Common use of Technické a organizační zabezpečení ochrany osobních údajů Clause in Contracts

Technické a organizační zabezpečení ochrany osobních údajů. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných závazných právních předpisech, k vyloučení rizika náhodného nebo protiprávního zničení Osobních údajů, jejich ztráty, pozměnění, neoprávněného nebo nahodilého přístupu k Osobním údajům, neoprávněného přenosu či ukládání, jakož i jiného neoprávněného zpracování Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. Zpracovatel se zavazuje, že přijme zejména, nikoliv však výlučně, následující organizační a technická opatření: Zpracovatel, v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců nebo jiných osob, pověří touto činností pouze své vybrané zaměstnance nebo takové osoby, které prokazatelně poučí o jejich povinnosti zachovávat mlčenlivost ohledně zpracování Osobních údajů, jakož i o bezpečnostních a technických opatřeních, která Zpracovatel přijal a která jsou povinni dodržovat, stejně i o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení, relevantních právních předpisů, znění Smlouvy o poskytování služeb nebo této Smlouvy; zpracováním budou pověřeni pouze ti zaměstnanci Zpracovatele nebo takové osoby, do jejichž pracovní náplně spadají činnosti, jejichž odůvodněným předpokladem je zpracování Osobních údajů, a to v nezbytném rozsahu. Zpracovatel zároveň přijme opatření pro zajištění toho, aby tito zaměstnanci Zpracovatele nebo jiné osoby zpracovávali Osobní údaje pouze na pokyn Správce, pokud jim toto zpracování již neukládá právo Evropské unie nebo České republiky. Zpracovatel k zajištění důvěrnosti systémů a služeb zpracování přijme vhodná opatření v podobě vytvoření systému úrovní oprávnění, autentizace a autorizace přístupů fyzických osob k Osobním údajům (zejména přidělením přístupových hesel, kódů, klíčů či karet), eventuálně včetně technik šifrování a pseudonymizace zpracování Osobních údajů. Za tímto účelem bude používat odpovídající technická zařízení a programová vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než osob pověřených Zpracovatelem. Rovněž za tímto účelem zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích. Zpracovatel k zajištění integrity systémů a služeb zpracování přijme vhodná opatření chránící Osobní údaje před neoprávněným zničením, ztrátou nebo odcizením. Jedná se zejména o zajištění přístupu k Osobním údajům pouze oprávněným osobám a monitorování přístupu fyzických osob k Osobním údajům. K tomuto účelu se Zpracovatel zavazuje Osobní údaje zpracovávat v náležitě zabezpečených objektech a místnostech. Osobní údaje v elektronické podobě bude Zpracovatel uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby. Osobní údaje v listinné podobě bude Zpracovatel zpracovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o zpracování takovýchto písemných dokumentů, včetně míst zpracování těchto dokumentů. Zpracovatel k zajištění dostupnosti systému a služeb zpracování přijme taková opatření, díky kterým v případě výpadku systému či služby bude zajištěna náhradní funkcionalita tohoto systému či služby (například rozprostření mezi větší počet serverů). Zpracovatel k zajištění odolnosti systémů a služeb zpracování přijme taková opatření, která zajistí odolnost vůči útokům, selháním a která zajistí funkcionalitu a bezpečnost zpracování Osobních údajů po celou dobu zpracování. Zpracovatel k zajištění izolovanosti zpracování Osobních údajů, zejména pokud zpracovává Osobní údaje několika správců či zpracovatelů, zajistí, aby nedošlo k jejich sloučení, záměně nebo k jinému procesu, který by měl za následek porušení bezpečnosti zpracování Osobních údajů. Zpracovatel k zajištění schopnosti obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů přijme opatření zahrnující zejména pravidelné zálohování Osobních údajů, vytvoření a uplatňování pohotovostních nebo havarijních plánů a interních postupů pro případ bezpečnostních incidentů. Zpracovatel rovněž zajistí pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, například zavedením politiky pravidelného sledování a posuzování rizik a přijatých bezpečnostních opatření. V souladu s článkem 33 odst. 2. Nařízení je Zpracovatel povinen informovat Správce o jakémkoliv porušení zabezpečení Osobních údajů (dále jen jako „Porušení zabezpečení Osobních údajů“), jako je především ztráta či únik Osobních údajů, neoprávněná manipulace s Osobními údaji, přístup neoprávněné osoby k Osobním údajům, nedostupnost Osobních údajů nebo i jiné porušení zabezpečení Osobních údajů, a to bez zbytečného odkladu, nejpozději však do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozby, jestliže Zpracovatel mohl vědět o tomto Porušení zabezpečení Osobních údajů či o takovéto hrozbě při vynaložení odborné péče měl vědět. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty uvedené výše v tomto odstavci, informuje Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozvěděl. Informace dle předchozího písmene tohoto odstavce musí zejména obsahovat: popis povahy daného případu Porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů, pokud je to možné/pokud jsou Zpracovateli tyto údaje známy; popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů; popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Při ukončení zpracování Osobních údajů zajistí Zpracovatel bez zbytečného odkladu dle dohody se Správcem bezpečnou likvidaci Osobních údajů nebo tyto Osobní údaje předá Správci a zároveň zajistí bezpečnou likvidaci všech kopií Osobních údajů, pokud právo Unie nebo členského státu nepožaduje uložení daných Osobních údajů.

Technické a organizační zabezpečení ochrany osobních údajů. 1. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných závazných právních předpisech, k vyloučení rizika náhodného nebo protiprávního zničení Osobních údajů, jejich ztrátyztrátě, pozměnění, neoprávněného nebo nahodilého přístupu k Osobním údajům, neoprávněného přenosu neoprávněným přenosům či ukládání, jakož i jiného neoprávněného k jinému neoprávněnému zpracování Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. Zpracovatel se zavazuje, že přijme zejména, nikoliv však výlučně, následující organizační a technická opatření: : a) Zpracovatel, v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců nebo jiných osob, pověří touto činností pouze své vybrané zaměstnance nebo takové osoby, které prokazatelně poučí o jejich povinnosti zachovávat mlčenlivost ohledně zpracování Osobních údajů, jakož i o bezpečnostních a technických opatřeních, která Zpracovatel přijal a která jsou povinni dodržovat, stejně i o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení, relevantních právních předpisů, znění Smlouvy o poskytování služeb nebo této Smlouvy; zpracováním budou pověřeni pouze ti zaměstnanci Zpracovatele nebo takové osoby, do jejichž pracovní náplně spadají činnosti, jejichž odůvodněným předpokladem je zpracování Osobních údajů, a to v nezbytném rozsahu. Zpracovatel zároveň přijme opatření pro zajištění toho, aby tito zaměstnanci Zpracovatele nebo jiné osoby zpracovávali Osobní údaje pouze na pokyn Správce, pokud jim toto zpracování již neukládá právo Evropské unie Unie nebo České republiky. . b) Zpracovatel k zajištění důvěrnosti systémů a služeb zpracování přijme vhodná opatření v podobě vytvoření systému úrovní oprávnění, autentizace a autorizace přístupů fyzických osob k Osobním údajům (zejména přidělením přístupových hesel, kódů, klíčů či karet), eventuálně včetně technik šifrování a pseudonymizace zpracování Osobních údajů. Za tímto účelem bude používat odpovídající technická zařízení a programová vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než osob pověřených Zpracovatelem. Rovněž za tímto účelem zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích. . c) Zpracovatel k zajištění integrity systémů a služeb zpracování přijme vhodná opatření chránící Osobní údaje před neoprávněným zničením, ztrátou nebo odcizením. Jedná se zejména o zajištění přístupu k Osobním údajům pouze oprávněným osobám a monitorování přístupu fyzických osob k Osobním údajům. K tomuto účelu se Zpracovatel zavazuje Osobní údaje zpracovávat v náležitě zabezpečených objektech a místnostech. Osobní údaje v elektronické podobě bude Zpracovatel uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby. Osobní údaje v listinné podobě bude Zpracovatel zpracovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o zpracování takovýchto písemných dokumentů, včetně míst zpracování těchto dokumentů. . d) Zpracovatel k zajištění dostupnosti systému a služeb zpracování přijme taková opatření, díky kterým v případě výpadku systému či služby bude zajištěna náhradní funkcionalita tohoto systému či služby (například rozprostření mezi větší počet serverů). . e) Zpracovatel k zajištění odolnosti systémů a služeb zpracování přijme taková opatření, která zajistí odolnost vůči útokům, selháním a která zajistí funkcionalitu a bezpečnost zpracování Osobních údajů po celou dobu zpracování. . f) Zpracovatel k zajištění izolovanosti zpracování Osobních údajů, zejména pokud zpracovává Osobní údaje několika správců či zpracovatelů, zajistí, aby nedošlo k jejich sloučení, záměně nebo k jinému procesu, který by měl za následek porušení bezpečnosti zpracování Osobních údajů. . g) Zpracovatel k zajištění schopnosti obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů přijme opatření zahrnující zejména pravidelné zálohování Osobních údajů, vytvoření a uplatňování pohotovostních nebo havarijních plánů a interních postupů pro případ bezpečnostních incidentů. . h) Zpracovatel rovněž zajistí pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, například zavedením politiky pravidelného sledování a posuzování rizik a přijatých bezpečnostních opatření. . i) V souladu s článkem 33 odst. 2. Nařízení je Zpracovatel povinen informovat Správce o jakémkoliv porušení zabezpečení Osobních údajů (dále jen jako „Porušení zabezpečení Osobních údajů“), jako je především ztráta či únik Osobních údajů, neoprávněná manipulace s Osobními údaji, přístup neoprávněné osoby k Osobním údajům, nedostupnost Osobních údajů nebo i jiné porušení zabezpečení Osobních údajů, a to bez zbytečného odkladu, nejpozději však do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozby, jestliže Zpracovatel mohl vědět o tomto Porušení zabezpečení Osobních údajů či o takovéto hrozbě při vynaložení odborné péče měl vědětpéče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty uvedené výše v tomto odstavci, informuje Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozvěděl. . j) Informace dle předchozího písmene tohoto odstavce musí zejména obsahovat: - popis povahy daného případu Porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů, pokud je to možné/pokud jsou Zpracovateli tyto údaje známy; - popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů; - popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. . k) Při ukončení zpracování Osobních údajů zajistí Zpracovatel bez zbytečného odkladu dle dohody se Správcem bezpečnou likvidaci Osobních údajů údajů, nebo tyto Osobní údaje předá Správci a zároveň zajistí bezpečnou likvidaci všech kopií Osobních údajů, pokud právo Unie nebo členského státu nepožaduje uložení daných Osobních údajů.

Technické a organizační zabezpečení ochrany osobních údajů. Zpracovatel prohlašuje, že si je vědom povinností vyplývajících z právních předpisů platných na území ČR. Zpracovatel se zaručuje provést při zpracování shora uvedených osobních údajů toto technické a organizační zabezpečení osobních údajů: údaje budou zpracovávány pouze pověřenými zaměstnanci zpracovatele; k osobním datům budou mít přístup pouze pověření zaměstnanci zpracovatele, a to pouze v nezbytně nutném rozsahu pro plnění předmětu smlouvy specifikované shora a při dodržení podmínek stanovených dále v tomto článku; veškeré předané osobní údaje budou uchovávány pouze v uzamykatelných místnostech, a to pouze po dobu nezbytně nutnou pro plnění předmětu smlouvy specifikované shora; elektronické datové soubory obsahující osobní údaje jsou uchovávány v paměti počítače pouze: je-li přístup k užívání počítače, v jehož paměti jsou tyto soubory umístěny, chráněn heslem; je-li pro účel kontroly správného fungování smlouvy, odstranění vady nebo další vývoj smlouvy nezbytné poskytnout zpracovateli kopii databází, souborů nebo nosičů údajů obsahujících jakékoliv údaje z činnosti správce a jím určených organizací, je zpracovatel povinen s takovými údaji nakládat tak, aby nedošlo k jejich úniku či zneužití. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá zavede vhodná technická a organizační organizačních opatření uvedená shora tak, aby dané zpracování splňovalo požadavky nařízení GDPR, aby byla zajištěna ochrana práv subjektu údajů, zejména aby nemohlo dojít k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných závazných právních předpisechneoprávněnému nebo nahodilému přístupu k osobním údajům, k vyloučení rizika náhodného nebo protiprávního jejich změně, zničení Osobních údajůči ztrátě, neoprávněným přenosům, k jejich ztráty, pozměnění, neoprávněného nebo nahodilého přístupu k Osobním údajům, neoprávněného přenosu či ukládáníjinému neoprávněnému zpracování, jakož i jiného neoprávněného zpracování Osobních k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních osobních údajů zpracovatelem (pokud nevyplývá ze smlouvy povinnost jejich likvidace u zpracovatele). Správce nepovoluje zpracovateli umožnit dalšímu zpracovateli nakládat s osobními údaji, vyjma lektorů v poddodavatelském vztahu k zpracovateli (dodavateli) v rámci plnění této smlouvy na základě písemného souhlasu správce uděleného pro každého subdodavatele. Zpracovatel v takovém případě odpovídá za plnění této smlouvy jako by zpracování prováděl sám. Po obdržení souhlasu od správce zpracovatel uzavře s každým subdodavatelem podílejícím se na zpracování osobních údajů písemnou smlouvu o zpracování osobních údajů, která bude garantovat poskytnutí minimálně shodných záruk ochrany osobních údajů jako tato smlouva, zejména pokud jde o bezpečnostní, organizační a technická opatření na ochranu osobních údajů. Správce je oprávněn vyžádat si kdykoli v průběhu trvání této smlouvy předložení písemné smlouvy uzavřené mezi zpracovatelem a dalším zpracovatelem (subdodavatelem). Zpracovatel se zavazuje, že přijme zejménaveškeré osobní údaje a „hmotné substráty“ se shora uvedenými osobními údaji (včetně jejich kopií či případných metadat), nikoliv však výlučněbudou po ukončení zpracování údajů ihned (nejpozději do 14-ti dnů) vráceny správci a příslušné nosiče osobních údajů budou v dané lhůtě zpracovatelem zlikvidovány (přičemž zpracovatel je povinen podat správci v dané lhůtě zprávu o způsobu likvidace), následující organizační a technická opatření: Zpracovatelto jakmile dojde z jakéhokoli právního důvodu k ukončení účinnosti smlouvy; nebo správce o to požádá; nebo dojde k odstoupení od shora uváděné smlouvy nebo k výpovědi smlouvy. Zpracovatel je oprávněn dohodnout se se subjektem osobních údajů o jiném postupu po ukončení této smlouvy. Zpracovatel se zavazuje zachovávat mlčenlivost o všech osobních údajích poskytnutých na základě této smlouvy včetně údajů o smluvních stranách či třetích osobách, v případě zpracování Osobních údajů prostřednictvím vlastních majících charakter osobních údajů. Smluvní strany jsou si vzájemně rovněž povinny na žádost druhé smluvní strany prokázat způsob jakým je dodržování povinností stanovených zákonem zajištěno. Zpracovatel se zavazuje zároveň zajistit mlčenlivost všech svých zaměstnanců nebo či jiných osob, pověří touto činností pouze své vybrané zaměstnance nebo takové osoby, které prokazatelně poučí o jejich povinnosti zachovávat mlčenlivost ohledně zpracování Osobních údajů, jakož i o bezpečnostních a technických opatřeních, která Zpracovatel přijal a která jsou povinni dodržovat, stejně i o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení, relevantních právních předpisů, znění Smlouvy o poskytování služeb nebo této Smlouvy; zpracováním jež budou pověřeni pouze ti zaměstnanci Zpracovatele nebo takové osoby, přicházet do jejichž pracovní náplně spadají činnosti, jejichž odůvodněným předpokladem je zpracování Osobních údajů, a to v nezbytném rozsahustyku s osobními údaji. Zpracovatel zároveň přijme opatření pro zajištění toho, aby tito zaměstnanci Zpracovatele nebo jiné osoby zpracovávali Osobní se dále zavazuje: zpracovávat osobní údaje pouze na pokyn Správcezákladě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud jim mu toto zpracování již neukládá neukládají právo Evropské unie Unie nebo České republiky. Zpracovatel k zajištění důvěrnosti členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu; přijmout příslušná opatření požadovaná podle článku 32 nařízení GDPR; jedná se zejména o schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování přijme vhodná opatření zpracování; zpracovatel se v podobě vytvoření systému úrovní oprávněnírámci tohoto zavazuje pořizovat elektronické záznamy, autentizace které umožní určit a autorizace přístupů fyzických osob ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány a zabránit neoprávněnému přístupu k Osobním údajům (datovým nosičům, zejména přidělením přístupových prostřednictvím nastavení hesel, kódů, klíčů či karet), eventuálně včetně technik šifrování a pseudonymizace zpracování Osobních údajů. Za tímto účelem bude používat odpovídající technická zařízení a programová vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než osob pověřených Zpracovatelem. Rovněž za tímto účelem zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích. Zpracovatel k zajištění integrity systémů a služeb zpracování přijme vhodná opatření chránící Osobní údaje před neoprávněným zničením, ztrátou nebo odcizením. Jedná se zejména o zajištění přístupu k Osobním údajům pouze oprávněným osobám a monitorování přístupu fyzických osob k Osobním údajům. K tomuto účelu se Zpracovatel zavazuje Osobní údaje zpracovávat v náležitě zabezpečených objektech a místnostech. Osobní údaje v elektronické podobě bude Zpracovatel uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby. Osobní údaje v listinné podobě bude Zpracovatel zpracovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o zpracování takovýchto písemných dokumentů, včetně míst zpracování těchto dokumentů. Zpracovatel k zajištění dostupnosti systému a služeb zpracování přijme taková opatření, díky kterým v případě výpadku systému či služby bude zajištěna náhradní funkcionalita tohoto systému či služby (například rozprostření mezi větší počet serverů). Zpracovatel k zajištění odolnosti systémů a služeb zpracování přijme taková opatření, která zajistí odolnost vůči útokům, selháním a která zajistí funkcionalitu a bezpečnost zpracování Osobních údajů po celou dobu zpracování. Zpracovatel k zajištění izolovanosti zpracování Osobních údajů, zejména pokud zpracovává Osobní údaje několika správců či zpracovatelů, zajistí, aby nedošlo k jejich sloučení, záměně nebo k jinému procesu, který by měl za následek porušení bezpečnosti zpracování Osobních údajů. Zpracovatel k zajištění přístupových práv; schopnosti obnovit dostupnost Osobních osobních údajů a přístup k nim včas v případě fyzických či technických incidentů přijme opatření zahrnující zejména pravidelné zálohování Osobních údajů, vytvoření a uplatňování pohotovostních nebo havarijních plánů a interních postupů pro případ bezpečnostních incidentů. Zpracovatel rovněž zajistí pravidelné ; tyto skutečnosti je povinen prokázat správci na jeho vyžádání; proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, například zavedením politiky pravidelného sledování ; tyto skutečnosti je povinen prokázat správci na jeho vyžádání. zohlednit povahu zpracování a posuzování rizik poskytnout bezodkladně nezbytnou součinnost prostřednictvím vhodných technických a přijatých bezpečnostních organizačních opatření. V souladu s článkem 33 odst. 2. Nařízení je Zpracovatel povinen informovat Správce o jakémkoliv porušení zabezpečení Osobních údajů (dále jen jako „Porušení zabezpečení Osobních údajů“), jako je především ztráta či únik Osobních údajů, neoprávněná manipulace s Osobními údaji, přístup neoprávněné osoby k Osobním údajům, nedostupnost Osobních údajů nebo i jiné porušení zabezpečení Osobních údajů, a to bez zbytečného odkladu, nejpozději však do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozby, jestliže Zpracovatel mohl vědět o tomto Porušení zabezpečení Osobních údajů či o takovéto hrozbě při vynaložení odborné péče měl vědět. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty uvedené výše v tomto odstavci, informuje Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozvěděl. Informace dle předchozího písmene tohoto odstavce musí zejména obsahovat: popis povahy daného případu Porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů, pokud je to možné/pokud jsou Zpracovateli tyto údaje známy, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených nařízení GDPR; popis pravděpodobných důsledků Porušení zabezpečení Osobních údajůposkytnout správci nezbytnou součinnost při zajišťování souladu s povinnostmi podle článků 32 až 36 nařízení GDPR, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici; popis opatření, která Zpracovatel přijal nebo navrhl k přijetí v souladu s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Při rozhodnutím správce po ukončení zpracování Osobních údajů zajistí Zpracovatel bez zbytečného odkladu nakládání s osobními údaji dle dohody smlouvy a tohoto dodatku postupovat při jejich likvidaci či vrácení dle podmínek stanových v této smlouvě a zavazuje se Správcem bezpečnou likvidaci Osobních údajů nebo tyto Osobní údaje předá Správci a zároveň zajistí bezpečnou likvidaci všech kopií Osobních vymazat existující kopie osobních údajů, pokud právo Unie nebo členského státu nepožaduje uložení daných Osobních osobních údajů u zpracovatele; poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v nařízení GDPR, a umožnit audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispět; informovat neprodleně správce v případě, že jeho pokyn porušuje GDPR nebo jiný právní předpis. Zpracovatel cestou vydání svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání, zajistí, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě smlouvy se zpracovatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím této smlouvě a zákonu, zejména bude sám (a závazně uloží i těmto osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací. Zpracovatel je povinen v souladu s čl. 33 odst. 2 GDPR bez zbytečného odkladu (nejpozději do 24h), jakmile zjistí porušení zabezpečení osobních údajů ohlásit toto porušení správci. Ohlášení bude provedeno na tyto e-mailové adresy xxxxxxxxx@xx-xxxxxxxxxxxxxxx.xx, xxxxxxx@xx-xxxxxxxxxxxxxxx.xx, xxxxxxxxx@xx-xxxxxxxxxxxxxxx.xx a dále pak telefonicky na 725 542 588 nebo 736 521 870. V případě, že zpracovatel poruší ustanovení čl. 7 a 8 této smlouvy, je správce oprávněn požadovat po zpracovateli smluvní pokutu ve výši 5.000 Kč (slovy: pět tisíc korun českých) za každé jednotlivé porušení těchto článků ze strany zpracovatele. Zpracovatel je povinen k úhradě takovéto pokuty. Smluvní pokuta je splatná do 14 dnů od doručení oznámení o uplatnění smluvní pokuty. Zároveň se zpracovatel zavazuje k úhradě škody (např. správní či jiné sankce, náhrady škody za neoprávněné nakládání s osobními údaji), která vznikla správci či třetí osobě v důsledku porušení povinností zpracovatele stanovených právními předpisy, smlouvou, tímto dodatkem či v důsledku neposkytnutí příslušné součinnosti.

Technické a organizační zabezpečení ochrany osobních údajů. 1. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných závazných právních předpisech, k vyloučení rizika náhodného nebo protiprávního zničení Osobních údajů, jejich ztrátyztrátě, pozměnění, neoprávněného nebo nahodilého přístupu k Osobním údajům, neoprávněného přenosu neoprávněným přenosům či ukládání, jakož i jiného neoprávněného k jinému neoprávněnému zpracování Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. Zpracovatel se zavazuje, že přijme zejména, nikoliv však výlučně, následující organizační a technická opatření: opatření:¨ a) Zpracovatel, v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců nebo jiných osob, pověří touto činností pouze své vybrané zaměstnance nebo takové osoby, které prokazatelně poučí o jejich povinnosti zachovávat mlčenlivost ohledně zpracování Osobních údajů, jakož i o bezpečnostních a technických opatřeních, která Zpracovatel přijal a která jsou povinni dodržovat, stejně i o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení, relevantních právních předpisů, znění Smlouvy o poskytování služeb nebo této Smlouvy; zpracováním budou pověřeni pouze ti zaměstnanci Zpracovatele nebo takové osoby, do jejichž pracovní náplně spadají činnosti, jejichž odůvodněným předpokladem je zpracování Osobních údajů, a to v nezbytném rozsahu. Zpracovatel zároveň přijme opatření pro zajištění toho, aby tito zaměstnanci Zpracovatele nebo jiné osoby zpracovávali Osobní údaje pouze na pokyn Správce, pokud jim toto zpracování již neukládá právo Evropské unie Unie nebo České republiky. Zpracovatel k zajištění důvěrnosti systémů a služeb zpracování přijme vhodná opatření v podobě vytvoření systému úrovní oprávnění, autentizace a autorizace přístupů fyzických osob k Osobním údajům (zejména přidělením přístupových hesel, kódů, klíčů či karet), eventuálně včetně technik šifrování a pseudonymizace zpracování Osobních údajů. Za tímto účelem bude používat odpovídající technická zařízení a programová vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než osob pověřených Zpracovatelem. Rovněž za tímto účelem zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích. Zpracovatel k zajištění integrity systémů a služeb zpracování přijme vhodná opatření chránící Osobní údaje před neoprávněným zničením, ztrátou nebo odcizením. Jedná se zejména o zajištění přístupu k Osobním údajům pouze oprávněným osobám a monitorování přístupu fyzických osob k Osobním údajům. K tomuto účelu se Zpracovatel zavazuje Osobní údaje zpracovávat v náležitě zabezpečených objektech a místnostech. Osobní údaje v elektronické podobě bude Zpracovatel uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby. Osobní údaje v listinné podobě bude Zpracovatel zpracovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o zpracování takovýchto písemných dokumentů, včetně míst zpracování těchto dokumentů. Zpracovatel k zajištění dostupnosti systému a služeb zpracování přijme taková opatření, díky kterým v případě výpadku systému či služby bude zajištěna náhradní funkcionalita tohoto systému či služby (například rozprostření mezi větší počet serverů). Zpracovatel k zajištění odolnosti systémů a služeb zpracování přijme taková opatření, která zajistí odolnost vůči útokům, selháním a která zajistí funkcionalitu a bezpečnost zpracování Osobních údajů po celou dobu zpracování. Zpracovatel k zajištění izolovanosti zpracování Osobních údajů, zejména pokud zpracovává Osobní údaje několika správců či zpracovatelů, zajistí, aby nedošlo k jejich sloučení, záměně nebo k jinému procesu, který by měl za následek porušení bezpečnosti zpracování Osobních údajů. Zpracovatel k zajištění schopnosti obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů přijme opatření zahrnující zejména pravidelné zálohování Osobních údajů, vytvoření a uplatňování pohotovostních nebo havarijních plánů a interních postupů pro případ bezpečnostních incidentů. Zpracovatel rovněž zajistí pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, například zavedením politiky pravidelného sledování a posuzování rizik a přijatých bezpečnostních opatření. V souladu s článkem 33 odst. 2. Nařízení je Zpracovatel povinen informovat Správce o jakémkoliv porušení zabezpečení Osobních údajů (dále jen jako „Porušení zabezpečení Osobních údajů“), jako je především ztráta či únik Osobních údajů, neoprávněná manipulace s Osobními údaji, přístup neoprávněné osoby k Osobním údajům, nedostupnost Osobních údajů nebo i jiné porušení zabezpečení Osobních údajů, a to bez zbytečného odkladu, nejpozději však do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozby, jestliže Zpracovatel mohl vědět o tomto Porušení zabezpečení Osobních údajů či o takovéto hrozbě při vynaložení odborné péče měl vědět. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty uvedené výše v tomto odstavci, informuje Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozvěděl. Informace dle předchozího písmene tohoto odstavce musí zejména obsahovat: popis povahy daného případu Porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů, pokud je to možné/pokud jsou Zpracovateli tyto údaje známy; popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů; popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Při ukončení zpracování Osobních údajů zajistí Zpracovatel bez zbytečného odkladu dle dohody se Správcem bezpečnou likvidaci Osobních údajů nebo tyto Osobní údaje předá Správci a zároveň zajistí bezpečnou likvidaci všech kopií Osobních údajů, pokud právo Unie nebo členského státu nepožaduje uložení daných Osobních údajů.