PRAVIDLA BASELINKER
PRAVIDLA BASELINKER
SMLOUVA O POVĚŘENÍ ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ
(„Smlouva o pověření“)
uzavřena mezi:
Uživatelem ve smyslu Pravidel (dále jen "Správce") a
BaseLinker sp. z o.o. se sídlem Xxxxxxx, Xx. Xxxxx 00, 00-000 Xxxxxxx, zapsanou v rejstříku podnikatelů Národního soudního rejstříku vedeného Okresním soudem pro Wrocław-Fabryczna ve Wrocławiu, 6. Hospodářské oddělení Národního soudního rejstříku, pod číslem KRS 0000795513, DIČ 8971868567, IČO 383907714; e-mail: xxxxxxx@xxxxxxxxxx.xxx (dále jen „Zpracovatel“).
Správce a Zpracovatel jsou dále společně označováni jako „Smluvní strany“ a každý jednotlivě jako
„Smluvní strana“.
1. Předmět Smlouvy o pověření
1.1. Předmětem Smlouvy o pověření je, příslušně pověření nebo další pověření zpracováním osobních údajů Správcem Zpracovateli, v souvislosti s plněním smluv uzavřených Smluvními stranami (dále jen „Hlavní smlouvy“), dle čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. L č.119, str. 1) (dále jen
„GDPR“).
1.2. Zpracováním osobních údajů v rozsahu uvedeném ve Smlouvě o pověření a za účelem realizace Hlavní smlouvy Správce pověřuje Zpracovatele a Zpracovatel se zavazuje zpracovávat osobní údaje v souladu s Pravidly a GDPR.
1.3. Smlouva o pověření se přiměřeně vztahuje na případy, kdy je zpracovatelem svěřených osobních údajů Správce - v takovém případě se Zpracovatel stává dalším zpracovatelem.
1.4. Smlouva o pověření se nevztahuje na případy, kdy Zpracovatel zpracovává osobní údaje jako nezávislý správce.
2. Rozsah pověření zpracování
2.1. Správce pověřuje Zpracovatele zpracováním osobních údajů v následujícím rozsahu:
(a) kategorie subjektů údajů: zaměstnanci, subdodavatelé, zákazníci, dodavatelé nebo obchodní partneři Správce;
(b) kategorie osobních údajů: v rozsahu nezbytném pro realizaci Hlavní smlouvy a zadávané údaje nebo zejména jméno a příjmení, oslovení - pan/paní, název firmy, NIP, adresa sídla, e- mailová adresa, doručovací adresa, telefonní číslo, detaily objednávky.
2.2. Zpracovatel je oprávněn provádět následující činnosti zpracování svěřených údajů: zaznamenávání, organizování, uspořádání, ukládání, přizpůsobování nebo upravování, stahování, prohlížení, používání, zpřístupňování odesláním, šířením nebo jiným zpřístupňováním, párování
nebo kombinování, omezování, odstraňování nebo ničení. Rozsah zpracovatelských operací závisí na pokynech Správce, obecně vydávaných při plnění Hlavní smlouvy.
3. Zpracování pouze na základě zdokumentovaných pokynů Správce
3.1. Zpracovatel bude zpracovávat osobní údaje pouze na základě ustanovení Smlouvy o pověření a doložených pokynů Správce.
3.2. Zpracování osobních údajů v rozsahu přesahujícím bod 2 vyžaduje dodatek ke Smlouvě o pověření
3.3. Výše uvedené neplatí, jedná-li Zpracovatel za účelem splnění povinnosti, kterou mu ukládá právo Evropské unie nebo právo členského státu, kterému Zpracovatel podléhá, a splnění této povinnosti nelze sladit s ustanoveními Smlouvy o pověření. Zpracovatel v takové situaci před zahájením zpracování informuje Správce o předmětné právní povinnosti, pokud platné právní předpisy poskytování takových informací nezakazují.
4. Povinnost mlčenlivosti
4.2. Zpracovatel zajistí, aby osoby uvedené v bodu 4.1:
(a) zpracovávali osobní údaje v souladu se zásadou nezbytných znalostí, a
(b) zavázali se zachovávat mlčenlivost o osobních údajích, nebo že podléhají příslušné zákonné povinnosti mlčenlivosti.
5. Bezpečnost zpracování
5.1. Zpracovatel zajišťuje zavedení vhodných technických a organizačních opatření k zajištění souladu zpracování s GDPR, včetně úrovně zabezpečení zpracování odpovídající riziku narušení práv a svobod subjektů údajů, prováděním a aktualizací výsledků analýzy rizik a řízením rizik. Zpracovatel je zejména povinen zajistit ochranu svěřených údajů před náhodným nebo nezákonným zničením, ztrátou, úpravou, neoprávněným zveřejněním nebo zpřístupněním, přenosem, uložením nebo zpracováním jiným způsobem, který by mohl zejména vést k fyzickému, hmotnému nebo nehmotnému poškození.
5.2. Bezpečnostní opatření implementovaná Zpracovatelem jsou uvedena v Příloze A.
5.3. Zpracovatel zajišťuje, aby se na svěřené osobní údaje vztahoval systém řízení bezpečnosti informací implementovaný v rámci organizace Zpracovatele na základě normy ISO/IEC 27001.
5.4. Zpracovatel nesmí využívat osobní údaje k jiným účelům, než jsou uvedeny ve Smlouvě o pověření, zejména nesmí bez výslovného souhlasu předávat osobní údaje třetím osobám, ani nesmí vytvářet kopie a duplikáty osobních údajů s tím, že výše uvedená výhrada se nevztahuje na vytváření záložních kopií pro zajištění řádného zpracování osobních údajů.
6. Další pověření zpracování
6.1. Zpracovatel může v souvislosti s plněním Hlavní smlouvy využívat služeb jiných zpracovatelů. Seznam dalších zpracovatelů pověřených Zpracovatelem zpracováním osobních údajů je uveden v Příloze B.
6.2. Zpracovatel oznámí Správci jakékoli zamýšlené změny přidání nebo nahrazení dalších zpracovatelů aktualizací Přílohy B. Správce má možnost vznést námitku proti takovým změnám do 5 dnů od obdržení oznámení tím, že s okamžitou účinností vypoví Hlavní smlouvu. Pokračování v plnění Hlavní smlouvy ze strany Správce znamená, že Správce nevznese žádné námitky proti aktualizaci Přílohy B.
6.3. Využívání služeb dalšího zpracovatele je povoleno pouze na základě smlouvy, která tomuto subjektu ukládá stejné povinnosti v oblasti ochrany osobních údajů, jakým podle Xxxxxxx o pověření podléhá původní Zpracovatel.
6.4. Pokud tento další zpracovatel nesplní své povinnosti v oblasti ochrany osobních údajů, plnou odpovědnost vůči Správci za splnění povinností tohoto dalšího zpracovatele nese původní Zpracovatel.
6.5. Správce zmocňuje Zpracovatele k udělování oprávnění, vydávání pokynů a příkazů ve smyslu čl. 29 GDPR ve vztahu k dalším zpracovatelům.
7. Předávání osobních údajů
7.1. V rozsahu nezbytném pro řádný provoz ICT infrastruktury Zpracovatele a efektivní fungování procesů v organizaci Zpracovatele, včetně uchovávání dokumentů nebo komunikace mezi osobami podílejícími se na realizaci Hlavní smlouvy, může Zpracovatel předat nebo povolit převod svěřených osobních údajů mimo Evropský hospodářský prostor.
7.2. Předání osobních údajů do třetích zemí bude probíhat na základě rozhodnutí uvedeného v čl. 45 odst. 3 GDPR, a v případě jeho neexistence - Zpracovatel zajistí odpovídající úroveň ochrany prostřednictvím řešení uvedených v čl. 46 GDPR, zejména prostřednictvím standardních smluvních doložek přijatých Evropskou komisí.
8. Reagování na žádosti subjektu údajů
8.1. Zpracovatel uplatňuje organizační a technická opatření, která Správci umožňují splnit povinnost odpovídat na žádosti subjektu údajů.
8.2. Uplatní-li subjekt osobních údajů vůči Správci své právo na přístup k osobním údajům, jejich opravu, doplnění, výmaz nebo omezení zpracování, bude Zpracovatel povinen uplatnit právo subjektu osobních údajů v souladu s pokyny Správce.
8.3. Obdrží-li Zpracovatel požadavek týkající se plnění práv subjektu údajů, Zpracovatel o tom informuje Správce nejpozději do 7 dnů od obdržení žádosti. Při poskytování informací o žádosti poskytuje Zpracovatel údaje odesílatele a obsah žádosti.
9. Výmaz nebo vrácení osobních údajů
Nejpozději do 30 dnů po skončení platnosti nebo ukončení poslední platné Hlavní smlouvy nebo po obdržení žádosti Správce vymaže Zpracovatel veškeré osobní údaje zpracovávané na základě Pověřovací smlouvy a vymaže všechny jejich stávající kopie, pokud právní předpisy Evropské unie neumožňují Unie nebo právo členského státu vyžaduje uložení údajů Zpracovatelem nebo osobní údaje jsou uloženy v záložních kopiích IT infrastruktury Zpracovatele vytvořené v rámci běžného podnikání.
10. Hlášení
10.1. Na žádost Správce poskytuje Zpracovatel informace nezbytné k plnění nebo prokázání splnění povinností dle čl. 28 a čl. 32-36 GDPR.
10.2. Zpracovatel o této skutečnosti informuje Správce bez zbytečného odkladu, nejpozději však do 36 hodin od zjištění narušení ochrany osobních údajů. Pokud Zpracovatel není schopen poskytnout Správci komplexní informace o zjištěném narušení, poskytne je posléze, bez zbytečného odkladu.
11. Kontroly
11.1. Za účelem ověření dodržování povinností vyplývajících ze Smlouvy o pověření má Správce právo provést kontrolu v rozsahu, v jakém Zpracovatel zpracovává údaje svěřené Správcem. Správce
může provést kontrolu sám nebo jím pověřená osoba, maximálně jednou za 12 měsíců a dále v případě výskytu incidentu.
11.2. Kontrola bude provedena v termínu dohodnutém Smluvními stranami, avšak ne dříve než 5 Pracovních dnů od oznámení Zpracovatele o úmyslu kontrolu provést. V oznámení by měl být uveden rozsah kontroly, osoby podílející se na jejím provedení a navrhovaný termín. Po obdržení oznámení o plánované kontrole má Zpracovatel právo oznámit Správci nový navrhovaný termín kontroly, nejpozději do 10 Pracovních dnů od data navrženého Správcem.
11.3. Veškeré informace a dokumenty, které budou Správci nebo jím pověřené osobě zpřístupněny nebo Správcem nebo jím pověřenou osobou v souvislosti s kontrolou, včetně výsledků kontroly, jsou důvěrné a představují obchodní tajemství Zpracovatele („důvěrné informace“). Správce je povinen zachovávat mlčenlivost o Důvěrných informacích a zaručuje, že jím pověřené osoby budou zachovávat mlčenlivost o Důvěrných informacích, zejména Správce a oprávněné osoby:
(a) zdrží se sdělování Důvěrných informací třetím stranám bez předchozího výslovného souhlasu Zpracovatele vyjádřeného v listinné podobě pod hrozbou neplatnosti;
(b) nebudou používat Důvěrné informace k jiným účelům než k provádění kontrol, zejména ke komerčním účelům.
11.4. Správce bude povinen poskytnout Zpracovateli písemný závazek osoby oprávněné k provedení kontroly zachovávat mlčenlivost o Důvěrných informacích ve výše uvedeném rozsahu. Zpracovatel má právo odmítnout poskytnutí odpovědí a přístup osobě pověřené ke kontrole jménem Správcem, není-li splněna podmínka uvedená v předchozí větě.
11.5. Kontrola může být provedena v Pracovní dny. Kontrolu lze provést pouze v rozsahu zahrnujícím kontrolu příslušné dokumentace a získání potřebných vysvětlení ohledně implementace jejích ustanovení, a to pouze v rozsahu, který nevyžaduje přístup k elektronickým a IT systémům a zařízením, které Zpracovatel používá k poskytování služby, jelikož tyto zdroje mohou zpracovávat rovněž jiné osobní údaje, na které se nevztahuje pověření mezi Smluvními stranami. Kontrola bude provedena způsobem, který nenaruší probíhající činnost Zpracovatele, v opačném případě má Zpracovatel právo kontrolu přerušit a zároveň sdělit Správci navrhovaný termín jejího obnovení.
11.6. Je-li kontrola nadměrně zatěžující nebo přesahuje rozsah uvedený v oznámení o záměru provedení kontroly, může Zpracovatel kontrolu přerušit a její pokračování podmínit zaplacením dodatečného poplatku s přihlédnutím k administrativním nákladům na poskytnutí informací, zpřístupňování dokumentů, sdělování nebo provádění jiných požadovaných nebo nezbytných činností v souvislosti s kontrolou.
11.7. Zpracovatel má právo odmítnout poskytnout Správci informace, na které se vztahuje zákonem chráněné tajemství, včetně tajemství podniku Zpracovatele nebo podniku třetích stran, jakož i informace představující osobní údaje, na které se Smlouva o pověření nevztahuje, pokud tyto informace mohou být nahrazeny jinými informacemi (včetně prohlášení Zpracovatele), a pokud to nebude možné, budou tyto informace zpřístupněny Správci (nebo jím určeným osobám) pouze v místě a pod dohledem osoby určené Zpracovatelem, po předchozím uzavření Smluvními stranami a všemi osobami pověřenými Správcem k provedení kontroly odpovídající smlouvy zavazující k řádné ochraně těchto informací.
12. Odpovědnost zpracovatele
12.1. Zpracovatel odpovídá Správci za jakákoli narušení vyplývající z neplnění nebo nesprávného plnění Smlouvy o pověření.
12.2. Zpracovatel neodpovídá Správci za škodu vzniklou v důsledku uložení správní pokuty či jiné správní sankce Správci dozorovým úřadem z důvodu narušení ochrany osobních údajů Správcem.
13. Závěrečná ustanovení
13.1. Tato Smlouva o pověření se uzavírá na dobu trvání Hlavních smluv.
13.2. Pojmy psané s velkým písmenem, které nejsou jinak definovány, mají význam daný v Pravidlech.
13.3. Pojmy „osobní údaje“, „zpracování“, „omezení zpracování“, „narušení ochrany osobních údajů“ nebo jiné pojmy definované v GDPR mají význam, který je jim daný v GDPR a vztahují se na Správce.
13.4. Ve věcech neupravených Smlouvou o pověření se použijí ustanovení Pravidel, jak rovněž ustanovení Občanského zákoníku a GDPR.
13.5. Soudem příslušným k projednávání sporů vyplývajících ze Smlouvy o pověření bude soud příslušný podle sídla Zpracovatele.
13.6. Pro účely související se Smlouvou o pověření je kontaktním místem na straně Zpracovatele e- mailová adresa: xxxxxxx@xxxxxxxxxx.xxx.
PŘÍLOHA A
BEZPEČNOSTNÍ OPATŘENÍ ZPRACOVATELE
Stav implementace GDPR
Projekt implementace GDPR je ukončen, Zpracovatel má a spravuje dokumenty požadované GDPR, včetně registru všech kategorií zpracovatelských činností.
Systém ochrany osobních údajů je neustále udržován a pravidelně kontrolován. Jednou ročně jsou prováděny nezávislé audity systému ochrany osobních údajů, v případě potřeby i ad hoc audity.
Úroveň zabezpečení odpovídá identifikovaným rizikům a je neustále zvyšována. Zpracovatel zajišťuje úroveň zabezpečení svěřených údajů přiměřenou riziku narušení práv a svobod fyzických osob, a zejména prostředky ochrany svěřených osobních údajů před náhodným zničením, ztrátou, změnou a neoprávněným zveřejněním.
Pro zdroje zpracovávající svěřené osobní údaje jsou uchovávány aktuální výsledky analýzy rizik. Pro udržení a neustálé zlepšování úrovně zabezpečení osobních údajů je implementován plán řízení rizik. Pokud je identifikována zranitelnost, která může způsobit významné riziko, je zohledněna jako součást plánu léčby rizik a je jí přiřazena vhodná priorita.
Zpracovatel přijal dokumentaci o ochraně osobních údajů zahrnující všechny aspekty souladu s GDPR. Zásady a postupy organizace jsou pravidelně konzultovány, vysvětlovány a v případě potřeby aktualizovány ve spolupráci s týmem pověřence pro ochranu osobních údajů.
Z důvodu plné implementace normy ISO/IEC 27001 má organizace k dispozici také komplexní dokumentaci systému řízení bezpečnosti informací, jejíž součástí je i systém ochrany osobních údajů.
Zásady a procedury ochrany osobních údajů
Xxxxxxxxxxx připravil a přijal zásady a procedury ochrany osobních údajů v souladu s čl. 24 odst. 2 GDPR a s požadavky polského dozorového orgánu.
Zásady a postupy ochrany osobních údajů byly sděleny zaměstnancům Zpracovatele. Zpracovatel připravil a implementoval zásady bezpečnosti nebo pokyny pro správu ICT zdrojů. Zpracovatel připravil postup pro okamžité hlášení narušení bezpečnosti informací Správci.
Osoby provádějící operace s osobními údaji byly řádně oprávněny zpracovávat osobní údaje podle čl. 29 GDPR.
Zpracovatel vede záznam o všech kategoriích zpracovatelských činností, který zahrnuje všechny informace požadované podle čl. 30 odst. 2 GDPR.
Zpracovatel je schopen prokázat dodržování zásad zpracování osobních údajů.
Vědomí zaměstnanců
Zpracovatel zajišťuje, že před povolením zpracování osobních údajů bude zaměstnaný člen personálu seznámen s platnými zásadami a procedurami ochrany osobních údajů.
Zpracovatel zajišťuje zlepšování znalostí svých členů personálu prostřednictvím pravidelných školení a dalších aktivit zaměřených na zvyšování povědomí v oblasti ochrany osobních údajů a bezpečnosti informací.
Zaměstnanci a spolupracovníci Zpracovatele, kteří se podílejí na zpracování osobních údajů, jsou povinni je zachovávat v tajnosti.
Členové personálu Zpracovatele, kteří se podílejí na zpracování svěřených osobních údajů, obdrželi příslušná oprávnění ke zpracování osobních údajů a jejich přístup k údajům a práva jsou omezeny v souladu se zásadou potřebných znalostí.
Správa narušení, žádostí fyzických osob, podpora Správce při prokazování souladu s GDPR
Zpracovatel zavedl postup pro případ zjištění možného narušení ochrany údajů.
Zpracovatel má prostředky k realizaci práv subjektů údajů, zejména práva na omezení zpracování a práva být zapomenut.
Zpracovatel včas upozorní Správce v případě narušení ochrany osobních údajů - ve lhůtě uvedené v ustanoveních Smlouvy o pověření. Zpracovatel odpovídá na dotazy Správce v rozsahu a ve lhůtách nezbytných ke splnění souvisejících povinností vyplývajících z GDPR.
Pověřenec pro ochranu osobních údajů a další funkce související s ochranou dat
Zpracovatel jmenoval pověřence pro ochranu osobních údajů, jehož postavení odráží požadavky čl. 38 GDPR a který plní všechny úkoly uvedené v čl. 39 GDPR.
Kontaktujte pověřence pro ochranu osobních údajů: xxxxxxx@xxxxxxxxxx.xxx.
Pověřenec pro ochranu osobních údajů je nezávislý a rozhodnutí o účelech a způsobech zpracování spočívá na zástupci vrcholového managementu a vlastnících procesů a zdrojů.
V souvislosti s provozem systému managementu bezpečnosti informací byly jmenovány osoby vykonávající funkce splňující požadavky normy ISO/IEC 27001, zejména Chief Information Security Officer.
Kodexy chování a certifikační mechanismy, informační bezpečnost
Zpracovatel zavedl kompletní systém řízení bezpečnosti informací dle normy ISO/IEC 27001 a vlastní aktuální certifikát potvrzující správnou implementaci a údržbu systému řízení bezpečnosti informací (ISMS), v souladu s výše uvedenou normou.
Audit a analýza rizik
Zpracovatel podrobuje svůj systém ochrany osobních údajů pravidelným nezávislým auditům a bezpečnostním testům.
Zpracovatel pravidelně identifikuje a klasifikuje zdroje zpracovávající osobní údaje, a to i z hlediska stávajících a plánovaných bezpečnostních opatření, zjištěných zranitelností, pravděpodobnosti výskytu a závažnosti hrozeb.
Úroveň informační bezpečnosti je navíc sledována pomocí klíčových ukazatelů výkonnosti (KPI).
Subdodavatelé
Zpracovatel využívá pouze služeb takových třetích stran/subdodavatelů, kteří byli předem ověřeni z hlediska zajištění odpovídající úrovně ochrany osobních údajů.
Zpracovatel ověřuje přiměřenost záruk poskytnutých dalšími zpracovateli, případně i tím, že vás požádá o vyplnění dotazníků a poskytnutí odpovědí.
Místa zpracování dat a přenosy dat, zpracovávání dat v cloudu
Zpracovatel zpracovává osobní údaje zpravidla v datových centrech poskytovaných specializovanými subjekty dalšího zpracování uvedenými v Pravidlech BaseLinker, přičemž hlavním dodavatelem ICT infrastruktury je Amazon Web Services EMEA SARL, 00 Xxxxxx Xxxx X. Xxxxxxx, X-0000 Xxxxxxxxxx. Bezpečnostní záruky od tohoto subjektu jsou popsány na: xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/
Veškeré svěřené osobní údaje jsou uchovávány pouze v rámci infrastruktury poskytované specializovanými subjekty dalšího zpracování. Aby však Zpracovatel mohl zpracovávat data na svých vlastních zdrojích, zavedl pravidla fyzického zabezpečení a pravidla týkající se zabezpečení práce na dálku.
V rozsahu, v jakém jsou svěřená data zpracovávána v cloudu AWS, Zpracovatel vyhodnocuje bezpečnostní opatření používaná dodavatelem a doplňuje je pomocí nástrojů a konfiguračních řešení vybraných Chief Information Security Officer a vlastníky zdrojů. Využívá se zejména šifrování dat, ověřování správnosti konfiguračních řešení, monitoring využití, skenování zranitelnosti, filtrování síťového provozu, hlášení událostí, řízení přístupu, separace, segmentace a redundance a řešení pro vyrovnávání zátěže.
Fyzická bezpečnost
Fyzická místa zpracování osobních údajů jsou pokryta opatřeními pro kontrolu přístupu, včetně, je-li to vhodné, systému přístupových karet, video monitorování, bezpečnostních agentur a poplašných zařízení proti vloupání.
Prostředky zapojené do zpracování dat Zpracovatelem jsou fyzicky odděleny od ostatních organizací.
Byla zavedena bezpečnostní opatření, aby se minimalizovalo riziko ztrát vyplývajících z fyzických a environmentálních hrozeb, včetně vhodných systémů detekce hrozeb, včetně systémů požární ochrany.
Přístupová práva do oblasti zpracování osobních údajů jsou pravidelně kontrolována a v případě potřeby odebírána.
Proces bezpečného mazání dat a bezpečného vyřazení datových médií z provozu je regulován.
Dokumenty v papírové podobě jsou chráněny proti neoprávněnému přístupu v souladu s principem čistého stolu a po stanovených lhůtách zpracování - zničeny skartovačkou standardu ne nižšího, než odpovídá důvěrným dokumentům.
Kontrola přístupu k IT systémům
Oprávnění v rámci IT systémů jsou udělována v souladu s principem nezbytných znalostí, byla implementována politika hesel.
Členové personálu jsou povinni uplatňovat zásadu čistého stolu a obrazovky.
Tam, kde je to vhodné, se používají opatření pro řízení přístupu, jako je šifrování, dvojitá autentizace a VPN.
Technická bezpečnost, údržba a testování zařízení
IT systém používaný ke zpracování osobních údajů je chráněn proti výpadkům proudu.
Údržba hardwaru a softwaru je v souladu s doporučeními dodavatele.
Byl přijat a uplatňuje se postup odstraňování a ničení zdrojů stažených z používání. Zabezpečení serverovny odpovídá současným bezpečnostním standardům.
Zpracovatel zajišťuje pravidelné testování, měření a posuzování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.
Kontinuita fungování
Zpracovatel má plán kontinuity fungování.
Byly zavedeny vhodné mechanismy pro monitorování a zjišťování událostí, které mohou ovlivnit bezpečnost informací a kontinuitu fungování.
Zpracovatel je schopen úspěšně obnovit dostupnost a přístup k osobním údajům v případě fyzického nebo technického incidentu.
Zpracovatel implementoval politiku zálohování pokrývající adekvátní rozsah, frekvenci a testování. Zpracovatel implementoval procedury obnovení a testování po havárii.
Byla zavedena opatření, která mají zabránit neoprávněnému kopírování dat z IT systému a zajistit záložní kopie.
Další požadavky GDPR
Zpracovatel implementuje nová řešení v souladu se zásadou privacy by design. Zpracovatel zpracovává osobní údaje v souladu se zásadou privacy by default. Zpracovatel vede soupis zdrojů použitých při zpracování osobních údajů.
PŘÍLOHA B
SEZNAM DALŠÍCH ZPRACOVATELŮ
1. Amazon Web Services EMEA SARL
00 Xxxxxx Xxxx X. Xxxxxxx, X-0000 Xxxxxxxxxx (společnost působící prostřednictvím své pobočky v Polsku:
Amazon Web Services EMEA SARL sp. z o.o. Pobočka v Polsku, Generation Park Z, 9th Floor, xx. Xxxxxxxx 00, 00-000 Xxxxxxxx)
2. OVH sp. z o.o.
xx. Xxxxxxxx 0, 00-000 Xxxxxxx
3. Bezpieczna Firma sp. z o.o.
xx. Xxxxxxxxxx 000/000, 00-000 Xxxx
4. Google Ireland Ltd
Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx 0, X00X0X0 Xxxxx
5. Slack Technologies, LLC
000 Xxxxxx Xx Xxx Xxxxxxxxx, XX 00000 Spojené státy americké
6. Twilio Ireland Limited
00 – 00 Xxxxx Xxxx Xxxx, Xxxxx Xxxx, Xxxxxx 0, X00 X000, Xxxxx
7. Cloudflare Inc.,
000 Xxxxxxxx Xxxxxx Xxx Xxxxxxxxx, XX 00000, XXX
8. subjekty poskytující technickou podporu a služby bezpečnosti IT, včetně služeb auditu bezpečnosti IT systémů;
9. subjekty poskytující právní služby;
10. dceřiné společnosti Zpracovatele, a to v rozsahu, v jakém se podílejí na implementaci Hlavní smlouvy.