Posebni pogoji za Storitev Kibernetska varnost na ključ
Posebni pogoji za Storitev Kibernetska varnost na ključ
Družba A1 Slovenija, telekomunikacijske storitve, d. d., Xxxxxxxx xxxxx 0, 0000 Xxxxxxxxx je gospodarska družba, ki v okviru svojih dejavnosti svojim Sopogodbenikom zagotavlja Storitev Kibernetska varnost na ključ, v okviru katere jim omogoči tudi uporabo Programske opreme, in sicer vse v skladu s svojimi Splošnimi pogoji, temi Posebnimi pogoji, Pogodbami in Veljavnimi predpisi.
Vsebina teh Posebnih pogojev je naslednja:
I. Pomen izrazov
I/1 Izrazi, ki se uporabljajo v teh Posebnih pogojih, imajo pomen, kot je zanje določen v (i) Splošnih pogojih in (ii) teh Posebnih pogojih.
I/2 Naslednji izrazi, uporabljeni v teh Posebnih pogojih, imajo pomen kot sledi:
Delovni čas: pomeni delovni čas A1 varnostno-operativnega centra, to je čas od 8:00 do 16:00 na Delovni dan, če ni s Pogodbo dogovorjen drugačen delovni čas.
Delovni dan: pomeni vsak delovni dan v tednu (to je od ponedeljka do petka) razen praznikov in dela prostih dni v Sloveniji.
Pogodbena dokumentacija: so vsi dokumenti, določeni v Pogodbi, ki urejajo pogodbeno razmerje za uporabo Storitve Kibernetska varnost na ključ. Pogodbeno dokumentacijo sestavlja Dokumentacija Družbe A1 in Dokumentacija Drugega ponudnika kot je opredeljena v Pogodbi.
Ponudba: pomeni Ponudbo za Storitev Kibernetska varnost na ključ, ki jo Družba A1 poda Sopogodbeniku, Sopogodbenik pa jo potrdi in sprejme. Ponudba določa opredelitev Storitve Kibernetska varnost na ključ in Programske opreme, pogodbeno ceno ter druge pogoje za izvajanje Storitve Kibernetska varnost na ključ in uporabo Programske opreme. Ponudba je neločljivi sestavni del Pogodbe.
Posebni pogoji: pomenijo te Posebne pogoje za Storitev Kibernetska varnost na ključ.
Programska oprema: pomeni programsko opremo Cynet 360 za odkrivanje in preprečevanje kibernetskih varnostnih groženj ter odzivanje nanje, katere opis je dostopen na xxxxx://xxx.xxxxx.xxx. Programska oprema pomeni Posredovano storitev v smislu Splošnih pogojev.
Proizvajalec: pomeni proizvajalca Programske opreme, Cynet Security Ltd. Proizvajalec pomeni Drugega ponudnika v smislu Splošnih pogojev.
Splošni pogoji: pomenijo Splošne pogoje za izvajanje in posredovanje storitev, produktov in rešitev, ki niso Elektronske komunikacije storitve, za pravne osebe in podjetnike.
Storitev Kibernetska varnost na ključ: pomeni storitev, v okviru katere Družba A1 Sopogodbeniku omogoči uporabo Programske opreme in mu v zvezi s Programsko opremo zagotavlja tehnično pomoč, kot je podrobneje opredeljena v Pogodbi. Storitev Kibernetska varnost na ključ pomeni A1 Storitev v smislu Splošnih pogojev.
II. Splošno
II/1 Družba A1 za Sopogodbenika izvaja Storitev Kibernetska varnost na ključ v vsebini in pod pogoji skladno s Pogodbeno dokumentacijo.
II/2 S sklenitvijo Pogodbe, ki se sklicuje na te Posebne pogoje, Sopogodbenik potrjuje, da soglaša s temi Posebnimi pogoji in da jih sprejema kot neločljivi sestavni del Pogodbe.
II/3 Sopogodbenikovo naročilo Storitve Kibernetska varnost na ključ in Programske opreme postane nespremenljivo in nepreklicno z dnem, ko Sopogodbenik sprejme Ponudbo, kar pomeni, da Sopogodbenik od naročila več ne more odstopiti.
II/4 Kakršni koli pogodbeni in/ali drugi pogoji Sopogodbenika so iz Pogodbe izrecno izključeni in v nobenem primeru za Družbo A1 niso zavezujoči.
III. Izvajanje Storitve Kibernetska varnost na ključ
III/1 Družba A1 je s strani Proizvajalca oziroma njegovega distributerja pooblaščena za nadaljnjo prodajo licenc Programske opreme na območju Slovenije. Družba A1 Sopogodbeniku omogoči uporabo Programske opreme za Sopogodbenikovo lastno uporabo in skladno z licenčnimi pogoji Proizvajalca, dostopnimi na xxxxx://xxx.xxxxx.xxx/xxxx (v nadaljevanju: Licenčni pogoji), ki jih je dolžan Sopogodbenik sprejeti pred začetkom uporabe Programske opreme. Za razmerje med Sopogodbenikom in Proizvajalcem iz naslova uporabe in delovanja Programske opreme, kar vključuje tudi morebitne omejitve pri uporabi Programske opreme in ureditev varstva Pravic intelektualne lastnine, veljajo Licenčni pogoji Proizvajalca. Družba A1 v razmerju med Sopogodbenikom in Proizvajalcem iz naslova uporabe in delovanja Programske opreme ni pogodbena stranka in v to razmerje ni vključena, pač pa Sopogodbeniku, na podlagi njegovega naročila, zgolj omogoči uporabo Programske opreme v okviru Storitve Kibernetska varnost na ključ, medtem ko pravico uporabe Programske opreme Sopogodbenik pridobi neposredno od Proizvajalca, in sicer v vsebini, obsegu in pod pogoji kot to določajo Licenčni pogoji. Za uporabo in delovanje Programske opreme veljajo izključno in zgolj pogoji, jamstva in garancije kot jih določa Proizvajalec, Družba A1 iz tega naslova Sopogodbeniku ne daje nikakršnih jamstev in garancij ter mu ne zagotavlja nobenih pravic in v razmerju do Sopogodbenika ne prevzema nobenih obveznosti.
III/2 Družba A1 in Proizvajalec Sopogodbeniku v okviru uporabe Programske opreme in Storitve Kibernetska varnost na ključ ne dajeta nobenega jamstva ali garancije, da na sistemih, omrežju ali sredstvih Sopogodbenika ne more priti do kibernetske grožnje ali napada oziroma da so sistemi, omrežje ali sredstva Sopogodbenika popolnoma varni pred vsakršnimi tveganji, in je torej vsakršna odgovornost Družbe A1 in Proizvajalca iz tega naslova v celoti izključena. Šteje se, da Sopogodbenik s sprejemom teh Posebnih pogojev potrjuje, da se opisanega tveganja zaveda in to tveganje tudi v celoti prevzema.
III/3 Pred začetkom izvajanja Storitve Kibernetska varnost na ključ je dolžan Sopogodbenik Družbo A1 pisno obvestiti, če Sopogodbenik uporablja opremo (npr. programsko in/ali strojno), za katero veljajo morebitne pravne, vsebinske, procesne in/ali podobne zahteve, ki kakor koli omejujejo, preprečujejo, onemogočajo ali kakor koli drugače vplivajo na uporabo Programske opreme in/ali Storitve Kibernetska varnost na ključ. Vse morebitne negativne posledice opustitve tega obvestila oziroma kakršnih koli pomanjkljivih, napačnih ali netočnih podatkov, ki jih Sopogodbenik posreduje Družbi A1 v zvezi s to opremo, nosi izključno Sopogodbenik.
III/4 Družba A1 Storitev Kibernetska varnost na ključ praviloma izvaja preko oddaljenega dostopa, telefona ali e-pošte; na podlagi predhodnega pisnega dogovora in proti dodatnemu plačilu skladno s Pogodbo, pa tudi na lokaciji Sopogodbenika.
III/5 Družba A1 lahko določi okno za vzdrževanje, v okviru katerega izvaja redno vzdrževanje svoje programske in strojne opreme ter druge morebitne opreme in omrežja, preko katerih oziroma s pomočjo katerih izvaja Storitev Kibernetska varnost na ključ. Sopogodbenik se strinja, da lahko med oknom za vzdrževanje prihaja do krajših motenj in prekinitev pri izvajanju Storitve Kibernetska varnost na ključ, pri čemer Sopogodbenik iz tega naslova nima pravice od Družbe A1 zahtevati povračila kakršnih koli stroškov in škode.
III/6 Družba A1 prevzema izključno izvedbo Storitve Kibernetska varnost na ključ, in sicer v vsebini, obsegu in pod pogoji kot to izhaja iz Pogodbene dokumentacije. Vsaka odgovornost Družbe A1 za Programsko opremo, strojno opremo, sisteme, omrežje ali sredstva Sopogodbenika in storitve, ki jih zagotavljajo oziroma izvajajo Proizvajalec in z njegove strani pooblaščene osebe ter morebitni drugi ponudniki je v celoti izključena.
III/7 Pravica uporabe Programske opreme in dostop do Storitve Kibernetska varnost na ključ Sopogodbeniku preneha ob prenehanju Pogodbe in/ali prenehanju pogodbenega razmerja, ki se vzpostavi med Sopogodbenikom in Proizvajalcem na podlagi Dokumentacije Drugega ponudnika.
IV. Raven zagotavljanja Storitve Kibernetska varnost na ključ
IV/1 Družba A1 Sopogodbeniku zagotavlja Storitev Kibernetska varnost na ključ v rokih in skladno s pogoji, dogovorjenimi v Pogodbi. Družba A1 Sopogodbenikom Storitev Kibernetska varnost na ključ zagotavlja v Delovnem času.
IV/2 Družba A1 v nobenem primeru ne zagotavlja roka za rešitev posameznega zahtevka Sopogodbenika, pač pa si bo prizadevala vsak posamezni zahtevek rešiti v čim krajšem času skladno s svojimi poslovnimi in tehničnimi možnostmi in/ali poslovnimi in tehničnimi možnostmi Proizvajalca in z njegove strani pooblaščenih oseb.
IV/3 Če izvedba Storitve Kibernetska varnost na ključ oziroma njenega posameznega dela ni možna iz razlogov na strani Sopogodbenika (npr. če Sopogodbenik ne zagotovi pravočasno pogojev za izvedbo kot so določeni v Pogodbi), se rok izvedbe prestavi za čas, ki je potreben, da Sopogodbenik zagotovi dogovorjene pogoje za izvedbo, pri čemer Družba A1 za zamudo ne odgovarja.
IV/4 Sopogodbenik je dolžan pred začetkom izvajanja Storitve Kibernetska varnost na ključ in uporabe Programske opreme zagotoviti Priporočeno opremo in/ali tehnično opremljenost in/ali druge pogoje skladno z navodili Družbe A1 in/ali Proizvajalca. Družba A1 Storitve Kibernetska varnost na ključ ni dolžna omogočiti Sopogodbenikom, ki ne zagotovijo Priporočene opreme in/ali tehnične opremljenosti oziroma drugih pogojev skladno z navodili Družbe A1 in/ali Proizvajalca.
IV/5 Če Sopogodbenik na Družbo A1 naslovi zahtevek, za katerega Družba A1 tekom preverjanja ugotovi, da ni v povezavi s Storitvijo Kibernetska varnost na ključ oziroma Programsko opremo, ima Družba A1 pravico reševanje takega zahtevka zavrniti, Sopogodbenik pa je Družbi A1 dolžan plačati pogodbeno ceno za preverjanje zahtevka, in sicer v višini in skladno s plačilnimi pogoji, določenimi v Xxxxxxx.
V. Pogodbena cena in plačilni pogoji
V/1 Sopogodbenik je dolžan Družbi A1 plačati pogodbeno ceno v višini in skladno s plačilnimi pogoji, določenimi v Pogodbi.
V/2 V pogodbeno ceno niso vključeni stroški, ki lahko Družbi A1 nastanejo pri izvajanju Storitve Kibernetska varnost na ključ na lokaciji Sopogodbenika (npr. potni stroški, stroški namestitve, porabljen čas). Navedene stroške je dolžan Sopogodbenik plačati Družbi A1 dodatno poleg pogodbene cene, in sicer v višini in skladno s plačilnimi pogoji, določenimi v Pogodbi.
VI. Osebni podatki
VI/1 Izrazi, ki se v teh Posebnih pogojih uporabljajo v zvezi z obdelavo osebnih podatkov, imajo enak pomen kot v Splošni uredbi o varstvu podatkov - Uredba (EU) 2016/679.
VI/2 V smislu določil Splošne uredbe o varstvu podatkov je Sopogodbenik upravljavec osebnih podatkov za namen izvajanja Storitve Kibernetska varnost na ključ, Družba A1 in Proizvajalec pa v smislu Splošne uredbe o varstvu podatkov nastopata vsak v vlogi samostojnega Sopogodbenikovega obdelovalca. Obveznost informiranja posameznikov o obdelavi osebnih podatkov pri uporabi Storitve Kibernetska varnost na ključ, kot jo zahtevata 13. in 14. člen Splošne uredbe o varstvu podatkov, je izključno na strani Sopogodbenika - upravljavca.
VI/3 Za pisni dogovor med Družbo A1 in Sopogodbenikom z vsebino iz 28. člena Splošne uredbe o varstvu podatkov se štejejo ti Posebni pogoji in Pogodba, ki jo skleneta Družba A1 in Sopogodbenik za izvajanje Storitve Kibernetska varnost na ključ. Za pisni dogovor med Proizvajalcem in Sopogodbenikom z vsebino iz 28. člena Splošne uredbe o varstvu podatkov se šteje pogodba o obdelavi osebnih podatkov, ki jo lahko Sopogodbenik sklene neposredno s Proizvajalcem in katere predlog Sopogodbeniku posreduje Družba A1 v okviru sklenitve Pogodbe.
VI/4 Družba A1 za namen izvajanja Storitve Kibernetska varnost na ključ obdeluje osebne podatke, ki so opredeljeni v Pogodbi.
VI/5 Družba A1 se kot obdelovalec osebnih podatkov zaveda, da brez izrecnih in dokumentiranih navodil Sopogodbenika kot upravljavca, npr. odobritve Sopogodbenika ali specifične zahteve po pravu Unije ali države članice, ki velja za Družbo A1, v okviru Pogodbe ne sme:
• prenašati osebnih podatkov upravljavcu ali obdelovalcu v tretji državi ali mednarodni organizaciji;
• prenašati osebnih podatkov podobdelovalcu v tretji državi ali mednarodni organizaciji;
• omogočiti obdelavo osebnih podatkov obdelovalcu v tretji državi ali mednarodni organizaciji.
VI/6 Družba A1 bo obdelovala osebne podatke samo na podlagi dokumentiranih navodil Sopogodbenika, razen, če odstopanje od tega od nje zahteva pravo Unije ali države članice, ki velja za Družbo A1. Sopogodbenik navodila, poleg teh, ki so že vsebovana v teh Posebnih pogojih in Pogodbi ter njenih prilogah, Družbi A1 posreduje pisno, praviloma v elektronski obliki, na naslov kontaktne osebe, določene v Pogodbi. Če bi Družba A1 menila, da so navodila Sopogodbenika v nasprotju s predpisi o varstvu osebnih podatkov, bo Sopogodbenika o tem nemudoma obvestila.
VI/7 Družba A1 mora pri izvrševanju določil Pogodbe z organizacijskimi, tehničnimi in logično- tehničnimi postopki in ukrepi zagotoviti tako varnost osebnih podatkov, da se preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava, in sicer:
• z varovanjem prostorov, v katerih se nahajajo osebni podatki, ter strojne in programske opreme, ki omogoča dostop do teh podatkov:
o prostori in strojna ter programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov,
o prostori morajo biti fizično varovani, npr. s kontrolo vstopa z vstopno kartico, videonadzorom vstopa, alarmom gibanja po prostorih, fizičnim varovanjem varnostnika itd.,
o dostop v prostore je dovoljen le tistim zaposlenim, katerih pravica do vstopa v posamezni prostor izhaja iz notranjega akta Družbe A1;
• z varovanjem sistemske in aplikativne programske opreme, s katero se obdelujejo osebni podatki:
o dostop do programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov, ki omogoča dostop samo določenim pooblaščenim delavcem,
o program oziroma aplikacija mora biti sestavljen tako, da je obdelava podatkov ponovljiva ter da ob prekinitvi obdelav ne pride do izgube, uničenja ali sprememb podatkov,
o vsak nov program ali spremembo pri obstoječih programih je treba pred redno uporabo testirati na testnem vzorcu - razvojni programi in testne podatkovne zbirke morajo biti ločene od produkcijskega okolja;
• z varovanjem podatkovnih nosilcev:
o osebni podatki morajo biti hranjeni v varovanih prostorih, izven varovanih prostorov (hodniki, skupni prostori ipd.) pa morajo biti vedno zaklenjeni v ognjevarni in protivlomno zaščiteni omari;
• z varovanjem pri prenosu po telekomunikacijskih omrežjih:
o osebni podatki morajo biti pri prenosu po telekomunikacijskih sredstvih in omrežjih zaščiteni;
• da se zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
• da se omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil (za čas petih letih let od posamične aktivnosti obdelave osebnih podatkov).
VI/8 Vsi ukrepi se izvajajo z namenom, da se zagotovi stalna zaupnost, celovitost, nespremenljivost (integriteta), razpoložljivost podatkov (v primeru fizičnega ali tehničnega incidenta) in odpornost sistemov za obdelavo osebnih podatkov.
VI/9 Skladno z določbami člena 32 Splošne uredbe o varstvu podatkov bo tudi Družba A1 - neodvisno od Sopogodbenika - ocenila tveganja za pravice in svoboščine posameznikov, ki izhajajo iz obdelave osebnih podatkov, ki ji jo je poveril Sopogodbenik, in uveljavila ukrepe za njihovo ublažitev. Med drugim bo tudi redno ocenjevala in vrednotila učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
VI/10 Družba A1 mora, kadar to izhaja iz narave obdelave, pomagati Sopogodbeniku pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki kot je na primer posredovanje informacij, ki jih je potrebno zagotoviti posamezniku, pravice do izbrisa, pravice do popravka, pravice do omejitve obdelave, obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave ter pravice do prenosljivosti obdelave. Po splošnem ali posamičnem navodilu Sopogodbenika mora Družba A1 vse obveznosti do posameznika izvajati v skladu z navodili neposredno v odnosu do posameznika.
VI/11 Družba A1 je dolžna voditi evidenco dejavnosti obdelave, ki jih izvaja v imenu Sopogodbenika, in vsebuje: naziv in kontaktne podatke podobdelovalca in pooblaščene osebe za varstvo podatkov, vrste obdelave, ki se izvajajo v imenu Sopogodbenika, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije in dokumentacijo o ustreznih zaščitnih ukrepih ter splošni opis tehničnih in organizacijskih varnostnih ukrepov pri podobdelovalcu.
VI/12 Družba A1 je dolžna v primeru seznanitve s kršitvijo varstva osebnih podatkov, brez nepotrebnega odlašanja, najkasneje v 24-ih urah potem, ko se je seznanila s kršitvijo, pisno o tem obvestiti Sopogodbenika. Pisno obvestilo mora vsebovati:
• naravo kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
• verjetne posledice kršitve varnosti osebnih podatkov;
• ukrepe, ki naj jih Sopogodbenik sprejme ali katerih sprejetje Družba A1 predlaga Sopogodbeniku za obravnavanje kršitve varnosti osebnih podatkov, pa tudi, kadar je smiselno, ukrepe za ublažitev morebitnih škodljivih učinkov kršitve.
VI/13 Družba A1 mora dati Sopogodbeniku na voljo vse informacije, ki dokazujejo izpolnjevanje obveznosti iz Pogodbe ter mora Sopogodbeniku ali drugemu revizorju, ki ga pooblasti Sopogodbenik, omogočiti izvajanje revizij, tudi drugih pregledov skladnosti obdelave s predpisi in navodili Sopogodbenika ter pri njih sodelovati.
VI/14 Družba A1 lahko samo po predhodnem pisnem soglasju Sopogodbenika poveri posamezna opravila v zvezi z obdelavo osebnih podatkov podobdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za varovanje osebnih podatkov.
VI/15 Družba A1 je dolžna pri izpolnjevanju predmeta Pogodbe ravnati s skrbnostjo dobrega strokovnjaka. Družba A1 ne odgovarja za škodo, ki je pri izpolnjevanju Pogodbe povzročena s strani Sopogodbenika. Če je za nastalo škodo ali otežitev položaja Družbe A1 kriv tudi Sopogodbenik oziroma kdo drug, za katerega je Sopogodbenik odgovoren, se odškodninska odgovornost Družbe A1 temu ustrezno zmanjša (v obsegu, kot je višino škode mogoče pripisati Sopogodbeniku oziroma osebi, za katero je Sopogodbenik odgovoren). Družba A1 ne odgovarja za izgubo, poškodbo, ali drugo obliko spremembe osebnih podatkov, do katere je prišlo zaradi višje sile, kot je opredeljena v Pogodbi.
VI/16 Družba A1 je dolžna skrbeti, da bodo zaposleni in drugi posamezniki, ki opravljajo dela ali naloge obdelave osebnih podatkov, varovali vse podatke, s katerimi se seznanijo pri opravljanju njihovih del in nalog, kot poslovno skrivnost (kot zaupne/tajne). Dolžnost varovanja tajnosti osebnih podatkov te osebe obvezuje tudi po prenehanju zaposlitve oziroma opravljanja del ali nalog pogodbene obdelave.
VI/17 Družba A1 lahko razkrije podatke, ki jih za Sopogodbenika obdeluje po Pogodbi samo tistim osebam, ki neposredno sodelujejo pri izvrševanju Pogodbe, in ki so se zavezale k zaupnosti ali so ustrezno statusno-pravno zavezane glede zaupnosti in samo glede na izkazano potrebo po dostopu do podatkov. Seznam oseb, katerim je omogočen dostop do osebnih podatkov vodi Družba A1 in je lahko predmet pregleda s strani Sopogodbenika. Na podlagi pregledov bo dostop do osebnih podatkov ukinjen, če ni več potreben, s čimer osebni podatki zadevnim osebam ne bodo več dostopni.
VI/18 V primeru prenehanja oziroma odpovedi Pogodbe mora Družba A1 nemudoma prenehati obdelovati osebne podatke Sopogodbenika. Izjemoma jih lahko obdeluje le še zaradi dokončanja začetih poslov po Pogodbi, ki jih je dolžna zagotoviti. V primeru prenehanja oziroma odpovedi
Pogodbe mora Družba A1 vse osebne podatke takoj vrniti Sopogodbeniku, morebitne kopije teh podatkov pa mora takoj uničiti razen, če da Sopogodbenik drugačna pisna navodila.