Dodatek ke zpracování údajů
Shrnutí
Naposledy aktualizováno: 07/16/2025
Tento Dodatek ke zpracování údajů ("DPA") doplňuje a je začleněn do jakékoli smlouvy mezi společností Netradyne a osobou nebo subjektem ("Zákazník"), která upravuje používání produktů a služeb Netradyne Zákazníkem, ať už se jedná o (i) používání na základě přímé smlouvy s Netradyne, (ii) prostřednictvím prodejce, nebo (iii) dle jiných podmínek služby nebo smlouvy, které takové používání umožňují (společně, "Smlouva"). Pokud Zákazník přistupuje k Produktům a Službám prostřednictvím prodejce, může být přijetí tohoto DPA ze strany Zákazníka uskutečněno elektronickými prostředky, aktivací produktu nebo pokračováním v používání Produktů a Služeb. Tento DPA je smlouvou mezi Zákazníkem (společně se všemi jeho přidruženými společnostmi používajícími Produkty a Služby podle Smlouvy) a Netradyne (každý "Strana" a společně "Strany").
1. Definice
V tomto Dodatku budou mít následující pojmy významy uvedené níže:
1.1. "Osobní údaje zákazníka" znamenají jakékoli osobní údaje podléhající zákonům o ochraně údajů obsažené v datech Zákazníka, které Zákazník poskytne nebo zpřístupní společnosti Netradyne a které společnost Netradyne zpracovává jménem Zákazníka v souladu se Smlouvou.
1.2. "Zákony o ochraně údajů" znamenají, podle případu, (i) Obecné nařízení o ochraně osobních údajů EU (EU 2016/679) ("EU GDPR"), jeho začlenění do právních předpisů Anglie a Walesu, Skotska a Severního Irska v důsledku UK European Union (Withdrawal) Act 2018 ("UK GDPR"); (ii) švýcarský federální zákon o ochraně údajů ("FADP"); (iii) federální a/nebo státní zákony Spojených států týkající se ochrany údajů nebo soukromí, včetně, ale nikoli výlučně, Kalifornského zákona o ochraně osobních údajů spotřebitelů z roku 2018, novelizovaného The California Privacy Rights Act of 2020 (společně s jeho vykonávacími předpisy, "CPRA"); (iv) belgický zákon o ochraně údajů ze dne 30. července 2018 ("BDPA") a/nebo (v) jakékoli jiné příslušné národní právní předpisy v Evropském hospodářském prostoru nebo ve Spojeném království, které doplňují EU GDPR nebo UK GDPR (podle případu), a/nebo příslušné zákony o ochraně soukromí a/nebo zákony o ochraně údajů v jakékoli zemi; v každém případě včetně jejich případných změn, nahrazení nebo novelizací.
1.3. "Správce" znamená subjekt, který určuje prostředky a účely zpracování osobních údajů.
1.4. "Subjekt údajů" znamená fyzickou osobu, které se osobní údaje týkají.
1.5. "EU SCCs" znamenají Standardní smluvní doložky připojené k prováděcímu rozhodnutí Komise EU 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro přenos osobních údajů do třetích zemí podle Nařízení (EU) 2016/679 Evropského parlamentu a Rady.
1.6. "Osobní údaje" znamenají "personal data", "personal information" nebo "personally identifiable information" nebo jakýkoli obdobný pojem podle zákonů o ochraně údajů, jak jsou tyto pojmy definovány v těchto zákonech.
1.7. "Porušení ochrany osobních údajů" znamená jakékoli narušení bezpečnosti, které by podle Zákonů o ochraně údajů vyžadovalo (i) aby Netradyne oznámila Zákazníkovi nebo (ii) aby Zákazník oznámil dozorovému orgánu nebo dotčeným osobám, nebo aby o něm vedl záznam, a které se týká osobních údajů podléhajících tomuto Dodatku.
1.8. "Zpracování" znamená jakoukoli operaci nebo soubor operací, které se provádějí na osobních údajích nebo na souborech osobních údajů.
1.9. "Zpracovatel" znamená subjekt, který zpracovává osobní údaje jménem Správce.
1.10. "Dozorový orgán" znamená vládní nebo regulační orgán odpovědný za správu, dohled nad dodržováním a/nebo vymáhání Zákonů o ochraně údajů.
1.11. Termíny psané velkým písmenem, které zde nejsou jinak definovány, mají význam uvedený ve Smlouvě.
2. Rozsah platnosti tohoto DPA
Tento DPA se vztahuje tehdy a pouze do té míry, že Netradyne zpracovává osobní údaje Zákazníka jménem Zákazníka jako Zpracovatel (nebo pod‑zpracovatel), a co se týče CPRA, jako "service provider" nebo "contractor" při poskytování Produktů a Služeb podle Smlouvy.
V případě a do rozsahu, v jakém existuje rozpor mezi ustanoveními Smlouvy a tímto DPA, mají přednost ustanovení tohoto DPA. V případě a do rozsahu, v jakém existuje rozpor mezi ustanoveními tohoto DPA a SCCs nebo UK Addendum, mají přednost SCCs nebo UK Addendum (podle případu) v rozsahu takového rozporu. S výhradou výslovných změn uvedených v této smlouvě zůstávají ustanovení Smlouvy v plné platnosti a účinnosti.
3. Role a rozsah zpracování
3.1. Role stran
Mezi stranami vystupuje Netradyne jako Zpracovatel (nebo pod‑zpracovatel, poskytovatel služeb nebo dodavatel) osobních údajů Zákazníka.
3.2. Pokyny Zákazníka
3.2.1. Netradyne bude zpracovávat osobní údaje Zákazníka přesně tak, jak je stanoveno ve Smlouvě, v tomto DPA a/nebo v písemných pokynech Zákazníka, nebo jak to jinak vyžaduje příslušné právo, jemuž Netradyne podléhá ("Pokyny Zákazníka"). Pokud je Netradyne podle příslušného práva povinna zpracovávat osobní údaje Zákazníka jinak než v souladu s Pokyny Zákazníka, Netradyne v rozsahu, který příslušné právo připouští, informuje Zákazníka o tomto právním požadavku před takovým zpracováním, pokud toto právo z důležitých důvodů veřejného zájmu takové informování nezakazuje.
3.2.2. Netradyne bezodkladně oznámí Zákazníkovi, pokud se dle názoru Netradyne Pokyny Zákazníka dostávají do rozporu s příslušným právem, nebo pokud Netradyne zjistí, že již nemůže plnit své povinnosti podle příslušného práva. Netradyne je oprávněna pozastavit plnění takových Pokynů Zákazníka.
3.2.3. Zákazník zajistí, že jeho Pokyny Zákazníka nezpůsobí, že by Netradyne porušila jakékoli příslušné zákony nebo předpisy.
4. Personál Netradyne
4.1. Netradyne zajistí, že její zaměstnanci, zástupci, dodavatelé a další osoby, které mají přístup k osobním údajům: (a) tak činí pouze v rozsahu nezbytném pro poskytování Služeb; a (b) jsou vázáni vhodnými závazky mlčenlivosti, které nejsou méně ochranné než ty, které jsou uvedeny ve Smlouvě
5. Zabezpečení
5.1. Netradyne zavede a bude udržovat vhodná technická a organizační bezpečnostní opatření určená k ochraně osobních údajů Zákazníka. Netradyne provede opatření obsažená v Příloze II. Netradyne může tato opatření čas od času upravovat, za předpokladu, že úpravy nebudou podstatně snižovat celkovou úroveň zabezpečení osobních údajů Zákazníka.
6. Podzpracování
6.1. Zákazník tímto poskytuje obecné oprávnění přidruženým společnostem Netradyne, jakož i dalším třetím stranám uvedeným v Příloze 3, aby byly podzpracovateli (každý "Podzpracovatel"). Netradyne může zpřístupnit osobní údaje Zákazníka svým podzpracovatelům za účelem poskytování Produktů a Služeb, za podmínky, že podzpracovatelé Netradyne přijmou závazné povinnosti v oblasti ochrany údajů, které nejsou méně přísné než ty, které jsou stanoveny v tomto DPA.
6.2. Zákazník má právo vznést námitku proti jakékoli změně podzpracovatelů, o níž Netradyne průběžně informuje, během třiceti (30) kalendářních dnů od takového oznámení. Pokud Zákazník proti takové změně v uvedené lhůtě nevznešel námitku, má se za to, že s touto změnou souhlasí. Pokud existuje hmotně významný důvod pro takové vznesení námitky a je Netradyne doručen písemně, a pokud se strany nedohodnou na smírném řešení této záležitosti (každá Strana jedná rozumně a v dobré víře), může Zákazník ukončit příslušné Objednávkové formuláře výlučně ve vztahu k dotčeným funkcím nebo funkčnostem Produktů a Služeb.
6.3. Netradyne zůstane odpovědná za činy nebo opomenutí podzpracovatelů v takovém rozsahu, jaký vyžadují Zákony o ochraně údajů, jako by tato jednání nebo opomenutí byla provedena společností Netradyne, a bude oprávněna tato povinnosti znovu splnit nebo zajistit jejich opětovné splnění. Zákazník bere na vědomí a souhlasí, že takové opětovné splnění omezí jakýkoli nárok, který má Zákazník vůči Netradyne v souvislosti s odpovědností podzpracovatele.
7. Žádosti subjektů údajů
7.1. Netradyne oznámí a poskytne pomoc Zákazníkovi, pokud obdrží žádosti od subjektů údajů o uplatnění jejich práv (Žádosti subjektů údajů), za předpokladu, že Netradyne může z informací poskytnutých subjekty údajů za rozumných okolností identifikovat, že se taková žádost týká Zákazníka nebo osobních údajů Zákazníka. Netradyne na žádnou takovou žádost nebude odpovídat, pokud to nebude vyžadovat příslušné právo. Netradyne může požadovat, aby Zákazník uhradil skutečné náklady vzniklé v důsledku poskytnuté pomoci podle této části, na základě tehdy platných sazeb služeb Netradyne.
7.2. Pro vyloučení pochybností nese Zákazník jako Správce odpovědnost za odpovídání na Žádosti subjektů údajů. Produkty a Služby Netradyne obsahují technická a organizační opatření navržená tak, aby pomohla Zákazníkovi při vyřizování Žádostí subjektů údajů.
8. Žádosti třetích stran
Netradyne bude:
(a) pokud ji to zákon nebrání, bez zbytečného odkladu oznámí Zákazníkovi (a v každém případě do 72 hodin) jakoukoli žádost o informace od nebo stížnost od dozorového orgánu, regulátora, orgánu činného v trestním řízení nebo agentury pro kreditní zprávy, ve vztahu k osobním údajům, které Netradyne zpracovává v souvislosti se Smlouvou; a
(b) na žádost Zákazníka projedná a bude spolupracovat při přípravě jakékoli odpovědi na takovou žádost;
(c) neodpovídat na takovou žádost bez předchozího písemného souhlasu Zákazníka, pokud k tomu není zákonně nucena.
Pokud jí to zákon nebrání, Netradyne nejprve oznámí Zákazníkovi, než učiní jakékoli oznámení nebo sdělení třetí straně související s Porušením ochrany osobních údajů, a získá předchozí písemný souhlas Zákazníka.
9. Porušení ochrany osobních údajů
9.1. Netradyne bez zbytečného odkladu oznámí Zákazníkovi, jakmile se dozví o Porušení ochrany osobních údajů, které ovlivňuje osobní údaje Zákazníka. Pro vyloučení pochybností Porušení ochrany osobních údajů nezahrnuje (i) činy nebo opomenutí, které nejsou přímo připsatelné Netradyne nebo jejím podzpracovatelům; nebo (ii) jakýkoli přístup k osobním údajům Zákazníka nebo zpracování těchto údajů, které je v souladu s Pokyny Zákazníka. Na žádost Zákazníka poskytne Netradyne přiměřenou pomoc a spolupráci, aby pomohla Zákazníkovi splnit jakékoli příslušné oznamovací povinnosti podle příslušných Zákonů o ochraně údajů ve vztahu k Porušení ochrany osobních údajů. Oznámení nebo reakce Netradyne na Porušení ochrany osobních údajů nebude vykládáno jako přiznání viny nebo odpovědnosti ze strany Netradyne nebo, pokud je to relevantní, jejích podzpracovatelů ve vztahu k plnění Produktů a Služeb. Netradyne může požadovat, aby Zákazník uhradil skutečné náklady vzniklé v důsledku poskytnuté pomoci podle této části, na základě tehdy platných sazeb služeb Netradyne.
10. Posouzení dopadu na ochranu údajů a předběžné konzultace
10.1. Na žádost Zákazníka poskytne Netradyne přiměřenou pomoc Zákazníkovi při posouzeních dopadu na ochranu údajů a při předběžných konzultacích s dozorovými orgány, které vyžadují Zákony o ochraně údajů, vždy však pouze v souvislosti se zpracováním osobních údajů Zákazníka Netradyne podle Smlouvy a s ohledem na povahu zpracování a informace dostupné Netradyne. Netradyne si vyhrazuje právo účtovat za takto požadovanou pomoc přiměřený poplatek, do míry povolené příslušným právem.
11. Práva na audit
11.1. Na písemnou žádost a bez dodatečných nákladů pro Zákazníka poskytne Netradyne Zákazníkovi a/nebo jeho řádně kvalifikovanému zástupci třetí strany (společně „Auditor") přístup k dokumentaci prokazující dodržování povinností Netradyne podle tohoto DPA ve formě zpráv z příslušných auditů nebo certifikací, jako je ISO 27001, nebo vyplněných standardních průmyslových dotazníků (společně „Zprávy"). Takové Zprávy budou považovány za důvěrné informace Netradyne podle ustanovení o důvěrnosti ve Smlouvě. Zákazník souhlasí, že Reports budou použity k uspokojení jakéhokoli požadavku na audit nebo inspekci ze strany nebo jménem Zákazníka ve vztahu k zákonům o ochraně osobních údajů, této DPA a/nebo Smlouvě.
11.2. Pokud je Auditor třetí stranou, může být od Auditora požadováno, aby před jakýmkoli přezkumem nebo auditem Netradyne podepsal samostatnou dohodu o mlčenlivosti s Netradyne. Netradyne může písemně vznést námitku proti takovému Auditorovi, pokud má Netradyne za to z rozumného hlediska, že Auditor není dostatečně kvalifikovaný nebo je konkurentem Netradyne. Taková námitka ze strany Netradyne bude vyžadovat, aby Zákazník buď ustanovil jiného Auditora, nebo provedl audit sám. Veškeré náklady vynaložené Auditorem v souvislosti s jakýmkoli přezkumem Reports nebo auditem ponese výlučně Auditor.
11.3. Pokud není Report dostupný, může Zákazník na základě 30denního písemného předchozího oznámení a nejvýše jednou za kalendářní rok požádat, aby na vlastní náklady provedl přezkum, jehož rozsah, termíny, délka trvání, auditor a případná bezpečnostní a/nebo opatření k zachování důvěrnosti budou vzájemně dohodnuty, příslušných politik a postupů Netradyne upravujících nakládání Netradyne s Customer Personal Data v souvislosti s Produkty za účelem ověření souladu Netradyne s touto DPA. Tento přezkum bude proveden způsobem, který neohrozí povinnosti Netradyne týkající se důvěrnosti vůči jiným zákazníkům Netradyne. Strany berou na vědomí a souhlasí s tím, že politiky a postupy Netradyne a všechna zjištění z přezkumu Zákazníka jsou důvěrnými informacemi Netradyne podle ustanovení o důvěrnosti ve Smlouvě.
11.4. Do rozsahu vyžadovaného zákony o ochraně osobních údajů má Zákazník právo po písemném oznámení Netradyne přijmout rozumná a přiměřená opatření k zastavení a nápravě jakéhokoli použití Customer Personal Data, které je v rozporu se Smlouvou.
12. Data transfers
12.1. Netradyne může převádět Customer Personal Data do kteréhokoli státu nebo území, pokud je to rozumně nezbytné pro poskytování Produktů a Služeb, v souladu s touto DPA. Do rozsahu, v jakém takový převod zahrnuje Customer Personal Data chráněná zákony o ochraně osobních údajů platnými v Evropské unii, Spojeném království a/nebo Švýcarsku, se Netradyne a Zákazník dohodli dodržovat a zpracovávat Customer Personal Data v souladu s níže uvedenými mechanismy přenosu.
12.1.1. Do rozsahu, v jakém je Netradyne příjemcem Customer Personal Data – v roli zpracovatele údajů – chráněných podle EU GDPR ("EU Data") v zemi mimo Evropský hospodářský prostor (EHP), která není podle zákonů o ochraně údajů považována za poskytující adekvátní úroveň ochrany osobních údajů, se Zákazník (jako "data exporter") a Netradyne (jako "data importer") dohodli dodržovat a zpracovávat EU Data v souladu s EU SCCs, které se tímto považují za začleněné do této DPA a její součást, následovně:
- Bude se vztahovat modul dva;
- v bodě 7 se volitelná doložka o navázání neuplatní;
- v bodě 9 se použije varianta 2 a lhůta pro předběžné oznámení změn týkajících se subzpracovatelů bude v souladu s ustanovením bodu 6.2 této DPA;
- v bodě 11 se tato volitelná formulace neuplatní;
- v odstavci 13 písm. a) se použije první odstavec;
- v bodě 17 se použije varianta I a standardní smluvní podmínky EU se budou řídit právem Nizozemska;
- podle čl. 18 písm. b) se spory řeší před nizozemskými soudy;
- Příloha I standardních smluvních doložek EU se považuje za doplněnou o informace uvedené v příloze 1 této dohody o zpracování osobních údajů; a
- S výhradou ustanovení článku 5. Článek 1 této dohody o zpracování údajů (DPA) a příloha II standardních smluvních doložek EU se považují za doplněné o informace uvedené v příloze 2 této dohody o zpracování údajů.
- Příloha III smlouvy o zpracování údajů (seznam subzpracovatelů) se považuje za doplněnou o údaje uvedené v příloze 3 této dohody o zpracování údajů.
12.1.2. V případě, že společnost Netradyne přijímá osobní údaje zákazníka chráněné švýcarským zákonem o ochraně osobních údajů („švýcarské údaje“) v zemi mimo Švýcarsko, která není podle právních předpisů o ochraně osobních údajů uznána jako země poskytující přiměřenou úroveň ochrany osobních údajů, zákazník (jako „vývozce údajů“) a společnost Netradyne (jako „dovozce údajů“) se zavazují dodržovat a zpracovávat švýcarské údaje v souladu s standardními smluvními doložkami EU, které se považují za začleněné do této DPA a tvoří její součást v souladu s bodem 12.1.1 výše a úpravami v následujícím bodě.
12.1.3. V případě, že společnost Netradyne přijímá osobní údaje zákazníka chráněné britskými zákony o ochraně osobních údajů („britské údaje“) v zemi mimo Spojené království, která není Spojeným královstvím uznána jako země poskytující přiměřenou úroveň ochrany osobních údajů, zákazník (jako „vývozce údajů“) a společnost Netradyne (jako „dovozce údajů“) se zavazují dodržovat a zpracovávat britské údaje v souladu s standardními smluvními doložkami EU, jak jsou implementovány v souladu s bodem 12.1.1 výše a úpravami v následujícím bodě. V případě, že společnost Netradyne přijímá osobní údaje zákazníka chráněné britskými zákony o ochraně osobních údajů („britské údaje“) v zemi mimo Spojené království, která není Spojeným královstvím uznána jako země poskytující přiměřenou úroveň ochrany osobních údajů, zákazník (jako „vývozce údajů“) a společnost Netradyne (jako „dovozce údajů“) se zavazují dodržovat a zpracovávat britské údaje v souladu s standardními smluvními doložkami EU, jak jsou implementovány v souladu s bodem 12.1.1 výše a úpravami v následujícím bodě. Pro účely standardních smluvních doložek Spojeného království se má za to, že příslušné přílohy, dodatky nebo tabulky obsahují informace uvedené v přílohách 1 a 2 této dohody o zpracování osobních údajů.
12.1.4. V souvislosti s předáváním údajů z Velké Británie nebo Švýcarska se použijí standardní smluvní doložky EU, jak jsou zavedeny v bodě 12.1.1 výše, s následujícími úpravami (které mohou být čas od času měněny v souladu s pokyny Úřadu britského komisaře pro informace nebo švýcarského federálního komisaře pro ochranu údajů):
12.1.4.1. odkazy na „nařízení (EU) 2016/679“ se vykládají jako odkazy na britské právní předpisy o ochraně osobních údajů nebo na švýcarský zákon o ochraně osobních údajů (podle toho, co je relevantní);
12.1.4.2. odkazy na konkrétní články „nařízení (EU) 2016/679“ se nahrazují odpovídajícím článkem nebo oddílem britských zákonů o ochraně osobních údajů nebo švýcarského zákona o ochraně osobních údajů (podle toho, co se použije);
12.1.4.3. odkazy na „EU“, „Unii“, „členský stát“ a „právo členského státu“ se nahrazují odkazy na „Spojené království“ nebo „Švýcarsko“ či „právo Spojeného království“ nebo „švýcarské právo“ (podle toho, co je relevantní);
12.1.4.4. pojmenování „členský stát“ nesmí být vykládáno tak, aby osobám, kterých se to týká, ve Spojeném království nebo ve Švýcarsku bránilo v možnosti domáhat se svých práv v místě svého obvyklého pobytu (tj. ve Spojeném království nebo ve Švýcarsku);
12.1.4.5. Ustanovení 13 písm. a) standardních smluvních doložek EU a část C přílohy I se nepoužijí a „příslušným dozorovým orgánem“ je britský komisař pro informace nebo švýcarský federální komisař pro ochranu údajů (podle toho, co je relevantní);
12.1.4.6. odkazy na „příslušný dozorový orgán“ a „příslušné soudy“ se nahrazují odkazy na „komisaře pro ochranu osobních údajů“ a „soudy Anglie a Walesu“ nebo na „švýcarského federálního komisaře pro ochranu osobních údajů“ a „příslušné švýcarské soudy“ (podle toho, co je relevantní);
12.1.4.7. v bodě 17 se na standardní smluvní podmínky EU vztahují právní předpisy Anglie a Walesu nebo Švýcarska (podle toho, co je relevantní); a
12.1.4.8. v případě předávání údajů, na něž se vztahují britské právní předpisy o ochraně osobních údajů, se článek 18 mění takto: „Veškeré spory vyplývající z těchto článků budou řešeny soudy Anglie a Walesu.“ Subjekt údajů může podat žalobu proti vývozci údajů a/nebo dovozci údajů u soudů v kterékoli zemi Spojeného království. „Strany se zavazují podřídit se pravomoci těchto soudů“ a v případě předávání údajů, na něž se vztahuje švýcarský zákon o ochraně osobních údajů, bude v bodě 18 písm. b) uvedeno, že spory budou řešeny před příslušnými švýcarskými soudy.
12.2. Společnost Netradyne může předat osobní údaje zákazníků subdodavateli mimo Evropskou unii, Švýcarsko nebo Spojené království, za předpokladu, že přijme opatření k zajištění zákonnosti tohoto předání. Tato opatření mohou vyžadovat, aby společnost Netradyne (a) zajistila, že třetí strana přijme standardní smluvní doložky; nebo (b) zavedla jakýkoli jiný alternativní zákonný mechanismus pro předávání údajů (jak je uznán v právních předpisech o ochraně osobních údajů).
12.3. To the extent that the transfer mechanisms relied upon for the transfer of personal data cannot be used to lawfully transfer personal data from one jurisdiction to another under applicable data protection laws, the Parties shall meet without undue delay to discuss and agree on an alternative transfer mechanism or alternative supplementary measures that will enable the lawful transfer of data as soon as possible.
13. Načítání a mazání osobních údajů zákazníků
13.1. Zákazník souhlasí, že zásady uchovávání a mazání dat podléhají podmínkám stanoveným ve Smlouvě. Po obdržení žádosti zákazníka o vymazání Customer Personal Data Netradyne bezodkladně vymaže nebo na žádost vrátí veškeré osobní údaje Zákazníkovi. Není‑li Netradyne Zákazníkem sděleno jinak, po ukončení Smlouvy Netradyne vymaže všechny osobní údaje do 30 dnů. Bez ohledu na výše uvedené může Netradyne uchovávat osobní údaje pouze v rozsahu, v jakém to jinak vyžaduje zákon o ochraně údajů.
13.2. Do rozsahu povoleného příslušnými zákony o ochraně osobních údajů může Netradyne deidentifikovat nebo anonymizovat Customer Personal Data pro následné uchování a použití, s tím, že Netradyne veřejně prohlásí, že bude informace uchovávat a používat v deidentifikované nebo anonymizované podobě a nepokusí se tyto informace znovu identifikovat. Pro vyloučení pochybností, a do rozsahu povoleného příslušnými zákony o ochraně osobních údajů, se taková deidentifikace nebo anonymizace Customer Personal Data považuje za splnění povinností Netradyne týkajících se mazání údajů podle Smlouvy, této DPA a příslušných zákonů o ochraně údajů.
14. Liability
14.1. Veškeré nároky uplatněné podle této DPA (včetně podle Standard Contractual Clauses) podléhají podmínkám, včetně, avšak nikoli výlučně, vyloučení a omezení odpovědnosti uvedeným ve Smlouvě.
15. Additional California-specific provisions
15.1. Do rozsahu, v jakém se Customer Personal Data týká rezidentů Kalifornie, Netradyne nebude uchovávat, používat, prodávat, sdílet ani jinak zveřejňovat Customer Personal Data (včetně pro jakýkoli komerční účel nebo jiný účel mimo přímý obchodní vztah mezi stranami) jinak než v rozsahu dovoleném zákonem nebo jak je nezbytné k poskytování a podpoře Produktů a Služeb, jak je uvedeno ve Smlouvě.
15.2. Do rozsahu, v jakém se Customer Personal Data týká rezidentů Kalifornie, Netradyne bude dodržovat příslušná omezení podle CPRA týkající se kombinování takových Customer Personal Data, kterou Netradyne obdrží od nebo jménem Zákazníka, s osobními údaji, které Netradyne obdrží od nebo jménem jiného subjektu či subjektů, nebo které Netradyne shromáždí z jakéhokoli interakce mezi ním a subjektem údajů.
15.3. Do rozsahu, v jakém se Customer Personal Data týká rezidentů Kalifornie, Netradyne bude dodržovat CPRA a s přihlédnutím k roli Netradyne v Zpracování poskytne úroveň ochrany pro příslušná Customer Personal Data vyžadovanou CPRA.
16. Změny v právních předpisech o ochraně osobních údajů
16.1. Pokud vstoupí v platnost nový zákon o ochraně osobních údajů, který se vztahuje na Netradyne, Netradyne a Zákazník přistoupí k veškerým rozumným opatřením vyžadovaným takovým zákonem, aby zajistili schopnost stran splnit jejich povinnosti podle platného práva a zajistili soulad Netradyne se všemi zákony o ochraně osobních údajů vztahujícími se na Netradyne.
17. Rozhodné právo a příslušnost
17.1. S výjimkou případů vyžadovaných Standard Contractual Clauses nebo příslušnými zákony o ochraně osobních údajů se tato DPA a jakýkoli spor či nárok vyplývající z ní nebo v souvislosti s ní nebo jejím předmětem či vznikem řídí a budou vykládány v souladu se zákony státu California, bez ohledu na zásady kolize právních předpisů. Pro vyloučení pochybností, pokud se použijí Standard Contractual Clauses, řídí se zákony a podléhají jurisdikci uvedené v nich.
Příloha 1
Popis zpracování / předávání
Položka | Podrobnosti |
Exportér dat | Zákazník je subjektem, který předává údaje |
Nástroj pro import dat | Netradyne, Inc. Kontaktní údaje: |
Popis převodu / zpracování
Položka | Podrobnosti |
Subjekty údajů: | Zaměstnanci nebo nezávislí dodavatelé Zákazníka, poskytovatelé služeb Zákazníka, včetně těch, kteří řídí vozidla („Řidiči“). Členové veřejnosti nebo kolemjdoucí. |
Kategorie osobních údajů: | Zpracovávané osobní údaje zahrnují:
|
Zvláštní kategorie osobních údajů: | Neaplikovatelné |
Povaha, účel a četnost zpracování: | Netradyne bude zpracovávat osobní údaje Zákazníka po dobu nezbytnou k poskytování Produktů a Služeb Zákazníkovi v souladu se Smlouvou a v rozsahu jinak dovoleném Smlouvou, a rovněž pro jakékoli právně vyžádané zveřejnění. |
Doba trvání: | Po dobu nezbytnou k naplnění obchodních účelů nebo jak je stanoveno ve Smlouvě a v souladu s oddílem 13 této DPA. |
Schválení podzpracovatelé (pokud existují): | Jak je uvedeno v Příloze 3 |
Schvázený mechanismus přenosu: | Standardní smluvní doložky: viz oddíl 12 DPA |
Příslušný dozorový orgán: | Stanoví se v souladu s právními předpisy o ochraně osobních údajů. |
Příloha 2
Technická a organizační opatření včetně technických a organizačních opatření zajišťujících bezpečnost údajů
Netradyne vyvine, zavede a udrží přiměřené fyzické, administrativní a technické kontroly k ochraně důvěrnosti, dostupnosti a integrity Služeb a osobních údajů Zákazníka („Bezpečnostní opatření“). Bezpečnostní opatření musí minimálně vyhovovat příslušným právním předpisům o ochraně osobních údajů. S ohledem na stav techniky, náklady na zavedení a povahu, rozsah, kontext a účely zpracování, stejně jako na riziko s různou pravděpodobností a závažností pro zákonem chráněné zájmy fyzických osob, Netradyne zavede nezbytná technická a organizační opatření („Opatření bezpečnosti“) tak, aby zajistila úroveň zabezpečení odpovídající riziku při zpracování osobních údajů.
Netradyne bude udržovat Opatření bezpečnosti v souladu s průmyslově uznávanými nejlepšími postupy (včetně norem Mezinárodní organizace pro standardizaci ISO 27001 a 27002). Program informační bezpečnosti Netradyne bude zahrnovat minimálně následující ochranná a kontrolní opatření:
Položka | Podrobnosti |
Opatření pro pseudonymizaci a šifrování osobních údajů. | Netradyne používá kryptografické techniky k ochraně dat zákazníka.
|
Opatření pro zajištění průběžné důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb pro zpracování. | Netradyne zavádí přísné kontroly přístupu za účelem omezení přístupu k informacím Zákazníka. Kontroly přístupu zahrnují řízené používání administrátorských oprávnění, zavedení zásad správy účtů a hesel a vícefaktorovou autentizaci (MFA) pro servery a produkční systémy. Netradyne zavedla kontroly bezpečnosti sítě, hodnocení zranitelností, správu záplat a plánované monitorovací postupy za účelem identifikace, posouzení, zmírnění a ochrany proti bezpečnostním hrozbám. Záplaty s kritickou závažností jsou plánovány k přezkoumání, vyhodnocení a nasazení okamžitě nebo do 5 dnů. Záplaty s vysokou závažností jsou rovněž přezkoumávány a nasazovány okamžitě nebo do 30 dnů. Záplaty se střední a nízkou závažností se přezkoumávají jako součást interního auditu a obvykle se nasazují během 3–12 měsíců v závislosti na relevantnosti a závažnosti. Funkce hluboké inspekce paketů ve firewallu Netradyne umožňuje blokovat škodlivý provoz. Jsou monitorovány 24/7 z hlediska výkonu, bezpečnosti a řádného provozu. Segregace dat. Netradyne zavedla opatření k logickému oddělení dat zákazníka od interních dat Netradyne nebo dat třetích stran. Fyzická bezpečnost. Netradyne zavedla fyzické bezpečnostní kontroly (přístupové karty, CCTV dohled a bezpečnostní služba) k monitorování a řízení fyzického přístupu do svých prostor. Netradyne provádí testy výkonu, pravidelné monitorování stavu zařízení a zálohování dat, aby zajistila dostupnost a odolnost svých platforem a služeb. |
Opatření pro zajištění možnosti obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu. | Netradyne ukládá veškerá data v cloudu AWS (Elastic Block Storage – EBS), který je nakonfigurován pro pravidelné zálohování dat a jejich obnovu. Netradyne má tým pro reakci na bezpečnostní incidenty (SIRT), který koordinuje kroky potřebné k omezení incidentů a umožnění obnovení dat. |
Postupy pro pravidelné testování, hodnocení a ověřování účinnosti technických a organizačních opatření za účelem zajištění bezpečnosti zpracování. | Netradyne provádí interní audit svých bezpečnostních a zásad ochrany soukromí alespoň jednou ročně. Provádějí se také periodické skeny zranitelností a penetrační testy externími hodnotiteli. |
Opatření pro identifikaci a autorizaci uživatelů. | Netradyne přiřazuje všem uživatelům uživatelské ID. Kontroly přístupu zahrnují řízené používání administrátorských oprávnění, zavedení zásad správy účtů a hesel a vícefaktorovou autentizaci (MFA) pro servery a produkční systémy. Hesla musí splňovat požadavky na složitost hesel uvedené v Politice hesel Netradyne. Opravnění privilegovaných účtů jsou udělována omezenému počtu pracovníků Netradyne, kteří tento stupeň přístupu potřebují k výkonu své pracovní funkce. |
Opatření pro zajištění fyzické bezpečnosti míst, na kterých jsou zpracovávány osobní údaje. | Provozní a vývojová datacentra Netradyne jsou chráněna před environmentálními a bezpečnostními hrozbami pomocí technických, administrativních a fyzických bezpečnostních opatření. Pro vysokou dostupnost zahrnují opatření redundantní nepřerušitelná napájení (UPS), systémy detekce a potlačení požáru a kouře, redundantní ventilaci a klimatizaci a další. Všechny systémy procházejí častou a pravidelnou preventivní údržbou. Firemní prostory Netradyne jsou monitorovány pomocí CCTV. U vchodu a po celém objektu je nasazen tým bezpečnostních strážných. Přístup do budovy je řízen pomocí bezpečnostních přístupových karet. |
Opatření pro zajištění protokolování událostí. | Systémy Netradyne jsou centrálně spravovány a monitorovány pomocí standardních průmyslových mechanismů protokolování. Aplikace Netradyne jsou nakonfigurovány tak, aby zaznamenávaly podrobnosti o uživatelských relacích a akcích prováděných uživateli. Také zaznamenává administrativní události, jako jsou operace s uživatelskými účty. Administrativní události, jako je vytvoření nebo deaktivace uživatelského účtu, zablokování nebo vypršení platnosti účtu, změny hesel, přiřazení nebo odebrání uživatelské role, přidání nebo odstranění uživatele ze skupiny, jsou také protokolovány. |
Opatření pro zajištění konfigurace systému, včetně výchozí konfigurace. | Netradyne stanovila standardní základní konfiguraci pracovních stanic za účelem naplnění bezpečnostních cílů. Systémy serverů Netradyne jsou nakonfigurovány pro výkon, stabilitu, škálovatelnost a bezpečnost. Všechny serverové systémy, včetně webových, aplikačních a databázových serverů, jsou postaveny podle konfiguračních standardů. Všechny služby SQL Server jsou zabezpečeny (hardening) deaktivací všech služeb, které nejsou používány aplikací Netradyne. Proces zabezpečení zahrnuje následující cíle:
Odstranění veškeré zbytečné funkčnosti, jako jsou skripty, ovladače, funkce, podsystémy, souborové systémy a zbytečné webové servery. |
Opatření pro interní správu a řízení IT a IT bezpečnosti. | Netradyne má dedikovaný tým InfoSec a zavedla zásady a postupy IT bezpečnosti. To zahrnuje formální proces řízení změn a politiku přijatelného použití. |
Opatření pro certifikaci/zajištění procesů a produktů. | Netradyne si najímá nezávislé bezpečnostní auditory pro periodické hodnocení svých bezpečnostních a zásad ochrany soukromí v rámci certifikací ISO 27001 a Privacy by Design. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted |
Opatření pro zajištění minimalizace údajů. | Mohou být povoleny různé režimy ochrany soukromí a konfigurace soukromí ke snížení množství dat zpracovávaných společností Netradyne. Většina videozáznamů pořízených zařízením Driver.i zůstává na zařízení a je přepsána, jakmile je paměť zařízení plná. Videozáznam je nahrán do cloudu Netradyne pouze v případě, že je detekována Událost. V průměru je do cloudu nahráno méně než 1 % záznamů. Podle typu Události se do cloudu nahrává pouze příslušný záznam Události (buď vnější záznam, nebo záznam z kabiny). Pro všechny Události zařízení nahrává Data o Události do cloudu. |
Opatření pro zajištění omezeného uchovávání dat. | Výchozí doba uchovávání dat představuje kompromis mezi zajištěním, že data jsou uchovávána dostatečně dlouho, aby byla užitečná pro Exportéra dat, a zajištěním, že nejsou uchovávána déle než tato užitečná doba. Požadavky na uchovávání a mazání údajů jsou stanoveny v Agreement nebo v DPA. |
Opatření zajišťující odpovědnost. | Netradyne uchovává důkazy o krocích podniknutých k zajištění souladu s EU GDPR. Netradyne zavádí vhodná technická a organizační opatření, jako například: (i) přijímání a provádění zásad ochrany údajů (tam, kde je to přiměřené); (ii) uzavírání písemných smluv s poskytovateli služeb; (iii) vedení dokumentace o činnostech zpracování; (iv) zavedení odpovídajících bezpečnostních opatření; (v) zaznamenávání a, pokud je to nutné, oznamování porušení ochrany osobních údajů; (vi) provádění posouzení dopadů na ochranu údajů pro použití osobních údajů, které pravděpodobně představuje vysoké riziko pro zájmy jednotlivců; a (vii) zavedení kontrol protokolování a monitorování. |
Opatření umožňující přenositelnost údajů a zajištění vymazání. | Společnost Netradyne umožňuje dotčeným osobám uplatnit svá práva prostřednictvím kontaktních míst určených k tomuto účelu. Hlavní odpovědnost za vyřizování žádostí dotčených osob nese zákazník. Společnost Netradyne bude zákazníkovi pomáhat při vyřizování žádostí dotčených osob. |
Příloha 3
Seznam schválených subzpracovatelů
Správce údajů schválil využití následujících subzpracovatelů:
Subzpracovatel | Účel zpracování | Umístění |
Netradyne Technology India Private Limited ("Netradyne India") | Inženýrství a podpora | Indie |
Amazon Web Services (AWS) | Hostování dat | Spojené státy |
Elancer IT Solutions Private Limited | Služby označování dat | Indiae |
Gainsight, Inc. | Platforma pro zákaznický úspěch | United States |
Mixpanel, Inc. | Aktivita/uživatelská zkušenost (analytika dat) | Spojené státy |
VVDN Technologies | Obnova zařízení | Indie |
Want to protect drivers & reduce costs?
That’s not a trick question. See for yourself with a demo.