Nazadnje posodobljeno: 28. januar 2025
Sporazum o obdelavi podatkov
Ta sporazum o obdelavi podatkov („DPA“) tvori del in je predmet okvirnega sporazuma o storitvah („MSA“) med družbo ServiceChannel.com, Inc. (v nadaljevanju „ServiceChannel“) in stranko (kot je opredeljeno v MSA). Stranka in ServiceChannel sta v dokumentu navedena kot „pogodbena stranka“ oz. skupaj kot „pogodbeni stranki“.
KJER
(i) sta stranka in ServiceChannel sklenila okvirni sporazum o storitvah, v sklopu katerega bo družba ServiceChannel stranki zagotovila storitve;
(ii) bo družba ServiceChannel obdelovala podatke stranke (ki lahko vključujejo osebne podatke) pri zagotavljanju storitev;
(iii) pogodbeni stranki želita skleniti ta DPA, ki ureja obdelavo takšnih osebnih podatkov s strani družbe ServiceChannel, ki so vsebovani v podatkih stranke.
ZATO se pogodbeni stranki strinjata, kot sledi:
1. Opredelitve pojmov:
V tem sporazumu o obdelavi imajo pojmi v MSA naslednje pomene, ko se uporabljajo v tem dokumentu. Poleg tega imajo naslednji pojmi naslednje pomene:
(a) „administrativni podatki“ so: (i) kontaktni podatki v povezavi s korespondenco s strankinim glavnim imetnikom računa ali skrbnikom in njena vsebina, (ii) prošnje za podporo, ki so jih strankini pooblaščeni uporabniki posredovali v povezavi s storitvijo;
(b) „pridružena družba“ pomeni subjekt, katerega nadzira, ki nadzira ali je pod skupnim nadzorom z družbo ServiceChannel;
(c) „CCPA“ pomeni kalifornijski zakon o varstvu zasebnosti potrošnikov iz leta 2018 (California Consumer Privacy Act of 2018, Kalifornijski civilni zakonik (Cal. Civ. Code § 1798.100 in naslednji), vključno z izvedbenimi uredbami, in kalifornijski zakon o pravicah do zasebnosti iz leta 2020 (California Privacy Rights Act of 2020);
(d) „nameni upravljavca“ pomeni izvajanje notranjih raziskav in razvoja za razvoj, preizkušanje, izboljšanje in spreminjanje funkcionalnosti izdelkov in storitev družbe ServiceChannel, (b) ustvarjanje anonimiziranih podatkovnih nizov za namene usposabljanja ali ocenjevanja izdelkov in storitev družbe ServiceChannel, (c) upravljanje odnosa družbe ServiceChannel s stranko iz sporazuma MSA;
(e) „stranka“ pomeni stranko, ki je sklenila okvirni sporazum o storitvah;
(f) „osebni podatki stranke“ so, poleg ocen in mnenj, osebni podatki v podatkih stranke, kot je nadalje opisano v prilogi I k temu DPA;
(g) „zakoni o varstvu podatkov“ so vsi veljavni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na zasebnost, zaupnost ali varnost osebnih podatkov (kot se lahko občasno spremenijo ali kako drugače posodobijo), kar brez omejitev vključuje uredbo GDPR, uredbo GDPR ZK in zakone o varstvu podatkov v ZDA;
(h) „posamezniki, na katere se nanašajo osebni podatki“ so: (i) fizične osebe, na katere se nanašajo osebni podatki, in (ii) posameznik, ki je „posameznik, na katerega se nanašajo osebni podatki“, „potrošnik“ ali enakovreden izraz iz zakonov o varstvu podatkov;
(i) „GDPR“ pomeni Uredbo (EU) 2016/679 („EU GDPR“) oz. kjer je to ustrezno, „GDPR ZK“, kot je opredeljeno v razdelku 3(10) zakona o varstvu podatkov v ZK iz leta 2018;
(j) „osebni podatki“ so vse informacije, ki: (i) se nanašajo na, so povezane z ali razumno povezane z določeno ali določljivo fizično osebo, ali (ii) so kako drugače „osebni podatki“, „osebne informacije“, „osebno določljive informacije“ ali podobno opredeljeni podatki ali informacije iz zakonov o varstvu podatkov;
(k) „obdelava“ pomeni vsakršno dejanje ali niz dejanj, ki se opravlja na osebnih podatkih, bodisi na avtomatiziran način, kot je zbiranje, evidentiranje, organiziranje, hramba, prilagajanje ali spreminjanje, pridobivanje, svetovanje, uporabljanje, razkrivanje prek prenosa, razčlenjevanje ali kako drugače dajanje na voljo, poravnavanje ali združevanje, blokiranje, brisanje ali uničevanje („obdelava“, „obdeluje“ in „obdelano“ imajo enak pomen);
(l) „ocene in mnenja“ imajo pomen, kot jim je dan v razdelku 0;
(m) „prodaja“ ali „prodati“ imajo pomen, kot izhaja iz CCPA;
(n) „deliti“ ima pomen, kot izhaja iz CCPA;
(o) „kršitev varnosti“ pomeni kršitev varnosti, ki privede do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali nepooblaščenega dostopa do osebnih podatkov stranke;
(p) „standardne pogodbene klavzule“ pomenijo pogodbene klavzule, priložene Izvedbenemu sklepu Evropske komisije 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta, z vsemi morebitnimi posodobitvami ali zamenjavami;
(q) „podobdelovalec“ pomeni zunanji subjekt, katerega je družba ServiceChannel najela za obdelavo osebnih podatkov v imenu stranke oz. za zagotavljanje storitev, ki so opredeljene v sporazumu;
(r) „dodatek ZK“ pomeni dodatek predloge, različica B.1.0, ki ga je izdal Informacijski pooblaščenec ZK na podlagi razdelka S119A(1) zakona o varstvu podatkov v ZK iz leta 2018 in katerega je obravnaval parlament ZK dne 2. februarja 2022, kot se lahko pregleda glede na razdelek 18 dodatka ZK;
(s) „zakoni o varstvu podatkov v ZDA“ so vsi veljavni zvezni in državni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na varstvo podatkov, na obdelavo osebnih podatkov, zasebnost in/ali varstvo podatkov, ki občasno veljajo v Združenih državah Amerike, kar brez omejitev vključuje naslednje dokumente: CCPA, Virginijski zakon o varstvu potrošnikov (Virginia Consumer Data Protection Act), Kodeks Virginije (Code of Virginia), naslov 59.1, poglavje 52 § 59.1-571 in naslednji, zakon o zasebnosti Kolorada (Colorado Privacy Act), revidirani statut Kolorada (Colorado Revised Statute), naslov 6, člen 1, del 13 § 6-1-1301 in naslednji, zakon o varstvu zasebnosti potrošnikov Utaha (Utah Consumer Privacy Act), Kodeks Utaha (Utah Code) § 13-6-101 in naslednji, Connecticutski senatni predlog zakona 6 (Connecticut Senate Bill 6), zakon o zasebnosti osebnih podatkov in spletnem nadzoru (kot je tak zakon sprejet in se izvršuje);
(t) „podatki o uporabi“ pomeni informacije o diagnostiki, uporabi in delovanju, katere je zbrala družba ServiceChannel v povezavi z uporabo storitev s strani stranke in njenih pooblaščenih uporabnikov; in
(u) Izrazi „upravljavec“, „obdelovalec“, „podjetje“ in „ponudnik storitev“ imajo pomene, ki izvirajo iz zakonov o varstvu podatkov.
2. Razmerja pogodbenih strank; skladnost z zakonodajo
2.1 Stranka:
(a) imenuje družbo ServiceChannel za obdelavo osebnih podatkov stranke kot njen obdelovalec ali ponudnik storitev,
(b) priznava in se strinja, da lahko družba ServiceChannel:
(i) uporablja administrativne podatke in podatke o uporabi za namene upravljanja in da lahko na podlagi uredbe GDPR to stori kot upravljavec podatkov.
(ii) zbira in prikazuje komentarje, povratne informacije in ocene, posredovane družbi ServiceChannel s strani pooblaščenih uporabnikov stranke v povezavi s ponudniki storitev, ki jih angažira stranka („ocene in mnenja“), in da za namene zakonov o varstvu podatkov to stori kot upravljavec ali podjetje.
2.2 Vsaka pogodbena stranka bo delovala v skladu z obveznostmi, ki veljajo za njo iz zakonov o varstvu podatkov, prav tako pa bo nudila enako raven zaščite zasebnosti.
2.3 Stranka bo zagotovila, da bodo njena navodila za obdelavo osebnih podatkov stranke skladna z zakoni o varstvu podatkov. Stranka ima izključno odgovornost za točnost, kakovost in zakonitost osebnih podatkov stranke in za način, prek katerega je pridobila osebne podatke stranke.
2.4 Družba ServiceChannel bo stranko pravočasno obvestila v primeru, da ugotovi, da ne more več izpolnjevati svojih obveznosti iz zakonov o varstvu podatkov.
2.5 Stranka lahko sprejme razumne in ustrezne korake za:
(a) zagotovitev, da ServiceChannel uporablja osebne podatke stranke na način, ki je dosleden z obveznostmi stranke iz zakonov o varstvu podatkov, in
(b) z razumnim obvestilom ustavi in odpravi nepooblaščeno uporabo osebnih podatkov stranke.
3. Obdelava osebnih podatkov stranke
3.1 Družba ServiceChannel bo obdelovala osebne podatke stranke samo v imenu in v skladu z MSA, tem DPA in (razen obdelave za namene upravljanja) zavedenimi navodili stranke. Stranka naroča družbi ServiceChannel, da obdeluje osebne podatke stranke za naslednje namene: (i) obdelava v skladu s sporazumom in morebitnimi veljavnimi naročili, in (ii) obdelava, ki je skladna z drugimi razumnimi navodili, ki jih posreduje stranka, kjer so takšna navodila skladna s pogoji sporazuma. Družba ServiceChannel bo nemudoma obvestila stranko, če ne bo zmožna več upoštevati teh navodil oz. če po njenem mnenju navodilo stranke krši zakone o varstvu podatkov.
3.2 Družba ServiceChannel ne bo:
(a) prodajala ali delila osebnih podatkov stranke,
(b) ohranila, uporabila ali razkrila osebnih podatkov stranke za katere koli namene, ki niso posebni poslovni nameni izvajanja storitev iz MSA oz. v skladu z veljavnimi zakoni o varstvu podatkov,
(c) ohranila, uporabila ali razkrila osebnih podatkov stranke izven neposrednega poslovnega odnosa med pogodbenima strankama, in
(d) združevala osebnih podatkov stranke z osebnimi podatki, ki jih prejme od oz. v imenu druge osebe ali oseb oz. ki jih zbere za svojo lastno interakcijo s posameznikom, na katerega se nanašajo osebni podatki, razen če je to izrecno dovoljeno in se izvaja v skladu z zakoni o varstvu podatkov.
3.3. Stranka jamči in se zavezuje, da osebni podatki stranke ne bodo vsebovali ničesar od naslednjega:
(a) osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja, članstva v sindikatih, kazenske sodbe in morebitne druge posebne kategorije osebnih podatkov, opredeljenih v 9. ali 10. členu uredbe GDPR, ali osebnih podatkov, ki so kako drugače občutljivi osebni podatki v skladu z veljavnimi zakoni o varstvu podatkov,
(b) biometričnih identifikatorjev ali predlog,
(c) finančnih podatkov (kar brez omejitev vključuje podatke o obračunu in imetniku kartic ali občutljive avtentikacijske podatke, kot so ti pojmi opredeljeni v standardu o varnosti podatkov v panogi plačilnih kartic),
(d) osebno določljivih finančnih podatkov, kot je opredeljeno v in je predmet zakona Gramm-Leach-Bliley o finančni modernizaciji iz leta 1999,
(e) nacionalnih identifikacijskih številk (kar brez omejitev vključuje številke socialnega varstva, številke socialnega zavarovanja, številke vozniškega dovoljenja ali potnega lista ali druge številke na uradno izdanih identifikacijskih dokumentih),
(f) podatkov, ki se nanašajo na posameznike, mlajše od 13 let,
(g) evidenc o izobrazbi, kot je opredeljeno v zakonu o pravicah in zasebnosti družine iz leta 1974,
(h) zaščitenih zdravstvenih podatkov, kot je opredeljeno v in je predmet zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja.
4. Zaupnost obdelave/osebje družbe ServiceChannel
4.1 Družba ServiceChannel bo zagotovila, da bo vsaka oseba, ki jo pooblasti za obdelavo osebnih podatkov stranke („pooblaščena oseba“), varovala osebne podatke stranke v skladu z obveznostmi o zaupnosti družbe ServiceChannel iz tega sporazuma.
4.2 Družba ServiceChannel bo zagotovila, da bo njeno osebje, ki je vpleteno v obdelavo osebnih podatkov stranke, obveščeno o zaupni naravi osebnih podatkov stranke in zavezano k obveznosti zaupnosti.
4.3 Družba ServiceChannel bo zagotovila, da bo dostop do osebnih podatkov stranke omejen na tisto osebje, ki potrebujejo takšen dostop za izvajanje storitev.
5. Upravljanje varnosti/kršitev in obveščanje
5.1 Družba ServiceChannel bo sprejela ustrezne tehnične in organizacijske ukrepe za zaščito varnosti, zaupnosti in celovitosti osebnih podatkov stranke, kot je opredeljeno v prilogi II.
5.2 Če družba ServiceChannel ugotovi kakršno koli kršitev varnosti, bo pravočasno: (i) obvestila stranko o kršitvi varnosti v skladu s časovnicami, ki jih zahtevajo veljavni zakoni o varstvu podatkov, (ii) preiskala kršitev varnosti in stranki posredovala informacije o kršitvi varnosti ter (iii) sprejela razumne ukrepe za ublažitev posledic in zmanjšanja škode zaradi kršitve varnosti.
5.3 Družba ServiceChannel bo na zahtevo stranke le-tej ponudila razumno pomoč pri izpolnjevanju strankinih obveznosti iz zakonov o varstvu podatkov v povezavi s kršitvijo varnosti, sporočeni stranki s strani družbe ServiceChannel.
5.4 Družba ServiceChannel ne bo imela nobene obveznosti obveščanja stranke o morebitnih neuspešnih poskusih pridobitve nepooblaščenega dostopa do osebnih podatkov stranke ali do opreme ali prostorov družbe ServiceChannel, v katerih se hranijo osebni podatki stranke, kar brez omejitev vključuje pinge in druge napade na požarne zidove ali vstopne strežnike, skene vrat, neuspešne poskuse prijave, napade, ki povzročajo zavrnitev storitve (napade DDoS), ali podobne incidente.
5.5. Obvestila o kršitvah varnosti se posredujejo enemu ali več strankinim poslovnim, tehničnim ali administrativnim kontaktom na način, ki ga izbere družba ServiceChannel, tudi po e-pošti. Stranka je sama odgovorna za ažurnost svojih kontaktnih podatkov v podpornih sistemih družbe ServiceChannel.
5.6 Obvestila družbe ServiceChannel oz. njen odziv na kršitev varnosti iz tega razdelka 5 se ne smatra kot priznanje s strani družbe ServiceChannel katere koli napake ali odgovornosti v povezavi s kršitvijo varnosti.
6. Podobdelava
6.1 Stranka sprejema in se strinja, da (i) lahko ServiceChannel določi pridružene družbe kot podobdelovalce in (ii) lahko ServiceChannel uporabi storitve tretjih podobdelovalcev v povezavi z zagotavljanjem storitev. Vsak takšen podobdelovalec bo imel dovoljenje za pridobitev osebnih podatkov stranke samo za izvajanje storitev, ki jim jih je naročila družba ServiceChannel, in nimajo dovoljenja uporabljati osebnih podatkov stranke za nobene druge namene. Družba ServiceChannel bo sklenila pisni sporazum, ki podobdelovalca zavezuje k dolžnosti varovanja podatkov, ki je v vsebini podobna dolžnosti, katero mora izpolnjevati družba ServiceChannel na podlagi tega sporazuma. Družba ServiceChannel je v celoti odgovorna stranki za izvajanje dolžnosti podobdelovalca iz pogodbe z družbo ServiceChannel.
6.2 ServiceChannel lahko nadaljuje z uporabo teh podobdelovalcev, ki jih je družba ServiceChannel oz. katera koli pridružena družba ServiceChannel že najela na datum tega sporazuma, kot je opredeljeno na https://bit.ly/SC_Subprocessors.
6.3 Družba ServiceChannel bo stranki posredovala predhodno pisno obvestilo o imenovanju katerega koli novega podobdelovalca, vključno z vsemi informacijami o obdelavi, katero bo izvajal podobdelovalec. Če v roku 10 dni od prejema obvestila stranka družbo ServiceChannel pisno obvesti o kakršnem koli ugovoru (ali razumnih razlogih) glede predlaganega imenovanja, družba ServiceChannel ne bo imenovala predlaganega podobdelovalca, dokler ne sprejme razumnih ukrepov za obravnavo ugovorov, ki jih je posredovala stranka, ter stranki posreduje razumno pisno pojasnilo o izvedenih korakih. Stranka priznava, da v nekaterih primerih morda ne bo mogla zagotoviti vseh storitev brez uporabe novega podobdelovalca.
7. Omejeni prenosi
7.1 Stranki se strinjata, da bodo za omejene prenose osebnih podatkov stranke od stranke družbi ServiceChannel veljale ustrezne standardne pogodbene klavzule, kot sledi:
(a) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo EU GDPR, veljajo standardne pogodbene klavzule za EU (EU SCC) na naslednji način:
(i) velja drugi modul,
(ii) v klavzuli 7 velja izbirna klavzula o umeščanju,
(iii) v klavzuli 9 velja možnost 2, čas za predhodno obvestilo o spremembah podobdelovalca pa bo takšen, kot je opredeljeno v klavzuli 6.3 tega sporazuma,
(iv) v klavzuli 11 ne velja opcijski jezik,
(v) v klavzuli 17 velja možnost 1, standardne pogodbene klavzule za EU pa ureja irska zakonodaja,
(vi) v klavzuli 18(b) se spori rešujejo na sodiščih na Irskem,
(vii) priloga I standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge I k temu sporazumu,
(viii) priloga II standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge II k temu sporazumu in
(b) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo GDPR ZK, velja dodatek ZK na naslednji način:
(i) standardne pogodbene klavzule za EU, ki so dopolnjene pod zgornjo točko 7.1(a) tega sporazuma, veljajo tudi za prenose tovrstnih osebnih podatkov stranke, ob upoštevanju podklavzule
(ii) spodaj;
(ii) preglednice 1 do 3 v dodatku ZK se smatrajo kot dopolnjene z ustreznimi informacijami iz standardnih pogodbenih klavzul za EU, dopoljnjenih zgoraj, možnosti „nobena pogodbena stranka“ pa se smatrajo kot označene v tabeli 4. Datum začetka veljave dodatka ZK (kot je določeno v preglednici 1) je datum tega sporazuma in
(c) če katera koli določba tega sporazuma neposredno ali posredno nasprotuje standardnim pogodbenim klavzulam, prevladajo standardne pogodbene klavzule.
7.2 Če se trenutni dodatek ZK ali standardne pogodbene klavzule za EU nadomestijo ali zamenjajo z novimi standardnimi pogodbenimi klavzulami, se stranki strinjata, da bodo takšne nove standardne pogodbene klavzule samodejno veljale za prenos osebnih podatkov stranke od stranke družbi ServiceChannel in da se bodo smatrale kot smiselno dopolnjene, kot je opisano v zgornji klavzuli 7.1.
8. Sodelovanje in pravice posameznikov, na katere se nanašajo osebni podatki
8.1 Družba ServiceChannel bo do obsega, ki je zakonsko dovoljen, pravočasno obvestila stranko, če prejme zahtevo od posameznika, na katerega se nanašajo osebni podatki, glede uveljavljanja njegovih pravic iz zakonov o varstvu podatkov. Družba ServiceChannel se ne bo odzvala na takšne zahteve posameznikov, na katere se nanašajo osebni podatki, brez predhodnega pisnega soglasja stranke, razen da potrdi, da se zahteva nanaša na stranko.
8.2 V kolikor stranka pri uporabi ali prejemu storitev nima možnosti popravljanja, spreminjanja, omejevanja, blokiranja ali brisanja osebnih podatkov stranke, kot to zahtevajo zakoni o varstvu podatkov, bo družba ServiceChannel uporabila komercialno razumne napore za ravnanje v skladu z razumnimi zahtevami s strani stranke za izvrševanje takšnih dejanj, v kolikor lahko družba ServiceChannel to stori zakonito.
8.3 Družba ServiceChannel bo razumno sodelovala s stranko (na stroške stranke) v povezavi s kakršno koli oceno učinka o varstvu podatkov, ki se lahko zahteva po zakonu o varstvu podatkov.
9. Prenehanje; izbris ali vračilo podatkov
9.1 Ta sporazum bo prekinjen samodejno ob izbrisu ali anonimizaciji osebnih podatkov stranke s strani družbe ServiceChannel.
9.2 Po prenehanju ali poteku veljavnosti tega MSA bo družba ServiceChannel:
(a) na zahtevo stranke v tridesetih (30) dneh od poteka veljavnosti MSA („obdobje hrambe“) posredovala kopijo vseh osebnih podatkov stranke v splošno uporabljenem formatu, kot to zahteva stranka, oz. omogočila samopostrežno funkcionalnost, s katero bo stranki omogočila prenos takšnih osebnih podatkov stranke;
(b) po poteku obdobja hrambe izbrisala vse kopije osebnih podatkov stranke, ki jih je obdelovala sama oz. katere so obdelovali njeni podobdelovalci, razen:
(i) morebitnih administrativnih podatkov ali podatkov o uporabi, ki se obdelujejo za namene upravljavca, oz. morebitnih osebnih podatkov stranke, ki jih družba ServiceChannel mora hraniti zaradi veljavne zakonodaje, ali
(ii) osebnih podatkov stranke, ki se arhivirajo v varnostno kopiranih sistemih, katere bo družba ServiceChannel varno izolirala in zaščitila pred nadaljnjo obdelavo, razen do obsega, ki ga zahteva zakonodaja, do izbrisa.
10. Revizija
10.1 Stranka lahko revidira skladnost družbe ServiceChannel s tem DPA. Pogodbeni stranki se strinjata, da se bodo takšne revizije izvajale:
(a) največ enkrat letno, razen če so potrebne pogostejše revizije zaradi skladnosti z zakoni o varstvu podatkov oz. če to zahteva nadzorni organ s pristojnostjo nad obdelavo osebnih podatkov stranke,
(b) po razumnem obvestilu družbi ServiceChannel,
(c) samo v času običajnega poslovanja družbe ServiceChannel, in
(d) na način, ki bistveno ne ovira poslovanja ali delovanja družbe ServiceChannel.
10.2 V povezavi s kakršnimi koli revizijami iz razdelka 10.1:
(a) Stranka lahko najame tretjega revizorja za izvedbo revizije v njenem imenu, razen če družba ServiceChannel vloži razumen ugovor k imenovanju tretjega revizorja, če je takšen revizor konkurent družbe ServiceChannel,
(b) Družbi ServiceChannel ni potrebno olajševati ali pomagati pri revizijah, razen in v primeru, ko se pogodbeni stranki pisno dogovorita o obsegu in času takšne revizije ter o stopnji povračila stroškov iz razdelka 10.3.
10.3 Stranka bo družbi ServiceChannel povrnila stroške za porabljen čas pri takšni reviziji ob upoštevanju stopnje, za katero se dogovorita pogodbeni stranki. Pred začetkom kakršne koli takšne revizije se bosta stranka in družba ServiceChannel dogovorila o obsegu, času in trajanju revizije ter o stopnji povračila stroškov, za katero bo odgovorna stranka. Vse stopnje povračila stroškov bodo razumne ob upoštevanju virov, ki jih je porabila družba ServiceChannel. Stranka bo pravočasno obvestila družbo ServiceChannel z informacijami o kakršni koli neskladnosti, odkriti med opravljanjem revizije.
10.4 Stranka se strinja, da bo družba ServiceChannel redno revidirana ob upoštevanju standarda SSAE 18 SOC 1 s strani neodvisnih tretjih revizorjev. Družba ServiceChannel bo stranki na njeno zahtevo oz. kot odziv na zahtevo iz revizije stranki posredovala kopijo povzetka svojega poročila o reviziji, kar bo predmet določb o zaupnosti v MSA. Če se revizija, ki jo zahteva stranka, obravnava v poročilu o reviziji, ki ga zagotovi družba ServiceChannel, se stranka strinja, da bo sprejela takšno poročilo namesto izvedbe fizične revizije kontrol, ki jih pokriva zadevno poročilo.
11. Omejitev odgovornosti
Za ta DPA veljajo omejitve odgovornosti in zavrnitve odgovornosti v sporazumu MSA.
12. Pogodbene stranke v tem sporazumu
Razen kot je navedeno v standardnih pogodbenih klavzulah, nič v tem DPA ne bo podeljevalo nobenih ugodnosti ali pravic nobeni osebi ali subjektu, razen pogodbenih strank v tem DPA.
13. Pravni učinek
Ta DPA dopolnjuje in tvori del sporazuma MSA.
14. Splošno
14.1 Ta DPA ureja in se v vseh pogledih tolmači v skladu z veljavno zakonodajo in določbami o pristojnosti v MSA, ob upoštevanju, da v primeru neskladja med MSA in tem DPA glede obdelave osebnih podatkov prevlada ta DPA.
14.2 Ta sporazum se lahko izvede v katerem koli številu kopij, kjer se vsaka kopija šteje kot original in izkazuje enak sporazum med pogodbenimi strankami.
14.3 Razen kot je opredeljeno v tem DPA, sporazum MSA v celoti ohrani veljavnost in učinek.
PRILOGA I
A. SEZNAM POGODBENIH STRANK
|
Ime |
Naslov |
Ime kontaktne osebe, položaj in kontaktni podatki |
Dejavnosti v povezavi s prenesenimi podatki |
Vloga |
|
|
Izvoznik podatkov |
Stranka (kot je opredeljeno v MSA) |
Kot je opredeljeno v MSA |
Kot je opredeljeno v MSA |
Prejem storitev |
Upravljavec |
|
Uvoznik podatkov |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 |
Brian Chase, generalni svetovalec, [email protected] |
Zagotavljanje storitev |
Obdelovalec |
B. OPIS PRENOSA
|
Posamezniki, na katere se nanašajo osebni podatki |
Kategorije osebnih podatkov |
Občutljivi osebni podatki |
Pogostost prenosa |
Narava in namen obdelave |
Obdobje hrambe |
|
Pooblaščeni uporabniki stranke |
Ime, e-poštni naslov, poslovni naslov, poverilnice za dostop. |
Brez |
Neprekinjeno |
Dodeljevanje dostopa do storitev pooblaščenim uporabnikom stranke. |
Dokler stranka pooblašča uporabnika za prejem storitev. |
|
Pooblaščeni uporabniki stranke |
Ime, e-poštni naslov, telefonska številka, poslovni naslov. |
Brez |
Neprekinjeno |
Poenostavljanje stika med pooblaščenim uporabnikom stranke in osebami, ki jih najame stranka prek storitev („pogodbeniki“) |
Dokler stranka pooblašča uporabnika za prejem storitev. |
|
Pooblaščeni uporabniki stranke Osebje pogodbenika |
Poenostavljanje storitev upravljanja, ki se zahtevajo prek storitev, datum in čas zahteve. |
Brez |
Neprekinjeno |
Posredovanje zahtev za storitve upravljanja objektov pogodbenikom. |
Med obdobjem veljavnosti MSA. |
|
Pooblaščeni uporabniki stranke Osebje pogodbenika |
Ime, zagotovljene storitve upravljanja prostorov, datum in lokacija zagotovljenih storitev. |
Brez |
Neprekinjeno |
Vzdrževanje evidenc storitev upravljanja objektov, ki jih naroči stranka in so dokončane. |
Med obdobjem veljavnosti MSA. |
|
Osebje pogodbenika |
Ime in kontaktni podatki (telefonska številka in e-poštni naslov), posredovani s strani pooblaščenih uporabnikov stranke. |
Brez |
Neprekinjeno |
Poenostavljanje stika med pooblaščenim uporabnikom stranke in njihovimi ključnimi kontakti pri pogodbenikih. |
Med obdobjem veljavnosti MSA. |
|
Pooblaščeni uporabniki stranke |
Podpora za poizvedbe |
Brez |
Neprekinjeno |
Zagotavljanje tehnične podpore. |
Med obdobjem veljavnosti MSA. |
|
Pooblaščeni uporabniki stranke |
Dnevniški podatki |
Brez |
Neprekinjeno |
Zagotavljanje dostopa do storitev. |
Med obdobjem trajanja seje brskanja pooblaščenega uporabnika. |
Podobdelovalci
Kot je opisano na https://bit.ly/SC_Subprocessors
C. PRISTOJNI NADZORNI ORGAN
Irski komisar za varstvo podatkov
PRILOGA II
Varnostni ukrepi
Družba ServiceChannel vedno ostane odgovorna za naslednje komercialno razumne varnostne ukrepe pri prenosih:
|
VARNOSTNI UKREPI PRI PRENOSIH |
UVEDENI UKREPI |
|
Ukrepi psevdonimizacije in šifriranja osebnih podatkov |
Psevdonimizacija • maskiranje osebnosti • menjavanje • k-anonimnost Šifriranje • Šifriranje HTTPS za podatke v tranzitu (z uporabo TLS 1.2 ali novejše različice) pri vsakem vmesniku za prijavo z uporabo standardnih algoritmov in certifikatov za panogo. • Šifriranje shranjenih podatkov z uporabo standardnega algoritma AES-256 |
|
Ukrepi za zagotovitev neprekinjene zaupnosti, celovitosti, razpoložljivosti in odpornosti obdelovalnih sistemov in storitev |
Zaupnost • Virtualno zasebno omrežje (VPN) • Večfaktorska avtentikacija (MFA) • Sistem prilagojenih pravic na podlagi varnostnih skupin in seznamov nadzora dostopov. • Varen prenos poverilnic z uporabo TSL 1.2 (ali novejše) • Gesla zahtevajo opredeljeno minimalno zapletenost. Prvotna gesla je potrebno spremeniti po prvi prijavi. • Samodejno zaklepanje računov • Smernice za upravljanje z gesli • Nadzori dostopa do infrastrukture, ki jih gosti ponudnik storitev v oblaku • Upravljanje pravic dostopa, vključno s konceptom avtorizacije, implementiranjem omejitev dostopa, implementiranjem načela „potreba po vedenju“, upravljanjem pravic dostopa posameznikov. • Usposabljanje in sporazumi o zaupnosti za interno in zunanje osebje • Ločevanje omrežja • Ločevanje odgovornosti in dolžnosti • Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju“ in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa. Celovitost • Varne povezave med omrežji, zaščitene s požarnimi zidovi itd. • Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke • Beleženje avtentikacije in spremljanje dostopov do logičnih sistemov • Beleženje dostopov do podatkov, kar vključuje in ni omejeno na dostope, spreminjanja, vnose in izbrise podatkov • Evidentiranje pravic vnosa podatkov in beleženje varnostnih vnosov • Požarni zid spletne aplikacije (WAF) Razpoložljivost in odpornost • Podatki stranke se varnostno kopirajo na več trpežnih hranilnikov podatkov ter na več območij razpoložljivosti. • Zaščita shranjenih varnostno kopiranih medijev |
|
Ukrepi za zagotavljanje možnosti povrnitve razpoložljivosti in dostopa do osebnih podatkov na pravočasen način v primeru fizičnega ali tehničnega incidenta |
• Načrtovanje neprekinjenosti in obnovitveni načrt za primer katastrofe• Procesi obnove po katastrofi za obnovo podatkov in procesov
• Cilj časa obnove (RTO) • Cilj obnovitvene točke (RPO) • Maksimalni dopustni čas izpada (MTD) • Ukrepi za upravljanje kapacitete za spremljanje porabe virov v sistemih, kot tudi načrtovanje bodočih zahtev po virih. • Postopki za obravnavo in poročanje o incidentih (upravljanje incidentov), vključno z zaznavanjem in reagiranjem na morebitne varnostne incidente. • Produktivni podatki se varnostno kopirajo vsako uro na inkrementalen način ter dnevno kot polno varnostno kopiranje. Vse varnostne kopije se hranijo v šifrirani obliki (AES-256). |
|
Procesi za redno testiranje, preverjanje in ocenjevanje učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave |
• Testiranje opreme za nujne primere• Evidentiranje vmesnikov in polj osebnih podatkov
• Notranje in zunanje revizije • Varnostna preverjanja (npr. penetracijski testi), ki jih izvedejo zunanji subjekti • Revizije SOC 1 in 2 • Redne primerjalne analize in testiranje z industrijskimi standardi, npr. SANS top 20 kontrole za spletno varnost, smernice NIST itd. |
|
Ukrepi za identifikacijo in pooblaščanje uporabnikov |
• Varne povezave med omrežji, zaščitene z VPN, MFA, požarnimi zidovi itd.• Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke
• Beleženje avtentikacije in spremljanje dostopov do sistemov • Dostop do podatkov, ki je nujen za opravljanje določenih nalog, se zagotavlja v samih sistemih in aplikacijah na podlagi koncepta ustrezne vloge in pooblastila in v skladu z načelom „potrebe po vedenju“. • Požarni zid spletne aplikacije (WAF) |
|
Ukrepi za zaščito podatkov med prenosom |
• Oddaljeni dostop do omrežja prek tunela VPN in celovito šifriranje (end-to-end)• HTTPS šifriranje podatkov v prenosu (z uporabo TLS 1.2 ali novejšega) |
|
Ukrepi za zaščito podatkov med hrambo |
• Vnosi sistemov zabeleženi v dnevniških datotekah• Seznami nadzora dostopov (ACL)
• Večfaktorska avtentikacija (MFA) |
|
Ukrepi za zagotavljanje fizične varnosti na lokacijah, kjer se obdelujejo osebni podatki |
• Podrazdelitev objektov v posamezne cone z različnimi pooblastili dostopa• Fizična zaščita dostopa (npr. jeklena vrata, sobe brez oken ali z zaščitenimi okni)
• Elektronski sistemi nadzora dostopa za zaščito varovanih območij • Spremljanje objekta s strani varnostnih služb in beleženje dostopa do objekta • Videonadzor vseh varovanih območij, kot so vhodi, izhodi v sili in sobe s strežniki • Centralno dodeljevanje in razveljavljanje pooblastil dostopa • Identifikacija vseh obiskovalcev s preverjanjem njihove osebne izkaznice in registracije (vodi se dnevnik obiskovalcev) • Obvezna identifikacija na varovanih območjih za vse zaposlene in obiskovalce • Obiskovalce morajo ves čas spremljati zaposleni |
|
Ukrepi za zagotavljanje beleženja dogodkov |
• Beleženje na daljavo• Veriženje razpršitev (hash chaining)
• Reprodukcija • Sistem centralnega vodenja varnostnih dogodkov in informacij (SIEM) |
|
Ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo |
• Pravilnik in postopki nadzora dostopov• Identifikacija osnovne konfiguracije
• Načrtovanje in upravljanje konfiguracije • Upravljanje spremembe konfiguracije • Obračunavanje stanja konfiguracije • Verifikacija in revizija konfiguracije • Upravljanje mobilnih naprav |
|
Ukrepi za upravljanje in vodenje notranjega IT in IT-varnosti |
• Namenska in identificirana oseba, ki nadzira program informacijske varnosti in skladnosti v podjetju• Revizija SOC 1 in 2 |
|
Ukrepi za certificiranje/zagotavljanje procesov in izdelkov |
• Certifikati za informacijsko varnost ali vodenje kakovosti, kot sta SSAE 18 tipa 2 SOC 1 in SSAE18 tipa 2 SOC2 |
|
Ukrepi za zagotavljanje minimizacije podatkov |
• Tehnološke ovire za nepooblaščeno povezovanje neodvisnih virov podatkov.• Omejitev ravni podrobnosti, uporabljenih pri obdelavi osebnih podatkov: npr. prek tehnik, kot sta k-anonimnost in zamegljevanje.
• Izbris metapodatkov, ustvarjenih pri določenih procesih, ki niso potrebni za doseganje cilja. |
|
Ukrepi za zagotavljanje kakovosti podatkov |
• Proces za uveljavljanje pravice do zaščite podatkov (pravica do spremembe in pravica do posodobitve podatkov)• Jasna dokumentacija zahtev za vse pogoje in scenarije podatkov
• Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju“ in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa. Strogo profiliranje podatkov in nadzor vhodnih podatkov • Zasnova priprave podatkov v izogib podvojevanja podatkov • Ekipa za zagotavljanje kakovosti • Izvrševanje celovitosti podatkov |
|
Ukrepi za zagotavljanje omejene hrambe podatkov |
• Obstoj jasnih urnikov in pravilnikov hrambe• Preizkušanje učinkovitosti |
|
Ukrepi za zagotavljanje odgovornosti |
• Določitev odgovornosti za zagotovitev zasebnosti končnega uporabnika v življenjskem ciklu izdelka in pri ustreznih poslovnih procesih.• Ocene učinka o varstvu podatkov kot sestavni del vseh novih iniciativ obdelave.
• Evidentiranje vseh odločitev, ki se sprejemajo v organizaciji z vidika „zasnove zasebnosti“. |
|
Ukrepi za dopuščanje prenosljivosti podatkov in zagotavljanje izbrisa |
• Evidentirani procesi v zvezi z uveljavljanjem pravice do zasebnosti uporabnikov (npr. pravica do izbrisa ali pravica do prenosljivosti podatkov)• Uporaba odprtih formatov, kot so CSV, XML ali JSON |
|
Uporabljene omejitve ali varovala za občutljive podatke (če obstajajo) |
• Šifriranje ali razprševanje posebnih kategorij podatkov, čeprav to ni eksplicitna zakonska obveznost, mora biti norma |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar