkrétneho nastavenia spravovanej služby; (viii) podobizne, obrazové snímky, zvukové a/alebo obrazovo-zvukové záznamy, meno, priezvisko, adresa, pracovná pozícia a iné údaje, ktoré sú súčasťou vysielania; a (ix) ďalšie údaje nevyhnutné na dosiahnutie účelu spracúvania. V prípade, ak by sprostredkovateľ získaval v mene MS osobné údaje osobitnej kategórie je povinný okrem právneho základu uvedeného v čl. 6 GDPR disponovať aj výnimkou zo zákazu spracúvania OÚ podľa čl. 9 ods. 2 GDPR. Pri spracúvaní OÚ maloletých dotknutých osôb je potrebné zvlášť citlivo pristupovať k spracúvaniu OÚ a disponovať vhodným právnym základom. Ak ide o spracúvanie OÚ maloletých na základe SÚHLASU, v prípade, ak má maloletý 15 rokov a viac, udeľuje súhlas MS priamo sám maloletý. V prípade, ak má maloletý menej ako 15 rokov, tento súhlas musia MS udeliť jeho zákonní zástupcovia.

g. Zaviesť postupy stanovujúce pravidlá na prístup k OÚ a pre ich ďalšie spracúvanie a dodržiavať všetky ostatné povinnosti stanovené v GDPR (najmä s ohľadom na čl. 28), v ZOOÚ, ako aj v ďalších súvisiacich právnych predpisoch a týchto VP. Dodržiavať vo vzťahu k OÚ mlčanlivosť a neposkytovať OÚ iným ako dohodnutým tretím osobám a prijať také opatrenia, aby nedošlo k neoprávnenému alebo náhodnému prístupu k OÚ, k ich zmene, zničeniu či strate, k neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj inému zneužitiu. Táto povinnosť platí aj po ukončení spracúvania OÚ externým subjektom.

h. Bezodkladne poskytovať MS maximálnu súčinnosť.

i. Prijať technické a organizačné opatrenia s cieľom zaistiť ochranu údajov v súlade s čl. 29 GDPR, a to s prihliadnutím na stav techniky a náklady na vykonanie opatrení, povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prípadne zahŕňajúc aj:

i. pseudonymizáciu a šifrovanie OÚ (ak je to účelné a možné);

ii. schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

iii. schopnosť včas obnoviť dostupnosť OÚ a prístup k nim v prípade fyzického alebo technického incidentu;

iv. proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania;

v. a ďalšie opatrenia uvedené v prílohe č. 1 týchto VP.

j. Prijať opatrenia na identifikáciu a overenie toho, komu sú OÚ zasielané, a pri automatizovanom spracúvaní OÚ vytvoriť elektronické záznamy, ktoré budú umožňovať identifikáciu a overenie toho, kedy, kým a za akým účelom boli tieto OÚ zaznamenané, či inak spracované. Zároveň pri automatizovanom spracúvaní OÚ externý subjekt zabezpečí, aby osoby oprávnené na používanie systémov na automatizované spracúvanie OÚ mali prístup iba k OÚ zodpovedajúcim ich oprávneniam prostredníctvom osobitných oprávnení používateľa vytvorených výhradne pre tieto osoby.

k. S ohľadom na povahu spracúvania, v čo najväčšej miere pomáhať MS ako prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení povinnosti MS reagovať na žiadosti o výkon práv dotknutej osoby. V prípade uplatnenia si práva dotknutej osoby je o tom externý subjekt povinný MS preukázateľne a bezodkladne informovať.

l. Pomáhať MS ako prevádzkovateľovi zabezpečiť plnenie povinností podľa čl. 33 až 36 GDPR, a to s prihliadnutím na povahu spracúvania a na informácie, ktoré sú externému subjektu dostupné. Externý subjekt je povinný bezodkladne, najneskôr do 24 hodín, preukázateľne informovať MS ako prevádzkovateľa

o porušení ochrany OÚ týkajúcich sa predmetu týchto VP.

2. V prípade, ak má externý subjekt záujem spracúvať OÚ získané v súvislosti s jeho činnosťou pre vlastné účely, resp. účely iných subjektov ako MS, uvedené spracúvanie musí byť zákonné a externý subjekt je plne zodpovedný za splnenie príslušných povinností na úseku ochrany osobných údajov a súvisiacich predpisov, o čom je povinný dotknuté osoby osobitne informovať. MS za takéto spracovanie OÚ nezodpovedá.

3. ĎALŠIE POVINNOSTI PRE SPRACÚVANIE OÚ

1. Pokiaľ v týchto VP nie je uvedené inak, externý subjekt bez predchádzajúceho písomného súhlasu MS, úplne ani čiastočne nepostúpi, nepredá, a ani na žiadnu tretiu osobu neprevedie a ani neprenesie žiadne zo svojich práv vyplývajúcich z týchto VP, a ani celkom ani čiastočne nepostúpi, neprevedie, neposkytne sublicencie, neuzavrie subdodávateľskú zmluvu, a ani inak neprevedie svoje povinnosti vyplývajúcich z týchto VP. MS je ako prevádzkovateľ oprávnený postúpiť alebo previesť niektoré alebo všetky svoje práva a povinnosti vyplývajúce z týchto VP na akúkoľvek ďalšiu osobu, a to aj v rámci zlúčenia alebo zo zákona.

2. Externý subjekt ako sprostredkovateľ zároveň kontroluje a zodpovedá za to, že:

a. k OÚ a iným údajom nebudú mať prístup neoprávnené osoby.

b. nebude dochádzať k neoprávnenému čítaniu, vytváraniu kópií, prenosu, úprave či vymazaniu záznamov obsahujúcich OÚ.

c. osoby oprávnené pristupovať k OÚ sú povinné zachovávať mlčanlivosť o obsahu OÚ a dodržiavať príslušné zásady, normy a požiadavky vo vzťahu k spracúvaniu OÚ. Ďalej zodpovedá, že tieto osoby boli primerane a vhodne preškolené ohľadom zásad týkajúcich sa bezpečnosti, súkromia a ochrany OÚ a boli poučené

o svojich povinnostiach s tým súvisiacich.

d. OÚ bude uchovávať na serveri umiestnenom v Slovenskej republike, resp. v

Českej republike.

e. pred zapojením čiastkových sprostredkovateľov externý subjekt ako sprostredkovateľ MS týchto čiastkových sprostredkovateľov vhodným spôsobom preverí podľa osvedčených postupov daného odvetvia, vrátane prípadného

purpose of processing; (v) data published by contributors on social media and on-line platforms such as activities, posts, nicknames and other data necessary to achieve the purpose of processing; (vi) identification details and/or information about the activity of a data subject, logs and/or data necessary to create a database and/or a mailing list and/or a communication and/or other data depending on the type of an IT solution service provided;

(vii) browser type, operating system information, cookie ID, IP address and other data depending on the specific settings of the managed service; (viii) photos, images, audio and/or audio-visual recordings, name, surname, address, job position and other data that is a part of a program; and (ix) other data necessary to achieve the purpose of the data processing. In case a processor collects special categories of personal data on behalf of MS, in addition to the legal basis under Article 6 of the GDPR, the processor shall also demonstrate an exception to the prohibition of processing of PD under Article 9(2) of the GDPR. When processing PD of minor data subjects, it is necessary to apply a particularly sensitive approach to PD processing and shall have a proper legal basis for such processing. Where the PD of minors is processed based on CONSENT, if the minor is 15 years of age or older, the consent shall be given to MS directly by the minor. If the minor is younger than 15 years of age, the consent shall be given to MS by the minor’s legal guardian.

g. Implement the procedures defining the rules for approach to PD and their further processing and comply with all other obligations stipulated in the GDPR (in particular under Article 28), in the PDPA, as well as in other related legal regulations and these GTCs. Keep PD confidential and not disclose PD to other than agreed third parties and take measures to prevent unauthorised or accidental access to PD, their alteration, destruction or loss, unauthorised transfers or other unauthorised processing or other misuse. This obligation also applies after the termination of PD processing by the External Entity.

h. Provide MS with full cooperation without any delay.

i. Implement appropriate technical and organisational measures to ensure data protection in accordance with Article 29 of the GDPR, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the data processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, including inter alia as appropriate:

i. the pseudonymisation and encryption of PD (where reasonable and practicable);

ii. the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

iii. the ability to restore the availability and access to PD in a timely manner in the event of a physical or technical incident;

iv. a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing;

v. and other measures as specified in Annex 1 to these GTCs.

j. Take measures to identify and verify the party to which PD are sent, and for automated PD processing, create electronic records enabling identification and verification of when, by whom and for what purpose these PD were recorded or otherwise processed. Also, for automated PD processing the External Entity shall ensure that the person authorised to use the systems for automated PD processing only have access to PD corresponding to their authorisations through special user authorisations created exclusively for those persons.

k. Taking into account the nature of the processing, assist MS as the controller by appropriate technical and organisational measures, insofar as this is possible, in the fulfilment of MS’s obligation to respond to requests for exercising the data subject’s rights. If a data subject exercises his or her right, the External Entity shall demonstrably and immediately notify MS thereof.

l. Assist MS as the controller in ensuring compliance with the obligations under Articles 33 to 36 of the GDPR, taking into account the nature of data processing and the information available to the External Entity. The External Entity shall without any delay, but at the latest within 24 hours, demonstrably notify MS as the controller of any breach of the PD covered by these GTCs.

2. If the External Entity wishes to process PD collected in relation to its business for its own purposes or the purposes of entities other than MS, such processing shall be legal and External Entity is fully responsible for compliance with the applicable personal data protection obligations and the related regulations, of which the External Entity shall individually notify the data subjects. MS is not responsible for such PD processing

3. OTHER PD PROCESSING OBLIGATIONS

1. Unless these GTCs provide otherwise, without the prior written consent of MS the External Entity shall not fully or partially assign, sell, transfer or confer to any third party any of its rights under these GTCs or fully or partially assign, transfer, sublicense, subcontract or otherwise transfer its obligations under these GTCs. MS as the controller is entitled to assign or transfer any or all of its rights and obligations under these GTCs to any other party, also as part of a merger or by law.

2. The External Entity as the processor also controls and is responsible for ensuring that:

a. unauthorised persons have no access to PD and other data;

b. there is no unauthorised reading, copying, transfer, modification or deletion of records containing PD;

c. persons authorised to access PD shall keep confidential the PD content and comply with the applicable PD processing policies, standards and requirements. The External Entity is also responsible for ensuring that those persons have been adequately and appropriately trained in the PD security, privacy and protection policies and advised of their related obligations;

d. PD shall be stored on a server located in the Slovak Republic, or in the Czech Republic;

e. before engaging sub-processors, External Entity as the MS’s processor shall adequately check such sub-processors according to industry best practices, including any privacy impact assessment, and the External Entity shall request from MS a prior written/e-mail consent;

posúdenia vplyvu na súkromie, a zároveň si vyžiada predchádzajúci písomný/e- mailový súhlas MS ako prevádzkovateľa s takýmto zapojením.

x. xxxxxxxxx, aby všetky technické a organizačné opatrenia podľa týchto VP prijali aj jeho čiastkoví sprostredkovatelia.

g. zostáva zodpovedný za spracúvanie OÚ vykonané čiastkovými sprostredkovateľmi rovnako, ako keby spracúvanie vykonal on sám. Externý subjekt ako sprostredkovateľ MS prijíma zodpovednosť za zabezpečenie toho, aby mu čiastkoví sprostredkovatelia umožnili v plnom rozsahu plniť jeho povinnosti vyplývajúce týchto VP a príslušných právnych predpisov o ochrane OÚ, a v každom prípade bude celkom zodpovedať za následky konania a chýb svojich pracovníkov, zástupcov a/alebo čiastkových sprostredkovateľov, v dôsledku ktorých nebudú dodržané ustanovenia týchto VP a/alebo príslušných právnych predpisov.

h. po ukončení poskytovania dohodnutých činností a služieb MS týkajúcich sa spracúvania na základe rozhodnutia MS ako prevádzkovateľa, odovzdá MS ako prevádzkovateľovi všetky OÚ zo všetkých svojich systémov a databáz a zo všetkých systémov a databáz všetkých svojich čiastkových sprostredkovateľov (ak právo EÚ alebo právo členského štátu nepožaduje uchovávanie týchto OÚ) a následne zabezpečí, aby boli tieto OÚ v jeho databázach a systémoch a v databázach a systémoch jeho čiastkových sprostredkovateľov vymazané,

o čom poskytne MS ako prevádzkovateľovi na vyžiadanie potvrdenie.

3. Za účelom preverenia, či externý subjekt a/alebo jeho schválení čiastkoví sprostredkovatelia dodržiavajú povinnosti stanovené v týchto VP a/alebo povinnosti stanovené v príslušných právnych predpisoch vo vzťahu k OÚ, externý subjekt poskytne MS všetky informácie potrebné na preukázanie splnenia týchto jeho povinností a umožní MS audity, ako aj kontroly vykonávané MS alebo audítorom povereným MS, pričom je za týmto účelom povinný poskytnúť MS a ňou povereným osobám maximálnu súčinnosť.

4. Externý subjekt sa zaväzuje nahradiť MS ako prevádzkovateľovi, prípadne tretím osobám, škodu, ktorá vznikne v dôsledku a/alebo v súvislosti s neoprávneným spracovaním zo strany externého subjektu a/alebo jeho čiastkových sprostredkovateľov. Povinnosti a zodpovednosť podľa tohto ustanovenia zaväzujú externý subjekt aj v prípade, ak škodu spôsobil jeho zamestnanec, zmluvný partner či osoby s ním spolupracujúce (prípadne jeho čiastkový sprostredkovateľ). Externý subjekt zodpovedá MS za škodu spôsobenú porušením povinností podľa týchto VP a/alebo príslušných právnych predpisov, pričom za škodu sa na účely týchto VP považuje aj pokuta uložená MS príslušným orgánom dozoru, ktorá je následkom porušenia týchto VP a/alebo príslušných právnych predpisov zo strany externého subjektu.

4. ZÁVEREČNÉ USTANOVENIA

1. Externý subjekt berie na vedomie, že jeho spolupráca s MS pri poskytovaní niektorých služieb a činností môže byť upravená aj ďalšími špeciálnymi podmienkami, resp. zmluvami, a zaväzuje sa ich dodržiavať.

2. Právne vzťahy medzi MS a externými subjektami sa riadia týmito VP a príslušnými právnymi predpismi Slovenskej republiky.

3. Externý subjekt je ako sprostredkovateľ MS oprávnený spracúvať dohodnuté OÚ po dobu uvedenú v článku 2, bode 1, písm. c) VP, pričom žiadny jednotlivý OÚ (týka sa to všetkých prípadov) nesmie spracúvať dlhšie, než je to nevyhnutné pre dosiahnutie účelu spracúvania podľa týchto VP.

4. Tieto VP zaväzujú externý subjekt po celú dobu trvania spolupráce s MS. Povinnosť zachovávania mlčanlivosti však zaväzuje externý subjekt aj po jej skončení. Platnosť týchto VP je možné ukončiť písomnou dohodou strán.

5. V prípade akýchkoľvek pochybností alebo otázok ohľadom spracúvania OÚ v mene MS je externý subjekt povinný obrátiť sa na zodpovednú osobu MS prostredníctvom e-mailu na XXXX.xxxxxxx@xxxxxxx.xx pričom v predmete e-mailu je povinný uviesť “Externý dodávateľ – spracovanie OÚ podľa VP“.

6. Úplná alebo čiastočná neúčinnosť alebo neplatnosť ktoréhokoľvek ustanovenia týchto VP nebude mať za následok neplatnosť celých VP. Ak sa stane ktorékoľvek z ustanovení VP neplatným, MS nahradí toto neplatné ustanovenie iným ustanovením na dosiahnutie účelu, ktorý mal byť pôvodne dosiahnutý neplatným ustanovením týchto VP.

7. Pre vylúčenie akýchkoľvek pochybností platí, že externému subjektu za plnenie si jeho povinností súvisiacich so spracúvaním OÚ podľa týchto VP a príslušných právnych predpisov nepatrí žiadna osobitná odmena, a že prípadná odmena za činnosti a služby, ktoré externý subjekt poskytuje MS, je predmetom prípadnej osobitnej dohody medzi externým subjektom a MS.

8. Žiadne ustanovenie týchto VP nezakladá, a ani ho nemožno vykladať tak, že by sa medzi externým partnerom a MS zakladalo akékoľvek obchodné partnerstvo, franšízu alebo spoločný podnik.

9. Tieto VP nadobúdajú platnosť a účinnosť 01.01.2021. MS je oprávnená v závislosti od zmien príslušných právnych predpisov, svojej obchodnej politiky alebo na základe vlastného rozhodnutia jednostranne zmeniť alebo úplne nahradiť tieto VP.

f. the External Entity shall ensure that all technical and organisational measures under these GTCs are also taken by its sub-processors;

g. the External Entity remains responsible for PD processing carried out by sub-processors as if the processing was carried out by External Entity itself. The External Entity as the MS’s processor assumes responsibility for ensuring that sub-processors enable External Entity to fulfil all its obligations under these GTCs and the applicable PD protection regulations, and in any case, External Entity shall be fully responsible for the consequences of the actions and errors of its staff, representatives and/or sub-processors that result in non-compliance with these GTCs and/or applicable legal regulations;

h. after terminating the provision of the agreed processing activities and services for MS based on a decision of MS as the controller, the External Entity shall hand over to MS as the controller all PD from all of its and its sub-processors’ systems and databases (unless the law of the EU or the Member State requires retention of these PD) and shall subsequently ensure their erasure from its and its sub-processor’s databases and systems, of which External Entity shall give MS as the controller confirmation upon request.

3. In order to verify that the External Entity and/or its approved sub-processors comply with their obligations set out in these GTCs and/or stipulated by the applicable legal regulations with respect to PD, the External Entity shall provide MS with all information necessary to demonstrate compliance with these obligations and allow MS audits, including inspections conducted by MS or auditors mandated by MS, and for this reason it shall be obliged to provide MS and its authorised persons with full cooperation.

4. The External Entity undertakes to indemnify MS as the controller, or any third parties, for damage caused as a result of and/or in relation to unauthorised processing by the External Entity and/or its sub-processors. Obligations and responsibilities hereunder also apply to the External Entity if damage was caused by its employee, contractual partner or persons cooperating with the External Entity (or by its sub-processor). The External Entity is liable to MS for damage caused due to a breach of obligations under these GTCs and/or applicable legal regulations, and for the purpose of these GTCs damage shall also include a penalty levied on MS by a competent supervisory authority as a result of a breach of these GTCs and/or applicable legal regulations by the External Entity.

4. FINAL PROVISIONS

1. The External Entity acknowledges that its cooperation with MS in providing certain services and activities may also be governed by other special terms and conditions, or agreements, and undertakes to ensure compliance therewith.

2. Legal relations between MS and External Entities are governed by these GTCs and applicable Slovak legal regulations.

3. As the MS’s processor, the External Entity is authorised to process the agreed PD for the period as specified in Article 2(1)(c) of the GTCs, and no individual piece of PD (applies to all cases) shall be processed longer than necessary to achieve the purpose of the processing hereunder.

4. These GTCs apply to the External Entity throughout the whole cooperation with MS. However, the duty of confidentiality also applies to the External Entity after the cooperation has been terminated. These GTCs shall be terminated by a written agreement of the parties.

5. In the event of any doubts or questions regarding PD processing on behalf of MS, the External Entity shall contact the MS’s data protection officer by e-mail at XXXX.xxxxxxx@xxxxxxx.xx, whereas the subject of the e-mail shall contain “External supplier – PD processing under GTCs“.

6. Full or partial ineffectiveness or invalidity of any provision of these GTCs shall not invalidate the entire GTCs. If any of the GTCs provisions becomes invalid, MS shall replace such an invalid provision with another provision to achieve the purpose originally intended to be achieved by the invalid provision of these GTCs.

7. For the avoidance of any doubt, the External Entity is not entitled to any special fee for the fulfilment of its obligations related to PD processing under these GTCs and applicable legal regulations, and any potential fee for the activities and services provided to MS by the External Entity is subject to a separate agreement between the External Entity and MS.

8. No provision of these GTCs shall create or be construed as creating any business partnership, franchise or joint venture between the External Entity and MS.

9. These GTCs enter into force and effect on 1 January 2021. MS is entitled, depending on any changes to applicable legal regulations, changes in its business policy or at its own discretion, to unilaterally amend or fully replace these GTCs.

Príloha č. 1:

OSOBITNÉ TECHNICKÉ A ORGANIZAČNÉ OPATRENIA NA ZABEZPEČENIE OCHRANY OÚ

1. Fyzický prístup: Externý subjekt má mať ako sprostredkovateľ MS zavedené normy pre fyzické zabezpečenie, ktorých cieľom je zamedziť neoprávnenému fyzickému prístupu do priestorov a k jeho vybaveniu. Patria sem tieto postupy:

a. je stanovené a zavedené zabezpečenie k ochrane oblastí, v ktorých sa nachádzajú citlivé alebo dôležité údaje a zariadenia na spracúvanie údajov (vrátane OÚ);

b. zabezpečené oblasti sú chránené vhodnými vstupnými kontrolami, ktoré zabezpečia prístup iba oprávneným pracovníkom;

c. fyzický prístup na tieto miesta je obmedzený na zamestnancov, subdodávateľov

a oprávnených návštevníkov externého subjektu ako sprostredkovateľa MS;

d. zamestnancom, povoleným subdodávateľom a oprávneným návštevníkom externého subjektu ako sprostredkovateľa MS sú vystavené identifikačné preukazy, ktoré musia tieto osoby nosiť pri sebe po dobu prítomnosti v objekte;

e. sledovanie prístupu do zariadenia externého subjektu ako sprostredkovateľa MS, vrátane oblastí s obmedzeným prístupom a vybavenia v tomto zariadení;

f. vedenie záznamov o prístupe, ktoré je možno neskôr skontrolovať v rámci

auditu; a

g. vybavenie sa nachádza v objekte a je chránené tak, aby boli znížené riziká a nebezpečenstvá pochádzajúce z prostredia a príležitosti k neoprávnenému prístupu.

2. Kontrola prístupu a správa: Externý subjekt ako sprostredkovateľ MS udržiava v platnosti nasledujúce zásady, normy a postupy na kontrolu prístupu a správu príslušného výpočtového prostredia:

a. na základe vhodných postupov pre zabezpečenie podnikania a informácií sú zavedené, zdokumentované a preskúmané zásady pre kontrolu prístupov (a externý subjekt ako sprostredkovateľ MS bezodkladne predloží MS na vyžiadanie kópiu týchto zásad);

b. je zavedený formálny postup pre registráciu používateľa a zrušenie jeho užívateľského oprávnenia, na základe ktorého možno udeliť práva na prístup;

c. je zavedený formálny postup pre poskytnutie prístupu používateľom, aby bolo možné udeliť alebo odvolať prístupové práva všetkým druhom používateľov do všetkých systémov a ku všetkým službám;

d. pridelenie a používanie práv vyhradeného prístupu je obmedzené a kontrolované. Medzi tieto práva patria prístupová práva k rozsiahlemu spracúvaniu OÚ (napr. hromadné otázky, hromadné zmeny, hromadný export údajov, hromadný výmaz);

e. prideľovanie tajných autentizačných údajov je kontrolované prostredníctvom formálneho procesu;

f. prístupové práva používateľov sú pravidelne kontrolované;

g. prístup k systémom a aplikáciám spracúvajúcim OÚ je kontrolovaný vhodným a zabezpečeným postupom pre prihlasovanie;

h. systémy správy hesiel sú interaktívne a zaisťujú, že heslá budú kvalitné;

i. heslá musia byť pri prenose šifrované;

j. administrátorské účty by mali byť používané iba pre administrátorské činnosti;

k. ku každému účtu s administrátorskými právami alebo s prístupom k OÚ musí byť

vystopovateľná jednoznačne identifikovateľná osoba; a

l. všetok prístup k počítačom a serverom musí byť chránený heslom a zodpovedať požiadavkám pracovnej pozície daného zamestnanca či dodávateľa.

3. Antivírová kontrola a záznamy: Na počítačoch a serveroch je nainštalovaná primeraná aktuálna verzia systému bezpečnostného softwaru, ktorý môže zahŕňať serverový firewall, antivírovú ochranu a aktuálne patche a vírusové databázy. Tento software je nakonfigurovaný tak, aby pravidelne hľadal a bezodkladne odstraňoval alebo opravoval zistené nálezy. Externý subjekt ako sprostredkovateľ MS vedie záznamy rôznych zložiek infraštruktúry a systému pre detekciu neoprávneného prieniku, ktorý zisťuje a hlási vzorce zneužitia, podozrivé činnosti, neoprávnených používateľov a ďalšie skutočné či hroziace bezpečnostné riziká.

4. Pracovníci externého subjektu ako sprostredkovateľa MS: Zamestnanci a dodávatelia boli primerane a vhodne preškolení ohľadne zásad externého subjektu ako sprostredkovateľa MS týkajúcich sa bezpečnosti a súkromia a boli poučení o svojich povinnostiach vo vzťahu k súkromiu, postupom v oblasti ochrany a zabezpečenia údajov; a boli zavedené vhodné postupy a zásady pre ďalšie školenie všetkých zamestnancov a dodávateľov vrátane ďalších zamestnancov a dodávateľov, ktorí poskytujú služby externému subjektu ako sprostredkovateľovi MS. Zamestnanci a pracovníci externého subjektu ako sprostredkovateľa MS (vrátane dodávateľov) sú zmluvne zaviazaní k udržiavaniu mlčanlivosti o OÚ MS či dôverných informáciách a dodržiavaní príslušných zásad, noriem a požiadaviek MS vo vzťahu k spracovaniu OÚ MS.

5. Zabezpečenie kontinuity prevádzky a obnova po havárii: Externý subjekt ako sprostredkovateľ je schopný obnoviť dostupnosť OÚ a prístup k nim v prípade incidentov včas, pričom:

a. pre všetky systémy, ktoré spracúvajú OÚ, sú stanovené požiadavky kontinuity obchodnej činnosti a sú vypracované a testované plány obnovy po havárii; a

b. pre všetky systémy, ktoré spracúvajú OÚ, je zabezpečená dostatočná úroveň

redundancie.

6. Monitorovanie: Externý subjekt ako sprostredkovateľ MS používa tieto monitorovacie systémy a postupy v súlade s osvedčenými postupmi a pokynmi (vrátane pokynov týkajúcich sa monitorovania a práv fyzických osôb podľa príslušných právnych predpisov o ochrane OÚ):

a. sú vytvárané, vedené a pravidelne kontrolované záznamy o incidentoch, v ktorých sú zaznamenané činnosti používateľov, výnimky, závady a incidenty v oblasti bezpečnosti informácií; a

b. prihlasovacie zariadenie a prihlasovacie údaje sú chránené proti neoprávnenej manipulácii, zmenám, vymazaniu a neoprávnenému prístupu; a

c. vyhradený prístup k OÚ (napr. administrátori či operátori systému) a akékoľvek ďalšie spracúvanie, ktoré tieto osoby vykonávajú, sú zaznamenávané a monitorované; a

d. na zabezpečenie a nahlásenie neobvyklej činnosti vo vzťahu k OÚ sa používajú automatizované postupy.

Annex 1:

SPECIAL TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE PD PROTECTION

1. Physical access: As the MS’s processor, the External Entity should have adopted physical security standards in place to prevent unauthorised physical access to its premises and equipment. They include the following procedures:

a. safeguards are defined and in place to protect the areas where sensitive or important data and equipment for data processing (including PD) are located;

b. secured areas are protected by appropriate access checks ensuring only access of authorised staff;

c. physical access to these places is limited to employees, subcontractors and authorised visitors of the External Entity as the MS’s processor;

d. ID cards are issued to employees, permitted subcontractors and authorised visitors of the External Entity as the MS’s processor to be carried by these persons while being present in the building;

e. monitoring access to the External Entity’s facility as the MS’s processor,

including areas with restricted access and equipment in this facility;

f. keeping access records that can be later checked as part of an audit; and

g. the equipment is located in a building and is protected to mitigate the risks and hazards arising from the environment and an opportunity of unauthorised access.

2. Access control and management: The External Entity as the MS’s processor shall maintain the following policies, standards and procedures to control access and manage the respective IT environment:

a. access control policies are in place, documented and reviewed based on appropriate business and information security procedures (and the External Entity as the MS’s processor shall provide a copy of these policies to MS upon request);

b. a formal procedure is in place for user registration and cancellation of user authorisation based on which access rights can be granted;

c. a formal procedure is in place to grant users access, in order to grant or withdraw access rights to all types of users to all systems and all services;

d. the allocation and use of restricted access rights is limited and controlled. These rights include access rights to an extensive PD processing (e.g. bulk questions, bulk changes, bulk data export, bulk erasure).

e. allocation of secreted authentication data is controlled through a formal process;

f. user access rights are regularly reviewed;

g. access to PD processing systems and applications is controlled by means of an appropriate and secure login procedure;

h. password management systems are interactive and ensure high-quality passwords;

i. passwords shall be encrypted during transfer;

j. administrator accounts should only be used for administrator activities;

k. a clearly identifiable person shall be traceable for each account with administrator rights or access to PD; and

l. all access to computers and servers shall be protected by a password and correspond to the requirements of the job position of the respective employee or contractor.

3. Anti-virus control and records: Appropriate up-to-date security software version is installed on the computers and servers, which shall include a server firewall, anti- virus protection, current patches and virus databases. This software is configured to regularly search for and immediately remove or repair the identified findings. The External Entity as the MS’s processor keeps records of various components of the infrastructure and the intrusion detection system, which detects and reports abuse patterns, suspicious activities, unauthorised users and other actual or imminent security risks.

4. Staff of the External Entity as the MS’s processor: The employees and contractors have been adequately and suitably trained in the security and privacy policies of the External Entity as the MS’s processor and advised of their data privacy, protection and security procedures obligations, and appropriate procedures and policies are in place for further training of all employees and contractors, including other employees and contractors providing services to the processor. The employees and staff of the External Entity as the MS’s processor (including contractors) are contractually bound to keep confidential the MS’s PD or confidential information and to comply with the applicable policies, standards and requirements of the External Entity with respect to the processing of the MS’s PD.

5. Ensuring business continuity and disaster recovery: The External Entity as the processor is able to recover timely PD availability and access in the event of incidents:

a. for all systems processing PD the business continuity requirements are defined and disaster recovery plans are developed and tested; and

b. a sufficient redundancy level is ensured for all PD processing systems.

6. Monitoring: The External Entity as the processor uses these monitoring systems and procedures in accordance with best practices and instructions (including instructions concerning monitoring and the rights of natural persons under applicable PD protection regulations):

a. incident logs which record user activities, exceptions, defects and information security incidents are created, maintained and regularly reviewed; and

b. a login device and login data are protected against unauthorised manipulation, changes, deletion and unauthorised access;

c. restricted access to PD (e.g. for administrators or system operators) and any other processing carried out by these persons are recorded and monitored;

d. automated procedures are used to secure and report unusual activity regarding PD.