Smlouva mezi Správcem a Zpracovatelem
Smlouva mezi Správcem a Zpracovatelem
uzavřená mezi následujícími smluvními stranami
Společnost: PPL CZ s.r.o., X Xxxxxxxx 00, 000 00 Xxxxxxxxx – Říčany IČO: 25194798, DIČ: CZ25194798
vedená u Městského soudu v Praze oddíl C, vložka 105858 dále jen: Správce
Partner: ……………………………………
Se sídlem: ……………………………………
IČO: ……………………………………
DIČ: ……………………………………
Vedený v obchodním / živnostenském rejstříku: ……………………………………
dále jen: Zpracovatel
společně dále jen „smluvní strana“ nebo „smluvní strany“
ÚVODNÍ USTANOVENÍ:
A. Zpracovatel je poskytovatelem dohodnutých služeb mezi Společností a Partnerem, rámcem spolupráce je přebírání zásilek od Společnosti, respektive jejího smluvního dopravce za účelem jejich předání příjemci nebo přebírání zásilek od zákazníků s předáním Společnosti, respektive jejímu smluvními dopravci za účelem doručení zásilky příjemci (dále také jen „služby Společnosti“).
B. Správce a Zpracovatel uzavřeli Smlouvu o spolupráci ze dne , podle které je Zpracovatel povinen poskytovat služby Společnosti.
C. Smluvní strany si přejí uzavřít dohodu mezi smluvními stranami ohledně zpracování osobních údajů v souladu s příslušnými zákony a předpisy na ochranu údajů, konkrétně s čl. 28 Obecného nařízení EU na ochranu osobních údajů.
D. Co se týče zpracovávání osobních údajů, ustanovení této Smlouvy mezi Správcem a Zpracovatelem nahrazují veškerá předchozí ujednání a dohody učiněné mezi smluvními stranami. V případě rozporu mezi ustanoveními Smlouvy o spolupráci a této Smlouvy mezi Správcem a Zpracovatelem má přednost tato Smlouva.
SMLUVNÍ STRANY SE DOHODLY NÁSLEDOVNĚ:
DEFINICE A VÝKLAD POJMŮ
„Smlouva“ je tato Smlouva včetně příloh.
„Pomocné služby“ jsou služby, které jsou nezávislé na předmětu této Smlouvy, např. telekomunikační služby, poštovní a přepravní služby, služby údržby a uživatelské podpory nebo likvidace datových nosičů, včetně ostatních opatření vedoucích k zajištění důvěrnosti, dostupnosti, neporušenosti a odolnosti hardwaru a softwaru zařízení používaného ke zpracování dat.
„Příloha“ znamená příloha k této Smlouvě, která tvoří její nedílnou součást.
„Další zpracovatel“ je každý zpracovatel údajů zapojen Zpracovatelem v souvislosti s poskytováním Služeb.
„Správce“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. „Zákony na ochranu údajů“ jsou zákony EU na ochranu údajů v příslušném rozsahu a zákony na ochranu údajů a soukromí jednotlivých států.
„EHP“ je Evropský hospodářský prostor a zahrnuje všechny státy Evropské unie, Lichtenštejnsko, Norsko a Island.
„GDPR“ je NAŘÍZENÍ (EU) č. 2016/679 EVROPSKÉHO PARLAMENTU A RADY ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu takových údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
„Osobní údaje“ jsou veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby („dále jen „subjekt údajů“); identifikovatelná fyzická osoba je taková, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
„Zpracování“ znamená operace nebo soubor operací prováděných s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
„Zpracovatel“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
„Služby“ jsou veškeré služby poskytované Zpracovatelem v souladu se Smlouvou
o poskytování služeb.
„Smlouva o spolupráci“ je smlouva uzavřená smluvními stranami ohledně poskytování služeb Zpracovatelem a definuje „služby Společnosti“.
1. Předmět a rozsah zpracování
Předmět a rozsah zpracování údajů prováděného Zpracovatelem jsou stanoveny ve Smlouvě o spolupráci ze dne , která je zde uvedena odkazem v plném rozsahu.
2. Doba platnosti Smlouvy
Doba platnosti této Smlouvy odpovídá době platnosti Smlouvy o spolupráci.
3. Specifikace zpracování
(1) Povaha a účel zamýšleného zpracování
Povaha a účel zpracování osobních údajů jménem Správce jsou definovány ve Xxxxxxx o spolupráci.
(2) Smluvně dohodnuté zpracování údajů bude prováděno výhradně v rámci EU/EHP. Každý převod osobních údajů mimo EU/EHP vyžaduje předchozí (písemný či elektronický) souhlas Správce a může proběhnout pouze za splnění konkrétních podmínek stanovených v čl. 44 a násl. GDPR. Přiměřená úroveň ochrany mimo území EU/EHP (např. stát, region nebo konkrétní průmyslová odvětví v rámci určitého státu)
• je založena na závazných podnikových pravidlech1;
• je založena na standardních ustanoveních o ochraně údajů2;
• je založena na odsouhlaseném Kodexu chování;
(3) Druhy údajů
Předmět zpracování osobních údajů zahrnuje následující druhy / kategorie údajů (seznam / popis kategorií údajů)
• Název
• Kontaktní údaje
• Smluvní údaje
• Historie zákazníka
• Údaje o fakturaci a platbách
• Pozice / funkce
• Identifikační údaje
1 Pro společnosti ze skupiny DPDHL platí DPDHL Politika ochrany osobních údajů.
2 Doplňující informace najdete zde.
(4) Subjekty údajů
Kategorie subjektů údajů zahrnují:
• Zákazníci
• Potenciální zákazníci / zájemci
• Zákazníci zákazníků DPDHL
• Zaměstnanci
• Zpracovatelé
• Kontaktní osoby
4. Technické a organizační záležitosti
(1) S ohledem na stav techniky, náklady na implementaci a povahu, rozsah, kontext a účely Zpracování i rizika odlišné pravděpodobnosti a závažnosti práv a svobod fyzických osob je Zpracovatel povinen učinit odpovídající technická a organizační opatření tak, aby zpracovávání osobních údajů splňovalo požadavky příslušných zákonů na ochranu údajů, zejména pak GDPR a této Smlouvy. Zpracovatel tímto uznává a zajišťuje práva příslušných subjektů údajů uvedená výše. Za tímto účelem a v souladu s čl. 32 GDPR je Zpracovatel povinen příslušná opatření řádně zdokumentovat a předložit je Správci ke schválení. Po vzájemném odsouhlasení se stanou technická a organizační opatření nedílnou součástí Smlouvy.
(2) Plánovaná opatření jsou opatření vedoucí k zabezpečení údajů a opatření zajišťující úroveň ochrany odpovídající riziku ohrožení důvěrnosti, neporušenosti, dostupnosti a odolnosti systémů. Je nutno vzít v úvahu stav techniky, náklady na implementaci, povahu, rozsah a účely Zpracování i pravděpodobnost výskytu a závažnost rizika práv a svobod fyzických osob ve smyslu čl. 32, odst. 1 GDPR.
(3) Technická a organizační opatření podléhají technickému pokroku a neustálému vývoji. V tomto kontextu je Zpracovateli dovoleno zavádět přiměřená alternativní opatření. Bezpečnostní úroveň určených opatření nesmí být nižší než úroveň dohodnutá v této Smlouvě. Technická a organizační opatření však musí vždy splňovat požadavky Politiky zabezpečení informací DPDHL.
(4) Proto v souladu s tímto odst. 4 Zpracovatel tímto potvrzuje realizaci technických a organizačních opatření stanovených v Příloze č. 1 k této Smlouvě.
(5) Bez ohledu na výše uvedené je Zpracovatel povinen zavést proces pravidelného testování, posuzování a hodnocení účinnosti technických a organizačních opatření s cílem zajistit zabezpečení zpracovávání v souladu s touto Smlouvou. Na požádání je Zpracovatel povinen předložit příslušnou dokumentaci.
5. Oprava, omezení a výmaz údajů
(1) Zpracovatel může osobní údaje opravit, omezit nebo vymazat pouze na pokyn vydaný Správcem. V případě žádosti o opravu nebo výmaz zaslané Zpracovateli přímo subjektem údajů je Zpracovatel povinen tuto žádost neprodleně přeposlat Správci.
(2) Zpracovatel je povinen v co největším možném rozsahu poskytnout Správci součinnost a podporu při plnění povinností Správce vyhovět žádostem o výkon práva subjektu údajů, zejména pak „práva být zapomenut“, práv na opravu a přenositelnost údajů a přístup k nim.
6. Povinnosti Zpracovatele
Kromě povinnosti dodržovat pravidla a povinnosti stanovené v této Smlouvě je Zpracovatel dále povinen dodržovat zákonné požadavky podle čl. 28–33 GDPR. Proto se Zpracovatel zavazuje plnit zejména následující povinnosti:
(1) Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, pokud nebude jejich zpracovávání vyžadováno příslušnými zákony, které se na správce vztahují, přičemž v takovém případě je Zpracovatel povinen v rozsahu dovoleném příslušnými zákony informovat Správce o takovém zákonném požadavku ještě před zahájením zpracovávání příslušných osobních údajů. Zpracovatel neprodleně potvrdí ústní pokyny písemně nebo elektronickou poštou.
(2) Neprodleně informovat Správce, pokud bude mít za to, že pokyn porušuje zákony a předpisy na ochranu údajů. Zpracovatel bude následně oprávněn přerušit provádění příslušných pokynů až do okamžiku, kdy je Správce potvrdí nebo změní.
(3) Jmenovat pověřence pro ochranu osobních údajů nebo v případech, kdy není povinen pověřence pro ochranu osobních údajů jmenovat, jinou kontaktní osobu odpovědnou za záležitosti ochrany údajů. Kontaktní informace pověřence pro ochranu osobních údajů nebo jiné odpovědné osoby budou předány Správci za účelem vytvoření přímého spojení. Správce bude neprodleně informován o případných změnách těchto informací.
(4) Vést záznamy o zpracovatelských činnostech.
(5) Umožnit přístup k osobním údajům pouze v případě a v takovém rozsahu, kdy je to nezbytně nutné k poskytování služeb, a pouze za předpokladu, že příslušní pracovníci a poradci uzavřeli odpovídající dohodu o mlčenlivosti a zavázali se zachovávat mlčenlivost.
Zpracovatel a jiné osoby jednající na základě oprávnění Zpracovatele anebo Správce, kteří získali přístup k osobním údajům, nesmí takové údaje zpracovávat jinak než podle pokynů Správce, ledaže jim něco jiného ukládá zákon.
(6) Co se týče předmětu této Smlouvy, bude Zpracovatel v zákonném rozsahu neprodleně informovat Správce o kontrolách, šetřeních anebo správních opatřeních realizovaných dozorovým úřadem.
(7) Pokud vůči Správci bude zahájena kontrola ze strany dozorového úřadu, řízení ve věci správního deliktu nebo trestního stíhání, bude uplatněn nárok ze strany subjektu údajů nebo třetí osoby na náhradu škody nebo jiný nárok související s touto Smlouvou a zpracováním údajů Zpracovatelem, vynaloží Zpracovatel veškeré úsilí k podpoře Správce.
(8) Zpracovatel bude co nejdříve informovat Správce o veškerých reklamacích, žádostech nebo jiných sděleních přijatých od subjektů osobních údajů, úřadů na ochranu údajů nebo třetích osob v souvislosti se zpracováním osobních údajů Zpracovatelem anebo Správcem. Pokud bude Správce v souladu s příslušnými zákony na ochranu údajů povinen reagovat na požadavky subjektů údajů ohledně zpracování údajů takového subjektu údajů, je Zpracovatel povinen poskytnout Správci při poskytování požadovaných informací součinnost. Zpracovatel však nesmí přímo reagovat na dotazy subjektů údajů a tyto subjekty údajů odkáže na Správce.
7. Využití subdodavatelů
(1) Zpracovatel nesmí bez předchozího výslovného písemného souhlasu Správce zapojit dalšího zpracovatele (tzn. dílčího zpracovatele).
(2) Pokud Zpracovatel zapojí dalšího zpracovatele do provádění konkrétních zpracovatelských činností jménem Správce, budou takovému dalšímu zpracovateli uloženy stejné povinnosti, jako jsou uvedeny v této Smlouvě, a to formou písemné smlouvy.
(3) Na základě ustanovení tohoto článku
Není využití služeb dalšího zpracovatele povoleno.
(4) Zpracovatel dostatečně dlouhou dobu předem oznámí Správci (písemně nebo elektronickou poštou) nového dalšího zpracovatele (včetně veškerých údajů o zpracování, které bude tento nový zpracovatel provádět), popř. změny v aktuálním seznamu dalších zpracovatelů.
(5) Před zahájením zpracovávání osobních dat Správce dalším zpracovatelem je Zpracovatel povinen provést odpovídající šetření s cílem se ujistit, zda je další zpracovatel schopen zajistit úroveň ochrany osobních údajů Správce požadovanou v této Smlouvě, Smlouvě o poskytování služeb a v příslušných zákonech.
(6) Pokud má Správce oprávněný důvod vznést námitku proti využití služeb dalšího zpracovatele Zpracovatelem, oznámí písemně Správce tuto skutečnost Zpracovateli do 5 pracovních dnů od obdržení oznámení Zpracovatele. Aby se předešlo pochybnostem, smluvní strany se dohodly, že pokud Správce neprokáže, že nový zpracovatel představuje nepřijatelné riziko ohrožení ochrany Osobních údajů (např. pokud má další zpracovatel v záznamech porušení zabezpečení) nebo je konkurentem Správce, Správce nemá důvod vznášet námitku, pokud další zpracovatel prošel hodnocením bezpečnosti dodavatele provedeného Zpracovatelem.
(7) Bez ohledu na předchozí ustanovení, pokud Správce vznese námitku proti využití služeb dalšího zpracovatele, smluvní strany se sejdou, aby v dobré víře projednaly vhodné řešení. Zpracovatel může zejména : (i) nevyužít služeb zamýšleného zpracovatele, nebo (ii) učinit nápravná opatření anebo kroky požadované Správcem a služeb zpracovatele využít. Pokud žádná z těchto možností ani jiná možnost nejsou reálné a Správce má stále oprávněný důvod ke svým námitkám, může Správce Xxxxxxx vypovědět s 10 denní výpovědní lhůtou.
(8) V případě využívání pomocných služeb, je Zpracovatel povinen uzavřít vhodná a právně závazná smluvní ujednání a učinit vhodná kontrolní opatření k zajištění přiměřené ochrany údajů a bezpečnostních opatření v souvislosti s údaji Správce.
8. Práva na provádění kontrol
(1) Na základě oznámení zaslaného Správcem v dostatečném předstihu je Zpracovatel povinen umožnit Správci provádění pravidelných kontrol nebo jejich provedení auditorem zmocněným Správcem s cílem zajistit a zkontrolovat dodržování technických a organizačních bezpečnostních opatření. To zahrnuje i kontroly na místě. Zpracovatel je povinen na písemnou žádost Správce a v přiměřené lhůtě předložit Správci veškeré informace, dokumentaci a jiné faktické důkazy potřebné k provedení kontroly. Výsledek kontroly bude řádně zdokumentován.
(2) Dodržování výše uvedeného lze prokázat navíc i
(a) dodržováním odsouhlaseného Kodexu chování,
(b) osvědčením vydaným v rámci postupu vydávání osvědčení podle čl. 42 GDPR nebo
(c) platnými auditorskými certifikáty, zprávami nebo výpisy ze zpráv předložených nezávislými orgány. Na žádost Správce předloží Zpracovatel Správci kopii auditorské zprávy podepsané nezávislým auditorem, aby mohl Správce přiměřeným způsobem ověřit dodržování technických a organizačních opatření a povinností Zpracovatele podle této Smlouvy.
(3) Pokud Správce provádí kontrolu na místě, poskytne Zpracovatel Správci v průběhu provádění kontroly potřebnou součinnost.
9. Umístění datových center
(1) Datová centra Zpracovatele jsou umístěna:
Stát | Adresa |
(2) Zpracovatel bez předchozího souhlasu Správce (uděleného písemně nebo elektronickou poštou) nepřevede případ Správce do datového centra mimo výše uvedené odsouhlasené státy. Pokud bude mít Zpracovatel v úmyslu převést případ Správce do datového centra ve výše uvedených odsouhlasených státech, oznámí Zpracovatel tuto skutečnost Správci písemně nebo elektronickou poštou.
10. Povinnost poskytnout součinnost
(1) Zpracovatel poskytne Správci součinnost při plnění povinností ohledně zabezpečení osobních údajů, požadavků na ohlašování případů porušení zabezpečení údajů, posouzení vlivu na ochranu údajů a předchozí konzultace, viz čl. 33–36 GDPR. To zejména zahrnuje:
(a) povinnost neprodleně oznamovat případy porušení zabezpečení osobních údajů Správci,
(b) povinnost poskytnout Správci součinnost při plnění povinnosti Správce, poskytovat informace příslušnému subjektu údajů a neprodleně poskytnout Správci veškeré relevantní informace; tyto informace musí alespoň popisovat povahu porušení zabezpečení údajů, kategorie a počty dotčených subjektů údajů, kategorie a počty dotčených záznamů osobních údajů a pravděpodobné následky porušení zabezpečení údajů,
(c) podpora Správce při posouzení vlivu na ochranu dat,
(d) podpora Správce z hlediska záznamu o zpracování,
(e) podpora Správce při jednání s dozorovým úřadem.
11. Vymazání a vrácení osobních údajů
(1) Po ukončení smluvní činnosti, popř. dříve na žádost Správce, nejpozději však při ukončení platnosti Xxxxxxx o poskytování služeb, předá Zpracovatel Správci veškeré dokumenty, výsledky zpracování a využití a datové soubory související s touto Smlouvou, které má v držení, popř. na základě předchozího souhlasu zajistí jejich zničení, a to způsobem zabezpečujícím ochranu dat. To se vztahuje i na veškeré materiály související s provedenými testy, přebytečným, nepotřebným a vyřazeným materiálem. Záznam o zničení nebo vymazání je nutno na vyžádání předložit.
(2) Dokumentaci sloužící jako důkaz o řádném zpracování dat musí Zpracovatel uchovat v souladu s příslušnými podmínkami uchování. Zpracovatel ji může předat Správci při skončení poskytování služeb, čímž bude Zpracovatel zproštěn svých povinností.
12. Odpovědnost a smluvní pokuta
(1) Zákonná ustanovení, zejména čl. 82 GDPR, platí v případě nároků na odškodnění nebo řešení odpovědnosti za škodu.
(2) V případě nároků subjektů údajů vůči Správci z důvodu porušení předpisů na ochranu údajů je Zpracovatel povinen prokázat, že ke vzniku škody nedošlo v důsledku okolností, za které nese odpovědnost Zpracovatel, a to v takovém rozsahu, v jakém jsou osobní údaje subjektů údajů zpracovávány Zpracovatelem jménem Správce. Pokud Zpracovatel důkaz nepředloží, je povinen odškodnit Správce na první požádání za všechny nároky třetích osob, pokud Správci vznikly v jejich důsledku škody.
(3) Zákonná ustanovení, zejména ustanovení vyplývající z občanského nebo trestního práva, se vztahují na různou odpovědnost a nároky (na náhradu škody).
(4) Bez ohledu na výše uvedené ustanovení bylo pro případy porušení smlouvy, tj. porušení této Smlouvy ze strany Zpracovatele nebo dalšího zpracovatele zapojeného Zpracovatelem, dohodnuta smluvní pokuta pro jednotlivé případy ve výši 15.000,- Kč. Zaplacení smluvní pokuty nezbavuje Zpracovatele povinnosti splnit povinnost smluvní pokutou utvrzenou.
(5) Smluvní pokuta stanovená v tomto ustanovení nemá vliv na ostatní nároky Správce.
13. Ostatní ustanovení
(1) Tuto Smlouvu lze měnit nebo doplňovat pouze formou písemných dodatků podepsaných řádně oprávněnými zástupci obou smluvních stran.
(2) Pokud se údaje Správce stanou předmětem prohlídek a zadržení, příkazu k zastavení majetku, zabavení při konkurzním nebo insolvenčním řízení nebo v podobných případech či opatřeních ze strany třetích osob po dobu jejich držení Zpracovatelem, oznámí Zpracovatel tuto skutečnost Správci bez zbytečného odkladu. Zpracovatel bez zbytečného odkladu oznámí všem stranám zainteresovaným v takovém řízení, že dotčené údaje jsou výhradním vlastnictvím Správce, spadají do jeho pole působnosti, údaje má výhradně k dispozici Správce a že Správce je odpovědným orgánem z hlediska příslušných zákonů na ochranu údajů.
(3) Pokud se některé ustanovení této Smlouvy stane z jakéhokoliv důvodu neplatným, nezákonným nebo nevykonatelným, bude takové ustanovení považováno za oddělitelné od této Smlouvy a ostatní ustanovení této Smlouvy zůstanou plně v platnosti a účinnosti, jako kdyby byla tato Smlouva uzavřena bez příslušného neplatného ustanovení.
(4) Tato Smlouva se řídí zákony České republiky.
V ………………… Dne: Správce: PPL CZ s.r.o. Parcelshop specialista: Podpis | V ……………………. Dne: Zpracovatel: Pozice: Podpis |
Příloha č. 1 – Technické a organizační záležitosti
(1) Důvěrnost (čl. 32, odst. 1, písm. b GDPR)
• Kontrola fyzického přístupu
Zákaz neoprávněného přístupu k zařízení na zpracování údajů, např. magnetické nebo čipové karty, klíče, elektronické otvírače dveří, pracovníci ostrahy objektu nebo zabezpečení vstupu, poplašné systémy, obrazové systémy, televizní kamery
• Kontrola elektronického přístupu
Zákaz neoprávněného používání systémů na zpracování údajů a ukládání dat, např.: (bezpečnostní) hesla, automatické blokovací / uzamykací mechanismy, dvoufaktorové ověření, šifrování datových nosičů / paměťových médií
• Kontrola interního přístupu (povolení uživatelských práv k přístupu k údajům a jejich úpravám)
Zákaz neoprávněného čtení, kopírování, upravování nebo vymazávání údajů v systému, např. koncept udělování práv, právo přístupu dle potřeby, zaznamenávání přístupů do systému
• Oddělení podle účelu
Oddělené zpracovávání údajů shromažďovaných k různým účelům, např. multiple Controller podpora, sandboxing
• Pseudonymizace (čl. 32, odst. 1, písm. a GDPR; čl. 25, odst. 1 GDPR)
Zpracovávání osobních údajů takovým způsobem, aby nemohly být údaje spojovány s konkrétním subjektem údajů bez doplňujících informací, pokud jsou takové doplňující informace ukládány samostatně a jsou předmětem odpovídajících technických a organizačních opatření.
(2) Neporušenost (čl. 32, odst. 1, písm. b GDPR)
• Kontrola převodu údajů
Zákaz neoprávněného čtení, kopírování, upravování a vymazávání údajů elektronickým převodem nebo přenosem, např. šifrování, virtuální soukromé sítě (VPN), elektronický podpis
• Kontrola zadávání údajů
Ověření, zda a kým byly údaje v systému na zpracování dat zadány, upraveny nebo vymazány, např. přihlášení, řízení dokumentů.
(3) Dostupnost a odolnost (čl. 32, odst. 1, písm. b GDPR)
• Kontrola dostupnosti
Prevence náhodného nebo záměrného zničení nebo ztráty, např. strategie zálohování (on- line / off-line, na pracovišti / mimo pracoviště), bezvýpadkový záložní zdroj energie (UPS), antivirová ochrana, firewall, postupy oznamování a havarijní plán
• Rychlá obnova (čl. 32, odst. 1, písm. c GDPR) (čl. 32, odst. 1, písm. c GDPR).
(4) Postupy pravidelného testování, posuzování a hodnocení (čl. 32, odst. 1, písm. d GDPR; čl. 25, odst. 1 GDPR)
• Řízení ochrany údajů
• Řízení reakce na mimořádné události
• Ochrana údajů od návrhu a standardního nastavení (čl. 25, odst. 2 GDPR)
• Kontrola objednávek a smluv
Zákaz zpracování údajů třetí osobou podle čl. 28 GDPR bez příslušných pokynů Správce, např. jasná a jednoznačná smluvní ujednání, jednotný systém řízení objednávek, přísné kontroly při výběru poskytovatele služeb, povinnost provádět předběžná hodnocení, následné dozorčí kontroly.