Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
JS/0267/2024/VIS
Smlouva o zpracování osobních
údajů
Město Valašské Meziříčí
a
Medical Information Technologies s.r.o.
Obsah
STRANY
SMLUVNÍ PODMÍNKY
1 Účel a oblast působnosti
2 Výklad
3 Popis zpracování
4 Povinnosti stran
5 Pomoc poskytovaná Správci
6 Ohlašování případů porušení zabezpečení osobních údajů
7 Závěrečná ustanovení
PODPISOVÁ STRANA
PŘÍLOHY
PŘÍLOHA 1 – POPIS ZPRACOVÁNÍ
PŘÍLOHA 2 – TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ
ZABEZPEČENÍ ÚDAJŮ
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper
Tato smlouva („Smlouva“) je uzavřena mezi níže uvedenými stranami („Strany“)
Strany
(1) Město Valašské Meziříčí, se sídlem Náměstí 7/5, 757 01 Valašské Meziříčí, IČO: 00304387,
DIČ: CZ00304387, zastoupená
(„Správ
(2) Medical Information Technologies, s.r.o., se sídlem Vachova 43/5, Brno–město, 602 00
Brno, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně v oddíle C, číslo
vložky 86630, IČO: 03759865, DIČ: CZ03759865, zastoupená
(„Zpracovatel“)
Preambule
A Strany spolu současně s touto smlouvou uzavírají smlouvu o poskytování služeb – Portál
bezpečí („Smlouva o poskytování služeb“)
B Vzhledem ke skutečnosti, že v souvislosti se Smlouvou o poskytování služeb bude Správce,
jako správce osobních údajů předávat Zpracovatel, jako zpracovateli osobních údajů osobní
údaje, uzavírají Strany tuto Smlouvu.
Smluvní podmínky
1 Účel a oblast působnosti
1.1 Účelem této Smlouvy je zajistit soulad s ustanoveními čl. 28 odst. 2, 3 4 a 10 nařízení
Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („GDPR“)
a zákona č. 110/2019 Sb.,zákon o zpracování osobních údajů („zákon“).
1.2 Strany se dohodli na této Smlouvě, aby zajistili soulad s čl. 28 odst. 2, 3 4 a 10 GDPR a/nebo
čl. 29 odst. 2, 3 4 a 10 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23.
října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány,
institucemi a jinými subjekty Unie a o volném pohybu těchto údajů („EDPS“).
1.3 Zpracovatel se zavazuje při zpracování osobních údajů postupovat v souladu s GDPR,
zákonem a EDPS.
1.4 Tato Smlouva se uplatňuje na zpracování osobních údajů, jak je upřesněno v příloze 1.
1.5 Přílohy 1 až 3 jsou nedílnou součástí této Smlouvy.
1.6 Touto Smlouvou nejsou dotčeny povinnosti, které Správce musí plnit na základě GDPR
a/nebo EDPS.
1.7 Tato Smlouva sama o sobě nezajišťuje soulad s povinnostmi týkajícími se mezinárodního
předávání podle kapitoly V GDPR a/nebo EDPS.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 1
2 Výklad
2.1 V případech, kdy tato Smlouva používá pojmy definované v GDPR nebo EDPS, mají tyto
pojmy stejný význam jako v uvedeném nařízení.
3 Popis zpracování
3.1 Zpracovatel zpracovává osobní údaje pouze na základě písemně doložených pokynů
Správce (včetně pokynů vyplývajících z této Smlouvy a Smlouvy o poskytování služeb),
pokud mu takové zpracování neukládá právo Unie nebo členského státu, které se na Správce
vztahuje. V tomto případě Zpracovatel Správce informuje o uvedeném právním požadavku
před zpracováním, pokud to právní předpisy nezakazují z důvodů důležitého veřejného
zájmu. Po celou dobu zpracování osobních údajů může Správce rovněž vydávat další
pokyny. Tyto pokyny musí být vždy písemně doloženy.
3.2 Zpracovatel neprodleně informuje Správce v případě, že dle jeho názoru pokyny Správce
porušují GDPR / EDPS nebo příslušná ustanovení Unie nebo členského státu o ochraně
údajů.
4 Povinnosti stran
Pokyny
4.1 Zpracovatel zpracovává osobní údaje pouze na základě písemně doložených pokynů
Správce (včetně pokynů vyplývajících z této Smlouvy a Smlouvy o poskytování služeb),
pokud mu takové zpracování neukládá právo Unie nebo členského státu, které se na Správce
vztahuje. V tomto případě Zpracovatel Správce informuje o uvedeném právním požadavku
před zpracováním, pokud to právní předpisy nezakazují z důvodů důležitého veřejného
zájmu. Po celou dobu zpracování osobních údajů může Správce rovněž vydávat další
pokyny. Tyto pokyny musí být vždy písemně doloženy.
4.2 Zpracovatel neprodleně informuje Správce v případě, že dle jeho názoru pokyny Správce
porušují GDPR / EDPS nebo příslušná ustanovení Unie nebo členského státu o ochraně
údajů.
Omezení účelu
4.3 Zpracovatel zpracovává osobní údaje pouze pro konkrétní účel nebo účely zpracování, jak je
stanoveno v příloze 1, pokud od Správce neobdrží další pokyny.
Doba trvání zpracování osobních údajů
4.4 Zpracování Zpracovatelem probíhá pouze po dobu stanovenou v příloze 1.
Zabezpečení zpracování
4.5 Za účelem zajištění bezpečnosti osobních údajů musí Zpracovatel zavést přinejmenším
technická a organizační opatření uvedená v příloze 2. Součástí těchto opatření musí být
ochrana údajů před narušením bezpečnosti, které by vedlo k jejich náhodnému nebo
protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k nim
(porušení zabezpečení osobních údajů). Při posuzování vhodné úrovně zabezpečení vezmou
strany v úvahu aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účely
zpracování a rizika pro subjekty údajů.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 2
4.6 Zpracovatel poskytne svým zaměstnancům přístup ke zpracovávaným osobním údajům
pouze v rozsahu nezbytně nutném pro provádění, správu a kontrolu předmětu Smlouvy.
Zpracovatel zajistí, aby se osoby oprávněné zpracovávat obdržené osobní údaje zavázaly k
mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
Zpracování zvláštních kategorií osobních údajů
4.7 Pokud zpracování zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu,
politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v
odborech, genetické nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby,
údaje o zdravotním stavu nebo o sexuálním životě či sexuální orientaci dané osoby nebo
údaje týkající se odsouzení v trestních věcech a trestných činů (dále jen „citlivé údaje“),
uplatní Zpracovatel zvláštní omezení nebo další záruky.
4.8 Zpracování citlivých údajů strany nepředpokládají. Pokud by k takovému zpracování mělo
docházet, může se tak dít výhradně z důvodů dle a na základě ustanovení čl. 9 odst. 2 písm.
g) GDPR, a strany v takové souvislosti uzavřou dodatek k této Smlouvě, kterým upraví svá
práva a povinnosti s takovým zpracováním související.
Dokumentace a soulad
4.9 Strany musí být schopny prokázat dodržování této Smlouvy.
4.10 Zpracovatel neprodleně a odpovídajícím způsobem vyřídí dotazy Správce, které se týkají
zpracovávání podle této Smlouvy.
4.11 Zpracovatel poskytne Správci na žádost informace potřebné k prokázání souladu s
povinnostmi stanovenými v této Smlouvě. Zpracovatel též v souladu s GDPR na žádost
Správce umožní audity činností zpracování.
4.12 Strany na požádání zpřístupní informace uvedené v bodě 5 Smlouvy, včetně výsledků
případných auditů, příslušnému dozorovému úřadu, respektive příslušným dozorovým
úřadům.
Využívání dílčích zpracovatelů údajů
4.13 Pokud Zpracovatel zapojí dílčího zpracovatele do provádění konkrétních činností zpracování
(jménem Správce), učiní tak prostřednictvím smlouvy, která ukládá dílčímu zpracovateli ve
všech podstatných ohledech stejné povinnosti v oblasti ochrany údajů, jaké jsou v souladu
s touto Smlouvou uloženy Zpracovateli údajů. Zpracovatel zajistí, aby dílčí Zpracovatel plnil
povinnosti, které se na Zpracovatele vztahují podle této Smlouvy a GDPR a/nebo EDPS.
Mezinárodní předávání údajů
4.14 Správce souhlasí s tím, že pokud Zpracovatel zapojí dílčího zpracovatele do provádění
konkrétních činností zpracováním (jménem Správce) a uvedené činnosti zahrnují předání
osobních údajů do třetí země nebo mezinárodní organizaci, mohou Zpracovatel a dílčí
zpracovatel zajistit soulad s GDPR použitím standardních smluvních doložek přijatých Komisí
v souladu s čl. 46 odst. 2 GDPR.
5 Pomoc poskytovaná Správci
5.1 Zpracovatel neprodleně informuje Správce o každé žádosti, kterou obdržel od subjektu údajů.
Na tuto žádost neodpovídá sám, pokud k tomu není Správcem zmocněn.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 3
6 Ohlašování případů porušení zabezpečení osobních údajů
6.1 V případě porušení zabezpečení osobních údajů Zpracovatel spolupracuje se Správcem a
pomáhá mu při plnění jeho povinností podle článků 33 a 34 GDPR nebo případně podle
článků 34 a 35 EDPS, přičemž zohlední povahu zpracování a informace, které má
Zpracovatel k dispozici.
Porušení zabezpečení údajů zpracovávaných Správcem
6.2 V případě porušení zabezpečení osobních údajů zpracovávaných Správcem Zpracovatel
napomáhá Správci:
(a) při ohlašování případů porušení zabezpečení osobních údajů příslušnému
dozorovému úřadu, respektive příslušným dozorovým úřadům, a to bez zbytečného
odkladu poté, co se o něm Správce dozvěděl, je-li to relevantní / (pokud je
nepravděpodobné, že by porušení zabezpečení osobních údajů vedlo k ohrožení
práv a svobod fyzických osob);
(b) při získávání následujících informací, které musí být podle čl. 33 odst. 3 GDPR
uvedeny v oznámení Správce, a to musí přinejmenším zahrnovat:
(i) povahu daného případu porušení zabezpečení osobních údajů včetně, pokud
je to možné, kategorií a přibližného počtu dotčených subjektů údajů a
kategorií a přibližného množství dotčených záznamů osobních údajů;
(ii) pravděpodobné důsledky porušení zabezpečení osobních údajů;
(iii) opatření přijatá nebo navržená k přijetí v souvislosti s porušením
zabezpečení osobních údajů, včetně případných opatření ke zmírnění
možných nepříznivých dopadů.
1. Pokud není možné poskytnout všechny tyto informace
najednou, musí původní oznámení obsahovat informace, které jsou v dané době
k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile
jsou dostupné.
(c) při plnění povinnosti v souladu s článkem 34 GDPR oznámit bez zbytečného odkladu
subjektu údajů porušení zabezpečení osobních údajů, pokud je pravděpodobné, že
dané porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro
práva a svobody fyzických osob.
Porušení zabezpečení údajů zpracovávaných Zpracovatelem
6.3 V případě porušení zabezpečení osobních údajů zpracovávaných Zpracovatelem o tom
Zpracovatel informuje Správce bez zbytečného odkladu poté, co se o tomto porušení
dozvěděl. Takové oznámení obsahuje alespoň:
(a) popis povahy daného případu porušení (včetně, pokud je to možné, kategorií a
přibližného počtu dotčených subjektů údajů a záznamů údajů);
(b) údaje o kontaktním místě, kde lze získat více informací o daném porušení
zabezpečení osobních údajů;
(c) pravděpodobné důsledky a opatření přijatá nebo navržená k přijetí v souvislosti s
porušením zabezpečení, a to včetně opatření ke zmírnění možných nepříznivých
dopadů.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 4
6.4 Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení
obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté
poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.
7 Závěrečná ustanovení
7.1 Aniž jsou dotčena jakákoli ustanovení GDPR a/nebo EDPS, pokud Zpracovatel poruší své
povinnosti podle této Smlouvy, může mu Správce nařídit, aby pozastavil zpracovávání
osobních údajů, dokud Zpracovatel nebude plnit povinnosti podle této Smlouvy, nebo dokud
nebude Smlouva vypovězena. Zpracovatel neprodleně informuje Správce v případě, že z
jakéhokoli důvodu není schopen plnit ustanovení této Smlouvy.
7.2 Správce je oprávněn vypovědět Smlouvu, pokud:
(a) Správce pozastavil podle bodu 7.1 zpracovávání osobních údajů Zpracovatelem a
plnění povinností podle této Smlouvy není obnoveno v přiměřené lhůtě a v každém
případě do jednoho měsíce od pozastavení;
(b) Zpracovatel závažně nebo trvale porušuje tuto Smlouvu nebo povinnosti, které pro
něj vyplývají z GDPR a/nebo EDPS;
(c) Zpracovatel neplní závazné rozhodnutí příslušného soudu nebo příslušného
dozorového úřadu, respektive příslušných dozorových úřadů týkající se jeho
povinností vyplývající z této Smlouvy nebo z GDPR a/nebo EDPS.
7.3 Zpracovatel je oprávněn vypovědět Smlouvu, pokud poté, co informoval Správce o tom, že
pokyny Správce porušují platné právní požadavky podle bodu 4.2, Správce na splnění těchto
pokynů trvá.
7.4 Tato Smlouva nabývá platnosti dnem jejího podpisu Smluvními stranami a účinnosti dnem
uveřejnění v registru smluv a skončí zánikem Smlouvy o poskytování služeb.
7.5 Po ukončení Smlouvy Zpracovatel podle volby Správce vymaže veškeré osobní údaje
zpracovávané jménem Správce a potvrdí Správci, že tak učinil, nebo vrátí veškeré osobní
údaje Správci a vymaže stávající kopie, pokud právo Unie nebo členského státu nepožaduje
uchovávání osobních údajů. Dokud nejsou osobní údaje vymazány nebo vráceny,
Zpracovatel nadále zajišťuje dodržování souladu s touto Smlouvou.
7.6 V případě že je tato Smlouva vyhotovena a podepsána v listinné podobě, je vyhotovena ve
třech (3) stejnopisech s platností originálu, podepsaných oprávněnými zástupci Smluvních
stran, z nichž Objednatel obdrží dvě (2) a Poskytovatel obdrží jedno (1) vyhotovení.
V případě, že je tato smlouva podepsána v elektronické podobě, mají ji obě smluvní strany
k dispozici, a to po jejím podepsání příslušnými elektronickými podpisy oprávněných zástupců
Smluvních stran.
7.7 Objednatel potvrzuje, že uzavření této smlouvy je v kompetenci vedoucího Oddělení vnitřního
informačního systému MěÚ Valašské Meziříčí na základě pověření Rady města Valašské
Meziříčí ze dne 08. 07. 2024 pod bodem R 45/57. Tato smlouva byla vyhotovena v souladu se
zákonem č. 128/2000 Sb., o obcích (obecní zřízení) ve znění pozdějších předpisů (§ 41).
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 5
Podpisová strana V Brně dne
„dle data el. podpisu“
Ve Valašském Meziříčí dne
„dle data el. podpisu“
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper | 6
Příloha 1 – Popis zpracování
1. Předmět zpracování
● zpracování osobních údajů osob, které prostřednictvím webové aplikace „Bezpečí“ budou
nahlašovat události spadající do kompetence obecní policie;
2. Povaha zpracování
● Osobní údaje jsou zpracovávány automatizovaně při komunikaci subjektu údajů s obecní
policií prostřednictvím webové aplikace „Bezpečí“;
3. Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány
● fyzické osoby;
4. Kategorie zpracovávaných osobních údajů
● polohové údaje o volajícím telefonním čísle;
● chatová komunikace s osobou, která může obsahovat identifikaci volajícího a případného
podezřelého/pachatele;
● fotodokumentace z místa hlášené události;
● videozáznam z místa hlášené události.
5. Zpracovávané citlivé údaje (v relevantních případech) a použitá omezení nebo
záruky, které plně zohledňují povahu těchto údajů a související rizika, jako je
například přísné omezení účelu, omezení přístupu (včetně přístupu pouze pro
pracovníky, kteří absolvovali specializovanou odbornou přípravu), vedení
záznamů o přístupu k údajům, omezení dalšího předávání nebo další opatření k
zajištění zabezpečení.
● NEJSOU
6. Účel/účely, pro který/které jsou osobní údaje zpracovávány jménem Správce
● plnění zákonných povinností Správce vyplývajících z jeho postavení obecní policie
7. Doba trvání zpracování
● polohové údaje, chatová komunikace, fotodokumentace – jeden rok
● videozáznam – pouze po dobu kontaktu s osobou nahlašující událost
8. U zpracování (dílčím) Zpracovatelem rovněž upřesněte předmět, povahu a dobu
trvání zpracování.
● Zpracovatel využívá dílčího zpracovatele uvedeného v odst. 4.14 Smlouvy, který
Zpracovateli dodává hostingovou a storingovou službu Azure Cosmos DB.
● Dílčí zpracovatel zpracovává osobní údaje výhradně v souvislosti s poskytováním
hostingové a storingové služby Azure Cosmos DB a po dobu poskytování této služby.
● Zpracování dílčím zpracovatelem probíhá na základě smlouvy se Zpracovatelem, která
ukládá dílčímu zpracovateli ve všech podstatných ohledech stejné povinnosti v oblasti
ochrany údajů, jaké jsou v souladu se Smlouvou uloženy Zpracovateli.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper
Příloha 2 – Technická a organizační opatření včetně technických a
organizačních opatření k zajištění zabezpečení údajů
BEZPEČNOSTNÍ BEZPEČNOSTNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
OBLAST
Produkční (reálná) data budou povolena jen v produkčních prostředích.
V případě výjimky, a se všemi nutnými souhlasy, mohou prostředí QA
zpracovávat (reálné) osobní údaje pouze, pokud jsou chráněny jako produkční
prostředí.
Doba, po kterou se udržují osobní údaje, musí být omezena na dobu nezbytnou
pro každou jednotlivou zpracovatelskou činnost a musí být v souladu se
zákonnými a/nebo regulatorními povinnostmi týkajícími se doby udržování.
Musí se realizovat bezpečnostní protokoly, aby bylo možné ochránit osobní
údaje během předávání prostřednictvím otevřené, veřejné nebo
nedůvěryhodné sítě.
BEZPEČNOST Kódování databází/úložiště dat by mělo být založeno na řádné klasifikaci aktiv
OSOBNÍCH ÚDAJŮ podle úrovně kritičnosti. Například: databáze/úložiště dat sloužící hlavním
obchodním procesům/službám banky nebo skladování velkého množství
osobních údajů mohou být chráněny silným kódováním. Každá právnická osoba
se musí rozhodnout o realizaci kódování a o rozčlenění kódování, které se má
vymáhat (např. na úrovni úložiště nebo tabulky).
Média obsahující osobní údaje musí být chráněna pře neoprávněným
přístupem prostřednictvím přiměřených fyzických (např. zámek) a logických
(např. kódování, přístupová kontrola, atd.) bezpečnostních opatření.
Při návratu a/nebo zamítnutí aktiv a zdroje ICT by měly být zavedeny
bezpečnostní postupy (např. vymazání), aby bylo možné odstranit všechny
osobní údaje a/nebo je bezpečně přepsat před likvidací nebo opětovným
použitím.
Zaměstnanci musí být přiměřeně a v souladu s právními předpisy vzděláváni a
školeni o správných pravidlech chování, které si musí osvojit k ochraně
osobních údajů obsažených v papírových dokumentech (např. v případě
vzdálení se od pracovní stanice je třeba se přesvědčit, že nikdo nemůže mít
přístup k důvěrným informacím, chránit původní dokumenty a fotokopie před
krádeží nebo neoprávněným použitím, udržovat dokumentaci v zamykatelných
skříních a zásuvkách na konci pracovní doby)
DOSTUPNOST DAT Měly by být zavedeny řádné postupy, aby bylo možné včas obnovit dostupnost
osobních údajů (jako právo subjektu údajů). Záložní postupy by měly
zajišťovat kopie osobních údajů aspoň v týdenních intervalech.
SPRÁVA TOTOŽNOSTI A Přístupové oprávnění do produkčních prostředí obsahujících osobní údaje by
PŘÍSTUPU mělo být poskytnuto podle principů „musí vědět“ a „nejmenší privilegium“.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper
BEZPEČNOSTNÍ BEZPEČNOSTNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
OBLAST
K zajištění řádné identifikace uživatelů a administrátorů, kteří mají přístup do
ZAREGISTROVÁNÍ A systémových komponentů řídících osobní údaje, se musí přijmout vhodné
MONITOROVÁNÍ metody a postupy. Všem uživatelům by mělo být přiděleno unikátní
uživatelské jméno ještě předtím, než jim bude povolen přístup k systémovým
komponentům nebo osobním údajům.
Na uživatelské účty, které jsou přiřazeny unikátním uživatelům, musí být
přiděleny systémové zdroje a přístupová práva.
Veškeré přístupy do databází obsahujících osobní údaje by měly být
chráněny/kontrolovány takto:
- Přihlašovací údaje do aplikace pro přístup do databází nemohou používat
jednotliví uživatelé nebo jiné neaplikační procesy,
- Přihlašovací údaje uživatele do aplikace/systému musí být přiměřeně
chráněno před možným zneužitím.
- Přístup musí být udělen pouze osobě, která ho skutečně potřebuje pro výkon
své práce/úkolů (princip „musím vědět“)
- Měl by se realizovat proces formální registrace a zrušení registrace uživatelů,
aby bylo možné přiřadit přístupová práva ke správě osobních údajů.
Počet úložišť osobních údajů (databáze, soubory, kopie, archívy) by měl být
udržován na absolutním minimu, aby nedošlo ke zbytečné duplicitě. Místo
duplicity by se měla dát přednost pseudonymizované databázi, která vyhledává
v hlavních úložištích specifické osobní údaje, pokud a když je to nutné.
Viditelnost osobních údajů musí být omezena na pouhý soubor informací, které
jsou nutné pro jednotlivé zpracovatelské činnosti. Uživatelům by neměla být
k dispozici žádná osobní data, která nepotřebují.
Přístup do produkčních prostředí obsahujících osobní údaje, a pokud je
technicky možný přístup k osobním údajům, by měl být monitorován a
zaregistrován, aby mohlo být přesně zaznamenáno spojení mezi přístupem a
jednotlivým uživatelem, který se dostal do osobních údajů
V případě nutnosti a/nebo na žádost regulátora má Správce osobních údajů
právo získat protokoly od Zpracovatele dat třetí strany nebo poskytovatele
cloudu zpracovávajících osobní údaje jeho jménem.
Měly by být jasně stanoveny odpovědnosti a povinnosti zaměstnanců ohledně
důvěrnosti osobních údajů, které budou platit i po ukončení nebo změně
zaměstnaneckého poměru.
Osobní údaje se nesmí kopírovat na výměnné nosiče s výjimkou těch médií,
které jsou Zpracovatelem výslovně schváleny pro specifické úkoly.
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper
BEZPEČNOSTNÍ BEZPEČNOSTNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
OBLAST
ZÁMĚRNÁ OCHRANA Procesy a nástroje pro Secure Software Development Lifecycle (SDLC) musí být
DAT integrovány s řádnou bezpečnostní kontrolou a požadavky, aby se zajistilo, že
nové ICT softwarové aplikace jsou navrženy a vyvíjeny tak, že berou v úvahu
požadavky na bezpečnost.
Procesy změnového řízení ICT musí být integrovány s příslušnou bezpečnostní
kontrolou a požadavky, aby se zajistila trvalá ochrana existujícího
softwaru/aplikací ICT v případě změny.
OZNÁMENÍ O Zpracovatel je povinen vytvořit a vést evidence porušení ochrany osobních
PORUŠENÍ OSOBNÍCH údajů.
ÚDAJŮ
Smlouva o zpracování osobních údajů | CEEM/7944439.2 DLA Piper