DOHODA O SPRACÚVANÍ OSOBNÝCH ÚDAJOV Táto Dohoda o spracúvaní osobných údajov (,,Dohoda ) sa uzatvára medzi Obchodné meno:... Sídlo:... IČO:... (ďalej len ako Spoločnosť ) a Obchodné meno: bart.sk s.r.o. Sídlo: Pollova 1206/54, 040 18 Košice IČO: 36 593 966 (ďalej len ako Poskytovateľ ) (Spoločnosť a Poskytovateľ ďalej spolu len ako Zmluvné strany ) Keďže: Spoločnosť je prevádzkovateľom spracovania údajov vykonávaného v rámci svojej podnikateľskej činnosti v zmysle zákona č. 18/2018 Zb. o ochrane osobných údajov a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) s účinnosťou od 25. mája 2008 a všetkých ostatných príslušných právnych predpisov na ochranu súkromia (ďalej spolu len "Predpisy o ochrane osobných údajov"); Na základe objednávok Spoločnosti alebo na základe osobitnej dohody ( Dohoda o službách ) Poskytovateľ poskytuje Spoločnosti nasledujúce služby: (*zaškrtnutím vyznačiť, ktorá možnosť sa vzťahuje pre túto Dohodu. Zaškrtnutie vykonáte dvojklikom ľavým tlačidlom myši na políčko formulára - checkbox) zdieľaný webhosting virtuálny server správa web stránky správa e-shopu (ďalej len Služby ); Vykonávaním uvedených Služieb pre spoločnosť poskytovateľ bude spracúvať osobné údaje ("Údaje") príslušným spôsobom v zmysle Predpisov o ochrane osobných údajov. Účel spracúvania Údajov stanovený Spoločnosťou je: (*zaškrtnutím vyznačiť, ktorá možnosť sa vzťahuje pre túto Dohodu. Pod zaškrtávacie políčka je možné dopísať aj iné účely spracúvania, pokiaľ predvolené možnosti pre zaškrtnutie nie sú postačujúce) reklama a propagovanie Spoločnosti a ňou poskytovaných tovarov a/alebo služieb evidencia zákazníkov a vybavovanie objednávok tovarov a/alebo služieb poskytovaných Spoločnosťou evidencia registrovaných používateľov a poskytovanie vernostných výhod zisťovanie spokojnosti Zákazníkov so službami Spoločnosti zasielanie noviniek (newsletter) 1
zasielanie reklamy (priamy marketing) Iné účely spracúvania stanovené Spoločnosťou: Článok I Predmet a doba spracúvania, Povaha a účel spracúvania 1.1. Uzavretím Dohody Spoločnosť ako prevádzkovateľ údajov menuje Poskytovateľa ako spracovateľa Údajov, ktorý súhlasí so svojim vymenovaním. 1.2. Spoločnosť poveruje Poskytovateľa na výkon činností súvisiacich so spracúvaním Údajov vyplývajúcich z povinností Poskytovateľa stanovenými v Dohode o službách. Poskytovateľ bude spracúvať Údaje v zmysle Predpisov o ochrane osobných údajov a prostredníctvom vhodných technických a organizačných bezpečnostných opatrení minimalizuje riziko zničenia alebo straty, či už nehodou alebo nie, neoprávnený prístup alebo vykonávaním spracovateľských činností, ktoré sú buď nezákonné, alebo v rozpore s účelom zhromažďovania Údajov. 1.3. Poskytovateľ je oprávnený spracúvať Údaje len po dobu trvania tejto Dohody. V prípadoch kedy je to možné, ukončí Poskytovateľ spracúvanie Údajov aj skôr, a to vo vzťahu k tým Údajom, pri ktorých zanikne účel pre ktorých sa spracúvajú. 1.4. Poskytovateľ je oprávnený spracúvať Údaje iba na účel podľa tejto Dohody, teda na plnenie zmluvných povinností Poskytovateľa voči Spoločnosti stanovených v Dohode o službách. Poskytovateľ je zároveň viazaným účelom spracúvania Údajov stanoveným Spoločnosťou v úvode tejto Dohody. Poskytovateľ nie je oprávnený spracúvať údaje na iný účel. Spoločnosti zostávajú zachované všetky práva, nároky a oprávnené záujmy k údajom. Poskytovateľovi nie sú k spracúvaným údajom poskytnuté žiadne práva, okrem práv, v súvislosti s poskytovaním dohodnutých služieb. 1.5. Poskytovateľ nie je oprávnený spracovávať údaje mimo územia EÚ bez osobitného písomného povolenia spoločnosti. Článok II Kategórie dotknutých osôb 2.1 Subjekty dotknuté spracúvaním údajov sú: (*zaškrtnutím vyznačiť iba subjekty, ktoré pre túto Dohodu sú subjektami dotknutými spracúvaním osobných údajov. Do zoznamu je možné vkladať aj nové subjekt, pokiaľ preddefinované subjekty nie sú postačujúce) Zamestnanci Spoločnosti Dodávatelia Spoločnosti Zákazníci Spoločnosti Potenciálni zákazníci Spoločnosti Dodávatelia Spoločnosti, ak sú živnostníci 2
Zamestnanci dodávateľov Článok III Typy osobných údajov 3.1. Spracúvanými osobnými údajmi sú: (*zaškrtnutím vyznačiť iba osobné údaje, ktoré sú spracúvané podľa tejto Dohody. Do zoznamu je možné vkladať aj nové osobné údaje, pokiaľ preddefinované údaje nie sú postačujúce) Meno a priezvisko Pohlavie Dátum narodenia Mesto / štát narodenia Rodinný stav Fiškálny kód Súkromná adresa Súkromné telefónne / faxové / mobilné číslo E-mailová adresa Pracovná pozícia Zamestnávateľ Obchodná adresa, oddelenie atď. Telefónne číslo / faxové / mobilné číslo Príjmy, daňové a / alebo zamestnanecké výhody Bankový účet, údaje o kreditnej / debetnej karte Hypotekárne a iné záložné práva Úverová história a úverové referenčné údaje Informácie alebo údaje týkajúce sa výdavkov IP adresa Webové logy Cookies ID používateľa/cid Systémové denníky Odpovede na bezpečnostné otázky, sériové čísla priradených zariadení / softvéru Údaje o polohe (napríklad GPS) Identifikačné číslo vozidla Vzdelanie Záujmy, návyky Členstvo v kluboch a združeniach...... 3
.................. 3.2. Osobitné kategórie Údajov. Osobitné kategórie osobných údajov spracúvaných v zmysle tejto dohody sú: (*zaškrtnutím vyznačiť iba tieto osobitné kategórie osobných údajov, ktoré sú spracúvané podľa tejto Dohody. Ak nebude zaškrtnutá žiadna možnosť, tak platí text uvedený nižšie, t.j. prehlásenie, že nie sú spracúvané žiadne osobitné kategórie osobných údajov) Rasový alebo etnický pôvod Politický názor, náboženské alebo filozofické presvedčenie Členstvo v odborových zväzoch Genetické údaje Biometrické údaje Údaje týkajúce sa zdravia (vrátane zdravotného stavu, zdravotného postihnutia, ochorení, chorôb alebo liečebných postupov) Údaje o sexuálnom živote Sexuálna orientácia Údaje týkajúce sa uznania viny za trestné činy a priestupky V prípade, že sa nespracúvajú žiadne osobitné kategórie Údajov, zmluvné strany ponechajú vyššie uvedené kolonky (checkboxy) v tomto článku nevyplnené. V takom prípade zmluvné strany podpisom dohody potvrdzujú, že na základe tejto dohody sa nespracúvajú žiadne osobitné kategórie osobných údajov, ani žiadne osobné údaje týkajúce sa uznania viny za trestné činy a priestupky. Článok IV Osoby zodpovedné za spracovanie Poskytovateľ písomne určí v rámci vlastnej organizácie fyzické osoby, zodpovedné za spracovanie Údajov a poskytne im potrebné poučenia. Článok V Ďalší spracovatelia Poskytovateľ môže na vlastnú zodpovednosť určiť ďalších spracovateľov Údajov. Poskytovateľ Spoločnosti vopred písomne oznámi podrobnosti o ďalších spracovateľoch a Spoločnosť rozhodne na základe vlastného uváženia, či Poskytovateľovi povolí toto určenie. Vymenovaní ďalší spracovatelia musia sídliť v Európskej únii a musia disponovať potrebnými skúsenosťami, zručnosťami a spoľahlivosťou tak, aby zaručili riadne dodržiavanie Predpisov o ochrane osobných údajov. 4
Poskytovateľ je povinný zabezpečiť, aby ďalší spracovatelia vykonávali spracovateľské činnosti v súlade s ustanoveniami tejto Dohody. Článok VI Bezpečnostné opatrenia Poskytovateľ súhlasí s dodržiavaním ustanovení nasledujúcich dokumentov a príloh: Príloha A k tejto Dohode. Článok VII Oznámenie o narušení bezpečnosti Ak sa Poskytovateľ dozvie o (a) akomkoľvek nezákonnom prístupe k Údajom Spoločnosti uloženým vo vybavení Poskytovateľa alebo v zariadeniach Poskytovateľa; alebo (b) o akomkoľvek neoprávnenom prístupe k takémuto zariadeniu alebo zariadeniam, ak v každom prípade takýto prístup vedie k strate, zverejneniu alebo zmene údajov Spoločnosti ("Bezpečnostný Incident"), Poskytovateľ okamžite: (i) oznámi Spoločnosti Bezpečnostný incident; (ii) prešetrí Bezpečnostný incident a poskytne Spoločnosti podrobné informácie o Bezpečnostnom incidente a (iii) podnikne primerané kroky na zmiernenie následkov a minimalizáciu akýchkoľvek škôd vyplývajúcich z bezpečnostného incidentu. Oznamovanie prípadných Bezpečnostných incidentov bude doručované spoločnosti prostredníctvom akýchkoľvek písomných prostriedkov vrátane e-mailu. Článok VIII Práva dotknutých osôb Na žiadosť Spoločnosti s ňou bude Poskytovateľ spolupracovať proaktívne a rýchlo, a to tak aby umožnil výkon práv, na ktoré majú subjekty dotknuté spracovaním Údajov nárok v súlade s Predpismi o ochrane osobných údajov. Článok IX Právo auditu Poskytovateľ súhlasí a ručí, že na žiadosť Spoločnosti sprístupni Spoločnosti spracovateľské činnosti vykonávané podľa tejto Dohody. Audit bude vykonávaný Spoločnosťou alebo nezávislými tretími stranami na základe výberu Spoločnosti a bude mať za následok vytvorenie audítorskej správy ("Správa"), ktorá bude dôvernou informáciou Spoločnosti podľa ustanovení o mlčanlivosti uvedených v tejto Dohode. Článok X Doba trvania zmluvy Dohoda nadobúda účinnosť dňom jej podpisu a jej platnosť končí v deň ukončenia z akéhokoľvek dôvodu uvedenom v Dohode o službách. V deň ukončenia alebo v deň vypršania platnosti Poskytovateľ bezodkladne ukončí spracovanie Údajov a vymaže všetky Údaje, ktoré má k dispozícii, alebo na žiadosť Spoločnosti Poskytovateľ vráti Spoločnosti spracúvané Údaje. Článok XI Vzťahy so štátnymi orgánmi 5
Poskytovateľ bezodkladne informuje Spoločnosť o každom vyšetrovaní, konaní, preskúmavaní a kontrole zo strany orgánov na ochranu údajov alebo súdnych orgánov podľa ustanovení Predpisov o ochrane osobných údajov. Poskytovateľ bude dodržiavať pokyny Úradu na ochranu osobných údajov SR alebo súdnych orgánov, pokiaľ Spoločnosť bezodkladne neoboznámi Poskytovateľa s jej zámerom podať voči príkazom štátnych orgánov námietky. Článok XII Doručovanie Každá žiadosť, oznámenie alebo iná informácia odosielaná v zmysle tejto Zmluvy musí byť urobená v písomnej forme a adresovaná druhej strane. Oznámenie sa bude považovať za doručené po prevzatí potvrdenom v písomnej forme. Za účelom súčinnosti strán pri plnení tejto Dohody sú zmluvné strany oprávnené komunikovať prostredníctvom elektronickej pošty na adresy (e-maily) oznámené zmluvnými stranami navzájom. Článok XIII Oddeliteľnosť Ak sa niektoré ustanovenie dohody stane alebo bude považované za neplatné, nezákonné alebo nevykonateľné akýmkoľvek príslušným súdom, nemá to vplyv na platnosť a účinnosť ostatných ustanovení Dohody. Článok XIV Rozhodné právo a voľba súdnej príslušnosti Zmluva sa spravuje a vykladá podľa Slovenského práva. Všetky práva a povinnosti výslovne neupravené v tejto Dohode sa riadia ustanoveniami Slovenského práva, osobitne v zmysle článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679. Všetky spory týkajúce sa tejto dohody, budú predložené všeobecných súdom Slovenskej republiky. Článok XV Mlčanlivosť Poskytovateľ a Spoločnosť potvrdzujú, že všetky skutočnosti týkajúce sa uzavretia tejto Dohody a jej obsahu sú považované za dôverné informácie oboch zmluvných strán. Tým nie je dotknutá povinnosť strán zverejniť znenie Dohody orgánom na ochranu údajov, ak je to potrebné v zmysle platného práva. Za Spoločnosť: Za Poskytovateľa Podpis:... Podpis:... Meno:... Meno: Ing. Marek Barta Funkcia:... Funkcia: Konateľ V... V Košiciach Dňa 25. 05. 2018 Dňa 25. 05. 2018 6
PRÍLOHA A k Dohode o spracúvaní osobných údajov Bezpečnostné opatrenia Poskytovateľ vykoná nasledujúce bezpečnostné opatrenia, zohľadňujúc najnovší stav techniky a vývoj nových technológií a procesov spracovania. V prípade, že Poskytovateľ zmení bezpečnostné opatrenia, Poskytovateľ bezodkladne oznámi spoločnosti písomne akúkoľvek zmenu, ktorá sa jej týka. 1. Fyzické bezpečnostné opatrenia Poskytovateľ: a. zabezpečí zariadenie obsahujúce IT infraštruktúru používanú na spracovanie a prenos dát; b. obmedzí počet osôb oprávnených na prístup k údajom, ako aj prístup oprávnených osôb k infraštruktúre IT, ktorá sa používa na spracovanie a prenos dát; c. zabezpečí nepretržitú dodávku energie do IT infraštruktúry využívanej na spracovanie údajov, najmä zabezpečením núdzových energetických systémov. 2. Softvérové bezpečnostné opatrenia Poskytovateľ zabezpečí tieto elektronické bezpečnostné opatrenia: a) zriadenie prístupu k údajom pre konkrétnych zamestnancov až po schválení ich žiadosti o prístup vedúcim zamestnancom. Bez udelenia prístupových práv nie je možný prístup k údajom; b) údaje budú chránené pred náhodným zničením alebo stratou; c) údaje zhromažďované na rôzne účely sa spracovávajú osobitne; d) heslo alebo SSH prístup, známe len osobe, ktorej je pridelené ("Používateľ"), musí obsahovať malé a veľké písmená kombinované s číslicami alebo špeciálnymi znakmi; e) pokiaľ Spoločnosť sprístupní Poskytovateľovi akékoľvek heslo alebo zriadi prístup, je zodpovednosťou Spoločnosti po zániku účelu takéhoto sprístupnenia, aby zmenila heslo, resp. aby iným spôsobom zabránila Poskytovateľovi v prístupu k Dátam; f) poverenia sa deaktivujú, ak neboli použité najmenej dvanásť (12) mesiacov (s výnimkou tých, ktoré boli schválené na účely technického riadenia); g) poverenie sa bezodkladne deaktivuje, ak osoba zodpovedná za spracovanie je vylúčená z prístupu k údajom; h) osoby poverené spracovaním musia byť poučené, aby neopustili bez dozoru a neumožnili sprístupniť dostupné elektronické zariadenia počas spracovávania osobných údajov; i) Údaje použité na autentifikáciu sú chránené účinnými kryptografickými bezpečnostnými opatreniami; j) celá dátová komunikácia v tranzite sa zašifruje pomocou moderných šifrovacích postupov; k) povinnosť zabezpečiť možnosť skontrolovať a určiť, či a kto mal prístup k údajom vloženým do systémov spracovania údajov. Záznamy musia byť k dispozícii aspoň 4 týždne; l) ak je v procese spracovania údajov alebo v akomkoľvek systéme používanom na poskytovanie služieb zistené porušenie údajov alebo bezpečnostná zraniteľnosť, spoločnosť musí byť bezodkladne informovaná o incidente a všetkých vykonaných opravných prostriedkoch. 3. Softvérové bezpečnostné opatrenia dodatočné na žiadosť Nasledovné úkony vykonáva Poskytovateľ iba na základe osobitnej žiadosti zákazníka, t.j. Spoločnosti. Úkony sú realizované v intervale, ktorý si Poskytovateľ a Spoločnosť vopred dohodnú a sú spoplatnené podľa aktuálnej hodinovej sadzby, ktorá je uvedená na webovom sídle Poskytovateľa www.bart.sk. 7
a) na základe osobitnej žiadosti zákazníka, Poskytovateľ vykonáva správu údajov prostredníctvom softvéru (vrátane operačného systému, middleware a aplikácií) s najnovšími bezpečnostnými prvkami; b) zálohovanie sa vykonáva v intervale podľa osobitnej žiadosti Spoločnosti; c) zistenie zraniteľnosti a penetračného testovania pravidelne vykonávajú nezávislé tretie strany a príslušné správy sa poskytnú spoločnosti; d) aplikácia efektívnych riešení (logických a fyzických), ktoré sú obchodným štandardom v priemysle až po čas, zabezpečenie dát z vplyvu akéhokoľvek škodlivého softvéru a vzdialeného prístupu neoprávnenými stranami alebo automatizovanými systémami: i. antivírusové programy a programy na ochranu pred škodlivým softvérom sa pravidelne aktualizujú; ii. bezpečnostné záplaty, ako aj opravy známych zraniteľností systému sa okamžite vykonajú a aktualizujú; 4. Organizačné opatrenia Poskytovateľ zaručuje, že: a) Prístup k údajom bude pridelený na základe princípu "potrebnosť oboznámenia sa"; b) obmedzí počet osôb oprávnených vykonávať činnosti súvisiace so spracovaním údajov; c) bude školiť oprávnené osoby o predpisoch o ochrane údajov, bezpečnostných opatreniach prijatých Poskytovateľom a bezpečnostných politikách implementovaných v prípade bezpečnostných núdzových situácií; d) bude mať aktualizovaný zoznam osôb oprávnených na prístup k údajom a sprístupní takýto zoznam spoločnosti na základe odôvodnenej žiadosti spoločnosti; e) údaje budú uložené s použitím opatrení zabezpečujúcich ochranu pred neoprávneným prístupom, zmenami, poškodeniami a zničením; f) údaje sa budú nevratne vymazávať v prípade výmeny hardvéru alebo opätovného použitia hardvéru; g) vylúči alebo obmedzí kopírovanie údajov (vrátane výtlačkov) a zaistí riadne ich zničenie po použití. 5. Správcovia systému Spoločnosť zaväzuje Poskytovateľa, aby správu svojho systému, technického a programového vybavenia (hardware a software) zabezpečoval prostredníctvom svojich vlastných zamestnancov, ktorí sú poučení podľa Predpisov na ochranu osobných údajov. Pokiaľ Poskytovateľ pristúpi k tomu, že pri správne systému bude spolupracovať s tretími osobami (externými spolupracovníkmi), tak sa Poskytovateľ zaväzuje určiť vybrané osoby ako "Správcu systému" nasledovne. Poskytovateľ sa podľa svojich kompetencií zaväzuje k nasledovným opatreniam (napríklad a nielen): a) dôkladne posúdi kvalifikáciu osoby, ktorej je priradená úloha správcu systému; b) individuálne vymenuje správcu systému a analyticky uvedie činnosti, ktoré správca systému vykoná, pričom uvedie príslušný profil autorizácie; c) najmenej raz ročne overí činnosť správcu systému s cieľom zistiť, či je v súlade s organizačnými, technickými a bezpečnostnými opatreniami stanovenými Predpismi o ochrane osobných údajov; 8