Common use of ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ Clause in Contracts

ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ. 6.1 Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných obecně závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. 6.2 Zpracovatel poskytuje záruky pouze na prostředí, do kterých má výhradní nejvyšší přístupová práva. (např. virtualizační server se software plně ve správě Zpracovatele). Zpracovatel není zodpovědný za prostředí, ve kterých má nejvyšší přístupová práva Správce a nikoliv Zpracovatel (a to i v případě, že se může jednat např. o virtuální server dodaný Zpracovatelem). 6.3 Zpracovatel není odpovědný za software třetích stran instalované Zpracovatelem nebo Správcem (např. CMS, OS instalovaný Správcem), a to včetně odpovědnosti za zpracování Osobních údajů v rámci takového software. 6.4 Zpracovatel se zavazuje, že přijme následující organizační a technická opatření, a to za podmínek a v rozsahu stanoveném Podkladovou smlouvou: (a) aniž by byl dotčen článek 6.3 této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy; (b) bude provádět monitoring fyzické bezpečnosti služby dle Podkladové smlouvy v režimu 24×7×365; (c) bude provádět monitoring dostupnosti jednotlivých služeb a logování událostí služby dle Podkladové služby; (d) bude dodržovat interní procedury pro záplatování a údržbu software; (e) bude provozovat bezpečný vzdálený přístup k technologiím pouze z vybraných sítí a za použití RSA klíčů. Přístup prostřednictvím hesla bude použit pouze tam, kde není možné použít autentizaci prostřednictvím RSA klíčů; (f) bude provozovat firewall na zařízeních takovým způsobem, aby umožnoval pouze Zpracovatelem schválený typ a způsob komunikace, jakožto Prevenci a detekce možných bezpečnostních incidentů; (g) bude provádět detekci a monitoring neobvyklých aktivit na serverech, jako jsou výstrahy na procesy mimo běžný chod služby dle Podkladové smlouvy; (h) bude používat vhodná technická zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než Správce anebo pověřených zaměstnanců Zpracovatele; (i) osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel; (j) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích; (k) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů; (l) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; (m) zajistí pravidelné skenování zranitelností na perimetru služby dle Podkladové smlouvy; (n) v rámci interních bezpečnostních postupů a pravidel zajistí pravidelné objektivní testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů; 6.5 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Další zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě. 6.6 Pokud Zpracovatel zapojí ve smyslu předchozího článku 6.5 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel. 6.7 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s obecně závaznými právními předpisy.

ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ. 6.1 Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení a Zákonu o zpracování OÚ či jiných obecně závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. 6.2 Zpracovatel poskytuje záruky pouze na prostředíse zavazuje zejména, do kterých má výhradní nejvyšší přístupová práva. (např. virtualizační server se software plně ve správě Zpracovatele). Zpracovatel není zodpovědný za prostředí, ve kterých má nejvyšší přístupová práva Správce a nikoliv Zpracovatel (a to i v případě, že se může jednat např. o virtuální server dodaný Zpracovatelem). 6.3 Zpracovatel není odpovědný za software třetích stran instalované Zpracovatelem nebo Správcem (např. CMS, OS instalovaný Správcem), a to včetně odpovědnosti za zpracování Osobních údajů v rámci takového software. 6.4 Zpracovatel se zavazujexxxxxxx však výlučně, že přijme následující organizační a technická opatření, a to za podmínek a v rozsahu stanoveném Podkladovou smlouvou: (a) aniž by byl dotčen článek bod 6.3 této SmlouvyPřílohy č. 7, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost zaváže povinností mlčenlivosti ohledně Osobních údajů a o dalších povinnostechzaváže dodržovat další povinnosti, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy; (b) bude provádět monitoring fyzické bezpečnosti služby dle Podkladové smlouvy v režimu 24×7×365; (c) bude provádět monitoring dostupnosti jednotlivých služeb a logování událostí služby dle Podkladové služby; (d) bude dodržovat interní procedury pro záplatování a údržbu software; (e) bude provozovat bezpečný vzdálený přístup k technologiím pouze z vybraných sítí a za použití RSA klíčůPřílohy č. Přístup prostřednictvím hesla bude použit pouze tam, kde není možné použít autentizaci prostřednictvím RSA klíčů; (f) bude provozovat firewall na zařízeních takovým způsobem, aby umožnoval pouze Zpracovatelem schválený typ a způsob komunikace, jakožto Prevenci a detekce možných bezpečnostních incidentů; (g) bude provádět detekci a monitoring neobvyklých aktivit na serverech, jako jsou výstrahy na procesy mimo běžný chod služby dle Podkladové smlouvy; (h) bude používat vhodná technická zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než Správce anebo pověřených zaměstnanců Zpracovatele; (i) osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel; (j) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích; (k) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů; (l) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; (m) zajistí pravidelné skenování zranitelností na perimetru služby dle Podkladové smlouvy; (n) v rámci interních bezpečnostních postupů a pravidel zajistí pravidelné objektivní testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů; 6.5 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Další zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě. 6.6 Pokud Zpracovatel zapojí ve smyslu předchozího článku 6.5 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě7, a to zejména poskytnutí dostatečných záruknapříklad v rámci interního předpisu Zpracovatele, pokud jde dohodě o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti mlčenlivosti či v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel. 6.7 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s obecně závaznými právními předpisy.pracovní smlouvě zaměstnance;

ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ. 6.1 Zpracovatel Zhotovitel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení a Zákonu o zpracování OÚ či jiných obecně závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů. 6.2 Zpracovatel poskytuje záruky pouze na prostředíZhotovitel se zavazuje zejména, do kterých má výhradní nejvyšší přístupová práva. (např. virtualizační server se software plně ve správě Zpracovatele). Zpracovatel není zodpovědný za prostředí, ve kterých má nejvyšší přístupová práva Správce a nikoliv Zpracovatel (a to i v případě, že se může jednat např. o virtuální server dodaný Zpracovatelem). 6.3 Zpracovatel není odpovědný za software třetích stran instalované Zpracovatelem nebo Správcem (např. CMS, OS instalovaný Správcem), a to včetně odpovědnosti za zpracování Osobních údajů v rámci takového software. 6.4 Zpracovatel se zavazujexxxxxxx však výlučně, že přijme následující organizační a technická opatření, a to za podmínek a v rozsahu stanoveném Podkladovou smlouvou: (a) aniž by byl dotčen článek bod 6.3 této SmlouvyPřílohy č. 6 [Ochrana Osobních údajů], Zpracovatel Zhotovitel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnancezaměstnance a členy Realizačního týmu, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy; (b) bude provádět monitoring fyzické bezpečnosti služby dle Podkladové smlouvy v režimu 24×7×365; (c) bude provádět monitoring dostupnosti jednotlivých služeb a logování událostí služby dle Podkladové služby; (d) bude dodržovat interní procedury pro záplatování a údržbu software; (e) bude provozovat bezpečný vzdálený přístup k technologiím pouze z vybraných sítí a za použití RSA klíčůPřílohy č. Přístup prostřednictvím hesla bude použit pouze tam, kde není možné použít autentizaci prostřednictvím RSA klíčů; (f) bude provozovat firewall na zařízeních takovým způsobem, aby umožnoval pouze Zpracovatelem schválený typ a způsob komunikace, jakožto Prevenci a detekce možných bezpečnostních incidentů; (g) bude provádět detekci a monitoring neobvyklých aktivit na serverech, jako jsou výstrahy na procesy mimo běžný chod služby dle Podkladové smlouvy; (h) bude používat vhodná technická zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než Správce anebo pověřených zaměstnanců Zpracovatele; (i) osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel; (j) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích; (k) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování 6 [Ochrana Osobních údajů]; (l) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; (m) zajistí pravidelné skenování zranitelností na perimetru služby dle Podkladové smlouvy; (n) v rámci interních bezpečnostních postupů a pravidel zajistí pravidelné objektivní testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů; 6.5 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Další zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě. 6.6 Pokud Zpracovatel zapojí ve smyslu předchozího článku 6.5 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel. 6.7 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s obecně závaznými právními předpisy.