UGOVOR O OBRADI PODATAKA U OKVIRU SOFTVERSKOG RJEŠENJA KASPERSKY SECURITY FOR ENDPOINT SECURITY CLOUD

UGOVOR O OBRADI PODATAKA U OKVIRU SOFTVERSKOG RJEŠENJA KASPERSKY SECURITY FOR ENDPOINT SECURITY CLOUD

Ovaj Ugovor o obradi podataka (''UOP'') čini sastavni dio Ugovora o davanju usluge online zaštite poslovnih korisnika (''Ugovor'') i softverskog rješenja Kaspersky Security for Endpoint Security Cloud (''Proizvod'') između Kaspersky Lab-a i Korisnika. Priloženi aneksi i dodaci dopunjavaju uslove ovog UOP-a. Ukoliko xx xxxxxx ranije sklopile neki ugovor o obradi podataka u vezi sa Proizvodom, ovaj UOP xx xxxx zamijeniti prethodni.

Svi termini iz ovog UOP-a imaju isto značenje kao u Ugovoru. Ovdje korišteni termini koji se pozivaju xx Xxxxxx EU o zaštiti podataka (2016/679), kao što su ''prekršaj ličnih podataka'', ''obrada'', ''kontrolor'', ''procesor'' i ''nosilac podataka'', imaće isto značenje kao u Članu 4 GDPR- a.

Ovaj UOP definiše rokove i uslove aktivnosti obrade Korisničkih podataka, naročito po pitanju obrade ličnih podataka (''Lični podaci'') koji su obuhvaćeni u Korisničkim podacima, u vezi sa Ugovorom.

1. Djelokrug i uloge

1.1. Ovaj UOP primjenjuje se na obradu Korisničkih podataka xx xxxxxx Kaspersky Lab-a u ime Korisnika.

1.2. Korisnik i Kaspersky Lab prihvataju da je Korisnik kontrolor (''Kontrolor'') Korisničkih podataka a da je Kaspersky Lab obrađivač (''Obrađivač'') tih podataka.

1.3. Ovaj UOP ne ograničava ili ne smanjuje Kaspersky Lab-ove obaveze zaštite podataka prema Korisniku u Ugovoru ili drugim dogovorima između Xxxxxxxxx i Xxxxxxxxx Lab- a i/ili njegovih Partnera.

1.4. Korisnički podaci xxxx korišteni samo u svrhu davanja Proizvoda Korisniku, uključujući svrhe koje su potrebne i u skladu sa davanjem Proizvoda po Aneksu 1 ovog UOP-a. Korisnik zadržava sva prava, pravo vlasništva i interes na Korisničke podatke. Kaspersky Lab nema nikakva prava na Korisničke podatke osim onih koja su potrebna za davanje Proizvoda Korisniku.

1.5. UOP će ostati na snazi sve dok svi Korisnički podaci ne budu izbrisani ili povučeni iz sistema Kaspersky Lab-a po Ugovoru i Aneksu 1 ovog UOP-a.

1.6. Ovaj UOP se ne primjenjuje ako je Kasperky Lab kontrolor obrađenih podataka.

1.7. Prije upotrebe Proizvoda Korisnik xxxx odrediti lokaciju njegove organizacije xxxx xx definisati gdje će Korisnički podaci biti obrađeni u skladu sa Online podrškom Kaspersky Lab-a ili njegovih podružnica ili pod-ugovarača. U skladu s ovom instrukcijom Korisnik imenuje Kaspersky Lab da izvrši prenos Korisničkih podataka na odabranu lokaciju i da pohrani i obradi Korisničke podatke radi davanja Proizvoda.

Kaspersky Lab ne kontroliše ili ne ograničava oblasti iz kojih Korisnik ili njegovi krajnji korisnici mogu imati pristup ili prebaciti Korisničke podatke.

1.8. Prilikom davanja tehničke podrške Korisniku Kaspersky Lab će imati pristup Korisničkim podacima iz Rusije.

1.9. Aneks 2 ovog UOP-a čine standardne ugovorne klauzule (obrađivači) koje se zasnivaju na Odluci komisije od 05.02.2010. godine o standardnim ugovornim klauzulama o prenosu Ličnih podataka na obrađivače u trećim zemljama po Direktivi 95/46/EC. Standardne ugovorne klauzule primjenjuju se na prenos i obradu Ličnih podataka izvan EEO-a u trećoj zemlji koja ne daje odgovarajuću zaštitu ličnih podataka tokom davanja Proizvoda. Standardne ugovorne klauzule će prevladati nad bilo kojim spornim dijelom UOP-a i/ili Ugovora.

2. Obaveze Kaspersky Lab-a

2.1. Kaspersky Lab neće angažovati drugi procesor bez prethodne specifične ili opšte pismene saglasnosti Korisnika. U slučaju davanja opšte pismene saglasnosti, Kaspersky Lab će obavijestiti Korisnika o svim planiranim promjenama po pitanju dodavanja ili zamjene ostalih procesora, dajući tako priliku Korisniku da uloži prigovor na te promjene.

2.2. Predmet i trajanje obrade, priroda i svrha obrade, vrsta Korisničkih podataka, kategorije podatkovnih predmeta i prava i obaveze Korisnika utvrđeni su u Ugovoru i ovom UOP-u. Kaspersky Lab će naročito izvršiti slijedeće:

• obradiće Korisničke podatke, uključujući u vezi sa prenosima Korisničkih podataka u neku treću zemlju ili međunarodnu organizaciju, samo po uputama Korisnika u kviru djelokruga i u svrhu Proizvoda po Ugovoru i ovom UOP-u. Ugovor i ovaj UOP, zajedno sa Xxxxxxxxxxxx upotrebom i konfiguracijom karakteristika Proizvoda, su Xxxxxxxxxxx kompletne upute Kaspersky Lab-u za obradu Korisničkih podataka;

• osiguraće da se osobe ovlaštene za obradu Korisničkih podataka obavežu na povjerljivost ili imaju odgovarajuću zakonsku obavezu povjerljivosti;

• preduzeće sve mjere u skladu sa Članom 32 GDPR-a;

• pridržavaće se uslova za angažovanje drugog procesora;

• uzimajući u obzir prirodu obrade, pomoći će Korisniku putem adekvatnih tehničkih i organizacionih mjera, sve dok je moguće, pri izvršenju Xxxxxxxxxxx obaveze da odgovori na zahtjeve za ostvarivanje prava na nosilac podataka iz Dijela III GDPR-a;

• pomoći će Xxxxxxxxx da se pridržava obaveza u skladu sa Članovima 32 do 36 GDPR-a uzimajući u obzir prirodu obrade i informacije koje su raspoložive Kaspersky Lab-u;

• po izboru Xxxxxxxxx, izbrisaće ili vratiti Korisniku sve Korisničke podatke po završetku davanja Proizvoda i izbrisaće postojeće kopije;

• staviće Korisniku na raspolaganje sve informacije koje su potrebne da se ukaže na usklađenost sa obavezama iz Člana 28 GDPR-a i omogućiće i učestvovaće u revizijama, kao i inspekcijama, koje vodi Korisnik ili drugi revizor po ovlaštenju Korisnika.

2.3. Kaspersky Lab će obavijestiti Korisnika bez kašnjenja nakon što sazna za povredu ličnih podataka u zakonskoj formi. Obavijest će biti dostavljena jednom ili više Korisnikovih administratora putem bilo kojeg sredstva koje odabere Kaspersky Lab, uključujući putem e-maila. Samo Xxxxxxxx je odgovoran da obezbijedi da njegovi administratori čuvaju tačne kontakt informacije. Obaveza da prijavi ili reaguje na povredu ličnih podataka nije potvrda Kaspersky Lab-a bilo kojeg propusta ili odgovornosti u vezi sa xxx povredom ličnih podataka.

2.4. Kaspersky Lab će primijeniti i održavati odgovarajuće tehničke i organizacione mjere zaštite Korisničkih podataka u skladu sa Aneksom 1 Pod-odjeljak 2 ovog UOP-a od slučajnog, neovlaštenog ili nezakonitog pristupa, otkrivanja, zamjene, gubitka ili uništenja. Tehničke i organizacione mjere su podložne tehničkom razvoju. Kaspersky Lab može primijeniti odgovarajuće alternativne mjere koje omogućavaju bar isti nivo zaštite sigurnosti kao definisane mjere.

2.5. Korisnik i Xxxxxxxxx Lab će preduzeti korake da obezbijede da bilo koje lice koje djeluje po ovlaštenju Korisnika ili Kaspersky Lab-a a koje ima pristup Korisničkim podacima ne vrši njihovu obradu osim na osnovu uputstava Korisnika.

3. Obaveze Korisnika

3.1. Korisnik će biti odgovoran za primjenu važećih zakona i propisa o zaštiti podataka uključujući ali bez ograničenja kompletan prenos Korisničkih podataka Kaspersky Lab- u.

3.2. Korisnik može pismeno obavijestiti Kaspersky Lab u roku od trideset (30) xxxx od isteka ili raskida Korisničke licence povući Korisničke podatke putem razumnih mjera ili izbrisati pohranjene Korisničke podatke. Korisnik će obavijestiti Kaspersky Lab bez nepropisnog kašnjenja ako ne bude mogao povući Korisničke podatke u ovom periodu. Po isteku tog perioda bez obavijesti xx xxxxxx Korisnika, Kaspersky Lab će izbrisati sve pohranjene Korisničke podatke, osim ako mu bude po zakonu zabranjeno da to uradi.

4. Revizija xx xxxxxx Xxxxxxxxx

4.1. Korisnik će imati dozvolu za reviziju aktivnosti Kaspersky Lab-a koje se odnose na izvršenje njegovih obaveza iz ovog UOP-a po važećim zakonima o zaštiti podataka. U tu svrhu Xxxxxxxxx Lab će razumno podržavati Korisnika i davati mu potrebne informacije na osnovu njegovog pismenog zahtjeva.

4.2. Nakon obavještavanja Kaspersky Lab-a bar pet sedmica unaprijed, Xxxxxxxx može izvršiti reviziju putem terenske inspekcije uređaja i aktivnosti vezano za Kaspersky Lab-ovu obradu podataka u redovno radno vrijeme i bez ozbiljnog prekida dnevnih aktivnosti Kaspersky Lab-a. Za vođenje revizije u njegovo ime Xxxxxxxx može odabrati neku dovoljno kvalifikovanu samostalnu treću stranu kao revizora koji ima obavezu povjerljivosti i nije konkurent Kaspersky Lab-u.

4.3. Korisnik će dokumentovati proces revizije i poslati Kaspersky Lab-u izvještaj o svim utvrđenim prekršajima Kaspersky Lab-ovih obaveza iz ovog UOP-a, ako je primjenljivo. Korisnik i Xxxxxxxxx Lab će se dogovoriti o razumnim mjerama radi obezbijeđenja usaglašenosti u budućnosti.

4.4. Korisnik će snositi sve troškove vođenja revizija i nadoknadiće Kaspersky Lab-u sve lične resurse koji su potrošeni na podršku revizije po tadašnjim važećim cijenama profesionalnih usluga Kaspersky Lab-a.

5. Pod-obrada podataka

5.1. Korisnik daje ovlaštenje Kaspersky Lab-u da angažuje pod-obrađivače za obradu Korisničkih podataka po ovom UOP-x. Xxxxxx trenutnih pod-obrađivača nalazi se na URL-u xxxxx://xxxx.xxxxxxxxx.xxx/Xxxxx/0.0/xx-XX/000000.xxx. Kaspersky Lab će obavijestiti Korisnika bar četrnaest (14) xxxx prije davanja ovlaštenja za bilo kojeg novog pod-obrađivača za pristup Korisničkim podacima.

5.2. Kaspersky Lab će obezbijediti da pod-obrađivači budu obavezni u skladu sa pismenim dogovorima koji od njih zahtijevaju da pruže bar isti nivo zaštite podataka koji se traži od Kaspersky Lab-a putem ovog UOP-a.

6. Odvojivost odredbi

6.1. Trajanje ovog UOP-a prati trajanje Ugovora. Ukoliko pojedinačne odredbe ovog UOP- a budu nevažeće ili nesprovodive, to neće uticati na važnost i sprovodivost ostalih odredbi ovog UOP-a.

ANEKS 1. DODATNI USLOVI OBRADE PODATAKA I ZAŠTITE SIGURNOSTI

1. Dodatni uslovi obrade podataka

1.1. Trajanje obrade podataka. Obrada podataka će trajati dok traje Licenca. Po isteku ili raskidu Korisnikove licence Kaspersky Lab će izbrisati ili vratiti Korisničke podatke po rokovima iz Ugovora.

1.2. Razlog za obradu podataka. Razlog za obradu podataka je davanje Proizvoda Korisniku, davanje tehničke podrške Korisniku, izvršenje ostalih obaveza iz Ugovora.

1.3. Kategorija predmeta podataka. Kategorije predmeta podataka su Korisnikovi predstavnici i krajnji korisnici, kao što su uposlenici, ugovarači, saradnici i klijenti.

1.4. Djelokrug i svrha obrade ličnih podataka. Korisnik koristi Proizvod radi zaštite Exchange Online mailboksova pod kontrolom Korisnika. U tu svrhu Obrađivač može dobijati, čuvati i obrađivati slijedeće vrste podataka:

1) identifikacioni podaci Globalnog administratora Endpoint Security Cloud koji su potrebni za davanje ovlaštenja za kreiranje servisnog računa sa potrebnim dozvolama u Exchange Online-u. Proizvod ne zavisi od računa Globalnog administratora nakon kreiranja servisnog računa i ne xxxx svoje identifikacione podatke za buduću upotrebu.

2) identifikacioni podaci servisnog računa koji se koriste za povezivanje Proizvoda sa Endpoint Security Cloud

3) lista svih mailboksova zaštićene organizacije Exchange Online-a,

4) lista svih prihvaćenih domena u zaštićenoj organizaciji Exchange Online-a,

5) e-mail poruke i sastanci, prilozi i X-zaglavlja poruke. Proizvod prima ove stavke u svrhu njihovog skeniranja i obrađuje ih u skladu sa postavkama zaštite. E-mail poruke i stavke se ne čuvaju na infrastrukturi Kaspersky Security for Endpoint Security Cloud,

6) meta podaci e-mail poruka (pošiljalac, primalac, predmet, primarna SMTP adresa srodnog mailboksa),

7) e-mail adresa xxxx xx definisana za vrijeme prijave i odgovarajuća IP adresa,

8) postavke Proizvoda koje su raspoložive na Portalu,

9) e-mail adrese koje su isključene iz skeniranja,

10) e-mail adrese koje su definisane u postavkama obavještavanja,

11) statistika o Proizvodu (pošiljaoci, primaoci, predmeti i rezultati skeniranja e-mail poruka),

12) nazivi xxxxx Aktivni direktorij, ID xxxxx i informacije o članstvu u grupi.

1.5. Tehnička podrška. Kaspersky Lab će imati pristup i obrađivati Korisničke podatke radi davanja usluge tehničke podrške. Korisnički podaci xxxx korišteni samo u svrhu davanja podrške, uključujući svrhe koje su potrebne i usklađene sa davanjem podrške, kao što su rješavanje ponavljajućih problema i unapređenje podrške i/ili Proizvoda.

Usluga tehničke podrške i njena pravila mogu se naći na stranici xxxxx://xxxxxxx.xxxxxxxxx.xxx.

2. Zaštita sigurnosti

2.1. Kaspersky Lab primjenjuje i pridržava se slijedećih mjera zaštite sigurnosti Proizvoda, za koje xx xxxx Kaspersky Lab odgovoran po pitanju zaštite sigurnosti Korisničkih podataka:

Organizacija zaštite sigurnosti informacija

1. Imenuje se jedan ili više službenika za zaštitu sigurnosti koji su zaduženi za koordinaciju i praćenje pravila i procedura zaštite sigurnosti.

2. Osoblje koje ima pristup Korisničkim podacima podložno je obavezama povjerljivosti.

3. Vrši se procjena rizika prije obrade Korisničkih podataka ili puštanja usluga u rad.

Upravljanje imovinom

4. Xxxx xx inventar kompletne imovine (na kojoj se pohranjuju Korisnički podaci). Pristup inventarima tih medija ograničen je na osoblje koje je ovlašteno da ima xxx xxxxxxx.

5. Korisnički podaci se klasifikuju da bi se podržala njihova identifikacija i omogućilo da pristup podacima bude adekvatno ograničen.

6. Potrebno je posebno ovlaštenje prije pohranjivanja Korisničkih podataka na prenosivim uređajima, daljinskog pristupa Korisničkim podacima ili obrade Korisničkih podataka izvan firme.

Zaštita sigurnosti kadrovskih potencijala

7. Kaspersky Lab obavještava svoje osoblje o odgovarajućim procedurama zaštite sigurnosti i njihovim ulogama.

8. Kaspersky Lab obavještava svoje osoblje i o mogućim posljedicama kršenja procedura i pravila zaštite sigurnosti.

9. Kaspersky Lab vrši obuku iz zaštite sigurnosti ličnih podataka.

Fizička i sigurnost sredine

10. Kaspersky Lab ograničava pristup objektima u kojim su smješteni informacioni sistemi koji obrađuju Korisničke podatke na identifikovane ovlaštene pojedince:

• zaštitari pružaju uslugu zaštite sigurnosti 24 sata dnevno 7 xxxx u sedmici

• sistem elektronskog pristupa putem kartica kontroliše pristup perimetru

• barijera se koristi na svim ulaznim tačkama predviđenim za upotrebu kartica

• uposlenici moraju nositi Kaspersky Lab-ov bedž

• posjetioci se registruju i moraju nositi bedževe za posjetioce; posjetioci imaju pratnju tokom posjete

• kompletan pristup perimetru i zaštićene zone nadziru se putem CCTV- a kojeg nadziru zaštitari

11. Kaspersky Lab xxxx zapise dolaznih i odlaznih medija, uključujući vrstu medija, ovlaštenog pošiljaoca/primaoca, datum i vrijeme, broj medija.

12. Koriste se različiti industrijski standardni sistemi zaštite od gubitka podataka zbog nestanka napajanja ili linijskog miješanja.

13. Primjenjuju se industrijski standardni procesi za brisanje Korisničkih podataka nakon što nisu više potrebni.

Upravljanje komunikacijama i operacijama

14. Xxxxxxxxx Lab xxxx dokumente o zaštiti sigurnosti koji opisuju njegove mjere zaštite sigurnosti i odgovarajuće procedure i odgovornosti njegovog osoblja koje ima pristup Korisničkim podacima.

15. Kopije Korisničkih podataka i procedura za oporavak podataka čuvaju se na drugom mjestu u odnosu na ono na kojem je smještena primarna računarska oprema za obradu Korisničkih podataka.

16. Primjenjuje se anti-malver kontrola radi sprječavanja da zlonamjerni softver dobije neovlašteni pristup Korisničkim podacima, uključujući zlonamjerni softver sa javnih mreža.

17. Korisnički podaci koji se prenose preko javnih mreža su šifrovani.

18. Kaspersky Lab evidentira pristup i upotrebu informacionih sistema koji sadrže Korisničke podatke i registruje pristupni ID, vrijeme, dato ili odbijeno ovlaštenje i odgovarajuću aktivnost.

Kontrola pristupa

19. Kaspersky Lab xxxx i ažurira evidenciju o osoblju koje je ovlašteno xx xxxxxxxx sistemima koji sadrže Korisničke podatke.

20. Kaspersky Lab identifikuje osoblje koje može dati, promijeniti ili otkazati ovlašteni pristup podacima i resursima.

21. Kaspersky Lab obezbijeđuje da tamo gdje više pojedinaca ima pristup sistemima koji sadrže Korisničke podatke, ti pojedinci imaju zasebne identifikatore/prijave.

22. Tehničko osoblje ima dozvolu za pristup Korisničkim podacima samo po potrebi.

23. Kaspersky Lab ograničava pristup Korisničkim podacima samo za pojedince koji trebaju xxx xxxxxxx za izvršenje svojih poslovnih obaveza.

24. Kaspersky Lab primjenjuje kontrolu pristupa na osnovu uloge.

25. Osoblje je dobilo upute da onemogući administrativne sesije prilikom napuštanja kontrole prostorija ili kada su računari ostavljeni bez nadzora.

26. Lozinke se čuvaju tako da budu nerazumljive dok su u upotrebi.

27. Kaspersky Lab koristi industrijske standardne prakse za identifikaciju i autentifikaciju korisnika koji pokušavaju da pristupe informacionim sistemima.

28. Xxxxxxxxx Lab je uspostavio politiku lozinke koja zabranjuje dijeljenje lozinke, daje uputstvo u slučaju otkrivanja lozinke, traži redovnu promjenu lozinke i zamjenu pogrešne lozinke.

29. Kaspersky Lab-ova politika lozinke definiše zahtjeve za kompleksnost lozinke.

30. Sve lozinke se čuvaju putem jednosmjernog hashing algoritma i uvijek se šalju šifrovane.

31. Kaspersky Lab ima kontrole za sprječavanje pojedinaca da preuzmu prava pristupa koja nisu dobili za pristup Korisničkim podacima kojim nisu ovlašteni da pristupaju.

32. Kaspersky Lab-ov interni mrežni kanal zaštićen je putem firewalls-a.

33. Svi prenosi podataka između Kaspersky Lab-a, pravnih lica i partnera i klijenata zaštićeni su putem TLS/SSL protokola.

Upravljanje incidentima po pitanju zaštite sigurnosti informacija

34. Kaspersky Lab ima evidenciju o prekršajima sigurnosti koja obuhvata opis prekršaja, vrijeme, posljedice prekršaja, ime izvjestioca i lica kojem je prekršaj prijavljen i proceduru obnove podataka.

Upravljanje ranjivosti

35. Informacioni resursi Kaspersky Lab-a redovno se provjeravaju putem skenera za provjeru njegove ranjivosti. Kaspersky Lab vrši testiranje penetracije informacionih resursa i revizije zaštite sigurnosti.

ANEKS 2

STANDARDNE UGOVORNE ODREDBE (OBRAĐIVAČI)

U svrhu Člana 26 (2) Direktive 95/46/EC za prenos ličnih podataka obrađivačima u trećim zemljama koji ne omogućavaju odgovarajući nivo zaštite podataka

Xxxxxxxx, koji je naveden u Ugovoru o obradi podataka (''izvoznik podataka'') i AO Kaspersky Lab, Bldg. 3, 39A, Leningradskoe Shosse, Moskva, 125212, Ruska Federacija (''uvoznik podataka'') pojedinačno kao ''strana'', zajedno kao '' strane'',

PRIHVATILI SU slijedeće Ugovorne odredbe (''Odredbe'') da bi predočili odgovarajuće mjere zaštite privatnosti i osnovnih ljudskih prava i xxxxxxx za prenos ličnih podataka iz Dodatka 1 xx xxxxxx izvoznika podataka uvozniku podataka.

Odredba 1 Definicije

U svrhu Odredbi:

(a) 'lični podaci', 'specijalne kategorije podataka', 'obrada', 'kontrolor', 'obrađivač', 'nosilac podataka' i 'nadzorni organ' imaće isto značenje kao u Direktivi 95/46/EC Evropskog Parlamenta i Vijeća od 24.10.1995. godine o zaštiti pojedinaca po pitanju obrade ličnih podataka i o slobodnom kretanju podataka;

(b) 'izvoznik podataka' je kontrolor koji prenosi lične podatke;

(c) 'uvoznik podataka' je obrađivač koji prihvata da dobija od izvoznika podataka lične podatke planirane za obradu u njegovo ime nakon prenosa po ovim uputama i uslovima Xxxxxxx i koji nije podložan sistemu treće zemlje dajući adekvatnu zaštitu u okviru značenja Člana 25 (1) Direktivi 95/46/EC;

(d) 'pod-obrađivač' xx xxxx koji obrađivač kojeg je angažovao uvoznik podataka ili neki drugi pod-obrađivač uvoznika podataka koji prihvata da dobija od uvoznika podataka ili nekog drugog pod-obrađivača uvoznika podataka lične podatke koji su isključivo planirani za obradu xxxx xx se izvršiti u ime izvoznika podataka nakon prenosa po ovim uputama, uslovima Xxxxxxx i uslovima pismenog pod-ugovora;

(e) 'važeći zakon o zaštiti podataka' xx xxxxx xxxx xxxxx osnovna ljudska prava i slobode i, naročito, pravo na privatnost vezano za obradu ličnih podataka koji su primjenljivi na kontrolora podataka u zemlji članici u kojoj je osnovan izvoznik podataka;

(f) 'mjere tehničke i organizacione sigurnosti' su mjere xxxx je cilj zaštita ličnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, zamjene, neovlaštenog otkrivanja ili pristupa, naročito ako obrada obuhvata prenos podataka preko mreže, i od svih ostalih nezakonitih oblika obrade.

Odredba 2 Podaci o prenosu

Podaci o prenosu a naročito specijalne kategorije ličnih podataka gdje je primjenljivo definisani su u Dodatku 1 xxxx xxxx sastavni dio Xxxxxxx.

Odredba 3

Treća strana kao korisnik

1. Nosilac podataka može sprovesti protiv izvoznika podataka ovu Odredbu, Odredbu 4 (b) do (i), Odredbu 5 (a) do (e) i (g) do (j), Odredbu 6 (1) i (2), Odredbu 7, Odredbu 8 (2) i Odredbe 9 do 12 xxx xxxxx strana kao korisnik.

2. Nosilac podataka može sprovesti protiv uvoznika podataka ovu Odredbu, Odredbu 5 (a) do (e) i (g), Odredbu 6, Odredbu 7, Odredbu 8 (2) i Odredbe 9 do 12 u slučajevima kada izvoznik podataka nestane ili prestane da postoji po zakonu osim ako bilo koji nasljednik ne preuzme sve zakonske obaveze izvoznika podataka putem ugovora ili primjene zakona, što dovodi do njegovog preuzimanja prava i obaveza izvoznika podataka, i u xxx slučaju nosilac podataka može ih sprovesti protiv te cjeline.

3. Nosilac podataka može sprovesti protiv pod-obrađivača ovu Odredbu, Odredbu 4 (b) do (i), Odredbu 5 (a) do (e) i (g), Odredbu 6, Xxxxxxx 7, Odredbu 8 (2) i Odredbe 9 do 12 u slučajevima kada i izvoznik i uvoznik podataka nestanu ili prestanu da postoje po zakonu ili postanu nesolventni osim ako bilo koji nasljednik ne preuzme sve zakonske obaveze izvoznika podataka putem ugovora ili primjene zakona, što dovodi do njegovog preuzimanja prava i obaveza izvoznika podataka, i u xxx slučaju nosilac podataka može ih sprovesti protiv te cjeline. Odgovornost pod-obrađivača prema trećim licima xxxx ograničena na njegove vlastite aktivnosti obrade u skladu s Odredbama.

4. Strane nisu protivne da nosioca podataka predstavlja neko udruženje ili drugi organ ukoliko nosilac podataka to izričito želi i ukoliko je zakonski dozvoljeno.

Odredba 4

Obaveze izvoznika podataka

Izvoznik podataka prihvata i garantuje slijedeće:

(a) da je obrada, uključujući prenos, ličnih podataka bila i xxxx i dalje izvršavana po odgovarajućim odredbama važećeg zakona o zaštiti podataka (i, gdje je primjenljivo, relevantni organi vlasti zemlje članice u kojoj je osnovan izvoznik podataka xxxx obaviješteni) i da ne krši odgovarajuće odredbe te zemlje;

(b) da xx xxx i da xx xxxxxx uvozniku podataka upute tokom trajanja usluga obrade ličnih podataka radi obrade ličnih podataka xxxx xxxxxx je izvršen samo u ime izvoznika podataka i po važećem zakonu o zaštiti podataka i Odredbama;

(c) da će uvoznik podataka dati dovoljno garancija za mjere tehničke i organizacione sigurnosti koje su definisane u Dodatku 2 ovog Ugovora;

(d) da su, nakon analize zahtjeva važećeg zakona o zaštiti podataka, mjere sigurnosti adekvatne za zaštitu ličnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, zamjene, neovlaštenog otkrivanja ili pristupa, naročito ako obrada obuhvata prenos podataka preko mreže, i od svih ostalih nezakonitih oblika obrade, i da ove mjere

obezbijeđuju nivo sigurnosti koji je adekvatan rizicima obrade i prirodi podataka koji će se zaštititi s obzirom na savremenost i cijenu njihove primjene;

(e) da će obezbijediti usaglašenost sa mjerama sigurnosti;

(f) da je, ako prenos obuhvata specijalne kategorije podataka, nosilac podataka bio ili će biti obaviješten prije ili što prije nakon prenosa da se može izvršiti prenos njegovih podataka u neku treću zemlju koja ne pruža adekvatnu zaštitu u okviru značenja Direktive 95/46/EC;

(g) da će proslijediti organu za nadzor zaštite podataka sve obavijesti koje dobije od uvoznika podataka ili pod-obrađivača po Odredbama 5 (b) i 8 (3) ukoliko izvoznik podataka odluči da nastavi prenos ili da ukine suspenziju;

(h) da stavi na raspolaganje na osnovu zahtjeva nosioca podataka kopiju Odredbi, izuzev Dodatka 2, i kratki opis mjera sigurnosti, kao i kopiju svakog ugovora o uslugama pod- obrađivanja xxxx xxxx biti sastavljen u skladu s Odredbama, osim ako Odredbe ili ugovor sadrže komercijalne informacije, i u xxx slučaju može ukloniti te komercijalne informacije;

(i) da se, u slučaju pod-obrade, obrada vrši po Odredbi 11 xx xxxxxx pod-obrađivača koji daje bar isti nivo zaštite ličnih podataka i prava nosioca podataka kao uvoznik podataka u skladu s Odredbama; i

(j) da će obezbijediti usaglašenost sa Odredbom 4 (a) do (i).

Odredba 5

Obaveze uvoznika podataka

Uvoznik podataka prihvata i garantuje slijedeće:

(a) da će obrađivati lične podatke samo u ime izvoznika podataka i po uputama i Xxxxxxxxx; ukoliko to ne može obezbijediti iz bilo kojeg razloga, prihvata da odmah obavijesti izvoznika podataka o tome i u xxx slučaju izvoznik podataka ima pravo da obustavi prenos podataka i/ili da raskine ugovor;

(b) da nema razloga da vjeruje da ga važeći zakon sprječava da slijedi upute izvoznika podataka i vrši svoje obaveze iz ugovora i da će u slučaju promjene zakona koji bi mogao imati značajan suprotni efekat na garancije i obaveze iz Odredbi, odmah obavijestiti izvoznika podataka čim sazna za tu promjenu, i u xxx slučaju izvoznik podataka ima pravo da obustavi prenos podataka i/ili da raskine ugovor;

(c) da je primijenio mjere tehničke i organizacione sigurnosti koje su definisane u Dodatku 2 prije obrade ličnih podataka xxxx xxxxxx je izvršen;

(d) da će odmah obavijestiti izvoznika podataka o slijedećem;

i. o bilo kojem zakonski obavezujućem zahtjevu za otkrivanje ličnih podataka xx xxxxxx organa za provođenje zakona osim ako bude zabranjeno drugačije, kao što je zabrana po krivičnom zakonu da xx xxxx povjerljivost istrage o provođenju zakona;

ii. o bilo kojem slučajnom ili neovlaštenom pristupu; i

iii. o bilo kojem zahtjevu koji je dobio direktno od nosioca podataka bez davanja odgovora na taj zahtjev, osim ako je drugačije ovlašten da to uradi;

(e) da će odmah i pravilno rješavati sve upite izvoznika podataka o obradi ličnih podataka koji su predmet prenosa i pridržavati se savjeta nadzornog organa po pitanju obrade prenesenih podataka;

(f) da će na osnovu zahtjeva izvoznika podataka poslati svoje uređaje za obradu podataka na reviziju aktivnosti obrade koje Odredbe pokrivaju koje će izvršiti izvoznik podataka ili

organ inspekcije koji je sastavljen od nezavisnih članova i koji imaju potrebne profesionalne kvalifikacije i obavezu povjerljivosti, a koje bira izvoznik podataka, gdje je moguće, u dogovoru sa nadzornim organom;

(g) da će dati na raspolaganje na osnovu zahtjeva nosioca podataka kopiju Odredbi, ili bilo kojeg postojećeg ugovora o pod-obrađivanju, osim ako Odredbe ili ugovor sadrže komercijalne informacije, i u xxx slučaju može ukloniti te komercijalne informacije, osim Dodatka 2 koji će zamijeniti kratkim opisom mjera sigurnosti u slučajevima u kojim nosilac podataka ne može da dobije kopiju od izvoznika podataka;

(h) da je, u slučaju pod-obrade podataka, prethodno obavijestio izvoznika podataka i dobio njegovu prethodnu pismenu saglasnost;

(i) da će usluge obrade xx xxxxxx pod-obrađivača biti izvršene u skladu s Odredbom 11;

(j) da će odmah poslati kopiju bilo kojeg ugovora o pod-obradi koji zaključi po Xxxxxxxxx izvoznika podataka.

Odredba 6 Odgovornost

1. Strane prihvataju da bilo koji nosilac podataka, koji je pretrpio štetu zbog bilo kojeg prekršaja obaveza iz Odredbi 3 ili 11 xx xxxxxx bilo koje strane ili pod-obrađivača ima pravo da dobije nadoknadu od izvoznika podataka zbog pretrpljene štete.

2. Ukoliko nosilac podataka ne može da podnese zahtjev za nadoknadu u skladu s odlomkom 1 protiv izvoznika podataka, zbog prekršaja xx xxxxxx uvoznika podataka ili njegovog pod-obrađivača bilo kojih njihovih obaveza iz Odredbi 3 ili 11, zato što je izvoznik podataka nestao ili prestao da zakonski postoji ili je postao nesolventan, uvoznik podataka prihvata da nosilac podataka izda zahtjev protiv uvoznika podataka kao da je izvoznik podataka, osim ako bilo koji nasljednik preuzme sve zakonske obaveze izvoznika podataka putem ugovora ili primjene zakona, i u xxx slučaju nosilac podataka može ostvariti svoja prava protiv te cjeline. Uvoznik podataka ne može se osloniti na prekršaj obaveza xx xxxxxx pod-obrađivača da bi izbjegao svoju odgovornost.

3. Ukoliko nosilac podataka ne može da podnese zahtjev u skladu s odlomcima 1 i 2 protiv izvoznika ili uvoznika podataka, zbog prekršaja xx xxxxxx pod-obrađivača bilo kojih njihovih obaveza iz Odredbi 3 ili 11, zato što je izvoznik ili uvoznik podataka nestao ili prestao da zakonski postoji ili je postao nesolventan, pod-obrađivač prihvata da nosilac podataka izda zahtjev protiv pod-obrađivača podataka vezano za njegove aktivnosti obrade po Xxxxxxxxx kao da je izvoznik ili uvoznik podataka, osim ako bilo koji nasljednik preuzme sve zakonske obaveze izvoznika ili uvoznika podataka putem ugovora ili primjene zakona, i u xxx slučaju nosilac podataka može ostvariti svoja prava protiv te cjeline. Odgovornost pod-obrađivača xxxx ograničena na njegove aktivnosti obrade u skladu s Xxxxxxxxx.

Odredba 7

Posredovanje i nadležnost

1. Uvoznik podataka prihvata da ako se nosilac podataka poziva protiv njega na prava trećeg xxxx xxx korisnika i/ili zahtijeva nadoknadu šteta u skladu s Odredbama, uvoznik podataka će prihvatiti odluku nosioca podataka:

(a) da podnese spor na posredovanje xx xxxxxx nezavisnog lica ili, gdje je izvodivo, nadzornog organa;

(b) da podnese spor sudovima u zemlji članici u kojoj je osnovan izvoznik podataka.

2. Strane prihvataju da izbor nosioca podataka neće biti štetan po njegova materijalna ili proceduralna prava da traži sredstva po ostalim odredbama državnog ili međunarodnog zakona.

Odredba 8

Saradnja sa nadzornim organima

1. Izvoznik podataka prihvata da deponuje kopiju ovog Ugovora kod nadzornog organa ukoliko to zatraži ili ukoliko je to deponovanje potrebno po važećem zakonu o zaštiti podataka.

2. Strane prihvataju da nadzorni organ ima pravo na reviziju uvoznika podataka, i bilo kojeg pod-obrađivača, koji ima isti djelokrug i podložan je istim uslovima koji bi se primijenili na reviziju izvoznika podataka po važećem zakonu o zaštiti podataka.

3. Uvoznik podataka će odmah obavijestiti izvoznika podataka o zakonima koji su primjenljivi ili bilo kojem pod-obrađivaču koji sprječava reviziju uvoznika podataka, ili bilo kojeg pod- obrađivača, u skladu s odlomkom 2. U xxx slučaju izvoznik podataka imaće pravo da preduzme mjere iz Odredbe 5 (b).

Odredba 9 Vladajući zakon

Na Odredbe će se primjenjivati zakon zemlje članice u kojoj je osnovan izvoznik podataka.

Odredba 10 Promjena ugovora

Strane prihvataju xx xxxx mijenjati ili modifikovati Odredbe. To ne sprječava strane da dodaju odredbe o poslovnim pitanjima kada zatreba sve dok nisu kontradiktorne Xxxxxxxxx.

Odredba 11

Pod-obrada podataka

1. Uvoznik podataka neće izvršiti pod-ugovaranje bilo koje svoje aktivnosti obrade xxxx xx obavljena u ime izvoznika podataka po Odredbama bez prethodne pismene saglasnosti izvoznika podataka. Ako uvoznik podataka pod-ugovori svoje obaveze iz Odredbi, uz saglasnost izvoznika podataka, uradiće to samo putem pismenog sporazuma sa pod- obrađivačem koji nameće iste obaveze za pod-obrađivača koje su nametnute uvozniku podataka u skladu s Odredbama. Ako pod-obrađivač ne izvrši svoje obaveze zaštite podataka po xxx pismenom sporazumu uvoznik podataka ostaće potpuno odgovoran izvozniku podataka za izvršenje obaveza pod-obrađivača iz tog sporazuma.

2. Prethodni pismeni ugovor između uvoznika podataka i pod-obrađivača će imati i odredbu o trećoj strani kao korisniku iz Odredbe 3 za slučajeve u kojim nosilac podataka ne može da podnese zahtjev za nadoknadu iz odlomka 1 Odredbe 6 protiv izvoznika ili uvoznika podataka jer xx xxxxxxx ili prestali da postoje po zakonu ili su postali nesolventni ili ni jedan nasljednik ne preuzme sve zakonske obaveze izvoznika ili uvoznika podataka putem ugovora ili primjene zakona. Ta odgovornost pod-obrađivača prema trećoj strani xxxx ograničena na njegove aktivnosti obrade u skladu s Xxxxxxxxx.

3. Za odredbe o aspektima zaštite podataka za pod-obradu ugovora iz odlomka 1 xxxx mjerodavan zakon zemlje članice u kojoj je osnovan izvoznik podataka.

4. Izvoznik podataka će imati xxxxxx ugovora o pod-obradi podataka koji su zaključeni po Xxxxxxxxx i o xxxxx xx uvoznik podataka obavijestio u skladu s Odredbom 5 (j), a koji će biti ažurirani bar jedanput godišnje. Xxxxxx xx biti na raspolaganju nadzornom organu izvoznika podataka za zaštitu podataka.

Odredba 12

Obaveza nakon raskida usluga obrade ličnih podataka

1. Strane prihvataju da će po raskidu davanja usluga obrade podataka, uvoznik podataka i pod-obrađivač, po izboru izvoznika podataka, vratiti izvozniku podataka sve dostavljene lične podatke i njihove kopije ili će uništiti sve lične podatke i potvrditi izvozniku podataka da je to uradio, osim ako zakon koji je nametnut uvozniku podataka spriječi da xxxx xxxxx ili uništi sve ili dio dostavljenih ličnih podataka. U xxx slučaju uvoznik podataka izjavljuje da će garantovati povjerljivost dostavljenih ličnih podataka i da više neće aktivno obrađivati dostavljene lične podatke.

2. Uvoznik podataka i pod-obrađivač garantuju da će na osnovu zahtjeva izvoznika podataka i/ili nadzornog organa dostaviti svoje uređaje za obradu podataka na reviziju mjera u skladu s odlomkom 1.

Dodatak 1 Standardnih ugovornih odredbi

Ovaj Dodatak čini dio odredbi i strane ga moraju izvršiti i potpisati.

Zemlje članice mogu definisati, u skladu sa njihovim državnim procedurama, sve dodatne informacije koje trebaju biti u ovom Dodatku.

Izvoznik podataka: Korisnik koji je definisan u UOP-u je izvoznik podataka.

Uvoznik podataka: Uvoznik podataka je AO Kaspersky Lab, Bldg. 3, 39A, Leningradskoe Shosse, Moskva, 125212, Ruska Federacija, međunarodna firma koja se bavi razvojem rješenja softverske sigurnosti i davalac softverskog rješenja Kaspersky Endpoint Security Cloud (''Proizvod'').

Nosioci podataka: Dostavljeni lični podaci odnose se na korisnike Softvera po definiciji iz Pod- dijela 1 Aneksa 1 ovog UOP-a.

Kategorije podataka: Djelokrug i kategorije podataka definisani su u Pod-dijelu 1 Aneksa 1 ovog UOP-a.

Specijalne kategorije podataka (ako je prikladno): Prenos specijalnih kategorija podataka nije predviđen.

Aktivnosti obrade: Dostavljeni lični podaci xxxx podložni aktivnostima obrade u skladu s Ugovorom i UOP-om, naročito s Pod-dijelom 1 Aneksa 1 ovog UOP-a.

Dodatak 2 Standardnih ugovornih odredbi

Opis mjera tehničke i organizacione sigurnosti koje je primijenio uvoznik podataka po Odredbama 4 (d) i 5 (c):

1. Tehničke i organizacione mjere. Uvoznik podataka je primijenio i primjenjivaće odgovarajuće mjere tehničke i organizacione sigurnosti, internet kontrole i standardne procedure po pitanju sigurnosti informacija u svrhu zaštite Korisničkih podataka, što je definisano u Pod-dijelu 2 Aneksa 1 ovog UOP-a, od slučajnog gubitka, uništenja ili zamjene, neovlaštenog otkrivanja ili pristupa, ili nezakonitog uništenja.

2. Kontakti. Za sva pitanja o obradi Korisničkih podataka molimo da kontaktirate predstavnika Kaspersky Lab-a u EU putem e-maila ili broja: Kaspersky Lab GmbH, Ingolstadt, Njemačka, xxxx@xxxxxxxxx.xx, x00 (0) 000 00 00 00.