Verzia zo dňa 23 máj 2018

Zmluva o subdodávke

Túto zmluvu o subdodávke uzatvára spoločnosť CORUSCANT, akciová spoločnosť, so sídlom na adrese 16 rue du Mail – 75002 Paris, RCS 802 162 628, ktorú zastupuje pán Jeremy Clédat (ďalej len „Subdodávateľ“) s Vami, spoločnosťou klienta (ďalej len „Vedúci spracovávania“) po podpise Všeobecných podmienok predaja (označené aj ako „CGV“) so spoločnosťou CORUSCANT za účelom využívania služieb WTTJ a Welcome Kit.

Vedúci spracovávania a Subdodávateľ sa spoločne označujú ako „Zmluvné strany“ alebo samostatne ako „Zmluvná Strana“.

DOHODLI SA NA NASLEDUJÚCICH BODOCH:

  1. Zmluvné Strany prehlasujú a uznávajú, že vyjednávania predchádzajúce tejto dohode sa vykonali v dobrej viere a počas fázy pred uzatvorením zmluvy sa využili všetky potrebné a užitočné informácie, aby Zmluvné strany kompletne spoznali podmienky a aby si oznamovali všetky informácie, ktoré by mohli ovplyvniť ich súhlas a ktoré by mohli legitímne ignorovať.

  2. Vedúcim spracovávania je spoločnosť, ktorá využíva služby spravované spoločnosťou Coruscant, a síce Welcome Kit (nástroj na správu kandidatúry) a/alebo welcometothejungle.co, čo je webová stránka venovaná trhu práce, na ktorej môžu spoločnosti zverejňovať svoje pracovné ponuky. Vedúcim spracovávania je spoločnosť, ktorá využíva služby spravované spoločnosťou Coruscant na nábor a správu spracovávania svojich kandidatúr od ich prijatia po prijatie kandidáta do pracovného pomeru.

  3. Subdodávateľ ponúka platformu WelcomeKit, ktoré je venovaná náboru do pracovného pomeru. Tento systém ATS (Applicant Tracking System) je jednoduchý a kompatibilný a umožňuje odpovedať na potreby náborárov, najmä integráciou a správou pracovných ponúk Vedúcim spracovávania.

NA ZÁKLADE VYŠŠIE UVEDENÉHO SA ZMLUVNÉ STRANY DOHODLI NA NASLEDUJÚCICH PODMIENKACH:

I. Definície

Pre potreby tejto zmluvy budú mať nasledujúce termíny nižšie uvedené definície:
● „Osobné údaje“ označujú všetky informácie, ktoré sa vzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu; za „identifikovateľnú fyzickú osobu“ sa považuje fyzická osoba, ktorá sa dá identifikovať, priamo alebo nepriamo, najmä s ohľadom na identifikačné číslo alebo na jeden alebo viacero svojich vlastných prvkov. Aby sa dalo určiť, či je osoba identifikovateľná, je vhodné zvážiť celú sústavu prostriedkov s cieľom umožniť jej identifikáciu, ku ktorým môže mať prístup Vedúci spracovávania alebo niektorá iná osoba.

● „Príslušná osoba“ označuje fyzickú osobu, ktorej Osobné údaje sa spracovávajú.

● „Vedúci spracovávania“ označuje právnickú osobu uvedenú na začiatku tohto dokumentu, a síce spoločnosť, ktorá stanovuje účely a prostriedky Spracovávania Osobných údajov.

● „Subdodávateľ“ označuje právnickú osobu uvedenú na začiatku tohto dokumentu, a síce spoločnosť CORUSCANT, ktorá funguje pod obchodným názvom „Welcome To The Jungle“, ktorá spracováva Osobné údaje pod dozorom, podľa pokynov a pre potreby Vedúceho spracovávania.

● „Spracovávanie“ označuje každú operáciu alebo každú sústavu operácií, ktoré sa vzťahujú na Osobné údaje, vykonávané Subdodávateľom pre potreby Vedúceho spracovávania, bez ohľadu na použitý postup a najmä získavanie, ukladanie, organizáciu, štrukturalizáciu, uchovávanie, adaptáciu alebo zmeny, extrakciu, konzultáciu, používanie, oznamovanie prostredníctvom prenosu, šírenie alebo inú formu poskytovania, priblíženie alebo prepojenie, ako aj obmedzenie, vymazanie alebo zničenie.

● „Porušenie Osobných údajov“ označuje porušenie bezpečnosti, ktoré náhodne alebo nelegálne vyvolá zničenie, stratu, zmenu, neoprávnené šírenie Osobných údajov posielaných, ukladaných alebo spracovávaných iným spôsobom alebo neoprávnený prístup k takýmto údajom.

II. Predmet

Cieľom tejto zmluvy je zadefinovať podmienky, za ktorých sa Subdodávateľ zaväzuje vykonávať pre potreby Vedúceho spracovávania operácie spracovávania údajov osobného charakteru zadefinované nižšie.

V rámci svojich zmluvných vzťahov sa Zmluvné Strany zaväzujú dodržiavať platné nariadenia vzťahujúce sa na Spracovávanie údajov osobného charakteru a konkrétne nariadenie (EÚ) 2016/679 Európskeho parlamentu a Rady z 27. apríla 2016 platné od 25. mája 2018 (ďalej len „európske nariadenie o ochrane údajov“), ako aj zákon č. 78-17 zo 6. januára 1978 vzťahujúci sa na informácie, na súbory a na slobody (ďalej len „zákon o informáciách a slobodách“)

III. Popis Spracovávania, ktoré je predmetom subdodávky

Subdodávateľ je oprávnený spracovávať pre potreby Vedúceho spracovávania údaje osobného charakteru potrebné na poskytovanie nasledujúcich služieb:

  • Prijatie kandidatúr: identita, kontaktné údaje, životopis, motivačný list, sociálne siete, doplňujúce informácie;
  • Spracovávanie kandidatúr: emailová komunikácia, komentáre a hodnotenie kandidatúr náborármi;
  • Ukladanie kandidatúr.

Za účelom vykonávania Služieb, ktoré sú predmetom tejto zmluvy, Vedúci spracovávania poskytuje Subdodávateľovi informácie, ktorých podrobný popis Spracovávania je uvedený v Prílohe 1.

IV. Trvanie zmluvy

Táto zmluva (ďalej len „Zmluva“) vstupuje do platnosti po jej podpise Vedúcim spracovávania na dobu 1 rok, pričom sa dá automaticky predĺžiť.
Podpísanie tohto dokumentu sa vykoná priamo cez platformu Welcome Kit administrátorom účtu náborára, teda fyzickou osobou, ktorá je náležite poverená na tieto úkony Vedúcim spracovávana.

V. Povinnosti Vedúceho spracovávania

Vedúci spracovávania uznáva a garantuje:

  1. že Spracovávanie sa vykonáva v súlade s ustanoveniami európskeho nariadenia o ochrane údajov a zákona o informáciách a slobodách, najmä ak bola Príslušná osoba informovaná o účele Spracovávania, o svojich právach, o príjemcoch Osobných údajov a o politike ochrany súkromného života a Osobných údajov;

  2. že ak bude Vedúci spracovávania spracovávať „citlivé“ údaje tak ako je to zadefinované v Článku 9 európskeho nariadenia o ochrane údajov (a síce pokiaľ ide o Spracovávanie údajov osobného charakteru, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenia alebo syndikálnu prináležitosť a zároveň bude spracovávať genetické údaje, biometrické údaje na účely jednoznačnej identifikácie fyzickej osoby, údaje vzťahujúce sa na zdravie a údaje vzťahujúce sa na sexuálny život alebo sexuálnu orientáciu fyzickej osoby), Vedúci spracovávania ich získal a požaduje zo strany Subdodávateľa, aby pristúpil k ich spracovaniu, pri dokonalom dodržaní ustanovení uvedeného Článku 9 ;

  3. že v čom najkratšom možnom termíne odpovie na požiadavky informácií CNIL v prípade potreby;

  4. že v čom najkratšom možnom termíne odpovie na požiadavky každej Osoby dotknutej Spracovávaním, oznamovaním informácií o Osobných údajoch a že vo vhodnom čase dá vhodné pokyny Subdodávateľovi.

Vedúci spracovávania sa zaväzuje aj:

  1. poskytnúť Subdodávateľovi údaje uvedené v Prílohe 1 tejto Zmluvy;

  2. písomne zdokumentovať všetky pokyny vzťahujúce sa na Spracovávanie osobných údajov Subdodávateľom;

  3. vopred a po dobu trvania Spracovávania dbať na dodržiavanie povinností stanovených európskym nariadením o ochrane údajov Subdodávateľa.

VI. Povinnosti Subdodávateľa

Subdodávateľ sa zaväzuje:

  1. spracovávať údaje len na tie účely, ktoré sú predmetom subdodávky, v súlade s Prílohou 1 („popis Spracovávania je predmetom subdodávky“) ;

  2. ak si bude Subdodávateľ myslieť, že niektorý pokyn predstavuje porušenie európskeho nariadenia o ochrane údajov alebo niektorého iného ustanovenia práva Európskej únie alebo práva členských štátov vzťahujúcich sa na ochranu údajov, ihneď o tom informuje Vedúceho spracovávania. Okrem toho, ak musí Subdodávateľ pristúpiť k prenosu údajov do tretej krajiny alebo do medzinárodnej organizácie na základe práva Európskej únie alebo práva členského štátu, ktorému podlieha, musí informovať Vedúceho spracovávania o tejto právnej povinnosti ešte pred Spracovaním, okrem prípadov, kedy je príslušné právo zakazuje takéto informácie z dôležitých dôvodov verejného záujmu;

  3. zaručiť súkromie údajov osobného charakteru spracovávaných v rámci tejto zmluvy;

  4. dbať na to, aby osoby oprávnené spracovávať údaje osobného charakteru na základe tejto zmluvy:
    ● sa zaviazali dodržiavať ochranu súkromia alebo aby podliehali vhodnej právnej povinnosti ochrany súkromia;
    ● dostali potrebné vzdelanie v oblasti ochrany údajov osobného charakteru;

  5. zohľadniť, pokiaľ ide o jeho nástroje, produkty, aplikácie alebo služby, princípy ochrany údajov po koncepcii a predvolenej ochrane údajov;

  6. zaviesť a zachovávať presnú dokumentáciu, ktorá obsahuje opatrenia na ochranu údajov a ochranu súkromia v rámci Osobných údajov, rovnako ako aj prístup k týmto údajom;

  7. informovať svojich zamestnancov o ich povinnosti vzťahujúcej sa na ochranu Osobných údajov, najmä pokiaľ ide o ochranu súkromia týchto údajov;

  8. v prípade prípadného právneho, administratívneho alebo súdneho zákazu, ktorý by mohol zabrániť vykonaniu Spracovávania že bude Subdodávateľ o tom informovať Vedúceho spracovávania, a bude tak môcť ukončiť zmluvu, bez toho, aby mohol Vedúci spracovávania spochybniť zodpovednosť Subdodávateľa alebo aby od neho nemohol vyžadovať náhradu škôd alebo úroky;

  9. spolupracovať s CNIL v prípade požiadavky o informácie z jej strany a že bude dodržiavať všetky odporúčania CNIL vzťahujúce sa na Spracovávanie.

  10. Sub-subdodávka

Subdodávateľ sa môže obrátiť na iného subdodávateľa (ďalej len „neskorší subdodávateľ“), aby mohol vykonávať špecifické aktivity Spracovávania. V tomto prípade vopred písomne informuje Vedúceho spracovávania o každej plánovanej zmene, pokiaľ ide o pridanie alebo výmenu ostatných subdodávateľov. Táto informácia musí jasne uvádzať potrebné aktivity Spracovávania v rámci subdodávky, identitu a kontaktné údaje subdodávateľa a dátumy zmluvy o subdodávke.

Vedúci spracovávania má termín minimálne 2 mesiace od dátumu prijatia tejto informácie, aby predložil svoje námietky. Táto subdodávka sa môže vykonať len vtedy, keď Vedúci spracovávania nepodal počas dohodnutého obdobia námietku.

Neskorší subdodávateľ je povinný dodržiavať povinnosti vyplývajúce z tejto Zmluvy pre potreby a podľa pokynov Vedúceho spracovávania. Povinnosťou prvého Subdodávateľa je uistiť sa, že neskorší subdodávateľ poskytuje rovnaké postačujúce záruky pokiaľ ide o zavádzanie vhodných technických a organizačných opatrení tak, aby Spracovávanie zodpovedalo požiadavkám európskeho nariadenia o ochrane údajov. Ak si neskorší Subdodávateľ neplní svoje povinnosti ohľadom ochrany údajov, prvý Subdodávateľ zostáva plne zodpovedný voči Vedúcemu spracovávania za vykonávanie jeho povinností druhým subdodávateľom.

11. Právo na informácie príslušným osobám

Vedúci spracovávania je povinný poskytovať informácie príslušným osobám o operáciách Spracovávania v čase získavania informácií.

12. Vykonávanie práv osôb

Vedúci spracovávania má právo na požiadavky vykonávania práv Príslušných osôb (právo na prístup, opravu, vymazanie a nesúhlas, právo na obmedzenie Spracovávania, právo na prenosnosť údajov, právo nerobiť automatické individuálne rozhodnutie, vrátane profilovania) a poskytne Subdodávateľovi vhodné pokyny v potrebnom čase v súlade s článkom 5-4 Zmluvy.

Pokiaľ je to možné, Subdodávateľ musí pomáhať Vedúcemu spracovávania splniť si svoju povinnosť a pokračovať v požiadavkách vykonávania práv príslušných osôb.

Keď Príslušné osoby podávajú Subdodávateľovi požiadavky vykonávania svojich práv, Subdodávateľ musí riešiť tieto požiadavky po ich prijatí elektronickou poštou na kontaktnom mieste Vedúceho spracovávania, ktorý je poverený ochranou osobných údajov.

13. Oznamovanie porušenia údajov osobného charakteru

Subdodávateľ informuje Vedúceho spracovávania o každom porušení údajov osobného charakteru v čo najskoršom termíne a najneskôr do 72 hodín po tom ako sa o ňom dozvedel. Toto oznámenie je sprevádzané všetkou potrebnou dokumentáciou, aby mohol Vedúci spracovávania v prípade potreby informovať o tomto Porušení kompetentný kontrolný orgán.

Subdodávateľ musí urobiť kroky potrebné pre identifikáciu príčin tohto Porušenia Osobných údajov a musí prijať všetky opatrenia, ktoré považuje za potrebné a rozumné pre nápravu tohto Porušenia, pokiaľ je takáto náprava pod kontrolou Subdodávateľa.

14. Pomoc Subdodávateľa v rámci dodržiavania povinností Vedúceho spracovávania

Subdodávateľ pomáha Vedúcemu spracovávania pri realizácii analýz vplyvu vzťahujúcich sa na ochranu údajov.

Subdodávateľ pomáha Vedúcemu spracovávania pri realizácii predbežnej konzultácie s kontrolným orgánom.

15. Bezpečnostné opatrenia

Subdodávateľ sa zaväzuje zaviesť technické a organizačné opatrenia, ktoré zaistia úroveň bezpečnosti prispôsobenú rizikám uvedeným v Prílohe 2 („Bezpečnostné opatrenia“).

Subdodávateľ musí mať neustále k dispozícii technické a organizačné opatrenia, ktoré umožnia zabrániť neoprávnenému prístupu k Osobným údajom a používaniu Osobných údajov na účely iné ako sú účely dohodnuté na ich poslanie Subdodávateľovi.

Subdodávateľ vyhlasuje a garantuje, že prijaté bezpečnostné opatrenia nie sú v žiadnom prípade menej dôležité ako bezpečnostné opatrenia požadované platným zákonom alebo bezpečnostné opatrenia, ktoré by osoba vykonávajúca rovnakú aktivitu ako Subdodávateľ mohla rozumne prijať pre ochranu Osobných údajov pre neoprávneným prístupom alebo používaním.

Opatrenia, ktoré musí Subdodávateľ prijať, zahŕňajú, nie však výhradne, opatrenia uvedené v Prílohe 2.

V prípadoch, kedy Subdodávateľ získal predbežné povolenie od Vedúceho spracovávania pre prenos osobných údajov tretej osobe, Subdodávateľ musí znovu prijať vhodné bezpečnostné opatrenia, ktoré umožňujú zabezpečený prenos osobných údajov.

Subdodávateľ musí chrániť a uchovávať v bezpečí Osobné údaje ako dôverné informácie. Požiadavky na ochranu súkromia požadované jednotlivými komerčnými dokumentmi a/alebo dohodami o ochrane súkromia podpísanými medzi Vedúcim spracovávania a Subdodávateľom sa musia uplatňovať na Osobné údaje.

16. Osud údajov

Pokiaľ ide o poskytovanie služieb vzťahujúcich sa na Spracovávanie týchto údajov, Subdodávateľ sa zaväzuje zničiť alebo anonymizovať všetky osobné údaje poskytnuté Vedúcim spracovávania.

17. Register kategórií činností v rámci Spracovávania

Subdodávateľ prehlasuje, že bude v písomnej forme viesť register všetkých kategórií činností Spracovávania, ktoré sa budú vykonávať pre potreby Vedúceho spracovávania, ktorý bude zahŕňať:

● meno a kontaktné údaje Vedúceho spracovávania, za ktorého koná, prípadných subdodávateľov a v prípade potreby entity poverenej ochranou údajov
● kategórie Spracovávania, ktoré sa bude vykonávať pre potreby Vedúceho spracovávania
● v prípade potreby prenosy údajov osobného charakteru do tretej krajiny alebo medzinárodnej organizácii, vrátane identifikácie tejto krajiny alebo tejto medzinárodnej organizácie a v prípade prenosov uvedených v článku 49, odsek 1, druhý pododsek európskeho nariadenia o ochrane údajov dokumenty potvrdzujúce existenciu príslušných záruk;
● pokiaľ je to možné, celkový popis technických a organizačných bezpečnostných opatrení, vrátane, medzi iným, podľa potreby:

o pseudonymizáciu a šifrovanie údajov osobného charakteru;
o prostriedky umožňujúce zaručiť dôvernosť, integritu, dostupnosť a pretrvávajúcu prácu na systémoch a službách Spracovávania ;
o prostriedky umožňujúce obnoviť dostupnosť údajov osobného charakteru a prístup k nim vo vhodných termínoch v prípade fyzickej alebo technickej nehody;
o postup, ktorého cieľom je otestovať, analyzovať a pravidelne hodnotiť účinnosť technických a organizačných opatrení pre zaistenie bezpečnosti Spracovávania.

18. Dokumentácia

Subdodávateľ poskytuje Vedúcemu spracovávania potrebnú dokumentáciu, aby preukázal dodržiavanie všetkých svojich povinností a aby umožnil realizáciu auditov, vrátane kontrol zo strany Vedúceho spracovávania alebo iného audítora, ktorého poveril, a prispeje k týmto auditom.

VII. Entita poverená ochranou údajov

● Subdodávateľ je menovaný v súlade s článkom 37 európskeho nariadenia o ochrane údajov ako Entita poverená ochranou údajov („DPO“). Kontaktné údaje tejto entity si môže pozrieť Vedúci spracovávania priamo v Welcome Kit.

● Vedúci spracovávania musí upresniť v Welcome Kit v poli na to určenom DPO v rámci svojej skupiny poverenej v súlade s článkom 37 európskeho nariadenia o ochrane údajov.

VIII. Nepredvídateľnosť

V prípade zmeny nepredvídaných okolností pri podpise Zmluvy, v súlade s ustanoveniami článku 1195 Občianskeho zákonníka, Zmluvná Strana, ktorá neprijala riziko nadmerne nákladného vykonávania, môže požadovať opätovné prejednanie Zmluvy so svojim zmluvným partnerom.

IX. Vypovedanie Zmluvy

Zmluvné Strany uznávajú, že vypovedanie Zmluvy, kedykoľvek a z akéhokoľvek dôvodu, ich nezbavuje povinností, ktoré im prináležia v rámci európskeho nariadenia o ochrane údajov a zákona o informáciách a slobodách, ktorý sa vzťahuje na Spracovávanie v súlade so Zmluvou.

V súlade s tým, že Vedúci spracovávania bude mať čas potrebný na nájdenie alternatívneho riešenia Spracovávania a v súlade s tým, že toto riešenie funguje uspokojivým spôsobom, Subdodávateľ bude musieť na základe potreby zrušiť alebo anonymizovať všetky kópie Osobných údajov získaných Vedúcim spracovávania, ktoré vlastní a spracováva Subdodávateľ.

V prípade, kedy sa z praktických dôvodov Osobné údaje spracovávané Vedúcim spracovávania nedajú zrušiť alebo anonymizovať, Subdodávateľ bude musieť prijať opatrenia potrebné na zaistenie toho, aby sa uvedené údaje ani nespracovávali ani nešírili ani nepoužívali, pričom sa zaistí ich zrušenie vtedy, keď to bude možné.

X. Príslušné právo – Jazyk Zmluvy

Na základe výslovného dohovoru medzi Zmluvnými stranami táto Zmluva spadá pod francúzske právo, s vylúčením akejkoľvek inej legislatívy.

Je vyhotovená vo francúzskom jazyku. V prípade, kedy sa preloží do jedného alebo viacerých jazykov, v prípade sporu bude platná len francúzska verzia Zmluvy.

XI. Riešenie sporov

Pri každom spore vyplývajúcom z plnenia tejto Zmluvy sa aktívnejšia Zmluvná strana obráti na kompetentné Súdy.


PRÍLOHA 1 – POPIS SPRACOVÁVANIA, KTORÉ JE PREDMETOM SUBDODÁVKY

Táto príloha obsahuje popis Spracovávania, ktorý je predmetom subdodávky:

Podstata operácií vykonávaných na údajoch je
● Príjem a skladovanie kandidatúr prijatých Vedúcim spracovávania
● Riadenie posielania emailov medzi Vedúcim spracovávania a kandidátom, pokiaľ sa emaily odosielajú priamo z Welcome Kit
● Spracovávanie kandidatúr: Welcome Kit umožňuje Vedúcemu spracovávania komentovať, hodnotiť a spracovávať prjaté kandidatúry
● Vytvorenie kandidatúry priamo v nástroji: Welcome Kit umožňuje náborárovi vytvoriť kandidatúru priamo v nástroji alebo ich pridať priamo zo sociálnych sietí.

Trvanie uchovávania údajov je štandardne nastavené na dva roky; dva mesiace pred týmto termínom sa odošle automatický email kandidátovi, aby ho informoval o tom, že spoločnosť ukladá jeho údaje na 2 roky; email vyzýva kandidáta, aby oprávnil spoločnosť na predĺženie povolenia na používanie jeho osobných údajov na ďalšie 2 roky. Bez návratu kandidáta sa odošle automatický email 1 mesiac pred termínom, aby sa zabránilo kandidátovi v odstránení jeho údajov.

Nota bene: trvanie ukladania môže vždy nastaviť náborár na 5 rokov. Spoločnosť Coruscant však dáva do pozornosti svojim klientom odporúčania CNIL v tejto záležitosti – pozrite nižšie:

„Na základe článku 5-e GDPR sa musia osobné údaje uchovávať počas obdobia neprekračujúceho dobu potrebnú s ohľadom na účely, na ktoré sa spracovávajú. Pre Vašu informáciu CNIL odporučila v uznesení č. 02-017 z 21. marca 2002, aby kandidát, ktorý je predmetom postupu náboru do pracovného pomeru, bol informovaný o dobe, po ktorú sa ukladajú príslušné informácie, pričom odporúča, aby táto doba neprekročila dva roky po poslednom kontakte s touto osobou. Ako Vedúci spracovávania ste zodpovedný za výber tohto trvania ukladania. Ak chcete nastaviť iné trvanie ako odporúča CNIL, uistite sa, aby bolo úmerné s ohľadom na účely Vášho získavania údajov. Podľa článku 14-2-a GDPR musíte byť zároveň schopný vysvetliť svojim kandidátom kritériá používané na stanovenie tohto trvania ukladania údajov.“

Účelom(mi) Spracovávania je umožniť Vedúcemu spracovávania:

  • prijímať kandidatúry profilov, ktoré sú zadané cez Welcome Kit
  • spracovávať kandidatúry na účely náboru do pracovného pomeru: výmeny emailov, známkovanie kandidátov, komentáre náborárov ku kandidatúram
  • uchovávanie záznamov kandidáta o trvaní, v rámci odporúčaní CNIL, pre efektívnejšiu realizáciu náboru do pracovného pomeru

Spracovávané údaje osobného charakteru sú klasické údaje požadované v rámci procesu náboru do pracovného pomeru : životopis, motivačný list, kontaktné údaje a voliteľne otvorené vlastné otázky; Vedúci spracovávania sa zaväzuje požadovať len informácie vzťahujúce sa na nábor do pracovného pomeru na príslušné pracovné miesto kandidáta

Kategórie príslušných osôb sú nasledovné:

  • z pohľadu Vedúceho spracovávania: všetky osoby, ktoré majú prístup do priestoru Welcome Kit určeného pre spoločnosť klienta. Prístupy (ako aj úrovne správy) sú dané správcami organizácie klienta.
  • z pohľadu kandidátov: každá osoba, ktorá dobrovoľne zaslala svoju kandidatúru, po zadaní svojho výslovného súhlasu, spoločnosti Vedúceho spracovávania.

PRÍLOHA 2 – BEZPEČNOSTNÉ OPATRENIA

Bezpečnostné opatrenia Osobných údajov , ktoré musí prijať Subdodávateľ v rámci Spracovávania, zahŕňajú, nevyčerpávajúcim spôsobom, nasledujúce opatrenia:

o všetci členovia personálu musia byť školení a pravidelne informovaní o vývoji v oblasti bezpečnosti údajov a ochrany Osobných údajov;

o pre ochranu súkromia Osobných údajov musí Subdodávateľ vložiť do pracovných zmlúv podpísaných členmi personálu, ktorí majú prístup k Osobným údajom, klauzulu, ktorá zaväzuje týchto členov personálu plniť si svoju úlohu ochrany súkromia osobných údajov, ku ktorým majú prístup na základe Zmluvy;

o len oprávnení členovia personálu môžu mať prístup k Osobným údajom za predpokladu, že je tento prístup nevyhnutný. Je potrebné zaviesť opatrenia prevencie prístupu k Osobným údajom zo strany neoprávnených osôb;

o je potrebné vyvinúť metódu prístupu k Osobným údajom a musí sa požadovať vhodná úroveň oprávnenia;

o heslá a mená používateľov je potrebné vyžiadať pred prístupom do každého elektronického prostredia, v ktorom sa ukladajú osobné údaje a je potrebné viesť záznamy o prístupoch. Subdodávateľ musí zaviesť prispôsobenú politiku hesiel pre prístup k Osobným údajom;

o každá elektronická podpora a každý softvér, na ktorom sú uložené Osobné údaje, sa musia pravidelne aktualizovať a chrániť pred malwarom a neoprávneným prístupom, s pomocou ochranného softvéru (ako je napríklad antivírus) a musia mať pokročilú bezpečnostnú politiku (napr. bug bounty)

o Osobné údaje sa musia ukladať v prostrediach (ako je Internet), ktoré sú prístupné tretím osobám a ktoré nie sú predmetom oprávnenia Subdodávateľa;

o vhodné bezpečnostné opatrenia (napríklad: protipožiarne zariadenia, atď..) sa musia zaviesť na rozhraní medzi prostrediami prístupnými tretím osobám a zónami ukladania v spoločnosti, ako aj opatrenia boja proti virtuálnym útokom, ktoré ohrozujú bezpečnosť údajov (IDS/IPS, atď.);

o prenos Osobných údajov sa musí vždy vykonávať prostredníctvom kódovaných komunikačných služieb (email, FTP, zdieľanie súborov, režim zabezpečenia HTTPS).

o prostredie (servery, systémy ukladania údajov, atď.) ukladania Osobných údajov pre Vedúceho spracovávania musí byť predmetom fyzickej ochrany a prístup k tomuto prostrediu musí byť kontrolovaný a obmedzený len na oprávnených členov personálu;

o Osobné údaje sa odstránia s pomocou vhodných metód. Odstránenie Osobných údajov ukladaných v elektronickom prostredí musí znemožniť akúkoľvek obnovu týchto údajov. Osobné údaje, ktoré sú predmetom fyzického ukladania (dokumenty, atď.) sa zničia s pomocou vhodných metód alebo zariadení (skartovačka, atď.).