Verze ze dne 23 Květen 2018

Smlouva o subdodávce

Tuto smlouvu o subdodávce uzavírá společnost CORUSCANT, akciová společnost, se sídlem na adrese 16 rue du Mail – 75002 Paris, RCS 802 162 628, kterou zastupuje pan Jeremy Clédat (dále jen „Subdodavatel“) s Vámi, společností klienta (dále jen „Vedoucí zpracovávání“) po podepsání Všeobecných podmínek prodeje (označené i jako „CGV“) se společností CORUSCANT za účelem využívání služeb WTTJ a Welcome Kit.

Vedoucí zpracovávání a Subdodavatel se společně označují jako „Smluvní strany“ anebo samostatně jako „Smluvní strana“.

STRANY SE DOHODLY NA NÁSLEDUJÍCÍCH BODECH:

  1. Smluvní strany prohlašují a uznávají, že jednání předcházející této dohodě byla vedena v dobré víře a během fáze před uzavřením smlouvy byly využity veškeré potřebné a užitečné informace, aby se Smluvní strany kompletně seznámily s podmínkami a aby si předávaly veškeré informace, které by mohly ovlivnit jejich souhlas anebo které by mohly legitimně ignorovat.

  2. Vedoucím zpracovávání je společnost, která využívá služeb spravovaných společností Coruscant, a sice Welcome Kit (nástroj pro správu kandidatury) a/anebo welcometothejungle.co, což je webová stránka se zaměřením na trh práce, na které mohou společnosti zveřejňovat své pracovní nabídky. Vedoucím zpracovávání je společnost, která využívá služeb spravovaných společností Coruscant na nábor a správu zpracovávání svých kandidatur od jejich přijetí po přijetí kandidáta do pracovního poměru.

  3. Subdodavatel nabízí platformu WelcomeKit, která je zaměřená na nábor do pracovního poměru. Tento systém ATS (Applicant Tracking System) je jednoduchý a kompatibilní a umožňuje odpovídat na potřeby náborářů, zejména integrací a správou pracovních nabídek Vedoucím zpracovávání.

NA ZÁKLADĚ VÝŠE UVEDENÉHO SE SMLUVNÍ STRANY DOHODLY NA NÁSLEDUJÍCÍCH PODMÍNKÁCH:

I. Definice

Pro potřeby této smlouvy budou mít následující termíny níže uvedené definice:

„Osobní údaje“ označují veškeré informace, které se vztahují k identifikované anebo identifikovatelné fyzické osobě; za „identifikovatelnou fyzickou osobu“ se považuje fyzická osoba, kterou lze identifikovat, přímo anebo nepřímo, zejména s ohledem na identifikační číslo anebo na jeden či několik osobnostních prvků. Aby bylo možné určit, zda je osoba identifikovatelná, je vhodné zvážit celou soustavu prostředků s cílem umožnit její identifikaci, ke kterým může mít přístup Vedoucí zpracovávání anebo některá další osoba.

** „Příslušná osoba“**označuje fyzickou osobu, jejíž Osobní údaje se zpracovávají.

** „Vedoucí zpracovávání“** označuje právnickou osobu uvedenou v úvodu tohoto dokumentu, a sice společnost, která stanovuje účely a prostředky Zpracovávání Osobních údajů.

„Subdodavatel“ označuje právnickou osobu uvedenou v úvodu tohoto dokumentu, a sice společnost CORUSCANT, fungující pod obchodním názvem „Welcome To The Jungle“, která zpracovává Osobní údaje pod dohledem, podle pokynů a pro potřeby Vedoucího zpracovávání.

** „Zpracovávání“** označuje jakoukoliv operaci anebo jakoukoliv soustavu operací, které se vztahují na Osobní údaje, spravované Subdodavatelem pro potřeby Vedoucího zpracovávání, bez ohledu na použitý postup a především získávání, ukládání, organizaci, strukturalizaci, uchovávání, adaptaci anebo změny, extrakci, konzultaci, používání, sdělování prostřednictvím přenosu, šíření anebo jinou formu poskytování, přiblížení anebo propojení, jakož i omezení, vymazání anebo zničení.

** „Porušení Osobních údajů“** označuje porušení bezpečnosti, které náhodně anebo nelegálně zapříčiní zničení, ztrátu, změnu, neoprávněné šíření Osobních údajů zasílaných, ukládaných anebo zpracovávaných jiným způsobem anebo neoprávněný přístup k takovým údajům.

II. Předmět

Účelem této smlouvy je definovat podmínky, za kterých se Subdodavatel zavazuje provádět pro potřeby Vedoucího zpracovávání operace zpracovávání údajů osobního charakteru definované níže.

V rámci svých smluvních vztahů se Smluvní strany zavazují dodržovat platná nařízení vztahující se na Zpracovávání údajů osobního charakteru a konkrétně nařízení (EU) 2016/679 Evropského parlamentu a Rady z 27. dubna 2016 platné od 25. května 2018 (dále jen „evropské nařízení o ochraně údajů“), jakož i zákon č. 78-17 z 6. ledna 1978 vztahující se na informace, soubory a svobody (dále jen „zákon o informacích a svobodách“).

III. Popis Zpracovávání, které je předmětem subdodávky

Subdodavatel je oprávněn zpracovávat pro potřeby Vedoucího zpracovávání údaje osobního charakteru potřebné pro poskytování následujících služeb:

  • Přijetí kandidatur: identita, kontaktní údaje, životopis, motivační dopis, sociální sítě, doplňující informace;
  • Zpracovávání kandidatur: e-mailová komunikace, komentáře a hodnocení kandidatur náboráři;
  • Ukládání kandidatur.

Za účelem realizace Služeb, které jsou předmětem této smlouvy, Vedoucí zpracovávání poskytuje Subdodavateli informace, jejichž podrobný popis Zpracovávání je uvedený v Příloze 1.

IV. Trvání smlouvy

Tato smlouva (dále jen „Smlouva“) nabývá platnosti po jejím podepsání Vedoucím zpracovávání na dobu 1 roku, přičemž ji lze automaticky prodloužit.
Podepsání tohoto dokumentu se uskuteční přímo prostřednictvím platformy Welcome Kit administrátorem účtu náboráře, tedy fyzickou osobou, která je náležitě pověřená pro tyto úkony Vedoucím zpracovávání.

V. Povinnosti Vedoucího zpracovávání

Vedoucí zpracovávání uznává a garantuje:

  1. že Zpracovávání se uskutečňuje v souladu s ustanoveními evropského nařízení o ochraně údajů a zákona o informacích a svobodách, zejména pokud byla Příslušná osoba informována o účelu Zpracovávání, o svých právech, o příjemcích Osobních údajů a o politice ochrany soukromého života a Osobních údajů;

  2. že pokud bude Vedoucí zpracovávání zpracovávat „citlivé“ údaje tak, jak je to definováno v Článku 9 evropského nařízení o ochraně údajů (a to pokud se jedná o Zpracovávání údajů osobního charakteru, které odhalují rasový anebo etnický původ, politické názory, náboženské anebo filozofické přesvědčení anebo syndikální sounáležitost a zároveň bude zpracovávat genetické údaje, biometrické údaje za účelem jednoznačné identifikace fyzické osoby, údaje vztahující se na zdraví a údaje vztahující se na sexuální život anebo sexuální orientaci fyzické osoby), Vedoucí zpracovávání je získal a požaduje ze strany Subdodavatele, aby přistoupil k jejich zpracování, při absolutním dodržení ustanovení uvedeného Článku 9;

  3. že v co nejkratším možném termínu odpoví na požadavky informací CNIL v případě potřeby;

  4. že v co nejkratším možném termínu odpoví na požadavky každé Osoby dotčené Zpracováváním, sdělováním informací o Osobních údajích a že ve vhodné době předá vhodné pokyny Subdodavateli.

Vedoucí zpracovávání se zavazuje také:

  1. poskytnout Subdodavateli údaje uvedené v Příloze 1 této Smlouvy;

  2. písemně zdokumentovat veškeré pokyny vztahující se ke Zpracovávání osobních údajů Subdodavatelem;

  3. před a po dobu trvání Zpracovávání dbát na dodržování povinností stanovených evropským nařízením o ochraně údajů Subdodavatele.

VI. Povinnosti Subdodavatele

Subdodavatel se zavazuje:

  1. zpracovávat údaje jen pro účely, které jsou předmětem subdodávky, v souladu s Přílohou 1 („popis Zpracovávání je předmětem subdodávky“);

  2. pokud se bude Subdodavatel domnívat, že některý pokyn představuje porušení evropského nařízení o ochraně údajů anebo některého jiného ustanovení práva Evropské unie anebo práva členských států vztahujících se k ochraně údajů, ihned o tom informuje Vedoucího zpracovávání. Kromě toho, pokud musí Subdodavatel přistoupit k přenosu dat do třetí země anebo do mezinárodní organizace na základě práva Evropské unie anebo práva členského státu, jemuž podléhá, musí informovat Vedoucího zpracovávání o této právní povinnosti ještě před Zpracováním, kromě případů, kdy příslušné právo zakazuje takovéto informace z důležitých důvodů veřejného zájmu;

  3. zaručit důvěrnost údajů osobního charakteru zpracovávaných v rámci této smlouvy;

  4. dbát o to, aby osoby oprávněné zpracovávat údaje osobního charakteru na základě této smlouvy:
    ● se zavázaly dodržovat ochranu soukromí, anebo aby podléhaly patřičné právní povinnosti ochrany soukromí;
    ● získaly potřebné vzdělání v oblasti ochrany údajů osobního charakteru;

  5. zohlednit, pokud jde o jeho nástroje, produkty, aplikace anebo služby, principy ochrany údajů po koncepci a předvolené ochraně údajů;

  6. zavést a zachovávat přesnou dokumentaci, která obsahuje opatření na ochranu údajů a ochranu soukromí v rámci Osobních údajů, stejně jako přístup k těmto údajům;

  7. informovat své zaměstnance o jejich povinnosti vztahující se k ochraně Osobních údajů, zejména pokud jde o ochranu důvěrnosti těchto údajů;

  8. v případě eventuálního právního, administrativního anebo soudního zákazu, který by mohl zabránit uskutečnění Zpracovávání, že o tom bude Subdodavatel informovat Vedoucího zpracovávání, a bude tak moct ukončit smlouvu, aniž by mohl Vedoucí zpracovávání zpochybnit zodpovědnost Subdodavatele anebo aby od něj nemohl vyžadovat náhradu škod nebo úroky;

  9. spolupracovat s CNIL v případě požadavku o informace z její strany a že bude dodržovat všechna doporučení CNIL související se Zpracováváním.

  10. ** Sub-subdodávka**

Subdodavatel se může obrátit na jiného Subdodavatele (dále jen „pozdější Subdodavatel“), aby mohl uskutečňovat specifické aktivity Zpracovávání. V tomto případě předem písemně informuje Vedoucího zpracovávání o každé plánované změně, pokud jde o přidání anebo výměnu ostatních Subdodavatelů. Tato informace musí jasně uvádět potřebné aktivity Zpracovávání v rámci subdodávky, identitu a kontaktní údaje Subdodavatele a datum smlouvy o subdodávce.

Vedoucí zpracovávání má termín minimálně 2 měsíce od data přijetí této informace, aby předložil své námitky. Tato subdodávka se může uskutečnit jen v případě, že Vedoucí zpracovávání nepodal během dohodnutého období námitku.

Pozdější Subdodavatel je povinen dodržovat povinnosti vyplývající z této Smlouvy pro potřeby a podle pokynů Vedoucího zpracovávání. Povinností prvního Subdodavatele je ujistit se, že pozdější Subdodavatel poskytuje stejné postačující záruky týkající se zavádění vhodných technických a organizačních opatření tak, aby Zpracovávání zodpovídalo požadavkům evropského nařízení o ochraně údajů. Pokud si pozdější Subdodavatel neplní svoje povinnosti ohledem ochrany údajů, první Subdodavatel zůstává plně zodpovědný vůči Vedoucímu zpracovávání za plnění jeho povinností druhým Subdodavatelem.

11. Právo na informace příslušným osobám

Vedoucí zpracovávání je povinen poskytovat informace příslušným osobám o operacích Zpracovávání v době získávání informací.

12. Vykonávání práv osob

Vedoucí zpracovávání má právo na požadavky vykonávání práv Příslušných osob (právo na přístup, opravu, vymazání a nesouhlas, právo na omezení zpracovávání, právo na přenositelnost údajů, právo nečinit automatické individuální rozhodnutí, včetně profilování) a poskytne Subdodavateli vhodné pokyny v potřebné době v souladu s článkem 5-4 Smlouvy.

Pokud je to možné, Subdodavatel musí pomáhat Vedoucímu zpracovávání plnit si svoji povinnost a pokračovat v požadavcích vykonávání práv příslušných osob.

Pokud Příslušné osoby podávají Subdodavateli požadavky vykonávání svých práv, Subdodavatel musí řešit tyto požadavky po jejich přijetí elektronickou poštou na kontaktním místě Vedoucího zpracovávání, který je pověřený ochranou osobních údajů.

13. Oznamování o porušení údajů osobního charakteru

Subdodavatel informuje Vedoucího zpracovávání o každém porušení údajů osobního charakteru co nejdříve, nejpozději do 72 hodin poté, kdy se o něm dozvěděl. K tomuto oznámení musí být přiložena veškerá potřebná dokumentace, aby mohl Vedoucí zpracovávání v případě potřeby informovat o tomto Porušení kompetentní kontrolní orgán.

Subdodavatel musí učinit kroky potřebné pro identifikaci příčin tohoto Porušení Osobních údajů a musí přijmout veškerá opatření, která považuje za nutná a rozumná pro nápravu tohoto Porušení, pokud je takováto náprava pod kontrolou Subdodavatele.

14. Pomoc Subdodavatele v rámci dodržování povinností Vedoucího zpracovávání

Subdodavatel pomáhá Vedoucímu zpracovávání při realizaci analýz vlivu vztahujících se na ochranu údajů.

Subdodavatel pomáhá Vedoucímu zpracovávání při realizaci předběžné konzultace s kontrolním orgánem.

15. Bezpečnostní opatření

Subdodavatel se zavazuje zavést technická a organizační opatření, která zajistí úroveň bezpečnosti přizpůsobenou rizikům uvedeným v Příloze 2 („Bezpečnostní opatření“).

Subdodavatel musí mít neustále k dispozici technická a organizační opatření, která umožní zabránit neoprávněnému přístupu k Osobním údajům a používání Osobních údajů pro účely jiné než jsou účely dohodnuté na jejich zaslání Subdodavateli.

Subdodavatel prohlašuje a garantuje, že přijatá bezpečnostní opatření nejsou v žádném případě méně důležitá než bezpečnostní opatření požadovaná platným zákonem anebo bezpečnostní opatření, která by osoba vykonávající stejnou aktivitu jako Subdodavatel mohla rozumně přijmout pro ochranu Osobních údajů před neoprávněným přístupem anebo používáním.

Opatření, která musí Subdodavatel přijmout, zahrnují, nikoliv ovšem výhradně, opatření uvedená v Příloze 2.

V případech, kdy Subdodavatel získal předběžné povolení od Vedoucího zpracovávání pro přenos osobních údajů třetí osobě, Subdodavatel musí znovu přijmout vhodná bezpečnostní opatření, která umožňují zabezpečený přenos osobních údajů.

Subdodavatel musí chránit a uchovávat v bezpečí Osobní údaje jako důvěrné informace. Požadavky na ochranu soukromí požadované jednotlivými komerčními dokumenty a/anebo dohodami o ochraně soukromí podepsanými mezi Vedoucím zpracovávání a Subdodavatelem se musí uplatňovat na Osobní údaje.

16. Osud údajů

Pokud jde o poskytování služeb vztahujících se ke Zpracovávání těchto údajů, Subdodavatel se zavazuje zničit anebo anonymizovat veškeré osobní údaje poskytnuté Vedoucím zpracovávání.

17. Registr kategorií činností v rámci Zpracovávání

Subdodavatel prohlašuje, že bude v písemné formě vést registr všech kategorií činností Zpracovávání, které se budou realizovat pro potřeby Vedoucího zpracovávání; registr bude zahrnovat:

● jméno a kontaktní údaje Vedoucího zpracovávání, za něhož jedná, případných Subdodavatelů a v případě potřeby entity pověřené ochranou údajů
● kategorie Zpracovávání, které se bude provádět pro potřeby Vedoucího zpracovávání
● v případě potřeby přenosy údajů osobního charakteru do třetí země anebo mezinárodní organizaci, včetně identifikace této země anebo této mezinárodní organizace a v případě přenosů uvedených v článku 49, odsek 1, druhý pododsek evropského nařízení o ochraně údajů dokumenty potvrzující existenci příslušných záruk;
● pokud je to možné, celkový popis technických a organizačních bezpečnostních opatření, včetně, mezi jiným, podle potřeby:

o pseudonymizaci a šifrování údajů osobního charakteru;
o prostředky umožňující zaručit důvěrnost, integritu, dostupnost a přetrvávající práci na systémech a službách zpracovávání;
o prostředky umožňující obnovit dostupnost údajů osobního charakteru a přístup k nim ve vhodných termínech v případě fyzické anebo technické nehody;
o postup, jehož cílem je otestovat, analyzovat a pravidelně hodnotit účinnost technických a organizačních opatření na zajištění bezpečnosti Zpracovávání.

18. Dokumentace

Subdodavatel poskytuje Vedoucímu zpracovávání potřebnou dokumentaci, aby prokázal dodržování všech svých povinností a aby umožnil realizaci auditů, včetně kontrol ze strany Vedoucího zpracovávání anebo jiného auditora, jehož pověřil, a přispěje k těmto auditům.

VII. Entita pověřená ochranou údajů

● Subdodavatel je jmenován v souladu s článkem 37 evropského nařízení o ochraně údajů jako Entita pověřená ochranou údajů („DPO“). Kontaktní údaje této entity si Vedoucí zpracovávání může prohlédnout přímo ve Welcome Kit.

● Vedoucí zpracovávání musí upřesnit ve Welcome Kit v poli k tomu určeném DPO v rámci své skupiny pověřené v souladu s článkem 37 evropského nařízení o ochraně údajů.

VIII. Nepředvídatelnost

V případě změny nepředvídaných okolností při podpisu Smlouvy, v souladu s ustanoveními článku 1195 Občanského zákoníku, Smluvní strana, která nepřijala riziko nadměrně nákladného vykonávání, může požadovat opětovné projednání Smlouvy se svým smluvním partnerem.

IX. Vypovězení Smlouvy

Smluvní strany uznávají, že vypovězení Smlouvy, kdykoliv a z jakéhokoliv důvodu, je nezbavuje povinností, které jim náleží v rámci evropského nařízení o ochraně údajů a zákona o informacích a svobodách, který se vztahuje na Zpracovávání v souladu se Smlouvou.

V souladu s tím, že Vedoucí zpracovávání bude mít čas potřebný na nalezení alternativního řešení Zpracovávání a v souladu s tím, že toto řešení funguje uspokojivým způsobem, Subdodavatel bude muset na základě potřeby zrušit anebo anonymizovat veškeré kopie Osobních údajů získaných Vedoucím zpracovávání, které vlastní a zpracovává Subdodavatel.

V případě, že z praktických důvodů Osobní údaje zpracovávané Vedoucím zpracovávání nelze zrušit anebo anonymizovat, bude Subdodavatel muset přijmout opatření potřebná na zajištění toho, aby se uvedené údaje ani nezpracovávaly, ani nešířily, ani nepoužívaly, přičemž se zajistí jejich zrušení tehdy, až to bude možné.

X. Příslušné právo – Jazyk Smlouvy

Na základě výslovné dohody mezi Smluvními stranami tato Smlouva spadá pod francouzské právo, s vyloučením jakékoliv jiné legislativy.

Je vyhotovená ve francouzském jazyce. V případě, že bude přeložena do jednoho nebo několika jazyků, v případě sporu bude platná jen francouzská verze Smlouvy.

XI. Řešení sporů

V případě veškerých sporů vyplývajících z plnění této Smlouvy se aktivnější Smluvní strana obrátí na kompetentní Soudy.


PŘÍLOHA 1 – POPIS ZPRACOVÁVÁNÍ, KTERÉ JE PŘEDMĚTEM SUBDODÁVKY

Tato příloha obsahuje popis Zpracovávání, které je předmětem subdodávky:

Podstata operací prováděných s údaji je
● Příjem a uchovávání kandidatur přijatých Vedoucím zpracovávání
● Řízení zasílání e-mailů mezi Vedoucím zpracovávání a kandidátem, pokud jsou e-maily odesílány přímo z Welcome Kit
● Zpracovávání kandidatur: Welcome Kit umožňuje Vedoucímu zpracovávání komentovat, hodnotit a zpracovávat přijaté kandidatury
● Vytvoření kandidatury přímo v nástroji: Welcome Kit umožňuje náboráři vytvořit kandidaturu přímo v nástroji anebo je přidat přímo ze sociálních sítí

Délka uchovávání údajů je standardně nastavena na dva roky; dva měsíce před tímto termínem je odeslán automatický e-mail kandidátovi, aby ho informoval o tom, že společnost ukládá jeho údaje na 2 roky; e-mail vyzývá kandidáta k tomu, aby společnost oprávnil k prodloužení povolení na používání jeho osobních údajů na další 2 roky. Bez návratu kandidáta je odeslán automatický e-mail 1 měsíc před termínem, aby se kandidátovi zabránilo v odstranění jeho údajů.

Nota bene: délku ukládání může vždy nastavit náborář na 5 let. Společnost Coruscant ovšem své klienty upozorňuje na doporučení CNIL v této záležitosti – viz níže:

„Na základě článku 5-e GDPR je nutné uchovávat osobní údaje během období nepřekračujícího dobu potřebnou s ohledem na účely, pro které se zpracovávají. Pro Vaši informaci CNIL doporučila v usnesení č. 02-017 z 21. března 2002, aby kandidát, který je objektem náborového procesu do pracovního poměru, byl informován o době, během které jsou ukládány příslušné informace, přičemž doporučuje, aby tato doba nepřekročila dva roky po posledním kontaktu s touto osobou. Jako vedoucí zpracovávání jste zodpovědný za výběr délky tohoto uchovávání. Pokud chcete nastavit jinou délku trvání, než doporučuje CNIL, ujistěte se, aby byla úměrná vzhledem k účelům Vašeho získávání údajů. Podle článku 14-2-a GDPR musíte být zároveň schopni objasnit svým kandidátům kritéria používaná při stanovení délky trvání uchovávání údajů.“

Účelem(y) Zpracovávání je umožnit Vedoucímu zpracovávání:

  • přijímat kandidatury profilů, které jsou zadány přes Welcome Kit
  • zpracovávat kandidatury pro účely náboru do pracovního poměru: výměny e-mailů, známkování kandidátů, komentáře náborářů ke kandidaturám
  • uchovávat záznamy o trvání kandidáta, v rámci doporučení CNIL, pro efektivnější realizaci náboru do pracovního poměru

Zpracovávané údaje osobního charakteru jsou klasické údaje požadované v rámci procesu náboru do pracovního poměru: životopis, motivační dopis, kontaktní údaje a volitelně otevřené vlastní otázky; Vedoucí zpracovávání se zavazuje požadovat pouze informace související s náborem do pracovního poměru na příslušnou pracovní pozici kandidáta.

Kategorie příslušných osob jsou následovné:

  • z pohledu Vedoucího zpracovávání: všechny osoby, které mají přístup do prostoru Welcome Kit určeného pro společnost klienta. Přístupy (jakož i úrovně správy) jsou dány správci organizace klienta;
  • z pohledu kandidátů: každá osoba, která dobrovolně zaslala svoji kandidaturu, po zadání svého výslovného souhlasu, společnosti Vedoucího zpracovávání.

PŘÍLOHA 2 – BEZPEČNOSTNÍ OPATŘENÍ

Bezpečnostní opatření Osobních údajů, které musí přijmout Subdodavatel v rámci Zpracovávání, zahrnují, nevyčerpávajícím způsobem, následující opatření:

o všichni členové personálu musí být školeni a pravidelně informováni o vývoji v oblasti bezpečnosti údajů a ochrany Osobních údajů;

o pro ochranu důvěrnosti Osobních údajů musí Subdodavatel vložit do pracovních smluv podepsaných členy personálu, kteří mají přístup k Osobním údajům, klauzuli, která tyto členy personálu zavazuje plnit svou roli ochrany důvěrnosti údajů, k nimž mají přístup na základě Smlouvy;

o pouze oprávnění členové personálu mohou mít přístup k Osobním údajům za předpokladu, že je tento přístup nutný. Je potřebné zavést opatření prevence přístupu k Osobním údajům ze strany neoprávněných osob;

o je potřebné vyvinout metodu přístupu k Osobním údajům a je požadována vhodná úroveň oprávnění;

o hesla a jména uživatelů je potřebné vyžádat před přístupem do každého elektronického prostředí, v němž se ukládají osobní údaje, a je potřebné vést záznamy o přístupech. Subdodavatel musí zavést přizpůsobenou politiku hesel pro přístup k Osobním údajům;

o veškerou elektronickou podporu a veškerý software, na kterém jsou uloženy Osobní údaje, je nutné pravidelně aktualizovat a chránit před malwarem a neoprávněným přístupem, pomocí ochranného software (jako jsou například antiviry) a musí být vytvořená pokročilá bezpečnostní politika (např. bug bounty);

o Osobní údaje se musí ukládat v prostředích (jako je Internet), která jsou přístupná třetím osobám a která nejsou předmětem oprávnění Subdodavatele;

o vhodná bezpečnostní opatření (například: protipožární zařízení, atd..) musí být zavedena na rozhraní mezi prostředími přístupnými třetím osobám a zónami ukládání ve společnosti, stejně jako i opatření boje proti virtuálním útokům, které ohrožují bezpečnost údajů (IDS/IPS, atd.);

o přenos Osobních údajů musí vždy probíhat prostřednictvím kódovaných komunikačních služeb (e-mail, FTP, sdílení souborů, režim zabezpečení HTTPS).

o prostředí (servery, systémy ukládání údajů, atd.) ukládání Osobních údajů pro Vedoucího zpracovávání musí být předmětem fyzické ochrany a přístup k tomuto prostředí musí být pod kontrolou a omezený pouze pro oprávněné členy personálu;

o Osobní údaje se odstraní pomocí vhodných metod. Odstranění Osobních údajů ukládaných v elektronickém prostředí musí znemožnit jakoukoliv obnovu těchto údajů. Osobní údaje, které jsou předmětem fyzického ukládání (dokumenty, atd.), se zlikvidují pomocí vhodných metod anebo zařízení (skartovače, atd.).