Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Preambule
Vzhledem k tomu, že Zpracovatel v průběhu poskytováni Služeb a/nebo Produktů Správci může zpracovávat Osobní údaje Správce, považuji Smluvní
strany za zásadní, aby při zpracováni těchto osobních údajů byla zajištěna vysoká úroveň ochrany práv a svobod fyzických osob ve vztahu k takovému
zpracování osobních údajů a toto zpracováni bylo v souladu s Předpisy na ochranu osobních údajů, a to zejm. s Nařízením Evropského parlamentu a
Rady (EU) 6.2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušeni směrnice 96/46/ES (obecné nařízeni o ochraně osobních údajů), a proto Smluvní strany uzavírají tuto smlouvu o ochraně osobních údajů
(dále jen „Smlouva").
1 Definice
Pro účely této Smlouvy se následující pojmy vykládají takto:
.EHP" se rozumí Evropský hospodářský prostor.
.GDPR" se rozumí Nařízeni Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se
zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušeni směrnice 96/46/ES (obecné nařízeni o ochraně osobních údajů) ve znění
opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016.
„Hlavní smlouvou" se rozumí smluvní vztah či smluvní vztahy založené mezi Správcem a Zpracovatelem na základě uzavřených platných a účinných
smluv vymezených v příloze č. 1 této Smlouvy.
„Osobními údaji Správce" se rozumí osobni údaje popsané v příloze č. 1 této Smlouvy a veškeré další osobní údaje zpracovávané Zpracovatelem
jménem Správce podle a/nebo v souvislosti s Hlavní smlouvou,
„Podzpracovatelem" se rozumí jakýkoli zpracovatel osobních údajů (včetně jakékoli třetí strany) zapojený Zpracovatelem do zpracováni Osobních
údajů Správce jménem Správce. Za podmínek stanovených touto Smlouvou je Podzpracovatel oprávněn zapojit do zpracování Osobních údajů Správce
dalšího Podzpracovatele (tzv. řetězeni podzpracovatelů).
„Pokynem" se rozumí písemný pokyn Správce Zpracovateli týkající se zpracováni Osobních údajů Správce. Zpracovatel je povinen kdykoliv v průběhu
zpracováni osobních údajů prokázat existenci a obsah Pokynu.
„Porušením zabezpečení osobních údajů" se rozumí takové porušeni zabezpečeni osobních údajů, které vede nebo může přímo vést k
neoprávněnému přístupu nebo k neoprávněné či nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů, případně k neoprávněnému vyzrazeni
nebo přístupu k uloženým, přenášeným nebo jinak zpracovávaným Osobním údajům Správce.
strana 3 | stran 17
„Produkty" se rozumí Produkty, které má Zpracovatel poskytnout Správci dle Hlavni smlouvy.
„Předpisy o ochraně osobních údajů" se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušeni směrnice 96/46/ES (obecné nařízeni o ochraně osobních
údajů) ve zněni opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016, jakož i veškeré národní předpisy upravující ochranu
osobních údajů.
„Schválenými Podzpracovateli" se rozumějí: (a) Podzpracovatelé uvedeni v příloze č. 3 této Smlouvy (autorizované předáni Osobních údajů Správce);
a (b) případně další dílčí Podzpracovatelé předem písemně povoleni Správcem v souladu se kapitolou 6 této Smlouvy. Nejedná se o osoby, které
zpracovávají osobní údaje pro zpracovatele na základě pracovní smlouvy, dohody o provedeni práce či dohody o provedení činnosti nebo osoby, které
se při provádění svých služeb, tj. plněni smlouvy s objednatelem (jinak zpracovatelem osobních údajů), mohou pouze nahodile dostat do styku s
osobními údaji, aniž by osobni údaje jakkoliv zpracovávaly.
„Službami" se rozumí Služby, které má Zpracovatel poskytnout Správci podle Hlavní smlouvy.
„Standardními smluvními doložkami" se rozumí standardní smluvní doložky pro předáváni osobních údajů zpracovatelům usazeným ve třetích zemích
schválené rozhodnutím Evropské komise 2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanoveni schválených Evropskou komisi, který je
mění, doplňuje nebo nahrazuje.
„Třetí zemí" se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy je tato země předmětem platného a účinného rozhodnuti Evropské komise
o odpovídající ochraně osobních údajů ve třetích zemích.
„Vymazáním" se rozumí odstranění nebo zničení Osobních údajů Správce tak. aby nemohly být obnoveny nebo rekonstruovány.
.Zásadami zpracováni osobních údajů" se rozumí zásada zákonnosti, korektnosti, transparentnosti, účelového omezeni, minimalizace údajů,
přesnosti, omezení uloženi. integrity
a důvěrnosti. Smluvní strany berou na vědomi, že jakékoliv zpracováni osobních údajů čí jakýkoliv výklad této Smlouvy musí být v souladu s těmito
zásadami. Dokument Zásady zpracováni osobních údajů je k dispozici na internetových stránkách www.rsd.cz v záložce Organizace pod odkazem
GDPR.
.Zpracování", „správce", „zpracovatel", „subjekt údajů", „osobní údaje", .zvláštní kategorie osobních údajů" a jakékoli další obecné definice
neuvedené v této Smlouvě nebo v Hlavní smlouvě mají stejný význam jako v GDPR,
strana 4 | stran 17
2 Podmínky zpracování Osobních údajů Správce
2.1 V průběhu poskytován! Služeb a/nebo Produktů Správci podle Hlavní smlouvy je Zpracovatel oprávněn zpracovávat Osobni údaje Správce
jménem Správce pouze za podmínek této Smlouvy a na základě Pokynů Správce. Zpracovatel se zavazuje, že bude po celou dobu zpracováni
dodržovat následující ustanoveni týkající se ochrany Osobních údajů Správce.
2.2 V rozsahu požadovaném platnými a účinnými Předpisy o ochraně osobních údajů musí Zpracovatel získat a uchovávat veškeré potřebné licence,
oprávnění a povolení potřebné k zpracováni Osobních údajů Správce včetně osobních údajů uvedených v příloze č. 1 této Smlouvy.
2.3 Zpracovatel musí dodržovat veškerá technická a organizační opatření pro splnění požadavků uvedených v této Smlouvě a jejich přílohách.
Zpracovatel je dále povinen dbát Zásad zpracování osobních údajů a za všech okolností tyto zásady dodržovat.
2.4 Pro účely komunikace a zajištěni součinnosti Správce a Zpracovatele navzájem (zejm. v případech porušeni zabezpečení osobních údajů,
předávání žádosti subjektů údajů), není-li v konkrétním případě určeno jinak, pověřily Smluvní strany tyto osoby:
2.4.1 osoba pověřená Správcem: ........................................................................... .........................................................
............. ....... ......
2.4.2 osoba pověřená Zpracovatelem: ..............................
. ............................................... ...... ...............
Obě strany jsou povinny na zasláni podání neprodleně reagovat nejpozději však do 48 hodin od zasláni.
3 Zpracováni Osobnich údajů Správce
3.1 Zpracovatel zpracovává Osobni údaje Správce pouze pro účely plnění Hlavní smlouvy nebo pro plněni poskytované na základě Hlavni smlouvy
(viz příloha č. 1 této Smlouvy). Zpracovatel nesmí zpracovávat, předávat, upravovat nebo měnit Osobní údaje Správce nebo zveřejnit či povolit
zveřejnění Osobních údajů Správce jiné třetí osobě jinak než v souladu s touto Smlouvou nebo s Pokyny Správce, pokud takové zveřejněni není
vyžadováno právem EU nebo členského státu, kterému Zpracovatel podléhá. Zpracovatel v rozsahu povoleném takovým zákonem informuje
Správce o tomto zákonném požadavku před zahájením zpracováni Osobnich údajů Správce a dodržuje pokyny Správce, aby co nejvíce omezil
rozsah zveřejněni.
3.2 Zpracovatel neprodleně nebo bez zbytečného odkladu od obdrženi Pokynu informuje Správce v případě, kdy podle jeho názoru vzhledem k jeho
odborným znalostem a zkušenostem takový Pokyn porušuje Předpisy o ochraně osobních údajů.
3.3 Zpracovatel bere na vědomí, že není oprávněn určit účely a prostředky zpracování Osobních údajů Správce a pokud by Zpracovatel toto porušil,
považuje se ve vztahu k takovému zpracování za správce.
strana 5 | stran 17
3.4 Pro účely zpracování uvedeného výše tímto Správce instruuje Zpracovatele, aby předával Osobni údaje Správce příjemcům ve třetích zemích
uvedených v příloze č. 3 této Smlouvy (Autorizované předávání Osobnich údajů Správce) vždy za předpokladu, že taková osoba splní požadavky
uvedené v kapitole 6 této Smlouvy.
4 Spolehlivost Zpracovatele
4.1 Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost každého zaměstnance, jeho zástupce nebo dodavatele, kteří mohou mít přistup k
Osobním údajům Správce, pňčemž zajisti, aby byl přistup omezen výhradně na ty osoby, jejichž činnost vyžaduje přistup k příslušným Osobním
údajům Správce. Zpracovatel vede seznam osob oprávněných zpracovávat osobní údaje Správce a osob, které mají k těmto osobním údajům
přístup, přičemž sleduje a pravidelně přezkoumává, že se jedná o osoby dle tohoto odstavce.
4.2 Zpracovatel musí zajistit, aby všechny osoby, které zapojil do zpracováni Osobnich údajů Správce:
4.2.1 byly informovány o důvěrné povaze Osobnich údajů Správce a byly si vědomy povinností Zpracovatele vyplývajících z této Smlouvy.
Hlavní smlouvy. Pokynů a platných a účinných Předpisů o ochraně osobnich údajů, a zavázaly se tyto povinnosti dodržovat ve stejném
rozsahu, zejm. aby zachovávaly mlčenlivost o osobnich údajích a přijatých opatřeních k jejich ochraně, a to i po skončeni jejich
pracovněprávního nebo jiného smluvního vztahu ke Zpracovateli;
4.2.2 byly přiměřeně školeny/certifikovány ve vztahu k Předpisům o ochraně osobnich údajů nebo dle Pokynů Správce;
4.2.3 podléhaly závazku důvěrností nebo profesním či zákonným povinnostem zachovávat mlčenlivost;
4.2.4 používaly pouze bezpečný hardware a software a dodržovaly zásady bezpečného používáni výpočetní techniky;
4.2.5 podléhaly procesům autentizace uživatelů a přihlašování pň přístupu k Osobním údajům Správce v souladu s touto Smlouvou, Hlavni
smlouvou, Pokyny a platnými a účinnými Předpisy o ochraně osobních údajů;
4.2.6 zabránily neoprávněnému čteni, pozměněni, smazáni či znepřístupněni Osobnich údajů Správce, nevytvářely kopie nosičů osobních údajů
pro jinou než pracovní potřebu a neumožnily takové jednáni ani jiným osobám a případně neprodleně, nejpozději však do 24 hodin od
vzniku, hlásily Jakékoliv důvodné podezřeni na ohroženi bezpečnosti osobních údajů, a to osobě uvedené v kapitole 2 této Smlouvy.
5 Zabezpečení osobních údajů
5.1 S přihlédnutím ke stavu techniky, nákladům na provedeni, povaze, rozsahu, kontextu a účelům zpracováni i k různě pravděpodobným a různě
závažným rizikům pro práva a svobody fyzických osob. provede Zpracovatel vhodná technická a organizační opatření (příloha č. 2 této Smlouvy),
aby zajistil úroveň zabezpečeni odpovídající danému riziku, případně včetně:
5.1.1 pseudonymizace a šifrování osobních údajů:
5.1.2 schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracováni;
strana 6 | stran 17
5.1.3 schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů:
5.1.4 procesu pravidelného testování, posuzováni a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění
bezpečnosti zpracováni.
5.2 Při posuzováni vhodné úrovně bezpečnosti se zohledni rizika, která představuje zpracováni, zejména náhodné nebo protiprávní zničeni, ztráta,
pozměňováni, neoprávněné zpřístupněni předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přistup k nim.
5.3 V případě zpracování osobních údajů více správců je Zpracovatel povinen zpracovávat takové osobni údaje odděleně.
5.4 Konkrétní podmínky zabezpečeni jsou uvedeny v příloze č. 2 této Smlouvy a dále v Pokynech.
6 Další Podzpracovatelé
6.1 Zpracovatel je oprávněn použit ke zpracováni Osobních údajů Správce další Podzpracovatele uvedené v příloze č. 3 této Smlouvy. Jiné
Podzpracovatele je Zpracovatel oprávněn zapojit do zpracování pouze s předchozím písemným povolením Správce.
6.2 Zpracovatel je povinen u každého Podzpracovatele:
6.2.1 poskytnout Správci úplné informace o zpracováni, které má provádět takový Podzpracovatel:
6.2.2 zajistit náležitou úroveň ochrany Osobních údajů Správce, včetně dostatečných záruk pro provedení vhodných technických a
organizačních opatření dle této Smlouvy, Hlavní Smlouvy, Pokynů a platných a účinných Předpisů na ochranu osobních údajů:
6.2.3 zahrnout do smlouvy mezi Zpracovatelem a každým dalším Podzpracovatelem podmínky, které jsou shodné s podmínkami stanovenými
v této Smlouvě. Pro vyloučeni pochybnosti si Smluvní strany ujednávají, že v případě tzv. řetězeni zpracovatelů (tj. uzavíráni smlouvy o
zpracování osobních údajů mezi podzpracovateli) musí tylo smlouvy splňovat podmínky dle této Smlouvy. Na požádání poskytne
Zpracovatel Správci kopii svých smluv s dílčími Podzpracovateli a v případě řetězení podzpracovatelů i kopii smluv uzavřených mezi
dalšími Podzpracovateli:
6.2.4 v případě předání Osobních údajů Správce mimo EHP zajistit ve smlouvách mezi Zpracovatelem a každým dalším Podzpracovatelem
Standardní smluvní doložky nebo jiný mechanismus, který předem schválí Správce, aby byla zajištěna odpovídající ochrana předávaných
Osobních údajů Správce:
6.2.5 zajistit plněni všech povinností nezbytných pro zachováni plné odpovědnosti vůči Správci za každé selháni každého dílčího
Podzpracovatele pň plnění jeho povinností v souvislosti se zpracováním Osobních údajů Správce.
7 Plnění práv subjektů údajů
7.1 Subjekt údajů má na základě své žádosti zejména právo získat od Správce informace týkající se zpracováni svých osobních údajů, žádat jejich
opravu či doplněni, podávat námitky proti zpracováni svých osobních údajů či žádat jejich výmaz.
strana 7 | stran 17
7.2 Vzhledem k povaze zpracováváni Zpracovatel napomáhá Správci při prováděni vhodných technických a organizačních opatřeni pro splněni
povinností Správce reagovat na žádosti o uplatněni práv subjektu údajů.
7.3 Zpracovatel neprodleně oznámí Správci, pokud obdrží od subjektu údajů, orgánu dohledu a/nebo jiného příslušného orgánu žádost podle platných
a účinných Předpisů o ochraně osobních údajů, pokud se jedná o Osobni údaje Správce,
7.4 Zpracovatel spolupracuje se Správcem dle jeho potřeb a Pokynů tak. aby Správci umožnil jakýkoli výkon práv subjektu údajů podle Předpisů o
ochraně osobních údajů, pokud jde o Osobni údaje Správce, a vyhověl jakémukoli požadavku, dotazu, oznámeni nebo šetření dle Předpisů
o ochraně osobních údajů nebo dle této Smlouvy, což zahrnuje:
7.4.1 poskytnutí veškerých údajů požadovaných Správcem v přiměřeném časovém období specifikovaném Správcem, a to ve všech případech
a včetně úplných podrobnosti a kopii stížnosti, sděleni nebo žádosti a jakýchkoli Osobních údajů Správce, které Zpracovatel ve vztahu k
subjektu údajů zpracovává:
7.4.2 poskytnutí takové asistence, kterou může Správce rozumně požadovat, aby mohl vyhovět příslušné žádosti ve lhůtách stanovených
Předpisy o ochraně osobních údajů:
7.4.3 implementaci dodatečných technických a organizačních opatřeni, které může Správce rozumné požadovat, aby mohl účinně reagovat na
příslušné stížnosti, sděleni nebo žádosti.
8 Porušení zabezpečení osobních údajů
8.1 Zpracovatel je povinen bez zbytečného odkladu a v každém případě nejpozději do 24 hodin od zjištění porušení informovat Správce o tom, že
došlo k porušení zabezpečeni Osobních údajů Správce nebo existuje důvodné podezřeni z porušeni zabezpečení Osobních údajů Správce.
Zpracovatel poskytne Správci dostatečné informace, které mu umožni splnit veškeré povinnosti týkající ohlašováni a oznamováni případů porušení
zabezpečení osobních údajů podle Předpisů o ochraně osobních údajů, Takové oznámení musí pňnejmenšim:
8.1.1 popisovat povahu porušeni zabezpečeni osobních údajů, kategorie a počty dotčených subjektů údajů a kategorie a specifikace záznamů
o osobních údajích:
8.1.2 jméno a kontaktní údaje pověřence pro ochranu osobních údajů Zpracovatele nebo jiného příslušného kontaktu, od něhož lze získat více
informací;
8.1.3 popisovat odhadované riziko a pravděpodobné důsledky porušeni zabezpečení osobních údajů;
8.1.4 popisovat opatření pňjatá nebo navržená k řešení porušeni zabezpečeni osobních údajů.
8.2 Zpracovatel spolupracuje se Správcem a podniká takové přiměřené kroky, které jsou řízeny Správcem, aby napomáhal vyšetřováni, zmírňováni
a nápravě každého porušen! osobních údajů.
8.3 V případě porušeni zabezpečení osobních údajů Zpracovatel neinformuje žádnou třetí stranu bez předchozího písemného souhlasu Správce,
pokud takové oznámeni nevyžaduje právo EU nebo členského státu, které se na Zpracovatele vztahuje. V takovém případě je Zpracovatel povinen.
strana S | stran 17
v rozsahu povoleném takovým právem, informovat Správce o tomto právním požadavku, poskytnout kopii navrhovaného oznámeni a zvážit
veškeré připomínky, které provedl Správce před tim, než porušeni zabezpečeni osobních údajů oznámí.
9 Posouzeni vlivu na ochranu osobních údajů a předchozí konzultace
9.1 Zpracovatel poskytne Správci přiměřenou pomoc ve všech případech posouzeni vlivu na ochranu osobních údajů, které jsou vyžadovány čl. 35
GDPR, a s veškerými předchozími konzultacemi s jakýmkoli dozorovým úřadem Správce, které jsou požadovány podle čl. 36 GDPR. a to vždy
pouze ve vztahu ke zpracováváni Osobních údajů Správce Zpracovatelem a s ohledem na povahu zpracováni a Informace, které má Zpracovatel
k dispozici.
10 Vymazání nebo vrácení Osobních údajů Správce
10.1 Zpracovatel musí neprodleně a v každém případě do 90 (devadesáti) kalendářních dnů po: (i) ukončeni zpracování Osobních údajů Správce
Zpracovatelem nebo (ii) ukončeni Hlavní smlouvy, podle volby Správce (tato volba bude písemné oznámena Zpracovateli Pokynem Správce) buď:
10.1.1 vrátit úplnou kopii všech Osobních údajů Správce Správci zabezpečeným přenosem datových souborů v takovém formátu, jaký oznámil
Správce Zpracovateli a dále bezpečně a prokazatelně vymazat všechny ostatní kopie Osobních údajů Správce zpracovávaných
Zpracovatelem nebo jakýmkoli autorizovaným dílčím Podzpracovatelem: nebo
10.1.2 bezpečně a prokazatelně smazat všechny kopie Osobních údajů Správce zpracovávaných Zpracovatelem nebo jakýmkoli dalším
Podzpracovatelem, přičemž Zpracovatel poskytněte Správci písemné osvědčeni, že plně splnil požadavky kapitoly 10 této Smlouvy.
10.2 Zpracovatel může uchovávat Osobni údaje Správce v rozsahu požadovaném právními předpisy Unie nebo členského státu a pouze v rozsahu a
po dobu požadovanou právními předpisy Unie nebo členského státu a za předpokladu, že Zpracovatel zajisti důvěrnost všech těchto osobních
údajů Správce a zajisti, aby tyto osobni údaje Správce byly zpracovávány pouze pro účely uvedené v právních předpisech Unie nebo členského
státu, které vyžaduji jejich ukládání, a nikoliv pro žádný jiný účel.
11 Právo na audit
11.1 Zpracovatel na požádáni zpřístupni Správci veškeré informace nezbytné k prokázáni souladu s platnými a účinnými Předpisy o ochraně osobních
údajů, touto Smlouvou a Pokyny a dále umožni audity a inspekce ze strany Správce nebo jiného auditora pověřeného Správcem ve všech místech,
kde probíhá zpracování Osobních údajů Správce. Zpracovatel umožní Správci nebo jinému auditorovi pověřenému Správcem kontrolovat,
auditovat a kopírovat všechny příslušné záznamy, procesy a systémy, aby Správce mohl ověřit, že zpracování Osobních údajů Správce je
v souladu s platnými a účinnými Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny. Zpracovatel poskytne Správci plnou spolupráci a
na žádost Správce poskytne Správci důkazy o plnění svých povinnosti podle této Smlouvy. Zpracovatel neprodleně uvědomí Správce, pokud
podle jeho názoru zde uvedené právo na audit porušuje Předpisy o ochraně osobních údajů. Zpracovatel může prokázat plněni dohodnutých
strana 9 1stran 17
povinnosti týkajících se ochrany údajů, důkazem o dodržováni schváleného mechanizmu certifikace ISO norem, kontroly se pak mohou omezit
pouze na vybrané procesy,
11.2 Zpracovatel je povinen zajistit výkon práva Správce dle předchozího odstavce také u všech Podzpracovatelů.
12 Mezinárodni předávání Osobních údajů Správce
12.1 Zpracovatel nesmi zpracovávat Osobni údaje Správce sám ani prostřednictvím Podzpracovatele ve třetí zemi, s výjimkou těch příjemců ve třetích
zemích (pokud existuji) uvedených v příloze č. 3 této Smlouvy (autorizované předáni Osobních údajů Správce), neni-li to předem písemně
schváleno Správcem.
12.2 Zpracovatel na žádost Správce okamžitě se Správcem uzavře (nebo zajisti, aby uzavřel jakýkoli příslušný dílčí Podzpracovatel) smlouvu včetně
Standardních smluvních doložek a/nebo obdobných doložek, které mohou vyžadovat Předpisy o ochraně osobních údajů, pokud jde o jakékoli
zpracování Osobních údajů Správce ve třetí zemi.
13 Všeobecné podmínky
13.1 Smluvní strany si ujednaly, že tato Smlouva zanikne s ukončením účinnosti Hlavni smlouvy. Tím nejsou dotčeny povinnosti Zpracovatele, které
dle této Smlouvy či ze své povahy trvají i po jejím zániku.
13.2 Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.
13.3 Jakékoli porušeni této Smlouvy představuje závažné porušeni Hlavni smlouvy. V případě existence vice smluvních vztahů se jedná o porušení
každé smlouvy, dle které probíhalo zpracování Osobních údajů Správce.
13.4 V případě nesrovnalosti mezi ustanoveními této Smlouvy a jakýchkoli jiných dohod mezi Smluvními stranami, včetně, avšak nikoliv výlučně. Hlavni
smlouvy, mají ustanovení této Smlouvy přednost před povinnostmi Smluvních stran týkajících se ochrany osobních údajů.
13.5 Pokud se ukáže některé ustanoveni této Smlouvy neplatné, neúčinné nebo nevymahatelné. zbývající části Smlouvy zůstávají v platnosti. Ohledně
neplatného, neúčinného nebo nevymahatelného ustanovení se Smluvní strany zavazují, že (i) dodatkem k této Smlouvě upraví tak. aby byla
zajištěna jeho platnost, účinnost a vymahatelnost, a to při co největším zachováni původních záměrů Smluvních stran nebo. pokud to není možné,
(ii) budou vykládat toto ustanovení způsobem, jako by neplatná, neúčinná nebo nevymahatelné část nebyla nikdy v této Smlouvě obsažena.
13.6 Tato Smlouva je sepsána v 4 stejnopisech. pňčemž Správce obdrží po 2 vyhotoveni
a Zpracovatel 2 vyhotovení.
13.7 Veškeré změny této Smlouvy je možné provést formou vzestupně číslovaných písemných dodatků podepsaných oběma Smluvními stranami. Pro
vyloučeni všech pochybnosti si Smluvní strany ujednávaji. že tímto ustanovením není dotčeno udělení Pokynu Správce ke zpracováni Osobních
údajů Správce, který tato Smlouva předvídá.
13.8 Tato Smlouva nabývá účinnosti dnem podpisu obou Smluvních stran.
strana 10 | stran 17
.(-Zpracovatel-)
V dne
Lč. 1: PODROBNOSTI O ZPRACOVANÍ OSOBNÍCH UDAJU SPRÁVCE
Tato příloha 1 obsahuje některé podrobnosti o zpracováni osobních údajů správce, jak vyžaduje čl. 28 odst. 3 GDPR.
Čislo a název akce: 27ZA-002230; Instalace a montáž klimatizace v provozní budově SSÚD Kocourovec
1 Předmět a trvání zpracováni osobních údajů Správce
Předmětem zpracováni osobnfch údajů jsou tyto kategorie:
Adresní a identifikační údaje
Doba trváni zpracováni osobních údajů Správce je totožná s dobou trváni Hlavní smlouvy, pokud z ustanoveni Smlouvy nebo z Pokynu Správce
nevyplývá, že máji trvat i po zániku jeji účinnosti.
2 Povaha a účel zpracování osobních údajů správce
Povaha zpracováni osobních údajů Správce Zpracovatelem je:
& Zpracováni
□ Automatizované zpracováni
□ Profilováni nebo automatizované rozhodováni
strana 11 | stran 17
Účelem zpracováni osobnich údajů Správce Zpracovatelem je:
příprava a realizace stavebních prací
3 Druh osobních údajů správce, které mají být zpracovány
Druh osobnich údajů (zaškrtněte):
X Osobni údaje (viz výše odst. 1)
□ Osobní údaje zvláštní kategorie dle čl. 9 GDPR
4 Kategorie subjektů údajů, které jsou zpracovávány pro správce
Nejsou
strana 12 | stran 17
P Ř ÍLO H A č. 2: TE C H N IC K Á A O R G A N IZ A Č N Í O P A TŘ E N Í
1. Organizační bezpečnostní opatření
1.1. Správa zabezpečení
a. Bezpečnostní politika a postupy: Zpracovatel musí mit dokumentovanou bezpečnostní politiku týkající se zpracování osobních údajů.
b. Role a odpovědnosti:
i. role a odpovědnosti související se zpracováním osobních údajů jsou jasně definovány a přiděleny v souladu s bezpečnostní politikou;
li. během interních reorganizaci nebo při ukončeni a změně zaměstnání je ve shodě s příslušnými postupy jasně definováno zrušeni
práv a povinností.
c. Politika řízení přístupu: každé roli. která se podílí na zpracováni osobních údajů, jsou přidělena specifická práva k řízeni přístupu podle zásady
”need-to-know."
d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro zpracováni osobních údajů (hardwaru, softwaru a sítě). Je určena
konkrétní osoba, která je odpovědná za udržováni a aktualizaci tohoto registru (např. manažer IT).
e. Řizení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly registrovány a monitorovány konkrétní osobou (např. IT manažer
nebo manažer bezpečnosti). Je zavedeno pravidelné monitorováni tohoto procesu.
1.2. Reakce na incidenty a kontinuita provozu
a. Řízeni incidentů / porušeni osobních údajů:
i. je definován plán reakce na incidenty s podrobnými postupy, aby byla zajištěna účinná a včasná reakce na incidenty týkající se
osobních údajů;
ii. Zpracovatel bude bez zbytečného odkladu informovat Správce o jakémkoli bezpečnostním incidentu, který vedl ke ztrátě, zneužiti
nebo neoprávněnému získáni jakýchkoli osobních údajů.
strana 13 | stran 17
b. Kontinuita provozu: Zpracovatel stanoví hlavni postupy a opatřeni, které jsou dodržovány pro zajištěni požadované úrovně kontinuity a
dostupnosti systému zpracování osobních údajů (v případě incidentu / porušeni osobních údajů).
1.3. Lidské zdroje
a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby všichni zaměstnanci rozuměli svým odpovědnostem a povinnostem týkajících se
zpracováni osobních údajů; role a odpovědnost jsou jasně komunikovány během procesu před nástupem do zaměstnáni a / nebo při zácviku;
b. Školeni: Zpracovatel zajišťuje, že všichni zaměstnanci jsou dostatečně informováni o bezpečnostních opatřeních IT systému, která se vztahuji
k jejich každodenní práci: zaměstnanci, kteři se podílejí na zpracováni osobnich údajů, jsou rovněž řádně informováni o příslušných
požadavcích na ochranu osobních údajů a právních závazcích prostřednictvím pravidelných informačních kampani.
2. Technická bezpečnostní opatření
2.1. Kontrola přístupu a autentizace
a. Je implementován systém řízení přístupu, který je použitelný pro všechny uživatele přistupující k IT systému. Systém umožňuje vytvářet,
schvalovat, kontrolovat a odstraňovat uživatelské účty.
b. Je vyloučeno používáni sdílených uživatelských účtů. V případech, kdy je to nezbytné je zajištěno, že všichni uživatelé společného účtu máji
stejné role a povinnosti.
c. Při poskytování přístupu nebo pňřazování uživatelských rolí je nutno dodržovat zásadu "need-to-know", aby se omezil počet uživatelů, kteři
mají přistup k osobním údajům pouze na ty. kteří je potřebuji pro naplněni procesních cilú zpracovatele.
d. Tam, kde jsou mechanismy autentizace založeny na heslech. Zpracovatel zajišťuje, aby heslo mělo alespoň osm znaků a vyhovovalo
požadavkům na velmi silná hesla, včetně délky, složitosti znaků a neopakovatelnosti.
e. Autentifikačni pověřeni (například uživatelské jméno a heslo) se nikdy nesměji předávat přes síť.
2.2. Logování a monitorováni
a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro zpracováni osobnich údajů. Log soubory obsahuji všechny typy
přístupu k údajům (zobrazeni, modifikace, odstranění).
strana 14 | stran 17
2.3. Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze
i. Databázové a aplikační servery jsou nakonfigurovány tak. aby fungovaly pomocí samostatného účtu s minimálním oprávněním
operačního systému pro zajištění řádné funkce.
ii. Databázové a aplikační servery zpracovávají pouze osobni údaje, které jsou pro naplněni účelů zpracováni skutečně nezbytné,
b. Zabezpečeni pracovní stanice
i. Uživatelé nemohou deaktivovat nebo obejít nastavení zabezpečeni.
ii. Jsou pravidelně aktualizovány antivirové aplikace a detekční signatury.
iii. Uživatelé nemají oprávněni k instalaci nebo aktivaci neoprávněných softwarových aplikaci.
iv. Systém má nastaveny časové limity pro odhlášení, pokud uživatel neni po určitou dobu aktivní.
v. Jsou pravidelně instalovány kritické bezpečnostní aktualizace vydané vývojářem operačního systému.
2.4. Zabezpečení sítě / komunikace
a. Kdykoli je přistup prováděn přes internet, je komunikace šifrována pomoci kryptografických protokolů.
b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a IDS (Intrusion Detection Systems).
2.5. Zálohováni
a. Jsou definovány postupy zálohováni a obnovení údajů, jsou zdokumentovány a jasně spojeny s úlohami a povinnostmi.
b. Zálohováni je poskytována odpovídající úroveň fyzické ochrany a ochrany životního prostředí.
c. Je monitorována úplnost prováděních záloh.
2.5. Mobilní / přenosná zařízeni
strana 15 | stran 17
a. Jsou definovány a dokumentovány postupy pro řízeni mobilních a přenosných zařízeni a jsou stanovena jasná pravidla pro jejich správné
použivání.
b. Jsou předem registrována a předem autorizována mobilní zařízeni, která mají přístup k informačnímu systému.
2.7. Zabezpečení životního cyklu aplikace
a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepši a nejmodemějšich postupy a uznávané postupy bezpečného vývoje nebo
odpovídajici normy.
2.8. Vymazáni / odstraněni údajů
a. Před vyřazením médii bude provedeno jejich přepsání pň použiti software. V případech, kdy to není možné (CD. DVD atd.). bude provedena
jejich fyzická likvidace / destrukce.
b. Je prováděna skartace papírových dokumentů a přenosných médii sloužících k ukládáni osobních údajů.
2.9. Fyzická bezpečnost
a. Fyzický perimetr infrastruktury informačního systému není přístupný neoprávněným osobám. Musi být zavedena vhodná technická opatřeni
(např. turniket ovládaný čipovou kartou, vstupní zámky) nebo organizační opatřeni (např. bezpečnostní ostraha) pro ochranu zabezpečených
oblastí a jejich přístupových míst proti vstupu neoprávněných osob.
strana 16 | stran 17
PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE
Seznam schválených podzpracovatelů. Uveďte prosím (i) úplný název podzpracovatele; (ii) činnosti zpracováni; (iii) umístění středisek služeb.
č. Schválený Činnost zpracování Umístěni středisek služeb
podzpracovatel
1.
strana 17 | stran 17
I