Zaštita podataka na internetu

Dodatak o zaštiti podataka internetskih usluga tvrtke ClubCard

Uvod

Stranke se slažu da ovaj Dodatak o zaštiti podataka internetskih usluga tvrtke ClubCard utvrđuje njihove obveze u pogledu obrade i sigurnosti korisničkih podataka i osobnih podataka u vezi s internetskim uslugama. Dodatak o zaštiti podataka internetskih usluga tvrtke ClubCard je uključen referencom u Uvjete internetskih usluga (ili mjesto nasljednika u Korisničkim pravima). Odvojeni uvjeti, uključujući različite uvjete privatnosti i sigurnosti, reguliraju upotrebu Klijenta koji nisu ClubCard proizvodi.

U slučaju bilo kakvog sukoba ili neusklađenosti između uvjeta Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i bilo kojih drugih uvjeta u licenciranju kupca, prevladavat će uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard. Odredbe Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard uvjeta zamjenjuju sve oprečne odredbe ClubCard izjave o privatnosti koje se inače mogu primijeniti na obradu podataka kupaca ili osobnih podataka kako je ovdje definirano. Radi jasnoće, u skladu s klauzulom 10 Standardnih ugovornih klauzula u Prilogu 1, Standardne ugovorne klauzule prevladavaju nad bilo kojim drugim odredbama uvjeta Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard.

ClubCard se ovim Dodatkom o zaštiti podataka internetskih usluga tvrtke ClubCard obvezuje na sve kupce s ugovorima o licenci. Te su obveze za ClubCard obvezujuće za Kupca bez obzira na (1) Korisnička prava koja su inače primjenjiva na bilo koju pretplatu na mrežne usluge ili (2) bilo koji drugi ugovor koji upućuje na Uvjete korištenja za Online Services.

Primjenjivi uvjeti i ažuriranja Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard

Ograničenja ažuriranja

Kada kupac obnovi ili kupi novu pretplatu na internetsku uslugu, primjenjivat će se tada važeći uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i neće se mijenjati tijekom pretplate kupca na tu internetsku uslugu.

Nove značajke, dodaci ili srodni softver

Bez obzira na prethodno navedena ograničenja za ažuriranja, kada ClubCard uvede značajke, dodatke ili srodni softver koji su novi (tj. Koji prethodno nisu bili uključeni u pretplatu), ClubCard može pružiti uvjete ili izvršiti ažuriranja Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard koji se primjenjuju na kupčevu upotrebu tih novih značajke, dodatke ili srodni softver. Ako ti uvjeti uključuju bilo kakve značajne nepovoljne promjene uvjeta Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard, ClubCard će Kupcu pružiti mogućnost korištenja novih značajki, dodataka ili srodnog softvera, bez gubitka postojeće funkcionalnosti općenito dostupne mrežne usluge. Ako Kupac ne koristi nove značajke, dodatke ili srodni softver, neće se primjenjivati odgovarajući novi uvjeti.

Vladina uredba i zahtjevi

Bez obzira na prethodno navedena ograničenja za ažuriranja, ClubCard može izmijeniti ili ukinuti internetsku uslugu u bilo kojoj zemlji ili jurisdikciji u kojoj postoje bilo koji trenutni ili budući vladini zahtjevi ili obveze koji (1) podvrgavaju ClubCard bilo kojoj uredbi ili zahtjevu koji nisu općenito primjenjivi na tvrtke koje tamo posluju, (2) predstavlja poteškoću za ClubCard da nastavi s radom internetske usluge bez izmjena i / ili (3) uzrokuje da ClubCard vjeruje da se uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard ili internetska usluga mogu sukobiti s bilo kojim takvim zahtjevom ili obvezom.

Elektroničke obavijesti

ClubCard može Kupcu pružiti informacije i obavijesti o internetskim uslugama elektroničkim putem, uključujući putem e-pošte, putem portala za internetsku uslugu ili putem web mjesta koje ClubCard identificira. Obavijest se daje s datumom kada je ClubCard stavlja na raspolaganje.

Prethodne verzije

Uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard pružaju uvjete za mrežne usluge koji su trenutno dostupni. Za ranije verzije uvjeta Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard, kupac može kontaktirati svog prodavača ili upravitelja Vašeg računa.

Definicije

Izrazi s velikim početnim slovom koji se koriste, ali nisu definirani u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard, imati će značenje u ugovoru o licenciranju. Sljedeći definirani pojmovi koriste se u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard:

"Podaci o kupcu" označavaju sve podatke, uključujući sve tekstualne, zvučne, video ili slikovne datoteke i softver, koje ClubCard pružaju korisnici ili u njegovo ime korisnici putem mrežne usluge.

„Zahtjevi za zaštitu podataka“ označavaju GDPR, lokalne zakone o zaštiti podataka EU / EEA i sve primjenjive zakone, propise i druge pravne zahtjeve koji se odnose na (a) privatnost i sigurnost podataka; i (b) upotrebu, prikupljanje, zadržavanje, pohranu, sigurnost, otkrivanje, prijenos, odlaganje i drugu obradu bilo kojih Osobnih podataka.

"Dijagnostički podaci" označavaju podatke koje je ClubCard prikupio ili prikupio od softvera koji kupac lokalno instalira u vezi s internetskom uslugom. Dijagnostički podaci mogu se nazivati i telemetrijom. Dijagnostički podaci ne uključuju podatke o kupcima ili podatke generirane uslugom.

"Uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard " označavaju uvjete u Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard i bilo koje odredbe specifične za internetske usluge u Korisničkim pravima koji posebno nadopunjuju ili mijenjaju uvjete privatnosti i sigurnosti u Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard za određenu internetsku uslugu (ili značajku internetske usluge). U slučaju bilo kakvog sukoba ili nedosljednosti između Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i takvih uvjeta specifičnih za internetske usluge, važit će uvjeti specifični za internetsku uslugu u odnosu na primjenjivu internetsku uslugu (ili značajku te internetske usluge).

„GDPR“ znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba u pogledu obrade osobnih podataka i o slobodnom kretanju takvih podataka, te ukidanju Direktive 95 / 46 / EC (Opća uredba o zaštiti podataka).

„Lokalni zakoni o zaštiti podataka EU / EEA” znači bilo koji podzakonski akt i propis koji provode GDPR.

"GDPR uvjeti" označavaju uvjete u Privitku 3, pod kojima se ClubCard obvezuje na obradu osobnih podataka kako zahtijeva članak 28. GDPR-a.

"Osobni podaci" znači bilo koji podatak koji se odnosi na utvrđenu ili utvrdivu fizičku osobu. Fizička osoba koju je moguće identificirati je ona koja se može izravno ili neizravno identificirati, posebno pozivanjem na identifikator kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili na jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet te fizičke osobe.

"Podaci generirani uslugom" označavaju podatke koje je ClubCard generirao ili izveo radom mrežne usluge. Podaci generirani uslugom ne uključuju podatke kupaca ili dijagnostičke podatke.

„Standardne ugovorne klauzule“ označavaju standardne klauzule o zaštiti podataka za prijenos osobnih podataka obrađivačima sa sjedištem u trećim zemljama koje ne osiguravaju odgovarajuću razinu zaštite podataka, kako je opisano u članku 46. GDPR-a i odobreno odlukom Europske komisije iz 2010. godine. / 87 / EC, od 5. veljače 2010. Standardne ugovorne klauzule nalaze se u Privitku 2.

"Podprocesor" znači druge procesore koje ClubCard koristi za obradu podataka o kupcima i osobnih podataka, kako je opisano u članku 28. GDPR-a.

„Podaci o podršci“ označavaju sve podatke, uključujući sav tekst, zvuk, video, slikovne datoteke ili softver, koje ClubCard pruža kupac ili u ime Kupca (ili koji Kupac ovlašćuje ClubCard da ih dobije putem mrežne usluge) angažmanom s ClubCard za dobivanje tehničke podrške za internetske usluge obuhvaćene ovim ugovorom.

Pojmovi malih slova koji se koriste, ali nisu definirani u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard, poput „kršenje osobnih podataka“, „obrada“, „kontrolor“, „obrađivač“, „profiliranje“, „osobni podaci“ i „subjekt podataka“ imat će isto značenje kako je navedeno u članku 4. GDPR-a, neovisno o tome primjenjuje li se GDPR. Izrazi "uvoznik podataka" i "izvoznik podataka" imaju značenja navedena u Standardnim ugovornim odredbama.

Radi jasnoće i kao što je gore opisano, podaci definirani kao Podaci kupca, Dijagnostički podaci i Podaci generirani uslugom mogu sadržavati osobne podatke. U ilustrativne svrhe pogledajte donji grafikon:

Iznad je vizualni prikaz vrsta podataka definiranih u Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard. Svi se osobni podaci obrađuju kao dio jedne od ostalih vrsta podataka (svi oni također uključuju neosobne podatke). Uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard usredotočeni su na podatke o kupcima i osobne podatke (uključujući podatke o podršci i bilo koje osobne podatke u uslugama i podacima o podršci, pokriveni u Privitku 1).

Opći uvjeti

Usklađenost sa zakonima

ClubCard će se pridržavati svih zakona i propisa koji se primjenjuju na njegovo pružanje internetskih usluga, uključujući zakon o obavijesti o kršenju sigurnosti i zahtjeve za zaštitu podataka. Međutim, ClubCard nije odgovoran za poštivanje bilo kojih zakona ili propisa koji se primjenjuju na Kupca ili Kupčevu industriju koji nisu općenito primjenjivi na pružatelje usluga informacijske tehnologije. ClubCard ne utvrđuje uključuju li podaci o kupcima podatke koji podliježu nekom posebnom zakonu ili odredbi. Svi sigurnosni incidenti podliježu donjim uvjetima obavijesti o sigurnosnim incidentima.

Kupac se mora pridržavati svih zakona i propisa koji se primjenjuju na njegovo korištenje internetskih usluga, uključujući zakone koji se odnose na biometrijske podatke, povjerljivost komunikacija i zahtjeve za zaštitu podataka. Kupac je odgovoran za utvrđivanje da li su internetske usluge prikladne za pohranu i obradu informacija koje podliježu bilo kojem posebnom zakonu ili propisu i za korištenje internetskih usluga na način koji je u skladu sa zakonskim i regulatornim obvezama Kupca. Kupac je odgovoran za odgovor na bilo koji zahtjev treće strane u vezi s korisnikovim korištenjem internetske usluge, poput zahtjeva za uklanjanje sadržaja prema američkom Zakonu o digitalnim autorskim pravima ili drugim primjenjivim zakonima.

Uvjeti zaštite podataka

Ovaj odjeljak Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard uključuje sljedeće pododjeljke:

• Opseg

• Priroda obrade podataka; Vlasništvo

• Objavljivanje obrađenih podataka

• Obrada osobnih podataka; GDPR-a

• Sigurnost podataka

• Obavijest o sigurnosnim incidentima

• Prijenosi podataka i lokacija

• Zadržavanje i brisanje podataka

• Obveza povjerljivosti procesora

• Obavijest i kontrole korištenja podprocesora

• Obrazovne ustanove

• CJIS Ugovor s kupcem

• HIPAA poslovni suradnik

• Uvjeti Kalifornijskog zakona o privatnosti potrošača (CCPA)

• Biometrijski podaci

• Kako kontaktirati ClubCard

• Dodatak A - Sigurnosne mjere

Opseg

Uvjeti Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard primjenjuju se na sve internetske usluge, osim na bilo koje internetske usluge koje su posebno identificirane kao izuzete u Privitku 1 Uvjeta korištenja za Online Services (ili mjestu nasljednika u pravima korištenja), a koje se uređuju uvjetima privatnosti i sigurnosti u primjenjivim specifičnim uvjetima mrežne usluge.

Pregledi mogu koristiti manje ili drugačije mjere privatnosti i sigurnosti od onih koje su obično prisutne u internetskim uslugama. Ako nije drugačije naznačeno, kupac ne bi trebao koristiti preglede za obradu osobnih podataka ili drugih podataka koji podliježu zakonskim ili regulatornim zahtjevima. Sljedeći se pojmovi u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard ne primjenjuju na preglede: Obrada osobnih podataka; GDPR, sigurnost podataka i HIPAA poslovni suradnik.

Priroda obrade podataka; Vlasništvo

ClubCard će koristiti i na drugi način obrađivati podatke o kupcima i osobne podatke samo u skladu s dokumentiranim uputama kupca i kako je opisano i podložno ograničenjima navedenim u nastavku (a) za pružanje kupcu mrežnih usluga i (b) za legitimno poslovanje tvrtke ClubCard u slučaju isporuke mrežnih usluga za kupca. Između strana, Kupac zadržava sva prava, vlasništvo i interese na i na Kupčeve podatke. ClubCard ne stječe nikakva prava na Kupčeve podatke, osim prava koja Korisnik daje ClubCard u ovom odjeljku. Ovaj odlomak ne utječe na ClubCard prava na softver ili usluge ClubCard licence za kupca.

Obrada za pružanje mrežnih usluga kupcu

Za potrebe ovog Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard, "pružanje" mrežne usluge sastoji se od:

• pružanje funkcionalnih mogućnosti kako su ih kupac i njegovi korisnici licencirali, konfigurirali i koristili, uključujući pružanje personaliziranog korisničkog iskustva;

• Rješavanje problema (sprečavanje, otkrivanje i popravak problema); i

• Stalno poboljšanje (instaliranje najnovijih ažuriranja i poboljšanje korisničke produktivnosti, pouzdanosti, učinkovitosti i sigurnosti).

Prilikom pružanja internetskih usluga, ClubCard neće koristiti ili na bilo koji drugi način obrađivati podatke o kupcima ili osobne podatke za: (a) profiliranje korisnika, (b) oglašavanje ili slične komercijalne svrhe ili (c) istraživanje tržišta usmjereno na stvaranje novih funkcionalnosti, usluga ili proizvoda ili bilo koju drugu svrhu, osim ako je takva upotreba ili obrada u skladu s dokumentiranim uputama Kupca.

Obrada za ClubCard legitimno poslovanje

U svrhe ovog Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard, "ClubCard legitimno poslovanje" sastoji se od sljedećeg, svaki kao incident isporuke mrežnih usluga kupcu: (1) naplata i upravljanje računom; (2) naknada (npr. Izračunavanje provizija zaposlenika i poticaja partnera); (3) interno izvještavanje i poslovno modeliranje (npr. Predviđanje, prihod, planiranje kapaciteta, strategija proizvoda); (4) borba protiv prijevare, cyber kriminala ili cyber napada koji mogu utjecati na ClubCard ili ClubCard proizvode; (5) poboljšanje osnovne funkcionalnosti pristupačnosti, privatnosti ili energetske učinkovitosti; i (6) financijsko izvještavanje i poštivanje zakonskih obveza (podložno ograničenjima u pogledu otkrivanja obrađenih podataka navedenih u nastavku).

Prilikom obrade za legitimno poslovanje tvrtke ClubCard, ClubCard neće koristiti ili obrađivati na drugi način podatke o kupcima ili osobne podatke za: (a) profiliranje korisnika, (b) oglašavanje ili slične komercijalne svrhe ili (c) bilo koju drugu svrhu, osim u svrhe izloženo u ovom odjeljku.

Otkrivanje obrađenih podataka

ClubCard neće otkriti niti pružiti pristup bilo kakvim obrađenim podacima, osim: (1) prema nalogu Kupca; (2) kako je opisano u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard; ili (3) u skladu sa zakonom. U svrhe ovog odjeljka, „Obrađeni podaci” znače: (a) podatke o kupcu; (b) osobni podaci; i (c) bilo koje druge podatke koje ClubCard obrađuje u vezi s internetskom uslugom koji su povjerljivi podaci Kupca prema ugovoru o licenci. Sva obrada obrađenih podataka podliježe ClubCard obvezi povjerljivosti prema ugovoru o licenciranju.

ClubCard neće otkriti niti pružiti pristup bilo kakvim obrađenim podacima policiji, osim ako to ne zahtijeva zakon. Ako organi za provođenje zakona kontaktiraju ClubCard s zahtjevom za obrađenim podacima, ClubCard će pokušati preusmjeriti agenciju za provođenje zakona da te podatke zatraži izravno od kupca. Ako bude primoran otkriti ili pružiti pristup bilo kojem obrađenom podatku policiji, ClubCard će odmah obavijestiti Kupca i dostaviti kopiju zahtjeva, osim ako to zakonski nije zabranjeno.

Po primitku bilo kojeg drugog zahtjeva treće strane za obrađenim podacima, ClubCard će odmah obavijestiti kupca ako to nije zakonom zabranjeno. ClubCard će odbiti zahtjev osim ako to zakon ne zahtijeva. Ako je zahtjev valjan, ClubCard će pokušati preusmjeriti treću stranu da zatraži podatke izravno od Kupca.

ClubCard neće pružiti trećim stranama: (a) izravan, neizravan, pokrivački ili nesmetan pristup obrađenim podacima; (b) ključeve za šifriranje platforme koji se koriste za zaštitu obrađenih podataka ili mogućnost prekida takve enkripcije; ili (c) pristup obrađenim podacima ako je ClubCard svjestan da će se podaci koristiti u svrhe koje nisu navedene u zahtjevu treće strane.

Kao potporu gore navedenom, ClubCard može pružiti osnovne podatke za kontakt kupca trećoj strani.

Obrada osobnih podataka; GDPR

Svi osobni podaci koje ClubCard obrađuje u vezi s internetskim uslugama dobivaju se ili kao podaci kupaca, kao dijagnostički podaci ili kao podaci generirani uslugom. Osobni podaci koje je ClubCard dostavio kupac ili kupac u njegovo ime putem korištenja mrežne usluge ujedno su i podaci kupca. Pseudonimizirani identifikatori mogu biti uključeni u dijagnostičke podatke ili podatke generirane uslugom, a ujedno su i osobni podaci. Svi osobni podaci pseudonimizirani ili odznačeni, ali ne i anonimni, ili osobni podaci izvedeni iz osobnih podataka ujedno su i osobni podaci.

U mjeri u kojoj je ClubCard obrađivač ili potprocesor osobnih podataka koji podliježu GDPR-u, GDPR-ovi uvjeti u Prilogu 2. uređuju da obrada i stranke također pristaju na sljedeće uvjete u ovom pododjeljku („Obrada osobnih podataka; GDPR“) :

Uloge i odgovornosti procesora i kontrolera

Kupac i ClubCard slažu se da je Kupac upravljač osobnim podacima, a ClubCard obrađivač takvih podataka, osim (a) kada Kupac djeluje kao obrađivač osobnih podataka, u tom je slučaju ClubCard podprocesor; ili (b) kako je drugačije navedeno u Odredbama o internetskim uslugama ili ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard. Kada ClubCard djeluje kao obrađivač ili podprocesor osobnih podataka, obrađivat će osobne podatke samo prema dokumentiranim uputama kupca. Kupac se slaže da su njegov ugovor o licenciranju (uključujući uvjete Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i sva primjenjiva ažuriranja), zajedno s dokumentacijom proizvoda te korisnikovom uporabom i konfiguracijom značajki na mrežnim uslugama, cjelovite dokumentirane upute kupca ClubCard za obradu osobnih podataka. Sve dodatne ili zamjenske upute moraju se usuglasiti u skladu s postupkom izmjene i dopune Ugovora o licenciranju kupca. U svakom slučaju kada se primjenjuje GDPR, a Kupac je obrađivač, Kupac jamči ClubCard da je odgovarajuće upravljačko tijelo odobrio upute Kupca, uključujući imenovanje ClubCard kao procesora ili podprocesora.

U mjeri u kojoj ClubCard upotrebljava ili na neki drugi način obrađuje Osobne podatke koji podliježu GDPR-u za legitimno poslovanje tvrtke ClubCard u slučaju isporuke mrežnih usluga kupcu, ClubCard će poštivati obveze neovisnog kontrolora podataka prema GDPR-u za takvu upotrebu. ClubCard prihvaća dodatne odgovornosti "kontrolora" podataka prema GDPR-u za obradu u vezi s njegovim legitimnim poslovnim operacijama kako bi: (a) djelovao u skladu s regulatornim zahtjevima, u mjeri koja je propisana GDPR-om; i (b) pružiti povećanu transparentnost kupcima i potvrditi ClubCard odgovornost za takvu obradu. ClubCard upotrebljava zaštitne mjere za zaštitu podataka kupaca i osobnih podataka u obradi, uključujući one identificirane u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard i one predviđene u članku 6. stavku 4. GDPR-a. Što se tiče obrade osobnih podataka prema ovom stavku, ClubCard preuzima obveze navedene u Dodatku 3 Prilogu 1 - Standardne ugovorne klauzule (Obrađivači) Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard; u te svrhe, (i) svako otkrivanje osobnih podataka tvrtke ClubCard, kako je opisano u Dodatku 3, koje je preneseno u vezi s legitimnim poslovanjem ClubCard, smatra se "Relevantnim otkrivanjem" i (ii) obveze iz tog Dodatka 3 primjenjuju se na takve Osobne podatke.

Obrada pojedinosti

Stranke priznaju i slažu se da:

• Tema. Predmet obrade ograničen je na Osobne podatke u okviru odjeljka ovog Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard pod naslovom „Priroda obrade podataka; Vlasništvo“ vidi gore i GDPR.

• Trajanje obrade. Trajanje obrade mora biti u skladu s uputama kupca i uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard.

• Priroda i svrha obrade. Priroda i svrha obrade bit će pružanje internetske usluge u skladu s kupčevim ugovorom o licenciranju i legitimnog poslovanja ClubCard u vezi s isporukom mrežne usluge kupcu (kao što je dalje opisano u odjeljku ovog Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard pod naslovom "Priroda obrade podataka; Vlasništvo" vidi gore).

• Kategorije podataka. Vrste osobnih podataka koje obrađuje ClubCard prilikom pružanja mrežne usluge uključuju: (i) osobne podatke koje kupac odluči uključiti u podatke kupaca; i (ii) one izričito identificirane u članku 4. GDPR-a koje mogu biti sadržane u dijagnostičkim podacima ili podacima generiranim uslugom. Vrste Osobnih podataka koje Kupac odluči uključiti u Kupčeve podatke mogu biti bilo koje kategorije Osobnih podataka identificirane u evidencijama koje Kupac vodi kao kontrolor u skladu s člankom 30. GDPR-a, uključujući kategorije Osobnih podataka izloženih u Dodatku 1. Prilogu 1. - Standardne ugovorne klauzule (obrađivači) DPA-a.

• Predmeti podataka. Kategorije subjekata podataka su kupčevi predstavnici i krajnji korisnici, kao što su zaposlenici, izvođači, suradnici i kupci, a mogu uključivati bilo koje druge kategorije subjekata podataka identificirane u evidencijama koje Kupac vodi kao kontrolor u skladu s člankom 30. GDPR-a, uključujući kategorije subjekata podataka izložene u Dodatku 1. Prilogu 1. - Standardne ugovorne klauzule (Obrađivači) Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard.

Prava subjekta podataka; Pomoć oko zahtjeva

ClubCard će kupcu na način koji je u skladu s funkcionalnošću internetske usluge i ulogom ClubCard kao obrađivača osobnih podataka subjekata podataka učiniti dostupnim mogućnost ispunjavanja zahtjeva subjekta podataka za ostvarivanje njihovih prava prema GDPR-u. Ako ClubCard primi zahtjev od Kupčevog subjekta podataka za ostvarivanje jednog ili više njegovih prava iz GDPR-a u vezi s internetskom uslugom za koju je ClubCard obrađivač podataka ili podprocesor, ClubCard će preusmjeriti subjekt podataka kako bi zahtjev uputio izravno kupcu. Kupac će biti odgovoran za odgovor na svaki takav zahtjev, uključujući, po potrebi, upotrebu funkcionalnosti mrežne usluge. ClubCard će se udovoljiti razumnim zahtjevima Kupca za pomoć u odgovoru Kupca na takav zahtjev subjekta podataka.

Evidencija o prerađivačkim aktivnostima

U mjeri u kojoj GDPR zahtijeva da ClubCard prikuplja i održava evidenciju određenih podataka koji se odnose na Kupca, Kupac će, kad se to zatraži, dostaviti takve informacije ClubCard i održavati ih točnim i ažuriranim. ClubCard može nadzornim tijelima staviti na raspolaganje bilo koje takve informacije ako to zahtijeva GDPR.

Sigurnost podataka

Sigurnosne prakse i politike

ClubCard će provesti i održavati odgovarajuće tehničke i organizacijske mjere za zaštitu podataka i osobnih podataka kupaca od slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili obrađuju na drugi način. Te mjere iznijet će se u ClubCard sigurnosnoj politici. ClubCard će te politike staviti na raspolaganje Kupcu, zajedno s opisima sigurnosnih kontrola na mreži za Online uslugu i ostalim informacijama koje Kupac razumno traži u vezi s ClubCard sigurnosnim praksama i politikama.

Uz to, te mjere moraju biti u skladu sa zahtjevima utvrđenim u ISO 27001, ISO 27002 i ISO 27018. Svaka temeljna internetska usluga također je u skladu s nadzornim standardima i okvirima Uvjeta korištenja za Online Services (ili mjestu nasljednika u Korisnička prava) i provodi i održava sigurnosne mjere navedene u Dodatku A radi zaštite podataka kupaca.

ClubCard može dodati industrijske ili državne standarde u bilo kojem trenutku. ClubCard neće eliminirati ISO 27001, ISO 27002, ISO 27018 ili standarde ili okvire u tablici u Privitku 1. Uvjeta korištenja za Online Services (ili mjesto nasljednika u Korisničkim pravima), osim ako se više ne koristi u industriji i ako se zamijeni s nasljednikom (ako postoji).

Šifriranje podataka

Podaci kupaca (uključujući bilo koje osobne podatke u njima) u prijenosu putem javnih mreža između Kupca i ClubCard ili između ClubCard podatkovnih centara, prema zadanim su postavkama šifrirani.

ClubCard također šifrira podatke o kupcima pohranjene u mirovanju u internetskim uslugama. U slučaju internetskih usluga na kojima kupac ili treća strana koja djeluje u ime kupca može graditi aplikacije, šifriranje podataka pohranjenih u takvim aplikacijama može se koristiti prema nahođenju kupca, koristeći bilo koju mogućnost koju pruža ClubCard ili ga je kupac pribavio od trećih strana.

Pristup podacima

ClubCard koristi mehanizme pristupa s najmanjim privilegijama za kontrolu pristupa korisničkim podacima (uključujući i sve osobne podatke u njima). Za osnovne mrežne usluge ClubCard održava mehanizme kontrole pristupa koji su opisani u tablici pod nazivom „Sigurnosne mjere” u Dodatku 1 - Obavijesti, a ClubCard osoblje nema stalni pristup podacima kupaca. Kontrole pristupa zasnovane na ulogama koriste se kako bi se osiguralo da je pristup korisničkim podacima potrebnim za servisne radnje u odgovarajuću svrhu, na ograničeno vrijeme i odobren uz dodatan nadzor.

Odgovornosti kupaca

Kupac je jedini odgovoran za neovisno utvrđivanje ispunjavaju li tehničke i organizacijske mjere za internetsku uslugu zahtjeve Kupca, uključujući bilo koju od njegovih sigurnosnih obveza prema važećim Zahtjevima za zaštitu podataka. Kupac prihvaća i suglasan je da se (uzimajući u obzir stanje tehnike, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade njegovih Osobnih podataka, kao i rizike za pojedince) provode sigurnosne prakse i politike i koje održava ClubCard pružaju razinu sigurnosti koja odgovara riziku u pogledu njegovih Osobnih podataka. Kupac je odgovoran za primjenu i održavanje zaštite privatnosti i sigurnosnih mjera za komponente koje Kupac pruža ili kontrolira (kao što su uređaji ili unutar virtualnog stroja ili aplikacije klijenta Kupca).

Sukladnost s revizijom

ClubCard će provesti reviziju sigurnosti računala, računalnog okruženja i fizičkih centara podataka koje koristi u obradi podataka o kupcima i osobnih podataka, kako slijedi:

• Tamo gdje standard ili okvir predviđaju revizije, revizija takvog kontrolnog standarda ili okvira započet će najmanje jednom godišnje.

• Svaka revizija provest će se u skladu sa standardima i pravilima regulatornog ili akreditacijskog tijela za svaki primjenjivi kontrolni standard ili okvir.

• Svaku će reviziju provoditi kvalificirani, neovisni nezavisni revizori sigurnosti po izboru i trošku ClubCard.

Svaka revizija rezultirat će generiranjem izvješća o reviziji ("ClubCard Audit Report"). Izvješće o reviziji ClubCard bit će povjerljive informacije tvrtke ClubCard i jasno će otkriti sve materijalne nalaze revizora. ClubCard će odmah sanirati probleme pokrenute u bilo kojem izvješću o reviziji ClubCard na zadovoljstvo revizora. Ako kupac zatraži, ClubCard će mu dostaviti svako izvješće o reviziji tvrtke ClubCard. Izvješće o reviziji ClubCard podložit će se ograničenjima neotkrivanja i distribucije ClubCard i revizora.

U mjeri u kojoj se kupčevi zahtjevi za revizijom prema Standardnim ugovornim klauzulama ili Zahtjevima za zaštitu podataka ne mogu razumno zadovoljiti izvješćima o reviziji, dokumentacijom ili informacijama o usklađenosti koje ClubCard čini općenito dostupnima svojim kupcima, ClubCard će odmah odgovoriti na dodatne upute kupca. Prije početka revizije, kupac i ClubCard međusobno će se dogovoriti o opsegu, vremenu, trajanju, zahtjevima za kontrolom i dokazima i naknadama za reviziju, pod uvjetom da ovaj zahtjev za pristanak neće dopustiti ClubCard da nerazumno odgađa izvršenje revizije. U mjeri koja je potrebna za obavljanje revizije, ClubCard će učiniti dostupnim sustave za obradu, uređaje i prateću dokumentaciju relevantnu za obradu korisničkih podataka i osobnih podataka od strane ClubCard, njegovih povezanih društava i njegovih podprocesora. Takvu će reviziju provoditi neovisna, akreditirana nezavisna revizorska kuća, tijekom redovnog radnog vremena, uz razumnu prethodnu najavu ClubCard i podložnu razumnim postupcima povjerljivosti. Niti kupac niti revizor neće imati pristup bilo kojim podacima ClubCard drugih kupaca ili ClubCard sustavima ili objektima koji nisu uključeni u mrežne usluge. Kupac je odgovoran za sve troškove i naknade povezane s takvom revizijom, uključujući sve razumne troškove i naknade za bilo koje vrijeme koje ClubCard troši za bilo koju takvu reviziju, uz cijene za usluge koje obavlja ClubCard. Ako izvješće o reviziji generirano kao rezultat kupčeve revizije uključuje bilo koji nalaz materijalne neusklađenosti, Kupac će podijeliti takvo izvješće s ClubCard i ClubCard će odmah otkloniti svaku materijalnu nesukladnost.

Ako se primjenjuju Standardne ugovorne klauzule, tada je ovaj odjeljak dodatak klauzuli 5 stavku f i Klauzuli 12 stavku 2 Standardnih ugovornih klauzula. Ništa u ovom odjeljku Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard ne mijenja niti modificira Standardne ugovorne klauzule ili GDPR uvjete niti utječe na prava bilo kojeg nadzornog tijela ili subjekta podataka prema Standardnim ugovornim klauzulama ili Zahtjevima zaštite podataka. ClubCard namijenjen je trećoj strani korisnika ovog odjeljka.

Obavijest o sigurnosnom incidentu

Ako ClubCard sazna za kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništavanja, gubitka, promjene, neovlaštenog otkrivanja ili pristupa podacima o kupcima ili osobnim podacima dok ih ClubCard obrađuje (svaki od njih "sigurnosni incident"), ClubCard će odmah i bez nepotrebnog odgađanja (1) obavijestiti kupca o sigurnosnom incidentu; (2) istražiti sigurnosni incident i pružiti kupcu detaljne informacije o sigurnosnom incidentu; (3) poduzeti razumne korake za ublažavanje učinaka i minimiziranje štete koja proizlazi iz sigurnosnog incidenta.

Obavijesti o sigurnosnim incidentima dostavit će se jednom ili više korisnikovih administratora na bilo koji način koji ClubCard odabere, uključujući e-poštu. Na kupcu je isključiva odgovornost osigurati da kupčevi administratori održavaju točne kontaktne podatke na svakom primjenjivom portalu mrežnih usluga. Kupac je isključivo odgovoran za poštivanje svojih obveza prema zakonima o obavijesti o incidentima koji se primjenjuju na Kupca i ispunjavanje svih obveza trećih strana u vezi s bilo kojim sigurnosnim incidentom.

ClubCard će uložiti razumne napore da pomogne Kupcu u ispunjavanju kupčeve obveze prema članku 33. GDPR-a ili drugom primjenjivom zakonu ili propisu da obavijesti nadležno nadzorno tijelo i subjekte podataka o takvom sigurnosnom incidentu.

Obavijest ClubCard o sigurnosnom incidentu ili odgovor na njega iz ovog odjeljka nije ClubCard priznavanje bilo kakve greške ili odgovornosti u vezi sa sigurnosnim incidentom.

Kupac mora odmah obavijestiti ClubCard o svakoj mogućoj zlouporabi njegovih računa ili vjerodajnica za provjeru autentičnosti ili bilo kojem sigurnosnom incidentu povezanom s mrežnom uslugom.

Prijenosi podataka i lokacija

Prijenosi podataka

Podaci kupaca i osobni podaci koje ClubCard obrađuje u ime Kupca ne smiju se prenositi, niti pohranjivati i obrađivati na zemljopisnom položaju, osim u skladu s uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i zaštitnim mjerama navedenim u nastavku u ovom odjeljku. Uzimajući u obzir takve zaštitne mjere, Kupac imenuje ClubCard za prijenos korisničkih podataka i osobnih podataka u bilo koju zemlju u kojoj ClubCard ili njegovi podprocesori djeluju te za pohranu i obradu podataka i osobnih podataka kupaca za pružanje mrežnih usluga, osim kako je opisano negdje drugdje u uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard.

Svi prijenosi podataka o kupcima i osobnih podataka izvan Europske unije, Europskog gospodarskog prostora, Ujedinjenog Kraljevstva i Švicarske radi pružanja internetskih usluga uređivat će se standardnim ugovornim klauzulama u privitku 2.

ClubCard će se pridržavati zahtjeva Europskog gospodarskog prostora i švicarskog zakona o zaštiti podataka u vezi sa prikupljanjem, korištenjem, prijenosom, zadržavanjem i drugom obradom osobnih podataka iz Europskog gospodarskog prostora, Ujedinjenog Kraljevstva i Švicarske. Svi prijenosi osobnih podataka u treću zemlju ili međunarodnu organizaciju podložit će se odgovarajućim zaštitnim mjerama kako je opisano u članku 46. GDPR-a, a takvi će se prijenosi i zaštitni dokumenti dokumentirati u skladu s člankom 30. stavkom 2. GDPR-a.

Mjesto podataka kupaca u mirovanju

Za Osnovne internetske usluge ClubCard će pohraniti podatke o kupcima u miru u određenim glavnim zemljopisnim područjima (svako, Geo) kako je navedeno u Privitku 1 Uvjeta korištenja za Online Services (ili mjestu nasljednika u Korisničkim pravima).

ClubCard ne kontrolira niti ograničava regije iz kojih Kupac ili krajnji korisnici mogu pristupiti ili premjestiti Kupčeve podatke.

Zadržavanje i brisanje podataka

U svakom trenutku tijekom razdoblja pretplate Kupca, Kupac će imati mogućnost pristupa, izdvajanja i brisanja korisničkih podataka pohranjenih u svakoj internetskoj usluzi.

ClubCard će zadržati Kupčeve podatke koji ostaju pohranjeni u internetskim uslugama na računu s ograničenom funkcijom 90 dana nakon isteka ili prestanka pretplate Kupca kako bi Kupac mogao izdvojiti podatke. Nakon završetka 90-dnevnog razdoblja zadržavanja, ClubCard će onemogućiti račun Kupca i izbrisati Korisničke podatke i Osobne podatke u dodatnih 90 dana, osim ako ClubCard ne dopušta ili ne zahtijeva mjerodavni zakon ili ovlasti prema ovom Zakonu o zaštiti podataka da zadrži takve podatke.

Internetska usluga možda neće podržati zadržavanje ili izdvajanje softvera koji nudi kupac. ClubCard ne snosi odgovornost za brisanje korisničkih podataka ili osobnih podataka kako je opisano u ovom odjeljku.

Obveza povjerljivosti procesora

ClubCard će osigurati da njegovo osoblje angažirano na obradi korisničkih podataka i osobnih podataka (i) obrađuje takve podatke samo prema uputama kupca ili kako je opisano u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard, i (ii) biti će dužan održavati povjerljivost i sigurnost takvih podataka čak i nakon završetka njihove suradnje. ClubCard će pružiti povremene i obvezne obuke o privatnosti i sigurnosti podataka i osvještavanje svojih zaposlenika o pristupu podacima kupaca i osobnim podacima u skladu s primjenjivim zahtjevima za zaštitu podataka i industrijskim standardima.

Obavijest i kontrole upotrebe podprocesora

ClubCard može angažirati podprocesore za pružanje određenih ograničenih ili pomoćnih usluga u njegovo ime. Kupac pristaje na ovaj angažman i na ClubCard podružnice kao podprocesore. Gore navedena odobrenja predstavljat će prethodnu pisanu suglasnost Kupca za obradu korisničkih podataka i osobnih podataka od strane ClubCard u podugovaranju ako je takav pristanak potreban prema Standardnim ugovornim odredbama ili uvjetima GDPR-a.

ClubCard je odgovoran za poštivanje svojih podprocesorskih ClubCard obveza iz ovog Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard. ClubCard daje informacije o podprocesorima na ClubCard web mjestu. Prilikom angažiranja bilo kojeg podprocesora, ClubCard će pisanim ugovorom osigurati da podprocesor može pristupiti i koristiti podatke kupaca ili osobne podatke samo za pružanje usluga koje je ClubCard zadržao za pružanje i zabranjeno je korištenje podataka kupaca ili osobnih podataka u bilo koju drugu svrhu. ClubCard će osigurati da podprocesore obvezuju pisani sporazumi koji od njih zahtijevaju pružanje najmanje razine zaštite podataka koju Dodatak o zaštiti podataka internetskih usluga tvrtke ClubCard zahtijeva od ClubCard, uključujući ograničenja na otkrivanje obrađenih podataka. ClubCard se slaže da će nadgledati podprocesore kako bi osigurao ispunjavanje ovih ugovornih obveza.

Povremeno ClubCard može angažirati nove podprocesore. ClubCard će kupca obavijestiti (ažuriranjem web mjesta i pružanjem mu mehanizma za dobivanje obavijesti o tom ažuriranju) o bilo kojem novom podprocesoru najmanje 6 mjeseci prije pružanja tog podprocesora pristupu podacima kupaca. Osim toga, ClubCard će kupca obavijestiti (ažuriranjem web mjesta i pružanjem mu mehanizma za dobivanje obavijesti o tom ažuriranju) o bilo kojem novom podprocesoru najmanje 30 dana prije pružanja tom podprocesoru pristupa osobnim podacima koji nisu oni koji su sadržani u podacima o kupcima. Ako ClubCard angažira novog podprocesora za novu internetsku uslugu, ClubCard će obavijestiti kupca prije dostupnosti te internetske usluge.

Ako Kupac ne odobri novog podprocesora, tada Kupac može raskinuti bilo koju pretplatu na internetsku uslugu na koju se to odnosi, bez kazne, pružanjem pisane obavijesti o prekidu prije isteka odgovarajućeg razdoblja obavijesti. Kupac također može uključiti objašnjenje razloga za neodobravanje, zajedno s obavijesti o raskidu, kako bi omogućio ClubCard da ponovno procijeni bilo koji takav novi podprocesora na temelju primjenjive problematike. Ako je mrežna usluga na koju se odnosi dio paketa (ili slične pojedinačne kupnje usluga), tada će se bilo koji raskid primijeniti na cijeli paket. Nakon raskida, ClubCard će ukloniti obveze plaćanja za sve pretplate na ukinutu internetsku uslugu iz naknadnih računa kupcu ili njegovom prodavaču.

Zakon o privatnosti potrošača u Kaliforniji (CCPA)

Ako ClubCard obrađuje osobne podatke u okviru CCPA-e, ClubCard preuzima sljedeće dodatne obveze prema Kupcu. ClubCard će obrađivati podatke o kupcima i osobne podatke u ime kupca i neće ih zadržati, koristiti ili otkriti u bilo koje druge svrhe osim u svrhe utvrđene uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard i kao što je dopušteno CCPA-om, uključujući bilo koje izuzeće "prodaje". ClubCard ni u kojem slučaju neće prodati takve podatke. Ovi CCPA uvjeti ne ograničavaju niti smanjuju bilo kakve obveze zaštite podataka koje ClubCard preuzima od Kupca u uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard, pravima korištenja ili drugim ugovorima između ClubCard i Kupca.

Biometrijski podaci

Ako kupac koristi internetsku uslugu za obradu biometrijskih podataka, kupac je odgovoran za: (i) pružanje obavijesti subjektima podataka, uključujući s obzirom na razdoblja čuvanja i uništavanja; (ii) dobivanje pristanka od subjekata podataka; i (iii) brisanje biometrijskih podataka, sve prema potrebi i prema važećim Zahtjevima za zaštitu podataka. ClubCard će obrađivati te biometrijske podatke slijedeći dokumentirane upute Kupca (kao što je opisano u gore navedenom odjeljku "Uloge i odgovornosti procesora i kontrolera") i zaštititi te biometrijske podatke u skladu s uvjetima zaštite podataka i zaštite prema ovom Zakonu o zaštiti podataka. U svrhe ovog odjeljka, "Biometrijski podaci" imat će značenje utvrđeno u članku 4. GDPR-a i, ako je primjenjivo, ekvivalentne izraze u ostalim zahtjevima za zaštitu podataka.

Kako kontaktirati ClubCard

Ako kupac vjeruje da se ClubCard ne pridržava svojih privatnih ili sigurnosnih obveza, kupac se može obratiti korisničkoj podršci. ClubCard poštanska adresa je:

Naziv tvrtke i adresa

Dodatak A - Sigurnosne mjere

ClubCard je implementirao i održat će za Korisničke podatke u Osnovnim internetskim uslugama sljedeće sigurnosne mjere koje su, zajedno sa sigurnosnim obvezama u ovom Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard (uključujući GDPR uvjete), ClubCard jedina odgovornost u pogledu sigurnosti tih podataka.

Domena - Prakse

Organizacija sigurnosti informacija

Nadležnost nad sigurnošću. ClubCard je imenovao jednog ili više sigurnosnih službenika odgovornih za koordinaciju i nadzor sigurnosnih pravila i postupaka.

Sigurnosne uloge i odgovornosti. ClubCard osoblje s pristupom podacima o kupcima podliježe obvezama povjerljivosti.

Program upravljanja rizikom. ClubCard je izvršio procjenu rizika prije obrade podataka kupaca ili pokretanja usluge internetskih usluga.

ClubCard zadržava svoje sigurnosne dokumente u skladu sa svojim zahtjevima za zadržavanje nakon što više ne vrijede.

Upravljanje imovinom

Popis imovine. ClubCard održava popis svih medija na kojima se pohranjuju podaci o kupcima. Pristup popisima takvih medija ograničen je na osoblje ClubCard koje je pismeno ovlašteno za takav pristup.

Rukovanje imovinom:

- ClubCard klasificira podatke o kupcima kako bi ih identificirao i omogućio da im se na odgovarajući način ograniči pristup.

- ClubCard nameće ograničenja na ispis Korisničkih podataka i ima postupke za odlaganje tiskanih materijala koji sadrže Kupčeve podatke.

- ClubCard osoblje mora dobiti ClubCard ovlaštenje prije spremanja podataka kupaca na prijenosne uređaje, daljinskog pristupa podacima kupaca ili obrade podataka kupaca izvan ClubCard objekata.

Obuka ljudskih resursa

Trening o sigurnosti. ClubCard informira svoje osoblje o relevantnim sigurnosnim postupcima i njihovim ulogama. ClubCard također informira svoje osoblje o mogućim posljedicama kršenja sigurnosnih pravila i postupaka. ClubCard će anonimne podatke koristiti samo u obuci.

Fizička sigurnost i sigurnost okoliša

Fizički pristup objektima. ClubCard ograničava pristup objektima u kojima se nalaze informacijski sustavi koji obrađuju Kupčeve podatke na ovlaštene osobe.

Fizički pristup komponentama. ClubCard održava evidenciju dolaznih i odlaznih medija koji sadrže podatke o kupcima, uključujući vrstu medija, ovlaštenog pošiljatelja / primatelja, datum i vrijeme, broj medija i vrste podataka o kupcima koje sadrže.

Zaštita od poremećaja. ClubCard koristi razne industrijske standardne sustave kako bi se zaštitio od gubitka podataka uslijed prekida napajanja ili smetnji u liniji.

Zbrinjavanje komponenata. ClubCard koristi industrijske standardne procese za brisanje korisničkih podataka kada više nisu potrebni.

Upravljanje komunikacijama i operacijama

Operativna politika. ClubCard održava sigurnosne dokumente koji opisuju svoje sigurnosne mjere i relevantne postupke i odgovornosti svog osoblja koje ima pristup podacima o kupcima.

Postupci oporavka podataka

- Stalno, ali ni u kojem slučaju rjeđe od jednom tjedno (osim ako tijekom tog razdoblja nije ažuriran nijedan korisnički podatak), ClubCard zadržava višestruke kopije korisničkih podataka iz kojih se mogu povratiti korisnički podaci.

- ClubCard pohranjuje kopije podataka o kupcima i postupke oporavka podataka na mjesto koje se razlikuje od mjesta gdje se nalazi primarna računalna oprema koja obrađuje podatke o kupcima.

- ClubCard ima posebne postupke koji reguliraju pristup kopijama korisničkih podataka.

- ClubCard pregledava postupke oporavka podataka najmanje svakih šest mjeseci.

- ClubCard bilježi napore za obnavljanje podataka, uključujući odgovornu osobu, opis obnovljenih podataka i, gdje je primjenjivo, odgovornu osobu i koji su se podaci (ako postoje) morali ručno unositi u postupak oporavka podataka.

Zlonamjerni softver. ClubCard ima kontrole za zaštitu od zlonamjernog softvera kako bi izbjegao neovlašten pristup zlonamjernom softveru do korisničkih podataka, uključujući zlonamjerni softver koji potječe iz javnih mreža.

Podaci izvan granica

- ClubCard šifrira ili omogućuje kupcu šifriranje podataka o kupcu koji se prenose javnim mrežama.

- ClubCard ograničava pristup korisničkim podacima u medijima koji napuštaju njegove sadržaje.

Zapisivanje događaja. ClubCard bilježi ili omogućuje Kupcu prijavu, pristup i upotrebu informacijskih sustava koji sadrže Kupčeve podatke, registraciju pristupnog ID-a, vrijeme, odobreno ili odbijeno odobrenje i relevantne aktivnosti.

Kontroli pristupa

Politika pristupa. ClubCard održava evidenciju sigurnosnih privilegija pojedinaca koji imaju pristup podacima kupaca.

Odobrenje pristupa

- ClubCard održava i ažurira evidenciju osoblja ovlaštenog za pristup ClubCard sustavima koji sadrže Kupčeve podatke.

- ClubCard deaktivira vjerodajnice za provjeru autentičnosti koje se nisu koristile duže od šest mjeseci.

- ClubCard identificira osoblje koje može odobriti, izmijeniti ili otkazati ovlašteni pristup podacima i resursima.

- ClubCard osigurava da tamo gdje više osoba ima pristup sustavima koji sadrže Kupčeve podatke, osobe imaju zasebne identifikatore / prijave.

Najmanja privilegija

- Osoblju tehničke podrške dopušten je pristup podacima kupaca samo kada je to potrebno.

- ClubCard ograničava pristup korisničkim podacima samo onim osobama kojima je takav pristup potreban za obavljanje njihove funkcije posla.

Integritet i povjerljivost

- ClubCard upućuje ClubCard osoblje da onemogući administrativne sesije kada napuštaju ClubCard kontrole ili kada računala na drugi način ostaju bez nadzora.

- ClubCard pohranjuje lozinke na način koji ih čini nerazumljivima dok su na snazi.

Ovjera

- ClubCard koristi industrijske standardne prakse za identificiranje i provjeru autentičnosti korisnika koji pokušavaju pristupiti informacijskim sustavima.

- Tamo gdje se mehanizmi provjere autentičnosti temelje na lozinkama, ClubCard zahtijeva redovito obnavljanje lozinki.

- Ako se mehanizmi provjere autentičnosti temelje na lozinkama, ClubCard zahtijeva da lozinka sadrži najmanje osam znakova.

- ClubCard osigurava da se deaktivirani ili istekli identifikatori ne daju drugim osobama.

- ClubCard nadzire ili omogućava kupcu nadzor, ponovljene pokušaje pristupa informacijskom sustavu pomoću nevažeće lozinke.

- ClubCard održava industrijske standardne postupke za deaktiviranje lozinki koje su oštećene ili nenamjerno otkrivene.

- ClubCard koristi industrijske standardne prakse zaštite lozinkom, uključujući prakse dizajnirane za održavanje povjerljivosti i integriteta lozinki kada se dodijele i distribuiraju, te tijekom pohrane.

Dizajn mreže. ClubCard ima kontrole kako bi izbjegavao pojedince koji preuzimaju prava pristupa kojima nisu dodijeljeni za pristup korisničkim podacima kojima nisu ovlašteni.

Upravljanju incidentima s informacijskom sigurnošću

Proces odgovora na incidente

- ClubCard vodi evidenciju sigurnosnih propusta s opisom kršenja, vremenskim razdobljem, posljedicama kršenja, imenom izvjestitelja i kome je prijavljena povreda te postupak oporavka podataka.

- Za svaku sigurnosnu povredu koja predstavlja sigurnosni incident, ClubCard će obavijest (kao što je opisano u prethodnom odjeljku "Obavijest o sigurnosnom incidentu") biti poslana bez nepotrebnog odgađanja, a u svakom slučaju u roku od 72 sata.

- ClubCard prati ili omogućava kupcu praćenje otkrivanja korisničkih podataka, uključujući podatke koji su otkriveni, kome i u koje vrijeme.

Nadzor usluge. ClubCard sigurnosno osoblje provjerava zapisnike najmanje svakih šest mjeseci kako bi predložilo napore za sanaciju ako je potrebno.

Upravljanje kontinuitetom poslovanja

- ClubCard održava planove za hitne slučajeve i nepredviđene slučajeve za postrojenja u kojima se nalaze ClubCard informacijski sustavi koji obrađuju Kupčeve podatke.

- ClubCard istovremena pohrana i njezini postupci za oporavak podataka osmišljeni su tako da pokušaju rekonstruirati korisničke podatke u izvornom ili posljednjem repliciranom stanju prije vremena kada su izgubljeni ili uništeni.

Prilog 1 - Standardne ugovorne klauzule (obrađivači)

Izvršenje ugovora o licenciranju od strane Kupca uključuje izvršenje ovog Priloga 1, koji je supotpisao ClubCard.

U zemljama u kojima je regulatorno odobrenje potrebno za upotrebu Standardnih ugovornih klauzula, Europska komisija 2010/87 / EU (od veljače 2010.) ne može se pouzdati u standardne ugovorne klauzule kako bi ozakonila izvoz podataka iz zemlje, osim ako Kupac za podatke nema potrebno regulatorno odobrenje.

Počevši od 01. siječnja 2024, i nakon toga, reference na različite članke iz Direktive 95/46 / EZ u Standardnim ugovornim odredbama u nastavku bit će tretirane kao reference na relevantne i odgovarajuće članke u GDPR-u.

U svrhu članka 26. stavka 2. Direktive 95/46 / EZ za prijenos osobnih podataka obrađivačima sa sjedištem u trećim zemljama koji ne osiguravaju odgovarajuću razinu zaštite podataka, Kupac (kao izvoznik podataka) i ClubCard (kao uvoznik podataka, čiji se potpis pojavljuje u nastavku), svaka „stranka“, zajedno „stranke“, dogovorile su se o sljedećim ugovornim klauzulama („klauzule“ ili „standardne ugovorne klauzule“) kako bi uvele odgovarajuće zaštitne mjere u odnosu na zaštita privatnosti i temeljnih prava i sloboda pojedinaca za prijenos osobnih podataka od strane izvoznika podataka uvozniku podataka navedenim u Dodatku 1.

Klauzula 1: Definicije

(a) "osobni podaci", "posebne kategorije podataka", "postupak / obrada", "voditelj obrade", "obrađivač", "subjekt podataka" i "nadzorno tijelo" imaju isto značenje kao u Direktivi 95/46 / EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u pogledu obrade osobnih podataka i o slobodnom kretanju takvih podataka;

(b) „izvoznik podataka” znači voditelj obrade koji prenosi osobne podatke;

(c) „uvoznik podataka” znači obrađivač koji pristaje primiti od izvoznika podataka osobne podatke namijenjene obradi u njegovo ime nakon prijenosa u skladu s njegovim uputama i uvjetima klauzula i koji ne podliježe sustavu treće zemlje koji osigurava odgovarajuću zaštitu u smislu članka 25. stavka 1. Direktive 95/46 / EZ;

(d) „podprocesor” znači bilo koji obrađivač koji angažira uvoznik podataka ili bilo koji drugi podprocesor uvoznika podataka koji pristaje primiti osobne podatke od uvoznika podataka ili bilo kojeg drugog podprocesora uvoznika podataka koji su isključivo namijenjeni aktivnostima obrade provodi se u ime izvoznika podataka nakon prijenosa u skladu s njegovim uputama, uvjetima klauzula i uvjetima pismenog podugovora;

(e) „mjerodavni zakon o zaštiti podataka” znači zakon koji štiti temeljna prava i slobode pojedinaca, a posebno njihovo pravo na privatnost u pogledu obrade osobnih podataka koji se primjenjuje na voditelja obrade podataka u državi članici u kojoj je uspostavljen izvoznik podataka;

(f) „tehničke i organizacijske sigurnosne mjere” označavaju one mjere usmjerene na zaštitu osobnih podataka od slučajnog ili nezakonitog uništavanja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže i protiv svih drugih nezakonitih oblika obrade.

Klauzula 2: Pojedinosti o prijenosu

Pojedinosti o prijenosu, a posebno posebne kategorije osobnih podataka, gdje je to primjenjivo, navedene su u Dodatku 1. u nastavku koji čini sastavni dio klauzula.

Klauzula 3: Klauzula o trećim stranama

1. Subjekt podataka može primijeniti protiv izvoznika podataka ovu klauzulu, klauzulu 4 (b) do (i), klauzulu 5 (a) do (e) i (g) do (j), klauzulu 6 (1) i ( 2), klauzula 7, klauzula 8 (2) i klauzule 9 do 12 kao korisnik treće strane.

2. Subjekt podataka može protiv uvoznika podataka izvršiti ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12, u slučajevima kada izvoznik podataka faktički je nestao ili je prestao postojati u zakonu, osim ako bilo koji pravni subjekt ugovorom ili po zakonu ne preuzme sve zakonske obveze izvoznika podataka, uslijed čega preuzima prava i obveze izvoznika podataka , u tom slučaju ih subjekt podataka može prisiliti protiv takvog entiteta.

3. Subjekt podataka može izvršiti protiv podprocesora ovu klauzulu, klauzulu 5 (a) do (e) i (g), klauzulu 6, klauzulu 7, klauzulu 8 (2) i klauzule 9 do 12, u slučajevima kada oba izvoznik podataka i uvoznik podataka faktički su nestali ili su prestali postojati u zakonu ili su postali nesolventni, osim ako bilo koji pravni subjekt ugovorom ili po zakonu ne preuzme sve zakonske obveze izvoznika podataka uslijed kojih preuzima prava i obveze izvoznika podataka, u kojem ih slučaju subjekt podataka može izvršiti protiv takvog entiteta. Takva odgovornost trećih strana podprocesora bit će ograničena na vlastite postupke obrade prema klauzulama.

4. Stranke se ne protive da subjekta podataka predstavlja udruženje ili neko drugo tijelo ako subjekt podataka to izričito želi i ako to dopušta nacionalni zakon.

Klauzula 4: Obveze izvoznika podataka

Izvoznik podataka slaže se i jamči:

(a) da se obrada, uključujući i prijenos osobnih podataka, provodila i nastavit će se provoditi u skladu s relevantnim odredbama važećeg zakona o zaštiti podataka (i, ako je primjenjivo, obaviještena o tome nadležnim tijelima države članice u kojoj je osnovan izvoznik podataka) i ne krši relevantne odredbe te države;

(b) da je naložio i tijekom trajanja usluga obrade osobnih podataka naložit će uvozniku podataka da obrađuje osobne podatke prenesene samo u ime izvoznika podataka i u skladu s primjenjivim zakonom o zaštiti podataka i klauzulama;

(c) da će uvoznik podataka pružiti dovoljna jamstva u pogledu tehničkih i organizacijskih mjera sigurnosti navedenih u Dodatku 2 dolje;

(d) da su nakon procjene zahtjeva mjerodavnog zakona o zaštiti podataka, sigurnosne mjere prikladne za zaštitu osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže i protiv svih ostalih nezakonitih oblika obrade te da ove mjere osiguravaju razinu sigurnosti koja odgovara riziku koji predstavlja obrada i priroda podataka koji se štite s obzirom na stanje tehnike i trošak njihove provedbe;

(e) da će osigurati poštivanje sigurnosnih mjera;

(f) da je, ako prijenos uključuje posebne kategorije podataka, subjekt podataka bio obaviješten ili će biti informiran prije ili što je prije moguće nakon prijenosa da bi se njegovi podaci mogli prenijeti u treću zemlju ne pružajući odgovarajuću zaštitu unutar značenje Direktive 95/46 / EZ;

(g) da će proslijediti svaku obavijest primljenu od uvoznika podataka ili bilo kojeg podprocesora u skladu s odredbom 5. (b) i odredbom 8. (3) nadzornom tijelu za zaštitu podataka ako izvoznik podataka odluči nastaviti prijenos ili ukinuti obustavu;

(h) da će na zahtjev subjekata podataka staviti na raspolaganje kopiju klauzula, osim Dodatka 2, i sažeti opis sigurnosnih mjera, kao i kopiju svakog ugovora o uslugama podprocesiranja koji se mora sklopiti u skladu s klauzulama, osim ako klauzule ili ugovor sadrže komercijalne podatke, u tom slučaju može ukloniti takve komercijalne podatke;

(i) da se, u slučaju podprocesiranja, aktivnost obrade u skladu s odredbom 11. vrši od strane podprocesora koji pruža barem istu razinu zaštite osobnih podataka i prava nositelja podataka kao uvoznik podataka prema klauzulama ; i

(j) da će osigurati poštivanje odredbi 4. točke (a) do (i).

Klauzula 5: Obveze uvoznika podataka

Uvoznik podataka se slaže i jamči:

(a) da će obrađivati osobne podatke samo u ime izvoznika podataka i u skladu s njegovim uputama i klauzulama; ako iz bilo kojih razloga ne može pružiti takvu usklađenost, pristaje odmah obavijestiti izvoznika podataka o svojoj nesposobnosti da to učini, u tom slučaju izvoznik podataka ima pravo obustaviti prijenos podataka i / ili raskinuti ugovor;

(b) da nema razloga vjerovati da ga zakoni koji se na njega primjenjuju sprečavaju u ispunjavanju uputa dobivenih od izvoznika podataka i njegovih obveza prema ugovoru te da u slučaju promjene ovog zakona koji će vjerojatno imati znatnog štetnog učinka na jamstva i obveze predviđene klauzulama, odmah će obavijestiti izvoznika o promjeni čim sazna, u tom slučaju izvoznik podataka ima pravo obustaviti prijenos podataka i / ili raskinuti ugovor;

(c) da je primijenio tehničke i organizacijske mjere sigurnosti navedene u Dodatku 2 prije obrade prenesenih osobnih podataka;

(d) da će odmah obavijestiti izvoznika podataka o:

(i) svakom pravnom obvezujućem zahtjevu za otkrivanje osobnih podataka od strane tijela za provođenje zakona, osim ako nije drugačije zabranjeno, kao što je zabrana u skladu s kaznenim zakonom radi očuvanja povjerljivosti istrage provedbe zakona,

(ii) svakom slučajnom ili neovlaštenom pristupu i

(iii) svakom zahtjevu primljenom izravno od subjekata podataka bez odgovora na taj zahtjev, osim ako za to nije drugačije ovlašteno;

(e) da će pravovremeno i pravilno riješiti sve upite izvoznika podataka koji se odnose na njegovu obradu osobnih podataka koji podliježu prijenosu i pridržavati se savjeta nadzornog tijela u vezi s obradom prenesenih podataka;

(f) da će na zahtjev izvoznika podataka da dostavi svoja postrojenja za obradu podataka na reviziju aktivnosti obrade obuhvaćenih odredbama koje će izvesti izvoznik podataka ili inspekcijsko tijelo sastavljeno od neovisnih članova i u posjedu potrebnog profesionalca kvalifikacije vezane dužnošću povjerljivosti, koje je odabrao izvoznik podataka, prema potrebi, u dogovoru s nadzornim tijelom;

(g) da će dati na zahtjev nositelju podataka kopiju klauzula ili bilo kojeg postojećeg ugovora za podprocesiranje, osim ako klauzule ili ugovor sadrže komercijalne podatke, u kojem slučaju može ukloniti takve komercijalne informacije, osim Dodatka 2 koji će se zamijeniti sažetim opisom sigurnosnih mjera u onim slučajevima kada subjekt podataka ne može dobiti kopiju od izvoznika podataka;

(h) da je, u slučaju podprocesiranja, prethodno obavijestio izvoznika podataka i dobio prethodnu pisanu suglasnost;

(i) da će se usluge obrade od strane podprocesora obavljati u skladu s odredbom 11; i

(j) da izvozniku podataka odmah pošalje kopiju bilo kojeg sporazuma o podprocesoru koji je zaključen prema klauzulama.

Klauzula 6: Odgovornost

1. Stranke se slažu da svaki subjekt podataka koji je pretrpio štetu uslijed kršenja obveza iz članka 3. ili članka 11. od strane bilo koje stranke ili podprocesora ima pravo od izvoznika podataka dobiti naknadu za pretrpljenu štetu.

2. Ako subjekt podataka ne može podnijeti zahtjev za naknadu štete u skladu sa stavkom 1. protiv izvoznika podataka, koji proizlazi iz kršenja bilo koje svoje obveze iz članka 3. ili klauzule od strane uvoznika podataka ili njegovog podprocesora 11., jer je izvoznik podataka faktički nestao ili je prestao postojati u zakonu ili je postao nesolventan, uvoznik podataka suglasan je da subjekt podataka može podnijeti zahtjev protiv uvoznika podataka kao da je izvoznik podataka, osim ako bilo koji subjekt sljednik pretpostavlja cjelokupne zakonske obveze izvoznika podataka ugovorom po zakonu, u kojem slučaju subjekt podataka može ostvariti svoja prava protiv takvog entiteta.

Uvoznik podataka ne može se osloniti na kršenje svojih obveza od strane podprocesora kako bi izbjegao vlastite obveze.

3. Ako subjekt podataka ne može podnijeti zahtjev protiv izvoznika podataka ili uvoznika podataka iz stavaka 1. i 2., koji proizlaze iz kršenja bilo koje svoje obveze od strane podprocesora iz članka 3. ili članka 11 jer su i izvoznik podataka i uvoznik podataka faktički nestali ili prestali postojati u zakonu ili su postali nesolventni, podprocesor se slaže da subjekt podataka može podnijeti zahtjev protiv podprocesora podataka u vezi s vlastitim postupcima obrade prema klauzulama kao ako je to bio izvoznik podataka ili uvoznik podataka, osim ako bilo koji entitet sljednik nije preuzeo sve zakonske obveze izvoznika podataka ili uvoznika podataka ugovorom ili po zakonu, u tom slučaju subjekt podataka može ostvariti svoja prava protiv takvog entiteta. Odgovornost podprocesora bit će ograničena na vlastite postupke obrade prema klauzulama.

Klauzula 7: Posredovanje i nadležnost

1. Uvoznik podataka slaže se da će, ako se subjekt podataka poziva na njega prava treće strane korisnika i / ili zahtijeva naknadu štete prema klauzulama, uvoznik podataka prihvatiti odluku subjekta podataka:

(a) uputiti spor na posredovanje, od strane neovisne osobe ili, prema potrebi, od nadzornog tijela;

(b) uputiti spor sudovima u državi članici u kojoj ima sjedište izvoznik podataka.

2. Stranke se slažu da izbor subjekta podataka neće ugroziti njegova materijalna ili proceduralna prava na traženje pravnih lijekova u skladu s drugim odredbama nacionalnog ili međunarodnog prava.

Klauzula 8: Suradnja s nadzornim tijelima

1. Izvoznik podataka pristaje pohraniti kopiju ovog ugovora kod nadzornog tijela ako to zahtijeva ili ako je takav polog potreban prema primjenjivom zakonu o zaštiti podataka.

2. Stranke se slažu da nadzorno tijelo ima pravo provesti reviziju uvoznika podataka i bilo kojeg podprocesora koji ima isti opseg i podliježe istim uvjetima koji bi se primjenjivali na reviziju izvoznika podataka prema primjenjivi zakon o zaštiti podataka.

3. Uvoznik podataka dužan je odmah obavijestiti izvoznika podataka o postojanju zakona koji se primjenjuje na njega ili bilo koji podprocesor koji sprečava provođenje revizije uvoznika podataka ili bilo kojeg podprocesora, u skladu sa stavkom 2. U tom slučaju izvoznik podataka dužan je imati pravo poduzeti mjere predviđene točkom 5 (b).

Klauzula 9: Mjerodavno pravo

Na klauzule će se primjenjivati zakon države članice u kojoj ima sjedište izvoznik podataka.

Klauzula 10: Varijacija ugovora

Stranke se obvezuju da neće prilagođavati ili mijenjati klauzule. To ne sprječava stranke da dodaju klauzule o poslovnim pitanjima tamo gdje je to potrebno sve dok one nisu u suprotnosti s klauzulom.

Klauzula 11: Podobrada

1. Uvoznik podataka neće podugovarati bilo koji postupak obrade koji se obavlja u ime izvoznika podataka prema klauzulama bez prethodnog pismenog pristanka izvoznika podataka. Ako uvoznik podataka podugovara svoje obveze iz klauzula, uz suglasnost izvoznika podataka, to će učiniti samo putem pismenog sporazuma s podprocesorom koji podprocesoru nameće iste obveze koje su uvozniku podataka nametnute prema Klauzulama. Ako podprocesor ne ispuni svoje obveze zaštite podataka prema takvom pismenom sporazumu, uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podprocesora iz takvog sporazuma.

2. Prethodni pisani ugovor između uvoznika podataka i podprocesora također predviđa klauzulu treće strane korisnika kako je utvrđena u odredbi 3 za slučajeve kada subjekt podataka ne može podnijeti zahtjev za naknadu iz stavka 1. Klauzula 6. protiv izvoznika podataka ili uvoznika podataka jer su oni faktički nestali ili su prestali postojati u zakonu ili su postali nesolventni i nijedan pravni subjekt ugovorom ili po zakonu nije preuzeo sve zakonske obveze izvoznika podataka ili uvoznika podataka. Takva odgovornost trećih strana podprocesora bit će ograničena na vlastite postupke obrade prema klauzulama.

3. Odredbe koje se odnose na aspekte zaštite podataka za podprocesiranje ugovora iz stavka 1. uređuju se pravom države članice u kojoj izvoznik podataka ima sjedište.

4. Izvoznik podataka vodi popis sporazuma o podprocesiji sklopljenih na temelju klauzula koje je uvoznik podataka prijavio u skladu s odredbom 5. (j), a koji će se ažurirati najmanje jednom godišnje. Popis će biti dostupan nadzornom tijelu za zaštitu podataka izvoznika podataka.

Klauzula 12: Obveza nakon prestanka usluga obrade osobnih podataka

1. Stranke su suglasne da će po prestanku pružanja usluga obrade podataka uvoznik podataka i podprocesor, po izboru izvoznika podataka, vratiti sve prenesene osobne podatke i njihove kopije izvozniku podataka ili uništiti sve osobne podatke i potvrdi izvozniku podataka da je to učinio, osim ako zakonodavstvo nametnuto uvozniku podataka ne sprečava povratak ili uništavanje svih ili dijela prenesenih osobnih podataka. U tom slučaju uvoznik podataka jamči da će jamčiti povjerljivost prenesenih osobnih podataka i da više neće aktivno obrađivati prenesene osobne podatke.

2. Uvoznik podataka i podprocesor jamče da će na zahtjev izvoznika podataka i / ili nadzornog tijela dostaviti svoje uređaje za obradu podataka na reviziju mjera iz stavka 1.

Dodatak 1. Standardnim ugovornim klauzulama

Izvoznik podataka: Kupac je izvoznik podataka. Izvoznik podataka korisnik je mrežnih usluga ili kako je definirano u Dodatku o zaštiti podataka internetskih usluga tvrtke ClubCard i Uvjetima korištenja za Online Services.

Uvoznik podataka: Uvoznik podataka je ClubCard, proizvođač softvera i usluga.

Subjekti podataka: Subjekti podataka uključuju predstavnike i krajnje korisnike izvoznika podataka, uključujući zaposlenike, izvođače, suradnike i kupce izvoznika podataka. Subjekti podataka mogu također obuhvaćati pojedince koji pokušavaju komunicirati ili prenijeti osobne podatke korisnicima usluga koje pruža uvoznik podataka. ClubCard priznaje da, ovisno o korisničkoj upotrebi mrežne usluge, kupac može odlučiti da u osobne podatke uključi osobne podatke bilo koje od sljedećih vrsta subjekata podataka:

• Zaposlenika, izvođača i privremenih radnika (sadašnji, bivši, potencijalni) izvoznika podataka;

• Ovisni od gore navedenog;

• Suradnika / kontakt osoba izvoznika podataka (fizičkih osoba) ili zaposlenika, izvođača ili privremenih radnika suradnika / kontakt osoba pravnih osoba (sadašnjih, potencijalnih, bivših);

• Korisnika (npr. Kupaca, klijenata, posjetitelja itd.) I drugih subjekta podataka koji su korisnici usluga izvoznika podataka;

• Partnera, dionika ili pojedinaca koji aktivno surađuju, komuniciraju ili na drugi način komuniciraju sa zaposlenicima izvoznika podataka i / ili koriste komunikacijske alate kao što su aplikacije i web stranice koje pruža izvoznik podataka;

• Zainteresirane strane ili pojedinaca koji pasivno komuniciraju s izvoznikom podataka (npr. Jer su predmet istrage, istraživanja ili su spomenuti u dokumentima ili prepisci od izvoznika podataka ili prema njemu);

• Maloljetnika; ili

• Profesionalaca s profesionalnim privilegijama (npr. Odvjetnika, javnih bilježnika, vjerskih radnika itd.).

Kategorije podataka: Preneseni osobni podaci koji su uključeni u e-poštu, dokumente i ostale podatke u elektroničkom obliku u kontekstu mrežnih usluga ili profesionalnih usluga. ClubCard priznaje da, ovisno o korisničkoj upotrebi internetske usluge ili profesionalnih usluga, kupac može odabrati da u osobne podatke uključi osobne podatke iz bilo koje od sljedećih kategorija:

• Osnovni osobni podaci (na primjer mjesto rođenja, ime ulice i kućni broj (adresa), poštanski broj, grad prebivališta, država prebivališta, broj mobitela, ime, prezime, inicijali, adresa e-pošte, spol, datum rođenja), uključujući osnovne osobne podatke o članovima obitelji i djeci;

• Podaci za autentifikaciju (na primjer korisničko ime, lozinka ili PIN kôd, sigurnosno pitanje, trag revizije);

• Podaci za kontakt (na primjer adrese, e-adresa, telefonski brojevi, identifikatori društvenih medija; detalji za kontakt u nuždi);

• Jedinstveni identifikacijski brojevi i potpisi (na primjer broj socijalnog osiguranja, broj bankovnog računa, broj putovnice i osobne iskaznice, broj vozačke dozvole i podaci o registraciji vozila, IP adrese, broj zaposlenika, broj učenika, broj pacijenta, potpis, jedinstveni identifikator u kolačićima za praćenje ili slična tehnologija);

• Pseudonimni identifikatori;

• Financijski podaci i podaci o osiguranju (na primjer broj osiguranja, naziv i broj bankovnog računa, ime i broj kreditne kartice, broj fakture, prihod, vrsta osiguranja, ponašanje plaćanja, kreditna sposobnost);

• Komercijalne informacije (na primjer povijest kupnji, posebne ponude, podaci o pretplati, povijest plaćanja);

• Biometrijske informacije (na primjer DNK, otisci prstiju i snimke šarenice);

• Podaci o lokaciji (na primjer, ID ćelije, podaci o mrežnoj lokaciji, položaj prema započetom pozivu / kraju poziva. Podaci o lokaciji izvedeni iz upotrebe WiFi pristupnih točaka);

• Fotografije, video i audio;

• Internet aktivnosti (na primjer povijest pregledavanja, povijest pretraživanja, čitanje, gledanje televizije, aktivnosti slušanja radija);

• Identifikacija uređaja (na primjer IMEI-broj, broj SIM kartice, MAC adresa);

• Profiliranje (na primjer na temelju uočenog kriminalnog ili asocijalnog ponašanja ili pseudonimnih profila na temelju posjećenih URL-ova, streamova, klikova, dnevnika pregledavanja, IP-adresa, domena, instaliranih aplikacija ili profila na temelju marketinških preferencija);

• HR i podaci o zapošljavanju (na primjer izjava o radnom statusu, podaci o zapošljavanju (kao što su životopis, povijest zaposlenja, detalji povijesti obrazovanja), podaci o radnom mjestu i položaju, uključujući radno vrijeme, procjene i plaću, detalje o radnoj dozvoli, dostupnost, uvjete zapošljavanje, porezni detalji, detalji plaćanja, detalji osiguranja i mjesto i organizacije);

• Podaci o obrazovanju (na primjer povijest obrazovanja, trenutno obrazovanje, ocjene i rezultati, postignuti najviši stupanj, smetnje u učenju);

• Podaci o državljanstvu i prebivalištu (na primjer državljanstvo, status naturalizacije, bračno stanje, državljanstvo, imigracijski status, podaci o putovnici, detalji boravišta ili radne dozvole);

• Informacije obrađene za izvršavanje zadatka koji se provodi u javnom interesu ili u vršenju službenog tijela;

• Posebne kategorije podataka (na primjer rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije fizičke osobe, podaci o zdravlju, podaci o spolu fizičke osobe) životna ili seksualna orijentacija, ili podaci koji se odnose na kaznene osude ili kaznena djela); ili

• bilo koji drugi osobni podaci utvrđeni u članku 4. GDPR-a.

Postupci obrade: Preneseni osobni podaci podložit će se sljedećim osnovnim aktivnostima obrade:

a. Trajanje i cilj obrade podataka. Trajanje obrade podataka trajat će za termin naznačen primjenjivim ugovorom o licenciranju između izvoznika podataka i ClubCard entiteta kojem su dodane ove Standardne ugovorne klauzule („ClubCard“). Cilj obrade podataka je izvedba mrežnih usluga i profesionalnih usluga.

b. Opseg i svrha obrade podataka. Opseg i svrha obrade osobnih podataka opisani su u „Obradi osobnih podataka; GDPR ”odjeljak Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard. Obrada se može odvijati u bilo kojoj jurisdikciji u kojoj uvoznik podataka ili njegovi podprocesori upravljaju podacima u skladu s odjeljkom o sigurnosnim praksama i politikama (Dodatak o zaštiti podataka internetskih usluga tvrtke ClubCard).

c. Podaci o kupcima i pristup osobnim podacima. Za pojam naznačen primjenjivim sporazumom o licenciranju uvoznik podataka će prilikom izbora, a prema potrebi i prema primjenjivom zakonu o provedbi članka 12. (b) Direktive EU o zaštiti podataka, ili: (1) pružiti izvozniku podataka mogućnost ispravljanja, brisanja ili blokirati Kupčeve podatke i osobne podatke ili (2) izvršiti takve ispravke, brisanja ili blokade u njegovo ime.

d. Upute izvoznika podataka. Za internetske usluge uvoznik podataka postupati će samo prema uputama izvoznika podataka kako ih je prenio ClubCard.

e. Podaci o kupcima i brisanje ili vraćanje osobnih podataka. Po isteku ili prestanku korištenja internetskih usluga od strane izvoznika podataka, izvoznik može izvući podatke o kupcu i osobne podatke, a uvoznik podataka će izbrisati podatke o kupcima i osobne podatke, svaki u skladu s uvjetima Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard primjenjivim na ugovor.

Podugovarači: U skladu s Dodatkom o zaštiti podataka internetskih usluga tvrtke ClubCard, uvoznik podataka može unajmiti druge tvrtke da pružaju ograničene usluge u ime uvoznika podataka, poput pružanja korisničke podrške. Bilo koji takav podizvođač smije dobiti podatke o kupcima i osobne podatke samo za pružanje usluga koje im je uvoznik podataka pružio te im je zabranjeno koristiti podatke o kupcima i osobne podatke u bilo koju drugu svrhu.

Dodatak 2. Standardnim ugovornim klauzulama

Opis tehničkih i organizacijskih mjera sigurnosti koje provodi uvoznik podataka u skladu s odredbama 4 (d) i 5 (c):

1. Osoblje. Osoblje uvoznika podataka neće obrađivati podatke kupaca ili osobne podatke bez odobrenja. Osoblje je dužno čuvati povjerljivost svih takvih podataka i osobnih podataka kupaca, a ta se obveza nastavlja i nakon prestanka njihova angažmana.

2. Kontakt o privatnosti podataka. Službenika za zaštitu podataka uvoznika podataka možete dobiti na sljedećoj adresi:

Naziv tvrtke i broj telefona

3. Tehničke i organizacijske mjere. Uvoznik podataka implementirao je i održat će odgovarajuće tehničke i organizacijske mjere, interne kontrole i rutine sigurnosne zaštite podataka namijenjene zaštiti podataka i osobnih podataka kupaca, kako je definirano u odjeljku DPA o sigurnosnim praksama i politikama, od slučajnog gubitka, uništenja ili preinaka; neovlašteno otkrivanje ili pristup; ili nezakonito uništavanje kako slijedi: Tehničke i organizacijske mjere, unutarnje kontrole i rutine zaštite informacija utvrđene u odjeljku Sigurnosne prakse i politike DPA-a ovime su uključene u ovaj Dodatak 2 ovom referencom i obvezuju uvoznika podataka kao da u cijelosti su izloženi u ovom Dodatku 2.

Potpisivanje standardnih ugovornih klauzula, Dodatak 1 i Dodatak 2 u ime uvoznika podataka:

Ime i prezime odgovorne osobe

Prilog 2 - Opći uvjeti propisa Europske unije o zaštiti podataka

ClubCard se obvezuje u ovim GDPR uvjetima za sve kupce koji stupaju na snagu 25. svibnja 2018. Ove obveze obvezuju ClubCard za kupca bez obzira na (1) verziju Uvjeta korištenja za Online Services i Dodatka o zaštiti podataka internetskih usluga tvrtke ClubCard koja je inače primjenjiva na bilo koju pretplatu na mrežne usluge. ili (2) bilo koji drugi sporazum koji upućuje na ovaj prilog.

U svrhu ovih GDPR uvjeta, kupac i ClubCard slažu se da je kupac kontrolor osobnih podataka, a ClubCard obrađivač takvih podataka, osim kada kupac djeluje kao obrađivač osobnih podataka, u tom je slučaju ClubCard podprocesor. Ovi se GDPR uvjeti primjenjuju na obradu osobnih podataka, u okviru GDPR-a, od strane ClubCard u ime Kupca. Ovi GDPR uvjeti ne ograničavaju niti smanjuju bilo kakve obveze zaštite podataka koje ClubCard daje Kupcu u Korisničkim pravima ili drugim ugovorima između ClubCard i Kupca. Ovi se GDPR uvjeti ne primjenjuju ako je ClubCard kontrolor osobnih podataka.

Relevantne obveze GDPR-a: članci 28., 32. i 33.

1. ClubCard neće angažirati drugog procesora bez prethodnog posebnog ili općeg pismenog odobrenja Kupca. U slučaju općeg pismenog odobrenja, ClubCard će obavijestiti Kupca o svim namjeravanim promjenama koje se odnose na dodavanje ili zamjenu drugih procesora, pružajući tako kupcu mogućnost da se usprotivi takvim promjenama. (Članak 28. stavak 2.)

2. ClubCard obrada uređivat će se ovim GDPR uvjetima prema Europskoj uniji (u daljnjem tekstu „Unija“) ili zakonu države članice i obvezuju ClubCard za kupca. Predmet i trajanje obrade, priroda i svrha obrade, vrsta Osobnih podataka, kategorije subjekata podataka i obveze i prava Kupca utvrđeni su u Ugovoru o licenciranju Kupca, uključujući ove GDPR uvjete . ClubCard će posebno:

(a) obrađivati osobne podatke samo prema dokumentiranim uputama kupca, uključujući i u vezi s prijenosima osobnih podataka u treću zemlju ili međunarodnu organizaciju, osim ako to nalaže zakon Unije ili države članice kojem ClubCard podliježe; u takvom slučaju, ClubCard će obavijestiti Kupca o tom zakonskom zahtjevu prije obrade, osim ako taj zakon zabranjuje takve informacije iz važnih razloga od javnog interesa;

(b) osigurati da su se osobe ovlaštene za obradu osobnih podataka obvezale na povjerljivost ili su pod odgovarajućom zakonskom obvezom povjerljivosti;

(d) poštivati uvjete iz stavaka 1. i 3. za angažiranje drugog procesora;

(e) uzimajući u obzir prirodu obrade, pomoći Kupcu odgovarajućim tehničkim i organizacijskim mjerama, koliko je to moguće, u ispunjavanju obveze Kupca da odgovori na zahtjeve za ostvarivanje prava nositelja podataka utvrđenih u Poglavlju III. GDPR;

(f) pružanje pomoći kupcu u osiguravanju poštivanja obveza prema člancima 32. do 36. GDPR-a, uzimajući u obzir prirodu obrade i informacije dostupne ClubCard;

(g) po izboru Kupca, izbrisati ili vratiti sve Osobne podatke Kupcu nakon završetka pružanja usluga u vezi s obradom i izbrisati postojeće kopije, osim ako zakon Unije ili države članice ne zahtijeva pohranu Osobnih podataka;

(h) Kupcu staviti na raspolaganje sve podatke potrebne za dokazivanje poštivanja obveza utvrđenih u članku 28. GDPR-a te omogućiti i doprinijeti revizijama, uključujući inspekcije, koje provodi kupac ili drugi revizor kojega kupac ovlasti.

ClubCard će odmah obavijestiti Kupca ako, prema njegovom mišljenju, uputa krši GDPR ili druge odredbe o zaštiti podataka Unije ili države članice. (Članak 28. stavak 3.)

3. Kada ClubCard angažira drugog obrađivača za obavljanje određenih aktivnosti obrade u ime Kupca, iste obveze zaštite podataka utvrđene u ovim GDPR uvjetima bit će nametnute tom drugom obrađivaču ugovorom ili drugim pravnim aktom prema Uniji ili članu Državnog prava, posebno pružajući dovoljna jamstva za provedbu odgovarajućih tehničkih i organizacijskih mjera na takav način da će obrada udovoljavati zahtjevima GDPR-a. Ako taj drugi obrađivač ne ispuni svoje obveze zaštite podataka, ClubCard će u potpunosti odgovarati Kupcu za izvršavanje obveza tog drugog obrađivača. (Članak 28. stavak 4.)

4. Uzimajući u obzir stanje tehnike, troškove provedbe i prirodu, opseg, kontekst i svrhe obrade, kao i rizik promjene vjerojatnosti i težine za prava i slobode fizičkih osoba, kupac i ClubCard će provesti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala razina sigurnosti primjerena riziku, uključujući, među ostalim, po potrebi:

(a) pseudonimizacija i šifriranje osobnih podataka;

(b) sposobnost osiguranja stalne povjerljivosti, integriteta, dostupnosti i otpornosti sustava i usluga obrade;

(d) postupak za redovito ispitivanje, procjenu i ocjenu učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. (Članak 32. stavak 1.)

5. Pri procjeni odgovarajuće razine sigurnosti uzimaju se u obzir rizici koji se predstavljaju obradom, posebno od slučajnog ili nezakonitog uništavanja, gubitka, promjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili obrađuju na bilo koji drugi način . (Članak 32. stavak 2.)

6. Kupac i ClubCard poduzet će korake kako bi osigurali da ih bilo koja fizička osoba koja djeluje pod nadležnošću Kupca ili ClubCard koja ima pristup Osobnim podacima ne obrađuje, osim po uputama Kupca, osim ako to od njega zahtijeva Unija ili Zakon države članice. (Članak 32. stavak 4.)

7. ClubCard će bez nepotrebnog odgađanja obavijestiti Kupca nakon što sazna za kršenje Osobnih podataka. (Članak 33. stavak 2.). Takva obavijest uključivat će informacije koje obrađivač mora pružiti upravljaču prema članku 33. stavku 3. u mjeri u kojoj su takve informacije razumno dostupne ClubCard.