DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
/pro dodavatele/
Pro účely tohoto dodatku se rozumí:
Správce osobních údajů | Společnost Konica Minolta Business Solutions Czech spol. s r.o., se sídlem: Xxxxxxxxx 00, 000 00 Xxxx 5, IČ:00176150, DIČ:CZ00176150, též jako „Odběratel“. |
Zpracovatel osobních údajů | Společnost poskytující plnění Odběrateli (např. dodavatel, zpracovatel, poskytovatel) ze smlouvy, která na tento dodatek odkazuje, též jako „Poskytovatel“, přičemž součástí takového plnění jsou Zpracovatelské služby. |
Termíny „správce“, „subjekt údajů“, „osobní údaj“, „porušení zabezpečení osobních údajů“, „zpracování“, „zpracovatel“ a „dozorový úřad“ | Mají stejný význam jako v Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (též jako „GDPR“). |
Zpracovatelské služby | Jsou služby zpracování osobních údajů, poskytované ze strany Poskytovatele Odběrateli na základě Smlouvy, a jakákoliv související technická podpora, pokud obnáší zpracování osobních údajů. |
I. Předmět a účel dodatku
(1) Poskytovatel vykonává pro Odběratele služby v souvislosti s plněním z uzavřené smlouvy, která na tento dodatek odkazuje (dále jen jako „Smlouva“). Poskytovatel v rámci této činnosti může získat přístup k osobním údajům a zavazuje se je zpracovávat pouze k účelům, pro který mu byly svěřeny, a pouze v souladu s doloženými pokyny Odběratele. Rozsah a účel zpracování dat, které provede Poskytovatel, je definován ve Smlouvě a jejich případných dodatcích. Odpovědnost za zákonné zpracování osobních údajů nese Odběratel.
(2) Smluvní strany uzavírají tento Dodatek ke Smlouvě (dále jen „Dodatek“) za účelem úpravy jejich práv a povinností vyplývajících z legislativy upravující ochranu osobních údajů. V případě rozporu mezi ustanovením tohoto Dodatku a Xxxxxxx budou mít přednost ustanovení tohoto Dodatku.
(3) Zpracování osobních údajů bude prováděno po dobu trvání Smlouvy nebo do doby výmazu všech osobních údajů ze strany Poskytovatele, pokud nevyplývá z dalších ustanovení jinak.
II. Povaha zpracovaných údajů, subjekty údajů
(1) Poskytovatel bude manuálně i automatizovaně zpracovávat osobní údaje Odběratele za účelem poskytování zpracovatelských služeb Odběrateli. Osobní údaje Odběratele mohou zahrnovat např. jméno, příjmení, telefonní číslo, e-mail, pracovní zařazení subjektu údajů či jakékoliv další informace, nezbytné pro naplnění účelu zpracovatelských služeb.
(2) Osobní údaje Objednatele se týkají následujících kategorií subjektů údajů:
a. subjektů údajů, jejichž osobní údaje Poskytovatel shromažďuje při poskytování zpracovatelských služeb; a/nebo
b. subjektů údajů, jejichž osobní údaje jsou předány Poskytovateli v souvislosti s poskytováním zpracovatelských služeb Odběratelem, na jeho pokyn nebo za Odběratele.
(3) V závislosti na povaze zpracovatelských služeb mohou výše uvedené kategorie subjektů údajů zahrnovat (a) zaměstnance nebo jiné spolupracovníky Odběratele, (b) členy obchodních orgánů Odběratele, (c) zákazníky nebo potenciální zákazníky Odběratele.
(4) Poskytovatel pro Objednatele nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.
III. Právo Odběratele na vydání pokynů
(1) Poskytovatel se zavazuje shromažďovat, zpracovávat či používat osobní údaje pouze ve spojitosti s plněním Smlouvy a pouze k účelu a pouze způsobem určeným Odběratelem.
(2) Přijetím tohoto Dodatku Odběratel uděluje Poskytovateli pokyn zpracovávat osobní údaje Odběratele v souladu s obecně závaznými právními předpisy: (a) k poskytování Zpracovatelských služeb; (b) jak vyplývá z využívání Zpracovatelských služeb; (c) jak vyplývá ze Smlouvy, včetně tohoto Dodatku; a (d) jak vyplývá z jakéhokoliv jiného doloženého pokynu Odběratele, odsouhlaseného Zhotovitelem pro účely tohoto Dodatku.
(3) V případě, že Poskytovatel má za to, že pokyny vydané Odběratelem nejsou v souladu s platnou legislativou na ochranu osobních údajů, Poskytovatel je povinen o tomto Odběratele neprodleně informovat. Poskytovatel tak může odložit vykonání tohoto pokynu do té doby, než Xxxxxxxxx předmětný pokyn potvrdí či změní. Poskytovatel má právo odmítnout vykonat zjevně protiprávní pokyn.
(4) Poskytovatel má právo na zvláštní kompenzaci všech úkonů, které na pokyny Odběratele vykoná nad rámec Smlouvy a/nebo které nejsou právní povinností Poskytovatele. Kompenzace se řídí platným ceníkem služeb Poskytovatele.
IV. Bezpečnostní opatření Odběratele
(1) Poskytovatel je povinen zavést a udržovat minimálně stanovenou úroveň bezpečnostních opatření vyjmenovaných demonstrativně v Příloze 1.
(2) Xx. Xxxxxxxxx Xxxxxx je Poskytovatelem určený pověřenec pro ochranu osobních údajů. Odběratel se může obracet s veškerými dotazy týkajícími se zpracování osobních údajů Poskytovatelem na emailovou adresu: oou(zavináč)xxxxxxxxxxxxx.xx
V. Práva a povinnosti Poskytovatele
(1) Poskytovatel po dobu zpracování osobních údajů podnikne odpovídající kroky k zajištění dodržování bezpečnostních opatření svými zaměstnanci, jinými spolupracovníky nebo dodavateli v rozsahu odpovídajícím jejich činnostem.
(2) Poskytovatel se zavazuje bezodkladně písemně informovat Xxxxxxxxxx o jakémkoli případu porušení zabezpečení osobních údajů. Oznámení porušení zabezpečení osobních údajů musí obsahovat minimálně následující informace:
(3) Popis povahy porušení bezpečnosti osobních údajů, pokud možno s uvedením dotčených kategorií a počtem subjektů údajů, kterých se porušení týká a dotčených kategorií a počtem osobních údajů, kterých se porušení týká.
(4) Popis opatření a kroků učiněných či navrhnutých Poskytovatelem za účelem eliminace porušení a případná opatření vedoucí ke
snížení nepříznivých dopadů.
(5) Poskytovatel se zavazuje bezodkladně přijmout potřebná opatření k opětovnému zabezpečení osobních údajů a zmírnit případné nepříznivé dopady na subjekty údajů, informovat Xxxxxxxxxx a vyžádat si pokyny k dalšímu postupu.
(6) Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost v případě jednání mezi sebou, s Úřadem pro ochranu osobních údajů (a jeho ekvivalentem v jiných zemích) nebo s jinými veřejnoprávními orgány.
VI. Práva a povinnosti Odběratele
(1) Odběratel je odpovědný za plnění všech povinností ve vztahu ke zpracování osobních údajů Odběratele, zejména za řádné informování subjektů údajů o zpracování osobních údajů Odběratele, získání souhlasu se zpracováním osobních údajů Odběratele, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.). Odběratel je dále odpovědný za plnění všech oznamovacích povinností vůči dozorovému úřadu v souvislosti se zpracováním osobních údajů Odběratele, zejména za ohlašování případů porušení zabezpečení osobních údajů.
(2) Odběratel může vyžádat doložení různých dokumentů, jako například odborné posudky, certifikace, výsledky interních auditů a podobně za účelem vyhodnocení přijatých bezpečnostních opatření a závazků, které v souvislosti s poskytováním služeb Poskytovatele má. Dále má Odběratel právo, dle dohody stran, během běžné pracovní doby (s minimálně třítýdenním předstihem) osobně zkontrolovat, že Poskytovatel implementuje technická a organizační opatření nebo má tuto implementaci potvrzenou kvalifikovanou třetí stranou, která není přímým konkurentem Poskytovatele. Odběratel bude provádět kontrolu pouze způsobem a pouze v takovém rozsahu, který je nezbytně nutný a nebude v rámci kontrolní činnosti bezpředmětně zasahovat do operativních činností Poskytovatele. Náklady na kontrolní audit a účast Poskytovatele nad rámec nezbytně nutných činností uhradí Odběratel.
(3) Pokud Poskytovatel při zpracovávání osobních údajů Odběratele obdrží od subjektu údajů ve vztahu k osobním údajům Odběratele jakoukoliv žádost, je Poskytovatel povinen sdělit subjektu údajů, aby se s žádostí obrátil přímo na Odběratele. Odběratel je odpovědný za vyřízení takové žádosti.
VII. Ustanovení subdodavatelů
(1) Služby poskytované na základě tohoto Dodatku a další služby s tímto spojené mohou být vykonávány ve spolupráci s dalším zpracovatelem identifikovaným v Příloze 2. Tito zpracovatelé jsou považování za Odběratelem schválené.
(2) Odběratel tímto uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů (Zapojení dalších zpracovatelů do zpracování) pokud dodrží povinnosti jemu určené tímto Dodatkem. O ustanovení dalšího zpracovatele musí Poskytovatel neprodleně a písemně informovat Xxxxxxxxxx, který se může prostřednictvím námitek k tomuto záměru Poskytovatele vyjádřit.
(3) Poskytovatel se zavazuje zvolit dalšího zpracovatele dle svého nejlepšího vědomí na základě kvalifikace a spolehlivosti a přenést na něj stejné povinnosti, jaké Poskytovateli ukládá tento Dodatek a zároveň zajistí, že Odběrateli je umožněno přímo vykonávat práva, která mu dle tohoto Dodatku přísluší (zejména pak právo na vykonávání inspekcí a kontrol). V případě, že se další zpracovatel nachází ve třetí zemi, Poskytovatel je povinen zajistit, že takový další zpracovatel dodržuje požadovanou úroveň zabezpečení osobních údajů (např. smlouva bude ošetřena Standardními doložkami o ochraně údajů).
(4) Za zapojení dalších zpracovatelů do zpracování se nepovažuje ustanovení třetí strany k výkonu takových služeb, které jsou
považovány za druhotné již z podstaty věci. Takovými službami se rozumí například: poštovní, transportní a dodavatelské služby, úklidové a telekomunikační služby, které nejsou v přímé souvislost se službami, které Poskytovatel vykonává pro Odběratele, dále například bezpečnostní služby. Údržbové a testovací služby vykonávané dalším zpracovatelem musí být schváleny Odběratelem, pokud jsou vykonávány ve spojitosti s IT systémy, které jsou také používány k výkonu služeb pro Odběratele.
VIII. Odpovědnost
(1) Poskytovatel se zavazuje nést odpovědnost za nároky vznesené proti Odběrateli v souvislosti se ztrátou nebo poškozením dat, jež utrpěl subjekt údajů v důsledku porušení povinností Poskytovatele plynoucí z této smlouvy a z platné legislativy.
(2) Každá ze smluvních stran se zavazuje zprostit druhou smluvní stranu odpovědnosti, pokud dotčená druhá strana dokáže, že není nijak odpovědná za okolnosti vedoucí ke ztrátě či poškození, jež utrpěl subjekt údajů.
IX. Ukončení poskytování zpracovatelských služeb
(1) Po ukončení poskytování zpracovatelských služeb se Poskytovatel zavazuje vrátit Odběrateli veškeré dokumenty, data, elektronické nosiče a jiné poskytnuté Poskytovateli nebo – pokud si tak Odběratel přeje, a právo EU či právní řád České republiky nevyžaduje archivaci – smaže či zničí osobní údaje. To se vztahuje i na zálohy, které Poskytovatel vytvořil. Poskytovatel se zavazuje Xxxxxxxxxx na žádost písemně potvrdit smazání/zničení všech dotčených dat a nosičů.
(2) Povinnost Poskytovatele přistupovat důvěrně k údajům, které se dozvěděl v souvislosti s výkonem služby na základě Smlouvy o poskytnutí služeb, trvá i po skončení Smlouvy. Povinnosti plynoucí z tohoto Dodatku zůstávají zachovány i po skončení Xxxxxxx a to tak dlouho, dokud má Poskytovatel ve svém držení osobní údaje, jež shromáždil nebo jinak získal jménem Xxxxxxxxxx.
X. Závěrečná ustanovení
(1) Tento Dodatek lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.
(2) Neplatnost či nevymahatelnost některého ustanovení tohoto Dodatku nemá za následek neplatnost celého Dodatku. V takovém případě jsou obě smluvní strany povinny vynaložit veškeré potřebné úsilí k nahrazení ustanovení neplatného ustanovením právně bezvadným.
(3) Tento Xxxxxxx a případné spory z něj se budou řídit příslušnými ustanoveními občanského zákoníku č. 89/2012 Sb., v platném znění, a dalšími platnými právními předpisy České republiky.
Následuje list s přílohami
Přílohy:
Příloha 1: Technická a organizační opatření Poskytovatele Příloha 2: Schválení další zpracovatelé
Příloha 1: Technická a organizační opatření Poskytovatele
BEZPEČNOSTNÍ OPATŘENÍ
Poskytovatel zavedl a udržuje minimální Bezpečností opatření požadovaná Odběratelem v této příloze.
- Princip založený na riziku. Poskytovatel v pravidelných intervalech přezkoumá rizika informační bezpečnosti, která souvisí s osobními údaji a důležitými aktivy Objednatele.
- Organizační bezpečnost. Poskytovatel přijme taková opatření, aby zabezpečil osobní údaje proti rizikům lidského faktoru, zejména:
o přijetí a udržování směrnic a dokumentů interní bezpečnosti;
o pravidelné školení pracovníků na pravidla práce s osobními údaji a rizika informační bezpečnosti;
o zajištění smluvní odpovědnosti zaměstnanců, externích spolupracovníků, dodavatelů a jiných třetích stran s přístupem k osobním údajům;
o přijetí a udržování procesů při práci s klíčovými aktivy Objednatele, zejména s Osobními údaji Objednatele.
- Technická opatření. Poskytovatel přijme adekvátní technická opatření pro ochranu osobních údajů, zejména:
o antivirové řešení pro ochranu proti malware;
o řešení pro síťovou bezpečnost, kombinující firewally, konfiguraci síťových prvků a jiné technologie;
o šifrování pevných disků a externích médií;
o zálohování důležité infrastruktury a dat.
- Fyzická bezpečnost. Pro ochranu osobních dat v písemné formě a fyzickou ochranu IT zařízení Poskytovatel zavede zejména:
o řízení přístupu k osobním údajům;
o fyzické zabezpečení areálů a fyzických/digitálních úložišť dat.
Příloha 2: Schválení další zpracovatelé
Název společnosti, IČ, sídlo | Účel zapojení (např.: poskytovatel úložiště) |
V případě zapojení dalších zpracovatelů je Poskytovatel povinen informovat Odběratele dle podmínek uvedených v čl. VII. Dodatku.
konec