Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Siemens, s.r.o., o.z. Elektromotory Frenštát Příloha č. 6
Dohoda o zpracování údajů („DPA“) – společnost Siemens jako poskytovatel
Článek 1. Vymezení pojmů
1.1 „Smlouva“ znamená Smlouva o zajištění praktického vyučování žáků z …………….2020.
1.2 „Platné právní předpisy o ochraně údajů“ znamenají právní předpisy chránící základní práva
a svobody osob, zejména jejich právo na soukromí s ohledem na zpracování osobních údajů dle
této DPA.
1.3 „Správce“ znamená Společnost a případně další příjemce služeb, kteří samostatně nebo
společně s jinými určují účel a prostředky zpracování osobních údajů.
1.4 „Země s rozhodnutím o odpovídající ochraně“ znamená zemi mimo EHP, území nebo jeden
či více vymezených sektorů nebo příjemců, pokud Evropská komise rozhodla, že tato země nebo
území nebo jeden či více vymezených sektorů nebo příjemců zajišťují odpovídající úroveň
ochrany ve smyslu platných právních předpisů o ochraně údajů.
1.5 „DPA“ znamená tuto dohodu o zpracování údajů.
1.6 „Naléhavá výměna“ znamená krátkodobou výměnu dílčího zpracovatele, která je nezbytná (i)
kvůli události, již společnost Siemens nemůže rozumně zvládnout, a (ii) za účelem zajištění
nepřetržitého poskytování služeb (například pokud dílčí zpracovatel neočekávaně ukončí
obchodní činnost, náhle přeruší služby poskytované společnosti Siemens nebo poruší své
smluvní povinnosti vůči společnosti Siemens).
1.7 „Dohoda o modelových doložkách EU“ znamená standardní smluvní doložky pro předávání
osobních údajů zpracovatelům usazeným v třetích zemích podle rozhodnutí Komise 2010/87/EU
z 5. února 2010 nebo jakoukoli novou dohodu zveřejněnou Evropskou komisí.
1.8 „Další příjemce služeb“ znamená třetí osobu (např. přidruženou společnost Společnosti), která
má právo na to, aby jí byly poskytnuty služby v souladu s podmínkami smlouvy.
1.9 „Dílčí zpracovatel mimo EHP“ znamená dílčího zpracovatele, který zpracovává osobní údaje
mimo zemi s rozhodnutím o odpovídající ochraně nebo který má přístup k osobním údajům ze
země, která není zemí s rozhodnutím o odpovídající ochraně.
1.10 „Osobní údaje“ mají význam, který tomuto pojmu připisují platné právní předpisy o ochraně
údajů, a pro účely této DPA tento pojem zahrnuje jen takové osobní údaje, které společnost
Siemens zpracovává jako zpracovatel Společnosti a/nebo dalšího příjemce služeb.
1.11 „Porušení zabezpečení osobních údajů“ znamená porušení zabezpečení, které vede k
náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo
zpřístupnění osobních údajů zpracovávaných dle podmínek této DPA.
1.12 „Zpracovatel“ znamená fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo
jiný subjekt, který zpracovává osobní údaje pro správce.
1.13 „Zpracování“ znamená jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory
osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je
shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění,
vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,
seřazení či zkombinování, omezení, výmaz nebo zničení.
1.14 „Dílčí zpracovatel certifikovaný dle Úmluvy o ochraně soukromí“ znamená – v souvislosti
se správci se sídlem v EHP – dílčího zpracovatele certifikovaného dle Úmluvy o ochraně
soukromí mezi Evropskou unií a Spojenými státy, nebo – v souvislosti se správci se sídlem ve
Švýcarsku – dle Úmluvy o ochraně soukromí mezi Švýcarskem a Spojenými státy.
1.15 „Služba“ znamená službu poskytovanou na základě smlouvy, která zahrnuje zpracování
osobních údajů ze strany společnosti Siemens v postavení zpracovatele pro Společnost a
případně pro další příjemce služeb, kteří jednají jako zodpovědný správce. Služby jsou blíže
vymezeny v příloze č. 1.
1.16 „Dílčí zpracovatel“ znamená dalšího zpracovatele, jehož společnost Siemens najme při výkonu
služeb poskytovaných v souladu s podmínkami této DPA. Dílčí zpracovatel znamená jen
subdodavatele s přístupem k osobním údajům, subdodavatel bez přístupu k osobním údajům
není dílčím zpracovatelem ve smyslu této DPA.
Článek 2. Účel a působnost DPA
2.1 Tato DPA představuje písemnou dohodu mezi Společností a společností Siemens o zadání
zpracování údajů a vztahuje se na služby poskytované na základě smlouvy, které zahrnují
zpracování osobních údajů ze strany společnosti Siemens v postavení zpracovatele pro
Společnost a případně pro další zpracovatele služeb, kteří jednají jako zodpovědný správce.
2.2 Tato DPA stanoví práva a povinnosti Společnosti a společnosti Siemens související s ochranou
údajů, pokud jde o služby zachycené v této DPA; všechna ostatní práva a povinnosti se řídí
výlučně ostatními částmi smlouvy.
2.3 Společnost Siemens bude osobní údaje zpracovávat výlučně v souladu s podmínkami smlouvy
(včetně podmínek této DPA).
2.4 Při poskytování služeb bude společnost Siemens dodržovat všechny zákony a právní předpisy o
ochraně údajů, které se obecně na zpracovatele vztahují. Společnost odpovídá za dodržování
všech zákonů a právních předpisů, které se na ni vztahují (zejména zákonů a právních předpisů,
které se vztahují na správce), a zajistí – i ve vztahu k případným dalším příjemcům služeb, aby
společnost Siemens a její dílčí zpracovatelé mohli služby poskytovat jako zpracovatel či dílčí
zpracovatel tak, jak je popsáno v této DPA.
2.5 Společnost Siemens je oprávněna osobní údaje sdělit nebo k jejich sdělení zmocnit své dílčí
zpracovatele, pokud je to nutné kvůli dodržení platných právních předpisů a/nebo splnění
závazných žádostí státních úřadů či regulačních orgánů určených společnosti Siemens nebo
některému jejímu dílčímu zpracovateli. V případě takové žádosti se společnost Siemens nebo
dílčí zpracovatel pokusí přesměrovat státní úřad nebo regulační orgán na Společnost, a pokud
jim to zákon nezakazuje, s dostatečným předstihem vyrozumí Společnost o tom, že společnost
Siemens nebo její dílčí poskytovatel mají tyto informace sdělit.
Důvěrné
2.6 V případě rozporu mezi ustanoveními této DPA a ostatními ustanoveními smlouvy budou mít ve
vztahu k povinnostem smluvních stran souvisejícím s ochranou údajů přednost ustanovení této
DPA. V pochybnostem o tom, zda se ustanovení jiných takových ujednání týkají povinností
smluvních stran souvisejících s ochranou údajů, bude mít přednost tato DPA.
Článek 3. Podrobnosti o operacích zpracování prováděných společností Siemens
Podrobnosti o operacích zpracování prováděných společností Siemens – zejména o druzích
zpracovávaných osobních údajů a o kategoriích dotčených subjektů údajů – jsou uvedeny v příloze č. 1.
Článek 4. Právo udělovat pokyny
4.1 Společnost Siemens bude jako zpracovatel jednat výhradně dle pokynů Společnosti. Smluvní
strany se dohodly, že smlouva a tato DPA představují úplné a konečné pokyny Společnosti
ohledně zpracování osobních údajů, a to včetně zpracování prováděného dílčím zpracovatelem v
souladu se modelovými doložkami EU (doložka 5 písm. a) modelových doložek EU).
4.2 Společnost Siemens vyvine přiměřené obchodní úsilí, (i) aby postupovala v souladu s dalšími
pokyny Společnosti a aby tyto pokyny dodržela, a (ii) aby Společnost podpořila při plnění jejích
povinností plynoucích z platných právních předpisů o ochraně údajů, pokud jsou body (i) a (ii)
technicky proveditelné a nevyžadují zásadní úpravy služeb (nebo základního softwaru). Na
bodech (i) a (ii) se společnost Siemens a Společnost musí dohodnout písemně a tyto body
mohou být spojeny s dodatečnými náklady. V případě, že kvůli povinným zákonným požadavkům
budou potřeba doplňující nebo náhradní pokyny a společnosti Siemens a Společnosti se
nepodaří dospět k dohodě v souladu s tímto článkem 4.2, bude mít Společnost právo smlouvu
ukončit.
Článek 5. Technická a organizační opatření
Při poskytování služeb společnost Siemens splní technická a organizační opatření popsaná v příloze č. 2.
Společnost je srozuměna a souhlasí s tím, že technická a organizační opatření závisí na technickém
pokroku a rozvoji. V tomto ohledu bude mít společnost Siemens právo přijmout odpovídající náhradní
opatření, pokud bude zachována úroveň bezpečnosti opatření.
Článek 6. Závazek k utajení údajů
Společnost Siemens (i) svým zaměstnancům poskytne podrobné oznámení o platných zákonných a
smluvních ustanoveních, která se týkají ochrany údajů, a (ii) nařídí jim, aby osobní údaje nezpracovávali
bez řádného zmocnění (povinnost zachovávat utajení údajů).
Článek 7. Dílčí zpracovatelé
7.1 Společnost Siemens si může najmout dílčí zpracovatele jen s předchozím souhlasem
Společnosti, který nebude bezdůvodně odpírán. Společnost tímto schvaluje zapojení dílčích
zpracovatelů uvedených v [např. v určité části smlouvy, v příloze ke smlouvě nebo webovém
nástroji, který obsahuje seznam dílčích zpracovatelů atd.]. Společnost Siemens s každým dílčím
zpracovatelem uzavře písemnou smlouvu, kterou budou dílčímu zpracovateli uloženy
odpovídající smluvní povinnosti zajišťující minimálně stejnou úroveň ochrany jako tato DPA, a na
písemnou žádost Společnosti jí předloží kopii příslušné smlouvy, v níž společnost Siemens může
Důvěrné
vymazat obchodně nebo jinak důvěrné informace, pokud daná smlouva takové obchodně nebo
jinak důvěrné informace obsahuje.
7.2 Společnost Siemens je oprávněna odebírat nebo přidávat nové dílčí zpracovatele. Nové dílčí
zpracovatele Společnost schválí dle následujícího postupu:
(i) Společnost Siemens vyrozumí Společnost nejméně deset (10) dnů předtím, než novému
dílčímu zpracovateli umožní přístup k osobním údajům Společnosti [na základě
aktualizace příslušných webových stránek a zajištění mechanismu, díky němuž
Společnost obdrží upozornění na aktualizaci].
(ii) Pokud Společnost v této desetidenní (10) lhůtě nepředloží společnosti Siemens
odůvodněné námitky, bude se tato skutečnost považovat za schválení nového dílčího
zpracovatele za předpokladu, že společnost Siemens ve svém vyrozumění Společnost
o tomto důsledku informovala.
(iii) Pokud Společnost předloží společnosti Siemens námitky, společnost Siemens bude mít
právo smlouvu vypovědět se čtrnáctidenní (14) výpovědní dobou, ledaže se dle svého
uvážení rozhodne (a) pokračovat v poskytování služby bez zapojení dílčího
zpracovatele, vůči němuž má Společnost námitky, (b) přijmout dostatečné kroky k
vyřešení obav uvedených v námitce Společnosti, nebo (c) po dohodě se Společností
ukončit poskytování konkrétního aspektu služby, které by zahrnovalo využití dílčího
zpracovatele.
7.3 Pokud dílčí zpracovatel nesplní své povinnosti, společnost Siemens bude Společnosti plně
odpovídat za splnění povinností dílčího zpracovatele. Společnost Siemens nicméně nebude
odpovídat za škody a nároky vyplývající z pokynů, které Společnost dílčímu zpracovateli udělila.
7.4 Společnost Siemens je oprávněna provádět naléhavé výměny dílčích zpracovatelů. V takovém
případě společnost Siemens o naléhavé výměně bez zbytečného prodlení vyrozumí Společnost a
po doručení oznámení Společnosti se přiměřeně použije postup schválení popsaný v čl. 7.2.
Článek 8. Dílčí zpracovatelé mimo EHP a dílčí zpracovatelé certifikovaní dle Úmluvy
o ochraně soukromí
8.1 V případě, že společnost Siemens pověří dílčího zpracovatele mimo EHP, uplatní se vedle
požadavků uvedených v článku 7 také následující:
(i) Společnost Siemens jménem Společnosti a případných dalších příjemců služeb
usazených v EHP nebo ve Švýcarsku uzavře s tímto dílčím zpracovatelem dohodu o
modelových doložkách EU, která bude zachycovat část služeb zadaných subdodavateli.
(ii) Společnost tímto (a) uděluje společnosti Siemens plnou moc k uzavření dohody o
modelových doložkách EU, (b) výslovně zmocňuje společnost Siemens k uzavření
dohody o modelových doložkách EU jménem a na účet Společnosti a jménem a na účet
příslušného dílčího zpracovatele (pokud dílčí zpracovatel udělil společnosti Siemens
příslušnou plnou moc), (c) zmocňuje společnost Siemens k výkonu práv a oprávnění vůči
dílčímu zpracovateli, která vyplývají z dohody o modelových doložkách EU, a (d) v
případě, že jsou služby poskytovány také ve vztahu k dalším příjemcům služeb, výslovně
Důvěrné
prohlašuje, že je oprávněna společnost Siemens zmocnit tak, jak je popsáno pod písm.
(a) až (c), také jménem dalších příjemců služeb1.
(iii) V rozsahu, v jakém dohoda o modelových doložkách EU poskytuje Společnosti a/nebo
dalším příjemcům služeb práva vůči společnosti Siemens a/nebo dílčím zpracovatelům, a
nepožaduje-li kogentní právní úprava něco jiného, Společnost bude sloužit jako jediné
kontaktní místo pro společnost Siemens a dílčí zpracovatele a jakákoli práva vůči
společnosti Siemens a/nebo dílčím zpracovatelům bude vlastním jménem nebo případně
jménem příslušného dalšího příjemce služeb vykonávat prostřednictvím společnosti
Siemens.
8.2 V případě, že společnost Siemens pověří dílčího zpracovatele certifikovaného dle Úmluvy o
ochraně soukromí, smluvně tohoto dílčího zpracovatele certifikovaného dle Úmluvy o ochraně
soukromí zaváže k tomu, aby po dobu platnosti této DPA zachoval platnost stávající certifikace
dle Úmluvy o ochraně soukromí zahrnující (i) služby a (ii) příslušné osobní údaje zpracovávané v
souladu s podmínkami této DPA.
Článek 9. Oprava nebo výmaz osobních údajů a omezení zpracování
Společnost Siemens na základě vlastního uvážení buď
(i) umožní Společnosti opravu nebo výmaz osobních údajů nebo omezení zpracování osobních
údajů prostřednictvím funkcí poskytovaných služeb, nebo
(ii) opraví nebo vymaže osobní údaje nebo omezí zpracování osobních údajů dle pokynů
Společnosti.
Článek 10. Ukončení
Doba platnosti této DPA bude shodná s dobou platnosti smlouvy. Nedohodnou-li se smluvní strany jinak,
společnost Siemens po ukončení DPA vymaže všechny osobní údaje, které jí byly zpřístupněny nebo
které v souvislosti se službami získala nebo vygenerovala pro Společnost. Společnost Siemens tento
výmaz na požádání písemně potvrdí.
Článek 11. Oznamovací povinnosti
11.1 Společnost Siemens bez zbytečného prodlení vyrozumí Společnost o každém porušení
zabezpečení osobních údajů, jakmile se o něm dozví. Společnost Siemens je povinna (i) se
Společností přiměřeně spolupracovat při vyšetřování daného porušení zabezpečení osobních
údajů, (ii) poskytnout Společnosti přiměřenou pomoc při plnění případné povinnosti oznámit
porušení zabezpečení vyplývající z platných právních předpisů o ochraně údajů, a (iii) zahájit
příslušná a přiměřená nápravná opatření.
11.2 Společnost Siemens bez zbytečného prodlení vyrozumí Společnost (i) o stížnostech nebo
požadavcích subjektů údajů, jejichž osobní údaje se na základě této DPA zpracovávají (např.
ohledně opravy nebo výmazu osobních údajů a omezení zpracování osobních údajů), nebo (ii) o
příkazech nebo požadavcích příslušného dozorového úřadu nebo soudu. Společnost Siemens na
1 V případě, že řešení prostřednictvím plné moci není u klienta uskutečnitelné (např. kvůli nezpůsobilosti k udělení plné moci
společnosti Siemens jménem dalších příjemců služeb), obraťte se prosím s otázkou dalších možných řešení na LC C DP, aby bylo
možné zajistit dostatečnou ochranu tohoto předání údajů.
Důvěrné
požádání poskytne Společnosti pomoc při vyřizování těchto stížností, požadavků nebo příkazů.
Tato pomoc půjde na náklady Společnosti a bude hrazena na základě času a spotřebovaného
materiálu, ledaže příslušnou stížnost, požadavek nebo příkaz zavinila společnost Siemens.
Článek 12. Audity
12.1 Společnost má právo vhodnými prostředky v souladu s čl. 12.2 a 12.3 níže jednou ročně i
příležitostně zkontrolovat plnění povinností souvisejících s ochranou údajů, které vyplývají z této
DPA, ze strany společnosti Siemens a dílčích zpracovatelů (zejména pokud jde o technická a
organizační opatření); tyto kontroly jsou omezeny na systémy zpracovávání informací a údajů,
které souvisí s poskytováním služeb.
12.2 Společnost Siemens a dílčí zpracovatelé smí uchovávat certifikace nebo zprávy o auditu
zachycující služby zpracování. Společnost souhlasí s tím, aby tyto certifikace a zprávy o auditu
byly použity pro účely auditorských práv společnosti vyplývajících z této DPA. Společnost
Siemens na žádost Společnosti předloží takové (i) příslušné výňatky ze zpráv o auditu a (ii)
informace a dokumentaci k platným certifikacím, které jsou ohledně dotčených služeb k dispozici.
Předložené zprávy o auditu, informace a dokumenty budou představovat důvěrné informace
společnosti Siemens.
12.3 Výlučně v případě, kdy předložené certifikace a zprávy o auditu nestačí k tomu, aby Společnost
splnila platné požadavky a povinnosti ohledně auditu vyplývající z platných právních předpisů o
ochraně údajů, může Společnost na vlastní náklady (i) požadovat doplňující informace a
dokumentaci a (ii) na základě včasného předchozího upozornění provést v souladu s
bezpečnostními politikami společnosti Siemens a platnými právními předpisy o ochraně údajů
další audit kontrolního prostředí a zabezpečovacích postupů společnosti Siemens, které se týkají
osobních údajů zpracovávaných dle této DPA, aniž by přitom narušila obchodní činnost
společnosti Siemens.
Důvěrné
Příloha č. 1 k dohodě o zpracování údajů
Popis operací zpracování
Subjekty údajů
Zpracovávané osobní údaje se týkají následujících kategorií subjektů údajů:
studenti učebních oborů školy přidělení na odbornou praxi do Společnosti Siemens
Kategorie údajů
Zpracovávané osobní údaje se týkají následujících kategorií údajů:
Jméno a příjmení žáka, adresa trvalého bydliště.
Zvláštní kategorie údajů (v příslušných případech)
Předávané osobní údaje se týkají následujících zvláštních kategorií údajů (prosím specifikujte):
„Žádné“
Operace zpracování
Předávané osobní údaje budou podrobeny následující základním úkonům zpracování:
Navedení do docházkového systému Společnosti Siemens a příprava čipové karty za účelem zpracování
odměny za produktivní práci žáků.
Důvěrné
Příloha č. 2 k dohodě o zpracování údajů
Technická a organizační bezpečnostní opatření
Popis technických a organizačních bezpečnostních opatření zavedených společností Siemens:
Společnost Siemens zavede vhodná opatření odpovídající povaze a druhu příslušných osobních údajů
nebo kategorií zpracovávaných osobních údajů a rizikům spojeným se zpracováním,
1. aby neoprávněným osobám zabránila v přístupu k systémům zpracování údajů, jejichž pomocí se
osobní údaje zpracovávají nebo používají (kontrola přístupu),
Opatření: technické zabezpečení budovy, místnosti i PC
2. aby zabránila neoprávněnému užívání systémů zpracování údajů (kontrola přístupu),
Opatření: ochrana prostřednictvím hesla
3. aby zajistila, že osoby oprávněné používat systém zpracování údajů mají přístup jen k takovým
údajům, k nimž mají právo přístupu, a aby osobní údaje nebylo možné během zpracování nebo
používání a po uložení přečíst, zkopírovat, upravit nebo vymazat bez oprávnění (kontrola
přístupu),
Opatření: ochrana prostřednictvím hesla, koncepce udělování oprávnění a šifrování
4. aby zajistila, že osobní údaje nelze během elektronického přenosu nebo předání přečíst,
zkopírovat, upravit nebo vymazat bez oprávnění, a že je možné zkontrolovat a zjistit, kterým
subjektům je předání osobních údajů prostřednictvím zařízení pro přenos dat určeno (kontrola
přenosu),
Opatření: protokoly pro zpracování údajů, šifrování údajů
5. aby zajistila, že je možné zkontrolovat a zjistit, zda a kým byly osobní údaje vloženy do systémů
zpracování údajů, upraveny nebo vymazány (kontrola vstupů),
Opatření: koncepce udělování oprávnění a protokoly pro zpracování údajů
6. aby zajistila, že v případě, kdy je zpracování osobních údajů zadáno třetí osobě, jsou údaje
zpracovávány přísně v souladu s pokyny správce (kontrola zakázky),
Opatření: školení zaměstnanců a informování zaměstnanců
7. aby zajistila, že osobní údaje jsou chráněny před náhodným zničením nebo ztrátou (kontrola
dostupnosti),
Opatření: pravidelné zálohování a opatření k zabezpečení údajů
8. aby zajistila, že údaje shromážděné pro odlišné účely jsou zpracovány samostatně,
Opatření: koncepce uchovávání údajů, oddělené IT systémy
Důvěrné