Smlouva o zpracování dat

Tato smlouva o zpracování dat (tato „DPA“) je uzavřena mezi Simplenet Hosting SRL („Simplenet“, „my“) a zákazníkem („Zákazník“, „vy“), společně označovaní jako „Strany“. Tato smlouva („DPA“) je součástí podmínek služby, zásad ochrany osobních údajů a dalších příslušných zásad dostupných zde .

Zákazník, který souhlasí s těmito podmínkami, vstupuje do této DPA svým vlastním jménem v rozsahu požadovaném podle platných nařízení a zákonů o ochraně osobních údajů a v rozsahu, v jakém společnost Simplenet zpracovává zákaznická data podle pokynů správce (jak je definováno v části 1). 

V průběhu poskytování služeb zákazníkovi může společnost Simplenet zpracovávat zákaznická data jménem zákazníka. Strany souhlasí s tím, že budou dodržovat následující ustanovení týkající se jakýchkoli zákaznických dat, přičemž každá bude jednat přiměřeně a v dobré víře. 

1. Definice. 

Pokud není v tomto DPA definováno jinak, mají všechny výrazy psané velkými písmeny níže uvedený význam:

„Smlouva“ znamená smluvní podmínky a další relevantní zásady oznámené na našich webových stránkách spolu s vaší objednávkou na nákup služeb a potvrzením objednávky zaslaným společností Simplenet.

„Objednávka“ znamená jakoukoli objednávku Zákazníka na nákup příslušných služeb. 

„Stránka“ znamená webovou stránku Simplenet a všechny služby, které prostřednictvím našich webových stránek nabízíme.

„Služby“ znamenají jakékoli hostingové služby, které nabízíme a které si zákazník zakoupil a které by mohly zahrnovat zpracování osobních údajů společností Simplenet.

„Partner“ znamená jakýkoli subjekt, který přímo nebo nepřímo ovládá, je ovládán nebo je pod společnou kontrolou s subjektem Simplenet. „Kontrola“ pro účely této definice znamená přímé nebo nepřímé vlastnictví nebo kontrolu nad více než 50 % hlasovacích práv subjektu.

„Další produkty“ znamenají jakékoli funkce, produkty, software, programy, doplňky, pluginy, skripty, nástroje nebo jakýkoli jiný software nebo obsah třetích stran, které nejsou součástí Služeb, ale které mohou být přístupné prostřednictvím Uživatelské oblasti Simplenet nebo Ovládacího prvku. Panel nainstalovaný zákazníkem nebo jinak pro použití Služeb.

„GDPR“ znamená obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním údajů zákazníků a o volném pohybu těchto údajů, a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

„Správce“ znamená fyzickou nebo právnickou osobu, která sama nebo společně s jinými určuje účely a prostředky zpracování zákaznických údajů;  

„Zákaznickými údaji“ se rozumí jakékoli „Osobní údaje“, které jsou poskytnuty Simplenet Zákazníkem nebo jeho jménem při používání Služeb a které jsou uloženy na Zákazníkově účtu (pro vyloučení pochybností Osobní údaje jsou součástí Zákazníkovy objednávky na nákup příslušné služby nebude považován za zákaznická data). Zákaznická data mohou mimo jiné zahrnovat zákaznická data ve smyslu stanoveném v GDPR.

„Osobní údaje“ mají význam uvedený v článku 4 GDPR. 

„Předpisy a zákony o ochraně údajů“ znamenají všechny předpisy a zákony, včetně zákonů a nařízení Evropské unie, Evropského hospodářského prostoru a jejich členských států, Švýcarska a Spojeného království, které se vztahují na Zpracování zákaznických údajů podle této DPA.

„Subjekt údajů“ znamená identifikovanou nebo identifikovatelnou osobu, ke které se zákaznické údaje vztahují.

„Datum účinnosti“ znamená, podle potřeby:

  1. 25. května 2018, pokud Zákazník provedl Objednávku (Objednávky) a přijal Smlouvy nebo se Strany dohodly na tomto DPA ve vztahu k příslušné Smlouvě jinak před tímto datem nebo k němu; nebo
  2. datum, kdy zákazník kliknutím přijal smlouvu nebo kdy se strany jinak dohodly na této DPA v souvislosti s příslušnou smlouvou, pokud je takové datum po 25. květnu 2018.

„Zpracování“ má význam uvedený v článku 4 GDPR.

„Zpracovatel“ znamená subjekt, který zpracovává zákaznická data jménem Správce.

„Simplenet“ znamená subjekt Simplenet, který je stranou tohoto DPA, jak je uvedeno v části, společnost registrovaná v Rumunsku (registrační číslo CIF: RO22199266), s adresou: Str. 22. prosince 3/B/16, 600196 Bacău, Rumunsko.

„Standardní smluvní doložky“ nebo „SCC“ znamenají standardní doložky o ochraně údajů pro přenos zákaznických údajů, jak je popsáno v článku 46, str. 2, c) GDPR, dodatek 1 k této DPA.

„Dílčí procesor“ znamená jakýkoli procesor zapojený společností Simplenet.

„Dozorový orgán“ znamená nezávislý orgán veřejné moci, který je usazen v Rumunsku na území členského státu EU podle GDPR. 

„Období“ znamená období od Data účinnosti do konce poskytování Služeb Simplenet podle příslušné Smlouvy, případně včetně jakéhokoli období, během kterého mohly být Služby pozastaveny, a jakéhokoli období po ukončení (konkrétně 60 kalendářních dnů). ), během nichž může Simplenet pokračovat v poskytování Služeb pro přechodné účely.

„Ztráty ochrany údajů“ znamenají všechny závazky, včetně: 

  1. náklady (včetně právních nákladů);
  2. nároky, požadavky, žaloby, vyrovnání, poplatky, postupy, výdaje, ztráty a škody (ať už materiální nebo nemateriální, včetně citového vypětí);
  3. v rozsahu povoleném platnými zákony:
    1. správní pokuty, penále, sankce, závazky nebo jiné nápravné prostředky uložené dozorovým úřadem pro ochranu údajů nebo jakýmkoli jiným příslušným regulačním úřadem;
    2. kompenzaci Subjektu údajů nařízenou dozorovým úřadem pro ochranu osobních údajů;
    3. přiměřené náklady na dodržování vyšetřování ze strany dozorového úřadu pro ochranu údajů nebo jakéhokoli jiného příslušného regulačního úřadu; a
  4. náklady na načtení zákaznických dat a výměnu materiálů a vybavení zákazníka, pokud dojde ke ztrátě nebo poškození, a na jakoukoli ztrátu nebo poškození zákaznických dat, včetně nákladů na opravu nebo obnovu zákaznických dat;

„E-mailová adresa pro upozornění“ znamená e-mailovou adresu uvedenou zákazníkem v části Moje podrobnosti v uživatelské oblasti pro příjem určitých upozornění od Simplenet.

2. Zpracování dat. 

2.1. Rozsah

Tato DPA platí tam, kde a pouze v rozsahu, v jakém Simplenet zpracovává Osobní údaje jménem Zákazníka v průběhu poskytování Služeb a tyto Osobní údaje podléhají zákonům Evropské unie, Evropského hospodářského prostoru a/nebo jejich členského státu na ochranu údajů. státech, Švýcarsku a/nebo Spojeném království (dále jen „zákaznická data“). 

Pokud zákazník, který souhlasí s touto DPA, je již zákazníkem, tvoří tato DPA součást Smlouvy, Zásad ochrany osobních údajů a dalších příslušných zásad a dokumentů oznámených na našich webových stránkách. V takovém případě bude subjekt Simplenet považován za smluvní stranu této DPA.

Tato DPA je účinná pouze pro zákaznický účet, pro který byla sjednána. Pokud zákazník vlastní více účtů, bude DPA sjednána pro každý jednotlivý účet samostatně.

Tato DPA je platná a právně závazná pouze pro fyzickou/právnickou osobu uvedenou na účtu v Uživatelské oblasti a pouze pro Služby zakoupené přímo od Simplenet v rámci příslušného účtu. 

Pokud subjekt zákazníka, který souhlasí s touto DPA, není stranou Objednávky ani Smlouvy, tato DPA není platná a není právně závazná. Takový subjekt by měl požádat subjekt zákazníka, který je stranou smlouvy, aby provedl tuto DPA.

Tato DPA včetně jejích příloh, s výjimkou klauzulí v Zásadách ochrany osobních údajů, bude účinná a nahradí jakékoli podmínky dříve platné pro ochranu soukromí, zpracování dat a/nebo zabezpečení dat.

2.2. Dodržování zákonů.  

Pokud se na tento DPA vztahují zákony Evropské unie o ochraně osobních údajů, každá strana splní povinnosti, které se na ni vztahují podle evropských právních předpisů o ochraně údajů, pokud jde o zpracování těchto zákaznických údajů.

2.3. Předmět a podrobnosti o zpracování údajů

2.3.1 Předmět

Simplenet bude zpracovávat zákaznická data podle potřeby pro poskytování Služeb, související technické podpory a dalších dotazů podle Smlouvy a podle dalších pokynů Zákazníka při používání Služeb.

2.3.2. Doba zpracování

S výhradou článku 11 je doba zpracování údajů Období určené v Objednávce a příslušné Smlouvě. 

2.3.3. Povaha a účel zpracování

Simplenet bude zpracovávat zákaznická data pro účely poskytování služeb a související technické podpory zákazníkovi v souladu se smlouvou, touto DPA a dalšími příslušnými zásadami.

2.3.4. Kategorie subjektů údajů

Zákazník může v průběhu používání Služeb předložit zákaznická data, jejichž rozsah určuje a řídí Zákazník podle vlastního uvážení a která mohou zahrnovat, ale bez omezení, Osobní údaje týkající se následujících kategorií subjektů údajů :

  • Zájemci, zákazníci, obchodní partneři a prodejci Zákazníka (kterými jsou fyzické a právnické osoby);
  • Zaměstnanci nebo kontaktní osoby potenciálních zákazníků, zákazníků, obchodních partnerů a prodejců Zákazníka;
  • Zaměstnanci, agenti, poradci, nezávislí pracovníci Zákazníka (kteří jsou fyzickými osobami);
  • Uživatelé Zákazníka pověření Zákazníkem k používání Služeb;
  • Jednotlivci, kteří přenášejí data prostřednictvím Služeb, včetně jednotlivců spolupracujících a komunikujících se Zákazníkem nebo koncovými uživateli Zákazníka;
  • Jednotlivci, jejichž údaje jsou společnosti Simplenet poskytovány prostřednictvím Služeb zákazníkem nebo na jeho pokyn nebo koncovými uživateli zákazníka.

2.3.5. Kategorie osobních údajů

Zákazník může v průběhu používání Služeb předložit zákaznická data, jejichž rozsah určuje a řídí zákazník podle vlastního uvážení a která mohou zahrnovat, ale bez omezení, Osobní údaje týkající se následujících kategorií Osobních údajů :

  • Jméno
  • Adresa
  • E-mailová adresa
  • Jakékoli osobní údaje týkající se fyzických osob

2.4. Role stran

Strany berou na vědomí a souhlasí s tím, že:

  1. Simplenet je zpracovatelem zákaznických dat podle evropské legislativy o ochraně osobních údajů;
  2. Zákazník je správcem nebo zpracovatelem zákaznických dat podle evropské legislativy o ochraně osobních údajů; a získala všechny souhlasy a práva nezbytná podle zákonů o ochraně údajů pro Simplenet ke zpracování zákaznických údajů a poskytování služeb v souladu se smlouvou a touto DPA.

2.5. Pokyny pro zpracování dat. 

Simplenet bude zpracovávat zákaznická data v souladu s tímto DPA, což jsou úplné a konečné pokyny zákazníka pro Simplenet v souvislosti se zpracováním zákaznických údajů. Zpracování mimo rozsah tohoto DPA (pokud existuje) vyžaduje předchozí písemnou dohodu mezi Simplenet a zákazníkem o dalších pokynech pro zpracování. Zákazník uzavřením této DPA dává společnosti Simplenet pokyn, aby zpracovávala zákaznická data pouze v souladu s platnými zákony:

  1. poskytovat Služby a související technickou a jinou podporu;
  2. na základě podnětu Zákazníka a koncových uživatelů při používání Služeb; 
  3. jak je uvedeno ve Smlouvě, Podmínkách služby, Zásadách ochrany osobních údajů a dalších příslušných zásadách upravujících poskytování Služeb a související technické a jiné podpory.

2.6. Přístup nebo použití. 

Simplenet nebude mít přístup k zákaznickým datům ani je nebude používat, s výjimkou případů, kdy je to nutné k poskytování služeb a související technické podpory zákazníkovi v souladu s DPA, smlouvou a dalšími příslušnými zásadami.

2.6.1. Zpracování zákazníka. 

Zákazník je povinen při používání Služeb zpracovávat své údaje v souladu s požadavky zákonů a nařízení o ochraně údajů, které se na něj vztahují. Zákazník nese výhradní odpovědnost za přesnost, kvalitu a zákonnost svých Údajů a za způsoby, kterými Zákazník tato Údaje získal.

2.6.2. Zpracování zákaznických dat Simplenet. 

Simplenet bude zpracovávat zákaznická data pouze jménem a v souladu s dokumentovanými pokyny zákazníka pro následující účely: 

  1. Zpracování za účelem poskytování Služeb a související technické podpory v souladu s tímto DPA a příslušnými objednávkami;
  2. Zpracování zahájené Uživateli při používání Služeb;
  3. Zpracování nezbytné pro údržbu a zlepšování Služeb.

2.6.3. Soulad Simplenet s pokyny.  

Ode dne nabytí účinnosti bude Simplenet dodržovat pokyny popsané výše v části Pokyny zákazníka, a to i s ohledem na přenosy dat, pokud právo EU nebo členského státu EU, kterému Simplenet podléhá, ​​nevyžaduje jiné zpracování zákaznických dat společností Simplenet, v takovém případě Simplenet informuje zákazníka (pokud tento zákon nezakazuje Simplenet tak učinit z důležitých důvodů veřejného zájmu) prostřednictvím webu nebo e-mailové adresy pro upozornění. 

K zákaznickým údajům mohou přistupovat a zpracovávat je Simplenet, Oprávnění uživatelé a Dílčí zpracovatelé za účelem plnění povinností vyplývajících z této DPA a příslušné Smlouvy nebo za účelem poskytování určitých služeb jménem Simplenet. Takové zpracování bude v souladu s opatřeními uvedenými v oddílech 3, 7 a příloze 2 Bezpečnostní opatření.

2.7. Práva Subjektů údajů.

2.7.1. Přístup, Oprava, Omezené zpracování, Přenositelnost.

Během příslušného období Simplenet způsobem, který je v souladu s funkčností služeb, umožní zákazníkovi přístup k zákaznickým údajům, jejich opravu a omezení zpracování, a to i prostřednictvím smazání všech nebo některých zákaznických údajů pod jeho účtem nebo vymazáním celý účet, jak je popsáno v části 2.6. (Vrácení a vymazání zákaznických dat) a prostřednictvím exportu zákaznických dat.

2.7.2. Žádosti subjektů údajů.

2.7.2.1. Odpovědnost zákazníka za požadavky. 

Pokud během příslušného Období obdrží Simplenet od Subjektu údajů žádost o uplatnění práva Subjektu údajů na přístup, právo na opravu, omezení zpracování, výmaz („právo být zapomenut“), přenositelnost údajů, vznést námitku proti zpracování, popř. své právo nebýt předmětem automatizovaného individuálního rozhodování („žádost subjektu údajů“), Simplenet doporučí subjektu údajů, aby předložil svou žádost zákazníkovi, a zákazník bude odpovědný za odpověď na jakoukoli takovou žádost včetně, je-li to nutné, používáním funkcí Služeb. Simplenet v rozsahu povoleném zákonem podnikne obchodně přiměřené kroky, aby zákazníka o takových požadavcích informoval.

2.7.2.2. Simplenet Data Subject Request Assistance.  

S přihlédnutím k povaze Zpracování Zákazník souhlasí s tím, že Simplenet poskytne vhodnou technickou a organizační pomoc, pokud je to možné, pro splnění povinnosti Zákazníka reagovat na požadavky Subjektů údajů, včetně případné povinnosti Zákazníka odpovídat na požadavky pro výkon práv subjektu údajů stanovených v kapitole III GDPR, a to tak, že:

(a) poskytování zdrojů dokumentace ve formě výukových programů a článků znalostní báze, funkcí a/nebo ovládacích prvků v ovládacím panelu, které se zákazník může rozhodnout použít ke správné konfiguraci služeb a bezpečnému používání služeb.

(b) poskytování funkcí, funkcí a/nebo ovládacích prvků v ovládacím panelu, které se zákazník může rozhodnout použít k načtení, opravě nebo odstranění zákaznických dat ze služeb.

c) dodržování závazků stanovených v tomto DPA.

(d) V rozsahu, v jakém zákazník při používání Služeb nemá schopnost řešit požadavek subjektu údajů, společnost Simplenet na žádost zákazníka vynaloží obchodně přiměřené úsilí, aby pomohla zákazníkovi odpovědět na takový požadavek subjektu údajů, a to v rozsahu Simplenet to má ze zákona povoleno a odpověď na takovou žádost subjektu údajů je vyžadována podle zákonů a nařízení o ochraně údajů. V rozsahu, v jakém to zákon povoluje, bude zákazník odpovědný za veškeré náklady vyplývající z poskytování takové pomoci ze strany Simplenet.

Zákazník pokryje přiměřené náklady Simplenetu na poskytnutí pomoci podle bodu 2.7.2.2.

2.8. Vrácení a mazání zákaznických dat.

Simplenet umožní zákazníkovi vymazat zákaznická data během příslušného období způsobem, který je v souladu s funkčností služeb a funkcemi podle příslušné objednávky. Pokud zákazník používá služby k načtení nebo odstranění zákaznických dat a zákaznická data nelze obnovit, bude to představovat pokyn společnosti Simplenet, aby vymazal příslušná zákaznická data archivovaná na záložních systémech v souladu s platnými zákony a maximálně do 60 kalendářních dnů. dní.  

Deaktivace Služeb nebo vypršení příslušného období bude představovat pokyn společnosti Simplenet, aby vymazal zákaznická data a příslušná zákaznická data archivovaná na záložních systémech během maximálně 60 kalendářních dnů. 

Nic v této části 2.8 nemění ani nemění jakoukoli povinnost společnosti Simplenet uchovávat některá nebo všechna zákaznická data, jak je to nezbytné pro dodržení zákona nebo platného a závazného příkazu orgánu činného v trestním řízení (jako je předvolání nebo soudní příkaz). 

2.9. Zveřejnění. 

Simplenet nezveřejní zákaznická data žádné vládě, donucovacím orgánům a jiným orgánům, s výjimkou případů, kdy je to nutné k dodržení zákona nebo platného a závazného příkazu donucovacího orgánu (jako je předvolání nebo soudní příkaz).  

2.10. Personál Simplenetu. 

Simplenet omezuje své zaměstnance ve zpracování zákaznických dat bez povolení Simplenet. Přístup k zákaznickým údajům je omezen na osoby vykonávající roli a povinnosti v souladu se smlouvou.

Simplenet ukládá svým zaměstnancům příslušné smluvní závazky, včetně příslušných povinností týkajících se důvěrnosti, ochrany údajů a zabezpečení údajů. Simplenet zajišťuje, že tyto povinnosti důvěrnosti přetrvají i po ukončení pracovního poměru.

2.11. Pověřenec pro ochranu osobních údajů.

Společnost Simplenet jmenovala pro účely této DPA a Zásad ochrany osobních údajů pověřence pro ochranu osobních údajů, kterého lze kontaktovat na adrese contact@staging.simplenet.site.

3. Dílčí zpracovatelé.

3.1. Souhlas se zapojením dílčího zpracovatele / jmenováním dílčích zpracovatelů 

Zákazník bere na vědomí a souhlasí s tím, že: 

(a) Partneři Simplenet mohou být ponecháni jako dílčí zpracovatelé; a 

(b) Partneři Simplenet a Simplenet mohou v souvislosti s poskytováním Služeb najmout dílčí zpracovatele. Společnost Simplenet uzavřela s každým dílčím zpracovatelem písemnou smlouvu obsahující povinnosti týkající se ochrany údajů, které nebudou méně chránit než povinnosti uvedené v tomto DPA s ohledem na ochranu zákaznických dat v rozsahu použitelném pro povahu služeb poskytovaných takovými dílčími zpracovateli. Pokud Zákazník uzavřel Standardní smluvní doložky (Příloha 1), jak je popsáno v části 5 (Přenosy dat mimo EHP), budou výše uvedená oprávnění představovat předchozí písemný souhlas Zákazníka se subdodávkou zpracování Zákaznických dat společností Simplenet, pokud takový souhlas je vyžadováno podle Standardních smluvních doložek.

3.2. Informace o dílčích zpracovatelích/ Oznámení o nových dílčích zpracovatelích.

3.2.1. Simplenet bude sdílet informace o vás s dílčími zpracovateli, jako jsou dílčí zpracovatelé/zpracovatelé, kteří se zabývají poskytováním služeb podle vaší smlouvy a kteří sídlí na území Evropské unie a Spojených států, poskytovatelé služeb datových center, kteří jsou se sídlem na území Evropské unie, Spojených států amerických, Austrálie a Singapuru. Tito dílčí zpracovatelé budou zpracovávat poskytnuté údaje podle pokynů společnosti Simplenet a v souladu s našimi zásadami ochrany osobních údajů a tímto DPA. Nepovolujeme dílčím zpracovatelům uchovávat, sdílet, uchovávat nebo používat vaše osobně identifikovatelné informace pro jakékoli sekundární účely. 

3.2.2. Když se na zpracování jakýchkoli zákaznických údajů v souvislosti s poskytováním příslušných služeb během příslušného období této DPA zapojí nový subzpracovatel třetí strany, společnost Simplenet bude zákazníka o tomto zapojení informovat, včetně kategorie a umístění příslušného dílčího zpracovatele. -zpracovatel a činnosti, které bude provádět, alespoň 10 kalendářních dnů před autorizací nového dílčího zpracovatele třetí strany, a to buď zasláním e-mailu na e-mailovou adresu pro upozornění nebo prostřednictvím uživatelské oblasti.

3.3. Požadavky na zapojení dílčího zpracovatele.

Při zapojení jakéhokoli dílčího zpracovatele musí Simplenet:

a) zajistit prostřednictvím písemné smlouvy, že:

(i) Dílčí zpracovatel přistupuje k zákaznickým údajům a používá je pouze v rozsahu požadovaném k plnění závazků, které mu byly sjednány subdodavatelsky, a činí tak v souladu s příslušnou smlouvou (včetně tohoto dodatku o zpracování údajů) a všemi uzavřenými standardními smluvními ustanoveními nebo alternativními ustanoveními Řešení přenosu přijaté Simplenet, jak je popsáno v části 5 (Přenosy dat mimo EHP); a

(ii) pokud se GDPR vztahuje na zpracování zákaznických údajů Zákazníka, jsou povinnosti ochrany údajů stanovené v čl. 28 odst. 3 GDPR, jak jsou popsány v tomto dodatku o zpracování údajů, uloženy dílčímu zpracovateli; a

(b) zůstane plně odpovědný za všechny závazky, které jsou s ní smluvně sjednány, a za všechny činy a opomenutí subdodavatele.

3.4. Námitkové právo pro nové dílčí zpracovatele. 

3.4.1. Zákazník může vznést námitku proti jakémukoli novému dílčímu zpracovateli třetí strany tím, že okamžitě po písemném oznámení společnosti Simplenet ukončí příslušnou smlouvu, za podmínky, že zákazník takové upozornění poskytne do 10 kalendářních dnů od okamžiku, kdy byl informován o zapojení dílčího zpracovatele. Toto právo na ukončení je jediným a výhradním opravným prostředkem zákazníka, pokud zákazník vznese námitky vůči jakémukoli novému dílčímu zpracovateli třetí strany.

3.4.2. Simplenet vrátí zákazníkovi veškeré předplacené poplatky pokrývající zbytek období takové objednávky (příkazů) po datu účinnosti ukončení s ohledem na takto ukončené služby, aniž by zákazníkovi uložila pokutu za takové ukončení.

4. Posouzení dopadů, konzultace. Skladování. 

4.1. Posouzení dopadů a konzultace. 

Na žádost Zákazníka poskytne Simplenet Zákazníkovi přiměřenou součinnost a pomoc potřebnou ke splnění povinnosti Zákazníka podle GDPR provést posouzení vlivu na ochranu údajů související s používáním Služeb Zákazníkem, a to v rozsahu, v jakém Zákazník jinak nemá přístup k příslušné informace a v rozsahu, v jakém jsou tyto informace společnosti Simplenet dostupné. Simplenet poskytne zákazníkovi přiměřenou pomoc ve spolupráci nebo předchozí konzultaci s dozorovým úřadem při plnění jeho úkolů souvisejících s touto DPA, v rozsahu požadovaném podle GDPR.

5. Převody mimo EHP.

5.1. Datové centrum a úložiště

Simplenet uchovává a zpracovává zákaznická data v datových centrech umístěných v Evropské unii i mimo ni. Informace o umístění našich datových center jsou dostupné v databázi znalostí a Simplenet si vyhrazuje právo je čas od času aktualizovat.

Zákazník může určit umístění datového centra, kde budou jeho zákaznická data uložena. Zákazník souhlasí s tím, že Simplenet může změnit umístění datových center a přesunout zákaznická data do jiného datového centra. Simplenet informuje zákazníka alespoň 10 kalendářních dnů před přesunem zákaznických dat do nového datového centra, a to buď zasláním e-mailu na e-mailovou adresu pro upozornění, nebo prostřednictvím uživatelské oblasti. Pokud změna Datového centra povede k ukládání zákaznických dat pod jinou jurisdikcí, může Zákazník vznést námitku proti takové změně okamžitým ukončením smlouvy a po písemném oznámení společnosti Simplenet za podmínky, že Zákazník takové upozornění poskytne do 10 kalendářních dnů od být informován o změně datového centra.

Zákazník může svůj účet a zákaznická data kdykoli přesunout na jiné místo v datovém centru, pokud to funkčnost Služeb umožňuje, a výměnou za dodatečné poplatky. Jakmile si zákazník vybere a určí umístění datového centra v rámci Evropské unie, nebude Simplenet ukládat zákaznická data mimo hranice Evropské unie s výjimkou případů, kdy je to nutné k dodržení zákona nebo platného a závazného příkazu orgánu činného v trestním řízení (např. jako předvolání nebo soudní příkaz).

5.2. Místa zpracování

V rozsahu, v jakém Zákazník určil datové centrum mimo Evropský hospodářský prostor a v rozsahu, v jakém Simplenet poskytuje Služby a související technickou a jinou podporu, Zákazník souhlasí s tím, že Simplenet může v souladu s článkem 5 přistupovat a zpracovávat Zákaznická data v EHP, Spojené státy americké a jakékoli další země, kde má společnost Simplenet a/nebo její partneři a dílčí zpracovatelé datová centra, zařízení nebo provozuje operace zpracování dat. Pokud ukládání a/nebo zpracování zákaznických údajů zahrnuje zpracování zákaznických údajů mimo EHP a platí evropská legislativa na ochranu údajů, zákazník souhlasí s tím, že Simplenet přiměřeně vyžaduje, aby zákazník uzavřel vzorové smluvní doložky ve vztahu k takovým přenosům v souladu s s bodem 5.2 a dodatkem 1 a zákazník s tím souhlasí.

5.3. Přenosový mechanismus

V rozsahu, v jakém Simplenet zpracovává nebo přenáší (přímo nebo prostřednictvím dalšího přenosu) zákaznická data podle této DPA z Evropské unie, Evropského hospodářského prostoru a/nebo jejich členských států a Švýcarska do zemí nebo do zemí, které nezajišťují odpovídající úroveň ochrany údajů ve smyslu platných zákonů o ochraně údajů výše uvedených území se strany dohodly, že:

  1. Na přenášená zákaznická data se budou vztahovat Standardní smluvní doložky (Příloha 1).
  2. Má se za to, že Simplenet poskytuje vhodné záruky na ochranu zákaznických dat prostřednictvím zpřístupnění standardních smluvních doložek (příloha 1) jako mechanismu přenosu.
  3. Zákazník tímto povoluje jakýkoli přenos nebo přístup k zákaznickým údajům z takových destinací mimo Evropský hospodářský prostor v souladu s kterýmkoli z výše uvedených opatření;

6. Zpracování záznamů.

Zákazník bere na vědomí, že Simplenet je podle GDPR vyžadován pro:

a) shromažďovat a uchovávat záznamy o určitých informacích, včetně jména a kontaktních údajů každého zpracovatele a/nebo správce, jehož jménem Simplenet jedná, a případně místního zástupce takového zpracovatele nebo správce a pověřence pro ochranu údajů; a 

b) zpřístupní tyto informace orgánům dozoru. V souladu s tím, pokud se GDPR vztahuje na zpracování zákaznických údajů, zákazník na požádání poskytne takové informace společnosti Simplenet prostřednictvím stránek nebo jiných prostředků poskytovaných společností Simplenet a použije stránky nebo takové jiné prostředky, aby zajistil, že všechny poskytnuté informace je udržováno přesné a aktuální.

7. Bezpečnostní odpovědnost Simplenetu.

7.1. Simplenet zavede a bude udržovat technická a organizační opatření na ochranu zákaznických dat před náhodným nebo nezákonným zničením, ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, jak je popsáno v Příloze 2 („Bezpečnostní opatření“). Jak je popsáno v Příloze 2, Bezpečnostní opatření zahrnují opatření k zajištění šifrovaného přenosu zákaznických dat mimo prostředí Služby; pomoci zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb Simplenet; pomoci obnovit včasný přístup k zákaznickým datům z dostupné záložní kopie poskytované buď službou Simplenet Backup Services nebo vlastní záložní kopií zákazníka po incidentu; a pro pravidelné testování účinnosti. Simplenet může čas od času aktualizovat nebo upravit Bezpečnostní opatření za předpokladu, že takové aktualizace a úpravy nepovedou ke snížení celkového zabezpečení Služeb.

7.2. Odpovědnost a hodnocení bezpečnosti zákazníka.

Zákazník souhlasí s tím, aniž by byly dotčeny povinnosti společnosti Simplenet podle oddílu 7. (Odpovědnost společnosti Simplenet za bezpečnost) a dalších příslušných oddílů tohoto DPA: 

  1. Zákazník je výhradně odpovědný za své používání Služeb, včetně:
    1. náležitým používáním Služeb k zajištění úrovně zabezpečení odpovídající riziku ve vztahu k Zákaznickým údajům;
    2. zabezpečení přihlašovacích údajů, systémů a zařízení k ověření účtu, které zákazník používá k přístupu ke Službám; 
    3. zajištění toho, že všechny programy, skripty, doplňky, pluginy a další software nainstalovaný na účtu jsou bezpečné a jejich používání nepředstavuje žádné bezpečnostní riziko, pokud jde o zákaznická data a samotný účet;
    4. zabezpečení všech nainstalovaných programů, skriptů, addonů, pluginů a dalšího softwaru, jejich konfigurace a jejich pravidelná údržba;
    5. jakýkoli obsah účtu;  
    6. jakékoli akce a aktivity na účtu; a
    7. zálohování jejich zákaznických dat; a
  2. Simplenet nemá žádnou povinnost chránit zákaznická data, která se zákazník rozhodne uložit nebo přenést mimo systémy společnosti Simplenet a jejích dílčích zpracovatelů (například offline nebo místní úložiště), ani chránit zákaznická data implementací nebo udržováním dalších bezpečnostních kontrol. s výjimkou rozsahu, v jakém se je zákazník rozhodl používat.
  3. Zákazník je výhradně odpovědný za kontrolu dokumentace a vyhodnocení, zda Služby, Bezpečnostní opatření, závazky Simplenet podle tohoto oddílu a následujících splňují potřeby zákazníka, včetně jakýchkoli bezpečnostních povinností zákazníka podle evropské legislativy na ochranu údajů a/nebo ne Evropská legislativa na ochranu údajů, podle potřeby.
  4. Zákazník bere na vědomí a souhlasí s tím, že (s přihlédnutím k nákladům na implementaci a povaze, rozsahu, kontextu a účelu zpracování údajů Zákazníka, jakož i k rizikům pro fyzické osoby) jsou bezpečnostní opatření implementovaná a udržovaná Simplenet, jak je uvedeno v části 7.1. . poskytovat potřebnou úroveň zabezpečení odpovídající riziku ve vztahu k zákaznickým údajům.
  5. Zákazník je odpovědný za zálohování zákaznických dat a všech dat a souhlasu uložených v účtu, aby se zabránilo potenciální ztrátě dat.
    1. Služby zálohování Simplenet jsou poskytovány „tak, jak jsou“ a podléhají všem omezením odpovědnosti stanoveným v příslušné smlouvě.
    2. I když si zákazník zakoupí zálohovací služby, souhlasí s tím, že bude udržovat vlastní sadu záloh nezávisle na těch, které spravuje Simplenet, a že jedinou povinností Simplenet je obnovit prostor účtu do provozního stavu. V případě incidentu, selhání hardwaru nebo softwaru nebo jakéhokoli náhodného poškození nebo ztráty dat může společnost Simplenet poskytnout pomoc, ale je výhradní povinností zákazníka obnovit zákaznická data.  
    3. V případě částečné nebo úplné ztráty nebo poškození dat a v případě, že zákazník není spokojen s výsledkem obnovení pomocí zálohovacích služeb Simplenet nebo záložní kopie Simplenet není aktuální nebo vhodná pro obnovení, je zákazník povinen obnovit zákaznická data, jejich soubory a jakákoli data v rámci účtu z vlastní zálohy zákazníka.

8. Kontrola a audity souladu.

Pokud se na zpracování zákaznických údajů vztahuje evropská legislativa na ochranu osobních údajů:

  1. Zákazník má právo ověřit, zda Simplenet dodržuje své povinnosti podle této DPA, provedením přezkumu dokumentace nebo auditu, včetně kontrol, provedeného Zákazníkem nebo nezávislým auditorem jmenovaným Zákazníkem, a to tak, že předloží společnosti Simplenet konkrétní požadavek v písemnou formou na adresu uvedenou v příslušných smluvních podmínkách. 
  2. Simplenet dále poskytne písemné odpovědi na všechny přiměřené požadavky zákazníka a může účtovat poplatek za jakoukoli kontrolu nebo audit. Simplenet poskytne podrobnosti o všech příslušných poplatcích předem před jakýmkoli takovým auditem a zákazník bude odpovědný za jakékoli poplatky účtované kterýmkoli auditorem a jakékoli poplatky spojené s provedením auditu. Zprávy o každém takovém auditu budou zpřístupněny Simplenetu bez omezení účelů pro jejich další použití Simplenetem.
  3. Simplenet může vznést námitku a písemně odmítnout vůči zákazníkovi nebo auditorovi jmenovanému zákazníkem k provedení jakéhokoli auditu, pokud zákazník nebo auditor podle rozumného názoru společnosti Simplenet není dostatečně kvalifikovaný nebo nezávislý, je konkurentem společnosti Simplenet nebo je jinak zjevně nevhodný.
  4. Pokud Simplenet odmítne splnit jakýkoli pokyn požadovaný zákazníkem nebo auditorem ohledně řádně požadovaného auditu nebo kontroly v rozsahu, je zákazník oprávněn ukončit tuto DPA a podmínky služby.

Nic v této části 8 (Kontrola a audity souladu) nemění ani neupravuje jakákoli práva nebo povinnosti zákazníka nebo Simplenet podle jakýchkoli vzorových smluvních klauzulí uzavřených, jak je popsáno v části 5 (Přenosy dat mimo EHP).

9. Upozornění na porušení zabezpečení. 

9.1. Simplenet dodržuje zásady a postupy řízení bezpečnostních incidentů a informuje zákazníka bez zbytečného odkladu poté, co se dozví o náhodném nebo nezákonném zničení, ztrátě, změně, neoprávněném zveřejnění nebo přístupu k zákaznickým údajům, včetně zákaznických údajů přenášených, uložených nebo jinak zpracovávaných Simplenet nebo jeho Dílčí zpracovatelé, o kterých se Simplenet dozví („Incident údajů o zákaznících“). Simplenet vynaloží přiměřené úsilí, aby identifikoval příčinu takového incidentu zákaznických dat, a podnikne kroky, které Simplenet považuje za nezbytné a přiměřené, aby napravil příčinu takového incidentu zákaznických dat v rozsahu, v jakém je náprava v rozumné míře kontroly Simplenet. Povinnosti zde uvedené se nevztahují na incidenty, které jsou způsobeny Zákazníkem, Zákazníkovým používáním Služeb, Zákazníkovými akcemi nebo aktivitami nebo Zákazníkovými uživateli.

9.2. Oznámení učiněná podle tohoto oddílu budou v co největší možné míře popisovat podrobnosti o datovém incidentu, včetně kroků přijatých ke zmírnění potenciálních rizik a kroků, které Simplenet doporučuje zákazníkovi podniknout k řešení datového incidentu. 

9.3. Oznámení o jakémkoli datovém incidentu (případech) budou doručena na e-mailovou adresu pro oznámení nebo podle uvážení Simplenet přímou komunikací (například telefonátem). Zákazník je výhradně odpovědný za to, že e-mailová adresa pro upozornění a kontaktní údaje jsou aktuální a platné.

9.4. Simplenet nebude hodnotit obsah zákaznických dat za účelem identifikace informací, na které se vztahují jakékoli konkrétní právní požadavky. Zákazník je výhradně odpovědný za dodržování zákonů týkajících se oznamování incidentů, které se vztahují na zákazníka, a za splnění všech oznamovacích povinností třetích stran souvisejících s jakýmkoli datovým incidentem (y).

9.5. Oznámení společnosti Simplenet nebo odpověď na datový incident podle tohoto článku 10 nelze vykládat jako potvrzení společnosti Simplenet o jakékoli chybě nebo odpovědnosti s ohledem na datový incident.

10. Odpovědnost a odškodnění.

10.1. Zákazník odškodní a bude odškodnit Simplenet s ohledem na všechna porušení ochrany údajů a ztráty, které utrpí nebo vznikly, vyplývající z nebo v souvislosti s:

(a) jakékoli nedodržení zákonů a předpisů o ochraně údajů ze strany zákazníka;

(b) jakékoli porušení povinností zákazníka v oblasti ochrany údajů podle této smlouvy; 

10.2. Simplenet bude odpovědný za porušení ochrany dat a ztráty způsobené zpracováním zákaznických dat pouze v rozsahu přímo vyplývajícím z toho, že Simplenet neplní své povinnosti jako zpracovatel dat podle zákonů a nařízení o ochraně dat.

11. Ukončení

Tato DPA vstoupí v platnost ode dne účinnosti do konce poskytování Služeb Simplenet podle příslušné smlouvy, včetně případné doby, během níž mohly být Služby pozastaveny, a doby po ukončení (konkrétně 60 kalendářních dnů). během kterého může Simplenet pokračovat v poskytování Služeb pro přechodné účely (dále jen „období“). Platnost DPA automaticky vyprší po smazání všech zákaznických dat společností Simplenet.

V rozsahu jakéhokoli rozporu nebo nesouladu mezi podmínkami této DPA a zbytkem příslušné smlouvy týkající se zpracování zákaznických údajů se budou řídit podmínkami této DPA. S výhradou případných změn v této DPA zůstává tato dohoda v plné platnosti a účinnosti. Pro upřesnění, pokud zákazník uzavřel více než jednu smlouvu, tato DPA upraví každou ze smluv samostatně.

Příloha 1

STANDARDNÍ SMLUVNÍ DOLOŽKY (ZPRACOVATELÉ)

Pro účely čl. 26 odst. 2 směrnice 95/46/ES o předávání osobních údajů zpracovatelům usazeným ve třetích zemích, kteří nezajišťují odpovídající úroveň ochrany údajů

Subjekt označený jako „Zákazník“ ve Smlouvě o zpracování dat 

(exportér dat)

A

Simplenet Hosting SRL

(importér dat)

každý „strana“; společně „strany“,

SE DOHODLI na následujících smluvních doložkách (doložky) za účelem poskytnutí odpovídajících záruk s ohledem na ochranu soukromí a základních práv a svobod jednotlivců pro předávání osobních údajů uvedených v příloze 1 vývozcem údajů dovozci údajů .

Ustanovení 1

Definice

Pro účely doložek:

a) „osobní údaje“, „zvláštní kategorie údajů“, „zpracování/zpracování“, „správce“, „zpracovatel“, „subjekt údajů“ a „dozorový orgán“ mají stejný význam jako ve směrnici 95/46/; ES Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů;

b) „vývozcem údajů“ se rozumí správce, který předává osobní údaje;

c) „dovozcem údajů“ zpracovatel, který souhlasí s tím, že od vývozce údajů obdrží osobní údaje určené ke zpracování jeho jménem po předání v souladu s jeho pokyny a podmínkami doložek, a na který se nevztahují požadavky třetích zemí; systém zajišťující přiměřenou ochranu ve smyslu čl. 25 odst. 1 směrnice 95/46/ES;

d) „dílčím zpracovatelem“ rozumí jakýkoli zpracovatel najatý dovozcem údajů nebo kterýmkoli jiným dílčím zpracovatelem dovozce údajů, který souhlasí s tím, že od dovozce údajů nebo od jakéhokoli jiného dílčího zpracovatele dovozce údajů obdrží výhradně osobní údaje; určené pro činnosti zpracování, které mají být provedeny jménem vývozce údajů po předání v souladu s jeho pokyny, podmínkami doložek a podmínkami písemné subdodávky;

e) „použitelnými právními předpisy na ochranu údajů“ právní předpisy na ochranu základních práv a svobod fyzických osob, a zejména jejich práva na soukromí v souvislosti se zpracováním osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je zřízen vývozce údajů;

f) „technickými a organizačními bezpečnostními opatřeními“ opatření zaměřená na ochranu osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů po síti, a před všechny další nezákonné formy zpracování.

Ustanovení 2

Podrobnosti o převodu

Podrobnosti o předání, a zejména zvláštní kategorie osobních údajů tam, kde je to vhodné, jsou uvedeny v příloze 1, která tvoří nedílnou součást doložek.

Ustanovení 3

Doložka o oprávněné třetí straně

1. Subjekt údajů může vůči vývozci údajů vymáhat tento článek, článek 4(b) až (i), článek 5(a) až (e) a (g) až (j), článek 6(1) a ( 2), článek 7, článek 8(2) a články 9 až 12 jako oprávněná třetí strana.

2. Subjekt údajů může vůči dovozci údajů vymáhat tento článek, článek 5(a) až (e) a (g), článek 6, článek 7, článek 8(2) a články 9 až 12, v případech, kdy vývozce údajů fakticky zanikl nebo ze zákona zanikl, pokud jakýkoli nástupnický subjekt nepřevzal smluvně nebo ze zákona veškeré právní povinnosti vývozce údajů, v důsledku čehož přebírá práva a povinnosti vývozce údajů, v takovém případě je může subjekt údajů vůči takovému subjektu vymáhat.

3. Subjekt údajů může vůči dílčímu zpracovateli vymáhat tento článek, článek 5(a) až (e) a (g), článek 6, článek 7, článek 8(2) a články 9 až 12, v případech, kdy jak vývozce údajů, tak dovozce údajů fakticky zanikli nebo ze zákona přestali existovat nebo se dostali do platební neschopnosti, pokud jakýkoli nástupnický subjekt nepřevzal veškeré právní povinnosti vývozce údajů smluvně nebo ze zákona jako v důsledku čehož přebírá práva a povinnosti vývozce údajů, přičemž v takovém případě je subjekt údajů může vůči takovému subjektu vymáhat. Tato odpovědnost dílčího zpracovatele vůči třetím stranám bude omezena na jeho vlastní zpracovatelské operace podle článků.

4. Strany nemají námitky proti tomu, aby byl subjekt údajů zastupován sdružením nebo jiným orgánem, pokud si to subjekt údajů výslovně přeje a pokud to umožňují vnitrostátní právní předpisy.

Ustanovení 4

Povinnosti exportéra dat

Exportér údajů souhlasí a zaručuje:

a) že zpracování osobních údajů, včetně samotného předání, bylo a nadále bude prováděno v souladu s příslušnými ustanoveními platného zákona o ochraně údajů (a případně bylo oznámeno příslušným orgánům členského státu, kde je vývozce údajů usazen) a neporušuje příslušná ustanovení tohoto státu;

b) že dal pokyn a po celou dobu trvání služeb zpracování osobních údajů bude nařizovat dovozci údajů, aby zpracovával předané osobní údaje pouze jménem vývozce údajů a v souladu s platnými právními předpisy o ochraně údajů a doložkami;

c) že dovozce údajů poskytne dostatečné záruky, pokud jde o technická a organizační bezpečnostní opatření uvedená v dodatku 2 k této smlouvě;

d) že po posouzení požadavků platných právních předpisů na ochranu údajů jsou bezpečnostní opatření vhodná k ochraně osobních údajů před náhodným nebo nezákonným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů po síti a proti všem dalším nezákonným formám zpracování a že tato opatření zajišťují úroveň zabezpečení odpovídající rizikům, která zpracování představuje, a povaze údajů, které mají být chráněny, s ohledem na současný stav techniky a náklady na jejich realizaci;

e) že zajistí dodržování bezpečnostních opatření;

f) že, pokud se předávání týká zvláštních kategorií údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve po předání, že jeho údaje by mohly být předány do třetí země, která neposkytuje přiměřenou ochranu v rámci ve smyslu směrnice 95/46/ES;

g) předat jakékoli oznámení obdržené od dovozce údajů nebo jakéhokoli dílčího zpracovatele podle ustanovení 5 písm. b) a článku 8 odst. 3 orgánu dozoru nad ochranou údajů, pokud se vývozce údajů rozhodne pokračovat v předávání nebo zrušit pozastavení ;

h) na požádání zpřístupnit subjektům údajů kopii doložek, s výjimkou Dodatku 2, a souhrnný popis bezpečnostních opatření, jakož i kopii jakékoli smlouvy o službách dílčího zpracování, která musí být provedeny v souladu s doložkami, pokud doložky nebo smlouva neobsahují obchodní informace, v takovém případě může takové obchodní informace odstranit;

i) že v případě dílčího zpracování je činnost zpracování prováděna v souladu s článkem 11 dílčím zpracovatelem poskytujícím alespoň stejnou úroveň ochrany osobních údajů a práv subjektu údajů jako údaje dovozce podle doložek; a

(j) že zajistí soulad s článkem 4(a) až (i).

Ustanovení 5

Povinnosti importéra dat [1]

Dovozce údajů souhlasí a zaručuje:

a) zpracovávat osobní údaje pouze jménem vývozce údajů a v souladu s jeho pokyny a doložkami; pokud nemůže z jakýchkoli důvodů zajistit soulad, souhlasí s tím, že bude neprodleně informovat vývozce údajů o své neschopnosti vyhovět, v takovém případě je vývozce údajů oprávněn pozastavit přenos údajů a/nebo ukončit smlouvu;

b) že nemá důvod se domnívat, že jí platné právní předpisy brání v plnění pokynů obdržených od vývozce údajů a jejích závazků vyplývajících ze smlouvy, a že v případě změny těchto právních předpisů, která pravděpodobně bude mít podstatný nepříznivý dopad na záruky a povinnosti stanovené v doložkách, neprodleně oznámí změnu vývozci údajů, jakmile se o tom dozví, v takovém případě je vývozce údajů oprávněn pozastavit přenos údajů a/nebo ukončit smlouvu ;

c) že před zpracováním předávaných osobních údajů zavedl technická a organizační bezpečnostní opatření uvedená v dodatku 2;

d) že neprodleně uvědomí vývozce údajů o:

(i) jakákoli právně závazná žádost o zpřístupnění osobních údajů ze strany orgánu činného v trestním řízení, pokud není zakázáno jinak, jako je zákaz podle trestního práva k zachování důvěrnosti vyšetřování činných v trestním řízení;

(ii) jakýkoli náhodný nebo neoprávněný přístup; a

(iii) jakékoli žádosti obdržené přímo od subjektů údajů, aniž by na tuto žádost reagovaly, pokud k tomu nebyl jinak oprávněn;

e) rychle a řádně řešit všechny dotazy vývozce údajů týkající se jeho zpracování osobních údajů, které jsou předmětem předání, a řídit se radami dozorového úřadu ohledně zpracování předávaných údajů;

f) na žádost vývozce údajů předložit svá zařízení pro zpracování údajů k auditu činností zpracování, na které se vztahují doložky, který provede vývozce údajů nebo kontrolní orgán složený z nezávislých členů, který má požadované odbornou kvalifikaci vázanou na povinnost mlčenlivosti, kterou případně vybere vývozce údajů po dohodě s dozorovým úřadem;

(g) na požádání zpřístupnit subjektu údajů kopii doložek nebo jakékoli stávající smlouvy o dílčím zpracování, pokud doložky nebo smlouva neobsahují obchodní informace, v takovém případě může takové obchodní informace odstranit, s výjimkou dodatek 2, který se nahradí souhrnným popisem bezpečnostních opatření v případech, kdy subjekt údajů nemůže získat kopii od vývozce údajů;

h) že v případě dílčího zpracování předem informoval vývozce údajů a získal jeho předchozí písemný souhlas;

(i) že služby zpracování ze strany dílčího zpracovatele budou prováděny v souladu s článkem 11;

j) neprodleně zaslat kopii jakékoli smlouvy se subdodavatelem, kterou uzavře podle doložek, vývozci údajů.

Ustanovení 6

Odpovědnost

1. Strany se dohodly, že jakýkoli subjekt údajů, který utrpěl škodu v důsledku jakéhokoli porušení povinností uvedených v článku 3 nebo v článku 11 kteroukoli stranou nebo subzpracovatelem, má nárok na náhradu od vývozce údajů za utrpěla škoda.

2. Pokud subjekt údajů není schopen vznést nárok na náhradu v souladu s odstavcem 1 vůči vývozci údajů v důsledku porušení kterékoli ze svých povinností uvedených v článku 3 nebo jeho subzpracovatelem. v článku 11, protože vývozce údajů fakticky zanikl nebo ze zákona přestal existovat nebo se stal insolventním, dovozce údajů souhlasí s tím, že subjekt údajů může uplatnit nárok vůči dovozci údajů, jako by byl vývozcem údajů, pokud jakýkoli nástupnický subjekt nepřevzal veškeré právní povinnosti vývozce údajů smlouvou nebo ze zákona, v takovém případě může subjekt údajů vymáhat svá práva vůči takovému subjektu.

Dovozce údajů se nemůže spoléhat na to, že dílčí zpracovatel poruší své povinnosti, aby se vyhnul své vlastní odpovědnosti.

3. Pokud subjekt údajů není schopen vznést nárok vůči vývozci údajů nebo dovozci údajů uvedenému v odstavcích 1 a 2 v důsledku porušení kterékoli ze svých povinností uvedených v článku 3 nebo v článku 11, protože jak vývozce údajů, tak dovozce údajů fakticky zmizeli nebo ze zákona přestali existovat nebo se dostali do platební neschopnosti, souhlasí dílčí zpracovatel s tím, že subjekt údajů může vznést nárok proti údajům subdodavatele, pokud jde o jeho vlastní operace zpracování podle doložek, jako by byl vývozcem údajů nebo dovozcem údajů, pokud jakýkoli nástupnický subjekt nepřevzal veškeré právní povinnosti vývozce údajů nebo dovozce údajů smlouvou nebo ze zákona, v takovém případě může subjekt údajů vůči takovému subjektu vymáhat svá práva. Odpovědnost dílčího zpracovatele je omezena na jeho vlastní zpracovatelské operace podle článků.

Ustanovení 7

Zprostředkování a jurisdikce

1. Dovozce údajů souhlasí s tím, že pokud se subjekt údajů dovolá vůči němu oprávněných práv třetí strany a/nebo bude požadovat náhradu škody podle doložek, bude dovozce údajů akceptovat rozhodnutí subjektu údajů:

a) postoupit spor ke zprostředkování prostřednictvím nezávislé osoby nebo případně orgánu dozoru;

b) předložit spor soudům v členském státě, ve kterém je vývozce údajů usazen.

2. Strany souhlasí s tím, že volba učiněná subjektem údajů nebude mít vliv na jeho hmotná nebo procesní práva domáhat se nápravy v souladu s jinými ustanoveními vnitrostátního nebo mezinárodního práva.

Ustanovení 8

Spolupráce s dozorovými orgány

1. Exportér údajů souhlasí s uložením kopie této smlouvy u dozorového úřadu, pokud o to požádá nebo pokud je takové uložení vyžadováno podle platných zákonů o ochraně údajů.

2. Strany se dohodly, že dozorový orgán má právo provést audit dovozce údajů a jakéhokoli dílčího zpracovatele, který má stejný rozsah působnosti a podléhá stejným podmínkám, jaké by se vztahovaly na audit vývozce údajů podle platného zákona o ochraně údajů.

3. Dovozce údajů neprodleně informuje vývozce údajů o existenci právních předpisů vztahujících se na něj nebo kteréhokoli dílčího zpracovatele, které brání provedení auditu dovozce údajů nebo jakéhokoli dílčího zpracovatele podle odstavce 2. V takovém případě vývozce údajů je oprávněn přijmout opatření uvedená v doložce 5 písm. b).

Ustanovení 9

Rozhodné právo

Doložky se řídí právem členského státu, ve kterém je vývozce údajů usazen.

Ustanovení 10

Změna smlouvy

Strany se zavazují, že nebudou měnit ani upravovat doložky. To stranám nebrání v tom, aby tam, kde je to požadováno, přidaly doložky o záležitostech souvisejících s podnikáním, pokud nejsou v rozporu s doložkou.

Ustanovení 11

Dílčí zpracování

1. Dovozce údajů nezadá žádnou ze svých operací zpracování prováděných jménem vývozce údajů podle doložek bez předchozího písemného souhlasu vývozce údajů. Pokud dovozce údajů zadá své povinnosti podle doložek se souhlasem vývozce údajů subdodavateli, učiní tak pouze prostřednictvím písemné dohody s dílčím zpracovatelem, která ukládá dílčímu zpracovateli stejné povinnosti, jaké jsou uloženy dovozce údajů podle doložek (3). Pokud dílčí zpracovatel nesplní své povinnosti v oblasti ochrany údajů podle takové písemné dohody, dovozce údajů zůstává plně odpovědný vývozci údajů za plnění povinností dílčího zpracovatele podle takové smlouvy.

2. Předchozí písemná smlouva mezi dovozcem údajů a dílčím zpracovatelem rovněž stanoví doložku o oprávněnosti třetí strany, jak je stanoveno v doložce 3 pro případy, kdy subjekt údajů není schopen uplatnit nárok na náhradu podle odstavce 1 písm. 1 článku 6 vůči vývozci údajů nebo dovozci údajů, protože fakticky zanikli nebo ze zákona přestali existovat nebo se dostali do platební neschopnosti a žádný nástupnický subjekt nepřevzal veškeré právní povinnosti vývozce údajů nebo údajů dovozce na základě smlouvy nebo ze zákona. Tato odpovědnost dílčího zpracovatele vůči třetím stranám bude omezena na jeho vlastní zpracovatelské operace podle článků.

3. Ustanovení týkající se aspektů ochrany údajů pro dílčí zpracování smlouvy uvedené v odstavci 1 se řídí právem členského státu, ve kterém je vývozce údajů usazen, konkrétně …

4. Vývozce údajů vede seznam dohod o dílčím zpracování uzavřených podle doložek a oznámených dovozcem údajů podle odst. 5 písm. j), který se aktualizuje alespoň jednou ročně. Seznam je k dispozici dozorčímu orgánu pro ochranu údajů vývozce údajů.

Ustanovení 12

Povinnost po ukončení služeb zpracování osobních údajů

1. Strany se dohodly, že při ukončení poskytování služeb zpracování údajů vrátí dovozce údajů a dílčí zpracovatel podle volby vývozce údajů veškeré předané osobní údaje a jejich kopie vývozci údajů nebo zničí všechny osobní údaje a potvrdí vývozci údajů, že tak učinil, pokud mu právní předpisy uložené dovozci údajů nebrání vrátit nebo zničit všechny předané osobní údaje nebo jejich část. V takovém případě se dovozce údajů zaručuje, že zaručí důvěrnost předávaných osobních údajů a předané osobní údaje již nebude aktivně zpracovávat.

2. Dovozce údajů a dílčí zpracovatel zaručují, že na žádost vývozce údajů a/nebo dozorového úřadu předloží svá zařízení pro zpracování údajů k auditu opatření uvedených v odstavci 1.

[1] Závazné požadavky vnitrostátních právních předpisů platných pro dovozce údajů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti na základě jednoho ze zájmů uvedených v čl. 13 odst. 1 směrnice 95/46/ES, tj. je důležitým hospodářským nebo finančním zájmem státu, pokud představují opatření nezbytná k zajištění národní bezpečnosti, obrany, veřejné bezpečnosti, předcházení, vyšetřování, odhalování a stíhání trestných činů nebo porušení etiky u regulovaných povolání. nebo ochrany subjektu údajů nebo práv a svobod jiných, nejsou v rozporu se standardními smluvními doložkami. Některé příklady takových povinných požadavků, které nepřekračují rámec toho, co je v demokratické společnosti nezbytné, jsou mimo jiné mezinárodně uznávané sankce, požadavky na podávání daňových zpráv nebo požadavky na podávání zpráv proti praní špinavých peněz.

Příloha 1 Standardních smluvních doložek

Exportér dat

Exportér dat je subjekt označený jako „Zákazník“ ve Smlouvě o zpracování dat

Importér dat

Importérem dat je Simplenet Hosting SRL

Subjekty údajů

Osobní údaje se týkají kategorií subjektů údajů definovaných v části 2.3.4. ve Smlouvě o zpracování údajů.

Kategorie dat

Osobní údaje se týkají kategorií údajů definovaných v části 2.3.5. ve Smlouvě o zpracování údajů.

Operace zpracování

Operace zpracování jsou definovány v části 2 Smlouvy o zpracování údajů.

Příloha 2 Standardních smluvních doložek

Tento dodatek tvoří součást článků. Zakoupením služeb od Simplenet a odsouhlasením smlouvy o zpracování dat se bude mít za to, že strany přijaly a provedly tento dodatek 2.

Popis technických a organizačních bezpečnostních opatření zavedených dovozcem údajů v souladu s ustanoveními 4 písm. d) a 5 písm. c) (nebo přiloženým dokumentem/právním předpisem):

Technická a organizační bezpečnostní opatření implementovaná importérem dat jsou popsána v dohodě o zpracování dat a v příloze 2 Bezpečnostní opatření.

Příloha 2

Bezpečnostní opatření

Simplenet zavádí a udržuje vhodná technická a organizační bezpečnostní opatření pro zpracování osobních údajů, včetně opatření uvedených v tomto dodatku 2 ke smlouvě o zpracování údajů. Tato opatření jsou určena k ochraně osobních údajů před náhodnou nebo neoprávněnou ztrátou, zničením, změnou, zveřejněním nebo zpřístupněním a proti všem dalším nezákonným formám zpracování. Dodatečná opatření a informace týkající se těchto opatření, včetně konkrétních bezpečnostních opatření a postupů pro konkrétní Služby objednané Zákazníkem, mohou být uvedeny ve Smlouvě.  

Simplenet může tato Bezpečnostní opatření čas od času aktualizovat nebo upravit za předpokladu, že takové aktualizace a úpravy nepovedou ke snížení celkového zabezpečení Služeb. 

Technická a organizační bezpečnostní opatření implementovaná Simplenetem jsou v souladu s články 4(c) a 5(c) Standardních smluvních ustanovení.

Personál a důvěrnost

Simplenet přijme přiměřené kroky, aby zajistil, že Simplenet nebude jmenovat žádnou osobu ke zpracování osobních údajů, pokud tato osoba:

  1. je způsobilý a kvalifikovaný k plnění konkrétních úkolů, které mu Simplenet zadal;
  2. byl autorizován Simplenet; a
  3. byl společností Simplenet poučen o požadavcích souvisejících s plněním povinností společnosti Simplenet podle těchto článků, zejména o omezeném účelu zpracování údajů.

Od zaměstnanců Simplenetu se vyžaduje, aby se chovali způsobem, který je v souladu se směrnicemi společnosti týkajícími se důvěrnosti, obchodní etiky, vhodného použití a profesionálních standardů. Simplenet provádí přiměřeně vhodné kontroly pozadí v rozsahu, který je právně přípustný a v souladu s platnými místními pracovními zákony a zákonnými předpisy. Zaměstnanci jsou povinni uzavřít smlouvu o mlčenlivosti a musí potvrdit přijetí a dodržování zásad důvěrnosti a ochrany osobních údajů společnosti Simplenet. Je jim poskytnuto školení a pracovníci, kteří nakládají s údaji o zákaznících, jsou povinni splnit další požadavky odpovídající jejich roli. 

Fyzická bezpečnost 

Simplenet využívá geograficky distribuovaná datová centra a ukládá všechna produkční data ve fyzicky zabezpečených datových centrech. Produkční datová centra Simplenet Sub-processor využívají opatření k zabezpečení přístupu k systémům zpracování dat. Mají přístupový systém, který řídí přístup do datového centra. Tento systém umožňuje přístup do zabezpečených oblastí pouze oprávněným osobám. Zařízení jsou navržena tak, aby odolala nepříznivému počasí a dalším rozumně předvídatelným přírodním podmínkám, jsou zabezpečena nepřetržitou ostrahou, CCTV monitorováním, kontrolou přístupu a eskortně řízeným přístupem a jsou také podporována místními záložními generátory v případě výpadku proudu.

Elektrické napájecí systémy datového centra jsou navrženy tak, aby byly redundantní a udržovatelné bez dopadu na nepřetržitý provoz 24 hodin denně, 7 dní v týdnu. Ve většině případů je pro komponenty kritické infrastruktury v datovém centru k dispozici primární i alternativní zdroj napájení. Záložní napájení je zajišťováno různými mechanismy, jako jsou nepřerušitelné napájecí zdroje (UPS) baterie nebo dieselové generátory, které jsou schopny zajistit nouzové elektrické napájení nebo spolehlivou ochranu napájení během výpadků sítě, výpadků proudu, přepětí, podpětí a mimo toleranci. frekvenční podmínky.

Infrastrukturní systémy byly navrženy tak, aby eliminovaly jednotlivé body selhání a minimalizovaly dopad předpokládaných environmentálních rizik. Výrobní zařízení a zařízení Simplenet Sub-processor mají zdokumentované postupy preventivní údržby, které podrobně popisují proces a frekvenci plnění v souladu s výrobcem nebo interními specifikacemi. Preventivní a nápravná údržba zařízení datového centra je plánována prostřednictvím standardního procesu změn podle zdokumentovaných postupů.

Řízení přístupu do systému

Servery Simplenet používají implementaci založenou na Linuxu přizpůsobenou pro Služby. Simplenet využívá kontrolní proces ke zvýšení bezpečnosti operačních systémů používaných k poskytování Služeb a vylepšení bezpečnostních produktů v produkčním prostředí.

Simplenet má a udržuje bezpečnostní politiku pro personál. Infrastruktura Simplenet, vývoj a pracovníci podpory jsou odpovědní za průběžné monitorování zabezpečení infrastruktury Simplenet, kontrolu Služeb a reakci na bezpečnostní incidenty.

Interní přístupové procesy a zásady Simplenet jsou navrženy tak, aby zabránily neoprávněným osobám a/nebo systémům získat přístup k systémům používaným ke zpracování údajů o zákaznících, včetně osobních údajů. Simplenet si klade za cíl navrhnout své systémy tak, aby: (i) umožňovaly přístup pouze oprávněným osobám k údajům, ke kterým mají přístup; a (ii) zajistit, aby během zpracování, použití a po zaznamenání nebylo možné osobní údaje bez oprávnění číst, kopírovat, měnit nebo odstraňovat. Simplenet využívá systém řízení přístupu k řízení přístupu personálu k produkčním serverům a poskytuje přístup pouze oprávněným pracovníkům. V závislosti na konkrétních objednaných Službách mohou být kromě jiných kontrol aplikovány následující: autentizace pomocí hesel a/nebo dvoufaktorová autentizace, SSH klíče, autorizační procesy, procesy správy změn, logický přístup do datových center je omezen a chráněn firewallem /VLAN a logování přístupu na několika úrovních. Udělení nebo úprava přístupových práv je založena na: pracovních povinnostech oprávněného personálu; požadavky na pracovní povinnosti nezbytné k plnění oprávněných úkolů; a potřeba znát základ. Udělení nebo úprava přístupových práv musí být také v souladu s interními zásadami přístupu k datům společnosti Simplenet. 

Řízení přístupu ke službám

Aby mohli zákazníci a koncoví uživatelé používat služby, musí se ověřit prostřednictvím ověřovacího systému. Každá aplikace kontroluje přihlašovací údaje, aby umožnila zobrazení dat oprávněnému koncovému uživateli.

V závislosti na konkrétních objednaných Službách lze kromě jiných ovládacích prvků použít: autentizaci pomocí hesel a/nebo dvoufaktorovou autentizaci, klíče SSH, procesy autorizace, procesy správy změn a protokolování přístupu na několika úrovních. V závislosti na konkrétních objednaných Službách mohou platit také následující kontroly: jedinečné identifikátory jsou přiřazeny odpovědné osobě, zrušit přístupové mechanismy při po sobě jdoucích neúspěšných pokusech o přihlášení a časová období uzamčení, vypršení platnosti hesla a mechanismy resetování, požadavky na složitost hesla.

Řízení přístupu k datům 

Simplenet ukládá data v prostředí s více klienty, což znamená, že nasazení více zákazníků je uloženo na stejném fyzickém hardwaru. Simplenet používá logickou izolaci k oddělení dat každého zákazníka a logicky odděluje data každého zákazníka od dat ostatních. To poskytuje rozsah a zároveň důsledně brání zákazníkům v přístupu k datům toho druhého.

Zákazník má kontrolu nad konkrétními ovládacími prvky pro sdílení přístupu k datům koncovým uživatelům pro konkrétní účely v souladu s funkcemi služeb. Zákazník se může rozhodnout využít těchto ovládacích prvků. Simplenet zpřístupňuje určité možnosti protokolování.

Přímý přístup k zákaznickým údajům je omezen a v případě, že je to vyžadováno, jsou přístupová práva zřízena a vynucována pouze řádně oprávněným zaměstnancům kromě pravidel řízení přístupu uvedených v předchozích částech. 

Ovládání převodovky

Datová centra jsou obvykle propojena vysokorychlostními privátními linkami, aby poskytovala bezpečný a rychlý přenos dat mezi datovými centry. To je navrženo tak, aby se zabránilo čtení, kopírování, pozměňování nebo odstraňování dat bez oprávnění během elektronického přenosu nebo přepravy nebo při zaznamenávání na paměťová média nebo výměně v datovém centru. 

Pro přenos dat Simplenet používá standardní přenosové protokoly, jako je SSL a TLS, mezi zařízeními zákazníka a službami Simplenet a datovými centry a v rámci samotných datových center. Není-li u Služeb (včetně v Objednávce, příslušné Smlouvě nebo Uživatelské dokumentaci Služeb) uvedeno jinak, jsou přenosy dat mimo prostředí Služby šifrovány. Některé funkce služeb mohou zákazníkovi umožnit zvolit si při používání služby nešifrovanou komunikaci. Zákazník je výhradně odpovědný za výsledky svého rozhodnutí používat takovou nešifrovanou komunikaci nebo přenosy. 

Ovládání vstupu

Zdroj Osobních údajů je pod kontrolou Zákazníka a integrace Osobních údajů do systému je řízena zabezpečeným přenosem souborů, prostřednictvím webových služeb nebo zadáváním do aplikace Zákazníkem. Jak je uvedeno v části Řízení přenosu výše, některé funkce Služeb umožňují zákazníkům používat nešifrované protokoly přenosu souborů. V takových případech je zákazník výhradně odpovědný za své rozhodnutí používat takovéto nešifrované protokoly pro přenos polí. 

Služby nezanesou do zákaznických dat žádné viry; služby však nehledají viry, které by mohly být obsaženy v přílohách nebo jiných osobních údajích nahraných do služeb zákazníkem. Žádné takto nahrané přílohy nebudou ve Službách provedeny, a proto nepoškodí ani neohrozí Službu.

Ovládání sítě

Simplenet blokuje neautorizovaný provoz do datových center a v nich pomocí různých technologií, jako jsou firewally, NAT, dělené místní sítě a fyzické oddělení back-endových serverů od veřejných rozhraní.

Simplenet využívá více vrstev síťových zařízení a detekce narušení k ochraně svého vnějšího útočného povrchu. Simplenet zvažuje potenciální vektory útoku a začleňuje vhodné účelové technologie do externích systémů.

Simplenet a autorizovaní pracovníci budou monitorovat služby z hlediska neoprávněného narušení pomocí mechanismů detekce narušení založených na síti. Detekce narušení má poskytnout přehled o probíhajících útočných aktivitách a poskytnout adekvátní informace pro reakci na incidenty. Detekce narušení Simplenet zahrnuje přísnou kontrolu povrchu síťového komunikačního útoku pomocí preventivních opatření, jako jsou firewally, použití inteligentních detekčních kontrol na vstupních bodech dat a využití technologií, které automaticky napravují určité nebezpečné situace.

Odezva na incident

Simplenet udržuje zásady a postupy pro správu bezpečnostních incidentů a monitoruje různé komunikační kanály pro bezpečnostní incidenty. Zaměstnanci Simplenet budou okamžitě reagovat na známé incidenty a budou neprodleně informovat zákazníka v případě, že Simplenet zjistí skutečné nebo důvodně podezřelé neoprávněné zveřejnění osobních údajů.

Systémové protokoly

Simplenet zajišťuje, že zpracovatelské systémy používané k ukládání informací protokolu zákaznických dat do jejich příslušného zařízení pro protokolování systému. Záznamy protokolu jsou udržovány v případě podezření na nevhodný přístup a je vyžadována analýza. Protokolování je uchováváno bezpečně, aby se zabránilo neoprávněné manipulaci.

Spolehlivost a zálohování

U služeb Simplenet zajišťuje pravidelné zálohování. Zálohy jsou zabezpečeny pomocí kombinace technických a fyzických kontrol. 

Simplenet zajišťuje, že systémy, kde jsou uložena zákaznická data, mají zařízení pro obnovu po havárii a řídí se plánem obnovy po havárii. V případě, že výrobní zařízení budou nedostupná, Simplenet provede plány obnovy, aby obnovil provoz včas. Simplenet navrhl a pravidelně plánuje a testuje své plány obnovy po havárii.

Zničení dat

Když zákazníci vymažou data nebo opustí Službu, Simplenet zajistí vymazání dat v souladu s podmínkami v příslušné smlouvě. Pro určité disky se Simplenet řídí přísnými standardy, které vyžadují přepsání úložných zdrojů před opětovným použitím a také fyzickou likvidaci vyřazeného hardwaru. Produkční datová centra Simplenet Sub-processor používají přísné postupy pro opětovné použití, přemístění, zničení dat a vyřazení disků a hardwaru z provozu.

Zabezpečení subprocesoru

Před přijetím dílčích zpracovatelů provede Simplenet audit postupů zabezpečení a ochrany soukromí dílčích zpracovatelů, aby zajistil, že dílčí zpracovatelé poskytují úroveň zabezpečení a soukromí odpovídající jejich přístupu k datům a rozsahu služeb, které poskytují. Dílčí zpracovatel je povinen uzavřít příslušné smluvní podmínky týkající se bezpečnosti, důvěrnosti a ochrany osobních údajů.

Systémové změny a vylepšení

Simplenet může vylepšovat a implementovat změny ve Službách během doby platnosti smlouvy. Bezpečnostní kontroly, postupy, zásady a funkce se mohou změnit nebo přidat. Simplenet bude poskytovat bezpečnostní kontroly, které poskytují úroveň ochrany zabezpečení, která není podstatně nižší než úroveň poskytovaná k datu účinnosti.

Příloha 3: Seznam dílčích zpracovatelů

K dispozici na vyžádání.

angličtina