SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Smluvní strany:
………………………………………
Se sídlem: ……………………………………………
Zastoupená: ……………………………………………
IČO: ……………………………………………
DIČ: ……………………………………………
jako Správce osobních údajů (dále jen jako “Klient”)
a
…………………………………………………………………………………
Se sídlem: ……………………………………………
Zastoupená: ……………………………………………
IČO: …………………….
DIČ: …………………….
jako Zpracovatel osobních údajů (dále jen jako “Poskytovatel”)
I.
Předmět a účel smlouvy
(1) Poskytovatel vykonává pro Klienta služby …………………………………………………………..,
na základě Smlouvy o ………………….. (Smlouva o poskytnutí služeb). Poskytovatel v rámci této činnosti může získat přístup k osobním údajům a zavazuje se je zpracovávat pouze k účelům, pro které mu byly svěřeny, a pouze v souladu s doloženými pokyny Klienta. Odpovědnost za zákonné zpracování osobních údajů nese Klient jako správce a Poskytovatel jako zpracovatel.
(2) Smluvní strany uzavírají tuto Smlouvu o zpracování osobních údajů za účelem úpravy jejich práv a povinností vyplývajících z legislativy upravující ochranu osobních údajů.
(3) Ustanovení této Smlouvy se vztahují na veškeré činnosti vykonané na základě Smlouvy o poskytnutí služeb, kdy Zpracovatel či jeho zaměstnanci přijdou do styku s osobními údaji zpracovávanými Klientem.
(4) Doba trvání této Smlouvy se shoduje s dobou trvání Smlouvy o poskytnutí služby, pokud nevyplývá z dalších ustanovení Smlouvy jinak.
II.
Povaha zpracovaných dat, subjekty údajů
Při výkonu činností na základě Smlouvy o poskytnutí služeb získává Poskytovatel přístup k osobním údajům specifikovaným v Příloze 1.
Kategorie Subjektů údajů, kterých se zpracování týká, jsou specifikované v Příloze 1.
III.
Právo Klienta na vydání pokynů
Poskytovatel se zavazuje zpracovávat osobní údaje pouze ve spojitosti s plněním Smlouvy o poskytnutí služby a pouze k účelu a pouze způsobem určeným Klientem.
Klient je oprávněn poskytovat, upravovat či měnit své pokyny a to písemným oznámením nebo elektronicky. V případě ústního pokynu se Klient zavazuje jej neprodleně potvrdit písemně nebo elektronicky. Klient je oprávněn vydávat pokyny kdykoli, a to včetně pokynů týkajících se opravy, smazání či likvidace osobních údajů.
V případě, že Poskytovatel má za to, že pokyny vydané Klientem nejsou v souladu s platnou legislativou na ochranu osobních údajů, Poskytovatel je povinen o tomto Klienta neprodleně informovat. Poskytovatel tak může odložit vykonání tohoto pokynu do té doby, než Klient předmětný pokyn potvrdí či změní. Poskytovatel má právo odmítnout vykonat zjevně protiprávní pokyn.
IV.
Bezpečnostní opatření Klienta
Poskytovatel se zavazuje dodržovat při zpracování osobních údajů na základě této Smlouvy povinnosti stanovené legislativou týkající se ochrany osobních údajů. Poskytovatel se zavazuje přijmout taková interní opatření, která jsou v souladu s požadavky na standardní ochranu osobních údajů. Poskytovatel se zavazuje přijmout taková technická, personální a jiná potřebná opatření tak, aby zajistil přiměřenou ochranu dat Klienta na základě čl. 32 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 - Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“), včetně, avšak nikoli pouze opatření vyjmenovaná v Příloze 2.
Poskytovatel má právo změnit zavedená bezpečnostní opatření, ale musí zajistit, že budou dodrženy bezpečnostní standardy stanovené touto Smlouvou.
……………………….. je Poskytovatelem určený Pověřenec pro ochranu osobních údajů. Poskytovatel uvede kontaktní údaje Pověřence na svém webu a předá tyto kontaktní údaje dozorovému orgánu. (Pokud pověřence Poskytovatel nemá, uvede se, že Poskytovatel nemá ustanoveného pověřence pro ochranu osobních údajů.)
Zaměstnanci Poskytovatele jsou oprávněni zpracovávat, shromažďovat a používat osobní data pouze na základě příslušného pověření. Poskytovatel se zavazuje zajistit, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě Smlouvy, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím této Smlouvě a zákonu, zejména bude sám (a závazně uloží i těmto uvedeným osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních (čl. 28(3b) GDPR), jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání nebo dalších činností u zpracovatele. Poskytovatel je povinen poskytnout na žádost Klienta důkaz o tom, že se jeho zaměstnanci zavázali dostát tomuto závazku.
V.
Práva a povinnosti Poskytovatele
Poskytovatel se zavazuje bezodkladně informovat Klienta o jakémkoli případu porušení zabezpečení osobních údajů, a to písemně s originálním podpisem odpovědné osoby nebo elektronicky. Oznámení porušení zabezpečení osobních údajů musí obsahovat minimálně informace, které Klient potřebuje k tomu, aby řádně splnil ohlašovací a oznamovací povinnost podle článků 33 a 34 GDPR.
Poskytovatel se zavazuje bezodkladně přijmout potřebná opatření k opětovnému zabezpečení osobních údajů a zmírnit případné nepříznivé dopady na subjekty údajů, informovat Klienta a vyžádat si pokyny k dalšímu postupu.
V případě, že jsou údaje Klienta ohroženy zajištěním či exekucí, v rámci insolvence či řízení o vyrovnání nebo jsou ohroženy jiným způsobem třetí stranou během doby, co jsou v držení Poskytovatele, Poskytovatel o takové situaci neprodleně informuje Klienta, ledaže je mu to zakázáno soudním příkazem či soudním rozhodnutím. Poskytovatel se zavazuje bezodkladně informovat všechny příslušné kontrolní orgány o skutečnosti, že právo na konečné rozhodnutí ohledně předmětných osobních údajů má Klient ze své pozice „Správce osobních údajů“ tak, jak je tento pojem vykládán dle GDPR.
Poskytovatel se zavazuje vést a udržovat záznamy o všech kategoriích zpracovatelských aktivit, které pro Klienta vykonává, přičemž v záznamech uvede veškeré informace podle čl. 30(2) GDPR.
Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost v případě jednání mezi sebou, s Úřadem pro ochranu osobních údajů nebo s jinými veřejnoprávními orgány.
VI.
Práva a povinnosti Klienta
Klient má právo se před zahájením zpracování dat, a v pravidelných intervalech po zahájení ujistit, že Poskytovatel zavedl příslušná bezpečnostní a organizační opatření. Za tímto účelem si Klient může vyžádat doložení různých dokumentů, jako například odborné posudky, certifikace, výsledky interních auditů a podobně. Dále má Klient právo, dle dohody stran, během běžné pracovní doby (s minimálně třítýdenním předstihem) osobně zkontrolovat, že Poskytovatel implementuje technická a organizační opatření nebo má tuto implementaci potvrzenou kvalifikovanou třetí stranou, která není přímým konkurentem Poskytovatele. Klient bude provádět kontrolu pouze způsobem a pouze v takovém rozsahu, který je nezbytně nutný a nebude v rámci kontrolní činnosti bezpředmětně zasahovat do operativních činností Poskytovatele. Náklady na kontrolní audit a účast Poskytovatele nad rámec nezbytně nutných činností uhradí Klient.
Poskytovatel se zavazuje poskytnout na písemnou žádost Klienta v přiměřené lhůtě veškeré informace a dokumenty potřebné k monitorování efektivity technických a organizačních opatření Poskytovatele.
Klient se zavazuje neprodleně informovat Poskytovatele v případě zjištění jakýchkoli chyb a nejasností, zvláště pak v oblasti samotného zpracování. V případě, že v průběhu kontrol dojde k identifikaci problematických oblastí, které vyžadují změnu ve zpracovatelských postupech, aby se zabránilo nežádoucímu opakování, Klient neprodleně informuje Poskytovatele o procesních změnách.
VII.
Ustanovení subdodavatelů
Služby poskytované na základě této Smlouvy a další služby s tímto spojené nebudou vykonávány ve spolupráci s dalším zpracovatelem.
Za zapojení dalších zpracovatelů do zpracování se nepovažuje ustanovení třetí strany k výkonu takových služeb, které jsou považovány za druhotné již z podstaty věci. Takovými službami se rozumí například: poštovní, transportní a dodavatelské služby, úklidové a telekomunikační služby, které nejsou v přímé souvislost se službami, které Poskytovatel vykonává pro Klienta, dále například bezpečnostní služby. Údržbové a testovací služby vykonávané dalším zpracovatelem musí být schváleny Klientem, pokud jsou vykonávány ve spojitosti s IT systémy, které jsou také používány k výkonu služeb pro Klienta.
Zpracovatel v rámci zpracování nepředává údaje mu Klientem svěřených do třetích zemí.
VIII.
Práva subjektů údajů
Poskytovatel se zavazuje poskytnout Klientovi maximální součinnost při implementaci technických a organizačních opatření ve spojitosti s dodržováním povinností jemu uložených na základě čl. 12 až 22, 32 až 36 GDPR.
V případě, že se subjekt údajů obrátí přímo na Poskytovatele za účelem využít svá práva, včetně, ne však výhradně práva na přístup, opravu nebo výmaz, Poskytovatel nebude jednat sám, ale odkáže subjekt údajů neprodleně na Klienta a vyčká dalších instrukcí.
IX.
Odpovědnost
Klient se zavazuje nést odpovědnost za nároky vznesené proti Poskytovateli v souvislosti se ztrátou nebo poškozením dat, jež utrpěl subjekt údajů v důsledku zakázaného či nesprávného zpracování podle legislativy na ochranu osobních údajů, a to v případě, kdy k nesprávnému či zakázanému zpracování údajů došlo na základě pokynů vydaných Klientem.
Poskytovatel uhradí Klientovi veškeré náklady, ztráty, způsobenou újmu a výdaje, které se vztahují nebo jsou výsledkem jakéhokoli bezpečnostního incidentu na straně Poskytovatele nebo jakéhokoli jiného porušení závazků Poskytovatele podle této smlouvy, vyjma případů podle odst. (1). Výše uvedené zahrnuje mimo jiné také náklady na ohlášení a oznámení o narušení, služeb pro styk s veřejností a dalších krizových opatření, konzultační, účetní nebo auditorské náklady týkající se nebo vyplývající z vyšetřování a opatření Klienta k bezpečnostnímu incidentu, pokuty uložené Klientovi Úřadem pro ochranu osobních údajů v souvislosti s jednáním nebo opomenutím povinností Poskytovatele podle této smlouvy a platných a účinných právních předpisů vztahujících se k ochraně osobních údajů.
Každá ze smluvních stran se zavazuje zprostit druhou smluvní stranu odpovědnosti, pokud dotčená druhá strana dokáže, že není nijak odpovědná za okolnosti vedoucí ke ztrátě či poškození, jež utrpěl subjekt údajů.
X.
Ukončení Xxxxxxx o poskytnutí služeb
Po ukončení Smlouvy o poskytnutí služeb, jinak na žádost Klienta, se Poskytovatel zavazuje vrátit Klientovi veškeré dokumenty, data, elektronické nosiče a jiné poskytnuté Poskytovateli nebo – pokud si tak Klient přeje, a právo EU či právní řád České republiky nevyžaduje archivaci – smaže či zničí veškerá tato data, dokumenty a elektronická média. To se vztahuje i na zálohy, které Poskytovatel vytvořil. Poskytovatel se zavazuje Klientovi písemně potvrdit smazání/zničení všech dotčených dat a nosičů.
Povinnost Poskytovatele přistupovat důvěrně k údajům, které se dozvěděl v souvislosti s výkonem služby na základě Smlouvy o poskytnutí služeb, trvá i po skončení Smlouvy o poskytnutí služeb. Povinnosti plynoucí z této Smlouvy zůstávají zachovány i po skončení Smlouvy o poskytnutí služeb a to tak dlouho, dokud má Poskytovatel ve svém držení osobní údaje, jež shromáždil nebo jinak získal jménem Xxxxxxx.
XI.
Závěrečná ustanovení
Tuto smlouvu lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.
Neplatnost či nevymahatelnost některého ustanovení této smlouvy nemá za následek neplatnost celé smlouvy. V takovém případě jsou obě smluvní strany povinny vynaložit veškeré potřebné úsilí k nahrazení ustanovení neplatného ustanovením právně bezvadným
Tato smlouva a případné spory z ní se řídí Práva a povinnosti vyplývající ze Smlouvy, avšak výslovně v ní neuvedené, se budou řídit příslušnými ustanoveními Občanského zákoníku a dalšími platnými právními předpisy České republiky.
V ……………………………. dne ………………..
…………………………………………. |
…………………………………………. |
…………. ………….. ………………… |
|
Přílohy:
Příloha 1: Popis osobních údajů (kategorií údajů a popis kategorií subjektu údajů) (do přílohy uvést typy subjektů (zaměstnanci, jiné osoby) a vyjmenovat osobní údaje, s nimiž zpracovatel přichází do styku)
Příloha 2: Technické a organizační opatření Poskytovatele (přílohu upravit podle skutečného rozsahu opatření)
Příloha 1: Popis osobních údajů (kategorií údajů a popis kategorií subjektu údajů)
Předmětem zpracování jsou osobní údaje Klienta:
Příloha 2: Technické a organizační opatření Poskytovatel
Technická a organizační opatření
Kontrola vstupu:
Opatření, která zabraňují neoprávněným osobám v přístupu k systémům zpracování osobních údajů jsou popsány níže:
Jasné určení autorizovaných osob v rámci organizace, jež mají oprávnění ke vstupu
Vedení záznamů o přidělení a odebrání vstupní autorizace
Pravidelný audit vstupních práv
Kontrola vstupu prostřednictvím osobních ID karet s fotografií a PIN kódem
Záznamy o vstupech do server rooms
Pravidla pro vstup externích osob
Oddělené prostory pro vstup pouze autorizovaných osob
Videomonitoring těchto prostor a vnitřku budovy, včetně server rooms
Kontrola přístupu:
Byla přijata následující opatření, jež zabraňují neoprávněnému přístupu neautorizovaných osob do systémů na zpracování osobních údajů:
Přístup do systému je možný pouze po autentifikaci prostřednictvím individuálního uživatelského jména a hesla
Použití hesel, jež mají minimálně 8 znaků a splňují aspoň tři ze čtyř kritérií (velká písmena, malá písmena, číslice, znaky) a povinná změna hesla každých 90 dní
Zákaz sdělování hesel
Záznam o přidělení přístupových práv
Omezení přístupu administrativních pracovníků na minimum
Ochrana systémů na zpracování osobních údajů před neoprávněným přístupem prostřednictvím vhodného firewallu
Kontrola přístupu k osobním údajům
Neoprávněné aktivity uvnitř systémů na zpracování osobních údajů nad rámec přístupových práv jsou zakázány. Zákaz je ošetřen prostřednictvím přístupových práv a schvalovacího postupu, který je vždy nastaven dle potřeby, dále také prostřednictvím:
Omezení přístupových práv v oblastech zpracování
Oddělení udělování povolení (organizačně) od udělování přístupů (technicky)
Záznamy o úpravě/změně přístupových práv
Kontrola pokusů o neoprávněný přístup (IDS/IPS)
Kontrola zveřejnění
Šifrování přenosu dat, zejména co se týče přenosu prostřednictvím veřejných sítí (např. SSL,TLS)
Výmaz osobních údajů, nosičů dat a fyzických kopií dokumentů v souladu s legislativou a zachování příslušné úrovně ochrany
Kontrola vstupních údajů
Vstupní práva jsou pravidelně kontrolována a aktualizována
Záznamy o zpracování osobních údajů (tam kde je to možné a vhodné) umožňují pozdější kontrolu a určení toho, kde, kdy a kým byl daný záznam učiněn, upraven či smazán (např. záznamy o změnách provedených v centrálním ERP systému)
Vedení záznamů a dle potřeby přidružených činností v systému (např. log files)
Kontrola pověření
Ustanovení Pověřence pro ochranu osobních údajů
Uzavření Dohody o úrovni služeb s externími dodavateli
Instrukce zaměstnancům v oblasti zpracování osobních údajů
Povinnost zaměstnanců dodržovat mlčenlivost ohledně osobních dat
Kontrola dostupnosti
Využití dvou certifikovaných IT center, které jsou umístěny daleko od sebe tak, aby nedošlo k přerušení služby pomocí zrcadlení (např. uchováváním nadbytečných dat)
Technická opatření v podobě systémů včasného varování na ochranu před ohněm/horkem, vodou či přehřátím a navíc zdroj nepřerušitelného napájení
Opatření vedoucí k ochraně před výpadkem energie či přetížení, např. zdroj nepřerušitelného napájení (UPS)
Nastavení pravidelného zálohování a – v případě nutnosti – využití mirroring procesů
Vícestupňová antivirová/firewall architektura
Centralizovaný nákup hardware a software
Kontrola oddělenosti
Jasná specifikace uživatelských profilů
Jasná specifikace přístupových práv ve vztahu k požadavkům na zpracování
Oddělení osobních údajů z více aplikací pomocí virtuálních strojů (pro jednotlivé aplikace)