Zmluva o spracovaní údajov (ZSÚ) podľa čl. 28 GDPR medzi Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – ďalej len „Spracovateľ“ – a príslušným zákazníkom – ďalej len „Prevádzkovateľ“ –

1. Predmet a doba spracovania

(1) Spracovateľ poskytuje Prevádzkovateľovi služby v oblasti IT bezpečnosti a detekcie botov prostredníctvom služby „SilentShield.io“.

(2) Predmetom spracovania je automatizovaná analýza a filtrovanie dátových tokov na účely detekcie a prevencie útokov a zneužitia prístupu.

(3) Doba spracovania zodpovedá dobe trvania príslušnej hlavnej zmluvy.

2. Povaha a účel spracovania

Spracovanie sa vykonáva najmä na nasledujúce účely:

• Detekcia a prevencia automatizovaného prístupu (boty)
• Ochrana pred útokmi (napr. DDoS, spam)
• Zabezpečenie stability a dostupnosti systému
• Analýza prístupových vzorov na prevenciu hrozieb

Môžu byť prijímané automatizované rozhodnutia (napr. blokovanie požiadaviek), pokiaľ je to nevyhnutné pre bezpečnosť systému.

3. Druhy údajov

• IP adresy
• Údaje z HTTP hlavičiek
• Informácie o prehliadači a zariadení
• Prístupové údaje (časová pečiatka, URL, požiadavky)
• Údaje o interakcii a správaní

4. Kategórie dotknutých osôb

• Návštevníci webových stránok Prevádzkovateľa
• Používatelia online služieb Prevádzkovateľa

5. Povinnosti Prevádzkovateľa

(1) Prevádzkovateľ je zodpovedný za zákonnosť spracovania údajov.

(2) Prevádzkovateľ zabezpečí, že je oprávnený odovzdávať údaje Spracovateľovi.

(3) Prevádzkovateľ plní svoje informačné povinnosti voči dotknutým osobám.

6. Povinnosti Spracovateľa

Spracovateľ:

• spracováva údaje výhradne na základe zdokumentovaných pokynov
• zabezpečuje primerané technické a organizačné opatrenia
• zabezpečuje dôvernosť
• poskytuje súčinnosť pri uplatňovaní práv dotknutých osôb
• poskytuje súčinnosť pri posúdeniach vplyvu na ochranu osobných údajov

7. Technické a organizačné opatrenia (TOMs)

Spracovateľ implementuje najmä nasledujúce opatrenia:

• Šifrovanie TLS/SSL
• Riadenie prístupu a modely rolí
• Protokolovanie a monitorovanie
• Ochrana pred neoprávneným prístupom
• Pravidelné bezpečnostné audity

8. Ďalší spracovatelia

• Cloudflare, Inc. (USA) – CDN, WAF, proxy, ochrana DDoS
• STRATO AG (Nemecko) – Hosting a infraštruktúra

(2) Spracovateľ zabezpečí, že všetci ďalší spracovatelia sú viazaní v súlade s čl. 28 GDPR.

(3) Prevádzkovateľ udeľuje všeobecné oprávnenie na využívanie týchto ďalších spracovateľov.

(4) Aktuálny zoznam ďalších spracovateľov je poskytovaný na vyžiadanie alebo prostredníctvom webovej stránky.

9. Prenos do tretích krajín

(1) Môže dôjsť k prenosu osobných údajov do tretích krajín (najmä do USA).

(2) Takéto prenosy sa uskutočňujú výhradne v súlade s GDPR, najmä prostredníctvom:

• Štandardných zmluvných doložiek EÚ (čl. 46 GDPR)
• Prípadne rámec pre ochranu údajov EÚ-USA

10. Kontrolné práva

(1) Prevádzkovateľ je oprávnený overovať dodržiavanie tejto zmluvy.

(2) Spracovateľ na to poskytuje vhodné informácie.

(3) Audity musia byť oznámené s primeraným predstihom a nesmú neprimerane narušovať prevádzku.

11. Vymazanie údajov

Po ukončení zmluvy budú osobné údaje podľa voľby Prevádzkovateľa vymazané alebo vrátené, pokiaľ neexistujú zákonné povinnosti uchovávania.

12. Zodpovednosť

Platia ustanovenia o zodpovednosti z hlavnej zmluvy.