Privacy and Security Terms

Má Dodávateľ alebo Kyndryl prístup k obchodnými kontaktným údajom druhej strany?

Ak áno, takýto prístup bude podliehať Článku I („Obchodné kontaktné informácie“) a Článku X (Spolupráca, overovanie a riešenie problémov).

Príklady:

Dodávateľ používa mená, e-mailové adresy a telefónne čísla zamestnancov Kyndryl alebo Zákazníka v súvislosti s podporou alebo údržbou.
Kyndryl používa mená a e-mailové adresy zamestnancov Dodávateľa na ich overenie pri prístupe k Podnikovému systému.

Poznámka:

Ak Dodávateľ poskytuje služby údržby alebo podpory, môže mať prístup aj k inými údajom ako Obchodné kontaktné informácie (napríklad protokolovým súborom obsahujúcim alebo neobsahujúcim Osobné údaje). v tomto prípade by mal Dodávateľ začiarknuť aj políčko pri položke 2 (ak bude mať prístup k Osobným údajom) a položke 3 (ak bude mať prístup k iným ako Osobným údajom).

Článok I, Obchodné kontaktné informácie

Tento Článok sa uplatňuje vtedy, ak Dodávateľ alebo Kyndryl Spracúvajú Obchodné kontaktné informácie druhej zmluvnej strany.

1.1 Kyndryl a Dodávateľ môžu spracúvať Obchodné kontaktné informácie druhej zmluvnej strany v súvislosti so svojimi obchodnými operáciami v rámci poskytovania Služieb a Dodávaných produktov Dodávateľom.

1.2 Zmluvné strany:

(a) nebudú používať ani poskytovať Obchodné kontaktné informácie druhej zmluvnej strany na žiadne iné účely (na objasnenie: žiadna zo zmluvný strán nebude Predávať Obchodné kontaktné informácie druhej zmluvnej strany na marketingové účely bez predchádzajúceho písomného súhlasu dotknutej zmluvnej strany a, ak to bude nevyhnutné, predchádzajúceho písomného súhlasu Dotknutých osôb);

(b) bezodkladne odstráni, upraví, opraví a vráti Obchodné kontaktné informácie, poskytne informácie o ich Spracúvaní, obmedzí ich Spracúvanie alebo vykoná iné primerané činnosti, o ktoré druhá zmluvná strana písomne požiada.

1.3 Zmluvné strany neuzatvárajú vzťah spoločného Prevádzkovateľa údajov v súvislosti s Obchodnými kontaktnými informáciami druhej zmluvnej strany a žiadne ustanovenie Transakčného dokumentu sa nebude interpretovať ani chápať tak, ako keby jeho cieľom bolo uzatvoriť vzťah spoločného Prevádzkovateľa údajov.

1.4 Ďalšie informácie o Spracúvaní Obchodných kontaktných informácií zo strany Kyndryl sú uvedené vo Vyhlásení o ochrane osobných údajov Kyndryl, ktoré je k dispozícii na adrese https://www.kyndryl.com/privacy

1.5 Zmluvné strany zaviedli a budú udržiavať technické a organizačné bezpečnostné opatrenia s cieľom chrániť Obchodné kontaktné informácie druhej Zmluvnej strany pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním.

1.6 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia týkajúce sa Obchodných kontaktných informácií spoločnosti Kyndryl. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.

1.7 Ak Dodávateľ Spracúva iba Obchodné kontaktné informácie Kyndryl bez prístupu k iným údajom alebo materiálom akéhokoľvek druhu alebo akémukoľvek Podnikovému systému Kyndryl, takéto Spracúvanie bude podliehať iba tomuto Článku a Článku X (Spolupráca, overovanie a riešenie problémov).

Článok X, Spolupráca, overovanie a riešenie problémov

Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.

1. Súčinnosť Dodávateľa

1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.

1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.

1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.

2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)

2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.

2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.

2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.

2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.

2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.

3. Program boja proti falšovaniu

3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.

4. Riešenie problémov

4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.

4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.

4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.

Bude mať Dodávateľ prístup k Osobným údajom?

Ak áno, takýto prístup bude podliehať Článkom II (Technické a organizačné opatrenia, Zabezpečenie údajov), III (Ochrana súkromia), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).

Príklady:

Dodávateľ získa prístup k Osobným údajom v rámci poskytovania Hosťovanej služby na interné použitie Kyndryl alebo Zákazníkmi.
Dodávateľ poskytuje Služby súvisiace s zdravotnou starostlivosťou, marketingové Služby alebo Služby súvisiace so správou ľudských zdrojov alebo benefitov, v rámci čoho má prístup k Osobným údajom.
Dodávateľ má prístup k protokolovým súborom obsahujúcim Osobné údaje v súvislosti s poskytovaním Služieb podpory.

Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov

Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné Údaje Kyndryl ako Obchodné kontaktné informácie Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť Údaje Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.

1. Používanie údajov

1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu Kyndryl pridať do Údajov Kyndryl alebo zahrnúť do Údajov Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať Údaje Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné ciele ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť Údaje Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať Údaje Kyndryl.

1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.

2. Požiadavky zo strany tretích strán a dôvernosť údajov

2.1 Dodávateľ neposkytne Údaje Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany Kyndryl. Ak o prístup k Údajom Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť Údaje Kyndryl, Dodávateľ bude písomne informovať Kyndryl o takejto požiadavke alebo povinnosti a dopraje Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov Kyndryl formou súdneho nariadenia alebo iným spôsobom).

2.2 Dodávateľ zaručuje Kyndryl, že: (a) prístup k Údajom Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať Údaje Kyndryl iba v súlade s týmito Podmienkami.

3. Vrátenie alebo odstránenie Údajov Kyndryl

3.1 Dodávateľ podľa rozhodnutia Kyndryl buď odstráni, alebo vráti Údaje Kyndryl spoločnosti Kyndryl po vypovedaní alebo uplynutí platnosti Transakčného dokumentu alebo skôr na žiadosť Kyndryl. Ak Kyndryl požiada o ich odstránenie, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie Kyndryl. Ak Kyndryl požiada o vrátenie Údajov Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu Kyndryl a podľa písomných pokynov Kyndryl.

Článok III, Súkromie

Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje Kyndryl.

1. Spracúvanie

1.1 Kyndryl menuje Dodávateľa sprostredkovateľom na Spracúvanie Osobných údajov Kyndryl výhradne s cieľom poskytovania Dodávaných produktov a Služieb v súlade s pokynmi Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ bude domnievať, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bude bezodkladne informovať Kyndryl o tejto skutočnosti v rámci časového obdobia vyžadovaného takýmto právnym predpisom.

1.2 Dodávateľ bude dodržiavať všetky právne predpisy o ochrane údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.

1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom Kyndryl:

(a) kategórie Dotknutých osôb,

(b) typy Osobných údajov Kyndryl,

(c) akcie s údajmi činnosti Spracúvania,

(d) trvanie a frekvencia Spracúvania,

(e) zoznam subdodávateľov.

2. Technické a organizačné opatrenia

2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III Článku VIII a zaväzuje sa ich dodržiavať.

3. Práva a požiadavky Dotknutých osôb

3.1 Dodávateľ bezodkladne informuje Kyndryl (v dostatočnom časovom horizonte, aby Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, odstránenie alebo zablokovanie údajov) vo vzťahu k Osobným údajom Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.

3.2 V prípade, že bude Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované Kyndryl v dostatočnom predstihu, aby Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.

4. Subdodávatelia

4.1 Dodávateľ bude vopred písomne informovať Kyndryl pred pridaním nového Subdodávateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Subdodávateľa, pričom v takomto písomnom oznámení uvedie názov Subdodávateľa a opíše nový alebo rozšírený rozsah Spracúvania. Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Subdodávateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky Kyndryl. S ohľadom na právo Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ najať nového Subdodávateľa alebo rozšíriť rozsah Spracúvania existujúcim Subdodávateľom, ak Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.

4.2 Dodávateľ Zaviaže každého schváleného Subdodávateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte predtým, ako by Subdodávateľ začal Spracúvať Údaje Kyndryl. Dodávateľ bude niesť plnú zodpovednosť voči Kyndryl za plnenie týchto povinností Subdodávateľom.

5. Spracúvanie údajov v zahraničí

Vymedzenie pojmov:

Krajina s primeranou ochranou je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu o ochrane údajov alebo rozhodnutia regulačného orgánu.

Dovozca údajov je Sprostredkovateľ alebo Subdodávateľ, ktorý nesídli v Krajine s primeranou ochranou.

Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, ako sú oficiálne publikované na stránke https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, ako boli prijaté „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú publikované na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov o ochrane údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou ochranou.

Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len "Dodatok Spojeného kráľovstva") znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .

5.1 Dodávateľ nebude prenášať žiadne Osobné údaje Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi o ochrane údajov. Ak tieto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť Kyndryl.

5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:

(a)Ak Dodávateľ nesídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 9 Štandardných zmluvných doložiek EÚ a na žiadosť Kyndryl poskytne Kyndryl kópie týchto zmlúv.

(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.

(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Klauzulou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdne dvory členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.

(b) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.

(c) Ak iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa klauzule o spájaní Klauzuly 7, Dodávateľ týmto súhlasí so všetkými takýmito požiadavkami.

(d) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné medzi sebou strany uzavreli.

(e) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.

5.3 Ohľadom Dodatku Spojeného kráľovstva:

(a) Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.

(b) Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).

(c) Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.

(d) Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.

(e) V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.

5.4 V súvislosti so Štandardnými zmluvnými doložkami Srbska:

(a) Ak Dodávateľ nesídli v Krajine s primeranou ochranou: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.

(b) Ak Dodávateľ sídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Subdodávateľov, ktorí sídlia v Krajinách bez primeranej ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Subdodávateľa, pred tým, ako tomuto Subdodávateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Subdodávateľom na podpísanie spoločnosťou Kyndryl.

(c) Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „subdodávateľom“ podľa skutočností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.

(d) Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.

6. Pomoc a záznamy

6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.

6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Subdodávateľov vrátane zástupcu Subdodávateľa a zodpovednej osoby. Dodávateľ na žiadosť Kyndryl poskytne tieto záznamy Kyndryl v dostatočnom predstihu na to, aby Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.

Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie

Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.

Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.

1. Bezpečnostné zásady

1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.

1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.

1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.

1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.

1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.

2. Bezpečnostné incidenty

2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.

2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.

2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.

2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.

2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.

2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:

(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;

(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;

(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.

3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).

3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.

3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.

3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.

3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.

3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.

4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru

4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.

4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.

4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).

4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.

4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.

4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.

4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.

4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.

4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).

5. Kontrola integrity a dostupnosti služieb a systémov

5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.

5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.

5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.

5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).

5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.

5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.

5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.

5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.

6. Poskytovanie služieb

6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.

7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.

8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.