Dohoda o spracúvaní údajov
Dohoda o spracúvaní údajov
uzatvorená v súlade s čl. 28 Nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR)
medzi Zákazník
- prevádzkovateľ - ďalej len Zadávateľ - a spoločnosťou
Wacker Neuson SE
- sprostredkovateľ - ďalej len Spracovateľ -
1. Predmet a trvanie spracúvania
(1) Predmet
V rámci poskytovania telematických služieb zákazníkom Spracovateľ spracúva údaje uvedené v bode 2 (2) tejto dohody (ďalej len „Osobné údaje zákazníkov“). Predmet spracúvania vyplýva zo žiadosti zákazníkov na zriadenie účtu k službe EquipCare koncernu Wacker Neuson Group v súvislosti so Všeobecnými obchodnými podmienkami k službe EquipCare (ďalej len „Dohoda o výkone činnosti“).
(2) Trvanie
Spracúvanie údajov trvá po celú dobu existencie Dohody o výkone činnosti. Právo ukončiť dohodu z osobitných dôvodov zostáva nedotknuté.
2. Bližšie určenie obsahu spracúvania
(1) Druh a účel plánovaného spracúvania Osobných údajov zákazníkov
Druhom a účelom spracúvania Osobných údajov zákazníkov Spracovateľom pre Zadávateľa je poskytovanie služieb súvisiacich s telematickými službami, vrátane lokalizácie, prenosu a vyhodnotenia údajov o strojoch, preventívnej údržby a odporúčaní pri zaobchádzaní so strojmi. V prílohe č. 2 sú uvedené podrobné pokyny Zadávateľa týkajúce sa prenosu Osobných údajov zákazníkov tretím osobám. Okrem toho je Spracovateľ povinný anonymizovať tie Osobné údaje zákazníkov, ktoré sú predmetom tejto dohody v súlade s požiadavkami Zadávateľa. Anonymizované údaje sa nepovažujú za Osobné údaje zákazníkov v zmysle tejto dohody. Spracovateľ je oprávnený používať anonymizované údaje aj na svoje vlastné účely.
Spracúvanie údajov na základe dohody sa uskutočňuje (i) v členskom štáte Európskej únie alebo v inom štáte, ktorý je zmluvnou stranou Dohody o Európskom hospodárskom priestore a/alebo (ii) v tretej krajine, pokiaľ sú splnené požiadavky podľa čl. 44 a nasl. GDPR.
(2) Druh údajov
Predmetom spracúvania Osobných údajov zákazníkov sú nasledujúce druhy resp. kategórie údajov
(výpočet/opis jednotlivých kategórií údajov)
☒ statické údaje zákazníkov (pokiaľ ich Spracovateľ nepoužíva ako prevádzkovateľ)
☒ prihlasovacie údaje (e-mailová adresa, prihlasovacie heslo)
☒ plánovacie a riadiace údaje
☒ údaje o lokalizácii
☒ údaje o strojoch
(3) Kategórie dotknutých osôb
K dotknutým osobám pri spracúvaní patria:
☒ zamestnanci Zadávateľa a prepojených spoločností (v zmysle nemeckého zákona o akciových spoločnostiach – Aktiengesetz)
☐ zamestnanci Spracovateľa a prepojených spoločností (v zmysle nemeckého zákona o akciových spoločnostiach – Aktiengesetz)
☐ zamestnanci obchodných partnerov Spracovateľa
3. Technicko-organizačné opatrenia
(1) Pred začatím spracúvania je Spracovateľ povinný zaznamenať všetky potrebné technické a organizačné opatrenia, ktoré sú určené ešte pred zadaním žiadosti o spracúvanie, najmä tie, ktoré sa týkajú príslušného spracúvania.
(2) Pri spracúvaní na základe tejto dohody je Spracovateľ povinný zaistiť bezpečnosť v súlade s čl. 28 ods. 3 písm. c, 32 GDPR, najmä v spojení s čl. 5 ods. 1, ods. 2 GDPR. Opatrenia, ktoré je potrebné prijať, zahrnujú opatrenia týkajúce sa bezpečnosti údajov a zaručenia takej úrovne ochrany údajov, ktorá je primeraná riziku najmä ohľadne dôvernosti, integrity, dostupnosti a odolnosti systémov. Pritom je potrebné prihliadať na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb v zmysle čl. 32 ods. 1 GDPR. Spracovateľ je povinný prijať opatrenia uvedené v prílohe č. 1.
(3) Technické a organizačné opatrenia podliehajú pokroku a rozvoju v oblasti techniky. V tejto súvislosti je Spracovateľ oprávnený prijať aj alternatívne primerané opatrenia, ktoré ale nemôže klesnúť pod bezpečnostnú úroveň už určených opatrení. O zásadných zmenách je potrebné urobiť záznam.
4. Oprava, vymazanie a obmedzenie spracúvania Osobných údajov
zákazníkov
(1) Spracovateľ nie je oprávnený Osobné údaje zákazníkov svojvoľne opraviť alebo vymazať alebo obmedziť ich spracúvanie, ale len na základe zdokumentovaných pokynov Zadávateľa. Pokiaľ sa v tejto súvislosti (alebo pri uplatňovaní iných práv) dotknutá osoba obráti priamo na Spracovateľa, ten je povinný postúpiť žiadosť dotknutej osoby Zadávateľovi.
(2) Spracovateľ je povinný pomáhať Zadávateľovi pri plnení práv dotknutých osôb podľa bodu 8 (2) tejto dohody, a to pri zohľadnení štandardného rozsahu telematických služieb.
5. Zabezpečenie kvality a iné povinností Spracovateľa
Okrem povinností podľa tejto dohody je Spracovateľ povinný dodržiavať aj zákonné povinnosti podľa čl. 28 až 33 GDPR. Spracovateľ je povinný zabezpečiť dodržiavanie najmä nasledujúcich povinností:
a) Písomné vymenovanie zodpovednej osoby, ktorá vykonáva svoju činnosť v súlade s čl. 38 a 39 GDPR. Aktuálne kontaktné údaje zodpovednej osoby sú ľahko dostupné na domovskej stránke Spracovateľa.
b) Zachovanie dôvernosti informácií v súlade s čl. 28 ods. 3 písm. b, 29, 32 ods. 4 GDPR. Pri spracovateľských úlohách využije Spracovateľ iba takých zamestnancov, ktorí sú zaviazaní k mlčanlivosti a ktorí boli vopred oboznámení s pre nich relevantnými ustanoveniami o ochrane údajov. Spracovateľ a každá osoba konajúca na základe poverenia Spracovateľa, ktorá má prístup k Osobným údajom zákazníkov, môžu spracúvať tieto údaje len na základe zdokumentovaných pokynov Zadávateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Európskej únie alebo členského štátu EÚ. V takom prípade informuje Spracovateľ Zadávateľa ešte pred spracovaním o daných zákonných požiadavkách s výnimkou prípadov, keď príslušné právo zakazuje takéto informovanie z dôvodu ochrany dôležitého verejného záujmu.
c) Zadávateľ a Spracovateľ na požiadanie spolupracujú s dozorným orgánom pri výkone jeho úloh.
d) Bezodkladné informovanie Zadávateľa o kontrole a opatreniach dozorného orgánu v prípade, že sa týkajú spracúvania podľa tejto dohody. To platí aj vtedy, ak príslušný úrad v rámci priestupkového alebo trestného konania zisťuje informácie týkajúce sa spracúvania Osobných údajov zákazníkov Spracovateľom v rámci spracúvania podľa tejto dohody.
e) Pokiaľ sa kontrola zo strany dozorného orgánu, priestupkové alebo trestné konanie, uplatňovanie zodpovednosti dotknutými osobami alebo tretími osobami alebo uplatňovanie akýchkoľvek iných nárokov v súvislosti so spracúvaním zo strany Spracovateľa podľa tejto dohody týka Zadávateľa, je Spracovateľ povinný na požiadanie mu primerane pomôcť.
f) Spracovateľ pravidelne kontroluje vnútorné procesy, ako aj technické a organizačné opatrenia tak, aby zabezpečil, že spracúvanie v rámci jeho zodpovednosti ako sprostredkovateľ prebieha v súlade s požiadavkami čl. 28 GDPR.
g) Preukázateľnosť prijatia technických a organizačných opatrení na žiadosť Zadávateľa v rámci jeho
kontrolných právomocí v súlade s bodom 7 tejto dohody.
(1) Pod subspracovateľskými vzťahmi podľa tejto úpravy sa rozumejú služby, ktoré pre Spracovateľa
v mene prevádzkovateľa vykonávajú „ďalší sprostredkovatelia“ v zmysle čl. 28 ods. 4 GDPR.
(2) Zadávateľ súhlasí s poverením nasledovných subspracovateľov pod podmienkou uzatvorenia zmluvnej dohody v súlade s ustanoveniami čl. 28 ods. 2 až 4 GDPR:
Obchodný názov subspracovateľa | Krajina | Služba |
Amazon (AWS) | Írsko, UK, Nemecko | Uchovávanie a spracúvanie Osobných údajov zákazníkov na diaľku |
Zitcom A/S | Dánsko | Uchovávanie a spracúvanie Osobných údajov zákazníkov na mieste |
OKTA Inc. | Tenant „Europe“ | Správa totožnosti |
Trackunit A/S | Dánsko | Servis a vývoj telematických služieb |
Trackunit AB | Švédsko | Servis a vývoj telematických služieb |
Trackunit AS | Nórsko | Servis a vývoj telematických služieb |
Trackunit B.V. | Holandsko | Servis a vývoj telematických služieb |
Trackunit GmbH | Nemecko | Servis a vývoj telematických služieb |
Trackunit Inc. | USA | Servis a vývoj telematických služieb |
Trackunit Ltd. | UK | Servis a vývoj telematických služieb |
Trackunit SAS | Francúzsko | Servis a vývoj telematických služieb |
Poverenie ďalších subspracovateľov alebo zmena existujúcich subspracovateľov je možná, ak:
- Spracovateľ oznámil takéto poverenie Zadávateľovi s dostatočným časovým predstihom písomne alebo v inej textovej forme a
- Zadávateľ nevzniesol u Spracovateľa do 10 pracovných dní od oznámenia námietku voči plánovanému povereniu písomne ani v inej textovej forme z dôvodu oprávneného záujmu ochrany údajov;
- existuje zmluvná dohoda v súlade s ustanoveniami čl. 28 ods. 2 až 4 GDPR.
Zadávateľ môže podať námietku voči plánovanému povereniu ďalšieho subspracovateľa alebo zmene existujúceho subspracovateľa iba z vážneho dôvodu, ktorý je povinný preukázať Spracovateľovi. O vážny dôvod ide vtedy, keď je zmena pre Zadávateľa pri zohľadnení všetkých okolností a zvážení obojstranných záujmov neprijateľná. Zadávateľ je oprávnený podať námietku iba počas primeranej lehoty (spravidla dva (2) týždne) po tom, čo ho o zmene informoval Spracovateľ.
V prípade oprávnenej námietky môže Spracovateľ Dohodu o výkone činnosti vrátane tejto dohody o spracúvaní údajov vypovedať s platnosťou ku dňu, kedy Spracovateľ chce poveriť ďalšieho subspracovateľa alebo zmeniť existujúceho subspracovateľa a poskytnúť mu prístup k Osobným údajom zákazníkov. Spracovateľ uvedie tento deň v oznámení o plánovanom poverení ďalšieho subspracovateľa alebo zmene existujúceho subspracovateľa.
(3) Poskytnutie Osobných údajov zákazníkov subspracovateľovi a spracovateľská činnosť zo strany subspracovateľa sú možné až po splnení všetkých predpokladov na poverené spracúvanie.
(4) Ak subspracovateľ poskytuje dohodnuté služby mimo EÚ resp. EHP, je Spracovateľ povinný zabezpečiť súlad s podmienkami ochrany osobných údajov prostredníctvom príslušných opatrení. Zadávateľ týmto udeľuje Spracovateľovi oprávnenie uzatvárať v mene Zadávateľa štandardné zmluvné doložky EÚ (controller-to-processor) ako „data exporter“ (vývozca údajov) s príslušnými subdodávateľmi v krajinách mimo Európskeho hospodárskeho priestoru. Na požiadanie Zadávateľa je Spracovateľ povinný predložiť mu štandardné zmluvné doložky EÚ, ktoré uzavrel v mene Zadávateľa.
(5) Subspracovateľ je oprávnený poveriť subspracovateľa ďalšej úrovne iba s výslovným súhlasom hlavného spracovateľa, ktorý musí mať minimálne textovú podobu. Všetky zmluvné povinnosti v rámci spracovateľského reťazca je potrebné nariadiť aj ďalším subspracovateľom.
7. Právo Zadávateľa na kontrolu
(1) Spracovateľ je povinný zabezpečiť, aby si Zadávateľ v súlade s odsekmi (2) a (3) nižšie mohol overiť dodržiavanie povinností zo strany Spracovateľa podľa čl. 28 GDPR. Spracovateľ sa zaväzuje poskytnúť Zadávateľovi na požiadanie potrebné informácie a najmä preukázať mu prijatie technických a organizačných opatrení.
(2) Prijatie opatrení týkajúcich sa poverenia spracúvaním údajov môže Spracovateľ preukázať podľa svojho primeraného uváženia nasledovne:
- dodržiavaním schválených kódexov správania podľa čl. 40 GDPR;
- certifikáciou podľa schváleného certifikačného postupu podľa čl. 42 GDPR;
- platnými osvedčeniami, výkazmi alebo výpismi z výkazov nezávislých orgánov/osôb (napr. audítori, revízni kontrolóri, zodpovedná osoba, oddelenie pre IT bezpečnosť, audítori ochrany údajov, audítori kvality);
- primeranou certifikáciou získanou auditom IT bezpečnosti alebo ochrany údajov (napr. v súlade so základnou IT ochranou (IT-Grundschutz) nemeckého Federálneho úradu pre bezpečnosť informácií - BSI).
(3) Ak sa Zadávateľ domnieva, že preukazovanie podľa odseku (2) vyššie je nedostatočné alebo že došlo k porušeniu tejto dohody alebo iných príslušných zákonných požiadaviek, je oprávnený vykonať kontrolu prostredníctvom ním poverenej nezávislej tretej osoby, ktorá je zaviazaná k mlčanlivosti na základe zákona alebo etického kódexu („Audítor“), v spolupráci so Spracovateľom, prípadne prenechať preskúmanie na audítora, ktorého v danom prípade určí. Za týmto účelom je Zadávateľ oprávnený presvedčiť sa o dodržiavaní tejto dohody zo strany Spracovateľa prostredníctvom náhodných skúšobných kontrol, ktoré vykoná Audítor v prevádzke Spracovateľa počas bežných prevádzkových hodín, pričom je povinný informovať o vykonaní takejto kontroly v primeranom časovom predstihu (spravidla dva (2) týždne pred plánovanou kontrolou). Do priestorov Spracovateľa je možné vstúpiť iba v neustálom sprievode zástupcu Spracovateľa. Tento zástupca je oprávnený rozhodovať o priebehu kontroly v nevyhnutnej miere tak, aby sa zabránilo prerušeniu prevádzky Spracovateľa a aby boli dodržané povinnosti Spracovateľa uchovávať mlčanlivosť o údajoch tretích osôb.
(4) Zadávateľ je povinný nakladať so všetkými priemyselnými a obchodnými tajomstvami Spracovateľa, o ktorých sa v priebehu kontroly dozvie, ako s prísne dôvernými. Nesmie si o nich tiež viesť žiadne záznamy, okrem prípadov, kedy je to nevyhnutné pri výkone práva na kontrolu.
(5) Pravidelné kontroly v mieste prevádzky Spracovateľa smie Zadávateľ v súlade s odsekom (3) vyššie vykonávať najviac raz ročne. Ďalšie kontroly môže Zadávateľ v súlade s odsekom (3) vyššie vykonávať iba z vážneho dôvodu, ktorý musí preukázať.
(6) V súvislosti s umožnením vykonania kontrol zo strany Zadávateľa a s pomáhaním pri vykonaní samotnej kontroly je Spracovateľ oprávnený žiadať od Zadávateľa uhradenie primeraných nákladov, ktoré Spracovateľovi v tejto súvislosti vznikli; to neplatí, keď nedostatky zistené pri kontrole súvisia s porušením dohody alebo pokynov Zadávateľa Spracovateľom.
8. Povinnosť Spracovateľa poskytovať pomoc
(1) Spracovateľ pomáha Zadávateľovi pri dodržiavaní povinností podľa čl. 32 až 36 GDPR týkajúcich sa bezpečnosti spracúvania Osobných údajov zákazníkov, oznámenia porušenia ochrany údajov, posúdenia vplyvu na ochranu údajov a predchádzajúcich konzultácií. Sem patria okrem iného
a) zaistenie primeranej úrovne ochrany prijatím technických a organizačných opatrení, pri ktorých budú zohľadnené okolnosti a účely spracúvania, ako aj predvídaná pravdepodobnosť a závažnosť možného porušenia práva kvôli bezpečnostným nedostatkom a ktoré zároveň umožňujú okamžité zistenie relevantných okolností porušenia
b) povinnosť bez zbytočného odkladu oznámiť Zadávateľovi porušenie ohľadne dostupnosti, dôvernosti alebo integrity Osobných údajov zákazníkov v zmysle čl. 33 GDPR
c) povinnosť pomáhať Zadávateľovi v rámci jeho povinnosti poskytovať informácie dotknutej osobe a v tejto súvislosti mu bezodkladne poskytnúť všetky relevantné informácie
d) pomoc Zadávateľovi pri posúdení vplyvu na ochranu údajov
e) pomoc Zadávateľovi v rámci predchádzajúcich konzultácií s dozorným orgánom
(2) Spracovateľ bude pomáhať Zadávateľovi – v čo najväčšej miere vhodnými technickými a organizačnými opatreniami – v rámci primeraného úsilia a podľa nevyhnutnosti pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby v súvislosti s Osobnými údajmi zákazníkov, pokiaľ sa tieto žiadosti týkajú Osobných údajov zákazníkov podľa tejto dohody, najmä s prihliadnutím na ich práva podľa čl. 12 až 23 GDPR.
(3) V súvislosti s poskytovaním pomoci, ktorá nie je uvedená v opise úloh alebo ktorá nesúvisí
s porušením povinností zo strany Spracovateľa, môže Spracovateľ požadovať odplatu.
9. Oprávnenie Zadávateľa udeľovať pokyny
(1) Ústne pokyny je Zadávateľ povinný bez zbytočného odkladu potvrdiť, a to minimálne v textovej
forme.
(2) Ak je Spracovateľ presvedčený, že určitý pokyn je v rozpore s ustanoveniami na ochranu údajov, je bez zbytočného odkladu povinný informovať o tom Zadávateľa. Spracovateľ je oprávnený prerušiť plnenie na základe takéhoto pokynu až dovtedy, kým Zadávateľ pokyn nepotvrdí alebo nezmení.
10. Vymazanie a vrátenie Osobných údajov zákazníkov
(1) Bez vedomia Zadávateľa nie je možné vyhotoviť žiadne kópie ani duplikáty Osobných údajov zákazníkov. To neplatí pre záložné kópie, ak sú tieto potrebné na zabezpečenie riadneho spracúvania údajov, ako ani pre údaje, ktoré sú potrebné pri dodržiavaní zákonnej povinnosti na uchovávanie údajov.
(2) Počas trvania Dohody o výkone činnosti a do 10 dní po jej ukončení umožní Spracovateľ Zadávateľovi na základe žiadosti Zadávateľa v textovej forme, aby mu Spracovateľ poskytol Osobné údaje zákazníkov v strojovo čitateľnom formáte alebo ich vymazal. S výhradou odsekov (3) a (4) nižšie platí, že po uplynutí doby podľa predchádzajúcej vety vymaže Spracovateľ všetky Osobné údaje zákazníkov Zadávateľa, ktoré má k dispozícii, a poskytne Zadávateľovi ostatné Osobné údaje zákazníkov, ktoré získal na základe tejto dohody na spracovanie podľa požiadaviek Zadávateľa, alebo ich po predchádzajúcom súhlase zničí v súlade s predpismi o ochrane osobných údajov. To platí aj pre testovacie a chybné údaje.
(3) Vyššie uvedená povinnosť vymazať údaje neplatí
(i) pre kópie Osobných údajov zákazníkov, ktoré sú uložené na záložných médiách a/alebo záložných serveroch, až kým sa nepredpokladá ich výmaz v súlade s uznanými postupmi týkajúcimi sa informačnej bezpečnosti, pričom Spracovateľ, s výhradou písm. (ii) nižšie, takéto uschované údaje a podklady nepoužije na žiadne iné účely ako zálohovanie a naďalej platia ustanovenia tejto dohody týkajúce sa dočasného uchovávania údajov;
(ii) ak je Spracovateľ povinný uchovávať Osobné údaje zákazníkov na základe právnych predpisov.
(4) Anonymizácia Osobných údajov zákazníkov Spracovateľom sa rovná ich zničeniu alebo vymazaniu.
(5) Spracovateľ je povinný uchovávať dokumenty, ktoré slúžia ako dôkaz o riadnom spracúvaní údajov v súlade s požiadavkami, v súlade s príslušnými lehotami na uchovávanie aj po ukončení tejto dohody. Po ukončení dohody ich môže odovzdať Zadávateľovi.
(1) Ak si tretie osoby, najmä dotknuté osoby, uplatňujú u Spracovateľa svoje nároky na základe spracúvania Osobných údajov zákazníkov, ktoré sú predmetom tejto dohody, alebo v súvislosti s ním („Nároky tretích osôb“), môže Spracovateľ požadovať od Zadávateľa, aby prevzal ochranu pred takýmito Nárokmi tretích osôb a ochránil ho pred nimi, a to v prípade, keď tieto Nároky tretích osôb uzná právoplatný rozsudok alebo ich Zadávateľ so súhlasom Spracovateľa vyrovná príp. uzná. Zadávateľ je povinný znášať náklady súvisiace s ochranou pred Nárokmi tretích osôb resp. podobným urovnaním týchto nárokov a uhradiť Spracovateľovi tieto náklady resp. náklady, ktoré vzniknú Spracovateľovi. To platí aj pre ostatné náklady, ktoré vzniknú Spracovateľovi na základe opatrení dozorných úradov v súvislosti so spracúvaním Osobných údajov zákazníkov v rámci tejto dohody a na základe pokynov Zadávateľa.
(2) Ak Spracovateľ vyžaduje od Zadávateľa postup v súlade s odsekom (1) vyššie, prenechá Spracovateľ Zadávateľovi v rámci vnútorného vzťahu výlučnú kontrolu nad ochranou pred Nárokmi tretích osôb. Spracovateľ je pritom s vynaložením primeraného úsilia povinný pomáhať Zadávateľovi pri ochrane pred Nárokmi tretích osôb na náklady Zadávateľa.
(3) Zadávateľ nie je povinný ochrániť Spracovateľa pred Nárokmi tretích osôb v súlade s odsekom (1) v prípade, že Nároky tretích osôb vyplývajú (i) z porušenia tejto dohody Spracovateľom alebo (ii) osobitne z anonymizácie Osobných údajov zákazníkov a používania takýchto anonymizovaných údajov na účely Spracovateľa.
Príloha č. 1: Technicko-organizačné opatrenia
Príloha č. 2: Osobitné pokyny Zadávateľa týkajúce sa prenosu Osobných údajov zákazníkov tretím
osobám
Príloha č. 1
EquipCare – Technické a organizačné opatrenia
Nasledujúce ustanovenia definujú technické a organizačné opatrenia na zaistenie bezpečného spracúvania osobných údajov v rámci služby EquipCare podľa čl. 32 GDPR. Ak nie je uvedené inak, platia tieto opatrenia pre Spracovateľa – spoločnosť Wacker Neuson, ako aj pre subspracovateľa – spoločnosť Trackunit. Opatrenia, ktoré sa týkajú len jedného z týchto sprostredkovateľov, sú primerane označené.
Kontrola prístupu
Prístup do všetkých priestorov, v ktorých sa spracúvajú osobné údaje, je zabezpečený. Opatrenia zahŕňajú nasledovné:
a) Prístup do všetkých dôležitých zariadení je kontrolovaný.
b) Zamestnanci dostanú prístupové kľúče/karty.
c) Každá osoba je zodpovedná za zaistenie bezpečnosti svojho kľúča/svojej karty a je povinná do 24 hodín nahlásiť ich stratu alebo vznik situácie, ktorá by mohla ohroziť zabezpečenie budovy.
d) Kľúče/karty sa nesmú požičiavať, duplikovať, meniť ani používať na poskytnutie prístupu neoprávneným osobám do priestorov.
e) K dispozícii je aktívny výstražný systém.
f) Návštevy a hostia sa musia zaregistrovať a byť zapísaný v protokole o návšteve.
g) Pre všetkých zákazníkov a dodávateľov, ako aj všetky osoby, ktoré majú prístup do priestorov (napr. personál upratovacej a bezpečnostnej služby), bol zriadený program povinnej starostlivosti (Due Diligence Program).
h) Prístupové kontroly do vyhradených bezpečnostných priestorov znižujú potenciálne riziko poškodenia alebo poruchy systémov.
i) Prístup do serverového príp. komunikačného strediska je povolený len oprávnenému personálu.
j) Fyzické dátové nosiče musia byť uschované v zamknutých skriniach.
Prístup k systému
Prístup k systémom spracovania údajov je umožnený len oprávneným, overeným používateľom. Opatrenia zahŕňajú nasledovné:
a) Používatelia služieb sú pri prihlasovaní vždy overení prostredníctvom jedinečného používateľského mena a hesla.
b) Prístup je zabezpečený prostredníctvom VPN, prípadne MFA (Multi-Factor Authentication).
c) Tretie osoby nemajú vzdialený prístup k systémom nikdy zabezpečený, okrem prípadov, kedy je
udelený výslovný súhlas. Ak bol prístup zabezpečený, je tento prístup kontrolovaný.
d) Poskytované služby sú zabezpečené prostredníctvom firewallu a blokované voči neautorizovanému externému prístupu pomocou šifrovania.
e) Služby poskytované spoločnosťou Trackunit sú nepretržite strážené nástrojmi skenovania slabých miest, aby bola zabezpečená maximálna ochrana.
f) Bezpečnostné opatrenia týkajúce sa servera a počítačových pracovísk sú neustále aktualizované
tak, aby tieto boli chránené pred zneužitím zraniteľných miest v používaných aplikáciách.
g) Spoločnosť Trackunit previedla osobné údaje (meno a priezvisko, používateľské meno, heslo, e- mailová adresa, atď.) novému poskytovateľovi správy totožnosti. Týmto prevodom sa zabezpečilo, že plne šifrované osobné údaje sú uložené u najmodernejšieho poskytovateľa správy totožnosti (xxxx.xxx), ktorý je certifikovaný podľa SOC2 typ 1 a 2, ISO 27001, ISO 27018 a CSA Star Level 2.
h) Osoby, ktoré majú oprávnený prístup ku chráneným častiam IT systémov, obdržia od IT administrátorov špeciálne heslo. Toto heslo je potrebné pravidelne meniť a musí spĺňať minimálne požiadavky týkajúce sa jeho dĺžky a zložitosti.
i) Počítače a iné zariadenia sa musia používať v súlade s vnútornými smernicami, napr. je ich pred
opustením miestnosti potrebné uzamknúť (Clear Screen Policy).
j) Všetci vývojári v spoločnosti Trackunit absolvujú povinné bezpečnostné školenie.
Prístup k údajom
Osoby, ktoré sú oprávnené používať systémy spracovania údajov, získajú prístup len k tým osobným údajom, ku ktorým majú oprávnenie.
Opatrenia zahŕňajú nasledovné:
a) Zamestnanci, ktorí sú oprávnení spracúvať osobné údaje, boli zaviazaní povinnosťou mlčanlivosti alebo sú povinní zachovávať mlčanlivosť na základe právnych predpisov.
b) Prístup zamestnancov do výrobných systémov, vývojárskeho prostredia a k službám je obmedzený do takej miery, ako je to potrebné pri plnení pracovných úloh.
c) V prípade, že osoba zmení pracovné miesto alebo zamestnávateľa, prístup sa nevyhnutne zmení alebo odstráni.
d) Interné IT oddelenie vykonáva pravidelné kontroly, aby sa zabezpečilo, že všetky poskytnuté práva
zodpovedajú funkciám jednotlivých zamestnancov.
e) Prístup k IT zdrojom nebude poskytnutý tým osobám, ktoré nie sú zaškolené alebo ak nie sú inak
príslušne informované o svojich úlohách týkajúcich sa bezpečnosti.
Prenos údajov
Osobné údaje budú počas prenosu chránené tak, aby sa zabránilo ich čítaniu, kopírovaniu, zmene alebo vymazaniu neoprávnenými osobami.
Opatrenia zahŕňajú nasledovné:
a) Prístroj RAW spoločnosti Trackunit používa Advanced Encryption Standard (AES).
b) Zakódovaný firmvér sa pošle na zariadenia z platformy IRIS spoločnosti Trackunit spolu so zabezpečenou hash hodnotou za účelom overenia totožnosti a integrity.
c) Komunikácia medzi službami (Manager, Go, On) a platformou IRIS je implementovaná ako
rozhranie REST s HTTPS šifrovaním.
d) Verejné rozhranie API spoločnosti Trackunit používa HTTPS šifrovanie.
e) Komunikácia medzi prístrojom RAW a platformou IRIS spoločnosti Trackunit je založená na sieti GSM a je chránená GSM šifrovaním. Na dátovú komunikáciu sa používa proprietárny protokol na IP/UDP. Pri správe prístrojov sa príležitostné používajú aj SMS správy.
f) Komunikácia zaznamenaná na prístrojoch RAW sa schvaľuje vždy pomocou rôznych prostriedkov
tak, aby sa zabezpečilo akceptovanie len autorizovaných žiadostí prístrojov.
g) Spoločnosť Trackunit zavedie dodatočne ku GSM šifrovaniu šifrovanie typu end-to-end komunikácie m2m medzi prístrojom a cloudom.
Integrita a dostupnosť
Cieľom týchto opatrení je zabezpečiť, že osobné údaje zostanú počas celého spracúvania úplné a správne. Tiež majú zabezpečiť, že osobné údaje sú chránené pred neúmyselným zničením alebo stratou a že v prípade takejto udalosti budú osobné údaje včas obnovené alebo dostupné.
Opatrenia zahŕňajú nasledovné:
a) Databanky sa denne ukladajú, aby sa umožnilo obnovenie systému v prípade poruchy.
b) Spoločnosť Trackunit prevádzkuje službu Incident Management, pri ktorej sa kritické služby monitorujú 24/7.
c) Spoločnosť Trackunit vypracovala plán reakcií na poruchy (Incident Response Plan), ktorý je v prípade poruchy potrebné dodržať. Tento plán stanovuje rozsah zodpovedností a obsahuje časový plán pre zúčastnené osoby tak, aby boli dodržané časové lehoty pre oznamovaciu povinnosť v súlade s GDPR. Tento plán zahŕňa aj externú komunikáciu.
d) Lehoty na vymazanie a uchovanie údajov sa riadia podľa platných právnych predpisov.
Dohody o sprostredkovaní
Osobné údaje, ktoré sa spracúvajú na základe žiadosti zákazníka, sa spracúvajú výlučne v súlade s platnou dohodou a príslušnými pokynmi daného zákazníka. So všetkými spoločnosťami, ktoré by mohli mať prístup k osobným údajom, boli uzatvorené dohody o sprostredkovaní podľa článku 28 GDPR.
Delenie údajov
Osobné údaje, ktoré boli získané na rozdielne účely, sa spracúvajú oddelene. Opatrenia zahŕňajú nasledovné:
a) Osobné údaje získané zo zariadení príp. strojov sú automaticky priradené k rozdielnym zákazníkom. Údaje sú od jednotlivých zákazníkov vždy oddelené.
b) Zákazník má prístup len k svojim vlastným osobným údajom.
c) S údajmi zákazníkov sa vždy zaobchádza ako s dôvernými. Právo na kontrolu, ktoré bude prípadne udelené zákazníkovi, za každých okolností vylučuje právo alebo možnosť daného zákazníka nahliadnuť do údajov ostatných zákazníkov.
Compliance
Boli prijaté procesy pre pravidelnú kontrolu, hodnotenie a posudzovanie účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania údajov.
a) Spoločnosť Wacker Neuson SE určila zodpovednú osobu. V prípade otázok a žiadostí ohľadne spracúvania osobných údajov je zodpovedná osoba k dispozícii na e-mailovej adrese xxxxxxxxxxx@xxxxxxxxxxxx.xxx. Spoločnosť Trackunit tiež určila zodpovednú osobu.
b) Zásady a smernice k ochrane údajov sa každoročne posudzujú a v prípade potreby aktualizujú.
c) Bolo vykonané posúdenie vplyvu na ochranu údajov s účelom zhodnotiť vplyv spracúvania na
ochranu osobných údajov podľa čl. 35 GDPR.
d) Príjmu sa primerané kroky na to, aby sa zabezpečilo, že personál pozná a dodržiava technické a organizačné opatrenia uvedené v tomto dokumente. Všetci zamestnanci musia v primeraných intervaloch absolvovať školenia, ktoré pre nich vykonáva zodpovedná osoba.
e) Spoločnosť Trackunit pre všetkých zákazníkov a dodávateľov vykonáva každé dva týždne program povinnej starostlivosti (Due Diligence Program) s účelom identifikovať riziká.
Príloha č. 2
Osobitné pokyny Zadávateľa týkajúce sa prenosu Osobných údajov zákazníkov tretím osobám
Telematické riešenie umožňuje Spracovateľovi, ostatným spoločnostiam patriacim do koncernu Wacker Neuson Group a obchodným partnerom Spracovateľa prístup k Osobným údajom zákazníkov v súlade s Dohodou o výkone činnosti, a to na ich vlastné obchodné účely (napr. poskytovanie EquipCare služieb na žiadosť Zadávateľa alebo vývoj produktov).
Prístup k Osobným údajom zákazníkov na vlastné obchodné účely získajú nižšie uvedení príjemcovia:
Príjemca | Príslušný obchodný účel |
Wacker Neuson SE | • podpora druhej úrovne (na konkrétnu žiadosť Zadávateľa) |
Výrobná spoločnosť (patriaca do koncernu Wacker Neuson Group), ktorá vyrobila stroj, z ktorého sa príslušné Osobné údaje zákazníkov prenášajú. | • podpora druhej úrovne (na konkrétnu žiadosť Zadávateľa) • vývoj produktov • kontrola prípadných garančných alebo záručných nárokov |
Distribútorská spoločnosť (patriaca do koncernu Wacker Neuson Group), ktorá predala stroj, z ktorého sa príslušné Osobné údaje zákazníkov prenášajú, priamo Zadávateľovi, inému prípadnému predchádzajúcemu vlastníkovi alebo iným spôsobom ako sprostredkovateľ. | • podpora prvej úrovne (na konkrétnu žiadosť Zadávateľa) • kontrola prípadných garančných alebo záručných nárokov |
Obchodník (obchodný partner), ktorý predal stroj, z ktorého sa príslušné Osobné údaje zákazníkov prenášajú, Zadávateľovi alebo inému prípadnému predchádzajúcemu vlastníkovi. | • podpora prvej úrovne (na konkrétnu žiadosť Zadávateľa) • kontrola prípadných garančných alebo záručných nárokov |
Zadávateľ týmto dáva Spracovateľovi pokyn preniesť Osobné údaje zákazníkov prostredníctvom udelenia prístupových práv vyššie uvedeným príjemcom na vyššie uvedené účely, pokiaľ je to potrebné na vyššie uvedené vlastné obchodné účely daných príjemcov. V takom prípade budú títo príjemcovia vystupovať ako prevádzkovatelia v zmysle čl. 4 (7) GDPR.
Pokiaľ je sám Spracovateľ príjemcom predmetných Osobných údajov zákazníkov, zaväzuje sa týmto voči Zadávateľovi, že bude Osobné údaje zákazníkov spracúvať výhradne na vyššie uvedené účely a v najvyššej možnej miere zabráni prístupu údajov o konkrétnych osobách. Spracovateľ sa taktiež zaväzuje, že nevytvorí žiadne kópie Osobných údajov zákazníkov, ale bude Osobné údaje zákazníkov spracúvať výlučne na portáli, ktorý za týmto účelom prevádzkuje (v súlade s definíciou podľa Dohody
o výkone činnosti). To neplatí pre vytváranie kópií anonymizovaných údajov.