Zmluva o spracúvaní osobných údajov

uzatvorená v súlade s čl. 28 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica č. 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „GDPR“) (ďalej len „zmluva“)

 

medzi:

 

1. Zmluvné strany

Prevádzkovateľ               

Organizácia:	………………………….
Sídlo:	…………………………..
IČO:	………………….
DIČ:	…………………….
IČDPH:

 

(ďalej v tejto zmluve len Prevádzkovateľ)

 

Sprostredkovateľ

Organizácia:	Cloud-IT s. r. o.
Sídlo:	Jozefská 7, 81106 Bratislava
IČO:	46731610
DIČ:	2023554896
IČDPH:	SK2023554896

 

(ďalej v tejto zmluve len poskytovateľ Sprostredkovateľ)

 

 

Prevádzkovateľ a Sprostredkovateľ ďalej spolu aj ako „zmluvné strany“ uzatvárajú túto zmluvu:

 

 

Čl. I

Úvodné ustanovenia a predmet zmluvy

 

1. Sprostredkovateľ (ako poskytovateľ) poskytuje pre Prevádzkovateľa (ako užívateľa) softvér RECRU na základe Zmluvy o poskytovaní aplikačných služieb RECRU zo dňa …………….. (ďalej len „Zmluva o poskytnutí služieb“). Pri poskytovaní služieb podľa predošlej vety Sprostredkovateľ v mene Prevádzkovateľa spracúva osobné údaje osôb, ktoré sú evidované v softvéri RECRU.
2. Predmetom zmluvy je úprava vzájomných práv a povinností zmluvných strán pri spracúvaní osobných údajov dotknutých osôb Sprostredkovateľom v mene Prevádzkovateľa a poverenie Sprostredkovateľa Prevádzkovateľom spracúvaním osobných údajov za podmienok dohodnutých v tejto zmluve. Zmluvné strany sa dohodli, že touto zmluvou sa dopĺňajú a menia tie ustanovenia Zmluvy o poskytnutí služieb, ktoré sa týkajú práv a povinností v oblasti ochrany a spracúvania osobných údajov, t. j. vo vzťahu k podmienkam spracúvania a ochrany osobných údajov sa zmluvné strany budú riadiť ustanoveniami tejto zmluvy.
3. Účel, dobu uchovávania spracúvaných osobných údajov, ktoré bude v jeho mene spracúvať Sprostredkovateľ ako aj právny základ ich spracúvania a prostriedky spracúvania určil Prevádzkovateľ. Prevádzkovateľ v súvislosti s vykonávaným spracúvaním zodpovedá za plnenie informačnej povinnosti voči dotknutým osobám podľa čl. 13 resp. 14 GDPR. Prevádzkovateľ zároveň vyhlasuje, že ak spracováva prostredníctvom softvéru RECRU osobitné kategórie osobných údajov, vo vzťahu k spracúvaniu osobitnej kategórie osobných údajov (údajov o zdraví dotknutých osôb) je splnená výnimka zo zákazu spracúvania osobných údajov podľa čl. 9 GDPR.

 

Čl. II

Poverenie na spracúvanie osobných údajov

 

1. Prevádzkovateľ touto zmluvou poveruje Sprostredkovateľa spracúvaním osobných údajov v mene Prevádzkovateľa:
2. a) predmet spracúvania: Sprostredkovateľ vykonáva spracúvanie osobných údajov prostredníctvom automatizovaných prostriedkov spracúvania, a to prostredníctvom softvéru RECRU;
3. b) doba spracúvania: odo dňa nadobudnutia účinnosti tejto zmluvy až po skončenie zmluvného vzťahu medzi zmluvnými stranami podľa čl. VII tejto zmluvy; Prevádzkovateľ určil dobu uchovávania osobných údajov spracúvaných na ďalej uvedené účely tak, že zohľadňuje dobu stanovenú zo strany Prevádzkovateľa voči dotknutej osobe a Prevádzkovateľ túto dobu voči Sprostredkovateľovi uplatní vymazaním osobných údajov Prevádzkovateľom v softvéri Sprostredkovateľa (softvér RECRU používaný v zmysle Zmluvy o poskytnutí služieb), čím dôjde k skončeniu spracúvania osobných údajov Sprostredkovateľom;
4. c) povaha spracúvania: spracúvanie zahŕňa spracovateľské operácie v zmysle čl. III ods. 1 písm. a);
5. d) na účel: vedenie databázy uchádzačov o zamestnanie; vedenie databázy zamestnancov Prevádzkovateľa; evidencia výsledkov psychologických testov; vedenie databázy klientov Prevádzkovateľa;
6. e) typy a zoznam osobných údajov, ktoré sú predmetom spracúvania:

• na účel vedenia databázy uchádzačov o zamestnanie Sprostredkovateľ bude spracúvať bežné osobné údaje ako titul, meno, priezvisko, trvalé bydlisko, prechodné bydlisko, dátum narodenia, rodné číslo, vek, štátna príslušnosť, kontaktné údaje (najmä telefónne číslo a e-mail), pracovné zaradenie, zamestnávateľ;
• na účel evidencie výsledkov psychologických testov Sprostredkovateľ bude spracúvať osobitnú kategóriu osobných údajov, a to údaje týkajúce sa zdravotného stavu uchádzača o zamestnanie alebo inej dotknutej osoby (uvedenej v kategóriách dotknutých osôb v bode 1 f) tohto článku) t.j. údaje o výsledkoch psychologických testov;
• na účel vedenia databázy zamestnancov (súčasní aj bývalí) Sprostredkovateľ bude spracúvať bežné osobné údaje ako titul, meno, priezvisko, trvalé bydlisko, prechodné bydlisko, dátum narodenia, rodné číslo, vek, štátna príslušnosť, kontaktné údaje (najmä telefónne číslo a e-mail), pracovné zaradenie, zamestnávateľ;
• na účel vedenia databázy klientov Sprostredkovateľ bude spracúvať bežné osobné údaje kontaktných osôb klientov Prevádzkovateľa ako titul, meno, priezvisko, fakturačná a korešpondenčná adresa, kontaktné údaje (najmä telefónne číslo a e-mail), pracovné zaradenie, väzba na zamestnávateľa;

1. f) kategórie dotknutých osôb: uchádzači o zamestnanie, zamestnanci (súčasní aj bývalí) a kontaktné osoby klientov Prevádzkovateľa.
2. V prípade, ak sa osobné údaje získavajú a spracúvajú na základe súhlasu dotknutých osôb, tieto súhlasy je povinný získať Prevádzkovateľ, ktorý súčasne zodpovedá za ich platnosť. Ak dotknutá osoba svoj súhlas odvolá, Prevádzkovateľ zabezpečí výmaz osobných údajov v systéme RECRU, čím dôjde aj k výmazu osobných údajov u Sprostredkovateľa.

 

Čl. III

Oprávnenia a povinnosti Sprostredkovateľa

 

1. Sprostredkovateľ je oprávnený:
2. získavať, zhromažďovať, analyzovať, zaznamenávať, usporadúvať, preskupovať, kombinovať, prehliadať, premiestňovať, uchovávať, kopírovať, sprístupňovať a likvidovať osobné údaje, a to v súlade s písomnými pokynmi Prevádzkovateľa;
3. uchovávať osobné údaje, a to výhradne na technických prostriedkoch Sprostredkovateľa;
4. spracúvať osobné údaje za účelom vytvárania štatistických zostáv po dohode
   s Prevádzkovateľom.
5. Sprostredkovateľ je povinný:
6. postupovať pri spracúvaní osobných údajov v súlade s touto zmluvou, GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“) a podľa ďalších písomne zdokumentovaných pokynov Prevádzkovateľa;
7. informovať bez zbytočného odkladu Prevádzkovateľa, ak má za to, že sa pokynom Prevádzkovateľa porušuje GDPR alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany osobných údajov;
8. zachovávať mlčanlivosť o osobných údajoch získaných od Prevádzkovateľa, s ktorými príde do styku, a to aj po skončení poverenia;
9. spracúvať osobné údaje len na určené účely podľa čl. II. bodu 1.d) tejto zmluvy;
10. spracúvať osobné údaje len v rozsahu uvedenom v čl. II bode 1.e) zmluvy;
11. udržiavať osobné údaje získané na rozdielne účely oddelene a zabezpečiť ochranu osobných údajov pred odcudzením, stratou, poškodením, náhodným alebo nezákonným zničením, neoprávneným prístupom k nim, zmenou a neoprávneným poskytnutím osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, pričom na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov;
12. neposkytovať a nesprístupňovať osobné údaje bez predchádzajúceho písomného súhlasu Prevádzkovateľa, okrem prípadov, ak poskytnutie a/alebo sprístupnenie je nevyhnutné na zabezpečenie spracúvania osobných údajov podľa tejto zmluvy, podľa pokynov Prevádzkovateľa alebo povinnosť poskytnutia a/alebo sprístupnenia osobných údajov vyplýva z osobitných právnych predpisov alebo na základe rozhodnutia orgánu verejnej moci;
13. po zohľadnení povahy spracúvania a v čo najväčšej miere pomáhať Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III GDPR a prijímať opatrenia na základe žiadosti dotknutej osoby pri uplatňovaní jej práv;
14. zlikvidovať osobné údaje dotknutých osôb bezodkladne po skončení Zmluvy o poskytnutí služieb a v súlade s článkom II ods. 1 písm. b) zmluvy a článkom VII zmluvy, .Prevádzkovateľ je oprávnený žiadať od Sprostredkovateľa potvrdenie o zlikvidovaní osobných údajov, a Sprostredkovateľ je povinný takejto požiadavke bezodkladne vyhovieť;
15. zabezpečiť, že všetky ním určené oprávnené osoby budú pred spracúvaním osobných údajov poučené a zaviazané, že zachovajú dôvernosť informácií, a to aj po zániku pracovného pomeru alebo iného právneho vzťahu k Sprostredkovateľovi;
16. oznámiť Prevádzkovateľovi každé porušenie ochrany osobných údajov (a to mailom na adresu: …………………………………………………) bezodkladne po tom, čo sa o porušení ochrany osobných údajov dozvedel a s prihliadnutím na povahu spracúvania a informácie dostupné Sprostredkovateľovi pomôcť Prevádzkovateľovi zabezpečiť splnenie jeho povinností vyplývajúcich z čl. 33 a 34 GDPR (oznamovacia povinnosť úradu a dotknutej osobe o porušení ochrany osobných údajov), a pokiaľ to je technicky možné, realizovať opatrenia, ktoré pomôžu minimalizovať potenciálne nepriaznivé dôsledky porušenia ochrany osobných údajov na dotknuté osoby;
17. bezodkladne po ukončení vykonávania služieb týkajúcich sa spracúvania osobných údajov (podľa Zmluvy o poskytnutí služieb) na základe písomného rozhodnutia Prevádzkovateľa všetky osobné údaje resp. dokumenty obsahujúce osobné údaje vymazať alebo vrátiť Prevádzkovateľovi a vymazať všetky existujúce kópie, ak právo Únie alebo členského štátu nepožaduje uchovávanie osobných údajov;
18. vykonať všetky požadované opatrenia podľa čl. 32 GDPR;
19. pomáhať Prevádzkovateľovi zabezpečiť plnenie jeho povinností podľa čl. 32 až 36 GDPR s prihliadnutím na povahu spracúvania a informácie.
20. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov, ak nesplnil povinnosti, ktoré GDPR ukladá výslovne sprostredkovateľom alebo ak konal nad rámec alebo v rozpore s pokynmi Prevádzkovateľa, ktoré boli v súlade so zákonom.
21. Zmluvné strany sa zaväzujú vzájomne si bezodkladne oznámiť všetky im známe skutočnosti, ktoré by na základe ich rozumného uváženia mohli mať za následok, že nebudú schopní riadne a včas plniť záväzky, ktoré im vyplývajú z tejto zmluvy.

 

Čl. IV

Vyhlásenie, povinnosti a oprávnenia prevádzkovateľa

 

1. Prevádzkovateľ je povinný poskytovať Sprostredkovateľovi zákonne získané, správne a aktualizované osobné údaje. V prípade zmeny v poskytnutých údajoch oznámi Prevádzkovateľ tieto zmeny bez zbytočného odkladu Sprostredkovateľovi a to najmä zaevidovaním zmeny v softvéri RECRU.
2. Prevádzkovateľ je povinný zabezpečiť informovanie dotknutých osôb o tom, že ich údaje spracúva Sprostredkovateľ podľa článku 13 a 14 GDPR.
3. Prevádzkovateľ sa zaväzuje, že predloží Sprostredkovateľovi včas zákonné a zdokumentované pokyny a zároveň, že nevydá Sprostredkovateľovi žiadne pokyny, ktoré by boli v rozpore s účinnými právnymi predpismi upravujúcimi spracúvanie osobných údajov
4. Prevádzkovateľ vyhlasuje, že pri výbere Sprostredkovateľa postupoval v súlade s čl. 28 ods. 1 GDPR t. j. dbal na odbornú, technickú, organizačnú a personálnu spôsobilosť Sprostredkovateľa a jeho schopnosť poskytnúť dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo zákonné požiadavky a aby sa zabezpečila ochrana práv dotknutej osoby. V prílohe č. 1 k tejto zmluve je uvedený opis opatrení implementovaných Sprostredkovateľom na zaistenie integrity a dôvernosti spracúvaných osobných údajov.
5. Prevádzkovateľ je oprávnený požadovať od Sprostredkovateľa preukázanie splnenia všetkých povinností vyplývajúcich z čl. 28 GDPR, vrátane vykonania primeraných bezpečnostných opatrení na ochranu osobných údajov a Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie ich splnenia.
6. Prevádzkovateľ je oprávnený vykonať u Sprostredkovateľa audit a kontrolu ochrany osobných údajov a Sprostredkovateľ je povinný poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Prevádzkovateľa alebo audítora, ktorého poveril. Audit u Sprostredkovateľa, ktorý musí byť oznámený s dostatočným časovým predstihom, nesmie neprimerane zasahovať do činností Sprostredkovateľa.

 

Čl. V

Podmienky zapojenia subdodávateľa

 

1. Prevádzkovateľ týmto udeľuje Sprostredkovateľovi všeobecný súhlas na poverenie ďalších sprostredkovateľov so spracúvaním osobných údajov, ktorými sú sprostredkovatelia týchto kategórií:

• poskytovatelia služieb prevádzkovania serverov a databáz RECRU v cloude v certifikovanom dátovom centre
• subdodávatelia Prevádzkovateľa v oblasti správy, riadenia a údržby softvéru RECRU (programátori a IT špecialisti).

 

2. Aktuálny zoznam subdodávateľov podľa bodu 1. tohto článku zmluvy Sprostredkovateľ predloží Prevádzkovateľovi na požiadanie.
3. Sprostredkovateľ dodržiava podmienky zapojenia ďalšieho sprostredkovateľa do spracovateľských operácií stanovené v tejto zmluve a GDPR.

 

Čl. VI

Ostatné dohodnuté podmienky

 

1. Zmluvné strany si na požiadanie počas účinnosti tejto zmluvy písomnou formou oznámia mená a kontaktné údaje zamestnancov, ktorí sú oprávnení konať za zmluvnú stranu pri plnení úloh vyplývajúcich z tejto zmluvy. Prípadnú zmenu uvedených údajov si zmluvné strany bezodkladne oznámia ústne, e – mailom alebo telefonicky na adresu druhej zmluvnej strany uvedenú v zmluve.
2. Sprostredkovateľ nesmie prenášať osobné údaje do tretích krajín alebo do medzinárodnej organizácie bez predchádzajúceho písomného súhlasu Prevádzkovateľa, okrem prenosu ak si to vyžaduje právo Únie alebo členského štátu, ktorému Sprostredkovateľ podlieha; Sprostredkovateľ je pri takom prenose povinný oznámiť Prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu.
3. Sprostredkovateľ a každá osoba konajúca na základe poverenia Sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

 

Čl. VII

Doba trvania a zánik zmluvy

 

1. Zmluva sa uzatvára na dobu určitú, do doby trvania zmluvného vzťahu medzi Prevádzkovateľom a Sprostredkovateľom na základe Zmluvy o poskytnutí služieb.
2. V prípade ukončenia platnosti Zmluvy o poskytnutí služieb stráca platnosť aj táto zmluva, s výnimkou ustanovení, ktoré majú vzhľadom na svoju povahu trvať aj po jej ukončení.
3. Sprostredkovateľ je povinný do 30 dní po ukončení poskytovania služieb podľa Zmluvy o poskytnutí služieb, v zmysle ktorej dochádza k spracúvaniu osobných údajov dotknutých osôb, vymazať osobné údaje dotknutých osôb spracúvaných na základe tejto zmluvy. Toto ustanovenie sa považuje za rozhodnutie Prevádzkovateľa podľa článku 28 3 písm. g) GDPR.
4. Ak Poskytovateľ Sprostredkovateľovi v 30 dňovej lehote podľa predchádzajúceho bodu oznámi, že namiesto vymazania osobných údajov požaduje ich vrátenie, považuje za to za zmenu rozhodnutia Prevádzkovateľa v zmysle predchádzajúceho bodu tohto článku a Sprostredkovateľ vráti osobné údaje Prevádzkovateľovi. Prevádzkovateľ je povinný nahradiť Sprostredkovateľovi náklady súvisiace s vrátením osobných údajov, ktoré si strany dohodli ako paušálnu odplatu v Zmluve o poskytnutí služieb.
5. Sprostredkovateľ rovnako v lehote 30 dní po ukončení poskytovania služieb podľa Zmluvy o poskytnutí služieb, v zmysle ktorej dochádza k spracúvaniu osobných údajov dotknutých osôb vymaže aj všetky existujúce kópie, ktoré obsahujú osobné údaje poskytnuté na základe Zmluvy o poskytnutí služieb alebo tejto zmluvy, ak právo EU alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov.
6. Prevádzkovateľ poskytne Sprostredkovateľovi všetku potrebnú súčinnosť pri vrátení, prípadne vymazaní osobných údajov po skončení zmluvy.

 

Čl. VIII

Záverečné ustanovenia

 

1. Práva a povinnosti touto zmluvou neupravené sa riadia príslušnými ustanoveniami všeobecne záväzných právnych predpisov.
2. Upozornenie na nedodržiavanie ustanovení tejto zmluvy ako aj písomnosti súvisiace so zmenou alebo skončením tejto zmluvy sa vždy doručia druhej zmluvnej strane v písomnej forme na adresu uvedenú v záhlaví tejto zmluvy, dokiaľ nie je zmena adresy písomne oznámená zmluvnej strane, ktorá písomnosť doručuje. Ak sa písomnosť vráti nedoručená, platí, že účinky doručenia nastávajú tretím dňom po vrátení zásielky zmluvnej strane, ktorá zásielku doručuje. Ostatné písomnosti si môžu strany doručovať písomne alebo prostredníctvom  e-mailu. Pri písomnom doručovaní sa písomnosť zasiela na adresu uvedenú v záhlaví tejto zmluvy, dokiaľ nie je zmena adresy písomne oznámená zmluvnej strane, ktorá písomnosť doručuje a platí, že ak sa písomnosť vráti nedoručená, účinky doručenia nastávajú tretím dňom po vrátení zásielky zmluvnej strane, ktorá zásielku doručuje. Pri doručovaní e-mailom platí že účinky doručenia nastávajú odoslaním e-mailu, ak sa správa nevrátila ako nedoručená.
3. Táto zmluva nadobúda platnosť a účinnosť dňom jej podpisu obidvoma zmluvnými stranami.
4. Právne vzťahy touto zmluvou neupravené a spravujú právnymi predpismi Slovenskej republiky. Zmluvné strany sa dohodli, že prípadné spory vyplývajúce z tejto zmluvy budú riešiť predovšetkým vzájomným rokovaním zástupcov zmluvných strán, inak prostredníctvom vecne a miestne príslušného súdu Slovenskej republiky.
5. Zmeny a doplnenia tejto zmluvy možno uskutočniť len na základe dohody zmluvných strán písomným a očíslovaným dodatkom k zmluve.
6. Zmluvné strany vyhlasujú, že si túto zmluvu pred jej podpísaním prečítali, že bola uzatvorená po vzájomnej dohode, podľa ich slobodnej vôle a nie v tiesni, ani za inak nápadne nevýhodných podmienok. Zmluvné strany s obsahom tejto zmluvy súhlasia a na znak súhlasu ju vlastnoručne podpisujú.
7. Táto zmluva bola vyhotovená v dvoch originálnych rovnopisoch, po jednom rovnopise pre každú zmluvnú stranu.

 

 

Prílohy:

1. Opis technických a organizačných opatrení implementovaných Sprostredkovateľom

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Príloha č. 1 

 

 

Opis technických a organizačných opatrení implementovaných Sprostredkovateľom

 

S prihliadnutím na najmodernejšie technológie, náklady implementácie a povahu, rozsahu, kontext a účely spracúvania, ako aj riziko premenlivej pravdepodobnosti a závažnosti práv a slobôd fyzických osôb, Sprostredkovateľ implementuje nasledujúce technické a organizačné opatrenia na zaistenie úrovne bezpečnosti úmernej rizikám ohrozujúcim práva a slobody fyzických osôb. Pri vyhodnocovaní primeranej úrovne bezpečnosti Prevádzkovateľ a Sprostredkovateľ zohľadnili predovšetkým riziká, ktoré súvisia so spracúvaním, a to najmä možnosť náhodného alebo nezákonného zničenia, straty, pozmenenia, nepovoleného odhalenia alebo sprístupnenia osobných údajov, ktoré sú prenášané, uchovávané alebo spracúvané iným spôsobom.

 

1. Pseudonymizácia

Na riešenie pseudonymizácie osobných údajov nie sú implementované opatrenia.

2. Šifrovanie

Na riešenie šifrovania osobných údajov sú implementované nasledujúce opatrenia:

• Symetrické šifrovanie – HTTPS (overený certifikačnou autoritou DigiCert Inc.), SSH
• Asymetrické šifrovanie prenosu dát – MD5, SHA1, HASH

3. Dôvernosť systémov spracúvania a služieb

Na zabezpečenie dôvernosti systémov spracúvania a služieb sú implementované nasledujúce opatrenia:

• zabránenie prístupu neoprávnených osôb do systémov na spracúvanie údajov, v ktorých sa používajú alebo uchovávajú osobné údaje
• každý administrátor má svoje vlastné unikátne prihlasovacie údaje
• nastavenie možnosti zmeny hesla po prvom prihlásení
• heslá sú kryptované algoritmom MD5
• heslo musí mať minimálne 6 znakov (v tom jedno veľké písmeno a jedno číslo)

Rotácia hesiel je v plnej správe užívateľa softvéru (Prevádzkovateľa).

 

• zabránenie používaniu systémov na spracúvanie údajov bez riadneho oprávnenia a zabezpečenie, aby osoby oprávnené používať systémy na spracúvanie údajov mali prístup len k údajom, ku ktorým majú právo pristupovať; zabezpečenie, aby sa osobné údaje nedali v priebehu spracúvania a uchovávania čítať, kopírovať, pozmeňovať, upravovať alebo odstraňovať bez oprávnenia

Manažment prístupov (nastavenie prístupov, zmena a zrušenie prístupových práv) je plne v správe užívateľa softvéru (Prevádzkovateľa).

 

• zabezpečenie, aby sa osobné údaje nedali bez oprávnenia pozmeňovať, upravovať alebo odstraňovať v priebehu elektronického prenosu alebo prepravy
• logovanie exportov (prenosov) údajov a všetkých podstatných zmien údajov (zmeny sú dohľadateľné podľa užívateľa softvéru)

1. Integrita systémov spracúvania a služieb

Na zabezpečenie integrity systémov spracúvania a služieb sú implementované nasledujúce opatrenia:

• zabezpečenie možnosti kontrolovať a stanoviť či a kto zadal osobné údaje do systému na spracúvanie údajov, kto ich upravoval alebo odstránil

– každá zmena osobných údajov je logovaná a dohľadateľná podľa užívateľom softvéru a dátumu zmeny údaja

2. Dostupnosť systémov spracúvania a služieb

Na zabezpečenie dostupnosti systémov spracúvania a služieb sú implementované nasledujúce opatrenia:

– dostupnosť služby v zásade 24/7

– hardwarové riešenie redundantného clustera 13 serverov (zabezpečená nahraditeľnosť serverov v prípade technických problémov)

– zálohovanie údajov na troch miestach (1. dátové centrum, v ktorom sa nachádzajú produkčné servre, 2. v inom dátovom centre v inom členskom štáte EÚ, 3. na externom disku v rámci SR, mimo dátového centra)

3. Odolnosť systémov spracúvania a služieb

Na zabezpečenie odolnosti systémov spracúvania a služieb sú implementované nasledujúce opatrenia:

– ochrana pred DdoS útokmi na úrovni centrálneho sieťového switch-a

– monitoring neoprávnených pokusov o prienik do systému

 

4. Schopnosť včas obnoviť dostupnosť a prístup k osobným údajov v prípade fyzického alebo technického incidentu

Na zabezpečenie schopnosti včas obnoviť dostupnosť a prístup k osobným údajov v prípade fyzického alebo technického incidentu sú implementované nasledujúce opatrenia:

– zálohovanie údajov na troch miestach:

1. dátové centrum – dostupnosť okamžite
2. externé dátové centrum v inom členskom štáte EÚ – dostupnosť závislá od rýchlosti siete do 4 hodín
3. na externom záložnom disku – dostupnosť do 12 hodín

– schopnosť obnovenia prevádzky softvéru pri poruche – cca do 4 hodín v závislosti od závažnosti poruchy; v provizórnom režime vieme ponúknuť riešenie do 4 hodín v externom dátovom centre

5. Proces pre pravidelné testovanie, posudzovanie a vyhodnocovanie účinnosti technických a organizačných opatrení

Na riešenie pravidelného testovania, posudzovania a vyhodnocovania účinnosti technických a organizačných opatrení sú implementované nasledujúce opatrenia:

– vykonávanie pravidelných interných kontrol

– certifikát ISO 9001

 

 

 

V Bratislave dňa                                                                                   V Bratislave dňa

 

 

 

 

__________________                                                               __________________

za Prevádzkovateľa                                                                 za Sprostredkovateľa