Zmluva o spracúvaní údajov

Dátum účinnosti: 1. január 2025

Úvod

Táto Zmluva o spracúvaní údajov ("ZSÚ") dopĺňa Podmienky poskytovania služieb medzi RemoteOps ("Sprostredkovateľ") a predplácajúcou organizáciou ("Prevádzkovateľ"). Táto ZSÚ upravuje spracúvanie osobných údajov Sprostredkovateľom v mene Prevádzkovateľa v súvislosti s platformou RemoteOps, v súlade s článkom 28 Všeobecného nariadenia o ochrane údajov (GDPR).

Definície

"Prevádzkovateľ" je organizácia, ktorá určuje účely a prostriedky spracúvania osobných údajov prostredníctvom platformy RemoteOps. "Sprostredkovateľ" je RemoteOps, ktorý spracúva osobné údaje v mene Prevádzkovateľa. "Dotknutá osoba" je identifikovaná alebo identifikovateľná fyzická osoba, ktorej osobné údaje sú spracúvané. "Osobné údaje" sú akékoľvek informácie týkajúce sa Dotknutej osoby. "Spracúvanie" je akákoľvek operácia vykonávaná s osobnými údajmi vrátane zhromažďovania, ukladania, získavania, používania, zverejňovania a vymazávania.

Rozsah a účel spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne na účel poskytovania platformy RemoteOps na riadenie terénnych služieb Prevádzkovateľovi. Kategórie dotknutých osôb zahŕňajú zamestnancov Prevádzkovateľa, technikov, dispečerov a koncových zákazníkov. Kategórie osobných údajov zahŕňajú mená, e-mailové adresy, telefónne čísla, údaje o polohe (keď sú aktívne navigačné funkcie), históriu pracovných objednávok a metadáta hovorov.

Povinnosti sprostredkovateľa

Sprostredkovateľ: (a) spracúva osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa; (b) zabezpečí, aby osoby oprávnené spracúvať osobné údaje boli viazané povinnosťou mlčanlivosti; (c) zavedie primerané technické a organizačné bezpečnostné opatrenia; (d) nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho písomného súhlasu Prevádzkovateľa; (e) pomáha Prevádzkovateľovi pri odpovedaní na žiadosti dotknutých osôb; (f) pomáha Prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami GDPR týkajúcimi sa bezpečnosti, oznamovania porušení a posúdení vplyvu; (g) po ukončení zmluvy vymaže alebo vráti všetky osobné údaje; (h) sprístupní všetky informácie potrebné na preukázanie súladu s touto ZSÚ.

Ďalší sprostredkovatelia

Sprostredkovateľ vedie zoznam schválených ďalších sprostredkovateľov. Prevádzkovateľ udeľuje všeobecné oprávnenie Sprostredkovateľovi na zapojenie ďalších sprostredkovateľov za nasledujúcich podmienok: (a) Sprostredkovateľ informuje Prevádzkovateľa o každom zamýšľanom pridaní alebo nahradení ďalšieho sprostredkovateľa najmenej 30 dní vopred; (b) Prevádzkovateľ môže namietať voči novému ďalšiemu sprostredkovateľovi do 14 dní od oznámenia; (c) každý ďalší sprostredkovateľ je viazaný povinnosťami ochrany údajov, ktoré nie sú menej prísne než táto ZSÚ.

Práva dotknutých osôb

Sprostredkovateľ pomáha Prevádzkovateľovi pri plnení jeho povinností odpovedať na žiadosti dotknutých osôb podľa článkov 15-22 GDPR (prístup, oprava, vymazanie, prenosnosť, obmedzenie a námietka). Sprostredkovateľ bezodkladne postúpi Prevádzkovateľovi akúkoľvek žiadosť dotknutej osoby prijatú priamo.

Bezpečnostné opatrenia

Sprostredkovateľ zavádza technické a organizačné opatrenia primerané riziku vrátane: (a) šifrovania osobných údajov pri prenose (TLS 1.3) a v pokoji (AES-256); (b) izolácie údajov medzi nájomníkmi zabezpečujúcej žiadny prístup k údajom iného nájomníka; (c) riadenia prístupu na základe rolí s princípom najnižších oprávnení; (d) pravidelných bezpečnostných posúdení a skenovania zraniteľností; (e) školenia zamestnancov v oblasti bezpečnostného povedomia; (f) protokolovania prístupu a auditných stôp.

Oznamovanie porušení ochrany údajov

Sprostredkovateľ informuje Prevádzkovateľa bez zbytočného odkladu, a v každom prípade do 72 hodín, po zistení porušenia ochrany osobných údajov. Oznámenie obsahuje: (a) opis povahy porušenia; (b) kategórie a približný počet dotknutých osôb; (c) pravdepodobné dôsledky porušenia; (d) opatrenia prijaté alebo navrhované na riešenie porušenia.

Prenosy údajov

Osobné údaje sú primárne ukladané a spracúvané v rámci Európskej únie. Ak sú prenosy mimo EÚ nevyhnutné (napr. pre konkrétnych ďalších sprostredkovateľov), Sprostredkovateľ sa spolieha na Štandardné zmluvné doložky (SCC) schválené Európskou komisiou alebo iné zákonom uznané mechanizmy prenosu podľa kapitoly V GDPR.

Práva na audit

Prevádzkovateľ má právo vykonať audity alebo určiť nezávislého audítora na overenie súladu Sprostredkovateľa s touto ZSÚ. Audity vyžadujú 30-dňové predchádzajúce oznámenie a vykonávajú sa počas pracovných hodín s minimálnym narušením prevádzky. Sprostredkovateľ bude plne spolupracovať a poskytne prístup k príslušnej dokumentácii, systémom a priestorom.

Vymazanie a vrátenie údajov

Po ukončení zmluvy o službe Sprostredkovateľ podľa voľby Prevádzkovateľa vymaže alebo vráti všetky osobné údaje do 30 dní. Certifikovateľné vymazanie bude dokončené do 90 dní od ukončenia. Sprostredkovateľ môže uchovávať údaje iba v prípadoch vyžadovaných právom EÚ alebo členského štátu a informuje Prevádzkovateľa o takejto požiadavke.

Trvanie a ukončenie

Táto ZSÚ nadobúda účinnosť, keď Prevádzkovateľ začne používať platformu RemoteOps, a zostáva v platnosti po dobu, kým Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa. Povinnosti Sprostredkovateľa týkajúce sa ochrany údajov pretrvávajú aj po ukončení tejto ZSÚ.