OBSAH

I. Úvodní prohlášení

V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobní údajů) (dále jen “GDPR”) vstupují v platnost od 25. 5. 2018 tyto Obecně závazné podmínky zpracování osobních údajů zpracovatelem a dalšími osobami (dále také “Podmínky zpracování”).

Tyto Podmínky zpracování byly přijaty spolu s dalšími dokumenty upravujícími práva a povinnosti v souvislosti s ochranou osobních údajů ve společnostech Smartwings, a.s., IČ: 25663135, se sídlem Praha 6, K Letišti 1068/30, 160 08 (dále i „SW CZ“). SW CZ je mateřskou společností ostatních společných správců, a to Smartwings Slovakia, s.r.o., xxxxxx Xxxxxxx xxxxx 00/X, Xxxxxxxxxx 821 04 (dále jen „SW SK“), Smartwings Hungary Kft., se sídlem Wesselényi u. 16/A, Budapest, 1077, Hungary (dále jen „SW HU“), Smartwings Poland Sp. z o.o., se sídlem ul. Xxxxxxx Xxxxxxxx 2B, Warszawa, 02-159, Poland (dále jen „SW PL“) a Smartwings Germany Gmbh, se sídlem Xxxxxxxxxxxxxxx 00, 00000 Xxxxxxx, Německo (dále jen „SW DE“) (všechny společně dále jenom „SW“, nebo „Správce“). Těmito Podmínkami se řídí vztah každého ze správců samostatně se zpracovatelem, a to podle okolností primární smlouvy, ledaže by byla mezi stranami uzavřena písemná zpracovatelská smlouva, která se odchyluje od ustanovení těchto Podmínek.

Správce s každým Zpracovatelem uzavře písemnou Zpracovatelskou smlouvu o zpracování Osobních údajů (dále také “Zpracovatelská smlouva”), která bude závazně odkazovat na tyto Podmínky zpracování. Nebude-li se zpracovatelem uzavřena písemná Zpracovatelská smlouva, řídí se vztah založený Primární smlouvou vždy podle těchto Podmínek zpracování a tyto podmínky se stávají součástí Primární smlouvy.

Tyto Podmínky zpracování závazně upravují práva a povinnosti Správce a Zpracovatele při zpracování osobních údajů subjektů údajů Zpracovatelem pro Správce v souvislosti se Službou, kterou Zpracovatel pro Správce vykonává nebo s Produkty, které Zpracovatel poskytuje Správci. Zpracovatelé jsou povinni se s těmito Podmínkami zpracování seznámit a v souladu s nimi zpracovávat Osobní údaje. Vedle závazku Zpracovatele zpracovávat Osobní údaje v souladu s těmito Podmínkami zpracování budou ve Zpracovatelské smlouvě zejména specifikovány Osobní údaje dle čl. 28 odst. 3 věty první GDPR. Pro případ potřeby vyplývající z poskytování konkrétní Služby nebo Produktu mohou být upraveny povinnosti a práva smluvních stran ve Zpracovatelské smlouvě odlišně od těchto Podmínek zpracování, kdy v takovém případě má odlišné ujednání ve Zpracovatelské smlouvě přednost.

Vzor zpracovatelské smlouvy je součástí těchto Podmínek zpracování jako Příloha č. 1.

Není-li ve Zpracovatelské smlouvě uvedeno jinak, je kontaktní osobu odpovědnou za agendu ochrany osobních údajů pro účely zpracování Osobních údajů Zpracovatelem, tj. osobou určenou ke komunikaci a poskytnutí součinnosti mezi Správcem a Zpracovatelem každý ze společných Správců samostatně, a to na sídle konkrétního Správce uveřejněném ve veřejném rejstříku. Společní Správci určili zároveň jako společné kontaktní místo: Smartwings, a.s., IČ: 25663135, xx xxxxxx Xxxxx 0, X Xxxxxxx 0000/00, 000 00, Xxxxx republika a emailové spojení xxx@xxxxxxxxxx.xxx.

Pověřencem společnosti SW CZ je:

XXXXXXX & XXXXXX, advokátní kancelář s.r.o., sídlem Xxxxxxx 0000/0, Xxxxxxxxx, 000 00 Xxxxx 0, Xxxxx republika, email: xxx@xxxxxxxxxx.xxx.

II. Definice pojmů

1. Pro účely Podmínek zpracování a ostatních souvisejících dokumentů s ochranou osobních údajů používá Správce pojmy, kterými se rozumí:

o “Správcem” společnost Smartwings, a.s., IČ: 25663135, se sídlem Praha 6, K Letišti 1068/30, PSČ 16008, Česká republika nebo Smartwings Slovakia, s.r.o., xxxxxx Xxxxxxx xxxxx 00/X, Xxxxxxxxxx 821 04, Slovenská republika, Smartwings Hungary Kft., sídlem Wesselényi u. 16/A, Budapest, 1077, Maďarsko, Smartwings Poland Sp. z o.o., sídlem ul. Xxxxxxx Xxxxxxxx 2B, Warszawa, 02-159, Polsko, nebo Smartwings Germany Gmbh, sídlem Xxxxxxxxxxxxxxx 00, 00000 Xxxxxxx, Německo, a to vždy podle okolností primární smlouvy;

o „Osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále také „subjekt údajů“) předané Správcem Zpracovateli nebo jim prokazatelně určeným subjektem a zpracovávané Zpracovatelem pro Správce podle a/nebo v souvislosti s Primární smlouvou;

o “Zpracovatelem” jakýkoli subjekt zpracovávající pro Správce a jménem Správce Osobní údaje;

o „Subzpracovatelem“ jakýkoli další zpracovatel Osobních údajů (včetně jakékoli třetí strany) zapojený Zpracovatelem do zpracování Osobních údajů jménem Správce. Zpracovatel a Subzpracovatel je oprávněn zapojit do zpracování Osobních údajů dalšího Subzpracovatele za podmínek stanovených těmito Podmínkami zpracování;

o „Schváleným Subzpracovatelem“ (a) Subzpracovatel uvedený v příloze č. 3 Smlouvy o zpracování osobních údajů (předání Osobních údajů předem povolené Správcem); a (b) další dílčí Subzpracovatelé písemně povolení předem Správcem v souladu s článkem IX. těchto Podmínek zpracování;

o „Primární smlouvou“ platné a účinné právní jednání uzavřené mezi Správcem a Zpracovatelem, na základě kterého Zpracovatel vykonává pro Správce určitou Službu nebo poskytuje určité Produkty (konkrétně vymezené ve Zpracovatelské smlouvě);

o „Pokynem“ jakýkoliv pokyn Správce Zpracovateli týkající se zpracování Osobních údajů. Zpracovatel je povinen kdykoliv v průběhu zpracování Osobních údajů prokázat existenci a obsah Pokynu;

o „Porušením zabezpečení Osobních údajů“ porušení zabezpečení Osobních údajů, které vede nebo může přímo vést k náhodnému, neoprávněnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí či zpřístupnění přenášených, uložených nebo jiným způsobem zpracovávaných Osobních údajů;

o „Předpisy o ochraně osobních údajů“ GDPR a veškeré právní předpisy upravující osobní údaje na národní úrovni a v Evropském hospodářském prostoru či EU, které se na Správce nebo Zpracovatele vztahují;

o „Standardními smluvními doložkami“ se rozumí standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích schválené rozhodnutím Evropské komise 2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení schválených Evropskou komisí, který je mění, doplňuje nebo nahrazuje;

o „Třetí zemí“ jakákoli země mimo EU nebo Evropský hospodářský prostor, s výjimkou případů, kdy je tato země předmětem platného a účinného rozhodnutí Evropské komise o odpovídající ochraně osobních údajů ve třetích zemích;

o „Vymazáním“ nezvratné odstranění nebo zničení Osobních údajů tak, aby nemohly být obnoveny nebo rekonstruovány;

o „Zásadami zpracování osobních údajů“ jsou zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti ve smyslu GDPR.

2. Jakékoli další obecné pojmy neuvedené nebo nedefinované v těchto Podmínkách zpracování, Zpracovatelské smlouvě, v Primární smlouvě nebo v jiných dokumentech přijatých Správcem v souvislosti s ochranou osobních údajů, budou interpretovány v souladu s GDPR.

III. Obecné podmínky zpracování Osobních údajů Zpracovatelem

1. Zpracovatel je oprávněn v průběhu plnění Primární smlouvy pro Správce zpracovávat Osobní údaje jménem Správce v souladu a za podmínek stanovenými těmito Podmínkami zpracování nestanoví-li Zpracovatelská smlouva jinak, Pokyny Správce a Předpisy o ochraně osobních údajů.

2. Zpracovatel je oprávněn zpracovávat Osobní údaje pouze za účelem plnění Primární smlouvy nebo pro plnění poskytované na základě Primární smlouvy. Účel zpracování a další podmínky zpracování určuje Správce a pokud by Zpracovatel toto pravidlo porušil, považuje se ve vztahu k takovému zpracování za osobu správce. Konkrétní účel zpracování a další specifikace zpracování je upraven ve Zpracovatelské smlouvě.

3. Zpracovatel se zavazuje dodržovat veškerá technická a organizační opatření zajišťující splnění požadavků uvedených v těchto Podmínkách zpracování, Předpisech o ochraně osobních údajů a Zpracovatelské smlouvě. Technická a organizační opatření jsou pro účely zpracování Osobních údajů vymezená v Příloze č. 2 těchto Podmínek zpracování s možností další specifikace ve Zpracovatelské smlouvě.

4. Zpracovatel je povinen získat, obnovovat a uchovávat veškeré potřebné licence, oprávnění a povolení potřebné ke zpracování Osobních údajů požadované platnými a účinnými Předpisy o ochraně osobních údajů.

5. Zpracovatel je povinen neprodleně, nejpozději však do 3 dní od doručení Pokynu, informovat Správce, že Xxxxx není dle jeho názoru v souladu s Předpisy o ochraně osobních údajů, Zpracovatelskou smlouvou, těmito Podmínkami zpracování nebo je jiným způsobem porušuje.

IV. Předávání Osobních údajů a zpracovávání ve třetí zemi

1. Zpracovatel není oprávněn zpracovávat/umožnit zpracování, zejména předávat, šířit, upravovat, zpřístupnit, měnit, zveřejnit či povolit zveřejnění nebo jakkoli jinak zpřístupnit Osobní údajů, jiné třetí osobě jinak než v souladu s těmito Podmínkami zpracování, Zpracovatelskou smlouvou nebo s Pokynem s výjimkou předání Osobních údajů vyžadovaného právem EU nebo členského státu (dále také “právní požadavek předání”), kterému Zpracovatel podléhá. Zpracovatel je povinen informovat Správce o právním požadavku předání Osobních údajů dostatečně v předstihu před zahájením předání, ledaže příslušné právní předpisy informování o předání Osobních údajů zakazují.

2. Zpracovatel je povinen omezit rozsah předávaných Osobních údajů na minimum, ledaže příslušné právní předpisy závazně upravují rozsah předávaných osobních údajů.

3. Zpracovatel není oprávněn zpracovávat Osobní údaje ve třetí zemi bez předchozího písemného souhlasu Správce, a to ani prostřednictví Subzpracovatele, není-li dále nebo ve Zpracovatelské smlouvě stanoveno jinak.

4. Zpracovatelé jsou bez dalšího oprávnění předávat za účelem jejich zpracování Osobní údaje příjemcům ve třetích zemích a mezinárodní organizaci uvedeným v Příloze č. 3 těchto Podmínek zpracování (dále také „předávání osobních údajů schválené Správcem“), a to za předpokladu, že taková osoba splní požadavky uvedené v článku IX. těchto Podmínek zpracování. Zpracovatel je povinen Správce informovat o předání osobních údajů schváleným Správcem osobám uvedeným v Příloze č. 3, a to neprodleně, nejpozději však do 3 dní.

5. Zpracovatel je povinen na žádost Správce okamžitě uzavřít se Správcem smlouvu včetně Standardních smluvních doložek nebo obdobných doložek, které mohou být vyžadovány Předpisy o ochraně osobních údajů, pokud jde o jakékoli zpracování Osobních údajů ve třetí zemi. Zpracovatel je povinen zajistit, aby právní jednání dle předešlé věty se Správcem uzavřel i jakýkoli další Subzpracovatel.

V. Oprávněné osoby zpracovávající Osobní údaje u Zpracovatele

1. Zpracovatel je povinen přijmout všechna nezbytná opatření k prověření svých zaměstnanců či jiných osob, které zpracovávají Osobní údaje u Zpracovatele. Zpracovatel je povinen zajistit přístup k Osobním údajům pouze prověřeným a spolehlivým zaměstnancům či jiným osobám (dále také “Oprávněné osoby”) a pouze v nezbytném rozsahu, který vyžaduje

plnění Primární smlouvy. Zpracovatel pravidelně prověřuje Oprávněné osoby a přezkoumává jejich spolehlivost.

2. Zpracovatel vede seznam Oprávněných osob s přístupen k Osobním údajům a pravidelně ho aktualizuje, tak aby odpovídal skutečnosti.

3. Zpracovatel je povinen informovat Oprávněné osoby o skutečnosti, že Osobní údaje jsou údaje podléhající ochraně dle Předpisů o ochraně osobních údajů, jejichž zpracování se řídí Předpisy o ochraně osobních údajů a dále povinnostmi stanoveními Podmínkami zpracování, Zpracovatelskou smlouvou a Pokyny. Zpracovatel je povinen Oprávněným osobám povinnosti dle předešlé věty srozumitelně a jednoznačně vysvětlit a zavávat je k jejich dodržování.

4. Zpracovatel je povinen zachovávat mlčenlivost o Osobních údajích a jejich zpracovávání u Správce a Zpracovatele. Zpracovatel je povinen smluvně zavázat Oprávněné Osoby povinnosti mlčenlivosti po dobu pracovněprávního nebo jiného právního vztahu mezi Zpracovatelem s Oprávněnou, a to včetně přiměřené doby po skončení takového vztahu, a to pro případ, že se na ně nevztahuje zákonná či profesní povinnost mlčenlivosti, kdy v takovém případě je Zpracovatel povinen Oprávněné osoby informovat o zákonné/profesní povinnosti mlčenlivosti.

5. Zpracovatel je povinen zajistit pro Oprávněné osoby pravidelné a přiměřené školení a

certifikaci v souvislosti s Předpisy o ochraně osobních údajů anebo dle Pokynů.

6. Zpracovatel je povinen zajistit, aby Oprávněné osoby při zpracování Osobních údajů zejména:

o používaly pouze bezpečný hardware a software a dodržovaly zásady bezpečného používání výpočetní techniky;

o podléhaly a dodržovaly procesy ověřování totožnosti uživatele a přihlašování při přístupu k Osobním údajům;

o bránily neoprávněnému čtení, zničení, smazání či jiné ztrátě, pozměnění či znepřístupnění Osobních údajů, nevytvářely kopie nosičů Osobních údajů pro jinou než pracovní potřebu a neumožnily takové jednání ani jiným osobám, včetně jiného neoprávněného zpřístupnění či poskytnutí;

o ihned, nejpozději však do 24 hodin od vzniku, hlásily jakékoliv důvodné podezření na ohrožení bezpečnosti Osobních údajů, a to osobě uvedené v článku 1 těchto Podmínek zpracování.

VI. Spolupráce Zpracovatele při plnění povinností Správce

1. Zpracovatel je povinen se Správcem spolupracovat při plnění Správcovi povinnosti vůči subjektům údajů, včetně reakce na žádosti o výkon práv subjektů údajů dle Předpisů o ochraně osobních údajů a prostřednictvím vhodných technických a organizačních opatřeních, a dále při plnění ostatních Správcových povinností dle Předpisů o ochraně osobních údajů.

2. Zpracovatel je povinen spolupracovat v přiměřené časové lhůtě, není-li těmito Podmínkami zpracování, Zpracovatelskou smlouvou nebo Pokynem Správce určena konkrétní lhůta.

3. Spolupráci se pro účely těchto Podmínek zpracování rozumí pomoc při zajišťování souladu s povinnostmi dle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, které má Zpracovatel k dispozici a pouze ve vztahu ke zpracovávání Osobních údajů.

4. Spolupráce zahrnuje zejména:

o poskytnutí a zpřístupnění veškerých informací, údajů a dokumentů týkajících se Osobních údajů nebo nezbytných k prokázání souladu s platnými a účinnými Předpisy o ochraně osobních údajů, těmito Podmínkami zpracování, Zpracovatelskou smlouvou a Pokyny;

o asistence a konzultace ze strany Zpracovatele, která je přiměřená a rozumná s ohledem

na konkrétní povinnost, která se na Správce vztahuje;

o implementaci dodatečných technických a organizačních opatření, které může Správce rozumně požadovat nad rámec zákonné a smluvní povinnosti, tak aby mohl účinně reagovat na stížnosti, sdělení nebo žádosti;

o pomoc ve všech případech posouzení vlivu na ochranu osobních údajů, které jsou vyžadovány čl. 35 GDPR a s veškerými předchozími konzultacemi s jakýmkoli dozorovým úřadem Správce, které jsou požadovány podle čl. 36 GDPR.

5. Zpracovatel je povinen bez zbytečných odkladů, nejpozději však do 7 dní od doručení žádosti, oznámit, že obdržel od subjektu údajů, orgánu dohledu nebo jiného subjektu žádost dle Předpisů o ochraně osobních údajů týkající se Osobních údajů.

6. Zpracovatel je povinen umožnit audity a inspekce ze strany Správce nebo jiného auditora pověřeného Správcem (dále také „pověřený auditor“) ve všech místech, kde probíhá zpracování Osobních údajů. Zpracovatel je povinen spolupracovat a umožnit Správci/pověřenému auditorovi kontrolovat, auditovat a kopírovat veškeré záznamy, procesy a systémy, tak aby Správce mohl prověřit, že zpracování Osobních údajů je v souladu s platnými a účinnými Předpisy o ochraně osobních údajů, těmito Podmínkami zpracování, Zpracovatelskou smlouvou a Pokyny.

7. Zpracovatel je povinen poskytnout a přenechat Správci listiny týkající se zpracování Osobních údajů a splnění povinností Zpracovatele.

8. Zpracovatel je povinen neprodleně uvědomit Správce, pokud podle jeho názoru je právo na audit dle tohoto článku v rozporu s Předpisy o ochraně osobních údajů.

9. Zpracovatel je povinen zajistit výkon práv Správce dle tohoto článku také u všech svých Subzpracovatelů.

VII. Zabezpečení Osobních údajů

1. V souladu s čl. 32 odst. 1 GDPR, tj. s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede Zpracovatel vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku.

2. Zpracovatel je povinen v přiměřeném rozsahu zajistit při zpracování Osobních údajů přinejmenším:

o pseudonymizaci a šifrování Osobních údajů;

o zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracovávajících Osobní údaje;

o být schopen obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

o pravidelně testovat, posuzovat a hodnotit účinnost zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů;

kdy konkrétní podmínky zabezpečení Osobních údajů jsou obsaženy v Příloze č. 2 těchto Podmínek Zpracování a dále mohou být určeny v Pokynu nebo Zpracovatelské smlouvě.

3. Pokud mezi stranami Primární smlouvy nebude uzavřena písemná Zpracovatelská smlouva, nebo příloha k Primární, nebo Zpracovatelské smlouvě, která rozšiřuje tato technická a organizační opatření, platí, že článek 7 těchto Podmínek je minimálním rozsahem opatření, které musí zpracovatel osobních údajů přijmout.

4. Při posuzování vhodné úrovně bezpečnosti Zpracovatel zohlední rizika, která představuje zpracování Osobních údajů, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných Osobních údajů, nebo neoprávněný přístup k nim.

5. V případě zpracování osobních údajů pro více správců je Zpracovatel povinen zpracovávat Osobní údaje Správce odděleně, tak aby nedošlo k jejich smíšení a společnému zpracování.

VIII. Porušení zabezpečení osobních údajů

1. V případě porušení zabezpečení osobních údajů je Zpracovatel povinen ihned, nejpozději však do 24 hodin, informovat Správce o tom, že došlo k porušení zabezpečení Osobních údajů nebo existuje důvodné podezření z porušení zabezpečení Osobních údajů (dále také

„oznámení porušení zabezpečení“).

2. Zpracovatel je povinen poskytnout Správci dostatečné informace, které mu umožní splnit veškeré povinnosti týkající se ohlašování a oznamování porušení zabezpečení Osobních údajů podle Předpisů o ochraně osobních údajů. Oznámení porušení zabezpečení musí přinejmenším obsahovat:

o popis povahy konkrétního porušení zabezpečení Osobních údajů, a pokud je to možné i kategorie a počty dotčených subjektů údajů a množství a specifikaci dotčených záznamů osobních údajů;

o jméno a kontaktní údaje pověřence pro ochranu osobních údajů Zpracovatele nebo jiného subjektu, od něhož lze získat více informací;

o popis pravděpodobných důsledků porušení zabezpečení osobních údajů a vzniklého

rizika;

o popis přijatých nebo navržených opatření k vyřešení porušení zabezpečení;

o popis přijatých nebo navržených opatření k zmírnění možných nepříznivých dopadů porušení zabezpečení.

3. Zpracovatel je povinen se Správcem spolupracovat, poskytnout mu veškerou možnou součinnost vedoucí k prošetření, zmírnění, odstranění a nápravě porušení zabezpečení Osobních údajů a realizovat Pokyny Správce za tímto účelem uložené.

4. Subjektem odpovědným za informování porušení zabezpečení Osobních údajů dle Předpisů

o ochraně osobních údajů je Správce. Zpracovatel není oprávnění oznámit bez předchozího prokazatelného souhlasu Správce žádnému subjektu porušení zabezpečení Osobních údajů neukládá-li mu tuto povinnost právo EU nebo právo členského státu, které se na Zpracovatele vztahuje. Zpracovatel je povinen neprodleně, a to před sdělením oznámení, informovat Správce o právním požadavku informování o porušení zabezpečení Osobních údajů. Zpracovatel je povinen Správci předem a v dostatečném předstihu před uplynutím případné lhůty vztahující se na Zpracovatele za účelem informování o porušení zabezpečení, poskytnout znění oznámení k připomínkám Správci. Zpracovatel je povinen oznámení upravit dle Pokynů Správce v případě, že jsou v souladu s právními předpisy EU a členského státu, které se na Zpracovatele vztahuje a odpovídá vzniklému porušení zabezpečení. Zpracovatel je povinen zvážit veškeré další případné připomínky Správce k oznámení.

IX. Subzpracovatelé

1. Správce na základě těchto Podmínek uděluje zpracovateli obecné povolení k zapojení dalšího zpracovatele do zpracování na základě primární smlouvy s výjimkou:

a) mezi správcem a zpracovatelem není uzavřena písemná Zpracovatelská smlouva, které součástí jsou tyto podmínky;

b) písemná smlouva mezi Správcem a Zpracovatelem vylučuje zpracování dalším zpracovatelem, nebo určí jinak;

c) zpracování Subzpracovateli probíhá v třetích zemích a neexistuje rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů, nebo jiná bilaterální nebo multilaterální mezinárodní smlouva, která tuto odpovídající úroveň ochrany osobních údajů zaručuje.

d) Správce vzal svůj souhlas, a to i po zahájení zpracování, zpět, protože má za to, že zapojený subzpracovatel nesplňuje tyto Podmínky

2. Zpracovatel může zapojit do zpracování Osobních údajů dalšího Subzpracovatele i když jej podle předchozího odstavce tohoto článku nemůže do zpracování zapojit, a to pokud jsou tyto osoby uvedené v dokumentu, kterého vzor je uveden v Příloze č. 3 těchto Podmínek zpracování (Schválený Subzpracovatel). Zpracovatel je povinen Správce informovat o zapojení Schváleného Subzpracovatele uvedeného v Příloze č. 3, a to neprodleně, nejpozději však do 3 dní před zamyšleným zapojením. Správce je oprávněn kdykoliv vzít svůj souhlas se zapojením dalšího zpracovatele zpět a zároveň může jednostranně, protože má za to, že zapojený subzpracovatel nesplňuje tyto Podmínky, vyloučit schváleného Subzpracovatele z dalšího zpracování.

3. Při zapojení jakéhokoli Subzpracovatele je Zpracovatel povinen:

o informovat Správce o veškerých činnostech zpracování, které bude Subzpracovatel pro Zpracovatele vykonávat;

o zajistit, aby se zpracování Osobních údajů Subzpracovatelem řídilo a probíhalo dle těchto Podmínek zpracování, Zpracovatelské smlouvy, Pokynů a Předpisů o ochraně osobních údajů, tak aby byla zajištěna náležitá úroveň ochrany Osobních údajů. Za účelem splnění povinnosti dle předešlé věty Zpracovatel uzavře se Subzpracovatelem písemnou smlouvu (dále také „Subzpracovatelská smlouva“), v rámci, které budou vymezeny povinnosti a podmínky Subzpracovatele v souladu s těmito Podmínkami zpracování, Zpracovatelskou smlouvou, Pokyny a Předpisy o ochraně osobních údajů, včetně vymezení konkrétních technických a organizačních opatřeních;

o zajistit náležitou úroveň ochrany Osobních údajů Správce, včetně dostatečných záruk pro provedení vhodných technických a organizačních opatření dle této Smlouvy, Primární smlouvy, Pokynů a platných a účinných Předpisů na ochranu osobních údajů;

o prověřit a pravidelně kontrolovat, že Subzpracovatel zpracovává Osobní údaje v souladu se Subzpracovatelskou smlouvou, a ne v rozporu s těmito Podmínkami zpracování, Zpracovatelskou smlouvou, Pokyny a Předpisy o ochraně osobních údajů. Zpracovatele Správce písemně informuje o výsledku kontroly do 2 týdnu od jejího provedení;

o pro případ předání Osobních údajů mimo Evropský hospodářský prostor je Správce povinen zajistit ve smlouvách mezi Zpracovatelem a Subzpracovatelem Standardní

smluvní doložky nebo jiný mechanismus, který předem schválí Správce, aby byla zajištěna odpovídající ochrana předávaných Osobních údajů.

4. V případě porušení povinností Subzpracovatelem, je Zpracovatel odpovědný Správci za splnění povinností Subzpracovatele.

5. Po předchozím písemném souhlasu Správce je možné tzv. řetězení zpracovatelů, tj. uzavírání smlouvy o zpracování osobních údajů mezi Subzpracovateli. Smlouvy uzavřeny mezi Subzpracovateli musí splňovat povinnosti a podmínky těchto Podmínek zpracování, Zpracovatelské smlouvy, Pokynů a Předpisů o ochraně osobních údajů, tak aby byla zajištěna náležitá úroveň ochrany Osobních údajů. Bez předchozího písemného souhlasu Správce je řetězení Subzpracovatelů vyloučeno.

6. Zpracovatelé a Subzpracovatelé jsou povinni Správci poskytnout kopii uzavřených zpracovatelských/subzpracovatelských smluv bez zbytečných odkladů, nejpozději však do 7 dní od doručení žádosti.

X. Ukončení zpracování Osobních údajů

1. Zpracovatel je povinen v přiměřené lhůtě, a v každém případě nejpozději do 45 kalendářních dnů po ukončení Primární smlouvy nebo ukončení zpracování Osobních údajů z jakéhokoli jiného důvodu, na základě písemného Pokynu buď:

a) vrátit Správci úplnou kopii všech Osobních údajů zabezpečeným přenosem datových souborů ve formátu uvedeném v Pokynu Správce a zároveň bezpečně a prokazatelně vymazat všechny ostatní kopie Osobních údajů zpracovávaných Zpracovatelem nebo jakýmkoli dalším Subzpracovatelem, nebo

b) bezpečně a prokazatelně vymazat všechny kopie Osobních údajů zpracovávaných Zpracovatelem nebo jakýmkoli dalším Subzpracovatelem.

2. Zpracovatel je povinen Správci bez zbytečných odkladů, nejpozději však do 7 dní, poskytnout písemné osvědčení o splnění povinnosti dle tohoto článku.

3. Aniž je dotčena povinnost dle odstavce 1 tohoto článku, je Zpracovatel nadále oprávněn zpracovávat Osobní údaje v rozsahu požadovaném právními předpisy EU nebo členského státu, které se na Zpracovatele vztahují. Zpracování dle předešlé věty může probíhat pouze po dobu, za účelem a v souladu s právními předpisy, kdy Zpracovatel je povinen zajistit zejména dostatečnou ochranu a důvěrnost Osobních údajů.

XI. Kodexy chování a certifikace

1. Zpracovatel je povinen na žádost Správce dodržovat relevantní kodex chování schválený podle čl. 40 GDPR. Do doby, než bude kodex chování dle předešlé věty schválen Úřadem, bude zpracovatel dodržovat kodex, který je uveřejněn na webovém sídle správce.

2. Zpracovatel je povinen na žádost Správce získat relevantní osvědčení podle čl. 42 GDPR.

3. Zpracovatel je povinen bez zbytečného odkladu zajistit dodržování kodexu chování nebo jeho příslušných částí a zajistit získání osvědčení u Subzpracovatelů.

XII. Standardní smluvní doložka

1. Pokud je zpracovatel usídlen v třetí zemi, řídí se vztah mezi ním a Správcem zároveň tzv. Standardní smluvní doložkou ve znění Přílohy Rozhodnutí Komise ze dne 5. února 2010 (oznámeno pod číslem K (2010) 593), a to ve smyslu čl. 26 odst. 2 směrnice 95/46/ES a čl. 45 odst. 9 GDPR, kdy smluvní strany prohlašují, že v případě, že Komise změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 3 nebo 5 čl.45 GDPR své Rozhodnutí, bude se smluvní vztah řídit rozhodnutím Komise novým.

2. Předešlý odstavec neplatí jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany nebo pokud existuje mezinárodní smlouva, kterou jsou vázány obě smluvní strany na základě, které je zajištěna odpovídající úroveň ochrany.

3. Celé znění standardní smluvní doložky je obsaženo v příloze č. 4 těchto Podmínek.

Příloha č. 1 Zpracovatelská smlouva

Smlouva o zpracování osobních údajů

Uzavřená níže uvedeného roku, měsíce a dne v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále také GDPR“) mezi:

Smartwings, a.s., IČ: 25663135

se sídlem Praha 6, K Letišti 1068/30, 160 08

(dále také „SW CZ“ nebo „Správce“)

……………………………………*, IČ *

se sídlem *

zastoupen *

jednající: *

(dále také „Zpracovatel“)

(Správce a Zpracovatel společně dále také jako „Smluvní strany“)

Čl. I. - Úvodní prohlášení

1. Smluvní strany souhlasně prohlašují, že Zpracovatel na základě Smlouvy ……….* ze dne

……….* vykonává pro Správce Službu/poskytuje Produkty (dále také „Primární smlouva“) a v souvislosti s Primární smlouvou zpracovává jménem Správce osobní údaje subjektů údajů předané Správcem nebo jim prokazatelně určeným subjektem.

2. Smluvní strany se dohodly, že zpracování osobních údajů se bude řídit Obecně závaznými podmínkami zpracování osobních údajů zpracovatelem a dalšími osobami (dále také

„Podmínky zpracování“) zveřejněnými na webové adrese Správce, a to vždy dle aktuálního znění Podmínek zpracování.

3. Podmínky zpracování se stávají závaznou a neoddělitelnou součástí této Zpracovatelské

smlouvy.

4. Zpracovatel prohlašuje, že se s Podmínkami zpracování seznámil a je povinen se jimi při zpracování osobních údajů řídit.

Čl. II. - Specifikace osobních údajů a jejich zpracování

1. Druh a typ osobních údajů:

☐

Osobní údaje:………………………………………………………………………………………………………………………

☐

Osobní údaje zvláštní kategorie dle čl. 9 GDPR:……………………………………………………………………

2. Dobra zpracování osobních údajů: po dobu trvání Primární smlouvy. Ukončením Primární smlouvy nejdou dotčeny práva a povinnosti Zpracovatele, které ze své povahy nebo dle této smlouvy či Podmínek zpracování mají trvat i po ukončení Primární smlouvy.

3. Povaha zpracování:

☐ Zpracování

☐ Automatizované zpracování

☐ Profilování nebo automatizované rozhodování

4. Účel zpracování:……………………………………………………………………………………………………………………

5. Kategorie subjektů údajů:……………………….…………………………………………………………………………….

Čl. III. - Závěrečná ujednání

1. Pojmy použité v této Smlouvě se interpretují ve smyslu Podmínek zpracování.

2. Tato smlouva nabývá platnosti a účinnosti podpisem obou Smluvních stran.

3. Tato smlouva může být měněna pouze písemnými dodatky vzestupně číslovanými a podepsanými oběma Smluvními stranami. Tímto ustanovením není dotčena možnost změny Podmínek zpracování a udělování Pokynů Správcem ke zpracování Osobních údajů Správce.

4. Pokud by některé ustanovení této smlouvy bylo neplatné nebo se stalo neplatným, není tím dotčena platnost ostatních ustanovení této smlouvy. Smluvní strany této smlouvy se zavazují uzavřít neprodleně dodatek za účelem ujednání nových platných ustanovení namísto neplatných ustanovení, která jsou nejblíže účelu neplatných ustanovení.

5. Tato smlouva je vyhotovena ve 2 vyhotoveních s platností originálu, kdy jeden stejnopis obdrží každá smluvní strana.

V…………………………..dne…………………… V…………………………..dne……………………

…………………………………………………………. …………………………………………………………. Správce Zpracovatel

Příloha č. 2 – technická o organizační opatření

1. Obecná ustanovení

Zpracovatel je povinen přijmout závaznou dokumentaci upravující technická a bezpečností opatření za účelem ochrany a bezpečnosti zpracovávaných Osobních údajů (dále také

„bezpečnostní dokumentace“).

Zpracovatel je povinen seznámit své pracovníky s bezpečnostní dokumentací a těmito Podmínkami zpracování a pravidelně provádět školení.

Zpracovatel je povinen bezpečnostní dokumentaci přizpůsobit zpracovávaným Osobním údajům za účelem zajištění vhodné úrovně bezpečnosti.

Používaná hesla musí vyhovovat požadavkům na velmi silné heslo, a to včetně délky, složitosti znaků a neopakovatelnosti.

2. Odpovědné osoby a Oprávněné osoby

Zpracovatel je povinen určit konkrétní osoby odpovědné za zajištění a provádění technických a organizačních opatření, řešení podezření a porušení zabezpečení Osobních údajů a kontaktní osobu pro Správce a subjekt údajů. Zpracovatel je povinen jednoznačně definovat úlohu a odpovědnostech osob dle předchozí věty.

Zpracovatel vede seznam všech zařízeních, na kterých dochází ke zpracování Osobních údajů. Tento seznam je pravidelně aktualizován.

Oprávněné osoby zpracovávající Osobní údaje dle článku V. těchto Podmínek zpracování mají jednoznačně definované úkoly a činnosti při zpracování Osobních údajů a zpracovávají osobní údaje pouze v nezbytném rozsahu ke splnění povinností Zpracovatele dle Primární smlouvy, Zpracovatelské smlouvy a těchto Podmínek zpracování.

Po ukončení spolupráce s Oprávněnou osobou (př. ukončení hlavního pracovního poměru aj.) je

Zpracovatel povinen zajistit, aby nebyl umožněn jakýkoli přístup těchto osob k Osobním údajům.

3. Vstup do prostor Zpracovatele

Vstup do prostor, kde dochází ke zpracování osobních údajů (dále také „prostor zpracovatele“)

musí být chráněn, a to minimálně bezpečnostním uzamykacím zámkem nebo poplašným

systémem proti narušení. Zakazuje se zpřístupnění klíčů a kódů k alarmu neoprávněným osobám. Při nakládání s klíči, kódy k alarmu a pro vstup do prostor Zpracovatele musí být dodržovány minimálně tyto povinnosti:

o klíče je zakázáno zapůjčovat, svěřit jiným osobám nebo je předávat jako zálohu. Je zakázáno bez souhlasu určeného pracovníka odpovědného za bezpečnost v prostorách zpracovatele (dále také „bezpečnostní pracovník“) pořídit kopii klíče;

o přístupový kód je chráněn mlčenlivostí a nesmí být sdělen žádné jiné osobě. Zakazuje se zachycení kódu k alarmu v jakékoli podobě s výjimkou zachycení pro účely bezpečnostního pracovníka;

o při vstupu do prostor zpracovatele je povinnost ujistit se, že dveře s řízeným přístupem se zavřely a nebude umožněn vstup neoprávněným osobám do chráněných prostor zpracovatele;

o klíč i přístupový kód je nezbytné chránit před ztrátou, zcizením, zneužitím, zničením či poškozením.

V souvislosti s návštěvami v prostorách zpracovatele je nezbytné dodržovat přinejmenším tyto zásady:

o návštěvu není možné ponechat bez dozoru kdekoli, kde se zpracovávají osobní údaje Správce;

o neznámou osobu v prostorách zpracovatele bez doprovodu pracovníka Zpracovatele je nezbytné identifikovat a doprovodit ji k jinému pracovníkovi Zpracovatele, kterou chtěla navštívit nebo předat odpovědné osobě.

Umožnění přístupu do datových center, serveroven a dalších relevantních technických místností (dále také „technické místnosti“) podléhá schválení odpovědného pracovníka Zpracovatele. Návštěvy v technických prostorách musí být vždy doprovázeny odpovědným pracovníkem Zpracovatele.

4. Počítače a notebooky

Při nakládání s počítači a notebooky musí být dodržovány minimálně tyto povinnosti:

o k připojení, odpojení a jakékoli jiné manipulaci je nezbytná asistence odpovědného IT pracovníka;

o pevný disk musí být zašifrován a zaheslován. Po zapnutí systému počítače a notebooku musí být vyžadováno heslo. Je zakázáno uložení a automatické vyplňování hesla. Heslo musí být v pravidelném intervalu změněno;

o Osobní údaje mohou být uloženy pouze na zaheslovaných a zašifrovaných serverech Zpracovatele a mohou být zpracovávány pouze na zašifrovaných a zaheslovaných síťových discích a v rámci relevantních legálních aplikací;

o zakazuje se sdílení lokálních disků, CD-ROM aj.;

o počítač a notebook nemůže být po zapnutí ponechán bez dozoru. V případě dočasného odchodu bez vypnutí musí být počítač nebo notebooku uzamčen heslem;

o technologie bezdrátového připojení musí být standardně vypnuté. Zapnutí je možné pouze v případě potřeby připojit se ke konkrétní síti;

o Zpracovatel může využívat pouze legálně získaný software, jehož instalaci provede odpovědný IT pracovník v souladu s příslušnými pravidly a postupy;

o je zakázána instalace a šíření nelegálně nabytého softwaru a textového / audio / video

obsahu nebo jeho ukládání na počítač nebo notebook;

o počítač a notebook musí být chráněn firewallem, antivirem a jinými bezpečnostními nastaveními, k jejichž aktivaci, aktualizaci a deaktivaci je oprávněn pouze odpovědný IT pracovník, kdy aktualizace a testy probíhají pravidelně. V případě podezření na výskyt viru či jiné hrozby je pracovník Zpracovatele povinen ihned informovat odpovědného IT pracovníka;

o pracovníci Zpracovatelé mají samostatné uživatelské účty s výjimkou, kdy je to nezbytné, kdy v takovém případě mají osoby užívající stejný uživatelský účet stejné povinnosti, úkoly a odpovědnost při zpracování Osobních údajů.

5. Ochrana přenosných zařízení

Za přenosné zařízení se považují zejména notebooky, mobilní telefony, PDA, tablety, aj.

Při nakládání s přenosnými zařízeními musí být dodržovány minimálně tyto povinnosti:

o přenosné zařízení musí být chráněno před přístupem neoprávněných osob a nesmí být ponecháno bez dozoru pracovníka Zpracovatele s výjimkou případu, kdy to není objektivně možné;

o při přenášení musí být přenosné zařízení umístěno v bezprostředním dosahu a pod kontrolou pracovníka Zpracovatele, s výjimkou případu, kdy to není objektivně možné;

o v případě ztráty či odcizení přenosného zařízení musí pracovník Zpracovatele ihned informovat odpovědnou osobu a svého nadřízeného. Dle technických možností je Zpracovatel povinen pokusit se zajistit zablokování nebo vymazání přenosného zařízení s pomocí odpovědných IT pracovníků;

o přenosné zařízení musí být chráněna heslem, pokud to objektivně umožňuje, a toto heslo musí být vyžadováno při každém použití přenosného zařízení;

o pracovníci Zpracovatele nesmí používat vlastní přenosné zařízení ke zpracování Osobních údajů bez předchozího souhlasu Zpracovatele, kdy souhlas Zpracovatele může být dán pouze ve výjimečné situaci;

o Osobní údaje uložené v přenosných zařízeních mohou být uloženy pouze na zaheslovaném a zašifrovaném úložišti. V opačném případě není možné přenosné zařízeno používat k ukládání Osobních údajů;

o zakazuje se připojení přenosného zařízení k jinému zařízení, které není pod kontrolou Zpracovatele (např. počítače v internetových kavárnách, print shopech, soukromé počítače, aj.).

Pro případy, kdy není objektivně možné chránit přenosné zařízení před přístupem neoprávněných osob, kdy není možné, aby bylo v bezprostředním dosahu a pod kontrolou pracovníka Zpracovatele a pro jiné případy, kdy hrozí porušení zabezpečení Osobních údajů, musí být přenosné zařízení chráněno bezpečnostním kabelem nebo jiným mechanickým bezpečným způsobem a dále minimálně heslem či jiným možným způsobem ochrany, a to v co nejširším rozsahu, tak aby byla zajištěna vhodná úroveň bezpečnosti.

Pro výměnu Osobních údajů mezi pracovníky Zpracovatele je nezbytné používat sdílené úložiště v rámci sítě Zpracovatele a nepoužívat přenosná média s výjimkou výjimečného a odůvodněného

případu za použití hesla a šifrování, kdy je nezbytné bez zbytečného odkladu po výměně Osobní údaje z přenosného média trvale vymazat.

6. Používání internetu, emailu a vzdáleného přístupu do sítě Zpracovatele

Při používání internetu a emailu musí být dodržovány minimálně tyto povinnosti:

o k internetu je umožněn přístup pouze prostřednictvím IT infrastruktury Zpracovatele;

o zakazuje se nahrání a uložení Osobních údajů na veřejné úložní servery;

o komunikace prostřednictvím internetu je šifrována pomocí kryptografických protokolů;

o při zpracování Osobních údajů je možné používat pouze pracovní emaily, které nesmí být zároveň používány k soukromým účelům;

o Osobní údaje předávané emailovou komunikací musí být chráněny heslem a zašifrováním, v opačném případě je nelze takto předávat;

o není povoleno používat automatické přeposílání e-mailových zpráv na e-mailové adresy mimo síť společnosti;

o pro případ emailové komunikace s více než 1 osobou, kdy alespoň jedná osoba je osobou

osoby působící externě mimo Zpracovatele, je nezbytné používat funkci skrytá kopie;

o při využívání vzdáleného přístupu do lokální sítě Zpracovatele se povoluje využívat pouze pracovní stanice nebo notebooky Zpracovatele a VPN připojení spravované Zpracovatelem. Je zakázáno vytvářet vzdálené spojení z jiných pracovních stanic, které nejsou pod kontrolou Zpracovatele;

o za účelem používání vzdáleného přístupu musí být pracovníkovi Zpracovatele na základě předchozího schválení odpovědnou osobou přidělen a nainstalován certifikát. Pro přihlášení do VPN se pracovník Zpracovatele musí identifikovat následujícími údaji: přihlašovací jméno, heslo, certifikát a název domény.

7. Zálohování dat a výmaz Osobních údajů

Zpracovatel je povinen průběžně zálohovat Osobní údaje, tak aby nedošlo k jejich zničení, poškození ztrátě, aj.

Při vyřazení jakéhokoli přenosného zařízení bude nejdříve provedeno jejich přepsání, tak aby došlo

k výmazu Osobních údajů. V případě, že přepsání není možné, bude provedena fyzická likvidace. Jakékoli listiny obsahující Osobní údaje, které mají být zlikvidovány, musí být skartovány.

O přepsání zařízení, skartaci a likvidaci musí být vedena dokumentace.

Příloha č. 3 Seznam Subzpracovatelů a předávání příjemcům ve třetích zemích

I. Předávání osobních údajů schválené správcem dle čl. IV. odst. 4 Podmínek zpracování

X.	Xxxxxxxxx příjemci	Sídlo	Specifikace zpracování
1.
2.

XX. Xxxxxxxxx Subzpracovatel dle čl. IX. odst. 2 Podmínek zpracování

X.	Xxxxxxxxx Subzpracovatel	Sídlo	Specifikace zpracování
1.
2.

Příloha č. 4 Standardní smluvní doložka

Vývozce osobních údajů, kterým je správce osobních údajů dle těchto Podmínek a Primární smlouvy a Xxxxxxx osobních údajů, kterým je zpracovatel osobních údajů dle těchto Podmínek a Primární smlouvy spolu za splnění podmínek čl. XII těchto Podmínek (jednotlivě „Strana“; společně

„Strany“ uzavírají jako součást smlouvy o zpracování osobních údajů i smluvní doložku v tomto

znění:

Doložka 1

Definice

Pro účely doložek:

a) „osobní údaje“, „zvláštní kategorie údajů“, „zpracovávat/zpracování“, „správce“, „zpracovatel“,

„subjekt údajů“ a „orgán dozoru“ mají stejný význam jako ve směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů;

b) „vývozcem údajů“ se rozumí správce, který předává osobní údaje;

c) „dovozcem údajů“ se rozumí zpracovatel, který se zavazuje přijímat od vývozce údajů osobní údaje určené ke zpracování jménem vývozce údajů po předání v souladu s jeho pokyny a s podmínkami těchto doložek a který nepodléhá systému třetí země zajišťující odpovídající ochranu ve smyslu čl. 25 odst. 1 směrnice 95/46/ES;

d) „dílčím zpracovatelem“ se rozumí zpracovatel najatý dovozcem údajů nebo jiným dílčím zpracovatelem dovozce údajů, který se zavazuje přijímat od dovozce údajů nebo od jiného dílčího zpracovatele dovozce údajů osobní údaje určené výhradně pro činnosti spojené se zpracováním jménem vývozce údajů po předání v souladu s pokyny vývozce údajů, podmínkami stanovenými v příloze a podmínkami písemné smlouvy o dílčím zpracování;

e) „právem rozhodným pro ochranu údajů“ rozumí právní předpisy ochraňující základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke zpracování osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je usazen vývozce údajů;

f) „technickými a organizačními bezpečnostními opatřeními“ rozumí opatření zaměřená na ochranu osobních údajů před náhodným či protiprávním zničením nebo před náhodnou ztrátou, úpravou, neoprávněným zveřejněním či přístupem, zejména v případech, kdy v souvislosti se zpracováním dochází k předávání údajů po síti, nebo před všemi ostatními protiprávními způsoby zpracování.

Doložka 2 Podrobnosti předávání

Podrobnosti předávání a zejména případné zvláštní kategorie osobních údajů jsou uvedeny v smlouvě o zpracování osobních údajů (nahrazující Dodatek č.1), který tvoří nedílnou součást doložek.

Doložka 3

Xxxxxxx ve prospěch třetí strany

1. Subjekty údajů mohou vůči vývozci údajů uplatnit jako oprávněné třetí strany tuto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a g) až j), doložku 6 odst. 1 a 2, doložku 7, doložku 8 odst. 2 a doložky 9 až 12.

2. Subjekty údajů mohou vůči dovozci údajů uplatnit tuto doložku, doložku 5 písm. a) až e) a g), doložku 6, doložku 7, doložku 8 odst. 2 a doložky 9 až 12 v případech, kdy vývozce údajů fakticky zmizel nebo kdy z právního hlediska zanikl, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu.

3. Subjekty údajů mohou vůči dílčímu zpracovateli uplatnit tuto doložku, doložku 5 písm. a) až e) a g), doložku 6, doložku 7, doložku 8 odst. 2 a doložky 9 až 12 v případech, kdy vývozce údajů i dovozce údajů fakticky zmizeli nebo kdy z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek.

4. Strany nemají námitek proti tomu, aby byl subjekt údajů zastupován sdružením nebo jiným

subjektem, je-li to jeho výslovným přáním a povoluje-li to vnitrostátní právo.

Doložka 4 Povinnosti vývozce údajů

Vývozce údajů se zavazuje a zaručuje, že:

a) zpracování osobních údajů, včetně předávání samotného, bylo a bude i nadále prováděno v souladu se souvisejícími ustanoveními práva rozhodného pro ochranu údajů (a případně bylo oznámeno příslušným orgánům členského státu, ve kterém je vývozce údajů usazen) a že neporušuje související předpisy daného státu;

b) nařídil a po celou dobu poskytování služeb zpracování osobních údajů bude dovozci údajů nařizovat, aby předávané osobní údaje byly zpracovávány pouze jménem vývozce údajů a v souladu s právem rozhodným pro ochranu údajů a s doložkami;

c) dovozce údajů poskytne dostatečné záruky v souvislosti s technickými a organizačními bezpečnostními opatřeními uvedenými v smlouvě o zpracování osobních údajů (nahrazující Dodatek č. 2 k této Smlouvě);

d) po vyhodnocení požadavků práva rozhodného pro ochranu údajů jsou bezpečnostní opatření dostatečná k zajištění ochrany osobních údajů před náhodným či protiprávním zničením nebo před náhodnou ztrátou, úpravou, neoprávněným zveřejněním či přístupem, zejména v případech, kdy v souvislosti se zpracováním dochází k předávání údajů po síti, nebo před všemi ostatními protiprávními způsoby zpracování, a že tato opatření zajišťují úroveň bezpečnosti odpovídající rizikům, která v souvislosti se zpracováním hrozí, a povaze údajů, jež mají být chráněny, s ohledem na stav techniky a nákladnost jejich zavedení;

e) zajistí dodržování bezpečnostních opatření;

f) budou-li součástí předávání i zvláštní kategorie údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve poté, že jeho údaje mohou být předávány do třetí země, která neposkytuje odpovídající ochranu ve smyslu směrnice 95/46/ES a nařízení 2016/679 (EU);

g) předá oznámení obdržené od dovozce údajů nebo případného dílčího zpracovatele podle doložky 5 písm. b) a doložky 8 odst. 3 orgánu dozoru pro ochranu údajů, pokud se vývozce údajů rozhodne pokračovat v předávání nebo odvolat jeho pozastavení;

h) na požádání poskytne subjektům údajů kopii doložek, s výjimkou dodatku 2 a souhrnného popisu bezpečnostních opatření, a rovněž kopii případné smlouvy o službách dílčího zpracování, kterou je nutno uzavřít v souladu s doložkami, pokud doložky nebo smlouva neobsahují obchodní informace, v tomto případě je možno tyto obchodní informace vynechat; i) v případě dílčího zpracování je činnost spojená se zpracováním údajů vykonávána v souladu s doložkou 11 dílčím zpracovatelem, který zajišťuje přinejmenším stejnou úroveň ochrany osobních údajů a práv subjektu údajů jako dovozce údajů podle xxxxxxx, a

j) zajistí shodu s doložkou 4 písm. a) až i).

Doložka 5 Povinnosti dovozce údajů

(1) Dovozce údajů se zavazuje a zaručuje, že:

a) osobní údaje bude zpracovávat pouze jménem vývozce údajů a v souladu s jeho pokyny a s těmito doložkami; nebude-li moci dodržování pokynů a doložek z jakýchkoli důvodů zajistit, zavazuje se o tom neprodleně informovat vývozce údajů, který je v takovém případě oprávněn pozastavit předávání údajů a/nebo odstoupit od smlouvy;

b) nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy a že v případě změny těchto právních předpisů, která by mohla mít výrazně nepříznivý dopad na ochranná opatření a závazky stanovené doložkami, oznámí neprodleně tuto změnu vývozci údajů, který je v takovém případě oprávněn pozastavit předávání údajů a/nebo odstoupit od smlouvy;

c) před zpracováním předaných osobních údajů učinil organizační a technická bezpečnostní opatření uvedená v dodatku 2;

d) oznámí vývozci údajů neprodleně: i) veškeré právně závazné požadavky na zveřejnění osobních údajů ze strany donucovacího orgánu, není-li to jinak zakázáno, například trestním právem, aby byla zajištěna důvěrnost vyšetřování v rámci výkonu práva, ii) veškeré případy získání náhodného nebo neoprávněného přístupu a iii) veškeré žádosti obdržené přímo od subjektů údajů, aniž by na tyto žádosti reagoval, ledaže k tomu byl jinak oprávněn;

e) vyřídí neprodleně a řádně veškeré dotazy vývozce údajů týkající se jím prováděného zpracování osobních údajů, které jsou předmětem přenosu, a že se bude řídit v souvislosti se zpracováním předávaných údajů názorem orgánu dozoru;

f) na žádost vývozce údajů umožní přezkoumání činností spojených se zpracováním údajů podle doložek ve svých zařízeních na zpracování údajů, které provede vývozce údajů nebo kontrolní orgán složený z nezávislých členů s požadovanou odbornou kvalifikací, kteří budou vázáni povinností zachovat mlčenlivost a vybráni vývozcem údajů, popřípadě po dohodě s orgánem dozoru;

g) na požádání poskytne subjektu údajů kopii doložek nebo případné existující smlouvy o dílčím zpracování, pokud doložky nebo smlouva neobsahují obchodní informace, v tomto případě je možno tyto obchodní informace vynechat, s výjimkou dodatku 2, který bude nahrazen souhrnným popisem bezpečnostních opatření v případech, kdy subjekt údajů není schopen získat kopii od vývozce údajů;

h) v případě dílčího zpracování předem informoval vývozce údajů a obdržel jeho předchozí písemný souhlas;

i) služby zpracování údajů poskytované dílčím zpracovatelem budou v souladu s doložkou 11;

j) vývozci údajů zašle neprodleně kopii případné dohody s dílčím zpracovatelem, která se uzavírá podle těchto doložek.

Doložka 6 Odpovědnost

1. Strany se dohodly, že subjekt údajů, který utrpěl v důsledku porušení povinností uvedených v doložce 3 nebo doložce 11 škodu způsobenou kteroukoli ze stran nebo dílčím zpracovatelem, je oprávněn obdržet od vývozce údajů za utrpěnou škodu náhradu.

2. Nemůže-li subjekt údajů uplatňovat v souladu s odstavcem 1 nárok na odškodnění vůči vývozci údajů pro porušení některé z povinností dovozce údajů nebo jeho dílčího zpracovatele uvedených v doložce 3 a 11, protože vývozce údajů fakticky zmizel, z právního hlediska zanikl nebo je v platební neschopnosti, dovozce údajů se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dovozci údajů, jako by byl vývozcem údajů, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů, přičemž v tomto případě může subjekt může uplatňovat svá práva vůči tomuto subjektu. Dovozce údajů se nemůže spoléhat na to, že dílčí zpracovatel poruší své povinnosti, aby se vyhnul vlastní odpovědnosti.

3. Nemůže-li subjekt údajů uplatňovat v souladu s odstavci 1 a 2 nárok vůči vývozci údajů a dovozci údajů pro porušení některé z povinností dílčího zpracovatele uvedených v doložkách 3 a 11, protože vývozce údajů i dovozce údajů fakticky zmizeli, z právního hlediska zanikli nebo jsou v platební neschopnosti, dílčí zpracovatel se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dílčímu zpracovateli s ohledem na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek, jako by byl vývozcem údajů nebo dovozcem údajů, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů, přičemž v tomto případě může subjekt údajů uplatňovat svá práva vůči tomuto

subjektu. Odpovědnost dílčího zpracovatele je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek

Doložka 7

Mediace a soudní příslušnost

1. Dovozce údajů se zavazuje, že uplatní-li proti němu subjekt údajů práva ve prospěch třetí strany a/nebo uplatní-li nárok na náhradu škody podle těchto doložek, přistoupí dovozce údajů na rozhodnutí subjektu údajů:

a) předat spor k mediaci prováděné nezávislou osobou nebo popřípadě orgánem dozoru;

b) předat spor soudům v členském státě, ve kterém je vývozce údajů usazen.

2. Strany se dohodly, že rozhodnutím subjektu údajů nebudou dotčena jeho hmotná ani procesní práva při podávání soudních žalob v souladu s ostatními ustanoveními vnitrostátního nebo mezinárodního práva.

Doložka 8

Spolupráce s orgány dozoru

1. Vývozce údajů se zavazuje uložit kopii této smlouvy u orgánu dozoru, vyžaduje-li to tento orgán nebo právo rozhodné pro ochranu údajů.

2. Strany se dohodly, že orgán dozoru má právo provést přezkoumání u dovozce údajů a u případného dílčího zpracovatele, které bude mít stejný rozsah a bude podléhat stejným podmínkám jako přezkoumání u vývozce údajů uskutečněné v souladu s právem rozhodným pro ochranu údajů.

3. Dovozce údajů okamžitě informuje vývozce údajů o existenci právních předpisů, kterým on nebo dílčí zpracovatel podléhá, jež podle odstavce 2 brání provést přezkoumání dovozce údajů nebo dílčího zpracovatele. V tomto případě má vývozce údajů právo učinit opatření podle doložky 5 písm. b).

Doložka 9

Rozhodné právo

Xxxxxxx se řídí právem členského státu, ve kterém je usazen vývozce údajů.

Doložka 10 Změna smlouvy

Strany se zavazují, že v doložkách nebudou provádět žádné změny ani úpravy. Toto nevylučuje, aby strany v případě potřeby připojily další doložky, které se vztahují k předmětu obchodu, pokud tyto doložky nejsou v rozporu s těmito doložkami.

Doložka 11 Dílčí zpracování

1. Dovozce údajů nezadá externě žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem vývozce údajů na základě těchto doložek, bez předchozího písemného souhlasu vývozce údajů. Pokud dovozce údajů se souhlasem vývozce údajů zajišťuje plnění svých povinností podle těchto doložek subdodavatelsky, učiní tak pouze formou písemné dohody s dílčím zpracovatelem, která dílčímu zpracovateli ukládá stejné povinnosti, jako jsou povinnosti dovozce údajů podle těchto doložek. Neplní-li dílčí zpracovatel své povinnosti týkající se ochrany údajů na základě této písemné dohody, je dovozce údajů vůči vývozci údajů nadále plně odpovědný za splnění povinností dílčího zpracovatele podle takovéto dohody.

2. Předchozí písemná smlouva mezi dovozcem údajů a dílčím zpracovatelem zahrnuje rovněž doložku ve prospěch třetí strany stanovenou v doložce 3 pro případy, kdy subjekt údajů nemůže uplatňovat nárok na odškodnění podle odstavce 1 doložky 6 vůči vývozci údajů nebo dovozci údajů, protože ti fakticky zmizeli nebo z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek.

3. Ustanovení týkající se aspektů ochrany údajů u subdodavatelského zajišťování podle odstavce 1 se řídí právem členského státu, ve kterém je usazen vývozce údajů.

4. Vývozce údajů vede seznam dohod o dílčím zpracování, jež uzavřel podle těchto doložek a které dovozce údajů oznámil podle doložky 5 písm. j), který bude alespoň jednou ročně aktualizovat. Seznam musí být dán k dispozici orgánu dozoru pro ochranu údajů vývozce údajů.

Doložka 12

Povinnosti po ukončení poskytování služeb spojených se zpracováním osobních údajů

1. Strany se dohodly, že po ukončení poskytování služeb spojených se zpracováním údajů dovozce údajů a dílčí zpracovatel podle rozhodnutí vývozce údajů vrátí veškeré předávané osobní údaje a jejich kopie vývozci údajů, nebo provede zničení veškerých osobních údajů a předloží vývozci údajů potvrzení o jejich zničení, pokud právní předpisy vztahující se na dovozce údajů nezakazují dovozci vrácení či zničení všech nebo části předávaných osobních údajů. V takovém případě dovozce údajů zaručuje, že zajistí zachování důvěrnosti předávaných osobních údajů a že nebude přenášené osobní údaje již dále aktivně zpracovávat.

2. Dovozce údajů a dílčí zpracovatel zaručují, že na žádost vývozce údajů a/nebo orgánu dozoru dají k dispozici svá zařízení na zpracování údajů za účelem přezkoumání opatření uvedených v odstavci 1.

Doložka 13

Dodatky stanovené Přílohou Rozhodnutí Komise ze dne 5. února 2010 (oznámeno pod číslem K (2010) 593), a to ve smyslu čl. 26 odst. 2 směrnice 95/46/ES a čl. 45 odst. 9 GDPR

Dodatek 1 a Dodatek 2 je nahrazen ustanoveními smlouvy o zpracování osobních údajů a Primární smlouvou, kdy tato smluvní dokumentace popisuje činnost Vývozce údajů, Dovozce údajů, subjekty údajů, kategorie údajů, zvláštní kategorie údajů, proces zpracování a závazek dovozce údajů přijmout organizační a technická opatření stanovená v Podmínkách.

V Praze dne 27.3.2019

Document Metadata

Table of Contents

OBSAH

Document Metadata