Common use of Práva a povinnosti Dalšího zpracovatele Clause in Contracts

Práva a povinnosti Dalšího zpracovatele. 18.14.1 Další zpracovatel se zavazuje zpracovávat Osobní údaje dle této Dohody, resp. jednotlivých Objednávek pouze na základě pokynů Zpracovatele, které budou jednoznačně Zpracovatelem uděleny a Dalším zpracovatelem případně následně doloženy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje. 18.14.2 Další zpracovatel se zavazuje informovat Zpracovatele o tom, že je podle jeho názoru určitý pokyn v rozporu s Obecným nařízením nebo jiným právním předpisem. 18.14.3 Další zpracovatel se zavazuje dodržovat veškeré povinnosti vyplývající pro Dalšího zpracovatele z Obecného nařízení, zejména pak povinnosti uvedené v čl. 28 Obecného nařízení. Další zpracovatel se zavazuje poskytnout Zpracovateli veškeré informace potřebné k doložení povinností uvedených v předcházející větě tohoto odstavce a v této souvislosti umožnit audity, včetně inspekcí, prováděných Zpracovatelem nebo jiným auditorem, kterého Zpracovatel pověřil, a k těmto auditům přispět. 18.14.4 Další zpracovatel se zavazuje Osobní údaje zpracovávat pouze na pracovištích Dalšího zpracovatele nebo jeho dodavatelů (subdodavatelů, poddodavatelů) dopředu schválených písemně Zpracovatelem, a to na území Evropské unie. 18.14.5 Další zpracovatel se zavazuje přijmout technická a organizační opatření, která jsou nutná k zabezpečení zpracování Osobních údajů v souladu s čl. 32 Obecného nařízení. Další zpracovatel se zejména zavazuje, že: 18.14.5.1 technicky a organizačně zabezpečí ochranu zpracovávaných Osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, jinému neoprávněnému zpracování, jakož i k jinému zneužití, aby byly personálně a organizačně nepřetržitě po dobu zpracování Osobních údajů zabezpečeny veškeré povinnosti Dalšího zpracovatele, vyplývající z právních předpisů vč. Obecného nařízení a ISO norem, pokud na zpracování Osobních údajů dopadají; 18.14.5.2 ochrana Osobních údajů podléhá jeho interním bezpečnostním předpisům v rámci jeho systému řízení bezpečnosti informací; 18.14.5.3 zpracování Osobních údajů bude zabezpečeno zejména následujícím způsobem: a) k Osobním údajům budou mít přístup pouze oprávněné osoby Dalšího zpracovatele, které budou mít stanoveny podmínky a rozsah zpracování Osobních údajů a každá taková osoba bude přistupovat k Osobním údajům pod svým jednoznačným identifikátorem; b) Osobní údaje budou zpracovávány v prostorách Dalšího zpracovatele, do nichž budou mít přístup pouze oprávněné osoby Dalšího zpracovatele; c) Další zpracovatel se zavazuje vést řádnou evidenci o pohybu písemných dokumentů obsahujících Osobní údaje; d) oprávněné osoby Dalšího zpracovatele, které zpracovávají Osobní údaje podle této Dohody, jsou povinny zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení, přičemž Další zpracovatel se zavazuje zajistit jejich prokazatelné zavázání k této povinnosti. Další zpracovatel rovněž zajistí, že tato povinnost pro Dalšího Zpracovatele i oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Dalšímu zpracovateli; e) Osobní údaje v elektronické podobě budou uchovávány na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze oprávněné osoby Dalšího zpracovatele na základě přístupových kódů či hesel a Další zpracovatel bude Osobní údaje pravidelně zálohovat; f) Další zpracovatel zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, a to v souladu s dohodou se Zpracovatelem o úrovni daného zabezpečeného přenosu; g) Další zpracovatel bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů; h) Další zpracovatel zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování. 18.14.6 Další zpracovatel se současně zavazuje být Zpracovateli nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 Obecného nařízení, a to při zohlednění povahy zpracování a informací, jež má Další zpracovatel k dispozici. 18.14.7 Další zpracovatel není oprávněn předat Osobní údaje žádné třetí osobě. Pokud by bylo třeba zapojit do zpracování Osobních údajů dalšího zpracovatele, Další zpracovatel je povinen si vyžádat povolení Zpracovatele dle postupu uvedeného v pododst. 18.14.10 a 18.14.11 tohoto odstavce. 18.14.8 Další zpracovatel je povinen oznámit Zpracovateli do 24 hodin jakékoliv porušení (vč. uvedení rozsahu a způsobu) zabezpečení Osobních údajů, a to prostřednictvím kontaktů na Oprávněnou osobu. Další zpracovatel se zavazuje přijmout veškerá vhodná opatření k odstranění závadného stavu a o přijatých opatřeních Zpracovatele písemně informovat. 18.14.9 Další zpracovatel se zavazuje k součinnosti při plnění Zpracovatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů. 18.14.10 Další zpracovatel se zavazuje, že nezapojí do zpracování Osobních údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Zpracovatele. V případě obecného písemného povolení Další zpracovatel Zpracovatele informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Zpracovateli příležitost vyslovit vůči těmto změnám námitky. 18.14.11 V případě, že dojde postupem dle této Dohody k zapojení dalšího zpracovatele, aby jménem Zpracovatele provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy Dalším zpracovatelem na základě smlouvy stejné povinnosti na ochranu osobních údajů, které jsou stanoveny v této Dohodě mezi Dalším zpracovatelem a Zpracovatelem.

Práva a povinnosti Dalšího zpracovatele. 18.14.1 Další zpracovatel se zavazuje zpracovávat Osobní údaje dle této Dohody, resp. jednotlivých Objednávek pouze na základě pokynů Zpracovatele, které budou jednoznačně Zpracovatelem uděleny a Dalším zpracovatelem případně následně doloženy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje. 18.14.2 Další zpracovatel se zavazuje informovat Zpracovatele o tom, že je podle jeho názoru určitý pokyn v rozporu s Obecným nařízením nebo jiným právním předpisem. 18.14.3 Další zpracovatel se zavazuje dodržovat veškeré povinnosti vyplývající pro Dalšího zpracovatele z Obecného nařízení, zejména pak povinnosti uvedené v čl. 28 Obecného nařízení. Další zpracovatel se zavazuje poskytnout Zpracovateli veškeré informace potřebné k doložení povinností uvedených v předcházející větě tohoto odstavce a v této souvislosti umožnit audity, včetně inspekcí, prováděných Zpracovatelem nebo jiným auditorem, kterého Zpracovatel pověřil, a k těmto auditům přispět. 18.14.4 Další zpracovatel se zavazuje Osobní údaje zpracovávat pouze na pracovištích Dalšího zpracovatele nebo jeho dodavatelů (subdodavatelů, poddodavatelů) dopředu schválených písemně Zpracovatelem, a to na území Evropské unie. 18.14.5 Další zpracovatel se zavazuje přijmout technická a organizační opatření, která jsou nutná k zabezpečení zpracování Osobních údajů v souladu s čl. 32 Obecného nařízení. Další zpracovatel se zejména zavazuje, že: 18.14.5.1 technicky a organizačně zabezpečí ochranu zpracovávaných Osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, jinému neoprávněnému zpracování, jakož i k jinému zneužití, aby byly personálně a organizačně nepřetržitě po dobu zpracování Osobních údajů zabezpečeny veškeré povinnosti Dalšího zpracovatele, vyplývající z právních předpisů vč. Obecného nařízení a ISO norem, pokud na zpracování Osobních údajů dopadají; 18.14.5.2 ochrana Osobních údajů podléhá jeho interním bezpečnostním předpisům v rámci jeho systému řízení bezpečnosti informací; 18.14.5.3 zpracování Osobních údajů bude zabezpečeno zejména následujícím způsobem: a) k Osobním údajům budou mít přístup pouze oprávněné osoby Dalšího zpracovatele, které budou mít stanoveny podmínky a rozsah zpracování Osobních údajů a každá taková osoba bude přistupovat k Osobním údajům pod svým jednoznačným identifikátorem; b) Osobní údaje budou zpracovávány v prostorách Dalšího zpracovatele, do nichž budou mít přístup pouze oprávněné osoby Dalšího zpracovatele; c) Další zpracovatel se zavazuje vést řádnou evidenci o pohybu písemných dokumentů obsahujících Osobní údaje; d) oprávněné osoby Dalšího zpracovatele, které zpracovávají Osobní údaje podle této Dohody, jsou povinny zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení, přičemž Další zpracovatel se zavazuje zajistit jejich prokazatelné zavázání k této povinnosti. Další zpracovatel rovněž zajistí, že tato povinnost pro Dalšího Zpracovatele i oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Dalšímu zpracovateli; e) Osobní údaje v elektronické podobě budou uchovávány na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze oprávněné osoby Dalšího zpracovatele na základě přístupových kódů či hesel a Další zpracovatel bude Osobní údaje pravidelně zálohovat; f) Další zpracovatel zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, a to v souladu s dohodou se Zpracovatelem o úrovni daného zabezpečeného přenosu; g) Další zpracovatel bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů; h) Další zpracovatel zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování. 18.14.6 Další zpracovatel se současně zavazuje být Zpracovateli nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 Obecného nařízení, a to při zohlednění povahy zpracování a informací, jež má Další zpracovatel k dispozici. 18.14.7 Další zpracovatel není oprávněn předat Osobní údaje žádné třetí osobě. Pokud by bylo třeba zapojit do zpracování Osobních údajů dalšího zpracovatele, Další zpracovatel je povinen si vyžádat povolení Zpracovatele dle postupu uvedeného v pododst. 18.14.10 a 18.14.11 tohoto odstavce. 18.14.8 Další zpracovatel je povinen oznámit Zpracovateli do 24 hodin jakékoliv porušení (vč. uvedení rozsahu a způsobu) zabezpečení Osobních údajů, a to prostřednictvím kontaktů na Oprávněnou osobu. Další zpracovatel se zavazuje přijmout veškerá vhodná opatření k odstranění závadného stavu a o přijatých opatřeních Zpracovatele písemně informovat. 18.14.9 Další zpracovatel se zavazuje k součinnosti při plnění Zpracovatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů. 18.14.10 Další zpracovatel se zavazuje, že nezapojí do zpracování Osobních údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Zpracovatele. V případě obecného písemného povolení Další zpracovatel Zpracovatele informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Zpracovateli příležitost vyslovit vůči těmto změnám námitky. 18.14.11 V případě, že dojde postupem dle této Dohody k zapojení dalšího zpracovatele, aby jménem Zpracovatele provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy Dalším zpracovatelem na základě smlouvy stejné povinnosti na ochranu osobních údajů, které jsou stanoveny v této Dohodě mezi Dalším zpracovatelem a Zpracovatelem.