Nazadnje posodobljeno: 28. januar 2025
Sporazum o obdelavi podatkov
Ta sporazum o obdelavi podatkov („DPA“) tvori del in je predmet pogojev, ki so na voljo na spletni strani https://servicechannel.com/terms-and-conditions („sporazum“), med družbo ServiceChannel, Inc. (v nadaljevanju „ServiceChannel“) in pogodbenikom (kot je opredeljeno v sporazumu). Stranka in ServiceChannel sta v dokumentu navedena kot „pogodbena stranka“ oz. skupaj kot „pogodbeni stranki“.
KJER
(i) sta pogodbenik in družba ServiceChannel sklenila okvirni sporazum o storitvah, v sklopu katerega bo družba ServiceChannel pogodbeniku zagotovila storitve;
(ii) bo družba ServiceChannel pri zagotavljanju storitev obdelovala vsebino pogodbenika (ki lahko vključuje osebne podatke);
(iii) pogodbeni stranki želita skleniti ta DPA, ki ureja obdelavo takšnih osebnih podatkov s strani družbe ServiceChannel, ki so vključeni v vsebini pogodbenika.
ZATO se pogodbeni stranki strinjata, kot sledi:
1. Opredelitve pojmov:
V tem sporazumu o obdelavi imajo pojmi v sporazumu naslednje pomene, ko se uporabljajo v tem dokumentu. Poleg tega imajo naslednji pojmi naslednje pomene:
(a) „administrativni podatki“ so: (i) kontaktni podatki v povezavi s korespondenco s strankinim glavnim imetnikom računa ali skrbnikom in njena vsebina, (ii) prošnje za podporo, ki so jih strankini pooblaščeni uporabniki posredovali v povezavi s storitvijo;
(b) „pridružena družba“ pomeni subjekt, katerega nadzira družba ServiceChannel, ki nadzira družbo ServiceChannel ali ki je pod skupnim nadzorom z družbo ServiceChannel;
(c) „anonimizirani podatki“ so podatki, ustvarjeni z uporabo osebnih podatkov izvajalca, ki: (i) jih ni mogoče uporabiti za sklepanje informacij o posamezniku ali kako drugače povezati z njim; (ii) se sicer ne nanašajo na določeno ali določljivo fizično osebo;
(d) „CCPA“ pomeni kalifornijski zakon o varstvu zasebnosti potrošnikov iz leta 2018 (California Consumer Privacy Act of 2018, Kalifornijski civilni zakonik (Cal. Civ. Code § 1798.100 in naslednji), vključno z izvedbenimi uredbami, in kalifornijski zakon o pravicah do zasebnosti iz leta 2020 (California Privacy Rights Act of 2020);
(e) „nameni upravljavca“ pomenijo izvajanje notranjih raziskav in razvoja za razvoj, preizkušanje, izboljševanje in spreminjanje funkcionalnosti izdelkov in storitev družbe ServiceChannel, (b) ustvarjanje anonimiziranih podatkov za namene usposabljanja ali ocenjevanja izdelkov in storitev družbe ServiceChannel, (c) upravljanje odnosa družbe ServiceChannel s pogodbenikom v skladu s sporazumom;
(f) „pogodbenik“ pomeni pogodbenika, ki je izvršil okvirni sporazum o storitvah;
(g) „osebni podatki pogodbenika“ so osebni podatki v vsebini pogodbenika, kot je nadalje opisano v prilogi I k temu sporazumu DPA;
(h) „zakoni o varstvu podatkov“ so vsi veljavni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na zasebnost, zaupnost ali varnost osebnih podatkov (kot se lahko občasno spremenijo ali kako drugače posodobijo), kar brez omejitev vključuje uredbo GDPR, uredbo GDPR ZK in zakone o varstvu podatkov v ZDA;
(i) „posamezniki, na katere se nanašajo osebni podatki“ so: (i) fizične osebe, na katere se nanašajo osebni podatki, in (ii) posameznik, ki je „posameznik, na katerega se nanašajo osebni podatki“, „potrošnik“ ali enakovreden izraz iz zakonov o varstvu podatkov;
(j) „GDPR“ pomeni Uredbo (EU) 2016/679 („EU GDPR“) oz. kjer je to ustrezno, „GDPR ZK“, kot je opredeljeno v razdelku 3(10) zakona o varstvu podatkov v ZK iz leta 2018;
(k) „osebni podatki“ so vse informacije, ki: (i) se nanašajo na, so povezane z ali razumno povezane z določeno ali določljivo fizično osebo, ali (ii) so kako drugače „osebni podatki“, „osebne informacije“, „osebno določljive informacije“ ali podobno opredeljeni podatki ali informacije iz zakonov o varstvu podatkov;
(l) „obdelava“ pomeni vsakršno dejanje ali niz dejanj, ki se opravlja na osebnih podatkih, potencialno na avtomatiziran način, kot je zbiranje, evidentiranje, organiziranje, hramba, prilagajanje ali spreminjanje, pridobivanje, svetovanje, uporabljanje, razkrivanje prek prenosa, razčlenjevanje ali kako drugače dajanje na voljo, usklajevanje ali združevanje, blokiranje, brisanje ali uničevanje („obdelava“, „obdeluje“ in „obdelano“ imajo enak pomen);
(m) „prodaja“ ali „prodati“ imata pomen, kot izhaja iz CCPA;
(n) „deliti“ ima pomen, kot izhaja iz CCPA;
(o) „kršitev varnosti“ pomeni kršitev varnosti, ki privede do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali nepooblaščenega dostopa do osebnih podatkov pogodbenika;
(p) „standardne pogodbene klavzule“ pomenijo pogodbene klavzule, priložene Izvedbenemu sklepu Evropske komisije 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta, z vsemi morebitnimi posodobitvami ali zamenjavami;
(q) „podobdelovalec“ pomeni zunanji subjekt, ki ga družba ServiceChannel najame za obdelavo osebnih podatkov v imenu pogodbenika oz. za zagotavljanje storitev, ki so opredeljene v sporazumu;
(r) „dodatek ZK“ pomeni dodatek predloge različice B.1.0, ki ga je Urad informacijskega pooblaščenca Združenega kraljestva izdal na podlagi razdelka S119A(1) zakona o varstvu podatkov v ZK iz leta 2018, ki ga je parlament ZK obravnaval dne 2. februarja 2022 in ki se lahko prilagodi glede na razdelek 18 dodatka ZK;
(s) „zakoni o varstvu podatkov v ZDA“ so vsi veljavni zvezni in državni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na varstvo podatkov, obdelavo osebnih podatkov, zasebnost in/ali varstvo podatkov in ki občasno veljajo v Združenih državah Amerike, kar brez omejitev vključuje naslednje dokumente: CCPA, Zakon o varstvu potrošnikov zvezne države Virginija (Virginia Consumer Data Protection Act), Kodeks zvezne države Virginija (Code of Virginia), naslov 59.1, poglavje 52 § 59.1-571 in naslednji, Zakon o zasebnosti zvezne države Kolorado (Colorado Privacy Act), Revidirani statut zvezne države Kolorado (Colorado Revised Statute), naslov 6, člen 1, del 13 § 6-1-1301 in naslednji, Zakon o varstvu zasebnosti potrošnikov zvezne države Utah (Utah Consumer Privacy Act), Kodeks zvezne države Utah (Utah Code) § 13-6-101 in naslednji, Senatni predlog zakona 6 zvezne države Connecticut (Connecticut Senate Bill 6), zakon o zasebnosti osebnih podatkov in spletnem nadzoru (kot je tak zakon sprejet in se izvršuje);
(t) „podatki o uporabi“ pomenijo informacije o diagnostiki, uporabi in delovanju, ki jih družba ServiceChannel zbere v povezavi z uporabo storitev s strani pogodbenika in njegovih pooblaščenih uporabnikov; in
(u) izrazi „upravljavec“, „obdelovalec“, „podjetje“ in „ponudnik storitev“ imajo pomene, ki izvirajo iz zakonov o varstvu podatkov.
2. Razmerja pogodbenih strank; skladnost z zakonodajo
2.1 Pogodbenik:
(a) imenuje družbo ServiceChannel za obdelavo osebnih podatkov pogodbenika v vlogi njegovega obdelovalca ali ponudnika storitev,
(b) priznava in se strinja, da lahko družba ServiceChannel:
(i) administrativne podatke in podatke o uporabi uporablja za namene upravljanja in da lahko na podlagi uredbe GDPR to stori kot upravljavec;
(ii) osebne podatke pogodbenika uporablja za ustvarjanje anonimiziranih podatkov in da lahko to za namene GDPR stori kot upravljavec.
2.2 Vsaka pogodbena stranka bo delovala v skladu z obveznostmi, ki veljajo zanjo v skladu z zakoni o varstvu podatkov, prav tako pa bo zagotavljala enako raven zaščite zasebnosti, ki jo zahtevajo zakoni o varstvu podatkov.
2.3 Pogodbenik bo zagotovil, da bodo njegova navodila za obdelavo osebnih podatkov pogodbenika skladna z zakoni o varstvu podatkov. Pogodbenik ima izključno odgovornost za točnost, kakovost in zakonitost osebnih podatkov pogodbenika in za način, prek katerega je pridobil osebne podatke pogodbenika.
2.4 Če družba ServiceChannel ugotovi, da ne more več izpolnjevati svojih obveznosti v skladu z zakoni o varstvu podatkov, bo pogodbenika o tem pravočasno obvestila.
2.5 Pogodbenik lahko sprejme razumne in ustrezne korake za:
(a) zagotovitev, da družba ServiceChannel osebne podatke pogodbenika uporablja na način, ki je dosleden z obveznostmi pogodbenika v skladu z zakoni o varstvu podatkov, in
(b) z razumnim obvestilom ustavi in odpravi nepooblaščeno uporabo osebnih podatkov pogodbenika.
3. Obdelava osebnih podatkov pogodbenika
3.1 Družba ServiceChannel bo osebne podatke pogodbenika obdelovala samo v imenu in v skladu s sporazumom, tem sporazumom DPA in (razen obdelave za namene upravljavca) zavedenimi navodili pogodbenika. Pogodbenik naroča družbi ServiceChannel, da obdeluje osebne podatke pogodbenika za naslednje namene: (i) obdelava v skladu s sporazumom in morebitnimi veljavnimi naročili, in (ii) obdelava, ki je skladna z drugimi razumnimi navodili, ki jih posreduje pogodbenik, kjer so takšna navodila skladna s pogoji sporazuma. Družba ServiceChannel bo nemudoma obvestila pogodbenika, če ne bo zmožna več upoštevati teh navodil oz. če po njenem mnenju navodilo pogodbenika krši zakone o varstvu podatkov.
3.2 Družba ServiceChannel ne bo:
(a) prodajala ali delila osebnih podatkov pogodbenika,
(b) hranila, uporabljala ali razkrivala osebnih podatkov pogodbenika za katere koli namene, ki niso specifični poslovni nameni izvajanja storitev v skladu s sporazumom ali drugače v skladu z zakoni o varstvu podatkov,
(c) hranila, uporabljala ali razkrivala osebnih podatkov pogodbenika izven neposrednega poslovnega odnosa med pogodbenima strankama in
(d) osebnih podatkov pogodbenika združevala z osebnimi podatki, ki jih prejme od druge osebe ali oseb oz. v njihovem imenu oz. ki jih zbere v interakciji s posameznikom, na katerega se nanašajo osebni podatki, razen če je to izrecno dovoljeno in se izvaja v skladu z zakoni o varstvu podatkov.
3.3 Pogodbenik jamči in se zavezuje, da osebni podatki pogodbenika ne bodo vsebovali ničesar od naslednjega:
(a) osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja, članstva v sindikatih, kazenske sodbe in morebitne druge posebne kategorije osebnih podatkov, opredeljenih v 9. ali 10. členu uredbe GDPR, ali osebnih podatkov, ki so kako drugače občutljivi osebni podatki v skladu z veljavnimi zakoni o varstvu podatkov,
(b) biometričnih identifikatorjev ali predlog,
(c) finančnih podatkov (kar brez omejitev vključuje podatke o obračunu in imetniku kartic ali občutljive avtentikacijske podatke, kot so ti pojmi opredeljeni v standardu o varnosti podatkov v panogi plačilnih kartic),
(d) osebno določljivih finančnih podatkov, kot je opredeljeno in urejeno z zakonom Gramm-Leach-Bliley o finančni modernizaciji iz leta 1999,
(e) nacionalnih identifikacijskih številk (kar brez omejitev vključuje številke socialnega varstva, številke socialnega zavarovanja, številke vozniškega dovoljenja ali potnega lista ali druge številke uradnih identifikacijskih dokumentov),
(f) podatkov, ki se nanašajo na posameznike, mlajše od 13 let,
(g) evidenc o izobrazbi, kot je opredeljeno v zakonu o pravicah in zasebnosti družine iz leta 1974,
(h) zaščitenih zdravstvenih podatkov, kot je opredeljeno in urejeno z zakonom o prenosljivosti in odgovornosti zdravstvenega zavarovanja.
4. Zaupnost obdelave/osebje družbe ServiceChannel
4.1 Družba ServiceChannel bo zagotovila, da bo vsaka oseba, ki jo pooblasti za obdelavo osebnih podatkov pogodbenika („pooblaščena oseba“), varovala osebne podatke pogodbenika v skladu z obveznostmi o zaupnosti družbe ServiceChannel iz tega sporazuma.
4.2 Družba ServiceChannel bo zagotovila, da bo njeno osebje, ki je vpleteno v obdelavo osebnih podatkov pogodbenika, obveščeno o zaupni naravi osebnih podatkov pogodbenika in zavezano k obveznosti zaupnosti.
4.3 Družba ServiceChannel bo zagotovila, da bo dostop do osebnih podatkov pogodbenika omejen na tisto osebje, ki takšen dostop potrebuje za izvajanje storitev.
5. Upravljanje varnosti/kršitev in obveščanje
5.1 Družba ServiceChannel bo sprejela ustrezne tehnične in organizacijske ukrepe za zaščito varnosti, zaupnosti in celovitosti osebnih podatkov pogodbenika, kot je opredeljeno v prilogi II.
5.2 Če družba ServiceChannel ugotovi kakršno koli kršitev varnosti, bo pravočasno: (i) obvestila pogodbenika o kršitvi varnosti v skladu s časovnicami, ki jih zahtevajo veljavni zakoni o varstvu podatkov, (ii) preiskala kršitev varnosti in pogodbeniku posredovala informacije o kršitvi varnosti ter (iii) sprejela razumne ukrepe za ublažitev posledic in zmanjšanja škode zaradi kršitve varnosti.
5.3 Družba ServiceChannel bo pogodbeniku na zahtevo zagotovila razumno pomoč pri izpolnjevanju pogodbenikovih obveznosti v skladu z zakoni o varstvu podatkov v povezavi s kršitvijo varnosti, o kateri bo pogodbenika obvestila družba ServiceChannel.
5.4 Družba ServiceChannel ne bo imela nobene obveznosti obveščanja pogodbenika o morebitnih neuspešnih poskusih pridobitve nepooblaščenega dostopa do osebnih podatkov pogodbenika ali do opreme ali prostorov družbe ServiceChannel, v katerih se hranijo osebni podatki pogodbenika, kar brez omejitev vključuje pinge in druge napade na požarne zidove ali vstopne strežnike, skene vrat, neuspešne poskuse prijave, napade, ki povzročajo zavrnitev storitve (napade DDoS), ali podobne incidente.
5.5 Obvestila o kršitvah varnosti se posredujejo enemu ali več pogodbenikovim poslovnim, tehničnim ali administrativnim kontaktom na način, ki ga izbere družba ServiceChannel, tudi po e-pošti. Pogodbenik je sam odgovoren za ažurnost svojih kontaktnih podatkov v podpornih sistemih družbe ServiceChannel.
5.6 Obvestilo družbe ServiceChannel oz. njen odziv na kršitev varnosti iz tega razdelka 5 ne velja za priznanje katere koli napake ali odgovornosti v povezavi s kršitvijo varnosti s strani družbe ServiceChannel.
6. Podobdelava
6.1 Pogodbenik priznava in se strinja, da (i) lahko družba ServiceChannel določi pridružene družbe kot podobdelovalce in da (ii) lahko družba ServiceChannel v povezavi z zagotavljanjem storitev uporabi storitve tretjih podobdelovalcev. Vsak takšen podobdelovalec bo imel dovoljenje za pridobitev osebnih podatkov pogodbenika samo za izvajanje storitev, ki jim jih je naročila družba ServiceChannel, in nimajo dovoljenja uporabljati osebnih podatkov pogodbenika za nobene druge namene. Družba ServiceChannel bo sklenila pisni sporazum, ki podobdelovalca zavezuje k dolžnosti varovanja podatkov, ki je v vsebini podobna dolžnosti, katero mora izpolnjevati družba ServiceChannel na podlagi tega sporazuma. Družba ServiceChannel je v celoti odgovorna pogodbeniku za izvajanje dolžnosti podobdelovalca iz pogodbe z družbo ServiceChannel.
6.2 Družba ServiceChannel lahko nadaljuje z uporabo teh podobdelovalcev, ki jih je družba ServiceChannel oz. katera koli pridružena družba družbe ServiceChannel najela na datum tega sporazuma, kot je opredeljeno na https://bit.ly/SC_Subprocessors.
6.3 Družba ServiceChannel bo pogodbeniku posredovala predhodno pisno obvestilo o imenovanju katerega koli novega podobdelovalca, vključno z vsemi informacijami o obdelavi, ki jo bo izvajal podobdelovalec. Če v roku 10 dni od prejema obvestila pogodbenik družbo ServiceChannel pisno obvesti o kakršnem koli ugovoru (ali razumnih razlogih) glede predlaganega imenovanja, družba ServiceChannel ne bo imenovala predlaganega podobdelovalca, dokler ne sprejme razumnih ukrepov za obravnavo ugovorov, ki jih je posredoval pogodbenik, ter pogodbeniku posreduje razumno pisno pojasnilo o izvedenih korakih. Stranka priznava, da v nekaterih primerih morda ne bo mogla zagotoviti vseh storitev brez uporabe novega podobdelovalca.
7. Omejeni prenosi
7.1 Stranki se strinjata, da bodo za omejene prenose osebnih podatkov stranke od stranke družbi ServiceChannel veljale ustrezne standardne pogodbene klavzule, kot sledi:
(a) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo EU GDPR, veljajo standardne pogodbene klavzule za EU (EU SCC) na naslednji način:
(i) velja drugi modul,
(ii) v klavzuli 7 velja izbirna klavzula o umeščanju,
(iii) v klavzuli 9 velja možnost 2, čas za predhodno obvestilo o spremembah podobdelovalca pa bo takšen, kot je opredeljeno v klavzuli 6.3 tega sporazuma,
(iv) v klavzuli 11 ne velja opcijski jezik,
(v) v klavzuli 17 velja možnost 1, standardne pogodbene klavzule za EU pa ureja irska zakonodaja,
(vi) v klavzuli 18(b) se spori rešujejo na sodiščih na Irskem,
(vii) priloga I standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge I k temu sporazumu,
(viii) priloga II standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge II k temu sporazumu in
(b) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo GDPR ZK, velja dodatek ZK na naslednji način:
(i) standardne pogodbene klavzule za EU, ki so dopolnjene pod zgornjo točko 7.1(a) tega sporazuma, veljajo tudi za prenose tovrstnih osebnih podatkov stranke, ob upoštevanju podklavzule
(ii) spodaj;
(ii) preglednice 1 do 3 v dodatku ZK se smatrajo kot dopolnjene z ustreznimi informacijami iz standardnih pogodbenih klavzul za EU, dopoljnjenih zgoraj, možnosti „nobena pogodbena stranka“ pa se smatrajo kot označene v tabeli 4. Datum začetka veljave dodatka ZK (kot je določeno v preglednici 1) je datum tega sporazuma in
(c) če katera koli določba tega sporazuma neposredno ali posredno nasprotuje standardnim pogodbenim klavzulam, prevladajo standardne pogodbene klavzule.
7.2 Če se trenutni dodatek ZK ali standardne pogodbene klavzule za EU nadomestijo ali zamenjajo z novimi standardnimi pogodbenimi klavzulami, se stranki strinjata, da bodo takšne nove standardne pogodbene klavzule samodejno veljale za prenos osebnih podatkov stranke od stranke družbi ServiceChannel in da se bodo smatrale kot smiselno dopolnjene, kot je opisano v zgornji klavzuli 7.1.
8. Sodelovanje in pravice posameznikov, na katere se nanašajo osebni podatki
8.1 Družba ServiceChannel bo v obsegu, ki je zakonsko dovoljen, pravočasno obvestila pogodbenika, če od posameznika, na katerega se nanašajo osebni podatki, prejme zahtevo glede uveljavljanja njegovih pravic v skladu z zakoni o varstvu podatkov. Družba ServiceChannel se ne bo odzvala na takšne zahteve posameznikov, na katere se nanašajo osebni podatki, brez predhodnega pisnega soglasja pogodbenika, razen da potrdi, da se zahteva nanaša na pogodbenika.
8.2 Če pogodbenik pri uporabi ali prejemu storitev nima možnosti popravka, spremembe, omejitve, blokiranja ali izbrisa osebnih podatkov pogodbenika, kot to zahtevajo zakoni o varstvu podatkov, bo družba ServiceChannel uporabila razumna tržna sredstva za ravnanje v skladu z razumnimi zahtevami s strani pogodbenika z namenom omogočanja takšnih dejanj, v kolikor bo lahko družba ServiceChannel to storila zakonito.
8.3 Družba ServiceChannel bo (na stroške pogodbenika) razumno sodelovala s pogodbenikom v povezavi s kakršno koli oceno učinka o varstvu podatkov, ki bi bila zahtevana v skladu z zakonom o varstvu podatkov.
9. Deidentificirani podatki
9.1 V zvezi z vsemi anonimiziranimi podatki, ki jih ustvari družba ServiceChannel, bo družba ServiceChannel:
(a) sprejela razumne ukrepe za zagotovitev, da informacij ne bo mogoče povezati s posameznikom, na katerega se nanašajo osebni podatki;
(b) javno se bo zavezala, da bo takšne anonimizirane podatke obdelovala izključno v deidentificirani obliki in da ne bo poskušala ponovno identificirati informacij; in
(c) vse prejemnike anonimiziranih podatkov bo pogodbeno zavezala, da bodo upoštevali zgoraj navedene zahteve v skladu z zakoni o varstvu podatkov.
10. Prenehanje; izbris ali vračilo podatkov
10.1 Ta sporazum bo samodejno prekinjen ob izbrisu ali anonimizaciji osebnih podatkov pogodbenika s strani družbe ServiceChannel.
10.2 Po prenehanju ali poteku veljavnosti tega sporazuma bo družba ServiceChannel
(a) na zahtevo pogodbenika v tridesetih (30) dneh od poteka veljavnosti sporazuma („obdobje hrambe“) pogodbeniku na zahetevo posredovala kopijo vseh osebnih podatkov pogodbenika v splošno uporabljenem formatu ali mu omogočila samopostrežno funkcionalnost, s katero bo pogodbeniku omogočila prenos takšnih osebnih podatkov pogodbenika;
(b) po poteku obdobja hrambe izbrisala vse kopije osebnih podatkov pogodbenika, ki jih je obdelovala sama oz. katere so obdelovali njeni podobdelovalci, razen:
(i) morebitnih administrativnih podatkov ali podatkov o uporabi, obdelanih za namene upravljavca, ali morebitnih osebnih podatkov pogodbenika, ki jih mora družba ServiceChannel hraniti v skladu z veljavno zakonodajo, ali
(ii) osebnih podatkov pogodbenika, arhiviranih v varnostno kopiranih sistemih, ki jih bo družba ServiceChannel do možnosti izbrisa varno izolirala in zaščitila pred nadaljnjo obdelavo, razen v obsega, ki ga zahteva relevantna zakonodaja.
11. Revizija
11.1 Pogodbenik lahko revidira skladnost družbe ServiceChannel s tem sporazumom DPA. Pogodbeni stranki se strinjata, da se bodo takšne revizije izvajale:
(a) največ enkrat letno, razen če so potrebne pogostejše revizije zaradi skladnosti z zakoni o varstvu podatkov ali če to zahteva nadzorni organ, ki je pristojen za obdelavo osebnih podatkov pogodbenika,
(b) po razumnem obvestilu družbi ServiceChannel,
(c) samo v času običajnega poslovanja družbe ServiceChannel in
(d) na način, ki bistveno ne ovira poslovanja ali delovanja družbe ServiceChannel.
11.2 V povezavi s kakršnimi koli revizijami iz razdelka 10.1:
(a) Pogodbenik lahko za izvedbo revizije v njegovem imenu najame tretjega revizorja, razen če družba ServiceChannel zoper imenovanje tretjega revizorja vloži razumen ugovor, če je takšen revizor konkurent družbe ServiceChannel,
(b) Družbi ServiceChannel ni potrebno omogočati revizij ali pomagati pri revizijah, razen če se oz. dokler se pogodbeni stranki pisno ne dogovorita o obsegu in času takšne revizije ter o stopnji povračila stroškov iz razdelka 10.3.
11.3 Pogodbenik bo družbi ServiceChannel povrnil stroške za čas, porabljen za takšno revizijo, ob upoštevanju stopnje, za katero se dogovorita pogodbeni stranki. Pred začetkom kakršne koli takšne revizije se bosta pogodbenik in družba ServiceChannel dogovorila o obsegu, času in trajanju revizije ter o stopnji povračila stroškov, za katero bo odgovoren pogodbenik. Vse stopnje povračila stroškov bodo razumne ob upoštevanju virov, ki jih je porabila družba ServiceChannel. Pogodbenik bo pravočasno obvestil družbo ServiceChannel z informacijami o kakršni koli neskladnosti, odkriti med opravljanjem revizije.
11.4 Pogodbenik se strinja, da bo družba ServiceChannel redno revidirana ob upoštevanju standarda SSAE 18 SOC 1 s strani neodvisnih tretjih revizorjev. Družba ServiceChannel bo pogodbeniku na njegovo zahtevo oz. kot odziv na zahtevo iz revizije pogodbeniku posredovala kopijo povzetka svojega poročila o reviziji, kar bo predmet določb o zaupnosti v sporazumu. Če se revizija, ki jo zahteva pogodbenik, obravnava v poročilu o reviziji, ki ga zagotovi družba ServiceChannel, se pogodbenik strinja, da bo sprejel takšno poročilo namesto izvedbe fizične revizije kontrol, ki jih pokriva zadevno poročilo.
12. Omejitev odgovornosti
Za ta DPA veljajo omejitve odgovornosti in zavrnitve odgovornosti v sporazumu.
13. Pogodbene stranke v tem sporazumu
Razen kot je navedeno v standardnih pogodbenih klavzulah, nič v tem DPA ne bo podeljevalo nobenih ugodnosti ali pravic nobeni osebi ali subjektu, razen pogodbenih strank v tem DPA.
14. Pravni učinek
Ta DPA dopolnjuje in tvori del sporazuma.
15. Splošno
15.1 Ta DPA se ureja in v vseh pogledih tolmači v skladu z veljavno zakonodajo in določbami o pristojnosti v sporazumu, ob upoštevanju, da v primeru neskladja glede obdelave osebnih podatkov med sporazumom in tem DPA prevlada ta DPA.
15.2 Ta sporazum se lahko izvede v katerem koli številu kopij, pri čemer se vsaka kopija šteje kot original in predstavlja enak sporazum med pogodbenimi strankami.
15.3 Razen kot je opredeljeno v tem DPA, sporazum v celoti ohrani veljavnost in učinek.
PRILOGA I
A. SEZNAM POGODBENIH STRANK
Ime |
Naslov |
Ime kontaktne osebe, položaj in kontaktni podatki |
Dejavnosti v povezavi s prenesenimi podatki |
Vloga |
|
Izvoznik podatkov |
Pogodbenik (kot je bilo navedeno med registracijo na storitve) |
Kot je bilo navedeno med registracijo na storitve |
Kot je bilo navedeno med registracijo na storitve |
Prejem storitev |
Upravljavec |
Uvoznik podatkov |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 |
Brian Chase, generalni svetovalec, [email protected] |
Zagotavljanje storitev |
Obdelovalec |
B. OPIS PRENOSA
Posamezniki, na katere se nanašajo osebni podatki |
Kategorije osebnih podatkov |
Občutljivi osebni podatki |
Pogostost prenosa |
Narava in namen obdelave |
Obdobje hrambe |
Končni uporabniki pogodbenika |
Ime, e-poštni naslov, vloga pri pogodbeniku, poverilnice. |
Brez |
Neprekinjeno |
Dodeljevanje dostopa do storitev končnim uporabnikom. |
Dokler pogodbenik pooblašča končnega uporabnika za dostop do storitev. |
Končni uporabniki pogodbenika |
Ime, telefonska številka, storitve upravljanja prostorov, ki bodo zagotovljene. |
Brez |
Neprekinjeno |
Poenostavljanje stika med končnimi uporabniki in strankami za izpolnjevanje kupoprodajnih pogodb. |
Dokler pogodbenik pooblašča končnega uporabnika za dostop do storitev. |
Končni uporabniki pogodbenika |
Ime, natančna geolokacija, čas prijave, čas odjave. |
Brez |
Neprekinjeno |
Posredovanje informacij stranki glede zagotavljanja storitev upravljanja prostorov iz kupoprodajne pogodbe. |
Med obdobjem veljavnosti sporazuma. |
Končni uporabniki pogodbenika |
Ime, zagotovljene storitve upravljanja prostorov, ki jih zagotovi končni uporabnik, datum in lokacija zagotovljenih storitev. |
Brez |
Neprekinjeno |
Poenostavitev izračuna dolgovanih zneskov iz kupoprodajne pogodbe. |
Med obdobjem veljavnosti sporazuma. |
Končni uporabniki pogodbenika Pooblaščeni uporabniki strank, ki zahtevajo storitve upravljanja prostorov |
Ime, zagotovljene storitve upravljanja prostorov, ki jih zagotovi končni uporabnik, datum in lokacija zagotovljenih storitev. |
Brez |
Neprekinjeno |
Posredovanje računov stranki iz kupoprodajnih pogodb. |
Med obdobjem veljavnosti sporazuma. |
Končni uporabniki pogodbenika Pooblaščeni uporabniki strank, ki zahtevajo storitve upravljanja prostorov |
Ime, zagotovljene storitve upravljanja prostorov, ki jih zagotovi končni uporabnik, datum in lokacija zagotovljenih storitev. |
Brez |
Neprekinjeno |
Vodenje evidenc o transakcijah storitev, opravljenih s strani pogodbenika iz kupoprodajnih pogodb. |
Med obdobjem veljavnosti sporazuma. |
Končni uporabniki pogodbenika |
Ime, zagotovljene storitve upravljanja prostorov, ki jih zagotovi končni uporabnik, datum in lokacija zagotovljenih storitev, natančna geolokacija. |
Brez |
Neprekinjeno |
Poenostavljanje upravljanja končnih uporabnikov pogodbenika, vključno s časovnim načrtovanjem in kadrovanjem. |
Med obdobjem veljavnosti sporazuma. |
Ključne kontaktne točke pri pogodbeniku |
Ime, e-poštni naslov, telefonska številka. |
Brez |
Neprekinjeno |
Promocija pogodbenikovih storitev prek kataloga. |
Dokler je posameznik ključna kontaktna točka, v vsakem primeru pa ne dlje od obdobja veljavnosti sporazuma. |
Končni uporabniki pogodbenika |
Poizvedbe za podporo, ki jih odda končni uporabnik. |
Brez |
Neprekinjeno |
Zagotavljanje tehnične podpore. |
Med obdobjem veljavnosti sporazuma. |
Končni uporabniki pogodbenika |
Dnevniški podatki, ki se nanašajo na uporabo storitev s strani končnega uporabnika. |
Brez |
Neprekinjeno |
Zagotavljanje dostopa do storitev. |
Med obdobjem trajanja seje brskanja končnega uporabnika. |
Podobdelovalci
Kot je opisano na https://bit.ly/SC_Subprocessors
C. PRISTOJNI NADZORNI ORGAN
Irski komisar za varstvo podatkovPRILOGA II
Varnostni ukrepi
Družba ServiceChannel vedno ostane odgovorna za naslednje komercialno razumne varnostne ukrepe pri prenosih:
VARNOSTNI UKREPI PRI PRENOSIH |
UVEDENI UKREPI |
Ukrepi psevdonimizacije in šifriranja osebnih podatkov |
Psevdonimizacija • maskiranje osebnosti • menjavanje • k-anonimnost Šifriranje • Šifriranje HTTPS za podatke v tranzitu (z uporabo TLS 1.2 ali novejše različice) pri vsakem vmesniku za prijavo z uporabo standardnih algoritmov in certifikatov za panogo. • Šifriranje shranjenih podatkov z uporabo standardnega algoritma AES-256 |
Ukrepi za zagotovitev neprekinjene zaupnosti, celovitosti, razpoložljivosti in odpornosti obdelovalnih sistemov in storitev |
Zaupnost • Virtualno zasebno omrežje (VPN) • Večfaktorska avtentikacija (MFA) • Sistem prilagojenih pravic na podlagi varnostnih skupin in seznamov nadzora dostopov. • Varen prenos poverilnic z uporabo TSL 1.2 (ali novejše) • Gesla zahtevajo opredeljeno minimalno zapletenost. Prvotna gesla je potrebno spremeniti po prvi prijavi. • Samodejno zaklepanje računov • Smernice za upravljanje z gesli • Nadzori dostopa do infrastrukture, ki jih gosti ponudnik storitev v oblaku • Upravljanje pravic dostopa, vključno s konceptom avtorizacije, implementiranjem omejitev dostopa, implementiranjem načela „potreba po vedenju“, upravljanjem pravic dostopa posameznikov. • Usposabljanje in sporazumi o zaupnosti za interno in zunanje osebje • Ločevanje omrežja • Ločevanje odgovornosti in dolžnosti • Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju“ in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa. Celovitost • Varne povezave med omrežji, zaščitene s požarnimi zidovi itd. • Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke • Beleženje avtentikacije in spremljanje dostopov do logičnih sistemov • Beleženje dostopov do podatkov, kar vključuje in ni omejeno na dostope, spreminjanja, vnose in izbrise podatkov • Evidentiranje pravic vnosa podatkov in beleženje varnostnih vnosov • Požarni zid spletne aplikacije (WAF) Razpoložljivost in odpornost • Podatki pogodbenika se varnostno kopirajo na več trpežnih hranilnikov podatkov ter na več območij razpoložljivosti. • Zaščita shranjenih varnostno kopiranih medijev |
Ukrepi za zagotavljanje možnosti povrnitve razpoložljivosti in dostopa do osebnih podatkov na pravočasen način v primeru fizičnega ali tehničnega incidenta |
• Načrtovanje neprekinjenosti in obnovitveni načrt za primer katastrofe• Procesi obnove po katastrofi za obnovo podatkov in procesov• Cilj časa obnove (RTO)
• Cilj obnovitvene točke (RPO) • Maksimalni dopustni čas izpada (MTD) • Ukrepi za upravljanje kapacitete za spremljanje porabe virov v sistemih, kot tudi načrtovanje bodočih zahtev po virih. • Postopki za obravnavo in poročanje o incidentih (upravljanje incidentov), vključno z zaznavanjem in reagiranjem na morebitne varnostne incidente. • Produktivni podatki se varnostno kopirajo vsako uro na inkrementalen način ter dnevno kot polno varnostno kopiranje. Vse varnostne kopije se hranijo v šifrirani obliki (AES-256). |
Procesi za redno testiranje, preverjanje in ocenjevanje učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave |
• Testiranje opreme za nujne primere• Evidentiranje vmesnikov in polj osebnih podatkov• Notranje in zunanje revizije
• Varnostna preverjanja (npr. penetracijski testi), ki jih izvedejo zunanji subjekti • Revizije SOC 1 in 2 • Redne primerjalne analize in testiranje z industrijskimi standardi, npr. SANS top 20 kontrole za spletno varnost, smernice NIST itd. |
Ukrepi za identifikacijo in pooblaščanje uporabnikov |
• Varne povezave med omrežji, zaščitene z VPN, MFA, požarnimi zidovi itd.• Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke• Beleženje avtentikacije in spremljanje dostopov do sistemov
• Dostop do podatkov, ki je nujen za opravljanje določenih nalog, se zagotavlja v samih sistemih in aplikacijah na podlagi koncepta ustrezne vloge in pooblastila in v skladu z načelom „potrebe po vedenju“. • Požarni zid spletne aplikacije (WAF) |
Ukrepi za zaščito podatkov med prenosom |
• Oddaljeni dostop do omrežja prek tunela VPN in celovito šifriranje (end-to-end)• HTTPS šifriranje podatkov v prenosu (z uporabo TLS 1.2 ali novejšega) |
Ukrepi za zaščito podatkov med hrambo |
• Vnosi sistemov zabeleženi v dnevniških datotekah• Seznami nadzora dostopov (ACL)• Večfaktorska avtentikacija (MFA) |
Ukrepi za zagotavljanje fizične varnosti na lokacijah, kjer se obdelujejo osebni podatki |
• Podrazdelitev objektov v posamezne cone z različnimi pooblastili dostopa• Fizična zaščita dostopa (npr. jeklena vrata, sobe brez oken ali z zaščitenimi okni)• Elektronski sistemi nadzora dostopa za zaščito varovanih območij
• Spremljanje objekta s strani varnostnih služb in beleženje dostopa do objekta • Videonadzor vseh varovanih območij, kot so vhodi, izhodi v sili in sobe s strežniki • Centralno dodeljevanje in razveljavljanje pooblastil dostopa • Identifikacija vseh obiskovalcev s preverjanjem njihove osebne izkaznice in registracije (vodi se dnevnik obiskovalcev) • Obvezna identifikacija na varovanih območjih za vse zaposlene in obiskovalce • Obiskovalce morajo ves čas spremljati zaposleni |
Ukrepi za zagotavljanje beleženja dogodkov |
• Beleženje na daljavo• Veriženje razpršitev (hash chaining)• Reprodukcija
• Sistem centralnega vodenja varnostnih dogodkov in informacij (SIEM) |
Ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo |
• Pravilnik in postopki nadzora dostopov• Identifikacija osnovne konfiguracije• Načrtovanje in upravljanje konfiguracije
• Upravljanje spremembe konfiguracije • Obračunavanje stanja konfiguracije • Verifikacija in revizija konfiguracije • Upravljanje mobilnih naprav |
Ukrepi za upravljanje in vodenje notranjega IT in IT-varnosti |
• Namenska in identificirana oseba, ki nadzira program informacijske varnosti in skladnosti v podjetju• Revizija SOC 1 in 2 |
Ukrepi za certificiranje/zagotavljanje procesov in izdelkov |
• Certifikati za informacijsko varnost ali vodenje kakovosti, kot sta SSAE 18 tipa 2 SOC 1 in SSAE18 tipa 2 SOC2 |
Ukrepi za zagotavljanje minimizacije podatkov |
• Tehnološke ovire za nepooblaščeno povezovanje neodvisnih virov podatkov.• Omejitev ravni podrobnosti, uporabljenih pri obdelavi osebnih podatkov: npr. prek tehnik, kot sta k-anonimnost in zamegljevanje.• Izbris metapodatkov, ustvarjenih pri določenih procesih, ki niso potrebni za doseganje cilja. |
Ukrepi za zagotavljanje kakovosti podatkov |
• Proces za uveljavljanje pravice do zaščite podatkov (pravica do spremembe in pravica do posodobitve podatkov)• Jasna dokumentacija zahtev za vse pogoje in scenarije podatkov• Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju“ in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa. Strogo profiliranje podatkov in nadzor vhodnih podatkov
• Zasnova priprave podatkov v izogib podvojevanja podatkov • Ekipa za zagotavljanje kakovosti • Izvrševanje celovitosti podatkov |
Ukrepi za zagotavljanje omejene hrambe podatkov |
• Obstoj jasnih urnikov in pravilnikov hrambe• Preizkušanje učinkovitosti |
Ukrepi za zagotavljanje odgovornosti |
• Določitev odgovornosti za zagotovitev zasebnosti končnega uporabnika v življenjskem ciklu izdelka in pri ustreznih poslovnih procesih.• Ocene učinka o varstvu podatkov kot sestavni del vseh novih iniciativ obdelave.• Evidentiranje vseh odločitev, ki se sprejemajo v organizaciji z vidika „zasnove zasebnosti“. |
Ukrepi za dopuščanje prenosljivosti podatkov in zagotavljanje izbrisa |
• Evidentirani procesi v zvezi z uveljavljanjem pravice do zasebnosti uporabnikov (npr. pravica do izbrisa ali pravica do prenosljivosti podatkov)• Uporaba odprtih formatov, kot so CSV, XML ali JSON |
Uporabljene omejitve ali varovala za občutljive podatke (če obstajajo) |
• Šifriranje ali razprševanje posebnih kategorij podatkov, čeprav to ni eksplicitna zakonska obveznost, mora biti norma |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar