Return to Home / Opšti uslovi poslovanja/ Додатак за обраду података

Dodatak za obradu podataka

 

Ovaj dodatak čini sastavni deo Ugovora i sklapa ga:

 

  1. (i) Klijent („ Izvoznik podataka “)
  2. (ii) POSTCODEZIP („ Uvoznik podataka “)

 

Svaka je „ Stranka “ i obično „ Stranke “.

 

Preambula

GDJE Uvoznik podataka pruža profesionalne softverske usluge, računarske i srodne usluge;

GDE je u skladu sa Ugovorom, Uvoznik podataka pristao da pruži Izvozniku podataka usluge navedene u Ugovoru („ Usluge “);

GDJE, pružanjem Usluga, Uvoznik podataka prima ili ima koristi od pristupa informacijama Izvoznika podataka ili informacijama drugih lica koja imaju (potencijalni) odnos sa Izvoznikom podataka, takve informacije se mogu kvalifikovati kao lični podaci u smislu Uredbe (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. o zaštiti pojedinaca u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka („ GDPR “) i drugim važećim zakonima o zaštiti podataka.

GDE ovaj Dodatak sadrži odredbe i uslove koji se primenjuju na prikupljanje, obradu i korišćenje takvih ličnih podataka od strane Uvoznika podataka u svojstvu ovlašćenog agenta za obradu podataka Izvoznika podataka, kako bi se osiguralo da se Strane pridržavaju važećeg zakona o zaštiti podataka .

 

STOGA, i da bi omogućile Stranama da zakonito nastave svoj odnos, Strane su zaključile ovaj Dodatak na sledeći način:

Део 1

 

1. Struktura dokumenta i definicije

1.1 Struktura

Ovaj dodatak se sastoji od različitih delova kako sledi:

 

Део 1:

sadrži opšte odredbe, npr. koje se odnose na definicije koje se koriste u ovom dodatku, usklađenost sa lokalnim zakonima, vremenski raspored i raskidanje

Део 2:

sadrži telo neizmenjenog dokumenta Standardnih ugovornih klauzula

Dodatak 1.1 dela 2:

sadrži detalje o operacijama obrade koje je Uvoznik podataka dostavio Izvozniku podataka kao ovlašćenom agentu za obradu podataka (uključujući obradu, prirodu i svrhu obrade, vrstu ličnih podataka i kategorije subjekata podataka) prema ovom слепо црево

Dodatak 2 dela 2:

sadrži opis tehničkih i organizacionih mera bezbednosti Uvoznika podataka, koje se primenjuju u vezi sa svim aktivnostima obrade opisanim u Dodatku 1.1 Dela 2

3. deo:

sadrži potpise Strana koje se obavezuju ovim Dodatkom i identifikuje svakog uvoznika podataka

 

1.2 Terminologija i definicije

Za potrebe ovog dodatka, primenljiva je terminologija i definicije koje koristi GDPR (u telu dokumenta Standardne ugovorne klauzule u delu 2, gde definisani termini nisu napisani velikim slovima). 

 

"Држава чланица"

označava državu koja pripada Evropskoj uniji ili Evropskom ekonomskom prostoru

„Posebne kategorije (ličnih) podataka“

odnosi se na lične podatke koji otkrivaju rasno ili etničko poreklo, politička mišljenja, verska ili filozofska uverenja ili članstvo u sindikatu, i genetske podatke, biometrijske podatke, ako se obrađuju u svrhu jedinstvene identifikacije osobe, podatke koji se odnose na zdravlje, podatke koji se odnose na pol osobe životna ili seksualna orijentacija

"Standardne ugovorne klauzule"

označava Standardne ugovorne klauzule za prenos ličnih podataka agenata za obradu podataka osnovanih u trećim zemljama, u skladu sa Odlukom Komisije 2010/87/EU od 5. februara 2010. godine, koja je izmenjena i dopunjena Odlukom o sprovođenju Komisije (EU) 2016/2297 od 16. decembra 2016

"Procesor podataka"

označava bilo kog agenta za obradu, koji se nalazi unutar ili izvan EU/EEA, koji pristaje da primi od Uvoznika podataka ili bilo kog drugog obrađivača Uvoznika podataka, lične podatke u isključivu svrhu aktivnosti obrade koje će izvršiti Izvoznik podataka nakon prenos u skladu sa uputstvima Izvoznika podataka, uslovima ovog Dodatka i Ugovora sa Uvoznikom podataka

 

 

2. Obaveze Izvoznika podataka

2.1 Izvoznik podataka ima obavezu da obezbedi usaglašenost sa svim primenjivim obavezama prema GDPR-u i bilo kom drugom primenjivom zakonu o zaštiti podataka koji se primenjuje na Izvoznika podataka i da pokaže takvu usklađenost kao što se zahteva članom 5 (2) GDPR-a. Izvoznik podataka garantuje da je Uvoznik podataka dobio prethodnu saglasnost subjekata podataka u skladu sa članom 6 (a) GDPR-a i da je poštovao svoju obavezu da obavesti subjekte podataka u skladu sa članom 13. i 14. GDPR-a.

2.2 Izvoznik podataka mora Uvozniku podataka dostaviti odgovarajuće datoteke o aktivnostima obrade u skladu sa članom 30 (1) GDPR-a u vezi sa Uslugama prema ovom Dodatku, u meri u kojoj je Uvoznik podataka u skladu sa obavezom prema Član 30 (2) GDPR.

2.3 Izvoznik podataka mora imenovati službenika za zaštitu podataka ili predstavnika u meri u kojoj to zahteva važeći zakon o zaštiti podataka. Izvoznik podataka je dužan da Uvozniku podataka dostavi kontakt podatke agenta za zaštitu podataka ili predstavnika, ako postoji.

2.4. Izvoznik podataka potvrđuje pre završetka obrade, prihvatanjem ovog Dodatka, da su tehničke i organizacione bezbednosne mere Uvoznika podataka, kao što je navedeno u Dodatku 2 Dela 2, odgovarajuće i dovoljne da zaštite prava nosioca podataka i potvrđuje da uvoznik podataka pruža dovoljne mere zaštite u ovom pogledu.

 

3. Usklađenost sa lokalnim zakonom

Da bi se ispunili zahtevi primene agenata za obradu prema članu 28 GDPR-a, primenjuju se sledeće izmene:

 

3.1 Uputstva

  1. (i) Izvoznik podataka daje uputstva Uvozniku podataka da obrađuje lične podatke samo u ime Izvoznika podataka. Instrukcije Izvoznika podataka su date u ovom Dodatku i u Ugovoru. Izvoznik podataka ima obavezu da obezbedi da su sva uputstva data Uvozniku podataka u skladu sa važećim zakonima o zaštiti podataka. Uvoznik podataka mora da obrađuje lične podatke samo u skladu sa uputstvima koje daje Izvoznik podataka, osim ako Evropska unija ili zakon države članice ne zahteva drugačije (u poslednjem slučaju primenjuje se Deo 1, tačka 3.2 (iv) (c)) .
  2. (ii) Sva druga uputstva koja prevazilaze uputstva u ovom Dodatku ili u Ugovoru moraju biti uključena u predmet ovog Dodatka i Ugovora. Ako sprovođenje ovog dodatnog uputstva uključuje troškove za Uvoznika podataka, Uvoznik podataka će obavestiti Izvoznika podataka o takvim troškovima i dati objašnjenje pre sprovođenja uputstva. Tek nakon što Izvoznik podataka potvrdi prihvatanje ovih troškova za sprovođenje uputstva, Uvoznik podataka će primeniti ovo dodatno uputstvo. Izvoznik podataka mora dati dodatna uputstva u pisanoj formi osim ako hitnost ili druge posebne okolnosti zahtevaju drugi oblik (npr. usmeni, elektronski). Instrukcije u formi koja nije pismena mora biti potvrđena u pisanoj formi i bez odlaganja od strane Izvoznika podataka.
  3. 1. Osim ako Izvoznik podataka ne može sam da izvrši ispravku, brisanje ili ograničenje ličnih podataka, uputstva se takođe mogu odnositi na ispravljanje, brisanje i/ili ograničenje ličnih podataka kao što je navedeno u Delu 1, tačka 3.3.
  4. 2. Uvoznik podataka mora odmah obavestiti Izvoznika podataka ako, po njegovom mišljenju, uputstvo krši GDPR ili druge primenljive odredbe o zaštiti podataka Evropske unije ili države članice („ Sporno uputstvo"). Ako Uvoznik podataka smatra da Uputstvo krši GDPR ili druge primenljive odredbe o zaštiti podataka Evropske unije ili države članice, Uvoznik podataka nije dužan da sledi sporno uputstvo. Ako Izvoznik podataka potvrdi Osporeno uputstvo nakon primi informacije od Uvoznika podataka i priznaje svoju odgovornost za Osporeno uputstvo, Uvoznik podataka će primeniti Osporeno uputstvo, osim ako se Osporeno uputstvo ne odnosi na (i) sprovođenje tehničkih i organizacionih mera, (ii) prava na podatke Subjekti ili (iii) angažovanje obrađivača podataka U slučajevima (i) do (iii), Uvoznik podataka može kontaktirati nadležni nadzorni organ kako bi osporeno Uputstvo pravno procenilo taj organ.Ako nadzorni organ proglasi osporeno uputstvo zakonitim, Uvoznik podataka će sprovesti osporeno uputstvo. Deo 1, klauzula 3.1 (ii) ostaje primenljiv.

 

3.2 Obaveze uvoznika podataka

  1. (i) Uvoznik podataka mora osigurati da su osobe koje je Uvoznik podataka ovlastio da obrađuju lične podatke u ime Izvoznika podataka, posebno zaposleni u Uvozniku podataka i zaposleni u bilo kom podizvođaču, obavezali da će poštovati povjerljivost ili da su podložni odgovarajuću zakonsku obavezu čuvanja poverljivosti i da lica koja imaju pristup ličnim podacima ih obrađuju u skladu sa uputstvima Izvoznika podataka.
  2. (ii) Uvoznik podataka mora primeniti tehničke i organizacione mere bezbednosti kao što je navedeno u Dodatku 2 Delu 2 pre obrade ličnih podataka u ime Izvoznika podataka. Uvoznik podataka može s vremena na vreme promeniti tehničke i organizacione mere bezbednosti ako one ne pružaju manju zaštitu od onih navedenih u Dodatku 2 Delu 2.
  3. (iii) Uvoznik podataka stavlja na raspolaganje Izvozniku podataka, na zahtev Izvoznika podataka, informacije koje pokazuju usklađenost sa obavezama Uvoznika podataka prema ovom Dodatku. Strane su saglasne da se ova obaveza informisanja ispunjava tako što Izvozniku podataka dostavi revizorski izveštaj (koji pokriva bezbednost principa, dostupnost sistema i poverljivost) („Izveštaj o reviziji“). Ako su zakonski potrebne dodatne revizijske aktivnosti, Izvoznik podataka može zahtevati da inspekcije izvrši Izvoznik podataka ili drugi revizor koga je imenovao Izvoznik podataka, pod uslovom da takav revizor izvrši ugovor o poverljivosti sa Uvoznikom podataka za Uvoznika podataka razumno zadovoljstvo („Revizija“). Ova revizija podleže sledećim uslovima:(i) prethodno formalno pismeno prihvatanje Uvoznika podataka; i (ii) Izvoznik podataka snosi sve troškove u vezi sa revizijom na licu mesta za Izvoznika podataka i Uvoznika podataka. Izvoznik podataka mora da napravi izveštaj revizije koji rezimira rezultate i zapažanja revizije na licu mesta („Izveštaj revizije na licu mesta“). Izveštaji o reviziji na licu mesta i Izveštaji revizije su poverljive informacije Uvoznika podataka i ne smeju se otkriti trećim licima osim ako to zahteva važeći zakon o zaštiti podataka ili u skladu sa pristankom Uvoznika podataka.Izveštaji o reviziji na licu mesta i Izveštaji revizije su poverljive informacije Uvoznika podataka i ne smeju se otkriti trećim licima osim ako to zahteva važeći zakon o zaštiti podataka ili u skladu sa pristankom Uvoznika podataka.Izveštaji o reviziji na licu mesta i Izveštaji revizije su poverljive informacije Uvoznika podataka i ne smeju se otkriti trećim licima osim ako to zahteva važeći zakon o zaštiti podataka ili u skladu sa pristankom Uvoznika podataka.
  4. (iv) Uvoznik podataka ima obavezu da obavesti Izvoznika podataka bez nepotrebnog odlaganja:
    1. a. u vezi sa bilo kojim pravno obavezujućim zahtevom za otkrivanje ličnih podataka od strane organa za sprovođenje zakona, osim ako nije drugačije zabranjeno, kao što je zabrana po krivičnom zakonu radi zaštite poverljivosti istrage za sprovođenje zakona
    2. b. u vezi sa bilo kojom žalbom i zahtevom primljenim direktno od subjekta podataka (npr. u vezi sa pristupom, ispravkom, brisanjem, ograničenjem obrade, prenosivosti podataka, prigovorom na obradu podataka, automatizovanim donošenjem odluka) bez odgovora na taj zahtev, osim ako je Uvoznik podataka ovlašćen da урадити тако
    3. c. ako je uvoznik podataka ili obrađivač podataka obavezan, prema zakonu Evropske unije ili države članice kojoj je podložan uvoznik podataka ili obrađivač podataka, da obrađuje lične podatke mimo uputstava Izvoznika podataka, pre nego što izvrši takvu obradu izvan uputstva, osim ako zakoni Evropske unije ili države članice zabranjuju takvu obradu na osnovu vitalnog javnog interesa, u kom slučaju će obaveštenje Izvozniku podataka navesti pravni zahtev prema tom zakonu Evropske unije ili države članice; ili
    4. d. ako Uvoznik podataka shvati povredu ličnih podataka, isključivo zbog sebe ili svog podizvođača, što bi uticalo na lične podatke Izvoznika podataka obuhvaćene ovim ugovorom, u kom slučaju će Uvoznik podataka pomoći Izvozniku podataka u njegovoj obavezi, vis-Ã -vis važećeg zakona o zaštiti podataka, da informiše subjekte podataka i, gde je primenljivo, nadzorne organe pružanjem informacija koje su im na raspolaganju, u skladu sa članom 33 (3) GDPR-a.
    5. (v) Na zahtev Izvoznika podataka, Uvoznik podataka će biti primoran da pomogne Izvozniku podataka u njegovoj obavezi da izvrši procenu uticaja na zaštitu podataka koja se može zahtevati članom 35 GDPR-a i prethodne konsultacije koje mogu biti zahteva član 36 GDPR-a u vezi sa uslugama koje uvoznik podataka pruža Izvozniku podataka u skladu sa ovim Dodatkom, pružajući potrebne i informacije Izvozniku podataka. Uvoznik podataka će biti u obavezi da pruži takvu pomoć samo ako Izvoznik podataka ne može da ispuni svoju obavezu na drugi način. Uvoznik podataka će obavestiti Izvoznika podataka o troškovima takve pomoći. Čim Izvoznik podataka potvrdi da može da snosi ovaj trošak, Uvoznik podataka će pružiti Izvozniku podataka ovu pomoć.
    6. (vi) Po završetku pružanja usluga, Izvoznik podataka može zahtevati vraćanje ličnih podataka koje obrađuje Uvoznik podataka u skladu sa ovim Dodatkom u roku od mesec dana nakon pružanja usluga. Osim ako zakonodavstvo države članice ili Evropske unije zahteva od Uvoznika podataka da čuva ili zadrži takve lične podatke, Uvoznik podataka će izbrisati sve takve lične ili nelične podatke nakon perioda od mesec dana, bez obzira da li su vraćeni izvoznika podataka na njegov zahtev ili ne.

 

3.3 Prava dotičnih lica

  1.  
    1. (i) Izvoznik podataka upravlja i odgovara na zahteve subjekata podataka. Uvoznik podataka nije u obavezi da direktno odgovara subjektima podataka.
    2. (ii) Ako Izvozniku podataka bude potrebna pomoć Uvoznika podataka u obradi i odgovaranju na zahteve Subjekta podataka, Izvoznik podataka će izdati dalje uputstvo u skladu sa klauzulom 3.1 (ii) Dela 1. Uvoznik podataka će pomoći Izvozniku podataka sa sledećim odgovarajućim i tehničkim organizacionim merama da odgovori na zahteve za ostvarivanje prava subjekata podataka navedenih u Poglavlju III GDPR-a, kako sledi:
    3. a. Što se tiče zahteva za informacijama, Uvoznik podataka će dostaviti Izvozniku podataka samo one informacije koje zahtevaju članovi 13. i 14. PGRD-a koje može imati na raspolaganju ako Izvoznik podataka ne može sam da ih pronađe.
    4. b. Što se tiče zahteva za pristup (član 15. GDPR), Uvoznik podataka će dostaviti Izvozniku podataka samo one informacije koje bi trebalo da budu dostavljene subjektu podataka za navedeni zahtev za pristup, a koje može imati na raspolaganju ako ovaj drugi ne može da ga pronađe sam.
    5. c. Što se tiče zahteva za ispravku (član 16 GDPR), zahteva za brisanje (član 17 GDPR), ograničenja zahteva za obradu (član 18 GDPR), ili zahteva za prenosivost (član 20 GDPR), i samo ako Izvoznik podataka ne može sam da ispravi ili izbriše, ograniči ili prenese lične podatke drugoj trećoj strani, Uvoznik podataka će ponuditi Izvozniku podataka mogućnost da ispravi ili izbriše, ograniči ili prenese lične podatke o kojima je reč drugoj trećoj strani, ili ako to nije moguće, pružiće pomoć za ispravljanje ili brisanje, ograničavanje ili prenošenje dotičnih ličnih podataka drugoj trećoj strani.
    6. d. U vezi sa obaveštenjem koje se odnosi na ispravku, brisanje ili ograničenje obrade (član 19. GDPR-a), Uvoznik podataka će pomoći Izvozniku podataka tako što će obavestiti sve primaoce ličnih podataka koje je Uvoznik podataka angažovao kao obrađivače ako Izvoznik podataka to zahteva i ako Izvoznik podataka ne može sam da popravi situaciju.
    7. e. Što se tiče prava na prigovor koje koristi nosilac podataka (član 21. i 22. GDPR-a), Izvoznik podataka će utvrditi da li je protivljenje legitimno i kako da se s njim nosi.
    8. (iii) Obaveze pomoći Uvoznika podataka ograničene su na lične podatke koji se obrađuju u okviru njegove infrastrukture (npr. baze podataka, sistemi, aplikacije koje poseduje ili obezbeđuje Uvoznik podataka).
    9. (iv) Izvoznik podataka će odrediti da li subjekat podataka može da koristi prava subjekata podataka iz klauzule 3.1 ovog dela 1 i obavestiće uvoznika podataka o obimu do kojeg je pomoć navedena u klauzulama 3.3 (ii), ( iii) iz dela 1 je neophodno.
    10. (v) Ako Izvoznik podataka zahteva dodatne ili modifikovane tehničke i organizacione mere za ispunjavanje prava subjekata podataka koje prevazilaze pomoć koju pruža Uvoznik podataka u skladu sa podtačkom 3.3 (ii), (iii) Dela 1, podaci Uvoznik će obavestiti Izvoznika podataka o troškovima sprovođenja ovih dodatnih ili modifikovanih tehničkih i organizacionih mera. Čim Izvoznik podataka potvrdi da može da podmiri ove troškove, Uvoznik podataka će primeniti takve dodatne ili modifikovane tehničke i organizacione mere kako bi pomogao Izvozniku podataka da odgovori na zahteve subjekata podataka.
    11. (vi) Bez ograničavanja delokruga klauzule 3.3 (v) Dela 1, Izvoznik podataka je dužan da nadoknadi Uvozniku podataka njegove razumne troškove nastale u odgovoru na zahteve subjekata podataka.

 

3.4 Podobrada

  1.  
    1. (i) Izvoznik podataka ovlašćuje Uvoznika podataka da koristi podizvođače za pružanje usluga prema ovom Dodatku. Uvoznik podataka će pažljivo odabrati takve procesore podataka. Izvoznik podataka odobrava procesor(e) podataka naveden u Dodatku 1.1 na kraju 2. dela.
    2. (ii) Uvoznik podataka će prenijeti svoje obaveze prema ovom Dodatku na obrađivača(e) podataka u mjeri u kojoj je to primjenjivo na podugovorene usluge.
    3. (iii) Uvoznik podataka može da otpusti, zameni ili imenuje drugog odgovarajućeg i pouzdanog obrađivača podataka po svom nahođenju. Ako to u pisanoj formi zatraži Izvoznik podataka, Uvoznik podataka mora da sledi proceduru koja je navedena u nastavku:
  1.  
    1. a. Uvoznik podataka će obavestiti Izvoznika podataka pre bilo kakvih promena na listi procesora podataka koji se pominju u klauzuli 3.4 (i) Dela 1. Ako se Izvoznik podataka ne protivi prema tački 3.4. (b) Dela 1 trideset dana nakon prijema obaveštenja od Uvoznika podataka, smatraće se da su dodatni obrađivači podataka prihvaćeni.
    2. b. Ako Izvoznik podataka ima legitiman razlog da prigovori dodatnom procesoru podataka, on će prethodno pismeno obavestiti Uvoznika podataka u roku od trideset dana od prijema obaveštenja Uvoznika podataka i pre nego što usluga Uvoznika podataka bude puštena u rad. Ako se Izvoznik podataka usprotivi korišćenju dodatnog procesora podataka, Uvoznik podataka može da otkloni prigovor pomoću jedne od sledećih opcija (odabranih po sopstvenom nahođenju): (A) Uvoznik podataka će otkazati svoje planove za korišćenje dodatnog procesora u vezi sa lični podaci Izvoznika podataka; (B) Uvoznik podataka će preduzeti korektivne mere koje je zahtevao Izvoznik podataka u svom prigovoru (poništavajući prigovor) i koristiti dodatnog procesora u vezi sa ličnim podacima Izvoznika podataka;(C) Uvoznik podataka može prestati da pruža ili se Izvoznik podataka može složiti da ne koristi (privremeno ili trajno) određeni aspekt usluge koji bi uključivao korišćenje daljeg obrađivača ličnih podataka Izvoznika podataka od strane Izvoznika podataka.
  2.  
    1. (iv) ako se obrađivač podataka nalazi izvan EU-EEA u zemlji koja nije priznata kao pruža adekvatan nivo zaštite podataka nakon odluke Evropske komisije, Uvoznik podataka će preduzeti mere da se uskladi sa odgovarajućim nivoom zaštite podataka u skladu sa GDPR-om (takve mere mogu uključivati ​​- između ostalog i - korišćenje ugovora o obradi podataka na osnovu klauzula modela EU, prenos na samocertifikovane obrađivače podataka u okviru zaštitnog štita EU-SAD , ili sličan program).

 

3.5 Istek

Istek ovog Dodatka je identičan datumu isteka odgovarajućeg Ugovora. Osim ako je drugačije predviđeno u ovom Dodatku, prava i dužnosti u vezi sa raskidom biće ista kao i ona sadržana u Ugovoru.

 

4. Ograničenje odgovornosti

4.1 Svaka strana ispunjava svoje obaveze prema ovom Dodatku i važećim zakonima o zaštiti podataka.

4.2 Svaka odgovornost u vezi sa kršenjem obaveza prema ovom Dodatku ili primenljivim zakonima o zaštiti podataka biće predmet i regulisana odredbama o odgovornosti utvrđenim ili primenjivim na Ugovor, osim ako je drugačije predviđeno u ovom Dodatku. Ako je odgovornost regulisana odredbama o odgovornosti utvrđenim ili primenjivim na Ugovor, za izračunavanje ograničenja odgovornosti ili određivanje primene drugih ograničenja odgovornosti, smatraće se da svaka odgovornost proizilazi iz ovog Dodatka proizilazi iz Ugovora.

 

5. Opšte odredbe

5.1 Ako postoje bilo kakve nedoslednosti ili neslaganja između Dela 1 i 2 ovog Dodatka, Deo 2 će imati prednost. Konkretno, čak i u takvom slučaju, Deo 1 koji jednostavno prevazilazi Deo 2 (tj. odredbe Standardnih klauzula) bez da mu je u suprotnosti, ostaje važeći.

5.2 Ako dođe do bilo kakvog neslaganja između odredaba ovog Dodatka i odredbi drugih ugovora koji obavezuju strane, ovaj Dodatak će imati prednost u pogledu obaveza stranaka o zaštiti podataka. U slučaju sumnje da li se klauzule u drugim ugovorima odnose na obaveze strane u vezi sa zaštitom podataka, ovaj dodatak ima prednost.

5.3 Ako je bilo koja odredba ovog Dodatka nevažeća ili neprimenljiva, ostatak ovog Dodatka ostaje na punoj snazi ​​i dejstvu. Nevažeća ili neprimenljiva odredba će biti (i) izmenjena kako bi se obezbedila njena valjanost i izvodljivost, uz očuvanje namera strana koliko god je to moguće, ili - ako to nije moguće - (ii) tumačeno kao da je nevažeći ili nepromenljivi deo nikada nije bio deo ugovora. Gorenavedeno će se takođe primenjivati ​​ako postoji propust u ovom Dodatku.

5.5 U meri u kojoj je to neophodno, Strane mogu zahtevati izmene dela 1, klauzule 3 (usklađenost sa lokalnim zakonom) ili drugih delova Dodatka kako bi se uskladile sa tumačenjima, direktivama ili nalozima koje izdaju nadležni organi Unije ili Države članice, nacionalne odredbe o sprovođenju ili bilo koji drugi pravni razvoj u vezi sa GDPR-om ili drugim uslovima delegiranja bilo kojim subjektima uključenim u obradu podataka i posebno u vezi sa korišćenjem Standardnih ugovornih klauzula u GDPR-u. Uslovi Standardnih ugovornih klauzula ne mogu se menjati ili zameniti osim ako Evropska komisija to izričito ne odobri (npr. novim adekvatnim klauzulama i standardima zaštite podataka).

5.6 Svako upućivanje u ovom dodatku na „klauzule“ će se smatrati kao upućivanje na sve odredbe ovog dodatka osim ako nije drugačije navedeno.

5.7 Izbor zakona u Delu 2, klauzula 9 primenjuje se na ceo Ugovor.

 

6.  Lični podaci koje strane prenose i obrađuju u lične svrhe (prenos od kontrolora podataka do kontrolora podataka)

6.1 Strane u potpunosti znaju da će određeni lični podaci biti preneti od Izvoznika podataka do Uvoznika podataka i obrnuto, i da takve podatke svaka Strana obrađuje za svoje potrebe. Što se tiče takvih ličnih podataka, to ne utiče na ostale odredbe ovog Dodatka (osim ove tačke 6).

6.2 Izvoznik podataka može preneti lične podatke koji se odnose na osoblje Uvoznika podataka Uvozniku podataka, uključujući informacije o bezbednosnim incidentima, ili bilo koje druge dokumente ili datoteke koje je kreirao ili uspostavio Izvoznik podataka u vezi sa Uslugama koje pruža osoblje uvoznik podataka. Uvoznik podataka može da obrađuje takve lične podatke za sopstvene potrebe, posebno u svojim profesionalnim odnosima sa osobljem Uvoznika podataka, za kontrolu kvaliteta i obuku, ili u poslovne svrhe.

6.3. Uvoznik podataka može preneti lične podatke Izvozniku podataka, uključujući ime i kontakt podatke osoblja Uvoznika podataka. Izvoznik podataka može da obrađuje takve lične podatke za sopstvene potrebe.

6.4 Obe strane će se pridržavati svih važećih zakona o zaštiti podataka, uključujući GDPR, u prikupljanju, obradi i korišćenju takvih ličnih podataka primljenih od druge strane u skladu sa klauzulom 1. Dela 1. Obe strane će posebno preduzeti adekvatne mere bezbednosti, obezbeđujući sličan nivo zaštite bezbednosnim merama navedenim u Dodatku 2 Dela 2. Svaki pristup takvim ličnim podacima biće ograničen na potrebu njihovog poznavanja.

6.5 Obe strane moraju izbrisati takve lične podatke što je pre moguće nakon što su ciljevi postignuti.

Део 2

 

ODLUKA KOMISIJE

5. februara 2010

o standardnim ugovornim klauzulama za prenos ličnih podataka obrađivačima podataka osnovanim u trećim zemljama prema 95/46/EC Direktivi Evropskog parlamenta i Saveta

 

 

 

klauzula 1

Definicije

U smislu klauzula:

a) 'lični podaci', 'posebne kategorije podataka', 'obrada/obrada', 'kontrolor', 'obrađivač', 'subjekt podataka' i 'nadzorni organ' imaće isto značenje kao u 95/46/EC Direktiva Evropskog parlamenta i Saveta od 24. oktobra 1995. o zaštiti pojedinaca u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka (1);

b) 'Izvoznik podataka' je kontrolor podataka koji prenosi lične podatke;

c) 'Uvoznik podataka' je obrađivač podataka koji pristaje da od Izvoznika podataka primi lične podatke namenjene za obradu u ime Izvoznika podataka nakon prenosa u skladu sa njegovim uputstvima i prema uslovima ovih klauzula, a koji nije podleže mehanizmu treće zemlje koji obezbeđuje adekvatnu zaštitu u smislu člana 25(1) Direktive 95/46/EC; (d) „Obrađivač podataka“ označava obrađivača podataka kojeg angažuje Uvoznik podataka ili bilo koji drugi obrađivač podataka Uvoznika podataka koji je saglasan da od Uvoznika podataka ili bilo kog drugog obrađivača podataka Uvoznika podataka prima lične podatke isključivo za aktivnosti obrade za da se izvrši u ime Izvoznika podataka nakon prenosa u skladu sa uputstvima Izvoznika podataka,pod uslovima navedenim u ovim klauzulama i pod uslovima pismenog podugovaranja ugovora o obradi podataka;

e) „primenjivi zakon o zaštiti podataka“ označava zakonodavstvo koje štiti osnovna prava i slobode pojedinaca, uključujući pravo na privatnost u vezi sa obradom ličnih podataka, i koje se primenjuje na kontrolora u državi članici u kojoj je osnovan Izvoznik podataka;

f) "tehničke i organizacione mere koje se odnose na bezbednost" označava mere namenjene zaštiti ličnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmene, neovlašćenog otkrivanja ili pristupa, posebno kada obrada uključuje prenos podataka preko mreža, i protiv svih drugih nezakonitih oblika obrade.

klauzula 2

Detalji transfera

Detalji prenosa, uključujući, gde je to prikladno, posebne kategorije ličnih podataka, navedeni su u Dodatku 1, koji čini sastavni deo ovih klauzula.

klauzula 3

Klauzula o korisniku treće strane

1. Subjekt podataka može primeniti protiv Izvoznika podataka ovu klauzulu, klauzulu 4(b) do (i), klauzulu 5(a) do (e) i (g) do (j), klauzulu 6 (1) i (2 ), klauzula 7, klauzula 8(2) i klauzule 9 do 12 kao treći korisnik

2. Subjekt podataka može da primeni ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv Uvoznika podataka kada je Izvoznik podataka fizički nestao ili je prestao da postoji u zakonu, osim ako sve njegove zakonske obaveze nisu prenete, ugovorom ili na osnovu zakona, na entitet sukcesora, na koji se stoga vraćaju prava i obaveze Izvoznika podataka, i protiv koga se podaci subjekt stoga može sprovesti navedene klauzule.

Subjekt podataka može primeniti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12 protiv obrađivača podataka, ali samo u slučajevima kada podaci Izvoznik i Uvoznik podataka su fizički nestali, prestali da postoje u zakonu ili su postali nelikvidni, osim ako sve zakonske obaveze Izvoznika podataka nisu prenete, ugovorom ili na osnovu zakona, na pravnog sledbenika, na koga prava i Stoga su obaveze Izvoznika podataka i protiv kojih subjekt podataka može da sprovede takve klauzule. Takva odgovornost obrađivača podataka mora biti ograničena na njegove sopstvene aktivnosti obrade prema ovim klauzulama.

4. Strane se ne protive da subjekta podataka predstavlja udruženje ili drugo telo ako on ili ona to želi i ako nacionalni zakon to dozvoljava.

Klauzula 4

Obaveze izvoznika podataka

Izvoznik podataka prihvata i garantuje sledeće:

a) obrada, uključujući stvarni prenos ličnih podataka, je bila i nastaviće da se sprovodi u skladu sa relevantnim odredbama važećeg zakona o zaštiti podataka (i, gde je primenljivo, o tome obavešteni nadležni organi države članice u kojoj se nalazi Izvoznik podataka) i ne krši relevantne odredbe te države;

b) dali su instrukcije, i daće uputstva za vreme trajanja usluga obrade ličnih podataka, Uvoznika podataka da obrađuje lične podatke prenete u isključivo ime Izvoznika podataka iu skladu sa važećim zakonom o zaštiti podataka i ovim klauzulama;

c) Uvoznik podataka će obezbediti dovoljne mere zaštite u pogledu tehničkih i organizacionih bezbednosnih mera navedenih u Dodatku 2 ovog ugovora;

d) nakon procene zahteva važećeg zakona o zaštiti podataka, mere bezbednosti su adekvatne za zaštitu ličnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmene, neovlašćenog otkrivanja ili pristupa, posebno kada obrada uključuje prenos podataka preko mreže i protiv svih drugih nezakonitih oblika obrade i obezbediti nivo bezbednosti koji odgovara rizicima koje predstavlja obrada i prirodi podataka koji se štite, imajući u vidu nivo tehnologije i troškove implementacije;

e) obezbediće poštovanje mera bezbednosti;

f) ako se prenos odnosi na posebne kategorije podataka, subjekt podataka je obavešten ili će biti obavešten pre prenosa, ili što je pre moguće nakon prenosa da se njegovi ili njeni podaci mogu preneti u treću zemlju koja ne nudi adekvatan nivo zaštite u smislu Direktive 95/46/EC;

g) proslediće svako obaveštenje primljeno od Uvoznika podataka ili bilo kog obrađivača podataka u skladu sa klauzulama 5 (b) i 8 (3) nadzornom organu za zaštitu podataka ako odluči da nastavi sa prenosom ili da ukine suspenziju;

h) oni će staviti na raspolaganje subjektima podataka, ako oni to zatraže, kopiju ovih klauzula, osim Dodatka 2, i sažeti opis bezbednosnih mera, i kopiju bilo kog daljeg ugovora o podugovaranju, zaključenog prema ovim klauzulama, osim ako Klauzule ili ugovor sadrže komercijalne informacije, u kom slučaju on može povući takve informacije;

i) u slučaju podugovaranja procesa obrade podataka, aktivnost obrade se sprovodi u skladu sa klauzulom 11 od strane obrađivača podataka koji obezbeđuje najmanje isti nivo zaštite ličnih podataka i prava subjekta podataka kao i Uvoznik podataka prema ovim klauzulama ; и

j) obezbediće usklađenost sa klauzulom 4 (a) do (i).

Klauzula 5

Obaveze uvoznika podataka

Uvoznik podataka prihvata i garantuje sledeće:

a) obrađivaće lične podatke samo u ime Izvoznika podataka i prema uputstvima Izvoznika podataka i ovim klauzulama; ako ne može da se pridržava iz bilo kog razloga, saglasni su da obaveste Izvoznika podataka o svojoj nemogućnosti što je pre moguće, u kom slučaju Izvoznik podataka može da obustavi prenos podataka i/ili raskine ugovor;

b) nemaju razloga da veruju da ga zakon koji se primenjuje na njih sprečava da ispuni uputstva data od strane Izvoznika podataka i obaveze koje su mu nametnute po ugovoru, i ako je takav zakon podložan promeni koja bi mogla imati materijalne negativne posledice uticaj na garancije i obaveze prema klauzulama, on će obavestiti Izvoznika podataka o promeni bez odlaganja nakon što je saznao za to, u kom slučaju Izvoznik podataka može da obustavi prenos podataka i/ili raskine ugovor; (c) su sproveli tehničke i organizacione mere bezbednosti navedene u Dodatku 2 pre obrade prenetih ličnih podataka;

d) će bez odlaganja obavestiti Izvoznika podataka:

i) svaki obavezujući zahtev za otkrivanje ličnih podataka od organa za sprovođenje zakona, osim ako nije drugačije naznačeno, kao što je krivična zabrana koja ima za cilj očuvanje tajnosti policijske istrage;

ii) svaki slučajan ili neovlašćen pristup; и

iii) svaki zahtev primljen direktno od dotičnih lica bez odgovora na njega, osim ako je on za to ovlašćen; administratori

e) oni će blagovremeno i pravilno rešavati sve upite Izvoznika podataka u vezi sa njegovom obradom ličnih podataka koji se prenose i postupaće po mišljenju nadzornog organa u vezi sa obradom prenetih podataka;

f) na zahtev Izvoznika podataka, podvrgnu svoje objekte za obradu podataka reviziji aktivnosti obrade obuhvaćenih ovim klauzulama koju će izvršiti Izvoznik podataka ili nadzorni organ sastavljen od nezavisnih članova sa potrebnim stručnim kvalifikacijama, podleže obavezi čuvanja tajnosti i izabran od strane Izvoznika podataka, gde je to potrebno uz saglasnost nadzornog organa;

g) staviće na raspolaganje subjektu podataka, ako on to zatraži, kopiju ovih klauzula ili bilo kojeg postojećeg podugovaranja ugovora o obradi podataka, osim ako klauzule ili ugovor ne sadrže komercijalne informacije, u kom slučaju može ukloniti takve informacije, osim Dodatka 2, koji će biti zamenjen sažetim opisom bezbednosnih mera, gde subjekt podataka ne može da dobije kopiju od Izvoznika podataka;

h) u slučaju daljeg poverljivog podugovaranja obrade podataka, on će obezbediti da unapred obavesti Izvoznika podataka i da dobije pismenu saglasnost Izvoznika podataka;

i) usluge obrade koje pruža obrađivač podataka moraju biti u skladu sa klauzulom 11;

j) oni će odmah poslati kopiju svakog podugovaranja ugovora o obradi podataka koji je sklopio prema ovim klauzulama Izvozniku podataka.

Klauzula 6

Odgovornost

1. Strane su saglasne da bilo koji subjekt podataka koji je pretrpeo štetu zbog kršenja obaveza navedenih u klauzuli 3 ili klauzuli 11 od strane jedne strane ili od strane obrađivača podataka može dobiti nadoknadu od Izvoznika podataka za pretrpljenu štetu.

2. Ako je subjekt podataka sprečen da podnese tužbu za naknadu štete iz stava 1. protiv Izvoznika podataka zbog propusta Uvoznika podataka ili njegovog obrađivača podataka da ispoštuje bilo koju od svojih obaveza iz klauzule 3 ili 11 jer podaci Izvoznik je fizički nestao, prestao da postoji u zakonu ili je postao nesolventan, Uvoznik podataka je saglasan da subjekt podataka može uložiti žalbu protiv njega kao da je Izvoznik podataka osim ako su sve zakonske obaveze Izvoznika podataka prenete ugovorom ili na osnovu zakona, njegovom sukcesorskom subjektu, protiv kojeg subjekat podataka može potom sprovesti svoja prava. Uvoznik podataka se ne može oslanjati na kršenje svojih obaveza od strane obrađivača podataka da bi izbegao sopstvenu odgovornost.

3. Ako je subjekt podataka sprečen da podnese tužbu iz st. 1. i 2. protiv Izvoznika podataka ili Uvoznika podataka zbog kršenja svojih obaveza od strane Obrađivača podataka iz klauzule 3 ili 11, jer Izvoznik podataka i Uvoznik podataka fizički nestali, prestali da postoje u zakonu ili su postali nesolventni, Obrađivač podataka je saglasan da subjekt podataka može uložiti žalbu protiv njega u vezi sa sopstvenim aktivnostima obrade u skladu sa ovim klauzulama kao da je Izvoznik podataka ili Uvoznik podataka osim ako svi zakonske obaveze Izvoznika podataka ili Uvoznika podataka su prenete, ugovorom ili na osnovu zakona, na pravnog sledbenika, protiv koga subjekt podataka može da ostvari svoja prava.Odgovornost obrađivača podataka mora biti ograničena na sopstvene aktivnosti obrade u skladu sa ovim klauzulama.

 

Klauzula 7

Posredovanje i nadležnost

1. Uvoznik podataka je saglasan da će, ako se prema klauzulama, subjekat podataka pozove protiv njega na pravo trećeg lica korisnika i/ili traži naknadu za pretrpljenu štetu, prihvatiti odluku nosioca podataka:

a) da podnese spor na medijaciju nezavisnog lica ili, gde je to prikladno, nadzornog organa;

b) da iznese spor pred sudovima države članice u kojoj se nalazi sedište Izvoznika podataka.

2. Strane su saglasne da izbor koji je izvršio subjekt podataka neće uticati na procesno ili materijalno pravo subjekta podataka da dobije obeštećenje u skladu sa drugim odredbama nacionalnog ili međunarodnog prava.

Klauzula 8

Saradnja sa nadzornim organima

1. Izvoznik podataka je saglasan da deponuje kopiju ovog ugovora kod nadzornog organa ako to potonji zahteva ili ako je takvo deponovanje predviđeno važećim zakonom o zaštiti podataka.

2. Strane su saglasne da nadzorni organ može vršiti provere kod uvoznika podataka i bilo kog obrađivača podataka u istoj meri i pod istim uslovima kao i provere koje se vrše kod izvoznika podataka u skladu sa važećim zakonom o zaštiti podataka.

3. Uvoznik podataka će obavestiti Izvoznika podataka što je pre moguće o postojanju zakona u vezi sa uvoznikom podataka ili bilo kojim obrađivačem podataka koji sprečava verifikaciju kod uvoznika podataka ili bilo kog obrađivača podataka u skladu sa stavom 2. U tom slučaju, Izvoznik podataka može preduzeti mere predviđene u tački 5 (b).

Klauzula 9

Важећи закон

Klauzule se primenjuju i regulisane su zakonom države članice u kojoj se nalazi sedište Izvoznika podataka.

Klauzula 10

Izmena ugovora

Strane se obavezuju da neće menjati ove klauzule. Strane ostaju slobodne da uključe druge komercijalne klauzule koje smatraju neophodnim, pod uslovom da nisu u suprotnosti sa ovim klauzulama.

klauzula 11

Naknadno podugovaranje

1. Uvoznik podataka neće podugovarati nijednu od svojih aktivnosti obrade koje se obavljaju u ime Izvoznika podataka prema ovim klauzulama bez prethodne pismene saglasnosti Izvoznika podataka. Uvoznik podataka će samo podugovarati svoje obaveze prema ovim klauzulama, uz saglasnost Izvoznika podataka, kroz pisani sporazum sa Obrađivačem podataka koji nalaže Obrađivaču podataka iste obaveze kao i one koje su nametnute Uvozniku podataka prema ovim klauzulama. Ako obrađivač podataka ne može da ispoštuje svoje obaveze zaštite podataka iz tog pisanog ugovora, Uvoznik podataka ostaje u potpunosti odgovoran Izvozniku podataka za ispunjenje tih obaveza.

2. Prethodni pisani sporazum između Uvoznika podataka i Obrađivača podataka će takođe uključiti klauzulu o korisniku treće strane kao što je navedeno u klauzuli 3 za slučajeve kada je subjekt podataka sprečen da podnese tužbu za naknadu štete iz klauzule 6 (1. ), protiv Izvoznika podataka ili Uvoznika podataka zato što je Izvoznik podataka ili Uvoznik podataka fizički nestao, prestao da postoji zakonski ili je postao nesolventan i sve zakonske obaveze Izvoznika podataka ili Uvoznika podataka nisu prenete, ugovorom ili operacijom zakona, drugom subjektu sledbeniku. Odgovornost obrađivača podataka mora biti ograničena na sopstvene aktivnosti obrade u skladu sa ovim klauzulama.

3. Odredbe koje se odnose na aspekte zaštite podataka podugovaranja obrade podataka iz ugovora iz stava 1. biće regulisane zakonom države članice u kojoj je Izvoznik podataka osnovan.

4. Izvoznik podataka će voditi spisak podugovarača ugovora o obradi podataka zaključenih prema ovim klauzulama i obavešten od strane Uvoznika podataka u skladu sa članom 5 (j), koji će se ažurirati najmanje jednom godišnje. Ova lista će biti dostupna nadzornom organu za zaštitu podataka Izvoznika podataka.

klauzula 12

Obaveza po prestanku usluga obrade ličnih podataka

1. Strane su saglasne da će po završetku usluga obrade podataka, Uvoznik podataka i Obrađivač podataka, po potrebi Izvoznika podataka, vratiti sve prenete lične podatke i njihove kopije Izvozniku podataka, ili uništiti sve takve podatke i pružiti dokaz uništenje Izvozniku podataka, osim ako ga zakonodavstvo nametnuto Uvozniku podataka sprečava da vrati ili uništi sve ili deo prenetih ličnih podataka. U tom slučaju, Uvoznik podataka garantuje da će obezbediti poverljivost prenetih ličnih podataka i da više neće aktivno obrađivati ​​podatke.

2. Uvoznik podataka i obrađivač podataka će obezbediti da, ako to zahtevaju Izvoznik podataka i/ili nadzorni organ, podvrgnu svoja sredstva obrade podataka verifikaciji mera iz stava 1. ovog člana.

 

 

 

 

Dodatak 1.1 delu 2

Detalji transfera

 

 

Data Exporter

Izvoznik podataka je Kupac definisan Ugovorom.

 

Uvoznik podataka

Uvoznik podataka je POSTCODEZIP i dodeljen mu je da obrađuje podatke, pružajući usluge Izvozniku podataka.

 

Subjekti podataka

Preneti lični podaci odnose se na sledeće kategorije subjekata podataka:

�? telefonski pretplatnici navedeni u univerzalnom imeniku

â˜' Drugi, uključujući:

 

Kategorije podataka

Preneti lični podaci odnose se na sledeće kategorije podataka:

 

Posebno kategorije ličnih podataka subjekata podataka Izvoznika podataka,

â˜?? Пуно име

â˜' Poštanska adresa

�? Kontakt detalji (e-mail, telefon, IP adresa, itd.)

â˜?? Detalji marketinških aktivnosti u vezi sa telefonskim pretplatnikom

â˜' Drugi, uključujući tip stanovanja, prihode i prosečnu starost grada anonimno

 

Posebne kategorije podataka (ako je primenljivo)

Preneti lični podaci odnose se na sledeće posebne kategorije podataka:

â˜' Prenos posebnih kategorija podataka nije predviđen

â˜?? Rasa ili etničko poreklo

�? Religijska ili filozofska uverenja

â˜?? Članstvo u sindikatu

â˜?? Политичко гледиште

�? Genetske informacije

�? Biometrijske informacije

â˜?? Informacije o seksualnoj orijentaciji ili seksualnom životu

�? Zdravstveni podaci

 

Aktivnosti obrade

Preneti lični podaci biće predmet sledećih osnovnih aktivnosti obrade:

 

  •  
    • •  Svrha obrade

Obrada koja se preduzima u ime Izvoznika podataka zasniva se na sledećim temama, posebno:

â˜' Preuzimanje proizvoda ili usluga koje nudi Izvoznik podataka

â˜' Ponuda proizvoda ili usluge koju pozvana osoba može zatražiti

â˜' Preuzeti nalozi od pozvanih lica i dalja obrada ovih naloga

â˜' Upitnici i analize za proučavanje

â˜' Telemarketing

â˜?? Drugi, uključujući:

 

  •  
    • •  Priroda i svrha obrade

Uvoznik podataka obrađuje lične podatke subjekata podataka u ime Izvoznika podataka, kako bi pružio sledeće usluge, a pre svega:

  • â˜' Automatsko popunjavanje obrasca
  • â˜' Adresa formulara za validaciju

â˜' Prodaja i marketing

â˜' Drugi, uključujući ažuriranje baza podataka o gradskim većnicama i političkim partijama

 

  •  
    • •  Pružanje usluga i zapošljavanje pružalaca usluga

 

POSTCODEZIP uglavnom kombinuje, centralizuje i pruža usluge izvozniku podataka. Usluge koje pruža imenovani provajder usluga mogu biti strukturisane (između ostalog po potrebi) oko sledećih pomoćnih usluga: (i) obezbeđivanje aplikacija, alata, sistema i IT infrastrukture u vezi sa centrima za obradu podataka koji se koriste, kako bi se obezbedilo i podržavaju usluge, uključujući obradu ličnih podataka subjekata podataka kao što je gore opisano, preko takvih aplikacija, alata i sistema, (ii) pružanje IT podrške, održavanja i drugih usluga u vezi sa takvim aplikacijama, alatima, sistemima i IT infrastrukturu, uključujući potencijalni pristup ličnim podacima uskladištenim u takvim aplikacijama, alatima i sistemima, i (iii) pružanje usluga zaštite podataka, nadzora zaštite i usluga reagovanja na incidente,uključujući potencijalni pristup ličnim podacima prilikom pružanja takvih usluga zaštite. POSTCODEZIP može angažovati procesore podataka kao što je navedeno u nastavku za pružanje usluga, uključujući pomoćne usluge.

 

  •  
    • • Spoljni dobavljači usluga treće strane kao podentitet dodeljeni za obradu podataka

 

POSTCODEZIP angažuje spoljne dobavljače usluga i provajdere treće strane, koji nisu podružnice POSTCODEZIP-a, da podrže pružanje usluga Izvozniku podataka. Izvoznik podataka odobrava takve spoljne pružaoce usluga treće strane kao pod-entitete dodeljene za obradu podataka.

 

Ako se podentitet uključen u obradu podataka nalazi izvan EU/EEA, u zemlji za koju se smatra da nema adekvatan nivo zaštite podataka prema odluci Evropske komisije, Uvoznik podataka će preduzeti korake da dobije adekvatan nivo zaštite podataka. zaštita podataka u skladu sa GDPR-om i odeljkom 3.4 (iv) 1. dela.

 

 

Dodatak 2, Deo 2

Tehničke i organizacione mere zaštite

 

Uvoznik podataka će preduzeti sledeće tehničke i organizacione mere zaštite koje potvrdi Izvoznik podataka, kako bi garantovao odgovarajući nivo bezbednosti prava i sloboda pojedinaca, u zavisnosti od rizika. Prilikom procene dotičnog nivoa zaštite, Izvoznik podataka je posebno uzeo u obzir rizike uključene u obradu, uključujući slučajno ili nezakonito uništavanje, izmene, neovlašćeno otkrivanje ili pristup ličnim podacima koji se prenose, čuvaju ili na drugi način obrađuju. Uz pojašnjenje: Ove tehničke i organizacione mere zaštite se ne primenjuju na aplikacije, alate, sisteme i/ili IT infrastrukturu koje obezbeđuje Izvoznik podataka.

1 Opšte tehničke i organizacione mere zaštite

1.1 Opšte informacije i strategije zaštite podataka

Sledeće korake treba preduzeti da biste pratili opšte strategije zaštite podataka i informacija:

  • a) preduzima mere za ocenjivanje preduzetih u pogledu tehničke i organizacione zaštite;
  • b) obezbedi obuku za podizanje svesti među zaposlenima;
  • c) ima opis dotičnih sistema i omogući pristup zaposlenima;
  • d) uspostaviti formalni proces dokumentacije kad god se sistemi implementiraju ili modifikuju;
  • e) dokumentovanje organizacione strukture, procesa, odgovornosti i odgovarajućih evaluacija;

1.2 Organizacija zaštite informacija

U cilju koordinacije aktivnosti zaštite podataka i informacija treba preduzeti sledeće mere:

  • a) definisane odgovornosti za zaštitu informacija i podataka (npr. kroz politiku upravljanja zaštitom podataka);
  • b) neophodnu ekspertizu za zaštitu informacija i podataka koji ostaju dostupni;
  • c) svi zaposleni su posvećeni da obezbede da lični podaci budu poverljivi i da su obavešteni o potencijalnim posledicama kršenja ove obaveze.

1.3 Kontrola pristupa oblastima obrade

Moraju se preduzeti sledeće mere kako bi se sprečilo da neovlašćena lica dobiju pristup sistemima za obradu podataka (posebno softveru i hardveru) kada se lični podaci obrađuju, čuvaju ili prenose:

  • a) uspostaviti bezbedne oblasti;
  • b) zaštiti i ograniči pristup sistemima za obradu podataka;
  • c) uspostavlja ovlašćenja za pristup zaposlenima i trećim licima, uključujući odgovarajuća dokumenta;
  • d) svaki pristup centrima za obradu podataka u kojima se čuvaju lični podaci biće evidentiran.

1.4 Kontrola pristupa sistemima za obradu podataka

Moraju se preduzeti sledeće mere kako bi se sprečio neovlašćeni pristup sistemima za obradu podataka:

  • a) politike i procedure za autentifikaciju korisnika;
  • b) korišćenje lozinki na svim računarskim sistemima;
  • c) daljinski pristup mreži zahteva višefaktorsku autentifikaciju i odobrava se dotičnom licu u skladu sa njihovim odgovornostima i po ovlašćenju;
  • d) pristup određenim funkcijama je zasnovan na funkcijama posla i/ili atributima koji su pojedinačno dodeljeni korisničkom nalogu;
  • e) prava pristupa u vezi sa ličnim podacima se redovno proveravaju;
  • f) evidencija o promenama prava pristupa se ažurira.

1.5 Kontrolisanje pristupa određenim oblastima korišćenja sistema za obradu podataka

Moraju se preduzeti sledeće mere kako bi se obezbedilo da ovlašćena lica sa pravom korišćenja sistema za obradu podataka mogu pristupiti podacima samo u okviru svojih odgovornosti i ovlašćenja za pristup i da se lični podaci ne mogu čitati, kopirati, menjati ili brisati bez ovlašćenja:

  1. 1. 
    1. a) politike, uputstva i obuku zaposlenih u vezi sa obavezama svakog od njih u pogledu poverljivosti, prava na pristup ličnim podacima i obima obrade ličnih podataka;
  • b) disciplinske mere protiv lica koja neovlašćeno pristupaju ličnim podacima;
  • c) pristup ličnim podacima će biti odobren samo ovlašćenim licima, na osnovu potrebe za saznanjem;
  • d) održava listu administratora sistema i preduzima odgovarajuće mere za praćenje administratora sistema;
  • e) da ne kopiraju ili reprodukuju lične podatke na bilo kom sistemu skladištenja kako bi se omogućilo neovlašćenim licima da uklone informacije autora;
  • f) kontrolisano i dokumentovano brisanje ili uništavanje podataka;
  • g) da bezbedno čuvaju sve lične podatke koji se moraju čuvati iz pravnih ili regulatornih razloga (npr. obaveze čuvanja podataka), i to samo onoliko dugo koliko je propisano zakonom.

1.6 Kontrola prenosa

Moraju se preduzeti sledeće mere kako bi se sprečilo čitanje, kopiranje, modifikacija ili brisanje ličnih podataka od strane neovlašćenih trećih lica tokom prenosa ili transporta uređaja za skladištenje podataka (u zavisnosti od preduzete obrade ličnih podataka):

  1. 1. 
    1. a) korišćenje zaštitnih zidova;
  • b) izbegavanje skladištenja ličnih podataka na mobilnim uređajima za skladištenje u svrhe transporta, ili šifrovanje uređaja;
  • c) koristiti na laptopovima i drugim mobilnim uređajima samo nakon što je aktivirana zaštita šifrovanja;
  • d) evidentiranje prenosa ličnih podataka.

1.7 Kontrola unosa podataka

Moraju se preduzeti sledeće mere kako bi se osiguralo da je moguće proveriti i utvrditi da li su lični podaci uneti ili izbrisani iz sistema za obradu podataka i ko:

  1. 1. 
    1. a) politiku za odobravanje čitanja, izmene i brisanja sačuvanih podataka;
  • b) mere zaštite u vezi sa čitanjem, izmenom i brisanjem sačuvanih podataka.

1.8 Kontrola rada

U slučaju delegirane obrade ličnih podataka, moraju se preduzeti sledeće mere kako bi se obezbedilo da se takvi podaci obrađuju u skladu sa uputstvima Supervizora:

  1. 1. 
    1. a) entiteti ili podentitet dodeljeni za obradu podataka, odabrani pažljivo (pružaoci usluga koji obrađuju lične podatke u ime kontrolora);
  • b) uputstva koja se odnose na obim bilo koje obrade ličnih podataka zaposlenima, subjektima ili pod-entitetima koji su zaduženi za obradu podataka;
  • c) prava revizije dogovorena sa subjektima ili podentitetima koji su dodeljeni za obradu podataka;
  • d) postoje sporazumi sa subjektima ili podentitetima koji su zaduženi za obradu podataka.

1.9 Odvajanje od obrade u druge svrhe

Moraju se preduzeti sledeće mere kako bi se obezbedilo da se podaci prikupljeni u druge svrhe mogu zasebno obrađivati:

  1. 1. 
    1. a) odvojen pristup ličnim podacima u skladu sa postojećim pravima korisnika;
  • b) interfejsi, grupna obrada i izveštavanje su za druge svrhe i funkcije, tako da se podaci prikupljeni u druge svrhe mogu zasebno obraditi.

1.10 Pseudonimizacija

U vezi sa pseudonimizacijom ličnih podataka moraju se preduzeti sledeće mere:

  1. 1. 
    1. a) Ako Izvoznik podataka naredi određenu operaciju obrade ili ako to smatra odgovarajućim od strane Uvoznika podataka u skladu sa zakonima o zaštiti podataka koji su na snazi ​​u vezi sa određenim aktivnostima obrade, obrada ličnih podataka će se vršiti na način da podaci se više ne mogu pripisati određenom licu bez upotrebe dodatnih informacija. Ove dodatne informacije će se čuvati odvojeno;
  • b) korišćenje tehnika pseudonimizacije, uključujući randomizaciju liste alokacije; stvaranje vrednosti u vidu oštrih.

1.11 Šifrovanje

Sledeće korake treba preduzeti za šifrovanje ličnih podataka u aplikacijama i prenosima koji podržavaju šifrovanje:

  1.  
    1. a) korišćenje tehnika šifrovanja;
  • b) uspostavljanje upravljanja šifrovanjem za podršku tehnikama šifrovanja koje su dozvoljene za korišćenje;
  • c) podržavanje upotrebe kriptografije kroz procedure i protokole za generisanje, modifikovanje, opoziv, uništavanje, distribuciju, sertifikaciju, skladištenje, hvatanje, korišćenje i arhiviranje kriptografskih ključeva radi zaštite od neovlašćenih modifikacija i otkrivanja.

1.12 Kompletnost sistema i usluga za obradu podataka

Potrebno je preduzeti sledeće mere kako bi se obezbedila kompletnost sistema i usluga obrade podataka:

  1. 1. a) zaštita sistema za obradu podataka od manipulacije ili uništavanja odgovarajućim sredstvima (npr. antivirusni softver, softver za sprečavanje gubitka podataka i softver od malvera, softverske zakrpe, zaštitni zidovi i upravljana zaštita desktopa);
  • b) zabrani instalaciju bilo koje usluge ili softvera štetnog za sisteme za obradu podataka, usluge ili manipulaciju ličnim podacima;
  • c) korišćenje sistema za otkrivanje i prevenciju upada u mrežu u strukturi same mreže.

1.13 Dostupnost sistema i usluga za obradu podataka i mogućnost vraćanja pristupa i korišćenja ličnih podataka u slučaju materijalnog ili tehničkog incidenta

Moraju se preduzeti sledeće mere kako bi se obezbedila dostupnost sistema za obradu podataka, kao i da bi se mogla brzo vratiti dostupnost i pristup ličnim podacima, u slučaju materijalnog ili tehničkog incidenta (posebno tako što će se obezbediti da lični podaci su zaštićeni od slučajnog uništenja ili gubitka):

  • a) imaju sredstva kontrole za čuvanje rezervnih kopija i vraćanje izgubljenih ili izbrisanih podataka;
  • b) infrastrukturna redundantnost i testiranje performansi;
  • c) fizička zaštita računarskih resursa;
  • d) korišćenje alata za praćenje statusa i dostupnosti interne mreže;
  • e) politike izveštavanja o incidentima i reagovanja koje regulišu proceduru upravljanja incidentima i ponavljanje pridržavanja ovih politika kao deo redovne obuke;
  • f) rezervne kopije (ponekad van lokacije) za vraćanje sistema kako bi se omogućilo da ponovo obavlja svoje funkcije;
  • g) planove za kontinuitet poslovanja/oporavak od katastrofe

1.14 Otpornost sistema i usluga za obradu podataka

Moraju se preduzeti sledeće mere da bi se obezbedila otpornost sistema i usluga za obradu podataka:

  • a) sistemi i harmonično konfigurisani, koristeći odobrene bezbednosne parametre;
  • b) redundantnost mreže;
  • c) zaštitna zaštita kritičnih sistema.

1.15 Procedura za redovno testiranje, procenu i procenu efikasnosti tehničkih i organizacionih mera za obezbeđivanje sigurnosti obrade podataka

Procedura za redovno testiranje, ocenjivanje i ocenjivanje efikasnosti tehničkih i organizacionih mera zaštite obrade podataka.

  • a) preduzeti neophodne korake za procenu rizika i strategija za ublažavanje;
  • b) sastanke za analizu usluga IT odeljenja radi rešavanja aktuelnih pitanja;
  • c) planovi za kontinuitet poslovanja/oporavak od katastrofe se redovno ažuriraju.

 

deo 3

Potpisi strana i spisak uvoznika podataka

 

Kada popunite onlajn formular za porudžbinu i potvrdite ga tako što ćete označiti polje za prihvatanje opštih uslova korišćenja, uspostavlja se ugovor kojim se reguliše odnos između Kupca i POSTCODEZIP-a.

Slanjem uplate u POSTCODEZIP smatraće se da je ugovor dogovoren i uspostavljen.

Obratite pažnju: Ovaj tekst je preveden sa francuskog. Originalna francuska verzija, koja je važeća i pravno restriktivna, dostupna je  ovde .