Dodatok o spracovaní údajov o vlastnej zálohe

AKO VYKONAŤ TÚTO DPA

1. Tento DPA pozostáva z dvoch častí: hlavnej časti DPA a zoznamov 1, 2, 3, 4 a 5.
2. Táto DPA bola vopred podpísaná v mene OwnBackup.
3. Na vyplnenie tohto DPA musí zákazník:
   1. Vyplňte časť Meno a adresa zákazníka na strane 2.
   2. Vyplňte informácie v poli podpisu a prihláste sa na strane 6.
   3. Overte si, že informácie v Prílohe 3 („Podrobnosti o spracovaní“) presne odrážajú subjekty a kategórie údajov, ktoré sa majú spracovať.
   4. Vyplnenú a podpísanú DPA odošlite do OwnBackup na privacy@ownbackup.com.

Po prijatí platne vyplneného DPA spoločnosťou OwnBackup na túto e-mailovú adresu sa tento DPA stane právne záväzným.
Podpis tohto DPA na strane 6 sa považuje za podpis a prijatie štandardných zmluvných doložiek (vrátane ich dodatkov) a dodatku Spojeného kráľovstva, ktoré sú tu zahrnuté formou odkazu.

AKO PLATÍ TOTO DPA

• Ak je zmluvnou stranou Dohody subjekt Zákazníka, ktorý podpisuje túto DPA, táto DPA je dodatkom k Dohode a tvorí jej súčasť. V takom prípade je subjekt OwnBackup, ktorý je stranou Dohody, stranou tohto DPA.
• Ak entita zákazníka, ktorá podpisuje túto DPA, vykonala formulár objednávky s OwnBackup alebo jej pridruženou spoločnosťou v súlade so Zmluvou, ale sama nie je zmluvnou stranou Dohody, tento DPA je dodatkom k formuláru objednávky a príslušným formulárom objednávky na obnovenie a OwnBackup subjekt, ktorý je stranou takéhoto formulára objednávky, je stranou tohto DPA.
• Ak subjekt zákazníka, ktorý podpisuje túto DPA, nie je zmluvnou stranou formulára objednávky ani zmluvy, táto DPA nie je platná a nie je právne záväzná. Takýto subjekt by mal požiadať subjekt Zákazníka, ktorý je stranou Dohody, aby vykonal túto DPA.
• Ak subjekt zákazníka, ktorý podpisuje DPA, nie je zmluvnou stranou objednávkového formulára ani hlavnej zmluvy o predplatnom priamo s OwnBackup, ale je zákazníkom nepriamo prostredníctvom autorizovaného predajcu služieb OwnBackup, tento DPA nie je platný a nie je právne záväzný. Takýto subjekt by mal kontaktovať autorizovaného predajcu a prediskutovať, či je potrebná zmena a doplnenie jeho zmluvy s týmto predajcom.
• V prípade akéhokoľvek konfliktu alebo nesúladu medzi týmto DPA a akoukoľvek inou zmluvou medzi zákazníkom a OwnBackup (vrátane, bez obmedzenia, zmluvy alebo akéhokoľvek dodatku o spracovaní údajov k zmluve), budú rozhodujúce a rozhodujúce podmienky tohto DPA.

Tento Dodatok o spracovaní údajov vrátane jeho plánov a dodatkov („DPA“) tvorí súčasť hlavnej zmluvy o predplatnom alebo inej písomnej alebo elektronickej zmluvy medzi OwnBackup Inc. („OwnBackup“) a vyššie uvedeným subjektom zákazníka o nákupe online služieb. z OwnBackup (ďalej len „Zmluva“) na zdokumentovanie dohody strán o Spracovaní osobných údajov. Ak takýto zákaznícky subjekt a OwnBackup neuzavreli zmluvu, potom je táto DPA neplatná a bez právneho účinku.
Vyššie uvedená entita zákazníka vstupuje do tejto DPA za seba a ak niektorá z jej pridružených spoločností koná ako prevádzkovateľ osobných údajov, v mene týchto oprávnených pridružených spoločností. Všetky výrazy s veľkým začiatočným písmenom, ktoré tu nie sú definované, majú význam uvedený v Zmluve.
V priebehu poskytovania služieb SaaS Zákazníkovi podľa Zmluvy môže OwnBackup spracúvať osobné údaje v mene Zákazníka. Strany súhlasia s nasledujúcimi podmienkami v súvislosti s takýmto Spracovaním.

DEFINÍCIE

• „CCPA“ znamená kalifornský zákon o ochrane súkromia spotrebiteľov, Cal. Civ. Zákonník § 1798.100 a kol. nasl. v znení kalifornského zákona o ochrane osobných údajov z roku 2020 a spolu s akýmikoľvek vykonávacími predpismi. „Správca“ znamená subjekt, ktorý určuje účely a prostriedky Spracúvania osobných údajov a označuje sa aj ako „podnikanie“, ako je definované v CCPA.
• „Zákazník“ znamená vyššie uvedený subjekt a jeho pridružené spoločnosti.
• „Zákony a predpisy o ochrane údajov“ znamenajú všetky zákony a nariadenia Európskej únie a jej členských štátov, Európskeho hospodárskeho priestoru a jeho členských štátov, Spojeného kráľovstva, Švajčiarska, Spojených štátov amerických, Kanady, Nového Zélandu a Austrálie a ich príslušné politické pododdiely, ktoré sa vzťahujú na Spracovanie osobných údajov. Patria medzi ne okrem iného v príslušnom rozsahu: GDPR, zákon o ochrane údajov Spojeného kráľovstva, zákon CCPA, zákon o ochrane spotrebiteľských údajov vo Virgínii („VCDPA“), zákon o ochrane osobných údajov v Colorade a súvisiace nariadenia („CPA“) “), zákon Utah Consumer Privacy Act („UCPA“) a zákon Connecticut o ochrane osobných údajov a online monitorovaní („CPDPA“). „Dotknutá osoba“ znamená identifikovanú alebo identifikovateľnú osobu, ktorej sa osobné údaje týkajú, a zahŕňa „spotrebiteľa“, ako je definované v zákonoch a nariadeniach o ochrane údajov. „Európa“ znamená Európsku úniu, Európsky hospodársky priestor, Švajčiarsko a Spojené kráľovstvo.
• Dodatočné ustanovenia vzťahujúce sa na prenosy Osobných údajov z Európy sú obsiahnuté v Prílohe 5. V prípade, že Príloha 5 bude odstránená, Zákazník zaručuje, že nebude spracúvať Osobné údaje v súlade so zákonmi a nariadeniami o ochrane údajov v Európe.
• „GDPR“ znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov a o zrušení smernice 95/46/ES (všeobecné nariadenie o ochrane údajov).
• „Skupina OwnBackup“ znamená spoločnosť OwnBackup a jej pridružené spoločnosti zaoberajúce sa Spracovaním osobných údajov.
• „Osobné údaje“ znamenajú akékoľvek informácie týkajúce sa (i) identifikovanej alebo identifikovateľnej fyzickej osoby a (ii) identifikovanej alebo identifikovateľnej právnickej osoby (ak sú takéto informácie chránené podobne ako osobné údaje, osobné informácie alebo osobné údaje podľa príslušných údajov). Zákony a predpisy o ochrane), kde pre každý bod (i) alebo (ii) sú takéto údaje Údaje zákazníka.
• „Služby spracovania osobných údajov“ znamenajú služby SaaS uvedené v prílohe 2, pre ktoré môže OwnBackup spracovávať osobné údaje.
• „Spracovanie“ znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi, či už automatickými prostriedkami alebo nie, ako je zhromažďovanie, zaznamenávanie, organizovanie, štrukturovanie, ukladanie, prispôsobovanie alebo pozmenenie, vyhľadávanie, konzultácia, používanie, sprístupnenie prenosom, šírenie alebo iné sprístupnenie, zosúladenie alebo kombinovanie, obmedzenie, vymazanie alebo zničenie. „Spracovateľ“ znamená subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa, vrátane akéhokoľvek „poskytovateľa služieb“, ako je tento pojem definovaný v CCPA.
• „Štandardné zmluvné doložky“ znamenajú prílohu k vykonávaciemu rozhodnutiu Európskej komisie (EÚ) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) zo 4. júna 2021 o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a s výhradou požadovaných úprav pre Švajčiarsko, ktoré sú bližšie opísané v Prílohe 5.
• „Sub-spracovateľ“ znamená akéhokoľvek procesora zamestnaného spoločnosťou OwnBackup, členom skupiny OwnBackup alebo iným podprocesorom.
• „Dozorný orgán“ znamená vládny alebo vládou poverený regulačný orgán, ktorý má záväznú právnu právomoc nad zákazníkom.
• „Dodatok pre Spojené kráľovstvo“ znamená Dodatok Spojeného kráľovstva o medzinárodnom prenose údajov k štandardným zmluvným doložkám Komisie EÚ (k dispozícii od 21. marca 2022 na https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -všeobecné-nariadenie-ochrany-údajov-gdpr/medzinárodná-dohoda-a-usmernenie-prenos-údajov/), vyplnené podľa popisu v prílohe 5.
• „Zákon Spojeného kráľovstva o ochrane údajov“ znamená nariadenie Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, keďže je súčasťou anglického práva a Wales, Škótsko a Severné Írsko na základe oddielu 3 zákona Európskej únie o vystúpení z roku 2018, ktorý môže byť z času na čas zmenený a doplnený zákonmi a nariadeniami Spojeného kráľovstva o ochrane údajov

SPRACOVANIE OSOBNÝCH ÚDAJOV

• Rozsah. Zmluvné strany sa dohodli, že táto DPA sa bude vzťahovať výlučne na Spracovanie osobných údajov v rámci Služieb spracovania osobných údajov.
• Úlohy strán. Zmluvné strany sa dohodli, že v súvislosti so Spracovaním osobných údajov je Prevádzkovateľom Zákazník a Spracovateľom OwnBackup.
• Spracúvanie osobných údajov OwnBackup. OwnBackup bude s osobnými údajmi zaobchádzať ako s dôvernými informáciami a bude spracúvať osobné údaje v mene a len v súlade s dokumentovanými pokynmi zákazníka na nasledujúce účely: (i) spracovanie v súlade so Zmluvou a príslušnými objednávkami; (ii) Spracovanie iniciované personálom Zákazníka pri používaní Služieb SaaS; a (iii) Spracovanie v súlade s inými zdokumentovanými primeranými pokynmi poskytnutými zákazníkom (napr. prostredníctvom e-mailu), ak sú takéto pokyny v súlade s podmienkami zmluvy.
• Obmedzenia spracovania. OwnBackup nebude: (i) „predávať“ alebo „zdieľať“ osobné údaje, ako sú tieto pojmy definované v zákonoch a nariadeniach o ochrane údajov; (ii) uchovávať, používať, zverejňovať alebo Spracovávať osobné údaje na akýkoľvek komerčný alebo iný účel iný ako na poskytovanie služieb SaaS; alebo (iii) uchovávať, používať alebo zverejňovať osobné údaje mimo priameho obchodného vzťahu medzi zákazníkom a OwnBackup. Spoločnosť OwnBackup bude dodržiavať príslušné obmedzenia podľa zákonov a nariadení o ochrane údajov o kombinovaní osobných údajov s osobnými údajmi, ktoré spoločnosť OwnBackup získa od inej osoby alebo osôb alebo v ich mene, alebo ktoré spoločnosť OwnBackup zhromažďuje z akejkoľvek interakcie medzi ňou a akýmkoľvek jednotlivcom.
• Oznámenie o nezákonných pokynoch; Neoprávnené spracovanie. OwnBackup okamžite informuje zákazníka, ak podľa jej názoru pokyn od zákazníka porušuje akýkoľvek zákon alebo nariadenie o ochrane údajov. Zákazník si ponecháva právo po upozornení podniknúť primerané a vhodné kroky na zastavenie a nápravu neoprávneného používania Osobných údajov vrátane použitia Osobných údajov, ktoré nie je povolené v tomto DPA.
• Podrobnosti o Spracovaní. Predmetom Spracúvania osobných údajov spoločnosťou OwnBackup je poskytovanie služieb SaaS podľa Zmluvy. Doba trvania Spracúvania, povaha a účel Spracovania, druhy Osobných údajov a kategórie Dotknutých osôb Spracúvané podľa tejto DPA sú bližšie špecifikované v Prílohe 3 (Podrobnosti Spracovania).
• Posúdenie vplyvu na ochranu údajov. Na žiadosť Zákazníka bude OwnBackup primerane pomáhať Zákazníkovi pri plnení jeho povinnosti podľa zákonov a nariadení o ochrane údajov vykonať posúdenie vplyvu na ochranu údajov súvisiace s používaním služieb SaaS Zákazníkom, pokiaľ Zákazník inak nemá prístup k relevantným informáciám a takéto informácie má OwnBackup k dispozícii. OwnBackup bude primerane pomáhať Zákazníkovi pri jeho spolupráci alebo predchádzajúcej konzultácii s dozorným orgánom v súvislosti s takýmto hodnotením vplyvu na ochranu údajov v rozsahu, ktorý vyžadujú platné zákony a nariadenia o ochrane údajov.
• Povinnosti zákazníka týkajúce sa osobných údajov. Pri používaní služieb SaaS bude zákazník dodržiavať zákony a nariadenia o ochrane údajov vrátane všetkých príslušných požiadaviek na poskytnutie upozornenia a/alebo získanie súhlasu od dotknutých osôb na spracovanie spoločnosťou OwnBackup. Zákazník zabezpečí, aby jeho pokyny na Spracovanie osobných údajov boli v súlade so zákonmi a nariadeniami o ochrane údajov.
• Zákazník je výhradne zodpovedný za presnosť, kvalitu a zákonnosť Osobných údajov a za spôsob, akým Zákazník Osobné údaje získal. Zákazník zabezpečí, že jeho používanie služieb SaaS neporuší práva žiadnej Dotknutej osoby, ktorá sa odhlásila z predaja, zdieľania alebo iného sprístupnenia osobných údajov v príslušnom rozsahu. Zákazník zabezpečí, aby zákaznícke údaje neobsahovali žiadne údaje, ktoré sa kvalifikujú ako osobné zdravotné údaje chránené podľa článku L.1111-8 francúzskeho zákonníka verejného zdravia

ŽIADOSTI O ÚDAJE ZÁKAZNÍKOV

• Žiadosti od dotknutých osôb. Spoločnosť OwnBackup v rozsahu povolenom zákonom bezodkladne informuje zákazníka, ak spoločnosť OwnBackup dostane od Dotknutej osoby žiadosť o uplatnenie práva dotknutej osoby na prístup, práva na opravu, práva na obmedzenie spracovania, práva na vymazanie („právo byť zabudnutý“). , právo na prenosnosť údajov, právo namietať proti Spracovaniu alebo právo nebyť predmetom automatizovaného individuálneho rozhodovania, pričom každá takáto žiadosť je „Žiadosť dotknutej osoby“. Berúc do úvahy povahu Spracovania, spoločnosť OwnBackup pomôže Zákazníkovi prijať vhodné technické a organizačné opatrenia, pokiaľ je to možné, na splnenie povinnosti Zákazníka odpovedať na žiadosť Dotknutej osoby podľa zákonov a nariadení o ochrane údajov. Okrem toho, v rozsahu, v akom zákazník pri používaní služieb SaaS nemá možnosť riešiť žiadosť dotknutej osoby, spoločnosť OwnBackup na žiadosť zákazníka vynaloží komerčne primerané úsilie, aby pomohla zákazníkovi odpovedať na takúto žiadosť dotknutej osoby, v rozsahu, v akom je to OwnBackup legálne povolené a odpoveď na takúto žiadosť dotknutej osoby sa vyžaduje podľa zákonov a nariadení o ochrane údajov. Ak takáto pomoc presahuje rozsah zmluvných služieb SaaS av rozsahu povolenom zákonom, zákazník bude zodpovedný za akékoľvek dodatočné náklady vyplývajúce z pomoci.
• Žiadosti od iných tretích strán. Ak spoločnosť OwnBackup dostane od tretej strany inej ako Dotknutá osoba (vrátane, bez obmedzenia, vládneho orgánu) žiadosť o zákaznícke údaje, spoločnosť OwnBackup, ak to zákon povoľuje, nasmeruje žiadajúcu stranu na zákazníka a bezodkladne o tom zákazníka informuje. Ak zákon OwnBackup nepovoľuje informovať zákazníka o požiadavke, spoločnosť OwnBackup odpovie žiadajúcej strane, iba ak to vyžaduje zákon, a vynaloží primerané úsilie, aby spolupracovala so žiadajúcou stranou na zúžení rozsahu žiadosti o údaje zákazníka. .

VLASTNÝ ZÁLOHA PERSONÁL

• Dôvernosť. Spoločnosť OwnBackup zabezpečí, aby jej pracovníci zapojení do Spracovania osobných údajov boli informovaní o dôvernej povahe Osobných údajov, absolvovali primerané školenie o svojich povinnostiach a uzavreli písomné dohody o mlčanlivosti. Spoločnosť OwnBackup zabezpečí, aby takéto záväzky týkajúce sa dôvernosti pretrvali aj po ukončení pracovného pomeru.
• Spoľahlivosť. Spoločnosť OwnBackup podnikne komerčne primerané kroky na zabezpečenie spoľahlivosti všetkých zamestnancov spoločnosti OwnBackup zapojených do Spracovania osobných údajov.
• Obmedzenie prístupu. Spoločnosť OwnBackup zabezpečí, aby bol prístup spoločnosti OwnBackup k Osobným údajom obmedzený na tých zamestnancov, ktorí takýto prístup vyžadujú na vykonávanie služieb SaaS v súlade s dohodou.
• splnomocnenec pre ochranu údajov. Členovia OwnBackup Group vymenujú úradníka pre ochranu údajov, ak si takéto vymenovanie vyžadujú zákony a nariadenia o ochrane údajov. Menovanú osobu je možné zastihnúť na adrese privacy@ownbackup.com.

SUB-PROCESORY

• Vymenovanie subdodávateľov. Zákazník udeľuje spoločnosti OwnBackup všeobecné oprávnenie na vymenovanie subdodávateľov tretích strán v súvislosti so službami SaaS v súlade s uvedenými postupmi.
  v tomto DPA. Spoločnosť OwnBackup alebo pridružená spoločnosť OwnBackup uzavrela s každým subdodávateľom písomnú zmluvu, ktorá obsahuje povinnosti týkajúce sa ochrany údajov, ktoré nie sú menej chránené ako povinnosti v tomto DPA, pokiaľ ide o
  ochrany Zákazníckych údajov v rozsahu, ktorý sa vzťahuje na služby poskytované takýmto Subdodávateľom.
• Súčasní sub-spracovatelia a notifikácia nových sub-spracovateľov. Zoznam čiastkových sprostredkovateľov pre služby SaaS k dátumu vykonania tohto DPA je priložený v prílohe 1. OwnBackup písomne ​​upozorní zákazníka na akéhokoľvek nového čiastkového sprostredkovateľa predtým, ako takéhoto nového čiastkového sprostredkovateľa poverí spracovaním osobných údajov.
• Právo na námietku pre nových subdodávateľov. Zákazník môže namietať proti používaniu nového Subprocesora spoločnosťou OwnBackup písomným oznámením spoločnosti OwnBackup do 30 dní od prijatia oznámenia opísaného v predchádzajúcom odseku. Ak zákazník namieta voči novému podprocesorovi, ako je povolené v predchádzajúcej vete, spoločnosť OwnBackup vynaloží komerčne primerané úsilie na to, aby zákazníkovi sprístupnila zmenu v službách SaaS alebo odporučila zmenu v konfigurácii alebo používaní služieb SaaS zákazníka, aby sa vyhla spracovaniu. osobných údajov namietaným novým subdodávateľom bez toho, aby to Zákazníka neprimerane zaťažovalo. Ak spoločnosť OwnBackup nie je schopná sprístupniť takúto zmenu v službe SaaS alebo odporučiť takú zmenu konfigurácie alebo používania služieb SaaS zákazníka, ktorá je pre zákazníka uspokojivá, v primeranom časovom období (ktoré v žiadnom prípade nepresiahne 30 dní), ), Zákazník môže ukončiť príslušné Objednávkové formuláre zaslaním písomného oznámenia spoločnosti OwnBackup. V takom prípade spoločnosť OwnBackup vráti zákazníkovi všetky predplatené poplatky pokrývajúce zvyšok obdobia takýchto objednávkových formulárov po dátume účinnosti ukončenia, bez uloženia sankcie za takéto ukončenie zákazníkovi.
• Zodpovednosť za sub-spracovateľov. Spoločnosť OwnBackup bude zodpovedná za činy a opomenutia svojich Subdodávateľov v rovnakom rozsahu, v akom by bola zodpovedná spoločnosť OwnBackup, ak by služby každého Subspracovateľa vykonávala priamo podľa podmienok tohto DPA.

BEZPEČNOSŤ

• Kontroly na ochranu údajov o zákazníkoch. Spoločnosť OwnBackup zachováva primerané fyzické, technické a organizačné opatrenia na ochranu bezpečnosti (vrátane ochrany pred neoprávneným alebo nezákonným Spracovaním a pred náhodným alebo nezákonným zničením, stratou alebo zmenou alebo poškodením, neoprávneným zverejnením alebo prístupom k údajom zákazníka), dôvernosti a integritu zákazníckych údajov, vrátane osobných údajov, v súlade s Plánom 4 (OwnBackup Security Controls). OwnBackup podstatne nezníži celkovú bezpečnosť služieb SaaS počas obdobia predplatného.
• Správy o audite a certifikácie tretích strán. Na základe písomnej žiadosti zákazníka v primeraných intervaloch a v súlade so záväzkami dôvernosti v zmluve, spoločnosť OwnBackup sprístupní zákazníkovi kópiu najnovšej správy o audite tretej strany SOC 2 správy o audite spoločnosti OwnBackup a akýchkoľvek iných správ o audite a certifikácií, ktoré OwnBackup sprístupňuje zákazníkom za predpokladu, že zákazník nie je konkurentom OwnBackup.

RIADENIE A OZNAMOVANIE ÚDAJOV ZÁKAZNÍKOV

Spoločnosť OwnBackup dodržiava zásady a postupy riadenia bezpečnostných incidentov a bez zbytočného odkladu informuje zákazníka o náhodnom alebo nezákonnom zničení, strate, zmene, neoprávnenom zverejnení alebo o prístupe k údajom zákazníka vrátane osobných údajov prenášaných, uchovávaných alebo inak spracúvaných OwnBackup alebo jej Sub-spracovateľov, o ktorých sa OwnBackup dozvie („Incident údajov o zákazníkoch“). Spoločnosť OwnBackup vynaloží primerané úsilie na identifikáciu príčiny takéhoto incidentu s údajmi o zákazníkoch a podnikne kroky, ktoré spoločnosť OwnBackup považuje za potrebné a primerané na nápravu príčiny takéhoto incidentu s údajmi o zákazníkoch, v rozsahu, v akom je náprava v rámci primeranej kontroly spoločnosti OwnBackup. Povinnosti uvedené v tomto dokumente sa nevzťahujú na incidenty spôsobené zákazníkom alebo jeho personálom.

VRÁTENIE A VYMAZANIE ÚDAJOV ZÁKAZNÍKA
OwnBackup vráti zákaznícke údaje zákazníkovi a v rozsahu povolenom príslušnými zákonmi vymaže zákaznícke údaje v súlade s postupmi a časovými rámcami uvedenými v zmluve.

AUDIT

Na žiadosť zákazníka a v súlade so záväzkami mlčanlivosti v zmluve, OwnBackup sprístupní zákazníkovi (alebo zákazníkovi tretej strane audítora, ktorý podpísal zmluvu o mlčanlivosti primerane prijateľnú pre OwnBackup) informácie potrebné na preukázanie dodržiavania záväzkov skupiny OwnBackup. stanovené v tomto DPA a jeho povinnosti ako Spracovateľa podľa zákonov a nariadení o ochrane údajov vo forme vyplnených štandardizovaných bezpečnostných dotazníkov spoločnosti OwnBackup, certifikácií tretích strán a správ o audite (napr. jej dokončený štandardizovaný zber informácií (SIG) a konsenzus Cloud Security Alliance Dotazníky Assessments Initiative (CSA CAIQ), správa SOC 2 a súhrnné správy o penetračných testoch) a pre jej Subspracovateľov certifikácie a správy o audite tretích strán, ktoré sprístupnili. Po akomkoľvek upozornení spoločnosti OwnBackup zákazníkovi na skutočné alebo dôvodne podozrivé neoprávnené zverejnenie osobných údajov, na základe odôvodneného presvedčenia zákazníka, že spoločnosť OwnBackup porušuje svoje povinnosti v oblasti ochrany osobných údajov podľa tohto DPA, alebo ak takýto audit vyžaduje dozorný orgán zákazníka, zákazník môže kontaktovať OwnBackup so žiadosťou o audit postupov relevantných pre ochranu osobných údajov. Akýkoľvek takýto audit bude vykonaný na diaľku, s výnimkou toho, že zákazník a/alebo jeho dozorný orgán môže vykonať audit na mieste v priestoroch spoločnosti OwnBackup, ak to vyžadujú zákony a nariadenia o ochrane údajov. Žiadna takáto žiadosť sa nevyskytuje viac ako raz ročne, okrem prípadu skutočného alebo dôvodne podozrivého neoprávneného prístupu k osobným údajom. Pred začatím akéhokoľvek auditu sa zákazník a OwnBackup vzájomne dohodnú na rozsahu, načasovaní a trvaní auditu. V žiadnom prípade nebude vykonaný žiadny audit subspracovateľa nad rámec review správ, certifikácií a dokumentácie sprístupnených subdodávateľom budú povolené bez súhlasu subdodávateľa.

PARTNERI

• Zmluvný vzťah. Subjekt zákazníka, ktorý podpisuje túto DPA, tak robí za seba a, ak je to vhodné, v mene a mene svojich pridružených spoločností, čím sa vytvorí samostatný DPA medzi OwnBackup a každou takouto pridruženou spoločnosťou v súlade s ustanoveniami zmluvy, tohto článku 10 a článku 11 nižšie. Každá takáto pridružená spoločnosť súhlasí s tým, že bude viazaná záväzkami vyplývajúcimi z tejto DPA a v príslušnom rozsahu zo zmluvy. Aby sa predišlo pochybnostiam, takéto Pridružené spoločnosti nie sú a ani sa nestanú zmluvnými stranami Dohody a sú iba zmluvnými stranami tohto DPA. Všetok prístup k službám SaaS a ich používanie takýmito pridruženými spoločnosťami musí byť v súlade s dohodou a každé porušenie zmluvy zo strany pridruženej spoločnosti sa bude považovať za porušenie zo strany zákazníka.
• Komunikácia. Subjekt zákazníka, ktorý podpísal tento DPA, zostáva zodpovedný za koordináciu všetkej komunikácie s OwnBackup podľa tohto DPA a je oprávnený uskutočňovať a prijímať akúkoľvek komunikáciu v súvislosti s týmto DPA v mene svojich pridružených spoločností.
• Práva pridružených spoločností zákazníka. Ak sa pridružená spoločnosť zákazníka stane zmluvnou stranou tohto DPA s OwnBackup, bude v rozsahu, ktorý vyžadujú platné zákony a nariadenia o ochrane údajov, oprávnená uplatňovať práva a žiadať nápravu podľa tohto DPA, s výhradou nasledujúcich podmienok:
• S výnimkou prípadov, keď príslušné zákony a predpisy o ochrane údajov vyžadujú, aby pridružená spoločnosť zákazníka uplatnila právo alebo požiadala o nápravu podľa tohto DPA priamo proti OwnBackup, zmluvné strany sa dohodli, že
  • iba subjekt zákazníka, ktorý podpísal túto DPA, uplatní akékoľvek takéto právo alebo bude hľadať akýkoľvek takýto prostriedok nápravy v mene pridruženej spoločnosti zákazníka a (ii) subjekt zákazníka, ktorý podpísal túto DPA, uplatní akékoľvek takéto práva podľa tohto DPA nie samostatne pre každú pridruženú spoločnosť jednotlivo, ale kombinovaným spôsobom pre seba a všetky jej pridružené spoločnosti spolu (ako je uvedené naprample, v odseku 10.3.2 nižšie).
  • Subjekt zákazníka, ktorý podpisuje túto DPA, pri vykonávaní povoleného auditu postupov relevantných pre ochranu osobných údajov prijme všetky primerané opatrenia na obmedzenie akéhokoľvek vplyvu na OwnBackup a jeho čiastkových spracovateľov tak, že v primerane možnej miere skombinuje niekoľko žiadosti o audit vykonávané v jej mene a v mene všetkých jej pridružených spoločností v rámci jedného auditu.

OBMEDZENIE ZODPOVEDNOSTI

• V rozsahu povolenom zákonmi a nariadeniami o ochrane údajov je zodpovednosť každej strany a všetkých jej pridružených spoločností, spolu v súhrne, vyplývajúca z tohto DPA alebo súvisiaca s týmto DPA, či už na základe zmluvy, deliktu alebo akejkoľvek inej teórie zodpovednosti, v súlade s ustanoveniami „Obmedzenia zodpovednosti“ a inými ustanoveniami zmluvy, ktoré vylučujú alebo obmedzujú zodpovednosť, a akýkoľvek odkaz v takýchto doložkách na zodpovednosť strany znamená súhrnnú zodpovednosť tejto strany a všetkých jej pridružených spoločností.

ZMENY PRENOSOVÝCH MECHANIZMOV

• V prípade, že súčasný mechanizmus prenosu, na ktorý sa zmluvné strany spoliehajú pri uľahčovaní prenosov osobných údajov do jednej alebo viacerých krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov, sa zmení a doplní , alebo nahradí strany, budú v dobrej viere pracovať na zavedení takéhoto alternatívneho mechanizmu prenosu, aby sa umožnilo pokračovanie Spracúvania Osobných údajov, o ktorom sa uvažuje v Zmluve. Použitie takéhoto alternatívneho prevodného mechanizmu je podmienené splnením všetkých zákonných požiadaviek na používanie takéhoto prevodného mechanizmu každou stranou.

Oprávnení signatári zmluvných strán riadne podpísali túto dohodu vrátane všetkých príslušných zoznamov, príloh a dodatkov, ktoré sú tu zahrnuté

ZÁKAZNÍK 

• Podpísané:
• meno:
• názov:
• dátum:

Zoznam rozvrhov

• Plán 1: Aktuálny zoznam sub-procesorov
• Príloha 2: Služby SaaS uplatniteľné na spracovanie osobných údajov
• Príloha 3: Podrobnosti o spracovaní
• Plán 4: OwnBackup Security Controls
• Príloha 5: Európske ustanovenia

Aktuálny zoznam podprocesorov

Zákazník si môže vybrať buď Amazon Web Services alebo Microsoft (Azure) a jej požadované miesto spracovania počas počiatočného nastavenia služieb SaaS zákazníkom.
Vzťahuje sa len na zákazníkov OAwnBackup Archive, ktorí sa rozhodnú nasadiť v cloude Microsoft (Azure).

Služby Saas vzťahujúce sa na spracovanie osobných údajov

• OwnBackup Enterprise pre Salesforce
• OwnBackup Unlimited pre Salesforce
• OwnBackup Governance Plus pre Salesforce
• Vlastný zálohovací archív
• Prineste si vlastnú správu kľúčov
• Osievanie pieskoviska

Podrobnosti o Spracovaní

Exportér údajov

• Celé meno: Meno zákazníka, ako je uvedené vyššie
• Hlavná adresa: Adresa zákazníka, ako je uvedené vyššie
• Kontakt: Ak nie je uvedené inak, ide o primárny kontakt na zákazníckom účte.
• Kontaktný e-mail: Ak nie je uvedené inak, toto bude primárna kontaktná e-mailová adresa v zákazníckom účte.

Importér údajov

• Celé meno: OwnBackup Inc.
• Hlavná adresa: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
• Kontakt: úradník pre ochranu osobných údajov
• Kontaktný e-mail: privacy@ownbackup.com

Povaha a účel spracovania

• OwnBackup bude spracúvať osobné údaje podľa potreby na poskytovanie služieb Saa v súlade s
• zmluvy a objednávok a podľa ďalších pokynov zákazníka pri používaní služieb SaaS.

Trvanie spracovania

OwnBackup bude Osobné údaje spracúvať počas trvania Zmluvy, pokiaľ nie je písomne ​​dohodnuté inak.

Udržanie
OwnBackup bude uchovávať osobné údaje v službách SaaS počas trvania zmluvy, pokiaľ nie je písomne ​​dohodnuté inak, s výhradou maximálnej doby uchovávania uvedenej v dokumentácii.

Frekvencia prenosu
Ako určí zákazník prostredníctvom používania služieb SaaS.

Prevody na sub-spracovateľov
Ak je to potrebné na vykonávanie služieb SaaS v súlade so Zmluvou a Objednávkami, a ako je ďalej opísané v Prílohe 1.

Kategórie dotknutých osôb
Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, Osobné údaje týkajúce sa nasledujúcich kategórií dotknutých osôb:

• Záujemcovia, zákazníci, obchodní partneri a predajcovia zákazníka (ktorí sú fyzickými osobami)
• Zamestnanci alebo kontaktné osoby potenciálnych zákazníkov, zákazníkov, obchodných partnerov a predajcov
• Zamestnanci, agenti, poradcovia, nezávislí pracovníci zákazníka (ktorí sú fyzickými osobami)
• Používatelia zákazníka autorizovaní zákazníkom na používanie služieb SaaS

Typ osobných údajov
Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, nasledujúce kategórie

Osobné údaje:

• Meno a priezvisko
• Názov
• pozícia
• Zamestnávateľ
• identifikačné údaje
• Údaje o profesionálnom živote
• Kontaktné údaje (firma, e-mail, telefón, fyzická adresa firmy)
• Údaje o osobnom živote
• Lokalizačné údaje

Špeciálne kategórie údajov (ak je to vhodné)
Zákazník môže Službám SaaS odovzdať osobitné kategórie Osobných údajov, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré by z dôvodu prehľadnosti mohli zahŕňať spracovanie genetických údajov, biometrických údajov na účely jedinečného identifikáciu fyzickej osoby alebo údaje týkajúce sa zdravia. Informácie o tom, ako OwnBackup chráni špeciálne kategórie údajov a iné osobné údaje, nájdete v opatreniach v Pláne 4.

Úvod

1. Aplikácie softvéru OwnBackup ako služby (SaaS Services) boli od začiatku navrhnuté s ohľadom na bezpečnosť. Služby SaaS sú navrhnuté s rôznymi bezpečnostnými kontrolami na viacerých úrovniach, aby riešili celý rad bezpečnostných rizík. Tieto bezpečnostné kontroly podliehajú zmenám; akékoľvek zmeny však zachovajú alebo zlepšia celkový stav bezpečnosti.
2. Opis ovládacích prvkov nižšie sa vzťahuje na implementácie služby SaaS na oboch serveroch Amazon Web Platformy služieb (AWS) a Microsoft Azure (Azure) (spolu označované ako naši poskytovatelia cloudových služieb alebo CSP), okrem prípadov uvedených v časti Šifrovanie nižšie. Tieto popisy ovládacích prvkov sa nevzťahujú na softvér RevCult okrem prípadov uvedených v časti „Vývoj bezpečného softvéru“ nižšie.

Web Kontroly zabezpečenia aplikácií

• Zákaznícky prístup k Službám SaaS je len cez HTTPS (TLS1.2+), čím sa vytvára šifrovanie prenosu údajov medzi koncovým používateľom a aplikáciou a medzi OwnBackup a zdrojom údajov tretej strany (napr. Salesforce).
• Správcovia služby SaaS zákazníka môžu podľa potreby poskytovať a zrušiť poskytovanie služieb SaaS a súvisiaci prístup.
• Služby SaaS poskytujú riadenie prístupu na základe rolí, ktoré zákazníkom umožňuje spravovať povolenia viacerých organizácií.
• Správcovia služby SaaS zákazníka majú prístup k záznamom auditu vrátane používateľského mena, akcie a časuampa polia zdrojovej adresy IP. Protokoly auditu môžu byť viewspracované a exportované správcom služby SaaS zákazníka prihláseným do služieb SaaS, ako aj prostredníctvom rozhrania API služieb SaaS.
• Prístup k službám SaaS môže byť obmedzený zdrojovou IP adresou.
• Služby SaaS umožňujú zákazníkom povoliť viacfaktorovú autentifikáciu pre prístup k účtom služby SaaS pomocou časovo založených jednorazových hesiel.
• Služby SaaS umožňujú zákazníkom povoliť jednotné prihlásenie prostredníctvom poskytovateľov identity SAML 2.0.
• Služby SaaS umožňujú zákazníkom povoliť prispôsobiteľné zásady hesiel, aby pomohli zosúladiť heslá služby SaaS s podnikovými zásadami.

Šifrovanie

• OwnBackup ponúka nasledujúce možnosti služby SaaS na šifrovanie údajov v pokoji:
  • Štandardná ponuka.
    • Údaje sú šifrované pomocou šifrovania AES-256 na strane servera prostredníctvom systému správy kľúčov overeného podľa FIPS 140-2.
    • Šifrovanie obálok sa využíva tak, že hlavný kľúč nikdy neopustí hardvérový bezpečnostný modul (HSM).
    • nšifrovacie kľúče sa striedajú najmenej každé dva roky.
  • Možnosť Advanced Key Management (AKM).
    • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov pomocou hlavného šifrovacieho kľúča (CMK) poskytnutého zákazníkom.
    • AKM umožňuje budúcu archiváciu kľúča a jeho rotáciu s iným hlavným šifrovacím kľúčom.
    • Zákazník môže odvolať hlavné šifrovacie kľúče, čo má za následok okamžitú nedostupnosť údajov.
  • Možnosť Prineste si svoj vlastný systém správy kľúčov (KMS) (k dispozícii len na AWS).
    • Šifrovacie kľúče sa vytvárajú vo vlastnom, samostatne zakúpenom účte zákazníka pomocou AWS KMS.
    • Zákazník definuje politiku šifrovacieho kľúča, ktorá povoľuje zákazníckemu účtu služby SaaS na AWS prístup ku kľúču z vlastného AWS KMS zákazníka.
    • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov, ktorý spravuje OwnBackup a sú nakonfigurované na používanie šifrovacieho kľúča zákazníka.
    • Zákazník môže okamžite odvolať prístup k zašifrovaným údajom zrušením prístupu OwnBackup k šifrovaciemu kľúču bez interakcie s OwnBackup.
    • Zamestnanci OwnBackup nemajú kedykoľvek prístup k šifrovacím kľúčom a nepristupujú priamo do KMS.
    • Všetky kľúčové aktivity používania sú zaznamenané v zákazníckom KMS, vrátane získavania kľúčov prostredníctvom vyhradeného úložiska objektov.
• Šifrovanie pri prenose medzi službami SaaS a zdrojom údajov tretej strany (napr. Salesforce) využíva HTTPS s TLS 1.2+ a OAuth 2.0.

sieť

• Služby SaaS využívajú sieťové ovládacie prvky CSP na obmedzenie vstupu a výstupu zo siete.
• Stavové bezpečnostné skupiny sa používajú na obmedzenie vstupu a výstupu siete na autorizované koncové body.
• Služby SaaS využívajú viacvrstvovú sieťovú architektúru, vrátane viacerých, logicky oddelených virtuálnych privátnych cloudov Amazon (VPC) alebo Azure Virtual Networks (VNets), ktoré využívajú súkromné, DMZ a nedôveryhodné zóny v rámci infraštruktúry CSP.
• V AWS sa obmedzenia koncového bodu VPC S3 používajú v každej oblasti na povolenie prístupu iba z autorizovaných VPC.

Monitorovanie a audit

• Systémy a siete služby SaaS sú monitorované z hľadiska bezpečnostných incidentov, stavu systému, abnormalít siete a dostupnosti.
• Služby SaaS využívajú systém detekcie narušenia (IDS) na monitorovanie sieťovej aktivity a upozornenie OwnBackup na podozrivé správanie.
• Používanie služieb SaaS web aplikačné firewally (WAF) pre celú verejnosť web služby.
• OwnBackup zaznamenáva udalosti aplikácie, siete, používateľa a operačného systému na lokálny server syslog a SIEM špecifický pre daný región. Tieto protokoly sa automaticky analyzujú a znovaviewza podozrivú činnosť a vyhrážky. Akékoľvek anomálie sú podľa potreby eskalované.
• OwnBackup využíva systémy správy bezpečnostných informácií a udalostí (SIEM), ktoré poskytujú nepretržitú bezpečnostnú analýzu sietí a bezpečnostného prostredia služieb SaaS, upozorňovanie na anomálie používateľov, prieskum útokov velenia a riadenia (C&C), automatickú detekciu hrozieb a hlásenie indikátorov kompromisu (IOC). ). Všetky tieto schopnosti spravuje bezpečnostný a prevádzkový personál OwnBackup.
• Tím pre reakciu na incidenty OwnBackup monitoruje alias security@ownbackup.com a v prípade potreby odpovedá podľa plánu reakcie na incidenty (IRP) spoločnosti.

Izolácia medzi účtami

• Služby SaaS používajú karanténu systému Linux na izoláciu údajov zákazníckych účtov počas spracovania. To pomáha zaistiť, že akákoľvek anomália (naprampz dôvodu bezpečnostného problému alebo softvérovej chyby) zostáva obmedzený na jediný účet OwnBackup.
• Prístup k údajom nájomníkov je riadený prostredníctvom jedinečných používateľov IAM s údajmi taging, ktorý znemožňuje neoprávneným používateľom prístup k údajom nájomníka.

Obnova po katastrofe

• OwnBackup využíva ukladanie objektov CSP na ukladanie zašifrovaných údajov o zákazníkoch vo viacerých zónach dostupnosti.
• Pre údaje o zákazníkoch uložené na objektovom úložisku používa OwnBackup vytváranie verzií objektov s automatickým starnutím na podporu dodržiavania zásad obnovy a zálohovania po havárii OwnBackup. Pre tieto objekty sú systémy OwnBackup navrhnuté tak, aby podporovali cieľ bodu obnovy (RPO) 0 hodín (t. j. schopnosť obnoviť ľubovoľnú verziu ľubovoľného objektu tak, ako existoval počas predchádzajúcich 14 dní).
• Akékoľvek požadované obnovenie výpočtovej inštancie sa dosiahne prebudovaním inštancie na základe automatizácie správy konfigurácie OwnBackup.
• Plán obnovy po havárii spoločnosti OwnBackup je navrhnutý tak, aby podporoval 4-hodinový cieľ doby obnovy (RTO).

Správa zraniteľností

• OwnBackup sa vykonáva pravidelne web hodnotenia zraniteľnosti aplikácií, analýza statického kódu a externé dynamické hodnotenia ako súčasť programu nepretržitého monitorovania, ktorý pomáha zaistiť správne uplatňovanie a efektívne fungovanie ovládacích prvkov zabezpečenia aplikácií.
• Na polročnej báze si OwnBackup najíma nezávislých penetračných testerov tretích strán, ktorí vykonávajú sieťové aj web hodnotenia zraniteľnosti. Rozsah týchto externých auditov zahŕňa súlad s Open Web Projekt zabezpečenia aplikácií (OWASP) Top 10 Web Zraniteľnosť (www.owasp.org).
• Výsledky hodnotenia zraniteľnosti sú začlenené do životného cyklu vývoja softvéru OwnBackup (SDLC), aby sa odstránili identifikované zraniteľnosti. Špecifické zraniteľnosti sú uprednostňované a zadávané do interného systému lístkov OwnBackup na sledovanie prostredníctvom riešenia.

Reakcia na incident

V prípade potenciálneho narušenia bezpečnosti tím OwnBackup Incident Response Team zhodnotí situáciu a vypracuje vhodné stratégie na zmiernenie. Ak sa potvrdí potenciálne porušenie, OwnBackup okamžite zasiahne, aby zmiernil porušenie a zachoval forenzné dôkazy, a bez zbytočného odkladu upovedomí primárne kontaktné miesta dotknutých zákazníkov, aby ich informoval o situácii a poskytol aktualizácie stavu riešenia.

Bezpečný vývoj softvéru

OwnBackup využíva bezpečné postupy vývoja softvérových aplikácií OwnBackup a RevCult počas celého životného cyklu vývoja softvéru. Tieto postupy zahŕňajú analýzu statického kódu, bezpečnosť Salesforceview pre aplikácie RevCult a pre aplikácie OwnBackup nainštalované v zákazníckych inštanciách Salesforce, peer review zmeny kódu, obmedzenie prístupu k úložisku zdrojového kódu na základe princípu najmenších privilégií a protokolovanie prístupu a zmien k úložisku zdrojového kódu.

Vyhradený bezpečnostný tím

OwnBackup má špecializovaný bezpečnostný tím s viac ako 100-ročnými kombinovanými skúsenosťami v oblasti informačnej bezpečnosti. Okrem toho členovia tímu udržiavajú množstvo uznávaných certifikácií, vrátane, ale nie výlučne, CISM, CISSP a ISO 27001 vedúcich audítorov.

Ochrana súkromia a údajov
OwnBackup poskytuje natívnu podporu pre žiadosti o prístup dotknutej osoby, ako je právo na vymazanie (právo byť zabudnutý) a anonymizáciu, na podporu dodržiavania nariadení o ochrane osobných údajov vrátane všeobecného nariadenia o ochrane údajov (GDPR), zákona o prenosnosti a zodpovednosti zdravotného poistenia. (HIPAA) a kalifornského zákona o ochrane súkromia spotrebiteľov (CCPA). OwnBackup tiež poskytuje dodatok o spracovaní údajov, ktorý rieši zákony na ochranu súkromia a údajov vrátane právnych požiadaviek na medzinárodné prenosy údajov.

Previerky pozadia

OwnBackup vykonáva panel previerok, vrátane kriminálnych previerok svojich zamestnancov, ktorí môžu mať prístup k údajom zákazníkov, na základe jurisdikcie bydliska zamestnanca počas predchádzajúcich siedmich rokov, v súlade s platnými zákonmi.

poistenie

OwnBackup udržiava minimálne nasledujúce poistné krytie: (a) poistenie kompenzácie pracovníkov v súlade so všetkými príslušnými zákonmi; (b) poistenie zodpovednosti za škodu spôsobenú prevádzkou vozidla pre nevlastnené a prenajaté vozidlá s kombinovaným jediným limitom 1,000,000 1,000,000 2,000,000 USD; (c) poistenie všeobecnej komerčnej zodpovednosti (verejná zodpovednosť) s jednolimitným krytím 20,000,000 20,000,000 5,000,000 USD za udalosť a všeobecným súhrnným krytím XNUMX XNUMX XNUMX USD; (d) poistenie chýb a opomenutí (odškodnenie pri výkone povolania) s limitom XNUMX XNUMX XNUMX USD na udalosť a súhrnne XNUMX XNUMX XNUMX USD vrátane primárnych a nadbytočných vrstiev a vrátane kybernetickej zodpovednosti, technologických a profesionálnych služieb, technologických produktov, bezpečnosti údajov a sietí, reakcie na porušenie predpisov, zodpovednosť za obranu a sankcie, kybernetické vydieranie a obnovu údajov; a (e) poistenie pre nepoctivosť/zločin zamestnanca s krytím XNUMX XNUMX XNUMX USD. OwnBackup na požiadanie poskytne Zákazníkovi dôkaz o takomto poistení.

európske ustanovenia

Tento harmonogram sa vzťahuje len na prenosy Osobných údajov (vrátane ďalších prenosov) z Európy, ktoré by v prípade neuplatnenia týchto ustanovení spôsobili, že zákazník alebo spoločnosť OwnBackup porušia príslušné zákony a nariadenia o ochrane údajov.

Prenosový mechanizmus na prenos údajov.
Štandardné zmluvné doložky sa vzťahujú na akékoľvek prenosy osobných údajov podľa tejto DPA z Európy do krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov na takýchto územiach, pokiaľ takéto prenosy podliehajú takéto zákony a predpisy o ochrane údajov. OwnBackup vstupuje do štandardných zmluvných doložiek ako importér údajov. Na takéto prenosy údajov sa vzťahujú aj dodatočné podmienky v tomto zozname.

Prevody podliehajú štandardným zmluvným doložkám.

• Zákazníci, na ktorých sa vzťahujú štandardné zmluvné doložky. Štandardné zmluvné doložky a dodatočné podmienky uvedené v tejto prílohe sa vzťahujú na (i) Zákazníka v rozsahu, v akom Zákazník podlieha európskym zákonom a nariadeniam o ochrane údajov, a (ii) jeho Autorizované pridružené spoločnosti. Na účely štandardných zmluvných doložiek a tohto dodatku sú takéto subjekty „vývozcami údajov“.
• Moduly. Zmluvné strany sa dohodli, že tam, kde je možné použiť voliteľné moduly v rámci Štandardných zmluvných doložiek, sa použijú len tie, ktoré sú označené ako „MODUL DVA: Preniesť správcu na sprostredkovateľa“.
• Inštrukcie. Pokyny popísané v bode 2 vyššie sa považujú za pokyny zákazníka na spracovanie osobných údajov na účely bodu 8.1 štandardných zmluvných doložiek.
• Vymenovanie nových sub-spracovateľov a zoznam súčasných sub-spracovateľov. V súlade s MOŽNOSŤOU 2 k článku 9(a) štandardných zmluvných doložiek zákazník súhlasí s tým, že spoločnosť OwnBackup môže angažovať nových sub-spracovateľov, ako je opísané v odsekoch 5.1, 5.ba 5.c vyššie, a že pridružené spoločnosti OwnBackup môžu zostať ako -spracovatelia a OwnBackup a Pridružené spoločnosti OwnBackup môžu v súvislosti s poskytovaním Služieb spracovania údajov angažovať Subspracovateľov tretích strán. Aktuálny zoznam čiastkových spracovateľov, ako je priložený ako Plán 1.
• Subdodávateľské zmluvy. Zmluvné strany sa dohodli, že prenos údajov subdodávateľom sa môže opierať o iný mechanizmus prenosu ako sú štandardné zmluvné doložky (napr.ample, záväzné podnikové pravidlá) a že dohody OwnBackup s takýmito Subspracovateľmi preto nemôžu zahŕňať alebo odzrkadľovať Štandardné zmluvné doložky, bez ohľadu na čokoľvek v rozpore s článkom 9(b) Štandardných zmluvných doložiek. Akákoľvek takáto zmluva so subdodávateľom však musí obsahovať povinnosti ochrany údajov, ktoré nie sú menej chránené ako tie, ktoré sú uvedené v tomto DPA, pokiaľ ide o ochranu zákazníckych údajov, a to v rozsahu uplatniteľnom na služby poskytované takýmto subdodávateľom. Kópie zmlúv so subspracovateľmi, ktoré musí spoločnosť OwnBackup poskytnúť zákazníkovi podľa článku 9(c) štandardných zmluvných doložiek, poskytne spoločnosť OwnBackup iba na základe písomnej žiadosti zákazníka a môže obsahovať všetky obchodné informácie alebo ustanovenia, ktoré nesúvisia s Štandardné zmluvné doložky alebo ich ekvivalent, ktoré OwnBackup vopred odstráni.
• Audity a certifikácie. Zmluvné strany sa dohodli, že audity opísané v článku 8.9 a článku 13(b) štandardných zmluvných doložiek sa budú vykonávať v súlade s článkom 9 vyššie.
• Vymazanie údajov. Zmluvné strany sa dohodli, že vymazanie alebo vrátenie údajov podľa článku 8.5 alebo článku 16(d) štandardných zmluvných doložiek bude vykonané v súlade s článkom 8 vyššie a akékoľvek potvrdenie o vymazaní poskytne spoločnosť OwnBackup iba na žiadosť Zákazníka.
• Príjemcovia tretích strán. Zmluvné strany sa dohodli, že na základe povahy služieb SaaS Zákazník poskytne všetku pomoc potrebnú na to, aby OwnBackup mohol splniť svoje záväzky voči dotknutým osobám podľa článku 3 štandardných zmluvných doložiek.
• Hodnotenie vplyvu. V súlade s článkom 14 štandardných zmluvných doložiek zmluvné strany vykonali analýzu v kontexte špecifických okolností prevodu, zákonov a praktík cieľovej krajiny, ako aj špecifických doplnkových zmluvných, organizačných a technických záruky, ktoré sa uplatňujú, a na základe informácií, ktoré im boli v tom čase primerane známe, určili, že zákony a prax cieľovej krajiny nebránia stranám v plnení záväzkov každej strany podľa štandardných zmluvných doložiek
• Rozhodujúce právo a fórum. Zmluvné strany sa dohodli, pokiaľ ide o MOŽNOSŤ 2 k článku 17, že v prípade, že členský štát EÚ, v ktorom má vývozca údajov sídlo, nepripúšťa práva príjemcov tretích strán, štandardné zmluvné doložky sa budú riadiť právom Írsko. V súlade s článkom 18 budú spory súvisiace so štandardnými zmluvnými doložkami riešené súdmi uvedenými v zmluve, pokiaľ takýto súd nemá sídlo v členskom štáte EÚ, pričom v takom prípade budú súdom pre takéto spory súdy v Írsku .
• prílohy. Na účely vykonávania štandardných zmluvných doložiek sa príloha 3: Podrobnosti o spracovaní začlení ako PRÍLOHA IA a IB, príloha 4: Kontroly zabezpečenia vlastného zálohovania (ktorá sa môže z času na čas aktualizovať na https://www.ownbackup.com/trust/) sa začlení ako PRÍLOHA II a Plán 1: Aktuálny zoznam podprocesorov (môže byť priebežne aktualizovaný na https://www.ownbackup.com/legal/sub-p/) sa začlení ako PRÍLOHA III.
• Výklad. Podmienky tohto dodatku sú určené na objasnenie a nie na úpravu štandardných zmluvných doložiek. V prípade akéhokoľvek rozporu alebo nesúladu medzi telom tejto prílohy a štandardnými zmluvnými doložkami majú prednosť Štandardné zmluvné doložky.

Ustanovenia platné pre transfery zo Švajčiarska

Zmluvné strany sa dohodli, že na účely uplatňovania štandardných zmluvných doložiek na uľahčenie prenosu osobných údajov zo Švajčiarska sa budú uplatňovať tieto dodatočné ustanovenia: (i) Akékoľvek odkazy na nariadenie (EÚ) 2016/679 sa budú vykladať tak, že odkazujú na príslušné ustanovenia švajčiarskeho federálneho zákona o ochrane údajov a iných zákonov Švajčiarska na ochranu údajov („švajčiarske zákony o ochrane údajov“), (ii) Všetky odkazy na „členský štát“ alebo „členský štát EÚ“ alebo „EÚ“ sa vykladajú tak, že odkazujú na Švajčiarsko a (iii) Všetky odkazy na dozorný orgán sa vykladajú tak, že odkazujú na Švajčiarskeho federálneho komisára pre ochranu údajov a informácií.

Ustanovenia platné pre transfery zo Spojeného kráľovstva

Zmluvné strany súhlasia s tým, že Dodatok Spojeného kráľovstva sa vzťahuje na prenosy Osobných údajov, ktoré sa riadia zákonom Spojeného kráľovstva o ochrane údajov, a bude sa považovať za dokončený takto (s výrazmi s veľkým začiatočným písmenom, ktoré nie sú definované inde a majú definíciu uvedenú v Dodatku Spojeného kráľovstva):

• Tabuľka 1: Strany, ich podrobnosti a kontakty sú uvedené v zozname 3.
• Tabuľka 2: „Schválené štandardné zmluvné doložky EÚ“ sú štandardné zmluvné doložky uvedené v tomto dodatku 5.
• Tabuľka 3: Prílohy I(A), I(B) a II sú vyplnené tak, ako je uvedené v časti 2(k) tohto dodatku 5.
• Tabuľka 4: OwnBackup môže uplatniť voliteľné právo na predčasné ukončenie popísané v časti 19 Dodatku pre Spojené kráľovstvo.

Dokumenty / zdroje

Dodatok o spracovaní údajov o vlastnej zálohe [pdfPokyny Dodatok o spracovaní údajov, dodatok o spracovaní, dodatok

Referencie

• Používateľská príručka