Privacy and Security Terms

Budou mít Dodavatel nebo společnost Kyndryl přístup k Obchodním kontaktním informacím druhé strany?

Pokud ano, pak se na tento přístup vztahují Články I (Obchodní kontaktní informace) a X (Spolupráce, ověření a náprava).

Příklady:

Dodavatel používá jména, e-mailové adresy a telefonní čísla zaměstnanců společnosti Kyndryl nebo Zákazníka pro podporu nebo údržbu.
Společnost Kyndryl používá jména a e-mailové adresy zaměstnanců Dodavatele pro ověření přístupu k Firemnímu systému.

Poznámka:

Pokud Dodavatel poskytuje údržbu nebo podporu, pak může mít Dodavatel přístup k informacím nad rámec Obchodních kontaktních informací (např. souborům protokolů s Osobními údaji či bez nich), a v takovém případě musí Dodavatel zatrhnout také políčko pod položkou 2 (pokud bude mít přístup k Osobním údajům) a položkou 3 (pokud bude mít přístup k jiným než Osobním údajům).
Pokud Dodavatel zpracovává údaje zaměstnanců Kyndryl, pak by Dodavatel také zatrhl políčko pod položkou 2 (pokud bude mít přístup k Osobním údajům).

Článek I, Obchodní kontaktní informace

Tento Článek se uplatní, pokud Dodavatel nebo společnost Kyndryl Zpracovávají Obchodní kontaktní informace druhé smluvní strany.

1.1 Společnost Kyndryl a Dodavatel mohou Zpracovávat OKI druhé smluvní strany, pokud podnikají v souvislosti s poskytováním Služeb a dodávkou Plnění Dodavatelem.

1.2 Smluvní strana:

(a) nebude používat ani neposkytne Obchodní kontaktní informace druhé smluvní strany pro jakékoliv jiné účely (pro upřesnění se uvádí, že žádná ze smluvních stran Neprodá Obchodní kontaktní informace druhé smluvní strany ani nebude používat nebo poskytovat Obchodní kontaktní informace druhé smluvní strany pro jakékoliv marketingové účely bez předchozího písemného souhlasu druhé smluvní strany a dle potřeby bez předchozího písemného souhlasu dotčených Subjektů údajů), a

(b) neprodleně odstraní, upraví, opraví, vrátí, poskytne informace o Zpracování, omezí Zpracování nebo provede jakékoli jiné rozumně vyžadované kroky týkající se OKI druhé smluvní strany na písemné vyžádání od druhé smluvní strany, kdykoli dojde k neoprávněnému použití osobních informací a smluvní strana chce ukončit zpracování a provést nápravu.

1.3 Smluvní strany neuzavírají vztah společného Správce údajů ve vztahu k Obchodním kontaktním informacím druhé smluvní strany a žádné ustanovení Transakčního dokumentu nebude vykládáno jako náznak jakéhokoliv takového úmyslu založit vztah společného Správce údajů.

1.4 Prohlášení o ochraně osobních údajů společnosti Kyndryl na adrese https://www.kyndryl.com/us/en/privacy obsahuje další podrobnosti o zpracování OKI společností Kyndryl.

1.5 Smluvní strany zavedly a budou udržovat technická a organizační opatření na ochranu Obchodních kontaktních informací druhé smluvní strany proti ztrátě, zničení, pozměnění, náhodnému nebo neoprávněnému poskytnutí, náhodnému nebo neoprávněnému přístupu a nezákonnému Zpracování.

1.6 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení týkajícím se OKI společnosti Kyndryl, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.

1.7 V případě, že Dodavatel Zpracovává pouze OKI Kyndryl a nemá přístup k dalším údajům nebo materiálům jakéhokoliv druhu ani k Firemním systémům Kyndryl, tento Článek a Článek X (Spolupráce, ověření a náprava) jsou jediné články, které se na takové Zpracování uplatní.

---

Článek X, Spolupráce, ověření a náprava

Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.

1. Spolupráce Dodavatele

1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.

1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.

1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.

2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).

2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.

2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.

2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.

2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.

2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.

3. Program proti padělání

3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.

4. Náprava

4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.

4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.

4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.

Bude mít Dodavatel přístup k Osobním údajům?

Pokud ano, pak se na takový přístup uplatní Články II (Technická a organizační opatření, Zabezpečení dat), III (Ochrana osobních údajů), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).

Příklady:

Dodavatel přistupuje k Osobním údajům v rámci své dodávky jakýchkoliv Hostovaných služeb pro interní použití Kyndryl nebo použití Zákazníky či oběma.
Dodavatel poskytuje Služby související se zdravotnictvím nebo zdravotní péčí, marketingové Služby nebo Služby související s lidskými zdroji nebo benefity a využívá přístup k osobním údajům za tímto účelem.
Dodavatel přistupuje k souborům protokolů, které obsahují osobní údaje, pro poskytování podpory pro služby.

Článek II, Technická a organizační opatření, Zabezpečení dat

Tento Článek se uplatní, pokud Dodavatel Zpracovává jiná Data Kyndryl než Obchodní kontaktní informace Kyndryl. Dodavatel bude plnit požadavky tohoto Článku při poskytování všech Služeb a dodávce všech Plnění a bude tím chránit Data Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Zpracování. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.

1. Využití údajů

1.1 Dodavatel nesmí doplnit k Datům Kyndryl ani zahrnout do Dat Kyndryl žádné další informace ani data, včetně Osobních údajů, bez předchozího písemného souhlasu společnosti Kyndryl a Dodavatel nesmí používat Data Kyndryl v jakékoliv formě, agregovaně či jinak, pro jakékoliv jiné účely než pro poskytování Služeb a dodávku Plnění (například Dodavatel není oprávněn používat nebo znovu používat Data Kyndryl k hodnocení efektivity nebo jako prostředek pro vylepšení nabídek Dodavatele, k výzkumu a vývoji pro vytváření nových nabídek ani pro generování sestav ohledně nabídek Dodavatele). Pokud to není výslovně povoleno v Transakčním dokumentu, Dodavatel nesmí Data Kyndryl Prodávat.

1.2 Dodavatel nezabuduje žádné webové sledovací technologie do Plnění ani jako součást Služeb (k těmto technologiím patří HTML5, místní úložiště, značky nebo tokeny třetích osob a webové majáky), pokud to není výslovně povoleno v Transakčním dokumentu.

2. Požadavky třetích osob a důvěrnost

2.1 Dodavatel neposkytne Data Kyndryl žádné třetí osobě, pokud k tomu nebude mít předchozí písemný souhlas společnosti Kyndryl. Pokud vláda, včetně jakéhokoliv regulačního orgánu, požaduje přístup k Datům Kyndryl (např. vláda USA vydá nařízení o národní bezpečnosti vůči Dodavateli s cílem získat Data Kyndryl), nebo pokud je poskytnutí Dat Kyndryl jinak vyžadováno zákonem, Dodavatel bude společnost Kyndryl písemně informovat o takovém požadavku nebo žádosti a poskytne společnosti Kyndryl rozumnou příležitost takové poskytnutí zpochybnit (pokud zákon takové oznámení zakazuje, Dodavatel podnikne kroky, o kterých se bude rozumně domnívat, že jsou odpovídající pro dosažení zákazu nebo zpochybnění poskytnutí Dat Kyndryl na základě soudní žaloby či jinými prostředky).

2.2 Dodavatel ve vztahu ke společnosti Kyndryl zaručuje, že: (a) přístup k Datům Kyndryl budou mít pouze ti jeho zaměstnanci, kteří takový přístup k Datům Kyndryl potřebují pro poskytování Služeb nebo dodávku Plnění, a to pouze v takovém rozsahu, který je pro takové Služby či taková Plnění nezbytný; a (b) se svými zaměstnanci uzavřel závazek zachování důvěrnosti, který od těchto zaměstnanců vyžaduje, aby Data Kyndryl používali a poskytovali pouze v rozsahu povoleném těmito Podmínkami.

3. Vrácení nebo odstranění dat Kyndryl

3.1 Dodavatel dle rozhodnutí společnosti Kyndryl buď odstraní, nebo vrátí Data Kyndryl společnosti Kyndryl při ukončení nebo uplynutí Transakčního dokumentu, nebo dříve na základě žádosti společnosti Kyndryl. Pokud společnost Kyndryl vyžaduje odstranění, Dodavatel v souladu Doporučenými oborovými postupy zajistí znečitelnění dat a znemožnění jejich rekonstrukce či obnovy a společnosti Kyndryl předloží potvrzení o takovém odstranění. V případě, že společnost Kyndryl požaduje vrácení Dat Kyndryl, pak tak Dodavatel učiní dle rozumného harmonogramu a dle rozumných písemných pokynů společnosti Knydryl.

---

Článek III, Ochrana osobních údajů

Tento Článek se uplatní, pokud Dodavatel Zpracovává Osobní údaje Kyndryl.

1. Zpracování

1.1 Společnost Kyndryl jmenuje Dodavatele Zpracovatelem údajů pro Zpracování osobních údajů Kyndryl výhradně pro účely poskytování Služeb nebo dodávky Plnění v souladu s pokyny společnosti Kyndryl, a to včetně těch, které jsou uvedeny v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami. Pokud Dodavatel pokyn nesplní, společnost Kyndryl je oprávněna vypovědět dotčenou část Služeb písemnou výpovědí. Pokud se Dodavatel domnívá, že pokyn porušuje zákony o ochraně osobních údajů, Dodavatel je povinen o tom neprodleně a ve lhůtě případně stanovené zákonem informovat společnost Kyndryl. Nesplní-li Dodavatel kteroukoli z povinností vyplývajících z těchto Podmínek a toto selhání způsobí neoprávněné použití Osobních údajů, nebo pokud obecně dojde k jakémukoli neoprávněnému použití Osobních údajů, má společnost Kyndryl právo ukončit zpracovávání a napravit selhání a škody způsobené neoprávněným použitím plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl.

1.2 Dodavatel bude dodržovat veškeré zákony o ochraně osobních údajů vztahující se na Služby a Plnění.

1.3 Příloha k Transakčnímu dokumentu nebo Transakční dokument samotný upravují ve vztahu k Datům Kyndryl následující:

(a) kategorie Subjektů údajů;

(b) typy Osobních údajů Kyndryl;

(c) akce dat a činnosti Zpracování;

(d) doba trvání a frekvence Zpracování; a

(e) seznam Dílčích zpracovatelů údajů.

2. Technická a organizační opatření

2.1 Dodavatel zavede a bude udržovat technická a organizační opatření stanovená v Článku II (Technická a organizační opatření, Zabezpečení dat) a Článku VIII (technická a organizační opatření, Obecné zabezpečení), a tím zajistí úroveň zabezpečení odpovídající rizikům souvisejícím se Službami a Plněními. dodavatel potvrzuje a chápe omezení stanovená Článkem II, tímto Článkem III, a Článkem VIII a bude je dodržovat.

3. Práva a požadavky Subjektů údajů

3.1 Dodavatel bude společnost Kyndryl neprodleně informovat (v souladu s harmonogramem, který umožní, aby společnost Kyndryl a Další správci údajů splnili své zákonné povinnosti) o všech žádostech Subjektů údajů, kterými tito uplatní práva Subjektů údajů (např. na opravu, odstranění či zablokování údajů) ve vztahu k Osobním údajům Kyndryl. Dodavatel je rovněž oprávněn nařídit Subjektu údajů, aby takovou žádost předložil společnosti Kyndryl. Dodavatel nebude reagovat na žádné žádosti od Subjektů údajů, s výjimkou případů, kdy je tak povinen učinit ze zákona nebo kdy mu to písemně nařídí společnost Kyndryl.

3.2 Pokud je společnost Kyndryl povinna poskytnout informace ohledně Osobních údajů Kyndryl Dalším správcům údajů nebo jiným třetím osobám (např. Subjektům údajů nebo regulačním orgánům), Dodavatel je povinen společnosti Kyndryl poskytnout součinnost tak, že poskytne informace a učiní další rozumné kroky, které bude společnost Kyndryl požadovat, dle harmonogramu, který společnosti Kyndryl umožní včas těmto Dalším správcům údajů nebo regulačním orgánům odpovědět.

4. Dílčí zpracovatelé

4.1 Před doplněním nového Dílčího zpracovatele údajů nebo rozšířením rozsahu Zpracování stávajícím Dílčím zpracovatelem údajů zašle Dodavatel Kyndryl předchozí písemné oznámení, přičemž v takovém písemném oznámení uvede jméno takového Dílčího zpracovatele údajů a popis nového či rozšířeného rozsahu Zpracování. Společnost Kyndryl je oprávněna kdykoliv uplatnit námitku vůči takovému novému Dílčímu zpracovateli údajů nebo rozšířenému rozsahu z rozumných důvodů, a pokud tak učiní, smluvní strany budou spolupracovat v dobré víře na řešení námitek společnosti Kyndryl. S přihlédnutím k právu společnosti Kyndryl kdykoliv uplatnit námitku je Dodavatel oprávněn pověřit nového Dílčího zpracovatele údajů nebo rozšířit rozsah Zpracování stávajícím Dílčím zpracovatelem údajů, pokud společnost Kyndryl neuplatní námitku do 30 dní od data písemného oznámení Dodavatele.

4.2 Dodavatel stanoví povinnosti ochrany osobních údajů, zabezpečení a certifikace upravené v těchto Podmínkách každému takto schválenému Dílčímu zpracovateli údajů dříve, než tento Dílčí zpracovatel údajů začne Zpracovávat jakákoliv Data Kyndryl. Dodavatel nese vůči společnosti Kyndryl plnou odpovědnost za plnění povinností jednotlivých Dílčích zpracovatelů údajů.

5. Přeshraniční zpracování údajů

Tak, jak se používá v textu níže:

Země poskytující odpovídající ochranu znamená zemi zajišťující přiměřenou úroveň ochrany osobních údajů s ohledem na příslušné předávání v souladu s platnými právními předpisy o ochraně osobních údajů nebo rozhodnutími regulačních orgánů.

Dovozce údajů znamená buď Zpracovatele údajů, nebo Dílčího zpracovatele údajů, který není usazen v Zemi poskytující odpovídající ochranu.

Standardní smluvní doložky EU („SSD EU“) znamenají Standardní smluvní doložky EU (Rozhodnutí Komise 2021/914) s uplatněnými volitelnými doložkami, kromě možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17 a jsou oficiálně zveřejněné na adrese https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.

Standardní smluvní doložky Srbska („SSD Srbska“) znamenají Standardní smluvní doložky Srbska přijaté „Srbským komisařem pro informace veřejného zájmu a ochranu osobních údajů“ a zveřejněné na adrese https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

Standardní smluvní doložky („SSD“) znamenají smluvní doložky vyžadované příslušnými právními předpisy o ochraně osobních údajů pro předávání Osobních údajů Zpracovatelům údajů, kteří nejsou usazeni v Zemi poskytující odpovídající ochranu.

Dodatek pro mezinárodní přenos dat pro Spojeného království ke standardním smluvním ustanovením Komise EU (dále jen „dodatek pro Spojené království") znamená dodatek pro mezinárodní přenos dat pro Spojené království ke standardním smluvním ustanovením Komise EU, jak je oficiálně zveřejněno na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Dodatek ke standardním smluvním doložkám Komise EU pro Švýcarsko („Dodatek pro Švýcarsko") označuje smluvní doložky ke standardním smluvním doložkám Komise EU, které platí v souladu s rozhodnutím švýcarského úřadu pro ochranu osobních údajů („FDPIC") a které vyhovují švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP").

5.1 Dodavatel nebude předávat ani poskytovat (a to ani formou vzdáleného přístupu) žádné Osobní údaje Kyndryl přes hranice bez předchozího písemného souhlasu společnosti Kyndryl. V případě, že společnost Kyndryl takový souhlas poskytne, smluvní strany budou spolupracovat na zajištění souladu s platnými právními předpisy o ochraně osobních údajů. Pokud jsou těmito právními předpisy vyžadovány Standardní smluvní doložky, Dodavatel na žádost společnosti Kyndryl tyto Standardní smluvní doložky neprodleně uzavře.

5.2 Ve vztahu ke Standardním smluvním doložkám EU:

(a) Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: Dodavatel tímto uzavírá Standardní smluvní doložky EU v pozici Dovozce údajů se společností Kyndryl a Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 9 Standardních smluvních doložek EU a na požádání předloží kopie takových smluv společnosti Kyndryl.

(i) Modul 1 Standardních smluvních doložek EU se neuplatní, pokud nebude smluvními stranami písemně dohodnuto jinak.

(ii) Modul 2 Standardních smluvních doložek EU se uplatní v případě, že společnost Kyndryl je Správcem údajů, a Modul 3 se uplatní, pokud je společnost Kyndryl Zpracovatelem údajů. Pokud se uplatní Modul 2 nebo Modul 3, v souladu s článkem 13 Standardních smluvních doložek EU smluvní strany souhlasí, že (1) Standardní smluvní doložky EU se budou řídit právem členského státu EU, kde má sídlo příslušný kontrolní orgán, a (2) veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny u soudů v členském státu EU, kde má sídlo příslušný kontrolní orgán. Pokud takové právo dle bodu (1) neumožňuje práva třetí oprávněné osoby, pak se budou Standardní smluvní doložky EU řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU dle bodu (2) budou řešeny soudy v Amsterdamu, Nizozemsko.

(b) Pokud jsou obě smluvní strany, Dodavatel i společnost Kyndryl, usazeny v Zemi poskytující odpovídající ochranu, Dodavatel bude jednat jako Vývozce údajů a uzavře Standardní smluvní doložky s každým schváleným Dílčím zpracovatelem údajů, který je usazen v jiné zemi než Zemi poskytující odpovídající ochranu. Dodavatel provede požadované Posouzení dopadu předání (PDP) a bez zbytečného odkladu oznámí společnosti Kyndryl (1) případnou potřebu použití doplňkových opatření a (2) použitá opatření. Dodavatel na vyžádání poskytne společnosti Kyndryl výsledky Posouzení dopadu předání a všechny informace nezbytné k pochopení a vyhodnocení těchto výsledků. Společnost Kyndryl a Dodavatel budou spolupracovat na nalezení proveditelného řešení v případě, že společnost Kyndryl nesouhlasí s výsledky Posouzení dopadu předání Dodavatele nebo s použitými doplňujícími opatřeními. Společnost Kyndryl má i nadále právo pozastavit nebo ukončit dotčené služby Dodavatele bez nároku na kompenzaci. K tomu, aby se předešlo pochybnostem, toto nezbavuje Dílčí zpracovatele Dodavatele povinnosti stát se smluvní stranou a uzavřít Standardní smluvní doložky EU se společností Kyndryl nebo jejími zákazníky, jak je uvedeno v oddíle 5.2 (d) níže.

(c) Pokud je Dodavatel usazen v Evropském hospodářském prostoru a společnost Kyndryl je Správcem údajů, na kterého se nevztahuje Obecné nařízení o ochraně osobních údajů 2016/679, pak se uplatní Modul 4 Standardních smluvních doložek EU a Dodavatel tímto uzavírá Standardní smluvní doložky EU jako vývozce údajů se společností Kyndryl. Pokud se uplatní Modul 4 Standardních smluvních doložek EU, pak smluvní strany souhlasí, že se Standardní smluvní doložky EU budou řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny soudem v Amsterdamu, Nizozemsko.

(d) Pokud Další správci údajů, jako jsou Zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou Standardních smluvních doložek EU v souladu s „ustanovením o přistoupení“ v Článku 7, Dodavatel tímto s jakoukoliv takovou žádostí souhlasí.

(e) Technická a organizační opatření vyžadovaná pro vyplnění Přílohy II Standardních smluvních doložek EU najdete v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami.

(f) V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami EU a těmito Podmínkami mají přednost Standardní smluvní doložky EU.

5.3 Pro dodatek (dodatky) pro Spojené království:

a. Pokud dodavatel nemá sídlo v zemi s dostatečnou ochranou: (i) dodavatel tímto uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl jako dovozcem, který bude připojen k výše uvedeným standardním smluvním ustanovením EU (platným podle okolností zpracovatelských činností); a (ii) dodavatel uzavře písemné smlouvy s každým schváleným dílčím zpracovatelem a poskytne společnosti Kyndryl na vyžádání kopie těchto smluv.

b. Pokud má dodavatel sídlo v zemi s dostatečnou ochranou a společnost Kyndryl je správcem údajů, na které se nevztahuje Obecné nařízení o ochraně údajů Spojeného království (jak je začleněno do zákona Evropské unie z roku 2018 (o vystoupení Spojeného království)), pak jako exportér uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl o připojení standardních smluvních ustanovení EU, jak je uvedeno výše v oddíle 5.2(b).

c. Pokud jiní správci, jako jsou zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou dodatku (dodatků) pro Spojené království, dodavatel tímto souhlasí s jakoukoli takovou žádostí.

d. Informace o dodatku (jak jsou uvedeny v tabulce 3) v dodatku (dodatcích) pro Spojené království lze nalézt v příslušných standardních smluvních ustanoveních EU, těchto podmínkách, vlastním dokumentu o transakci a v přidružené základní smlouvě mezi stranami. Ani společnost Kyndryl, ani dodavatel nemohou zrušit platnost dodatku (dodatků) pro Spojené království, když se dodatek pro Spojené království změní.

e. V případě jakéhokoli konfliktu mezi dodatkem (dodatky) pro Spojené království a těmito podmínkami bude rozhodující dodatek (dodatky) pro Spojené království.

f. Ve vztahu ke Standardním smluvním doložkám Srbska:

5.4 Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: (i) Dodavatel tímto uzavírá Standardní smluvní doložky Srbska se společností Kyndryl svým vlastním jménem v pozici Zpracovatele údajů a (ii) Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 8 Standardních smluvních doložek Srbska a na požádání předloží kopie takových smluv společnosti Kyndryl.

a. Pokud je Dodavatel usazen v Zemi poskytující odpovídající ochranu, pak tímto Dodavatel uzavírá Standardní smluvní doložky Srbska se společností Kyndryl jménem každého z Dílčích zpracovatelů údajů, nacházejícího se v jiné zemi než Zemi poskytující odpovídající ochranu. Pokud Dodavatel není ve vztahu ke kterémukoliv z Dílčích zpracovatelů údajů oprávněn tak učinit, pak Dodavatel poskytne společnosti Kyndryl Standardní smluvní doložky Srbska podepsané Dílčím zpracovatelem údajů k podpisu ze strany společnosti Kyndryl dříve, než Dílčímu zpracovateli údajů umožní Zpracovávat jakékoliv Osobní údaje Kyndryl.

b. Standardní smluvní doložky Srbska uzavřené mezi společností Kyndryl a Dodavatelem budou sloužit jako Standardní smluvní doložky Srbska uzavřené mezi Správcem údajů a Zpracovatelem, nebo jako navazující písemná smlouva uzavřená mezi „zpracovatelem“ a „dílčím zpracovatelem“, dle toho, jak to vyžadují skutečnosti. V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami Srbska a těmito Podmínkami mají přednost standardní smluvní doložky Srbska.

c. Informace potřebné k vyplnění Příloh 1 až 8 Standardních smluvních doložek Srbska pro účely úpravy předávání Osobních údajů do jiné země než Země poskytující odpovídající ochranu najdete v těchto Podmínkách a v Příloze k Transakčnímu dokumentu nebo v Transakčním dokumentu samotném.

5.5. Dodatek (dodatky) pro Švýcarsko:

Pokud přenos Osobních údajů společnosti Kyndryl podle bodu 5.1 podléhá švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP"), bude se takový přenos v rozsahu, v jakém mu podléhá, řídit standardními smluvními doložkami (SCC) EU dohodnutými v bodu 5.2. těchto Podmínek. Nařízení GDPR bude přitom pro švýcarské osobní údaje doplněno o následující dodatky:

Odkazy na Obecné nařízení o ochraně údajů („GDPR") současně označují také odkazy na odpovídající ustanovení FADP;
Švýcarská federální informační komise pro ochranu údajů je příslušným dozorovým úřadem podle doložky 13 a přílohy I.C SCC EU

Švýcarské právo jako rozhodné právo v případě přenosu podléhá výhradně FADP.
Výraz „členský stát" v doložce 18 SCC EU se rozšiřuje tak, aby zahrnoval i Švýcarsko, aby mohly švýcarské subjekty údajů uplatňovat svá práva v místě svého obvyklého bydliště.

Aby se předešlo pochybnostem, není cílem žádné z výše uvedených skutečností žádným způsobem omezovat úroveň ochrany údajů poskytovanou EU SCC, ale pouze rozšířit tuto úroveň ochrany na švýcarské subjekty údajů. Pokud tomu tak není, má v příslušném rozsahu přednost EU SCC.

6. Součinnost a záznamy

6.1 S ohledem na povahu Zpracování Dodavatel poskytne společnosti Kyndryl součinnost přijetím odpovídajících technických a organizačních opatření za účelem splnění povinností souvisejících se žádostmi a právy Subjektů údajů. Dodavatel rovněž poskytne společnosti Kyndryl součinnost při zajištění souladu s povinnostmi týkajícími se zabezpečení Zpracování, oznámení a sdělení o Narušení zabezpečení a vytvoření hodnocení dopadu ochrany údajů, včetně předchozích konzultací s odpovědným regulačním orgánem dle potřeby s přihlédnutím k informacím, které má Dodavatel k dispozici.

6.2 Dodavatel bude udržovat aktuální záznamy o jménech a kontaktních údajích jednotlivých Dílčích zpracovatelů údajů, včetně zástupců a inspektorů ochrany osobních údajů jednotlivých Dílčích zpracovatelů údajů. Dodavatel poskytne na požádání tento záznam společnosti Kyndryl ve lhůtě, která společnosti Kyndryl umožní včas odpovědět na jakékoliv žádosti ze strany Zákazníka nebo třetí osoby.

---

Článek VIII, Technická a organizační opatření, Obecné zabezpečení

Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.

Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.

1. Zásady zabezpečení

1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.

1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.

1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.

1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.

1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.

2. Bezpečnostní incidenty

2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.

2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.

2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.

2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.

2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.

2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:

(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.

(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.

(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.

3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).

3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.

3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.

3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.

3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.

3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.

4. Řízení přístupu, intervence, přenosu a oddělení

4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.

4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.

4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).

4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.

4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.

4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.

4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.

4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.

4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.

5. Kontroly integrity a dostupnosti služby a systémů

5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.

5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.

5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.

5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).

5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.

5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.

5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.

5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.

6. Poskytování služeb

6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).

7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.

8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.

---

Článek X, Spolupráce, ověření a náprava