Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
. v l i v . ŘEDITELSTVÍ
7 T 7 - : silnic _
[Pozn. pro dodavatele: Tato vzorová smlouva se jako příloha smlouvy na plnění předmětu veřejné zakázky
do nabídky přikládá nevyplněná a nepodepsaná]
Smlouva o zpracování osobních údajů
uzavřená níže uvedeného dne, měsíce a roku mezi:
Ředitelství silnic a dálnic s. p.
se sídlem Čerčanská 2023/12, Krč, 140 00 Praha 4
IČO: 65993390
DIČ: CZ65993390
právní forma: státní podnik
zapsaný v obchodním rejstříku pod sp. zn. : A 80478 vedenou u Městského soudu v Praze
bankovní spojení: ............... ...................................
[případně bude uveden jiný bankovní účet s ohledem na druh akce]
zastoupeno: [bude doplněna osoba, která bude podepisovat
smlouvu] [bude doplněno]
kontaktní osoba ve věcech smluvních:
e-mail: [bude doplněno]
tel: [bude doplněno]
kontaktní osoba ve věcech technických: Pověřenec pro ochranu osobních údajů (DPO)
e-mail: ...................
tel: ......... ...... ...... ....
(dále jen „ Správce” )
a
[zpracovatel doplní svůj název]
se sídlem [doplní zpracovatel]
IČO: [doplní zpracovatel]
DIČ: [doplní zpracovatel]
zápis v obchodním rejstříku: [doplní zpracovatel]
právní forma: [doplní zpracovatel]
bankovní spojení: [doplní zpracovatel]
zastoupen: [doplní zpracovatel]
kontaktní osoba ve věcech smluvních: [doplní zpracovatel]
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
kontaktní osoba ve věcech technických: [doplní zpracovatel]
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
(dále jen „ Zpracovatel“ nebo „ Prvotní Zpracovatel“ )
(Správce a Zpracovatel společně dále také jako „ Smluvní strany“ )
Preambule
Vzhledem k tomu, že Zpracovatel v průběhu poskytování Služeb a/nebo Produktů Správci může
zpracovávat Osobní údaje Správce, považují Smluvní strany za zásadní, aby při zpracování těchto
osobních údajů byla zajištěna vysoká úroveň ochrany práv a svobod fyzických osob ve vztahu
k takovému zpracování osobních údajů a toto zpracování bylo v souladu s Předpisy na ochranu
osobních údajů, a to zejm. s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů), a proto
Smluvní strany uzavírají tuto smlouvu o ochraně osobních údajů (dále jen „ Smlouva").
Definice
Pro účely této Smlouvy se následující pojmy vykládají takto:
„ EHP“ se rozumí Evropský hospodářský prostor.
„ GDPR“ se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto
údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve znění opravy
uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016.
„ Hlavní smlouvou" se rozumí smluvní vztah či smluvní vztahy založené mezi Správcem
a Zpracovatelem na základě uzavřených platných a účinných smluv vymezených v příloze č. 1 této
Smlouvy.
„ Osobními údaji Správce" se rozumí osobní údaje popsané v příloze č. 1 této Smlouvy a veškeré další
osobní údaje zpracovávané Zpracovatelem jménem Správce podle a/nebo v souvislosti s Hlavní
smlouvou.
„ Podzpracovatelem" se rozumí jakýkoli zpracovatel osobních údajů (včetně jakékoli třetí strany)
zapojený Zpracovatelem do zpracování Osobních údajů Správce jménem Správce. Za podmínek
stanovených touto Smlouvou je Podzpracovatel oprávněn zapojit do zpracování Osobních údajů
Správce dalšího Podzpracovatele (tzv. řetězení podzpracovatelů).
„ Pokynem" se rozumí písemný pokyn Správce Zpracovateli týkající se zpracování Osobních údajů
Správce. Zpracovatel je povinen kdykoliv v průběhu zpracování osobních údajů prokázat existenci a
obsah Pokynu.
„ Porušením zabezpečení osobních údajů" se rozumí takové porušení zabezpečení osobních údajů,
které vede nebo může přímo vést k neoprávněnému přístupu nebo k neoprávněné či nahodilé změně,
zničení, vyzrazení či ztrátě osobních údajů, případně k neoprávněnému vyzrazení nebo přístupu
k uloženým, přenášeným nebo jinak zpracovávaným Osobním údajům Správce.
„ Produkty" se rozumí Produkty, které má Zpracovatel poskytnout Správci dle Hlavní smlouvy.
strana 2 | stran 22
„ Předpisy o ochraně osobních údajů“ se rozumí Nařízení Evropského parlamentu a Rady (EU) č.
2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně
osobních údajů) ve znění opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května
2016, jakož i veškeré národní předpisy upravující ochranu osobních údajů.
„ Schválenými Podzpracovateli“ se rozumějí: (a) Podzpracovatelé uvedení v příloze č. 3 této Smlouvy
(autorizované předání Osobních údajů Správce); a (b) případně další dílčí Podzpracovatelé předem
písemně povolení Správcem v souladu se kapitolou 0 této Smlouvy. Nejedná se o osoby, které
zpracovávají osobní údaje pro zpracovatele na základě pracovní smlouvy, dohody o provedení práce
či dohody o pracovní činnosti nebo osoby, které se při provádění svých služeb, tj. plnění smlouvy s
objednatelem (jinak zpracovatelem osobních údajů), mohou pouze nahodile dostat do styku s
osobními údaji, aniž by osobní údaje jakkoliv zpracovávaly.
„ Službami“ se rozumí Služby, které má Zpracovatel poskytnout Správci podle Hlavní smlouvy.
„ Standardními smluvními doložkami“ se rozumí standardní smluvní doložky pro předávání
osobních údajů zpracovatelům usazeným ve třetích zemích schválené rozhodnutím Evropské komise
2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení schválených Evropskou komisí,
který je mění, doplňuje nebo nahrazuje.
„Třetí zemí“ se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy je tato země předmětem
platného a účinného rozhodnutí Evropské komise o odpovídající ochraně osobních údajů ve třetích
zemích.
„Vymazáním" se rozumí odstranění nebo zničení Osobních údajů Správce tak, aby nemohly být
obnoveny nebo rekonstruovány.
„ Zásadami zpracování osobních údajů“ se rozumí zásada zákonnosti, korektnosti,
transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity
a důvěrnosti. Smluvní strany berou na vědomí, že jakékoliv zpracování osobních údajů či jakýkoliv
výklad této Smlouvy musí být v souladu s těmito zásadami. Dokument Zásady zpracování osobních
údajů je k dispozici na internetových stránkách www.rsd.cz v záložce Organizace pod odkazem GDPR.
„ Zpracování *, „ správce“ , „ zpracovatel *, „ subjekt údajů *, „ osobní údaje“ , „ zvláštní kategorie
osobních údajů“ a jakékoli další obecné definice neuvedené v této Smlouvě nebo v Hlavní smlouvě
mají stejný význam jako v GDPR.
strana 3 | stran 22
Podmínky zpracování Osobních údajů Správce
V průběhu poskytování Služeb a/nebo Produktů Správci podle Hlavní
smlouvy je Zpracovatel oprávněn zpracovávat Osobní údaje Správce
jménem Správce pouze za podmínek této Smlouvy a na základě
Pokynů Správce. Zpracovatel se zavazuje, že bude po celou dobu
zpracování dodržovat následující ustanovení týkající se ochrany
Osobních údajů Správce.
V rozsahu požadovaném platnými a účinnými Předpisy o ochraně
osobních údajů musí Zpracovatel získat a uchovávat veškeré potřebné
licence, oprávnění a povolení potřebné k zpracování Osobních údajů
Správce včetně osobních údajů uvedených v příloze č. 1 této Smlouvy.
Zpracovatel musí dodržovat veškerá technická a organizační opatření
pro splnění požadavků uvedených v této Smlouvě a jejích přílohách.
Zpracovatel je dále povinen dbát Zásad zpracování osobních údajů a
za všech okolností tyto zásady dodržovat.
Pro účely komunikace a zajištění součinnosti Správce a Zpracovatele
navzájem (zejm. v případech porušeni zabezpečeni osobních údajů,
předávání žádostí subjektů údajů), není-li v konkrétním případě určeno
jinak, pověřily Smluvní strany tyto osoby:
osoba pověřená Správcem: ........................................................................
...................................
osoba pověřená Zpracovatelem: [doplní zpracovatel], e-mail: [doplní
zpracovatel], tel: [doplní zpracovatel].
Obě strany jsou povinny na zaslání podání neprodleně reagovat nejpozději však do 48 hodin od
zaslání.
strana 4 | stran 22
Zpracování Osobních údajů Správce
Zpracovatel zpracovává Osobní údaje Správce pouze pro účely plnění
Hlavní smlouvy nebo pro plnění poskytované na základě Hlavní
smlouvy (viz příloha č. 1 této Smlouvy). Zpracovatel nesmí
zpracovávat, předávat, upravovat nebo měnit Osobní údaje Správce
nebo zveřejnit či povolit zveřejnění Osobních údajů Správce jiné třetí
osobě jinak než v souladu s touto Smlouvou nebo s Pokyny Správce,
pokud takové zveřejnění není vyžadováno právem EU nebo členského
státu, kterému Zpracovatel podléhá. Zpracovatel v rozsahu povoleném
takovým zákonem informuje Správce o tomto zákonném požadavku
před zahájením zpracování Osobních údajů Správce a dodržuje pokyny
Správce, aby co nejvíce omezil rozsah zveřejnění.
Zpracovatel neprodleně nebo bez zbytečného odkladu od obdržení
Pokynu informuje Správce v případě, kdy podle jeho názoru vzhledem
k jeho odborným znalostem a zkušenostem takový Pokyn porušuje
Předpisy o ochraně osobních údajů.
Zpracovatel bere na vědomí, že není oprávněn určit účely a prostředky
zpracování Osobních údajů Správce a pokud by Zpracovatel toto
porušil, považuje se ve vztahu k takovému zpracování za správce.
Pro účely zpracování uvedeného výše tímto Správce instruuje
Zpracovatele, aby předával Osobní údaje Správce příjemcům ve třetích
zemích uvedených v příloze č. 3 této Smlouvy (Autorizované předávání
Osobních údajů Správce) vždy za předpokladu, že taková osoba splní
požadavky uvedené v kapitole 0 této Smlouvy.
Spolehlivost Zpracovatele
strana 5 | stran 22
Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost každého
zaměstnance, jeho zástupce nebo dodavatele, kteří mohou mít přístup
k Osobním údajům Správce, přičemž zajistí, aby byl přístup omezen
výhradně na ty osoby, jejichž činnost vyžaduje přístup k příslušným
Osobním údajům Správce. Zpracovatel vede seznam osob
oprávněných zpracovávat osobní údaje Správce a osob, které mají
k těmto osobním údajům přístup, přičemž sleduje a pravidelně
přezkoumává, že se jedná o osoby dle tohoto odstavce.
Zpracovatel musí zajistit, aby všechny osoby, které zapojil do
zpracování Osobních údajů Správce:
byly informovány o důvěrné povaze Osobních údajů Správce a byly si
vědomy povinností Zpracovatele vyplývajících z této Smlouvy, Hlavní
smlouvy, Pokynů a platných a účinných Předpisů o ochraně osobních
údajů, a zavázaly se tyto povinnosti dodržovat ve stejném rozsahu, zejm.
aby zachovávaly mlčenlivost o osobních údajích a přijatých opatřeních
k jejich ochraně, a to i po skončení jejich pracovněprávního nebo jiného
smluvního vztahu ke Zpracovateli;
byly přiměřeně školeny/certifikovány ve vztahu k Předpisům o ochraně
osobních údajů nebo dle Pokynů Správce;
podléhaly závazku důvěrnosti nebo profesním či zákonným povinnostem
zachovávat mlčenlivost;
používaly pouze bezpečný hardware a software a dodržovaly zásady
bezpečného používání výpočetní techniky;
podléhaly procesům autentizace uživatelů a přihlašování při přístupu k
Osobním údajům Správce v souladu s touto Smlouvou, Hlavní smlouvou,
Pokyny a platnými a účinnými Předpisy o ochraně osobních údajů;
strana 6 | stran 22
zabránily neopravnenemu ctem, pozměněni, smazaní cí znepřístupněni
Osobních údajů Správce, nevytvářely kopie nosičů osobních údajů pro
jinou než pracovní potřebu a neumožnily takové jednání ani jiným osobám a
případně neprodleně, nejpozději však do 24 hodin od vzniku, hlásily
jakékoliv důvodné podezření na ohrožení bezpečnosti osobních údajů, a to
osobě uvedené v kapitole 0 této Smlouvy.
Zabezpečení osobních údajů
S přihlédnutím ke stavu techniky, nákladům na provedení, povaze,
rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a
různě závažným rizikům pro práva a svobody fyzických osob, provede
Zpracovatel vhodná technická a organizační opatření (příloha č. 2 této
Smlouvy), aby zajistil úroveň zabezpečení odpovídající danému riziku,
případně včetně:
pseudonymizace a šifrování osobních údajů;
schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost
systémů a služeb zpracování;
schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v
případě fyzických či technických incidentů;
procesu pravidelného testování, posuzování a hodnocení účinnosti
zavedených technických a organizačních opatření pro zajištění bezpečnosti
zpracování.
Při posuzování vhodné úrovně bezpečnosti se zohlední rizika, která
představuje zpracování, zejména náhodné nebo protiprávní zničení,
ztráta, pozměňování, neoprávněné zpřístupnění předávaných,
uložených nebo jinak zpracovávaných osobních údajů, nebo
neoprávněný přístup k nim.
V případě zpracování osobních údajů více správců je Zpracovatel
povinen zpracovávat takové osobní údaje odděleně.
strana 7 | stran 22
Konkrétní podmínky zabezpečení jsou uvedeny v příloze č. 2 této
Smlouvy a dále v Pokynech.
Další Podzpracovatelé
Zpracovatel je oprávněn použít ke zpracování Osobních údajů Správce
další Podzpracovatele uvedené v příloze č. 3 této Smlouvy. Jiné
Podzpracovatele je Zpracovatel oprávněn zapojit do zpracování pouze
s předchozím písemným povolením Správce.
Zpracovatel je povinen u každého Podzpracovatele:
poskytnout Správci úplné informace o zpracování, které má provádět
takový Podzpracovatel;
zajistit náležitou úroveň ochrany Osobních údajů Správce, včetně
dostatečných záruk pro provedení vhodných technických a organizačních
opatření dle této Smlouvy, Hlavní Smlouvy, Pokynů a platných a účinných
Předpisů na ochranu osobních údajů;
zahrnout do smlouvy mezi Zpracovatelem a každým dalším
Podzpracovatelem podmínky, které jsou shodné s podmínkami
stanovenými v této Smlouvě. Pro vyloučení pochybností si Smluvní strany
ujednávají, že v případě tzv. řetězení zpracovatelů (tj. uzavírání smlouvy o
zpracování osobních údajů mezi podzpracovateli) musí tyto smlouvy
splňovat podmínky dle této Smlouvy. Na požádání poskytne Zpracovatel
Správci kopii svých smluv s dílčími Podzpracovateli a v případě řetězení
podzpracovatelů i kopii smluv uzavřených mezi dalšími Podzpracovateli;
v případě předání Osobních údajů Správce mimo EHP zajistit ve smlouvách
mezi Zpracovatelem a každým dalším Podzpracovatelem Standardní
smluvní doložky nebo jiný mechanismus, který předem schválí Správce,
aby byla zajištěna odpovídající ochrana předávaných Osobních údajů
Správce;
strana 8 | stran 22
zajistit plnění všech povinností nezbytných pro zachování plné
odpovědnosti vůči Správci za každé selhání každého dílčího
Podzpracovatele při plnění jeho povinností v souvislosti se zpracováním
Osobních údajů Správce.
Plnění práv subjektů údajů
Subjekt údajů má na základě své žádosti zejména právo získat od
Správce informace týkající se zpracování svých osobních údajů, žádat
jejich opravu či doplnění, podávat námitky proti zpracování svých
osobních údajů či žádat jejich výmaz.
Vzhledem k povaze zpracovávání Zpracovatel napomáhá Správci při
provádění vhodných technických a organizačních opatření pro splnění
povinností Správce reagovat na žádosti o uplatnění práv subjektu
údajů.
Zpracovatel neprodleně oznámí Správci, pokud obdrží od subjektu
údajů, orgánu dohledu a/nebo jiného příslušného orgánu žádost podle
platných a účinných Předpisů o ochraně osobních údajů, pokud se
jedná o Osobní údaje Správce.
Zpracovatel spolupracuje se Správcem dle jeho potřeb a Pokynů tak,
aby Správci umožnil jakýkoli výkon práv subjektu údajů podle Předpisů
o ochraně osobních údajů, pokud jde o Osobní údaje Správce, a
vyhověl jakémukoli požadavku, dotazu, oznámení nebo šetření dle
Předpisů o ochraně osobních údajů nebo dle této Smlouvy, což
zahrnuje:
poskytnutí veškerých údajů požadovaných Správcem v přiměřeném
časovém období specifikovaném Správcem, a to ve všech případech a
včetně úplných podrobností a kopií stížnosti, sdělení nebo žádosti a
jakýchkoli Osobních údajů Správce, které Zpracovatel ve vztahu k subjektu
údajů zpracovává;
strana 9 | stran 22
poskytnutí takové asistence, kterou může Správce rozumně požadovat, aby
mohl vyhovět příslušné žádosti ve lhůtách stanovených Předpisy o ochraně
osobních údajů;
implementaci dodatečných technických a organizačních opatření, které
může Správce rozumně požadovat, aby mohl účinně reagovat na příslušné
stížnosti, sdělení nebo žádosti.
Porušení zabezpečení osobních údajů
Zpracovatel je povinen bez zbytečného odkladu a v každém případě
nejpozději do 24 hodin od zjištění porušení informovat Správce o tom,
že došlo k porušení zabezpečení Osobních údajů Správce nebo
existuje důvodné podezření z porušení zabezpečení Osobních údajů
Správce. Zpracovatel poskytne Správci dostatečné informace, které
mu umožní splnit veškeré povinnosti týkající ohlašování a oznamování
případů porušeni zabezpečeni osobních údajů podle Předpisů
o ochraně osobních údajů. Takové oznámení musí přinejmenším:
popisovat povahu porušení zabezpečení osobních údajů, kategorie a počty
dotčených subjektů údajů a kategorie a specifikace záznamů o osobních
údajích;
jméno a kontaktní údaje pověřence pro ochranu osobních údajů
Zpracovatele nebo jiného příslušného kontaktu, od něhož lze získat více
informací;
popisovat odhadované riziko a pravděpodobné důsledky porušení
zabezpečení osobních údajů;
popisovat opatření přijatá nebo navržená k řešení porušení zabezpečení
osobních údajů.
Zpracovatel spolupracuje se Správcem a podniká takové přiměřené
kroky, které jsou řízeny Správcem, aby napomáhal vyšetřování,
zmírňování a nápravě každého porušení osobních údajů.
strana 10 | stran 22
V případě porušení zabezpečení osobních údajů Zpracovatel
neinformuje žádnou třetí stranu bez předchozího písemného souhlasu
Správce, pokud takové oznámení nevyžaduje právo EU nebo
členského státu, které se na Zpracovatele vztahuje. V takovém případě
je Zpracovatel povinen, v rozsahu povoleném takovým právem,
informovat Správce o tomto právním požadavku, poskytnout kopii
navrhovaného oznámení a zvážit veškeré připomínky, které provedl
Správce před tím, než porušeni zabezpečeni osobních údajů oznámí.
Posouzení vlivu na ochranu osobních údajů a předchozí
konzultace
Zpracovatel poskytne Správci přiměřenou pomoc ve všech případech
posouzení vlivu na ochranu osobních údajů, které jsou vyžadovány čl.
35 GDPR, a s veškerými předchozími konzultacemi s jakýmkoli
dozorovým úřadem Správce, které jsou požadovány podle čl. 36
GDPR, a to vždy pouze ve vztahu ke zpracovávání Osobních údajů
Správce Zpracovatelem a s ohledem na povahu zpracování a
informace, které má Zpracovatel k dispozici.
Vymazání nebo vrácení Osobních údajů Správce
Zpracovatel musí neprodleně a v každém případě do 90 (devadesáti)
kalendářních dnů po: (i) ukončení zpracování Osobních údajů Správce
Zpracovatelem nebo (ii) ukončení Hlavní smlouvy, podle volby Správce
(tato volba bude písemně oznámena Zpracovateli Pokynem Správce)
buď:
vrátit úplnou kopii všech Osobních údajů Správce Správci zabezpečeným
přenosem datových souborů v takovém formátu, jaký oznámil Správce
Zpracovateli a dále bezpečně a prokazatelně vymazat všechny ostatní
kopie Osobních údajů Správce zpracovávaných Zpracovatelem nebo
jakýmkoli autorizovaným dílčím Podzpracovatelem; nebo
strana 11 | stran 22
bezpečně a prokazatelně smazat všechny kopie Osobních údajů Správce
zpracovávaných Zpracovatelem nebo jakýmkoli dalším Podzpracovatelem,
přičemž Zpracovatel poskytněte Správci písemné osvědčení, že plně splnil
požadavky kapitoly 10 této Smlouvy.
Zpracovatel může uchovávat Osobní údaje Správce v rozsahu
požadovaném právními předpisy Unie nebo členského státu a pouze v
rozsahu a po dobu požadovanou právními předpisy Unie nebo
členského státu a za předpokladu, že Zpracovatel zajistí důvěrnost
všech těchto osobních údajů Správce a zajistí, aby tyto osobní údaje
Správce byly zpracovávány pouze pro účely uvedené v právních
předpisech Unie nebo členského státu, které vyžadují jejich ukládání, a
nikoliv pro žádný jiný účel.
Právo na audit
strana 12 | stran 22
Zpracovatel na požádání zpřístupní Správci veškeré informace
nezbytné k prokázání souladu s platnými a účinnými Předpisy o
ochraně osobních údajů, touto Smlouvou a Pokyny a dále umožní
audity a inspekce ze strany Správce nebo jiného auditora pověřeného
Správcem ve všech místech, kde probíhá zpracování Osobních údajů
Správce. Zpracovatel umožní Správci nebo jinému auditorovi
pověřenému Správcem kontrolovat, auditovat a kopírovat všechny
příslušné záznamy, procesy a systémy, aby Správce mohl ověřit, že
zpracování Osobních údajů Správce je v souladu s platnými a účinnými
Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny.
Zpracovatel poskytne Správci plnou spolupráci a na žádost Správce
poskytne Správci důkazy o plnění svých povinností podle této
Smlouvy. Zpracovatel neprodleně uvědomí Správce, pokud podle jeho
názoru zde uvedené právo na audit porušuje Předpisy o ochraně
osobních údajů. Zpracovatel může prokázat plnění dohodnutých
povinností týkajících se ochrany údajů, důkazem o dodržování
schváleného mechanizmu certifikace ISO norem, kontroly se pak
mohou omezit pouze na vybrané procesy.
Zpracovatel je povinen zajistit výkon práva Správce dle předchozího
odstavce také u všech Podzpracovatelů.
Mezinárodní předávání Osobních údajů Správce
Zpracovatel nesmí zpracovávat Osobní údaje Správce sám ani
prostřednictvím Podzpracovatele ve třetí zemi, s výjimkou těch
příjemců ve třetích zemích (pokud existují) uvedených v příloze č. 3
této Smlouvy (autorizované předání Osobních údajů Správce), není-li
to předem písemně schváleno Správcem.
strana 13 | stran 22
Zpracovatel na žádost Správce okamžitě se Správcem uzavře (nebo
zajistí, aby uzavřel jakýkoli příslušný dílčí Podzpracovatel) smlouvu
včetně Standardních smluvních doložek a/nebo obdobných doložek,
které mohou vyžadovat Předpisy o ochraně osobních údajů, pokud jde
o jakékoli zpracování Osobních údajů Správce ve třetí zemi.
Všeobecné podmínky
Smluvní strany si ujednaly, že tato Smlouva zanikne s ukončením
účinnosti Hlavní smlouvy. Tím nejsou dotčeny povinnosti
Zpracovatele, které dle této Smlouvy či ze své povahy trvají i po jejím
zániku.
Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.
Jakékoli porušení této Smlouvy představuje závažné porušení Hlavní
smlouvy. V případě existence více smluvních vztahů se jedná o
porušení každé smlouvy, dle které probíhalo zpracování Osobních
údajů Správce.
V případě nesrovnalostí mezi ustanoveními této Smlouvy a jakýchkoli
jiných dohod mezi Smluvními stranami, včetně, avšak nikoliv výlučně,
Hlavní smlouvy, mají ustanovení této Smlouvy přednost před
povinnostmi Smluvních stran týkajících se ochrany osobních údajů.
Pokud se ukáže některé ustanovení této Smlouvy neplatné, neúčinné
nebo nevymahatelné, zbývající části Smlouvy zůstávají v platnosti.
Ohledně neplatného, neúčinného nebo nevymahatelného ustanovení
se Smluvní strany zavazují, že (i) dodatkem k této Smlouvě upraví tak,
aby byla zajištěna jeho platnost, účinnost a vymahatelnost, a to při co
největším zachování původních záměrů Smluvních stran nebo, pokud
to není možné, (ii) budou vykládat toto ustanovení způsobem, jako by
neplatná, neúčinná nebo nevymahatelná část nebyla nikdy v této
Smlouvě obsažena.
strana 14 | stran 22
Tato Smlouva je sepsána v 4 stejnopisech, přičemž Správce obdrží po
2 vyhotovení
a Zpracovatel 2 vyhotovení.
Veškeré změny této Smlouvy je možné provést formou vzestupně
číslovaných písemných dodatků podepsaných oběma Smluvními
stranami. Pro vyloučení všech pochybností si Smluvní strany
ujednávají, že tímto ustanovením není dotčeno udělení Pokynu
Správce ke zpracování Osobních údajů Správce, který tato Smlouva
předvídá.
Tato Smlouva nabývá platnosti a účinnosti dnem podpisu obou
Smluvních stran.
V ______________ dne_______ V ______________ dne_______
[bude doplněno] [jméno a funkce doplní zpracovatel]
(„Správce") („Zpracovatel")
strana 15 | stran 22
PŘÍLOHA č. 1: PODROBNOSTI O ZPRACOVÁNÍ
OSOBNÍCH ÚDAJŮ SPRÁVCE
Tato příloha 1 obsahuje některé podrobnosti o zpracování osobních údajů správce, jak vyžaduje či. 28
odst. 3 GDPR.
[konkrétní výčet smluvních vztahů doplní zpracovatel]
1 Předmět a trvání zpracování osobních údajů Správce
Předmětem zpracování osobních údajů jsou tyto kategorie:
[Zde uveďte kategorie zpracovávaných osobních údajů - např. adresní a identifikační údaje; popisné
(výška, váha, atd.; údaje třetích osob; zvláštní kategorie os. údajů; jiné (fotografie, kamerové
záznamy)]
Doba trvání zpracování osobních údajů Správce je totožná s dobou trvání Hlavní smlouvy, pokud z
ustanovení Smlouvy nebo z Pokynu Správce nevyplývá, že mají trvat i po zániku její účinnosti.
2 Povaha a účel zpracování osobních údajů správce
Povaha zpracování osobních údajů Správce Zpracovatelem je: prosím zaškrtněte Vás týkající se
□ Zpracování
□ Automatizované zpracování
□ Profilování nebo automatizované rozhodování
Účelem zpracování osobních údajů Správce Zpracovatelem je:
[Popište zde, např. příprava stavby,...]
3 Druh osobních údajů správce, které mají být
zpracovány
Druh osobních údajů (zaškrtněte):
□ Osobní údaje (viz výše odst. 1)
□ Osobní údaje zvláštní kategorie dle čl. 9 GDPR [Uveďte zde konkrétní typy údajů]
strana 16 | stran 22
4 Kategorie subjektů údajů, které jsou zpracovávány pro
správce
[Uveďte zde kategorie subjektů údajů - např. vlastníci pozemků, zaměstnanci...]
Pozn. takto podbarvené části slouží k doplnění zpracovatelem, před podpisem tento text vymažte.
strana 17 | stran 22
PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENI
1. Organizační bezpečnostní opatření
1.1. Správa zabezpečení
a. Bezpečnostní politika a postupy: Zpracovatel musí mít dokumentovanou bezpečnostní
politiku týkající se zpracování osobních údajů.
b. Role a odpovědnosti:
i. role a odpovědnosti související se zpracováním osobních údajů jsou jasně
definovány a přiděleny v souladu s bezpečnostní politikou;
ii. během interních reorganizací nebo při ukončení a změně zaměstnání je ve shodě s
příslušnými postupy jasně definováno zrušení práv a povinností.
c. Politika řízení přístupu: každé roli, která se podílí na zpracování osobních údajů, jsou
přidělena specifická práva k řízení přístupu podle zásady "need-to-know."
d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro zpracování osobních
údajů (hardwaru, softwaru a sítě). Je určena konkrétní osoba, která je odpovědná za
udržování a aktualizaci tohoto registru (např. manažer IT).
e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly registrovány
a monitorovány konkrétní osobou (např. IT manažer nebo manažer bezpečnosti). Je
zavedeno pravidelné monitorování tohoto procesu.
1.2. Reakce na incidenty a kontinuita provozu
a. Řízení incidentů / porušení osobních údajů:
i. je definován plán reakce na incidenty s podrobnými postupy, aby byla zajištěna
účinná a včasná reakce na incidenty týkající se osobních údajů;
ii. Zpracovatel bude bez zbytečného odkladu informovat Správce o jakémkoli
bezpečnostním incidentu, který vedl ke ztrátě, zneužití nebo neoprávněnému
získání jakýchkoli osobních údajů.
b. Kontinuita provozu: Zpracovatel stanoví hlavní postupy a opatření, které jsou dodržovány
pro zajištění požadované úrovně kontinuity a dostupnosti systému zpracování osobních
údajů (v případě incidentu / porušení osobních údajů).
1.3. Lidské zdroje
a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby všichni zaměstnanci rozuměli svým
odpovědnostem a povinnostem týkajících se zpracování osobních údajů; role
a odpovědnost jsou jasně komunikovány během procesu před nástupem do zaměstnání a
/ nebo při zácviku;
strana 18 | stran 22
b. Školení: Zpracovatel zajišťuje, že všichni zaměstnanci jsou dostatečně informováni
o bezpečnostních opatřeních IT systému, která se vztahují k jejich každodenní práci;
zaměstnanci, kteří se podílejí na zpracování osobních údajů, jsou rovněž řádně informováni
o příslušných požadavcích na ochranu osobních údajů a právních závazcích
prostřednictvím pravidelných informačních kampaní.
2. Technická bezpečnostní opatření
2.1. Kontrola přístupu a autentizace
a. Je implementován systém řízení přístupu, který je použitelný pro všechny uživatele
přistupující k ITsystému. Systém umožňuje vytvářet, schvalovat, kontrolovat a odstraňovat
uživatelské účty.
b. Je vyloučeno používání sdílených uživatelských účtů. V případech, kdy je to nezbytné je
zajištěno, že všichni uživatelé společného účtu mají stejné role a povinnosti.
c. Při poskytování přístupu nebo přiřazování uživatelských rolí je nutno dodržovat zásadu
"need-to-know", aby se omezil počet uživatelů, kteří mají přístup k osobním údajům pouze
na ty, kteří je potřebují pro naplnění procesních cílů zpracovatele.
d. Tam, kde jsou mechanismy autentizace založeny na heslech, Zpracovatel zajišťuje, aby
heslo mělo alespoň osm znaků a vyhovovalo požadavkům na velmi silná hesla, včetně
délky, složitosti znaků a neopakovatelnosti.
e. Autentifikační pověření (například uživatelské jméno a heslo) se nikdy nesmějí předávat
přes síť.
2.2. Logování a monitorování
a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro zpracování osobních
údajů. Log soubory obsahují všechny typy přístupu k údajům (zobrazení, modifikace,
odstranění).
2.3. Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze
i. Databázové a aplikační servery jsou nakonfigurovány tak, aby fungovaly pomocí
samostatného účtu s minimálním oprávněním operačního systému pro zajištění
řádné funkce.
ii. Databázové a aplikační servery zpracovávají pouze osobní údaje, které jsou pro
naplnění účelů zpracování skutečně nezbytné.
b. Zabezpečení pracovní stanice
i. Uživatelé nemohou deaktivovat nebo obejít nastavení zabezpečení.
ii. Jsou pravidelně aktualizovány antivirové aplikace a detekční signatury.
strana 19 | stran 22
iii. Uživatelé nemají oprávnění k instalaci nebo aktivaci neoprávněných
softwarových aplikací.
iv. Systém má nastaveny časové limity pro odhlášení, pokud uživatel není po
určitou dobu aktivní.
v. Jsou pravidelně instalovány kritické bezpečnostní aktualizace vydané
vývojářem operačního systému.
2.4. Zabezpečení sítě / komunikace
a. Kdykoli je přístup prováděn přes internet, je komunikace šifrována pomocí kryptografických
protokolů.
b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a IDS (Intrusion
Detection Systems).
2.5. Zálohování
a. Jsou definovány postupy zálohování a obnovení údajů, jsou zdokumentovány a jasně
spojeny s úlohami a povinnostmi.
b. Zálohování je poskytována odpovídající úroveň fyzické ochrany a ochrany životního
prostředí.
c. Je monitorována úplnost prováděních záloh.
2.6. Mobilní / přenosná zařízení
a. Jsou definovány a dokumentovány postupy pro řízení mobilních a přenosných zařízení a
jsou stanovena jasná pravidla pro jejich správné používání.
b. Jsou předem registrována a předem autorizována mobilní zařízení, která mají přístup
k informačnímu systému.
2.7. Zabezpečení životního cyklu aplikace
a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepší a nejmodernějších
postupy a uznávané postupy bezpečného vývoje nebo odpovídající normy.
2.8. Vymazání / odstranění údajů
a. Před vyřazením médií bude provedeno jejich přepsání při použití software. V případech, kdy
to není možné (CD, DVD atd.), bude provedena jejich fyzická likvidace / destrukce.
b. Je prováděna skartace papírových dokumentů a přenosných médií sloužících k ukládání
osobních údajů.
2.9. Fyzická bezpečnost
a. Fyzický perimetr infrastruktury informačního systému není přístupný neoprávněným
osobám. Musí být zavedena vhodná technická opatření (např. turniket ovládaný čipovou
strana 20 | stran 22
kartou, vstupní zámky) nebo organizační opatření (např. bezpečnostní ostraha) pro ochranu
zabezpečených oblastí a jejich přístupových míst proti vstupu neoprávněných osob.
strana 21 | stran 22
PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDANÍ OSOBNÍCH
ÚDAJŮ SPRÁVCE
Seznam schválených podzpracovatelů. Uveďte prosím (i) úplný název podzpracovatele; (ii) činnosti
zpracování; (iii) umístění středisek služeb.
Č. Schválený podzpracovatel Činnost zpracování Umístění středisek služeb
1. [doplní zpracovatel]
strana 22 | stran 22