Privacy and Security Terms

Bude mať Dodávateľ alebo Kyndryl prístup k Obchodnými kontaktným údajom druhej strany?

Ak áno, takýto prístup bude podliehať Článku I (Obchodné kontaktné údaje) a Článku X (Spolupráca, overovanie a riešenie problémov).

Príklady:

Dodávateľ používa mená, e-mailové adresy a telefónne čísla zamestnancov spoločnosti Kyndryl alebo Zákazníka v súvislosti s podporou alebo údržbou.
Spoločnosť Kyndryl používa mená a e-mailové adresy zamestnancov Dodávateľa na ich overenie pri prístupe k Podnikovému systému.

Poznámka:

Ak Dodávateľ poskytuje služby údržby alebo podpory, môže mať prístup aj k inými údajom ako Obchodným kontaktným údajom (napríklad protokolovým súborom obsahujúcim alebo neobsahujúcim Osobné údaje). V tomto prípade by mal Dodávateľ začiarknuť aj políčko pri položke 2 (ak bude mať prístup k Osobným údajom) a položke 3 (ak bude mať prístup k údajom, ktoré nie sú Osobné údaje).
Ak Dodávateľ spracúva údaje zamestnancov spoločnosti Kyndryl, začiarkne aj políčko v bode 2 (ak bude mať prístup k Osobným údajom).

Článok I, Obchodné kontaktné informácie

Tento Článok sa uplatňuje vtedy, ak Dodávateľ alebo spoločnosť Kyndryl Spracúvajú Obchodné kontaktné údaje druhej zmluvnej strany.

1.1 Spoločnosť Kyndryl a Dodávateľ môžu spracúvať Obchodné kontaktné údaje druhej zmluvnej strany v súvislosti so svojimi obchodnými operáciami v rámci poskytovania Služieb a Dodávaných produktov Dodávateľom.

1.2 Zmluvné strany:

(a) nebudú používať ani poskytovať Obchodné kontaktné údaje druhej zmluvnej strany na žiadne iné účely (na objasnenie: žiadna zo zmluvný strán nebude Predávať Obchodné kontaktné údaje druhej zmluvnej strany na marketingové účely bez predchádzajúceho písomného súhlasu dotknutej zmluvnej strany a, ak to bude nevyhnutné, predchádzajúceho písomného súhlasu Dotknutých osôb);

(b) bezodkladne odstránia, upravia, opravia a vrátia Obchodné kontaktné údaje, poskytnú informácie o ich Spracúvaní, obmedzia ich Spracúvanie alebo vykonajú iné primerané činnosti, o ktoré druhá zmluvná strana písomne požiada, keď dôjde k neoprávnenému použitiu osobných údajov a zmluvná strana chce zastaviť ich spracúvanie a vykonať nápravu.

1.3 Zmluvné strany neuzatvárajú vzťah spoločného Prevádzkovateľa údajov v súvislosti s Obchodnými kontaktnými údajmi druhej zmluvnej strany a žiadne ustanovenie Transakčného dokumentu sa nebude interpretovať ani chápať tak, ako keby jeho cieľom bolo uzatvoriť vzťah spoločného Prevádzkovateľa údajov.

1.4 Ďalšie informácie o Spracúvaní Obchodných kontaktných údajov zo strany Kyndryl sú uvedené vo Vyhlásení o ochrane osobných údajov spoločnosti Kyndryl, ktoré je k dispozícii na adrese https://www.kyndryl.com/us/en/privacy.

1.5 Zmluvné strany zaviedli a budú udržiavať technické a organizačné bezpečnostné opatrenia s cieľom chrániť Obchodné kontaktné údaje druhej Zmluvnej strany pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním.

1.6 Dodávateľ bezodkladne (vždy však do 48 hodín) upozorní spoločnosť Kyndryl na Narušenie zabezpečenia týkajúce sa Obchodných kontaktných údajov spoločnosti Kyndryl. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.

1.7 Ak Dodávateľ Spracúva iba Obchodné kontaktné údaje spoločnosti Kyndryl bez prístupu k iným údajom alebo materiálom akéhokoľvek druhu alebo akémukoľvek Podnikovému systému spoločnosti Kyndryl, takéto Spracúvanie bude podliehať iba tomuto Článku a Článku X (Spolupráca, overovanie a riešenie problémov).

Článok X, Spolupráca, overovanie a riešenie problémov

Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.

1. Súčinnosť Dodávateľa

1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.

1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.

1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.

2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)

2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.

2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.

2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.

2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.

2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.

3. Program boja proti falšovaniu

3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.

4. Riešenie problémov

4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.

4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.

4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.

Bude mať Dodávateľ prístup k Osobným údajom?

Ak áno, takýto prístup bude podliehať Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článku III (Ochrana osobných údajov), Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článku X (Spolupráca, overovanie a riešenie problémov).

Príklady:

Dodávateľ získa prístup k Osobným údajom v rámci poskytovania Hosťovanej služby na interné použitie spoločnosťou Kyndryl alebo Zákazníkmi.
Dodávateľ poskytuje Služby súvisiace so zdravotnou starostlivosťou, marketingové Služby alebo Služby súvisiace so správou ľudských zdrojov alebo benefitov, v rámci čoho má prístup k Osobným údajom.
Dodávateľ má prístup k protokolovým súborom obsahujúcim Osobné údaje v súvislosti s poskytovaním Služieb podpory.

Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov

Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné údaje spoločnosti Kyndryl ako Obchodné kontaktné údaje spoločnosti Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť údaje spoločnosti Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky a prostredí dátových centier.

1. Používanie údajov

1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl pridať do Údajov spoločnosti Kyndryl alebo zahrnúť do Údajov spoločnosti Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať údaje spoločnosti Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné účely ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť údaje spoločnosti Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať údaje spoločnosti Kyndryl.

1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.

2. Požiadavky zo strany tretích strán a mlčanlivosť

2.1 Dodávateľ neposkytne údaje spoločnosti Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany spoločnosti Kyndryl. Ak o prístup k Údajom spoločnosti Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov spoločnosti Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť údaje spoločnosti Kyndryl, Dodávateľ písomne informuje spoločnosť Kyndryl o takejto požiadavke alebo povinnosti a poskytne spoločnosti Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie spoločnosti Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov spoločnosti Kyndryl formou súdneho nariadenia alebo iným spôsobom).

2.2 Dodávateľ zaručuje spoločnosti Kyndryl, že: (a) prístup k Údajom spoločnosti Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať údaje spoločnosti Kyndryl iba v súlade s týmito Podmienkami.

3. Vrátenie alebo odstránenie Údajov spoločnosti Kyndryl

3.1 Dodávateľ v prípade ukončenia alebo uplynutia platnosti Transakčného dokumentu na základe rozhodnutia spoločnosti Kyndryl buď odstráni alebo vráti Údaje spoločnosti Kyndryl, prípadne tak urobí kedykoľvek skôr, ak o to spoločnosť Kyndryl požiada. Ak spoločnosť Kyndryl požiada o odstránenie Údajov, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie spoločnosti Kyndryl. Ak spoločnosť Kyndryl požiada o vrátenie Údajov spoločnosti Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu spoločnosti Kyndryl a podľa primeraných písomných pokynov spoločnosti Kyndryl.

Článok III, Súkromie

Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje spoločnosti Kyndryl.

1. Spracúvanie

1.1 Spoločnosť Kyndryl poveruje Dodávateľa ako Sprostredkovateľa na Spracúvanie Osobných údajov spoločnosti Kyndryl výhradne na účely poskytovania Dodávaných produktov a Služieb v súlade s pokynmi spoločnosti Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, spoločnosť Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ domnieva, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bezodkladne informuje spoločnosť Kyndryl o tejto skutočnosti v rámci lehoty ustanovenej takýmto právnym predpisom. Ak Dodávateľ nedodrží niektorú zo svojich povinností podľa týchto Podmienok a toto nedodržanie spôsobí neoprávnené použitie Osobných údajov alebo vo všeobecnosti v prípade akéhokoľvek neoprávneného použitia Osobných údajov, spoločnosť Kyndryl bude mať právo zastaviť spracúvanie a vyžadovať odstránenie nedostatkov a nápravu škodlivých následkov neoprávneného použitia, pričom plnenie a náprava sa uskutoční podľa primeraných pokynov a harmonogramu stanovených spoločnosťou Kyndryl.

1.2 Dodávateľ bude dodržiavať všetky právne predpisy upravujúce ochranu údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.

1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom spoločnosti Kyndryl:

(a) kategórie Dotknutých osôb,

(b) typy Osobných údajov spoločnosti Kyndryl,

(c) akcie s údajmi a Spracovateľské činnosti,

(d) trvanie a frekvencia Spracúvania,

(e) zoznam Ďalších sprostredkovateľov.

2. Technické a organizačné opatrenia

2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III a Článku VIII a zaväzuje sa ich dodržiavať.

3. Práva a požiadavky Dotknutých osôb

3.1 Dodávateľ bezodkladne informuje spoločnosť Kyndryl (v dostatočnom časovom horizonte, aby spoločnosť Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, vymazanie alebo zablokovanie údajov) vo vzťahu k Osobným údajom spoločnosti Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.

3.2 V prípade, že bude spoločnosť Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov spoločnosti Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne spoločnosti Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované spoločnosťou Kyndryl v dostatočnom predstihu, aby spoločnosť Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.

4. Ďalší sprostredkovatelia

4.1 Dodávateľ bude vopred písomne informovať spoločnosť Kyndryl pred pridaním nového Ďalšieho sprostredkovateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Ďalšieho sprostredkovateľa, pričom v takomto písomnom oznámení uvedie meno Ďalšieho sprostredkovateľa a opíše nový alebo rozšírený rozsah Spracúvania. Spoločnosť Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Ďalšieho sprostredkovateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky spoločnosti Kyndryl. S ohľadom na právo spoločnosti Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ poveriť nového Ďalšieho sprostredkovateľa alebo rozšíriť rozsah Spracúvania existujúcim Ďalším sprostredkovateľom, ak spoločnosť Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.

4.2 Dodávateľ zaviaže každého schváleného Ďalšieho sprostredkovateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte pred začatím Spracúvania Údajov spoločnosti Kyndryl Ďalším sprostredkovateľom. Dodávateľ bude niesť plnú zodpovednosť voči spoločnosti Kyndryl za plnenie týchto povinností Ďalším sprostredkovateľom.

5. Cezhraničné Spracúvanie údajov

Na účely ďalej uvedených podmienok:

Krajina s primeranou úrovňou ochrany je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu upravujúceho ochranu údajov alebo rozhodnutia regulačného orgánu.

Dovozca údajov je Sprostredkovateľ alebo Ďalší sprostredkovateľ, ktorý nesídli v Krajine s primeranou úrovňou ochrany.

Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, v oficiálnom znení zverejnenom na stránke https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en

Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, v znení prijatom „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú zverejnené na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov upravujúcich ochranu údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou úrovňou ochrany.

Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len „Dodatok Spojeného kráľovstva“) znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na stránke https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Dodatok pre Švajčiarsko k Štandardným zmluvným doložkám (ŠZD) Komisie EÚ (ďalej len „Dodatok pre Švajčiarsko”) znamená zmluvné doložky k Štandardným zmluvným doložkám Komisie EÚ, ktoré sa uplatňujú v súlade s rozhodnutím Švajčiarskeho úradu na ochranu údajov („FDPIC”) a v súlade so švajčiarskym federálnym zákonom o ochrane údajov („FADP”).

5.1 Dodávateľ nebude prenášať žiadne Osobné údaje spoločnosti Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi upravujúcimi ochranu údajov. Ak takéto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť spoločnosti Kyndryl.

5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:

(a) Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Doložkou 9 Štandardných zmluvných doložiek EÚ a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.

(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.

(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Doložkou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli príslušný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdy členského štátu EÚ, v ktorom sídli takýto príslušný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.

(b) Ak obe strany, Dodávateľ aj Kyndryl, majú sídlo v Krajine s primeranou úrovňou ochrany, Dodávateľ bude vystupovať ako Vývozca údajov a s každým schváleným Ďalším sprostredkovateľom, ktorý sídli v Krajine bez primeranej úrovne ochrany, uzavrie zmluvu o ŠZD EÚ. Dodávateľ vykoná požadované posúdenie vplyvu prenosu (ďalej aj ako „TIA“) a bez zbytočného odkladu oznámi spoločnosti Kyndryl (1) akúkoľvek potrebu uplatnenia dodatočných opatrení a (2) uplatnené opatrenia. Dodávateľ poskytne spoločnosti Kyndryl na požiadanie výsledky TIA a všetky informácie potrebné na pochopenie a vyhodnotenie výsledkov. V prípade, že spoločnosť Kyndryl nesúhlasí s výsledkami TIA Dodávateľa alebo s použitými dodatočnými opatreniami, spoločnosť Kyndryl a Dodávateľ budú spoločne hľadať prijateľné riešenie. Spoločnosť Kyndryl si ponecháva právo pozastaviť alebo ukončiť služby príslušných Dodávateľov bez náhrady. Aby sa predišlo pochybnostiam, toto nezbavuje Ďalších sprostredkovateľov Dodávateľa povinnosti stať sa zmluvnou stranou ŠZD EÚ so spoločnosťou Kyndryl alebo jej Zákazníkmi, v súlade so znením Odseku 5.2 (d) nižšie.

(c) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul 4 ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.

(d) Ak Iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa doložky o pripojení sa v Doložke 7, Dodávateľ týmto súhlasí so všetkými takýmito žiadosťami.

(e) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné strany medzi sebou uzatvorili.

(f) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.

5.3 Pokiaľ ide o dodatky Spojeného kráľovstva:

a. Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.

b. Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).

c. Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.

d. Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.

e. V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.

5.4 Pokiaľ ide o ŠZD Srbska:

a. Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzatvorí písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.

b. Ak Dodávateľ sídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Ďalších sprostredkovateľov, ktorí sídlia v Krajine bez primeranej úrovne ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Ďalšieho sprostredkovateľa, pred tým, ako tomuto Ďalšiemu sprostredkovateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Ďalším sprostredkovateľom na podpísanie spoločnosťou Kyndryl.

c. Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „Ďalším sprostredkovateľom“ v závislosti od príslušných okolností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.

d. Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.

5.5. Ohľadom Dodatku/ov pre Švajčiarsko:

Ak prenos osobných údajov spoločnosti Kyndryl podľa časti 5.1. podlieha švajčiarskemu federálnemu zákonu o ochrane údajov („FADP"), ŠZD EÚ dohodnuté v časti 5.2. týchto Podmienok budú riadiť prenos s nasledujúcimi zmenami na prijatie normy GDPR pre švajčiarske osobné údaje:

odkazy na všeobecné nariadenie o ochrane údajov („GDPR") sa rozumejú aj ako odkazy na ekvivalentné ustanovenia zákona FADP,
Švajčiarska federálna komisia pre ochranu údajov je príslušným dozorným orgánom podľa článku 13 a prílohy I.C ŠZD EÚ,

švajčiarsky zákon ako rozhodujúci zákon v prípade, že prenos podlieha výlučne zákonu FADP a
pojem „členský štát" v doložke 18 ŠZD EÚ sa rozšíri tak, aby zahŕňal Švajčiarsko s cieľom umožniť dotknutým osobám vo Švajčiarsku uplatňovať svoje práva v mieste ich obvyklého pobytu.

Aby sa predišlo pochybnostiam, cieľom žiadneho z vyššie uvedených opatrení nie je akýmkoľvek spôsobom znížiť úroveň ochrany údajov poskytovanej ŠZD EÚ, ale len rozšíriť túto úroveň ochrany na dotknuté osoby vo Švajčiarsku. Ak to tak nie je, má prednosť ŠZD EÚ.

6. Pomoc a záznamy

6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností zo strany spoločnosti Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.

6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Ďalších sprostredkovateľov vrátane zástupcu Ďalšieho sprostredkovateľa a zodpovednej osoby. Dodávateľ na žiadosť spoločnosti Kyndryl poskytne tieto záznamy spoločnosti Kyndryl v dostatočnom predstihu na to, aby spoločnosť Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.

Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie

Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.

Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.

1. Bezpečnostné zásady

1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.

1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.

1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.

1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.

1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.

2. Bezpečnostné incidenty

2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.

2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.

2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.

2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.

2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.

2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:

(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a

(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a

(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.

3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).

3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.

3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.

3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.

3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.

3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.

4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru

4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.

4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.

4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).

4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.

4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.

4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.

4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.

4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.

4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).

5. Kontrola integrity a dostupnosti služieb a systémov

5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.

5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.

5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.

5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).

5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.

5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.

5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.

5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.

6. Poskytovanie služieb

6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).

7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.

8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.