POGODBA O OBDELAVI PODATKOV (POP)
POGODBA O OBDELAVI PODATKOV (POP)
I) Splošno
1. Področje uporabe
Pogodba o obdelavi podatkov (POP) je sestavni del Pogodbe (kot je opredeljena v Pogojih), razen če pogodbeni stranki v okviru individualnih dogovorov skleneta ločen sporazum o obdelavi podatkov. V primeru neskladnosti med POP in katerim koli drugim pogojem v Pogodbi, prevlada POP.
Ta POP se uporablja za primere, ko TD SYNNEX v vlogi obdelovalca podatkov obdeluje osebne podatke v imenu in po navodilih Kupca, ki deluje kot upravljavec osebnih
podatkov v svojem imenu ali v imenu svojih strank oziroma njihovih končnih uporabnikov (»Stranke«). Uporablja se tudi v primerih, ko Kupec v vlogi obdelovalca podatkov obdeluje osebne podatke v imenu in po navodilih TD SYNNEX, ki deluje [v svojem imenu ali v imenu tretje osebe] v vlogi upravljavca podatkov.
Ta POP ne velja za TD SYNNEX in Kupca, ko si izmenjujeta osebne podatke kot posamična ali skupna upravljavca podatkov.
TD SYNNEX običajno deluje kot posamičen upravljavec podatkov, če:
(a) zbira osebne podatke v zvezi s poslovanjem Kupca (kot so osebni podatki o Kupčevih zaposlenih);
(b) TD SYNNEX obdeluje osebne podatke končnih uporabnikov, ki jih posreduje Xxxxx, za:
(i) izvajanje pregledov v zvezi s prevarami, pranjem denarja, sankcijami in drugih pregledov, vključno s pregledovanjem seznama zavrnjenih strank,
preiskovanjem in preganjanjem prevar, pranja denarja ali kršitev glede sankcij v zvezi z vzpostavitvijo in ohranjanjem odnosov s strankami ter nudenjem storitev;
(ii) zagotavljanje skladnosti s pravnimi in regulatornimi obveznostmi;
(iii) anonimizacijo in/ali analizo podatkov; in
(iv) izpolnitev Pogodbe, vključno s posredovanimi pošiljkami (drop shipments), in, če je to potrebno za izpolnitev Pogodbe, prenos takšnih osebnih podatkov tretjim osebam, ki delujejo kot upravljavec podatkov, kot so nosilci, proizvajalci ali tretji ponudniki storitev.
2. Opredelitev pojmov
Vsi izrazi, ki niso opredeljeni v tej POP ali v drugih delih Pogodbe, imajo pomen, ki jim je pripisan v skladu s Splošno uredbo o varstvu podatkov (EU 2016/679) (»GDPR«).
Sklicevanja na člene Splošne uredbe o varstvu podatkov [čl.
.... Uredbe GDPR] veljajo le, če se za posamezno obdelavo uporabljajo določila uredbe GDPR – v nasprotnem primeru se uporabljajo ustrezni veljavni zakoni o varstvu podatkov.
»Tretja država« pomeni katero koli državo, ki ni država članica Evropske unije (v nadaljevanju »EU«) ali Evropskega gospodarskega prostora (»EGP«), niti Evropska komisija ni potrdila, da zagotavlja ustrezno raven varstva osebnih podatkov v skladu s členom 45(3) Splošne uredbe o varstvu podatkov (GDPR).
»Obdelava osebnih podatkov znotraj EGP« za potrebe te POP pomeni obdelavo osebnih podatkov, ki spada v področje uporabe Splošne uredbe o varstvu podatkov (GDPR) ali zakonov o zasebnosti Združenega kraljestva ali Švice.
»Standardne pogodbene klavzule« ali »SPK« so standardne pogodbene klavzule za prenos osebnih podatkov v tretje države v skladu z izvedbenim sklepom Komisije (EU)
2021/914 z dne 4. junija 2021 ali katerim koli drugim sklepom, ki bi dopolnil, spremenil ali nadomestil navedenega.
»Predpisi o informacijski zasebnosti« pomenijo vse veljavne zakone in predpise, ki se nanašajo na obdelavo osebnih podatkov in zasebnosti, ki lahko obstajajo v ustreznih pristojnostih, za države članice EU ali EGP pa to vključuje Splošno uredbo o varstvu podatkov (GDPR).
»TOU« so tehnični in organizacijski ukrepi v sklopu pomena Predpisov o informacijski zasebnosti.
»Podobdelovalec« ali »pod(pod)obdelovalec« so tretje osebe, ki so po tej POP smiselno pooblaščene za dostop do osebnih podatkov in njihovo obdelavo v skladu s Pogodbo.
»Prenos podatkov« pomeni prenos oz. omogočanje dostopa do osebnih podatkov s strani ene od strank.
»Izvoznik« pomeni tisto stranko Prenosa podatkov, ki se nahaja v EGP, ZK ali Švici.
II) Posebni pogoji za TD SYNNEX kot Obdelovalca podatkov
Ta razdelek XX se uporablja, kadar TD SYNNEX, ki deluje kot obdelovalec podatkov, obdeluje osebne podatke v imenu in po navodilih Kupca, ki deluje kot upravljavec podatkov v svojem imenu ali v imenu Xxxxxx. Uporablja se poleg spodnjega razdelka III. V primeru neskladnosti med razdelkoma II in III prevlada ta razdelek II.
1. Elektronska komunikacija. TD SYNNEX lahko Kupcu posreduje informacije in obvestila v kontekstu te POP v elektronski obliki, med drugim po e-pošti, po standardni spletni strani TD SYNNEX ali prek spletne strani, ki jo opredeli TD SYNNEX.
2. Podrobnosti Obdelave podatkov. Z uporabo Storitev se Kupec strinja s podrobnostmi obdelave podatkov,
med drugim z naravo, namenom in vsebino obdelave, s kategorijami posameznikov, na katere se osebni podatki nanašajo, z vrstami osebnih podatkov, posebnimi kategorijami osebnih podatkov, TOU in morebitnimi drugimi obdelovalci podatkov, kot je to opredeljeno
v Pogodbi (med drugim v tej POP) in v sporočilih TD SYNNEX, posredovanih v elektronski obliki, med drugim po e-pošti, prek standardne spletne strani TD SYNNEX
ali prek druge spletne strani, ki jo za ta namen določi TD SYNNEX.
3. Standardne pogodbene klavzule. Če med TD SYNNEX in Kupcem veljajo SPK, so le-te na voljo na standardni spletni strani TD SYNNEX ali na drugi spletni strani, ki jo za ta namen določi TD SYNNEX.
4. Obveznosti TD SYNNEX in Kupca.
4.1. Družba TD SYNNEX bo delovala v skladu z vsemi Predpisi o informacijski zasebnosti, ki veljajo zanjo kot obdelovalca podatkov. Družba TD SYNNEX ne odgovarja za skladnost z zakoni ali predpisi, veljavnimi za panogo Kupca ali njegovih Strank, ki niso splošno veljavni za ponudnike zadevnih Izdelkov. Družba TD SYNNEX ne ugotavlja, ali podatki Kupca oz. njenih Strank vključujejo podatke, za katere veljajo posebni zakoni ali predpisi.
4.2. Kupec oceni in presodi primernost, ustreznost in skladnost svoje uporabe Izdelkov oz. uporabe Izdelkov s strani svojih strank v skladu z zakoni in predpisi, kar vključuje Predpise o informacijski zasebnosti, še posebej glede TOU, drugih vključenih obdelovalcev podatkov, lokacije podatkovnega centra in zadevnega prenosa podatkov, kot je opisano
v Pogodbi, kar vključuje POP in podrobnosti obdelave podatkov.
4.3. Če Kupec sam ni upravljavec osebnih podatkov, temveč obdeluje osebne podatke v imenu Xxxxxx, Kupec jamči, da bo sklenil potrebne pogodbe in pridobil vsa potrebna dovoljenja in pooblastila Strank:
– da v razmerju do TD SYNNEX deluje kot upravljavec podatkov v skladu s to POP in kot upravljavec podatkov izvršuje vse pravice v zvezi s TD SYNNEX in drugimi obdelovalci podatkov skladno s POP;
– za uporabo TD SYNNEX kot obdelovalca podatkov za obdelavo osebnih podatkov v skladu s Pogodbo, vključno s to POP in podrobnostmi obdelave podatkov;
– da postane enotna kontaktna točka za stik s TD SYNNEX v zvezi z vsemi navodili, obvestili, informacijami in drugo komunikacijo v zvezi s to POP ter zadevno komunikacijo TD SYNNEX posreduje Strankam, skladno z zahtevami veljavne zakonodaje. S posredovanjem relevantnih informacij Kupcu je družba TD SYNNEX prosta vseh obveznosti glede informiranja ali obveščanja Stranke.
Družba TD SYNNEX bo delovala kot enotna kontaktna točka za njene druge obdelovalce podatkov;
– da bo v skladu s Standardnimi pogodbenimi klavzulami izvrševal morebitne pravice Xxxxxxxxxx nasproti (i) TD SYNNEX in/ali (ii) drugim obdelovalcem podatkov, prek TD SYNNEX v imenu Xxxxxxxxx.
III) Splošni pogoji obdelave podatkov
Ta razdelek III se poleg razdelka II uporablja, kadar TD SYNNEX kot obdelovalec podatkov obdeluje osebne podatke v imenu in po navodilih Kupca, ki deluje v vlogi upravljavca podatkov v svojem imenu ali v imenu Xxxxxx. Velja tudi v primerih, ko Kupec v vlogi obdelovalca podatkov obdeluje
osebne podatke v imenu in po navodilih TD SYNNEX, ki deluje
v vlogi upravljavca podatkov v svojem imenu ali v imenu tretje osebe.
1. Obveznosti Upravljavca podatkov
1.1. Upravljavec podatkov je edini odgovoren za izpolnjevanje vseh obveznosti upravljavca v zvezi z obdelavo podatkov v skladu s Predpisi o informacijski zasebnosti. Po prenehanju oziroma poteku Pogodbe Upravljavec z navodilom
določi ukrepe za vračilo nosilcev podatkov, vključno z osebnimi podatki, ali izbris shranjenih osebnih podatkov, obdelovalca podatkov pa brez nepotrebnega odlašanja obvesti o vseh ugotovljenih napakah ali nepravilnostih v zvezi z obdelavo osebnih podatkov s strani obdelovalca osebnih podatkov.
1.2. Upravljavec podatkov Xxxxxxxx ne bo uporabljal v povezavi z osebnimi podatki na način, ki bi pomenil kršitev Predpisov o informacijski zasebnosti, in bo tudi svoje Stranke zavezal k uporabi, skladni s to določbo.
2. Obveznosti Obdelovalca podatkov
2.1. Izpolnjevanje obveznosti Obdelovalca podatkov. Obdelovalec podatkov izpolnjuje vse obveznosti, ki veljajo za obdelovalce podatkov v skladu s Predpisi o informacijski zasebnosti EGP. Obdelovalec podatkov ni dolžan ugotavljati, katere oziroma kakšne pravne zahteve veljajo za poslovanje ali panogo upravljavca podatkov ali
Strank, niti ni odgovoren za presojo, ali Xxxxxxx obdelovalca podatkov izpolnjujejo takšne zahteve.
2.2. Navodila. Obdelovalec podatkov bo osebne podatke obdeloval izključno v skladu s pisnimi navodili upravljavca podatkov, kot so opredeljena v Pogodbi, vključno s POP,
in dodatkih, če obstajajo – pooblaščena uporaba in konfiguracija Xxxxxxxx s strani upravljavcev podatkov ali kako drugače v pisni obliki. Obdelovalec podatkov bo
nemudoma obvestil upravljavca podatkov, če bo menil, da je navodilo upravljavca podatkov v nasprotju z veljavnimi zakoni o varstvu podatkov in/ali pogodbenimi obveznostmi v okviru Pogodbe, vključno s to POP. Obdelovalec podatkov ima pravico do neupoštevanja teh navodil, dokler jih ne pregleda upravljavec podatkov in jih bodisi potrdi bodisi spremeni. Obdelovalec podatkov lahko obdeluje osebne podatke brez navodil upravljavca podatkov, če obdelovalca k temu zavezuje pravni red EU ali države članice EU; v
tem primeru obdelovalec podatkov upravljavca obvesti o tej pravni zahtevi pred samo obdelavo podatkov, razen če relevantni pravni red zaradi varstva javnega interesa prepoveduje posredovanje takšnih informacij.
2.3. Razkritje/dostop. Obdelovalec osebnih podatkov ne bo razkril tretji osebi, razen če razkritje odobri
upravljavec podatkov ali če to zahtevajo predpisi EU ali njenih držav članic. V kolikor je treba v skladu s predpisi tretjim osebam, vladnim, sodnim ali nadzornim organom zagotoviti dostop do osebnih podatkov, obdelovalec o tem pred razkritjem podatkov obvesti upravljavca, razen če je to prepovedano zaradi varstva javnega interesa.
Razen če je to zahtevano v skladu s predpisi EU ali držav članic EU, obdelovalec na podlagi vročene zahteve ne
bo razkril ali objavil osebnih podatkov, ne da bi se prej posvetoval z upravljavcem podatkov. Kadar osebni podatki upravljavca med obdelavo postanejo predmet preiskave in
zasega, zasega zaradi stečaja ali postopka insolventnosti ali podobnega dogodka ali ukrepov s strani tretjih oseb,
obdelovalec podatkov o tem nemudoma obvesti upravljavca podatkov.
2.4. Varovanje zaupnosti. Obdelovalec podatkov od vseh svojih zaposlenih in oseb, ki so pooblaščene za obdelavo osebnih podatkov, zahteva, da se zavežejo k
varstvu zaupnosti, razen če zanje velja ustrezna zakonska obveznost varovanja zaupnosti, in da osebnih podatkov ne obdelujejo za noben drug namen, razen po navodilih
upravljavca oziroma v skladu z zahtevami predpisov EU ali njenih držav članic.
2.5. Pravice posameznika, na katerega se nanašajo osebni podatki. Obdelovalec podatkov bo upravljavcu podatkov na njegovo zahtevo in skladno z zahtevami relevantnih predpisov pomagal pri zagotavljanju dostopa do podatkov posameznikom, na katere se podatki nanašajo, in pri odzivanju na zahteve, pritožbe ali druga sporočila posameznikov, na katere se nanašajo osebni podatki, vključno z zahtevami za pravice posameznikov, na katere se nanašajo osebni podatki, skladno s Predpisi o informacijski zasebnosti. Če obdelovalec podatkov prejme takšno zahtevo, pritožbo ali dopis in zadevnega posameznika lahko poveže z določenim upravljavcem podatkov, upravljavca podatkov o tem nemudoma obvesti.
2.6. Kršitev zaupnosti podatkov. Obdelovalec podatkov bo upravljavca nemudoma obvestil o morebitni kršitvi varstva osebnih podatkov (»Xxxxxxx varstva osebnih podatkov«), ki zadeva osebne podatke upravljavca. Obdelovalec bo uvedel razumne ukrepe za odpravo ali omilitev posledic Kršitve varstva osebnih podatkov in bo upravljavcu pomagal pri izpolnjevanju obveznosti iz veljavnih Predpisov o informacijski zasebnosti v zvezi z obveščanjem nadzornih organov in posameznikov, na katere se nanašajo osebni podatki, o Kršitvi varstva osebnih podatkov, ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu. Obdelovalci podatkov bodo z upravljavcem podatkov sodelovali zlasti z rednim obveščanjem o dogajanju in posredovanjem drugih razumno zahtevanih podatkov. Vsa sporočila za javnost, obvestila, javne objave in izjave oziroma obvestila pristojnim organom v zvezi s Kršitvijo varstva podatkov poda upravljavec po izključni lastni presoji, razen če veljavni predpisi določajo drugače.
2.7. Pomoč pri izpolnjevanju obveznosti Upravljavca podatkov. Obdelovalec podatkov upravljavcu na njegovo zahtevo razumno pomaga z izpolnjevanjem obveznosti upravljavca glede varnosti obdelave, ocen učinkov varstva podatkov in predhodnih posvetovanj, upoštevaje informacije, ki so na voljo TD SYNNEX, ter
naravo zadevne obdelave podatkov. Obdelovalec podatkov bo upravljavcu na njegovo razumno zahtevo zagotovil pomoč v zvezi z revizijami pristojnih nadzornih organov
v obsegu, v katerem se postopki nanašajo na obdelavo osebnih podatkov s strani obdelovalca podatkov v skladu s to Pogodbo. Pomoč obdelovalca se lahko zaračuna po
razumni postavki, razen če je pomoč obdelovalca podatkov že ustrezno opredeljena v Pogodbi.
2.8. Prenehanje pogodbe. Obdelovalec podatkov ob prenehanju ali poteku veljavnosti pogodbe izbriše vse osebne podatke ali jih vrne upravljavcu podatkov, v skladu
z odločitvijo upravljavca, in izbriše obstoječe kopije, razen če predpisi EU ali države članice določajo, da mora obdelovalec osebne podatke hraniti.
3. Tehnični in organizacijski varnostni ukrepi
3.1. Obdelovalec in upravljavec bosta uvedla in vzdrževala TOU, ki jih zahtevajo veljavni Predpisi o informacijski zasebnosti. To vključuje izvajanje in vzdrževanje TOU za zagotavljanje ustrezne ravni varnosti glede na tveganje za poškodovanje osebnih podatkov, škodo, ki bi lahko nastala zaradi nepooblaščene ali nezakonite obdelave ali naključne izgube, uničenja ali poškodbe podatkov, in naravo podatkov, ki jih je treba varovati, ob upoštevanju
obstoječega stanja tehnike in stroškov izvajanja ukrepov (ti ukrepi lahko vključujejo, kjer je to potrebno, anonimizacijo in šifriranje osebnih podatkov, zagotavljanje zaupnosti, celovitosti, razpoložljivosti in odpornosti sistemov in storitev).
3.2. TOU so predmet tehničnega napredka in nadaljnjega razvoja. Obdelovalec podatkov si pridržuje pravico do spremembe izvajanih ukrepov in varoval, pod pogojem, da funkcionalnost in varnost Izdelkov nista slabši. O vseh pomembnih varnostnih odločitvah glede organizacije obdelave podatkov in uporabljenih postopkih je treba obvestiti upravljavca podatkov.
3.3. Z uporabo Izdelka upravljavec podatkov potrjuje TOU, kot so opisani v Pogodbi in/ali kot jih zagotavlja Obdelovalec podatkov, in potrjuje, da TOU zagotavljajo ustrezno raven zaščite v zvezi s tveganji, povezanimi z obdelavo osebnih podatkov.
4. Obveznosti dokumentiranja in revizije
4.1. Na zahtevo upravljavca podatkov, obdelovalec podatkov da na voljo upravljavcu podatkov ali pooblaščeni tretji osebi, ki deluje v imenu upravljavca podatkov, informacije, potrebne za upravljavca podatkov ali Stranke, da izpolni svoje obveznosti revizije po veljavni zakonodaji o varstvu podatkov ali na zahtevo nadzornega organa, in omogoči izvedbo pregledov in revizij, vključno s pregledi, kot so določeni spodaj.
4.2. Upravljavec podatkov lahko od obdelovalca podatkov zahteva, da zagotovi ustrezne informacije o TOU, med drugim revizorjeva potrdila, poročila ali izvlečke iz poročil neodvisnih organov (npr. revizor, uradna oseba za varstvo podatkov, IT-oddelek za varnost, revizor za zasebnost podatkov, revizor za kakovost).
4.3. Če obveznosti revizije, določene z veljavnimi Predpisi o informacijski zasebnosti, ni mogoče izpolniti drugače, lahko upravljavec podatkov ali njegov pooblaščeni revizor na stroške upravljavca osebno izvaja revizije na kraju samem, običajno ne pogosteje kot enkrat letno, med običajnim delovnim časom, z razumnimi motnjami in z razumnim predhodnim obvestilom. Obdelovalec podatkov lahko določi, da se takšne revizije in pregledi izvajajo zaupno, pri čemer se varujejo podatki drugih strank ter zaupnost uporabljenih TOU in varoval.
4.4. Upravljavec podatkov nemudoma obvesti obdelovalca podatkov o vseh napakah ali nepravilnostih, odkritih med revizijo.
5. Podobdelovalec
5.1. Upravljavec podatkov pooblašča obdelovalca podatkov za prenos osebnih podatkov ali omogočanje dostopa do osebnih podatkov drugim obdelovalcem, ki jih ta najame
(in dovoli drugim obdelovalcem, da to storijo v skladu s to Klavzulo 5) za namene zagotavljanja Xxxxxxxx, za katere veljajo obveznosti upravljavca iz te Klavzule 5. Zgoraj navedeno pooblastilo predstavlja predhodno pisno soglasje upravljavca podatkov za vključitev drugih obdelovalcev s strani obdelovalca podatkov, če je takšno soglasje potrebno v skladu s Standardnimi pogodbenimi klavzulami ali Predpisi o informacijski zasebnosti. Obdelovalec podatkov je še vedno odgovoren za skladnost delovanja drugih
svojih obdelovalcev z obveznostmi iz te POP. Obdelovalec podatkov upravljavcu podatkov posreduje tekoči seznam drugih obdelovalcev podatkov, npr. na svoji spletni strani.
5.2 Upravljavec podatkov ima pravico ugovarjati imenovanju novega obdelovalca podatkov v roku 10 dni od prejema obvestila. V nasprotnem primeru se smatra, da je upravljavec podatkov odobril takšno novo imenovanje ali spremembo. V primeru obstoja pomembnega vsebinskega ugovornega razloga in če pogodbeni stranki zadeve ne rešita po mirni poti, ima upravljavec podatkov pravico do odstopa od Pogodbe v zvezi z zadevnim Izdelkom.
5.3 Obdelovalec podatkov sklene pisni dogovor z vsakim imenovanim obdelovalcem, ki zagotavlja vsaj takšno raven zaščite, kot je določena v tej POP. Takšna pogodba zagotavlja zlasti zadostna jamstva za izvedbo ustreznih TOU.
6. Mednarodni prenos podatkov
6.1. Upravljavec podatkov pooblašča obdelovalca za prenos ali omogočanje dostopa do osebnih podatkov v okviru storitev, določenih s Pogodbo, podrobnostmi o obdelavi in/ali SPK.
6.2. Za vsako obdelavo osebnih podatkov zunaj države ali regije, v kateri se nahaja upravljavec podatkov, velja ustrezen mehanizem za prenos podatkov, če in kot to zahtevajo Predpisi o informacijski zasebnosti.
6.3. Za mednarodne prenose podatkov v okviru Obdelave osebnih podatkov znotraj EGP je treba skleniti SPK med TD SYNNEX in Kupcem, če se stranka, ki prenaša ali omogoča dostop do osebnih podatkov, nahaja v EGP, ZK ali Švici, druga stranka, ki prejema ali ima dostop do teh podatkov, pa se nahaja v Tretji državi. Pogoji te POP niso namenjeni spreminjanju SPK, temveč jasnosti postopkov
za zagotavljanje skladnosti s SPK. V primeru neskladja med pogoji te POP in SPK, prevladajo SPK.
6.4. Za prenose podatkov v zvezi z obdelovalčevim imenovanjem drugih obdelovalcev podatkov, sklene obdelovalec z drugimi obdelovalci ustrezne Standardne pogodbene klavzule (obdelovalec v razmerju do obdelovalca) in druge obdelovalce ustrezno zaveže k enakemu ravnanju v primeru morebitnega nadaljnjega prenosa.
7. Zaupnost
Stranke ne bodo razkrile zaupnih podatkov, ki se posredujejo v zvezi s to POP, razen (i) kot je zahtevano v tej POP ali v navodilih strank, (ii) kot zahtevajo prisilni predpisi, (iii) na
zahtevo pristojnega organa ali regulatorne ali vladne agencije in
(iv) za razkritja svojim zaposlenim, agentom in pogodbenikom, ki morajo biti seznanjeni z zaupnimi podatki in so zavezani k varovanju zaupnosti.