UGOVOR O OBRADI PODATAKA („DPA”)

UGOVOR O OBRADI PODATAKA („DPA”)

I) Opšte

1. Obim

DPA je navođenjem ovde obuhvaćen i čini sastavni deo Ugovora (kao što je definisano u Odredbama i uslovima), osim ako strane ne zaključe zaseban ugovor o obradi podataka xxx

xxx određenih ugovora. U slučaju bilo kakve nedoslednosti između DPA i bilo kojih drugih odredbi Ugovora, DPA će imati prednost.

Ovaj DPA se primenjuje kada TD SYNNEX deluje u svojstvu obrađivača, obrađuje lične podatke u ime i u skladu sa uputstvima Kupca, delujući u svoje ime ili u ime svojih korisnika ili njihovih krajnjih korisnika („Klijenti“) u svojstvu rukovaoca. Navedeno takođe važi u slučaju da Kupac, postupajući u svojstvu obrađivača, treba da obrađuje lične podatke u ime i u skladu sa uputstvima kompanije TD SYNNEX koja deluje [u svoje ime ili u ime xxxxx xxxxxx] u svojstvu rukovaoca.

Ovaj DPA se ne odnosi na slučaj kada kompanija TD SYNNEX i Kupac dele između sebe lične podatke kao zasebni ili združeni rukovaoci.

TD SYNNEX obično deluje kao zaseban rukovalac ako:

(a) prikuplja lične podatke u vezi sa poslovanjem Kupca (kao što su lični podaci koji se odnose na zaposlene Kupca);

(b) TD SYNNEX obrađuje lične podatke krajnjih korisnika koje obezbeđuje korisnik Kupca za:

(i) sprovođenje provera prevara, pranja novca, sankcija i svih drugih provera, uključujući provere spiska

odbijenih lica, kao i istraživanje i krivično gonjenje po osnovu prevare, pranja novca ili kršenja sankcija u vezi sa uspostavljanjem i održavanjem odnosa sa klijentima i pružanjem usluga;

(ii) usklađenost sa zakonskim i regulatornim obavezama;

(iii) anonimizaciju i/ili analizu podataka; i

(iv) ispunjenje uslova Ugovora, uključujući direktne isporuke i, ako je neophodno za ispunjenje Ugovora, prenos takvih ličnih podataka trećim licima koja postupaju kao rukovaoci, kao što su prevoznici, proizvođači ili pružaoci usluga xxxxx xxxxxx.

2. Definicije

Svi termini koji nisu definisani u ovom DPA-u ili drugim delovima Ugovora imaju značenje koje im je pripisano u skladu sa Opštom uredbom o zaštiti podataka o ličnosti (EU 2016/679) („GDPR“). Upućivanje na članove GDPR-a u ovom dokumentu [Čl. GDPR-a] će se primenjivati samo u meri

u kojoj obrada podleže GDPR-u – za sve druge relevantne nadležnosti primenjuju se odgovarajući važeći zakoni o zaštiti podataka.

„Treća zemlja“ znači bilo koju zemlju koja nije ni država članica Evropske unije („EU“) niti Evropskog ekonomskog prostora („EEP“), niti je Evropska komisija potvrdila da pruža

adekvatnu zaštitu ličnih podataka u skladu sa članom 45. stavom 3. GDPR-a.

„Obrada podataka o ličnosti u EEP“ za potrebe DPA-a znači obrada ličnih podataka koji spadaju u Opštu uredbu o zaštiti podataka o ličnosti (GDPR) ili zakone o privatnosti u Velikoj Britaniji ili Švajcarskoj.

„Standardne ugovorne odredbe“ ili „SUO“ - znači standardne ugovorne klauzule za prenos ličnih podataka u treće zemlje u vezi sa odlukom Komisije za primenu (EU) 2021/914 od 4. xxxx 2021. ili bilo kojom naslednom ili dopunjujućom odlukom;

„Zakon o privatnosti” znači svi važeći zakoni i propisi koji se odnose na obradu ličnih podataka i privatnost koji mogu postojati u relevantnim jurisdikcijama, za zemlje članice EU-a ili EEP-a, što obuhvata GDPR;

„XXX“ znači tehničke i organizacione mere u smislu zakona o privatnosti;

„Pod-obrađivač“ ili „Pod-(pod)obrađivač“ znači treća strana ovlašćena po osnovu ovog DPA da ima logičan pristup i obrađuje lične podatke u skladu sa Ugovorom;

„Prenos podataka“ znači bilo koja strana koja prenosi ili daje pristup ličnim podacima.

„Izvoznik“ znači bilo koja strana u Prenosu podataka koja se nalazi u EEP-u, UK-u ili Švajcarskoj.

II) Xxxxxxx uslovi za kompaniju TD SYNNEX kao obrađivača podataka

Ovaj odeljak II se primenjuje na slučaj kada kompanija TD SYNNEX deluje u svojstvu obrađivača podataka, obrađuje lične podatke u ime i na način definisan uputstvima Kupca, delujući u svoje ime ili u ime Klijenata u svojstvu rukovaoca. Primenjuje je dodatno uz odeljak III u nastavku. U slučaju nedoslednosti između odeljaka XX i III, ovaj odeljak II će imati prednost.

1. Elektronska komunikacija. Kompanija TD SYNNEX može da pruži Kupcu informacije i obaveštenja u kontekstu ovog DPA-a elektronskim putem, uključujući putem

e-pošte, preko standardnog veb-sajta kompanije TD SYNNEX, ili preko veb-sajta koji identifikuje kompanija TD SYNNEX.

2. Detaljni podaci o obradi. Korišćenjem Usluga, Kupac je saglasan sa detaljnim podaci o obradi, uključujući prirodu, svrhu i predmet obrade, kategorije subjekata podataka, vrste ličnih podataka, posebne kategorije ličnih podataka, XXX-ovima i drugim obrađivačima – gde je to relevantno

– xxxx xx definisano u Ugovoru (uključujući ovaj DPA) i xxxx xx inače dostupno i saopšteno xx xxxxxx kompanije TD SYNNEX elektronskim putem, putem e-pošte, preko standardnog veb-sajta kompanije TD SYNNEX ili preko veb-sajta koji identifikuje TD SYNNEX.

3. Standardne ugovorne odredbe. SUOi, ako je primenljivo između kompanije TD SYNNEX i Kupca, mogu se pronaći na standardnom veb-sajtu kompanije TD SYNNEX ili na veb-sajtu koji identifikuje TD SYNNEX.

4. Obaveze kompanije TD SYNNEX i Kupca.

4.1. TD SYNNEX će poštovati sve važeće zakone o privatnosti u svojoj ulozi obrađivača. Kompanija TD SYNNEX nije odgovorna za postupanje u skladu xx xxxx kojim zakonom ili propisom primenjivim na industriju kojom se bavi Kupac ili njegovi Klijenti koji nisu generalno primenjivi na pružaoce odgovarajućih Proizvoda. Kompanija TD SYNNEX ne određuje da li podaci Kupca ili njegovih Klijenata obuhvataju informacije koje podležu bilo kom konkretnom zakonu ili propisu.

4.2. Kupac će proceniti i odrediti podesnost, prikladnost i usklađenost korišćenja Proizvoda xx xxxxxx Kupca ili njegovim Klijenata sa zakonima i propisima, uključujući zakone o privatnosti, posebno u smislu XXX-ova, drugih uključenih obrađivača, lokacije centra podataka i

relevantnog prenosa podataka xxxx xx opisano u Ugovoru, uključujući DPA i detaljne podatke o obradi.

4.3. Ako xxx Kupac nije rukovalac ličnim podacima, već obrađuje lične podatke u ime Klijenata, Kupac garantuje da će imati uspostavljene sve ugovore i da će imati sve neophodne dozvole i ovlašćenja Klijenta(Klijenata):

- da postupa u odnosu na kompaniju TD SYNNEX kao rukovalac u okviru ovog DPA i da koristi sva prava u svojstvu rukovaoca prema kompaniji TD SYNNEX i njegovim drugim obrađivačima u pogledu DPA;

- da koristi kompaniju TD SYNNEX kao obrađivača za obradu ličnih podataka, kao što je navedeno u Ugovoru, uključujući ovaj DPA i detaljne podatke obrade;

- da je jedini kontakt za kompaniju TD SYNNEX za sva uputstva, obaveštenja, informacije i komunikaciju u vezi sa ovim DPA i da uspostavlja relevantnu komunikaciju između Klijenata i kompanije TD SYNNEX, u slučajevima kada to zakon zahteva. Kompanija TD SYNNEX će biti oslobođena bilo kakve obaveze da informiše ili obavesti Klijenta kada kompanija TD SYNNEX dostavi takve informacije ili obavesti Kupca. Kompanija TD SYNNEX će biti jedino lice za kontakt u pogledu drugih obrađivača kompanije TD SYNNEX.

- da koristi prava pošiljalaca u skladu sa Standardnim ugovornim odredbama – gde je primenljivo – prema

(i) kompaniji TD SYNNEX i/ili (ii) svojim ostalim obrađivačima preko kompanije TD SYNNEX u ime Pošiljaoca.

III) Opšti uslovi obrade

Ovaj odeljak III dodatno na odeljak II primenjuje se na slučaj kada kompanija TD SYNNEX deluje u svojstvu obrađivača podataka, obrađuje lične podatke u ime i na način definisan uputstvima Kupca, delujući u svoje ime ili u ime Klijenata u svojstvu rukovaoca. Navedeno takođe važi u slučaju da Kupac, postupajući u svojstvu obrađivača, treba da obrađuje lične podatke u ime i u skladu sa uputstvima kompanije TD SYNNEX koja deluje [u svoje ime ili u ime xxxxx xxxxxx] u svojstvu rukovaoca.

1. Obaveze Rukovaoca

1.1. Rukovalac će biti isključivo odgovoran za ispunjavanje svih zakonskih obaveza rukovaoca u pogledu obrade u skladu sa Zakonima o privatnosti. Rukovalac će, nakon raskida ili isteka Ugovora i putem izdavanja uputstava, odrediti mere za vraćanje medijuma za prenos podataka, uključujući lične podatke ili brisanje sačuvanih ličnih podataka, i obavestiće obrađivača bez nepotrebnog odlaganja o bilo kakvim greškama ili nepravilnostima za koje sazna u vezi sa obradom ličnih podataka xx xxxxxx obrađivača.

1.2. Rukovalac neće koristiti Proizvode u vezi sa ličnim podacima u meri u kojoj bi to predstavljalo kršenje zakona o privatnosti i shodno tome će obavezati svoje Klijente.

2. Obaveze Obrađivača

2.1. Ispunjavanje obaveza Obrađivača. Obrađivač će poštovati sve obaveze primenjive na obrađivače u skladu sa zakonom o privatnosti podataka EEP. Xxxxxxxxx nije odgovoran da odredi koji su to zahtevi zakona primenljivi na poslovanje rukovaoca ili Klijenta ili industriju, odnosno da li odredbe koje obezbedi obrađivač za Proizvode ispunjavaju zahteve tih zakona.

2.2. Uputstva. Obrađivač će obrađivati lične podatke isključivo u skladu sa pisanim uputstvima rukovaoca, koja su definisana u Ugovoru uključujući ovaj DPA i njegove dodatke, – ako je primenljivo – za ovlašćeno korišćenje i konfiguraciju Proizvoda xx xxxxxx Rukovaoca ili na drugi način u pisanoj formi. Obrađivač će odmah obavestiti rukovaoca ako obrađivač smatra da je uputstvo rukovaoca kršenje važećeg zakona o zaštiti podataka i/ili ugovornih obaveza po Ugovoru uključujući ovaj DPA. Obrađivač ima pravo da obustavi primenu takvih instrukcija dok iste rukovalac ne proveri, i iste potvrdi ili promeni kao rezultat toga. Obrađivač ima dozvolu da obrađuje lične podatke bez uputstva rukovaoca ako je to potrebno učiniti u skladu sa zakonom EU-a ili njenih zemalja članica kojima obrađivač podleže; u xxx slučaju, obrađivač će obavestiti rukovaoca o xxx zakonskom zahtevu pre obrade, osim ako xxx xxxxx zabranjuje takvo obaveštenje na osnovu važnog javnog interesa.

2.3. Obelodanjivanje/Pristup. Obrađivač neće obelodanjivati lične podatke nijednoj trećoj strani, osim ako to nije dozvoljeno xx xxxxxx rukovaoca ili se zahteva zakonom EU-a ili njenih zemalja članica. Ako takav zakon zahteva da treće lice ili vlada, sud ili nadzorni organ na osnovu tog zakona zahtevaju pristup ličnim podacima, obrađivač će obavestiti rukovaoca pre otkrivanja, osim ako to nije zabranjeno zakonom na važnom osnovu javnog interesa. Osim u slučaju xxxx xx to u obavezi da uradi po osnovu zakona EU-a ili njenih zemalja članica, obrađivač neće obelodaniti ili objaviti nikakve lične podatke kao odgovor na takav zahtev koji je upućen obrađivaču bez

prethodnog konsultovanja s rukovaocem. Kada lični podaci rukovaoca postanu predmet istrage i zaplene, konfiskacije tokom postupka stečaja ili insolventnosti, ili sličnih događaja ili mera xx xxxxxx trećih lica tokom njihove obrade, obrađivač će obavestiti rukovaoca bez nepotrebnog odlaganja.

2.4. Obaveza poverljivosti. Obrađivač zahteva da svo njegovo osoblje i osobe xxxxxx xx poverena obrada ličnih podataka budu obavezani uslovima poverljivosti - osim ako se ne primenjuje odgovarajuća zakonska obaveza poverljivosti - i da ne obrađuju takve lične podatke u bilo koje druge svrhe osim u skladu s uputstvima rukovaoca ili na drugi način predviđen zakonom EU-a ili njenih zemalja članica.

2.5. Prava subjekta podataka. Obrađivač će razumno pomagati rukovaocu na zahtev rukovaoca i kao što je zakonom zahtevano, u pružanju pristupa subjektu

podataka i odgovaranju na sve zahteve, pritužbe ili druga saopštenja od osobe na koju se podaci odnose, uključujući zahteve lica na koje se podaci odnose, a koja nastoje da ostvare svoja prava prema Zakonima o privatnosti. Ako postoji takav zahtev, pritužba ili dopis koji primi obrađivač ili je na drugi način upućen obrađivaču, obrađivač će

bez nepotrebnog odlaganja obavestiti rukovaoca, ako je obrađivač u stanju da korelira subjekta podataka rukovaocu.

2.6. Kršenje podataka. Obrađivač će bez nepotrebnog odlaganja obavestiti rukovaoca čim postane svestan bilo kakvog kršenja ličnih podataka („Povredapodataka“) koje utiče na lične podatke rukovaoca. Obrađivač će preduzeti mere i radnje razumne da ispravi ili umanji posledice kršenja ličnih podataka i pomoći će rukovaocu da obezbedi usklađenost sa svojim obavezama prema važećem zakonu o privatnosti kako bi obavestio nadzorne organe i lica na koja se podaci odnose uzimajući u obzir prirodu obrade

i informacije koje su dostupne obrađivaču. Naročito, obrađivači će sarađivati sa rukovaocem tako što će pružati redovna ažuriranja i druge razumno tražene informacije. Svako saopštenje za štampu, obaveštenje, javno ili regulatorno saopštenje ili saopštenje u vezi sa kršenjem podataka xxxx da izvrši rukovalac po sopstvenom nahođenju rukovaoca, osim ako važeći zakoni ne zahtevaju drugačije.

2.7. Pomoć s obavezama Rukovaoca. Obrađivač će razumno pomagati rukovaocu na zahtev rukovaoca sa obavezama rukovaoca u vezi sa bezbednošću obrade, procenom uticaja na zaštitu podataka i prethodnim konsultacijama uzimajući u obzir informacije koje su dostupne kompaniji TD SYNNEX i prirodu obrade. Obrađivač će pružiti pomoć u vezi sa revizijama bilo kog nadležnog nadzornog organa u meri u kojoj se takva revizija odnosi na obradu ličnih podataka xx xxxxxx obrađivača po osnovu ovog Ugovora i u skladu sa

razumnim zahtevom rukovaoca. Pomoć obrađivača može biti podložna razumnoj naknadi, osim ako je podrška obrađivača u skladu s xxx već obrađena u Ugovoru.

2.8. Kraj ugovora. Obrađivač će, po izboru rukovaoca, izbrisati ili vratiti sve lične podatke rukovaocu nakon raskida ili isteka Ugovora i izbrisati postojeće kopije osim ako zakoni EU-a ili države članice ne zahtevaju da obrađivač xxxx lične podatke.

3. Tehničke i organizacione mere bezbednosti

3.1. Obrađivač i rukovalac će primenjivati i održavati XXX-xxx kako to zahteva važeći Zakon o privatnosti. To obuhvata primenu i održavanje XXX-ova kako bi se obezbedio nivo

bezbednosti koji odgovara rizicima ili oštećenjima ličnih podataka, koji odgovara šteti koja može nastati usled neovlašćene ili nezakonite obrade ili slučajnog gubitka, uništenja ili oštećenja i prirode podataka koje treba zaštititi, uzimajući u obzir stanje tehnološkog razvoja i troškove primene bilo kojih mera (to mogu uključivati mere, gde je to prikladno, koje pseudonimizuju i šifruju lične podatke, obezbeđuju poverljivosti, integritet, dostupnost i otpornost njenih sistema i usluga).

3.2. XXX-ovi podležu tehničkom napretku i daljem razvoju. Obrađivač zadržava pravo da izmeni primenjene mere i mere zaštite pod uslovom, međutim, da funkcionalnost i bezbednost Proizvoda nisu degradirani. O svim značajnim odlukama u vezi sa bezbednošću organizacije obrade podataka i primenjenim procedurama treba obavestiti rukovaoca.

3.3. Upotrebom Proizvoda rukovalac potvrđuje da xx XXX-ovi navedeni u Ugovoru i/ili dostavljeni xx xxxxxx Obrađivača i potvrđuje da XXX-ovi obezbeđuju adekvatan nivo zaštite u pogledu rizika povezanih sa obradom ličnih podataka.

4. Obaveze u vezi sa dokumentacijom i revizijom

4.1. Na zahtev rukovaoca, obrađivač će učiniti dostupnim rukovaocu ili ovlašćenom trećem licu koje deluje u ime rukovaoca, informacije potrebne da rukovalac ili Klijenti postupaju u skladu sa svojim obavezama revizije u skladu sa važećim zakonima o zaštiti podataka ili zahtevima nadzornog organa i dozvoliće i doprineti reviziji i revizijama, uključujući inspekcije xxxx xx utvrđeno u daljem tekstu.

4.2. Rukovalac može zatražiti od obrađivača da dostavi relevantne informacije o XXX-ovima, uključujući – gde je to moguće – sertifikate revizora, izveštaje ili izvode iz izveštaja koje dostavljaju nezavisna tela (npr. revizor, službenik za zaštitu podataka, odeljenje za IT bezbednost, revizor za privatnost podataka, revizor za kvalitet).

4.3. U meri u kojoj nije moguće ispuniti obavezu revizije koju nameće važeći Zakon o privatnosti, rukovalac ili njegov obavezan revizor mogu da vrše lične revizije na licu xxxxx o trošku rukovaoca, obično ne češće od jednom godišnje, tokom redovnog radnog vremena, uz opravdano ometanje rada obrađivača i uz prethodno obaveštenje o tome. Obrađivač može da utvrdi da su takve revizije i inspekcije predmet postupanja u skladu sa poverljivošću koja štiti podatke drugih klijenata i poverljivost primenjenih XXX- ova i zaštitnih mera.

4.4. Xxxxxxxxx će bez nepotrebnog odlaganja obavestiti obrađivača o bilo kakvim greškama ili nepravilnostima otkrivenim tokom revizije

5. Podobrađivač

5.1. Rukovalac ovlašćuje obrađivača da prenese lične podatke ili da dozvoli pristup ličnim podacima drugim obrađivačima

(i dozvoli drugim obrađivačima da to učine u skladu sa ovom Odredbom 5) u svrhe dostavljanja Proizvoda koji podležu obavezama rukovaoca na osnovu ove Odredbe 5. Gorenavedeno ovlašćenje predstavlja prethodnu pisanu saglasnost rukovaoca za uključivanje drugih obrađivača xx xxxxxx obrađivača ako je takva saglasnost potrebna u

skladu sa Standardnim ugovornim odredbama ili Zakonom o privatnosti. Obrađivač ostaje odgovoran za poštovanje obaveza definisanih ovim DPA xx xxxxxx drugih obrađivača. Obrađivač stavlja na raspolaganje rukovaocu aktuelni xxxxxx drugih obrađivača, npr. na veb-sajtu obrađivača.

5.2 Rukovalac ima pravo da se usprotivi angažovanju novog obrađivača u roku od 10 xxxx od obaveštenja. U suprotnom, smatraće se da je rukovalac odobrio takvo

novo ustupanje ili promenu. Tamo gde postoji materijalno važan razlog za prigovor i ukoliko ugovorne strane ne reše sporazumno ovo pitanje, rukovalac ima pravo da raskine Ugovor u pogledu datog Proizvoda.

5.3 Obrađivač zaključuje pisane ugovore sa drugim obrađivačem kojeg angažuje, čije odredbe neće pružati manje zaštite od onih koji su navedeni u ovom DPA. Takav ugovor posebno pruža dovoljne garancije za primenu odgovarajućih XXX-ova.

6. Međunarodni prenos podataka

6.1. Rukovalac ovlašćuje obrađivača da prenese ili dozvoli pristup ličnim podacima u kontekstu usluga xxxx xx navedeno u Ugovoru, detaljima obrade i/ili SUO-ovima – gde je to relevantno.

6.2. Svaka obrada ličnih podataka izvan zemlje ili regiona gde se nalazi rukovalac podleže odgovarajućem mehanizmu za prenos podataka ako i kako se zahteva Zakonom o privatnosti.

6.3. Za međunarodne prenose podataka u kontekstu Obrade ličnih podataka EEP-a, SUO-ovi moraju da budu izvršeni između kompanije TD SYNNEX i Kupca ako se strana koja prenosi ili daje pristup ličnim podacima nalazi u EEP-u, UK-u ili Švajcarskoj a druga strana, koja prima ili ima pristup takvim podacima nalazi se u trećoj zemlji. Odredbe ovog DPA nisu namenjene da izmene ili modifikuju SUO- ove, već pružaju pojašnjenje u pogledu procesa i procedura za usklađivanje sa SUO-ovima. U slučaju bilo kakve neusaglašenosti između uslova ovog DPA i SUO-ova, SUO- ovi će imati prednost.

6.4. Za Prenos podataka u vezi sa obrađivačem koji angažuje druge obrađivače, obrađivač stupa u primenljive Standardne ugovorne odredbe (koje definišu odnos Obrađivača prema Obrađivaču) sa drugim obrađivačima i u skladu sa xxx obavezuje druge obrađivače u vezi sa svakim daljim prenosom.

7. Poverljivost

Strane neće otkrivati nikakve poverljive informacije koje se dele u vezi sa ovim DPA izuzev (i) kako se to zahteva u ovom DPA ili uputstvu strana, (ii) u skladu sa zakonom, (iii) kao

odgovor nadležnom organu ili regulatornoj ili državnoj agenciji, i (iv) za obelodanjivanje svojim zaposlenim, predstavnicima i izvođačima koji su obavezani odredbama poverljivosti, u meri u kojoj je to neophodno.