SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ (dále jen „DPA“)

SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ (dále jen „DPA“)

I) Obecné

1. Rozsah

DPA je začleněna formou odkazu do smlouvy a tvoří její nedílnou součást (jak je definováno v obchodních podmínkách), pokud strany neuzavřou samostatnou smlouvu o zpracování údajů jako součást zvláštních smluv. V případě jakéhokoli nesouladu mezi DPA a jakýmikoli jinými podmínkami smlouvy má přednost DPA.

Tato DPA se vztahuje na případy, kdy společnost TD SYNNEX v postavení zpracovatele zpracovává osobní údaje jménem

a podle pokynů kupujícího, který jedná svým jménem nebo jménem svých zákazníků nebo jejich koncových uživatelů (dále jen „klienti“) v postavení správce. To platí také v případě, že kupující, jednající v postavení zpracovatele, zpracovává osobní údaje jménem a v souladu s pokyny společnosti TD SYNNEX jednající [vlastním jménem nebo jménem třetí strany] v postavení správce.

Tato DPA se nevztahuje na případy, kdy si společnosti TD SYNNEX a kupující vzájemně sdílejí osobní údaje jako samostatní nebo společní správci.

Společnost TD SYNNEX obvykle vystupuje jako samostatný správce, pokud:

(a) shromažďuje osobní údaje v souvislosti s činností kupujícího (například osobní údaje zaměstnanců kupujícího);

(b) společnost TD SYNNEX zpracovává osobní údaje koncových uživatelů poskytnuté zákazníkem kupujícího pro:

(i) provádění kontrol proti podvodům, praní špinavých peněz, sankcím a jakýchkoli jiných kontrol, včetně prověřování seznamu odmítnutých stran, a vyšetřování a stíhání podvodů, praní špinavých peněz nebo porušování sankcí v souvislosti s navázáním a udržováním vztahu s klientem a poskytováním služeb;

(ii) dodržování právních předpisů;

(iii) anonymizace a/nebo analýzy údajů; a

(iv) plnění smlouvy, včetně předávaných zásilek, a pokud je to pro plnění smlouvy nezbytné, předávání těchto osobních údajů třetím stranám, které vystupují v roli

správce, jako jsou dopravci, výrobci nebo poskytovatelé služeb třetích stran.

2. Definice

Veškeré pojmy, které nejsou definovány v této DPA nebo v jiných částech smlouvy, mají význam, který jim je přiřazen podle obecného nařízení o ochraně osobních údajů (EU 2016/679) („GDPR“). Odkazy na články GDPR v této smlouvě [čl. GDPR] se použijí pouze v rozsahu, v jakém se na

zpracování vztahuje GDPR – pro všechny ostatní příslušné jurisdikce platí odpovídající platné právní předpisy o ochraně osobních údajů.

„Třetí zemí“ se rozumí jakákoli země, která není členským státem Evropské unie („EU“) nebo Evropského hospodářského prostoru („EHP“), ani nemá potvrzení Evropské komise, že poskytuje odpovídající ochranu osobních údajů dle čl. 45 odst. 3 GDPR.

„Zpracováním osobních údajů v EHP“ se pro účely této DPA rozumí zpracování osobních údajů, které spadá do působnosti GDPR nebo zákonů na ochranu osobních údajů Spojeného království nebo Švýcarska.

„Standardními smluvními doložkami“ nebo „SCC“ se rozumí standardní smluvní doložky pro předávání osobních údajů do třetích zemí podle prováděcího rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 nebo jakéhokoli následného či doplňujícího rozhodnutí;

„Zákony na ochranu osobních údajů“ znamená všechny platné zákony a právní předpisy týkající se zpracování osobních údajů a ochrany soukromí, které mohou existovat v příslušných jurisdikcích, pro členské státy EU nebo EHP, včetně GDPR;

„TOM“ znamená technická a organizační opatření ve smyslu zákonů na ochranu osobních údajů;

„Dílčí zpracovatel“ znamená třetí stranu oprávněnou podle této DPA mít logický přístup k osobním údajům a zpracovávat je v souladu s touto smlouvou;

„Předávání údajů“ znamená předávání osobních údajů nebo poskytování přístupu k osobním údajům jakoukoli stranou.

„Vývozce“ znamená jakoukoli stranu účastnící se předávání údajů, která se nachází v EHP, Spojeném království nebo Švýcarsku.

II) Zvláštní podmínky pro společnost TD SYNNEX jako zpracovatele

Tento oddíl II se vztahuje na případy, kdy společnost TD SYNNEX v postavení zpracovatele zpracovává osobní údaje jménem a na základě pokynů kupujícího, který jedná svým jménem nebo jménem klientů v postavení správce. Uplatní se také pro oddíl III níže. V případě rozporu mezi oddíly II a III má přednost oddíl II.

1. Elektronická komunikace. Společnost TD SYNNEX může kupujícímu poskytovat informace a činit oznámení v souvislosti s touto DPA elektronicky, včetně

prostřednictvím e-mailu, standardních webových stránek společnosti TD SYNNEX nebo prostřednictvím webových stránek, které společnost TD SYNNEX určí.

2. Podrobnosti zpracování. Využíváním služeb kupující souhlasí s podrobnostmi zpracování, včetně povahy, účelu a předmětu zpracování, kategorií subjektů údajů, typů osobních údajů, zvláštních kategorií osobních údajů, TOM a případně dalších zpracovatelů, jak jsou definovány ve smlouvě (včetně této DPA) a jak jsou jinak zpřístupněny

a sděleny společností TD SYNNEX elektronicky, včetně prostřednictvím e-mailu, standardních webových stránek společnosti TD SYNNEX nebo prostřednictvím webových stránek, které společnost TD SYNNEX určí.

3. Standardní smluvní doložky. Případné SCC mezi společností TD SYNNEX a kupujícím lze nalézt na standardních webových stránkách společnosti TD SYNNEX nebo na webových stránkách, které společnost TD SYNNEX určí.

4. Povinnosti společnosti TD SYNNEX a kupujícího.

4.1. Společnost TD SYNNEX bude dodržovat všechny zákony na ochranu osobních údajů, které se na ni vztahují jako na zpracovatele. Společnost TD SYNNEX neodpovídá za dodržování jakýchkoli zákonů nebo právních předpisů vztahujících se na oblast činnosti kupujícího nebo jeho klientů, které nejsou obecně platné pro poskytovatele příslušných produktů. Společnost TD SYNNEX neurčuje,

zda údaje kupujícího nebo jeho klientů obsahují informace podléhající konkrétním zákonům nebo předpisům.

4.2. Kupující posoudí a určí vhodnost, přiměřenost a soulad používání produktů kupujícím nebo jeho klienty se zákony a právními předpisy, včetně zákonů na ochranu osobních údajů, zejména pokud jde o TOM, další zapojené zpracovatele, umístění datového centra a příslušné předávání údajů, jak je popsáno ve smlouvě, včetně DPA a podrobností zpracování.

4.3. Pokud kupující sám není správcem osobních údajů, ale zpracovává osobní údaje jménem klientů, zaručuje se, že má uzavřeny všechny smlouvy a že má všechna potřebná povolení a oprávnění klientů:

- jednat ve vztahu ke společnosti TD SYNNEX jako správce podle této DPA a vykonávat veškerá práva správce vůči společnosti TD SYNNEX a jejím dalším zpracovatelům v souvislosti s DPA;

- využívat společnost TD SYNNEX jako zpracovatele ke zpracování osobních údajů, jak je uvedeno ve smlouvě včetně této DPA a podrobnostech zpracování;

- být jediným kontaktním místem společnosti TD SYNNEX pro všechny pokyny, oznámení, informace a komunikaci v souvislosti s touto DPA a pro propojení příslušné komunikace mezi klienty a TD SYNNEX, pokud je to vyžadováno právní předpisy. Společnost TD SYNNEX není povinna klienta informovat nebo oznamovat mu, že TD SYNNEX takové informace nebo oznámení poskytla kupujícímu. TD SYNNEX bude sloužit jako jediné kontaktní místo s ohledem na ostatní zpracovatele TD SYNNEX.

- vykonávat práva vývozce podle standardních smluvních doložek – pokud je to relevantní – vůči (i) společnosti TD SYNNEX a/nebo (ii) jejím dalším zpracovatelům prostřednictvím TD SYNNEX jménem vývozce.

III) Obecné podmínky zpracování

Xxxxx XXX se spolu s oddílem II vztahuje na případy, kdy společnost TD SYNNEX v postavení zpracovatele zpracovává osobní údaje jménem a na základě pokynů kupujícího, který jedná svým jménem nebo jménem klientů v postavení správce. To se uplatní také v případě, že kupující, jednající v postavení zpracovatele, zpracovává osobní údaje jménem a v souladu s pokyny společnosti TD SYNNEX jednající [vlastním jménem nebo jménem třetí strany] v postavení správce.

1. Povinnosti správce

1.1. Správce je výhradně odpovědný za dodržování všech zákonných povinností správce s ohledem na zpracování podle zákonů na ochranu osobních údajů. Správce

po ukončení smlouvy nebo vypršení její platnosti stanoví pokyny k vrácení nosičů údajů s osobními údaji nebo k výmazu uložených osobních údajů a bez zbytečného odkladu oznámí zpracovateli veškeré chyby nebo nesrovnalosti, o kterých se dozví v souvislosti se zpracováním osobních údajů zpracovatelem.

1.2. Správce nebude používat produkty ve spojení s osobními údaji, pokud by tím porušil zákony na ochranu osobních údajů, a zaváže k tomu své klienty.

2. Povinnosti zpracovatele

2.1. Dodržování předpisů zpracovatelem. Zpracovatel bude dodržovat všechny povinnosti, které se na zpracovatele vztahují podle zákona na ochranu osobních údajů v EHP. Zpracovatel neodpovídá za naplnění zákonných požadavků, které se vztahují na podnikání nebo činnost správce nebo klientů, ani za to, že poskytování produktů zpracovatelem splňuje zákonné požadavky.

2.2. Pokyny. Zpracovatel zpracovává osobní údaje výhradně v souladu s písemnými pokyny správce, které jsou definovány ve smlouvě, včetně této DPA a jejích příloh –

případně – správcem povoleným používáním a konfigurací produktů nebo jinak písemně. Zpracovatel neprodleně informuje správce, pokud se domnívá, že pokyn správce porušuje platné právní předpisy o ochraně údajů a/nebo se smluvními povinnostmi vyplývajícími ze smlouvy, včetně DPA. Zpracovatel je oprávněn pozastavit provádění takového pokynu, dokud jej správce neprověří a nepotvrdí nebo nezmění. Zpracovatel je oprávněn zpracovávat osobní údaje bez pokynu správce, pokud to vyžaduje právo EU nebo jejích členských států, které se na zpracovatele vztahuje. V takovém případě je zpracovatel povinen informovat správce o tomto právním požadavku před zpracováním, pokud právní předpisy nezakazují takové informování z důležitých důvodů veřejného zájmu.

2.3. Zveřejnění/přístup. Zpracovatel nezpřístupní osobní údaje žádné třetí straně, pokud s tím nevysloví souhlas správce nebo pokud to nevyžadují právní předpisy

EU nebo jejích členských států. Pokud právní předpis vyžaduje, aby třetí strana nebo vláda, soud či dozorový úřad mohly požadovat přístup k osobním údajům na základě takového právního předpisu, zpracovatel bude před zveřejněním informovat správce údajů, pokud to právní předpis nezakazuje z důležitých důvodů veřejného zájmu. Pokud tak není povinen učinit podle práva EU nebo jejích členských států, zpracovatel nezveřejní ani nezpřístupní žádné osobní údaje v návaznosti na takovou žádost doručenou zpracovateli bez předchozí konzultace se správcem. Pokud se osobní údaje správce stanou během zpracování předmětem vyhledávání a zabavení, konfiskace během konkurzního nebo insolvenčního řízení nebo podobných událostí či opatření ze strany třetích stran, zpracovatel o tom bez zbytečného odkladu informuje správce.

2.4. Povinnost zachování mlčenlivosti. Zpracovatel požaduje, aby se všichni jeho zaměstnanci a osoby pověřené zpracováním osobních údajů zavázali k zachování mlčenlivosti – pokud neplatí příslušná zákonná povinnost mlčenlivosti – a nezpracovávali osobní údaje pro jakýkoli jiný účel, s výjimkou případů, kdy je to nařízeno správcem nebo jinak vyžadováno právními předpisy EU nebo jejích členských států.

2.5. Práva subjektů údajů. Zpracovatel bude na žádost správce a v souladu s právními předpisy přiměřeně nápomocen správci při poskytování přístupu subjektu údajů a v návaznosti na jakékoli žádosti, stížnosti nebo jiná sdělení subjektu údajů, včetně žádostí subjektů, kteří

chtějí uplatnit svá práva podle zákonů na ochranu osobních údajů. Pokud zpracovatel obdrží jakoukoli takovou

žádost, stížnost nebo sdělení, informuje o tom správce bez zbytečného odkladu, pokud je zpracovatel schopen přiřadit subjekt údajů ke správci.

2.6. Narušení bezpečnosti údajů. Zpracovatel bez zbytečného odkladu informuje správce údajů poté, co se dozví o jakémkoli porušení zabezpečení osobních údajů (dále jenom „narušení bezpečnosti údajů“), které má vliv na osobní údaje správce údajů. Zpracovatel přijme taková opatření a kroky, které jsou přiměřené k nápravě nebo zmírnění dopadů narušení bezpečnosti osobních údajů a bude nápomocen správci při oznámení narušení

bezpečnosti údajů dozorovým úřadům a subjektům údajů

v souladu s jeho zákonnými povinnostmi, přičemž zohlední povahu zpracování a informace, které má zpracovatel k dispozici. Zpracovatelé zejména spolupracují se správcem tím, že správce pravidelné informují a poskytují mu

další přiměřeně požadované informace. Jakékoli tiskové prohlášení, oznámení, veřejné nebo regulační oznámení nebo komunikace týkající se narušení bezpečnosti osobních údajů provádí správce podle vlastního uvážení, pokud příslušné právní předpisy nestanoví jinak.

2.7. Podpora s plněním povinností správce. Zpracovatel údajů bude na žádost správce údajů přiměřeně pomáhat správci údajů při plnění jeho povinností týkajících se zabezpečení zpracování, posouzení vlivu na ochranu osobních údajů a předběžných konzultací s ohledem na informace, které má společnost TD SYNNEX k dispozici, a s ohledem na povahu zpracování. Zpracovatel poskytne součinnost v souvislosti s audity ze strany jakéhokoli

příslušného dozorového úřadu v rozsahu, v jakém se takový audit týká zpracování osobních údajů zpracovatelem podle této smlouvy, a na základě přiměřené žádosti správce.

Podpora zpracovatele může být zpoplatněna poplatkem v přiměřené výši, pokud již není podpora zpracovatele odpovídajícím způsobem upravena ve smlouvě.

2.8. Ukončení smlouvy. Zpracovatel podle volby správce po ukončení smlouvy nebo po vypršení její platnosti vymaže nebo vrátí správci všechny osobní údaje a vymaže existující kopie, pokud právní předpisy EU nebo členského státu nevyžadují, aby zpracovatel osobní údaje uchovával.

3. Technická a organizační bezpečnostní opatření (Technical and Organizational Security Measures, TOM)

3.1. Zpracovatel a správce údajů zavedou a budou udržovat TOM podle požadavků platných právních předpisů na ochranu osobních údajů. To zahrnuje implementaci a údržbu TOM, aby byla zajištěna úroveň zabezpečení odpovídající rizikům nebo poškození osobních údajů a přiměřená škodě, která by mohla vzniknout v důsledku neoprávněného nebo nezákonného zpracování nebo náhodné ztráty, zničení nebo poškození údajů, a přiměřená povaze údajů, které mají být chráněny, s ohledem na stav technologického vývoje a náklady na zavedení případných opatření (tato opatření mohou případně zahrnovat pseudonymizaci a šifrování osobních údajů, zajištění mlčenlivosti, integrity, dostupnosti a odolnosti jeho systémů a služeb).

3.2. TOM podléhají technickému pokroku a dalšímu rozvoji. Zpracovatel si vyhrazuje právo upravit zavedená bezpečnostní opatření, avšak za předpokladu, že funkce a zabezpečení produktů bude zachována. Veškerá zásadní rozhodnutí týkající se organizace zpracování údajů a použitých postupů v souvislosti s bezpečností se oznamují správci.

3.3. Používáním produktu bere správce na vědomí TOM uvedené ve smlouvě a/nebo poskytnuté zpracovatelem a potvrzuje, že TOM poskytují odpovídající úroveň ochrany s ohledem na rizika spojená se zpracováním osobních údajů.

4. Povinnosti v oblasti dokumentace a auditu

4.1. Zpracovatel na žádost správce zpřístupní správci nebo oprávněné třetí straně jednající jménem správce informace nezbytné k tomu, aby správce nebo klienti mohli splnit

své povinnosti auditu podle platných právních předpisů o ochraně údajů nebo na žádost dozorového úřadu, a umožní přezkumy a audity včetně inspekcí, jak je uvedeno níže, a přispěje k nim.

4.2 Správce může požádat zpracovatele o poskytnutí relevantních informací o TOM, včetně – je-li to možné

– osvědčení auditora, zpráv nebo výňatků ze zpráv poskytnutých nezávislými orgány (např. auditor, pověřenec pro ochranu osobních údajů, oddělení bezpečnosti IT, auditor ochrany osobních údajů, auditor kvality).

4.3. Pokud není možné splnit povinnost auditu stanovenou platnými zákony na ochranu osobních údajů jinak, může správce nebo jím pověřený auditor provádět osobní audity na pracovišti na náklady správce, a to individuálně, obvykle ne častěji než jednou ročně, v běžné pracovní době, s přiměřeným zásahem do provozu zpracovatele a po předchozím oznámení. Zpracovatel může stanovit, že tyto audity a kontroly jsou podmíněny splněním závazku mlčenlivosti, který chrání údaje ostatních zákazníků a důvěrnost zavedených TOM a ochranných opatření.

4.4. Správce bez zbytečného odkladu informuje zpracovatele údajů o jakýchkoli chybách nebo nesrovnalostech zjištěných během auditu.

5. Dílčí zpracovatel

5.1. Správce tímto uděluje zpracovateli oprávnění k předávání osobních údajů nebo k poskytnutí přístupu k osobním údajům jiným zpracovatelům, které zapojí (a umožní zpracování jiným zpracovatelům v souladu s tímto článkem 5), za účelem poskytování produktů při dodržení povinností správce podle tohoto článku 5. Výše uvedené oprávnění představuje předchozí písemný souhlas správce se zapojením jiných zpracovatelů zpracovatelem, pokud

je takový souhlas vyžadován standardními smluvními doložkami nebo právními předpisy na ochranu osobních údajů. Zpracovatel nese odpovědnost za to, že ostatní zpracovatelé dodržují povinnosti stanovené v této DPA. Zpracovatel zpřístupní správci aktuální seznam dílčích zpracovatelů, např. na webových stránkách zpracovatele.

5.2 Správce má právo vznést námitku proti zapojení nového zpracovatele do deseti dnů od oznámení. V opačném případě se má za to, že správce takový nový převod nebo změnu schválil. Pokud existuje pro námitku závažný důvod a strany tuto záležitost nevyřeší smírnou cestou, je správce oprávněn vypovědět smlouvu ve vztahu k dotčenému výrobku.

5.3 Zpracovatel uzavírá s každým dalším zpracovatelem, kterého zapojí, písemné smlouvy, které poskytují minimálně stejnou ochranu, jako poskytuje tato DPA. Taková smlouva poskytuje dostatečné záruky zejména pro implementaci vhodných TOM.

6. Mezinárodní předávání údajů

6.1. Správce tímto opravňuje zpracovatele k předávání nebo zpřístupnění osobních údajů v souvislosti se službami uvedenými ve smlouvě, podrobnostmi zpracování a/nebo SCC, je-li to relevantní.

6.2. Jakékoli zpracování osobních údajů mimo zemi nebo region, kde se správce nachází, podléhá odpovídajícímu mechanismu předávání údajů, pokud to vyžadují právní předpisy na ochranu osobních údajů.

6.3. V případě mezinárodního předávání údajů v souvislosti se zpracováním osobních údajů v EHP musí být mezi společností TD SYNNEX a kupujícím uzavřeny SCC, pokud se strana, která předává osobní údaje nebo k nim poskytuje přístup, nachází v EHP, Spojeném království nebo Švýcarsku a druhá strana, která tyto údaje přijímá

nebo k nim má přístup, se nachází ve třetí zemi. Podmínky této DPA nemají za cíl měnit nebo upravovat SCC, ale objasňují procesy a postupy pro dodržování SCC. V případě jakéhokoli rozporu mezi podmínkami této DPA a SCC mají přednost SCC.

6.4. V případě předávání údajů, při kterém zpracovatel zapojí další zpracovatele, uzavře zpracovatel s dalšími zpracovateli příslušné standardní smluvní doložky (zpracovatel zpracovateli) a zaváže ostatní zpracovatele odpovídajícím způsobem ohledně jakéhokoli dalšího předávání.

7. Mlčenlivost

Smluvní strany nezveřejní žádné důvěrné informace sdílené v souvislosti s touto DPA, s výjimkou (i) případů vyžadovaných touto DPA nebo pokyny stran, (ii) případů vyžadovaných zákonem, (iii) případů, kdy jde o odpověď příslušnému orgánu nebo regulačnímu či vládnímu orgánu, a (iv) případů, kdy

jde o zpřístupnění informací na základě potřeby vědět svým zaměstnancům, zástupcům a smluvním partnerům, kteří jsou vázáni mlčenlivostí.