SPORAZUM O OBRADI PODATAKA („DPA“)

SPORAZUM O OBRADI PODATAKA („DPA“)

I) Općenito

1. Područje primjene

Kroz upućivanje DPA čini sastavni dio Ugovora (kao što je definirano u Uvjetima i odredbama), osim ako ugovorne strane ne sklope zasebni ugovor o obradi podataka kao dio posebnih ugovora. U slučaju nedosljednosti između ovog DPA i bilo koje druge odredbe Xxxxxxx, DPA ima prednost.

Ovaj se DPA primjenjuje u slučaju kad društvo TD SYNNEX, djeluje u svojstvu izvršitelja obrade, obrađuje osobne podatke u ime i sukladno uputama Kupca, djelujući u svoje vlastito ime ili u ime korisnika ili njihovih krajnjih korisnika („Klijenti”) u svojstvu voditelja obrade. Navedeno se primjenjuje i u slučaju da Kupac, koji djeluje u svojstvu izvršitelja obrade, treba obrađivati osobne podatke u ime i sukladno uputama društva TD SYNNEX koja djeluje [u svoje vlastito ime ili u ime xxxxx xxxxxx] u svojstvu voditelja obrade.

Ovaj se DPA ne primjenjuje na TD SYNNEX i Kupca koji međusobno dijele osobne podatke kao odvojeni ili povezani voditelji obrade.

TD SYNNEX obično djeluje kao zasebni voditelj obrade ako:

(a) prikuplja osobne podatke u svezi s poslovanjem Kupca (kao što su osobni podaci koji se odnose na radnike Kupca);

(b) TD SYNNEX obrađuje osobne podatke krajnjeg korisnika koje pruža korisnik Kupca za:

(i) provedbu provjere prijevare, borbu protiv pranja novca, sankcije i sve druge provjere koje uključuju provjere popisa odbijenih strana, izvide i kazneni progon prijevare, pranje novca ili sankcije u svezi s uspostavljanjem i održavanjem odnosa s klijentom i pružanjem usluga;

(ii) poštivanje zakonskih i regulatornih obveza;

(iii) anonimizaciju i/ili analizu podataka; i

(iv) ispunjenje Ugovora, uključujući dostavu pošiljki i, ako je potrebno za ispunjenje Ugovora, prijenos takvih osobnih podataka trećim stranama koje djeluju kao voditelj obrade, poput prijevoznika, proizvođača ili pružatelja usluga kao xxxxx xxxxxx.

2. Definicije

Bilo koji pojam koji nije definiran u ovom DPA-u ili u drugim dijelovima Ugovora ima značenje koje mu je navedeno sukladno Općoj uredbi o zaštiti podataka (EU 2016/679) („GDPR”). Upućivanja na članke ovdje navedene Opće uredbe o zaštiti podataka [čl. GDPR] primjenjuje se samo u mjeri u

kojoj obrada podliježe GDPR-u – u svim drugim relevantnim nadležnostima primjenjuju se odgovarajući primjenjivi zakoni o zaštiti podataka.

“Treća zemlja” podrazumijeva svaku zemlju koja nije država članica Europske unije (“EU”) ili Europskog gospodarskog prostora (“EGP”) niti je potvrdila Europska komisija da ona

pruža odgovarajuću zaštitu osobnih podataka temeljem članka

45. stavak 3. GDPR-a.

„Obrada osobnih podataka EGP-a” za potrebe ovog DPA-a, podrazumijeva obradu osobnih podataka koji su obuhvaćeni područjem primjene GDPR-a ili zakonima o privatnosti Ujedinjenog Kraljevstva ili Švicarske.

„Standardne ugovorne klauzule” ili „SCC”- podrazumijevaju standardne ugovorne klauzule za prijenos osobnih podataka u treće zemlje prema Provedbenoj odluci Komisije (EU) 2021/914 od 4. lipnja 2021. godine ili bilo kojeg sljednika odluke ili dopunskoj odluci;

„Zakoni o privatnosti” podrazumijevaju sve primjenjive zakone i propise koji se odnose na obradu osobnih podataka i privatnost koji mogu postojati u relevantnim jurisdikcijama, ovo za države članice EU ili EGP-a, uključuje GDPR;

Pod pojmom „XXX” podrazumijevaju se tehničke i organizacijske mjere u smislu zakona o privatnosti.

“Podizvršitelj obrade” ili “Pod(pod)izvršitelj obrade” podrazumijeva xxxxx xxxxxx ovlaštene prema ovom DPA-u da imaju logičan pristup i obrađuju osobne podatake sukladno Ugovoru;

„Prijenos podataka“ podrazumijeva svaku stranu koja prenosi ili daje pristup osobnim podacima.

„Izvoznik“ podrazumijeva svaku stranu u Prijenosu podataka koja se nalazi u EGP-u, Ujedinjenom Kraljevstvu ili Švicarskoj.

II) Xxxxxxx uvjeti za TD SYNNEX kao izvršitelja obrade

Ovaj članak II. primjenjuje se kada društvo TD SYNNEX, koja djeluje u svojstvu izvršitelja obrade, obrađuju osobne podatke u ime Xxxxx i obvezuju je upute Kupca, djelujući u

svoje vlastito ime ili u ime Klijenata u svojstvu voditelja obrade. Primjenjuje xx xxx dodatak odjeljku III u nastavku. U slučaju nedosljednosti između odjeljaka XX i III, prednost ima ovaj odjeljak II.

1. Elektronička komunikacija. TD SYNNEX mogu Kupcu pružiti informacije i obavijesti u kontekstu ovog DPA-a elektroničkim putem, uključujući putem e-pošte, putem standardne web-stranice društvaTD SYNNEX ili putem web-stranice koje identificira TD SYNNEX.

2. Detalji o obradi. Uporabom Usluga Kupac pristaje na pojedinosti o obradi uključujući prirodu, svrhu i predmet obrade, kategorije ispitanika, vrste osobnih podataka, posebne kategorije osobnih podataka, XXX-xxx x xxxxx izvršitelje obrade – gdje je primjenjivo – prema definiciji u Ugovoru (uključujući ovaj DPA) i koji su na drugi način dostupni i priopćeni elektroničkim putem društva TD SYNNEX, uključujući putem e-pošte, putem standardne web-stranice TD SYNNEX ili putem web-stranice koju identificira TD SYNNEX.

3. Standardne ugovorne klauzule. SCC, ako je primjenjivo između TD SYNNEX i Kupca, mogu se pronaći

na standardnoj web-stranici društvaTD SYNNEX ili putem web-stranice koju identificira TD SYNNEX.

4. Obveze TD SYNNEX i Kupca.

4.1. Tvrtka TD SYNNEX će se pridržavati svih zakona o privatnosti koji su primjenjivi na nju u ulozi izvršitelja obrade. Tvrtka TD SYNNEX nije odgovorna za postupanje sukladno zakonima ili propisima koji se primjenjuju

na djelatnost Kupca ili njegovih Klijenata koji se ne primjenjuju općenito na pružatelje odgovarajućih Proizvoda. TD SYNNEX ne određuje obuhvaćaju li podaci Kupca ili njegovih Klijenata informacije podložne bilo kojem posebnom zakonu ili propisu.

4.2. Kupac procjenjuje i određuje prikladnost, primjerenost i sukladnost uporabe proizvoda xx xxxxxx Kupca ili njegovih Klijenata sa zakonima i propisima, uključujući

zakone o privatnosti, osobito u pogledu XXX-ova, drugih uključenih izvršitelja obrade, lokacije podatkovnog centra i relevantnog prijenosa podataka xxxx xx opisano u Ugovoru uključujući DPA i pojedinosti obrade.

4.3. Ako i xxx Xxxxx nije voditelj obrade osobnih podataka, ali obrađuje osobne podatke u ime Xxxxxxxx, Kupac jamči da će sklopiti sve ugovore i da će imati sve potrebne dozvole i autorizacije Klijenta (Klijenata) da:

- djeluje u odnosu na društvo TD SYNNEX kao voditelj obrade prema ovom DPA-u i ostvaruje sva prava kao voditelj obrade prema društvu TD SYNNEX i njegovim drugim izvršiteljima obrade u odnosu na DPA;

- će rabiti društvo TD SYNNEX kao izvršitelja obrade za obradu osobnih podataka, xxxx xx navedeno u Ugovoru, uključujući ovaj DPA i pojedinosti obrade;

- bit će jedina kontaktna točka s društvom TD SYNNEX za sve upute, obavijesti, informacije i komunikaciju u svezi s ovim DPA-om i za povezivanje relevantne komunikacije između Klijenata i TD SYNNEX, gdje je to zakonski

potrebno. Društvo TD SYNNEX oslobođa se od bilo kakve obveze informiranja ili obavješćivanja Klijenta xxxx xx TD SYNNEX pružila takve informacije ili obavijestila Kupca. TD SYNNEX bit će jedinstvena kontaktna točka s obzirom na ostale izvršitelje obrade društva TD SYNNEX.

- Kako bi se ostvarila prava Izvoznika sukladno Standardnim ugovornim klauzulama - gdje je primjenjivo - prema (i)

TD SYNNEX i/ili (ii) njezinim drugim izvršiteljima obrade putem TD SYNNEX u ime Izvoznika.

III) Opći uvjeti obrade

Ovaj odjeljak III. primjenjuje se pored odjeljka II. ako društvo TD SYNNEX, koje djeluje u svojstvu izvršitelja obrade, obrađuje osobne podatke u ime Xxxxx i obvezuju je upute Kupca, djelujući u vlastito ime ili u ime Xxxxxxxxx u svojstvu voditelja obrade. Navedeno se primjenjuje i u slučaju da Kupac, koji djeluje u svojstvu izvršitelja obrade, treba obrađivati osobne podatke u ime i sukladno uputama društva TD SYNNEX koje djeluje [u svoje vlastito ime ili u ime xxxxx xxxxxx] u svojstvu voditelja obrade.

1. Obveze Voditelja obrade

1.1. Voditelj obrade snosi isključivu odgovornost za poštivanje svih zakonskih obveza voditelja obrade u pogledu obrade sukladno Zakonima o privatnosti. Voditelj obrade xx xxxxx po raskidu ili isteku Xxxxxxx i kroz izdavanje uputa poduzeti mjere za vraćanje medija za pohranu podataka uključujući osobne podatke ili za brisanje pohranjenih osobnih podataka i obavijestit će izvršitelja obrade bez nepotrebnog odgađanja o bilo kakvoj pogrešci ili nepravilnosti koje sazna u svezi s obradom osobnih podataka xx xxxxxx izvršitelja obrade.

1.2. Voditelj obrade neće koristiti Proizvode u kombinaciji s osobnim podacima u mjeri u kojoj bi takav postupak narušio Zakone o privatnosti i sukladno tome obvezat će svoje Klijente.

2. Obveze Izvršitelja obrade

2.1. Sukladnost s obvezama Izvršitelja obrade. Izvršitelj obrade pridržavat će se svih obveza koje se odnose na izvršitelje obrade sukladno Zakonu o privatnosti podataka EGP-a. Izvršitelj obrade nije odgovoran za utvrđivanje zahtjeva zakona primjenjivih na poslovanje ili djelatnost voditelja obrade ili Klijenata ili da pružanje Proizvoda

xx xxxxxx izvršitelja obrade zadovoljava zahtjeve takvih zakona.

2.2. Upute. Izvršitelj obrade obrađuje osobne podatke isključivo sukladno pisanim uputama voditelja obrade, koje su definirane u Ugovoru uključujući ovaj DPA i njegove priloge, - ako je primjenjivo– ovlaštenuuporabu voditelja obrade i konfiguraciju Proizvoda ili na drugi način u pisanom obliku. Izvršitelj obrade odmah obavještava voditelja obrade ako izvršitelj obrade vjeruje da su upute voditelja obrade u suprotnosti s primjenjivim zakonom

o zaštiti podataka i/ili ugovornim obvezama iz Ugovora, uključujući ovaj DPA. Izvršitelj obrade ima pravo obustaviti primjenu takvih uputa dok ih voditelj obrade ne pregleda i ne potvrdi ili promijeni kao rezultat toga. Izvršitelj obrade je ovlašten obrađivati osobne podatke bez uputa voditelja obrade ako to zahtijeva xxxxxx EU-a ili njezinih država članica kojem izvršitelj obrade podliježe; u xxx slučaju izvršitelj obrade o xxx pravnom zahtjevu obavještava voditelja obrade prije obrade, osim ako xxx

xxxxx zabranjuje takve podatke iz važnih razloga od javnog interesa.

2.3. Otkrivanje/pristup. Izvršitelj obrade ne otkriva osobne podatke bilo kojoj trećoj strani, osim ako ga ne ovlasti voditelj obrade ili to zahtijeva xxxxxx EU ili njezinih država članica. Ako takav xxxxxx zahtijeva da se trećoj strani ili vladi, sudu ili nadzornom tijelu temeljem tog zakona dozvoli pristup osobnim podacima, izvršitelj obrade obavijestit će voditelja obrade prije otkrivanja, osim ako je to zabranjeno zakonom iz važnih razloga od javnog interesa. Osim ako nije obvezno temeljem propisa EU ili njezinih država članica, izvršitelj obrade podataka ne otkriva niti objavljuje osobne podatke kao odgovor na takav zahtjev poslan izvršitelju obrade bez prethodnog savjetovanja s voditeljem obrade. Ako osobni podaci voditelja obrade postanu predmet pretrage i zapljene,

oduzimanja tijekom postupka bankrota ili stečaja ili sličnih događaja ili mjera trećih strana tijekom njihove obrade,

izvršitelj obrade o tome će bez nepotrebnog odgađanja obavijestiti voditelja obrade.

2.4. Pouzdanost. Izvršitelj obrade od cjelokupnog osoblja i osoba xxxxxx xx povjerena obrada osobnih podataka

zahtijeva obvezu povjerljivosti, osim ako se ne primjenjuje odgovarajuća zakonska obveza povjerljivosti - i da ne obrađuju takve osobne podatke u bilo koju drugu svrhu osim prema uputama voditelja obrade ili xxxx xx to u suprotnom zahtijevano propisom EU ili njezinih država članica.

2.5. Prava ispitanika. Izvršitelj obrade podataka na zahtjev voditelja obrade razumno pomaže voditelju obrade i xxxx xx to zakonski nužno, u pružanju pristupa ispitanicima i kod odgovaranja na sve zahtjeve, pritužbe ili drugu komunikaciju ispitanika, uključujući zahtjeve ispitanika xxxx xxxx ostvariti svoja prava prema zakonima

o privatnosti. Ako takav zahtjev, pritužbu ili komunikaciju primi izvršitelj obrade ili u suprotnom dostave se izvršitelju obrade, izvršitelj obrade bez nepotrebnog odgađanja obavještava voditelja obrade, ako izvršitelj obrade može povezati ispitanika s voditeljem obrade.

2.6. Povreda podataka. Izvršitelj obrade bez nepotrebnog odgađanja obavijestit će voditelja obrade kada sazna za bilo kakvu povredu osobnih podataka („Povredapodataka”) koje utječe na osobne podatke voditelja obrade. Izvršitelj obrade poduzet će takve mjere i radnje kako bi otklonio ili ublažio učinke Povrede podataka osobne prirode te će pomoći voditelju obrade u osiguravanju sukladnosti s njegovim obvezama prema primjenjivom zakonu o privatnosti

kako bi obavijestio nadzorna tijela i ispitanike o Povredi podataka, uzimajući u obzir prirodu obrade i informacije dostupne izvršitelju obrade. Posebice, izvršitelji obrade surađuju s voditeljem obrade pružajući redovita ažuriranja i druge razumno zatražene informacije. Sva priopćenja za tisak, obavijesti, javne ili regulatorne najave ili priopćenja u svezi s Povredom podataka voditelj obrade vrši prema vlastitom nahođenju, osim ako nije drugačije propisano važećim zakonima.

2.7. Pomoć s obvezama Voditelja obrade. Izvršitelj obrade razumno pomaže voditelju obrade na zahtjev voditelja obrade s obvezama voditelja obrade koje se odnose na sigurnost obrade, provedbe procjene učinka na zaštitu podataka i prethodna savjetovanja uzimajući u obzir informacije dostupne društvu TD SYNNEX i prirodu obrade. Izvršitelj obrade pruža pomoć u svezi s revizijama svakog nadležnog nadzornog tijela u onoj mjeri u kojoj se takva revizija odnosi na obradu osobnih podataka xx xxxxxx izvršitelja obrade a sukladno ovom Ugovoru i kako voditelj obrade razumno zahtijeva. Pomoć izvršitelja obrade može podlijegati razumnoj naknadi, osim ako je pomoć izvršitelja obrade prema tome već navedena u Ugovoru.

2.8. Prestanak ugovora. Izvršitelj obrade xxxxx xx, po izboru voditelja obrade, izbrisati ili vratiti sve osobne podatke voditelju obrade nakon raskida ili istjeka Xxxxxxx, te izbrisati postojeće kopije osim ako xxxxxx EU ili države članice ne zahtijeva pohranu osobnih podataka xx xxxxxx izvršitelja obrade.

3. Tehničke i organizacijske zaštitne mjere

3.1. Izvršitelj obrade i voditelj obrade moraju implementirati i održavati XXX-xxx prema zahtjevima primjenjivog Zakona o privatnosti. To uključuje primjenu i održavanje XXX-ova kako bi se osigurala razina sigurnosti primjerena rizicima ili oštećenju osobnih podataka, primjerena šteti koja može nastati kao rezultat neovlaštene ili nezakonite obrade

ili slučajnog gubitka, uništavanja ili oštećenja i prirodi podataka koji se štite, u odnosu na stanje tehnološkog razvoja i troškove provedbe svih mjera (ove mjere mogu uključivati, xxxx xx prikladno, pseudonimiziranje i enkripciju osobnih podataka, osiguravanje povjerljivosti, integriteta, dostupnosti i otpornosti njegovih sustava i usluga).

3.2. XXX-ovi su podložni tehničkom napretku i daljnjem razvoju. Izvršitelj obrade zadržava pravo izmjene mjera i sigurnosne zaštite koje se provode, međutim, pod uvjetom da se funkcionalnost i sigurnost Proizvoda ne

budu narušeni. Sve značajne odluke vezane uz sigurnost o organizaciji obrade podataka i primijenjenim postupcima prijavljuju se voditelju obrade.

3.3. Uporabom proizvoda voditelj obrade potvrđuje XXX- xxx xxxx xx navedeno u Ugovoru i/ili koje pruža izvršitelj obrade i potvrđuje XXX-xxx kako bi pružio odgovarajuću razinu zaštite u pogledu rizika povezanih s obradom osobnih podataka.

4. Dokumentacija i obveze revizije

4.1. Na zahtjev voditelja obrade izvršitelj obrade xxxx učiniti dostupnim voditelju obrade ili ovlaštenoj trećoj strani koja djeluje u ime voditelja obrade, informacije potrebne

voditelju obrade ili Klijentima kako bi ispunili svoje obveze revizije sukladno primjenjivim zakonima o zaštiti podataka ili zahtjevu nadzornog tijela te dopustiti i doprinositi revizijama i pregledima uključujući inspekcije xxxx xx navedeno u nastavku.

4.2. Voditelj obrade može zatražiti od izvršitelja obrade odgovarajuće informacije o XXX-ovima uključujući, gdje je to moguće, revizorske certifikate, izvješća ili izvatke

iz izvješća koja dostavljaju neovisna tijela (npr. revizor, službenik za zaštitu podataka, odjel za informacijsku sigurnost, revizor za zaštitu podataka, revizor za kvalitet).

4.3. U mjeri u kojoj nije moguće na drugi način ispuniti revizijsku obvezu koju propisuje primjenjivi zakon o privatnosti, voditelj obrade ili njegov ovlašteni revizor mogu obavljati osobne revizije na licu mjesta o trošku voditelja obrade na pojedinačnoj osnovi, obično ne češće od jednom godišnje, tijekom redovitih radnih sati, uz razumno uplitanje u postupke izvršitelja obrade i razumnu prethodnu obavijest. Izvršitelj obrade može odrediti da takve revizije i inspekcije podliježu izvršenju povjerljivosti kojom se štite podaci drugih kupaca i povjerljivost XXX- ova i primijenjenih zaštitnih mjera.

4.4. Voditelj obrade podataka bez nepotrebnog odgađanja informira izvršitelja obrade o svim pogreškama ili nepravilnostima otkrivenima tijekom revizije.^

5. Podizvršitelj obrade

5.1. Voditelj obrade ovime ovlašćuje izvršitelja obrade za prijenos osobnih podataka ili daje pristup osobnim podacima drugim izvršiteljima obrade koje on angažira (i dopušta drugim izvršiteljima obrade da to učine sukladno ovoj odredbi 5) u svrhu pružanja Proizvoda koji podliježu obvezama voditelja obrade prema ovom

članku 5. Xxxx navedena suglasnost predstavlja prethodnu pisanu suglasnost voditelja obrade za sudjelovanje drugih izvršitelja obrade xx xxxxxx izvršitelja obrade ako je takva suglasnost potrebna prema standardnim ugovornim klauzulama ili zakonu o privatnosti. Izvršitelj obrade ostaje odgovoran za postupanje drugih izvršitelja obrade sukladno obvezama navedenima u ovom DPA. Izvršitelj obrade stavlja na raspolaganje voditelju obrade trenutačni popis drugih izvršitelja obrade, primjerice na web-stranici izvršitelja obrade.

5.2 Voditelj obrade ima pravo prigovora na angažman novog izvršitelja obrade u roku od 10 xxxx od obavijesti. U suprotnom se smatra da je voditelj obrade odobrio takav novi angažman ili promjenu. Ako postoji materijalno važan razlog prigovora i ugovorne strane sporazumno ne riješe ovaj problem, voditelj obrade ima pravo raskinuti Ugovor u odnosu na odgovarajući Proizvod.

5.3 Izvršitelj obrade sklapa pisane ugovore sa svakim drugim izvršiteljem obrade kojeg angažira koji ne pružaju manju zaštitu od one navedene u ovom DPA. Takav ugovor posebno pruža dovoljna jamstva za provedbu odgovarajućih XXX-ova.

6. Međunarodni prijenos podataka

6.1. Voditelj obrade ovime ovlašćuje izvršitelja obrade za prijenos ili davanje pristupa osobnim podacima u kontekstu usluga xxxx xx navedeno u Ugovoru,

pojedinostima obrade i/ili SCC-ovima - ako je primjenjivo.

6.2. Svaka obrada osobnih podataka izvan zemlje ili regije gdje se nalazi voditelj obrade podliježe odgovarajućem mehanizmu prijenosa podataka ako to zahtijeva i kako to zahtijeva Zakon o privatnosti.

6.3. Za međunarodne prijenose podataka u kontekstu obrade osobnih podataka unutar EGP-a, SCC-ovi se moraju provesti između društva TD SYNNEX i Kupca ako se strana koja prenosi ili daje pristup osobnim podacima nalazi u EGP-u, Ujedinjenom Kraljevstvu ili Švicarskoj, a druga strana koja prima ili ima pristup takvim podacima nalazi se u trećoj zemlji. Uvjeti ovog DPA nisu namijenjeni za izmjenu i dopunu ili izmjenu SCC-a, već pružaju jasnoću

u smislu procesa i postupaka za sukladnost sa SCC-ima. U slučaju sukoba između uvjeta ovog DPA i SCC-a, SCC ima prednost.

6.4. Za prijenose podataka u svezi s izvršiteljem obrade koji angažira druge izvršitelje obrade, izvršitelj obrade sklapa važeće Standardne ugovorne klauzule (izvršitelj obrade podataka prema izvršitelju obrade) s drugim izvršiteljima obrade te prema tome obvezuje druge izvršitelje obrade u svezi s daljnjim prijenosom.

7. Povjerljivost

Ugovorne strane neće otkriti povjerljive informacije podijeljene u svezi s ovim DPA osim (i) sukladno DPA-u ili uputama ugovornih strana, (ii) sukladno zakonu, (iii) kao odgovor nadležnom tijelu ili regulatornoj ili vladinoj agenciji, i (iv) za otkrivanje svojim djelatnicima, agentima i izvođačima koje obvezuje povjerljivost na temelju potrebe za saznanjem.