CDPA Europe, Framework CDPA, Telekom as Controller, Sept 2021 Okvirni ugovor o obradi osobnih podataka u ime Voditelja obrade između DTAG

Prva izmjena

CDPA Europe, Framework CDPA, Telekom as Controller, Sept 2021

Okvirni ugovor

o obradi osobnih podataka u ime Voditelja obrade

između

DTAG

XXX

XXX

– u daljnjem tekstu: voditelj obrade –

i

XXX

XXX

XXX

–u daljnjem tekstu: izvršitelj obrade –

- u daljnjem tekstu pojedinačno i zajedno: ugovorna strana/ugovorne strane -

§ 1 Predmet ugovora; pravna osnova

1. Voditelj obrade namjerava Izvršitelju obrade povjeriti pružanje usluga unutar Okvirnog sporazuma između <<…ugovorne strane>> na temelju Pojedinačnih sporazuma. Ako izvršitelj obrade u tom kontekstu obrađuje osobne podatke (u daljnjem tekstu: podaci) ili ako se pristup osobnim podacima ne može isključiti (osobito kada se obavljaju usluge u području održavanja/daljinskog održavanja/analize IT kvarova), te se aktivnosti uređuju:

1. uvjetima iz ovog Okvirnog ugovora o obradi osobnih podataka i

2. Uvjetima iz svakog dodatnog Pojedinačnog ugovora o obradi osobnih podataka koji se zaključuje uz svaki Pojedinačni sporazum.

U slučaju bilo kakvih nedosljednosti između odredaba ovog Okvirnog ugovora o obradi osobnih podataka i odredaba Pojedinačnog ugovora o obradi osobnih podataka, odredbe ovog Okvirnog ugovora o obradi osobnih podataka imaju prednost. Bilo koje suprotne odredbe primjenjuju se samo ako su Ugovorne strane u Pojedinačnom ugovoru o obradi osobnih podataka izričito sporazumno utvrdile odstupanje od ovog Okvirnog ugovora o obradi osobnih podataka na način da su konkretno naznačile i uputile na određenu odredbu iz ovog Okvirnog ugovora o obradi osobnih podataka koju namjeravaju izmijeniti i samo u mjeri u kojoj se sporazumom ne mijenja niti jedna odredba u glavi § 2 navedenih Standardnih ugovornih klauzula.

(2) Ovaj se Okvirni ugovor primjenjuje na sve buduće narudžbe kao i na narudžbe koje su već izdane po Okvirnom ugovoru.

§ 2 Sporazum o Standardnim ugovornim klauzulama (u daljnjem tekstu: Klauzule ili SCC (engl. Standard Contractual Clauses)

između voditelja obrade i izvršitelja sukladno odredbi članka 28 stavka 7 Uredbe (EU) 2016/679 Europskog Parlamenta i Vijeća te članka 29 stavka 7 Uredbe (EU) 2018/1725 Europskog Parlamenta i Vijeća

s Aneksima i dodacima

OPSEG:

Svrha Standardnih ugovornih klauzula (Klauzule ili SCC) je osigurati usklađenost s člankom 28 stavcima 3 i 4 Uredbe (EU) 2016/679. Stranke su suglasne s niže priloženim Xxxxxxxxxx zajedno s objašnjenjima i dodacima navedenim u idućim Aneksima I – V.

ANEKS I

Ugovorne strane

Voditelj(i) obrade:

1. Naziv: ………………………………………..……………………………………………………………….................................................................

Adresa: ……………………………………………..……………………………………………………………….............................................................

Ime kontakt osobe, radno mjesto i kontakt podaci Službenika za zaštitu osobnih podataka ako je isti imenovan:

…………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja: ……………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja: ……………………………………………..……………………………………………………………….............................................................................

2.

……………………………………………..………………………………………………………………..............................................................................

Izvršitelj(i) obrade:

1. Naziv: ……………………………………………..………………………………………………………………..............................................................

Adresa: ……………………………………………..………………………………………………………………................................................................

Ime kontakt osobe, radno mjesto i kontakt podaci Službenika za zaštitu osobnih podataka ako je isti imenovan:

…………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja: ……………………………………………..……………………………………………………………….................................................................................

Potpis i datum pristupanja: ……………………………………………..……………………………………………………………….................................................................................

2.

……………………………………………..………………………………………………………………................................................................................

ANEKS II

Opis obrade podataka

Detalji o obradi osobnih podataka dogovaraju se u relevantnim Pojedinačnim ugovorima.

ANEKS III

Tehničke i organizacijske mjere uključujući tehničke i organizacijske mjere za osiguranje sigurnosti podataka

Dogovaraju se sljedeće mjere:

S voditeljem obrade moraju se uskladiti odluke koje se odnose na sigurnost u vezi s organizacijom obrade podataka i korištenim postupcima.

Ako su potrebne dodatne mjere u vezi ovog Okvirnog ugovora, iste se dogovaraju u relevantnom Pojedinačnom ugovoru.

ANEKS IV

Popis podizvršitelja

Popis podizvršitelja bit će dogovoren u relevantnom Pojedinačnom ugovoru.

ANEKS V

Dodatni sporazumi

1. Tajnost telekomunikacija

Ako je izvršitelju obrade, u okviru vlastitih aktivnosti, moguće pristupiti elektroničkim komunikacijskim podacima, jamči se da se obveza povjerljivosti koja obuhvaća osobe kojima je povjerena obrada podataka proteže i na sadržaj i točne okolnosti elektroničke komunikacije ispitanika, posebice uključenost ispitanika u postupak elektroničkih komunikacija i točne okolnosti neuspjelih pokušaja komunikacije.

2. Pravo na izravnu reviziju voditelja obrade

U slučaju da voditelj obrade obrađuje osobne podatke obuhvaćene ovim ugovorom u ime nadređenog kupca, odnosno u slučaju da se obrađuju osobni podaci klijenta voditelja obrade, izvršitelj obrade će, na zahtjev nadređenog kupca, dodijeliti pravo na pristup informacijama te pravo na nadzor predmetnom nadređenom kupcu u mjeri koju nalažu propisi kojima se regulira zaštita osobnih podataka. U ovome slučaju izvršitelj obrade će kontinuirano pružati voditelju obrade pisanim putem ili putem e- maila podatke o informacijama i izvršenim provjerama.

3. Osiguranje kvalitete

S obzirom na sustave obrade voditelja obrade kojima voditelj obrade ima pristup, voditelj obrade zadržava pravo provoditi revizije osiguranja kvalitete i poduzimanja mjera za utvrđivanje zlouporabe takvih sustava (npr. logovi). Navedeno može uključivati pristup osobnim podacima (kao što su, ali ne ograničavajući se na, pojedinačni korisnički ID-jevi i imena, podaci za kontakt, itd.) onih zaposlenika koji imaju pristup sustavima.

4. Održavanje, daljinsko održavanje i/ili analiza IT grešaka

a. Zaposlenici izvršitelja obrade koristit će prikladne procese identifikacije i enkripcije. Prije početka obrade, voditelj i izvršitelj obrade dogovorit će se o svim nužnim mjerama sigurnosne kopije podataka.

b. Sve usluge bit će dokumentirane i zabilježene od strane izvršitelja obrade.

c. Podaci se mogu koristiti samo na izričit zahtjev voditelja obrade i u svrhu analize grešaka. Mogu se koristiti samo na opremi koju je osigurao voditelj obrade ili na opremi izvršitelja obrade ako je istu prethodno odobrio voditelj obrade u predmetnu svrhu. Podaci se ne smiju kopirati na prijenosne uređaje za pohranu (PDA, USB memorijska kartica ili slični uređaji) bez izričitog pristanka voditelja obrade.

d. Ispitivanje i održavanje sustava radnih stanica kod voditelja obrade bit će izvršeno tek nakon dobivanja odobrenja ovlaštene osobe/zaposlenika voditelja obrade.

e. Izvršitelj obrade koristit će pristup pravima koja su mu dodijeljena, toliko dugo koliko je potrebno za pravilno obavljanje naručenog rada održavanja i testiranja.

f. U slučaju udaljenog pristupa, voditelj obrade ima pravo nadzirati takav pristup, u mjeri u kojoj je to moguće. Ugovorne strane će se dogovoriti o uspostavi opcije „Prekid daljinskog pristupa od strane voditelja obrade“ i o daljnjim modalitetima u mjeri u kojoj je takva opcija nužna.

5. Podizvršitelji

Izvršitelj obrade mora nametnuti podizvršitelju obrade obveze zaštite osobnih podataka ništa manje od obveza navedenih u Dodatku V. Korištenje daljnjih podređenih podizvršitelja (koji se također nazivaju "3. razina podizvršitelja") nije dopušteno bez pisanog dopuštenja Voditelja obrade. Podizvršitelji (2. razina podizvršitelja) mogu angažirati daljnje podizvršitelje (3. razina podizvršitelja) samo uz pisano dopuštenje Izvršitelja, što podliježe pisanom dopuštenju voditelja obrade.

5. Enkripcija

Uvoznik podataka mora kriptirati podatke (uključujući i sve osobne podatke) u prijenosu preko javne mreže između davatelja i preuzimatelja podataka, kao i između podatkovnih centara preuzimatelja podataka. Preuzimatelj podataka također kriptira podatke pohranjene u stanju mirovanja u svojim sustavima, uključujući i kada se isti nalaze u oblaku.

5. Neovlašten pristup IT sustavu („backdoor“)

Preuzimatelj podataka jamči da (1) nije namjerno kreirao „backdoor“ ili sličan program koji bi se mogao koristiti za pristup sustavu i/ili podacima na način koji nije ovlašten od strane voditelja obrade (2) nije namjerno kreirao ili promijenio poslovne procese na način koji olakšava pristup podacima ili sustavima te (3) nacionalni zakoni niti državna politika ne zahtijevaju od preuzimatelja podataka i/ili njegovih podizvršitelja da kreiraju ili održavaju „backdoor“, niti da olakšavaju pristup podacima ili sustavima, niti ne zahtijevaju da preuzimatelj podataka i/ili njegovi podizvršitelji budu u posjedu ili da predaju ključ za enkripciju.

5. Međunarodni prijenos podataka

Sukladno klauzuli 7.8 b SCC-a, voditelj obrade je upoznat s time da je preduvjet za primjenjivost standardnih ugovornih klauzula koje je Komisija usvojila u skladu s odredbom članka 46 stavkom 2 Uredbe (EU) 2016/679 pozitivan rezultat procjene rizika koju treba provesti voditelj obrade partnera koji obrađuje podatke u trećoj zemlji ili ima pristup podacima iz treće zemlje. Rezultat i glavna temeljna razmatranja procjene rizika moraju se dokumentirati i dokazati/dostaviti voditelju obrade na njegov zahtjev.

5. Suradnja s nadzornim tijelima

Sukladno klauzuli 7.6 e, izvršitelj obrade mora, sukladno zakonskim obvezama, odmah obavijestiti voditelja obrade o svim obavijestima nadzornih tijela (npr. zahtjevi, obavijesti o mjerama) upućenim izvršitelju ili podizvršitelju u vezi s obradom podataka koja je predmet ovog ugovora.

5. Zasebne smjernice voditelja obrade

……………………………………………………………………………………………………………………………………………………………………………….

……………………………………………………………………………………………………………………………………………………………………………….

……………………………………………………………………………………………………………………………………………………………………………….

5