Strana 16 z 16

Strana 1616





Udkast

Standardní smluvní doložky


Pro účely čl. 28 odst. 3 nařízení 2016/679 (GDPR)


mezi


[JMÉNO/NÁZEV]

CVR "[č. CVR]"

[ADRESA]

"[PSČ A MĚSTO]"

[ZEMĚ]


(dále jen „správce údajů“)


a


[JMÉNO/NÁZEV]

CVR "[č. CVR]"

[ADRESA]

"[PSČ A MĚSTO]"

[ZEMĚ]


(dále jen „zpracovatel údajů“)


každá jednotlivě dále jen „strana“ a společně „strany“,


SE DOHODLY na následujících smluvních doložkách (dále jen „doložky“) s cílem splnit požadavky nařízení GDPR a zajistit ochranu práv subjektu údajů.




  1. Preambule


  1. Tyto smluvní doložky (dále jen „doložky“) stanoví práva a povinnosti správce údajů a zpracovatele údajů při zpracování osobních údajů jménem správce údajů.


  1. Tyto doložky mají zajistit, aby strany dodržely ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení GDPR“),


  1. V souvislosti s poskytováním [OZNAČENÍ SLUŽBY] bude zpracovatel údajů zpracovávat osobní údaje jménem správce údajů v souladu s těmito doložkami.


  1. Doložky mají přednost před veškerými podobnými ustanoveními obsaženými v jiných smlouvách mezi stranami.


  1. K těmto doložkám jsou připojeny čtyři přílohy, které tvoří jejich nedílnou součást.


  1. Příloha A udává bližší informace o zpracování osobních údajů, včetně účelu a povahy zpracování, typu osobních údajů, kategorií subjektů údajů a doby trvání zpracování.


  1. Příloha B obsahuje podmínky správce údajů, za kterých může zpracovatel údajů využívat dílčích zpracovatelů, a seznam dílčích zpracovatelů povolených správcem údajů.


  1. Příloha C obsahuje pokyny správce údajů ohledně zpracovávání osobních údajů, minimálních bezpečnostních opatření, která je zpracovatel údajů povinen zavést, a způsobu provádění auditů zpracovatele údajů a případných dílčích zpracovatelů.


  1. Příloha D obsahuje ustanovení týkající se jiných činností, které nejsou upraveny v doložkách.


  1. Obě strany uchovají tyto doložky i s přílohami v písemné formě, včetně elektronické.


  1. Tyto doložky nezbavují zpracovatele údajů povinností, které mu vyplývají z obecného nařízení o ochraně údajů (GDPR) nebo jiných právních předpisů.

  1. Práva a povinnosti správce údajů


  1. Správce údajů je povinen zajistit, aby zpracování osobních údajů probíhalo v souladu s obecným nařízením o ochraně osobních údajů (viz článek 24 nařízení GDPR), platnými předpisy EU nebo členského státu o ochraně osobních údajů1 a těmito doložkami.


  1. Správce údajů má právo a povinnost rozhodovat o účelech a prostředcích zpracování osobních údajů.


  1. Správce údajů je mimo jiné povinen zajistit, aby zpracování osobních údajů, jímž je zpracovatel pověřen, bylo prováděno na právním základu.

  1. Zpracovatel údajů jedná podle pokynů


  1. Zpracovatel údajů je povinen zpracovávat osobní údaje výhradně na základě doložených pokynů správce údajů, ledaže mu jejich zpracování ukládají právní předpisy Unie nebo členského státu, které se na zpracovatele vztahují. Tyto pokyny budou upřesněny v přílohách A a C. Správce údajů může pokyny vydat i později v průběhu celé doby trvání zpracování osobních údajů, ovšem tyto pokyny musí být vždy doloženy a uchovány v písemné podobě, včetně elektronické, společně s doložkami.


  1. Zpracovatel údajů je povinen neprodleně informovat správce údajů, pokud se bude domnívat, že pokyny vydané správcem údajů porušují nařízení GDPR nebo předpisy o ochraně údajů platné v EU nebo členském státě.


[POZN.: STRANY BY MĚLY PŘEDVÍDAT A ZVAŽOVAT DŮSLEDKY, KTERÉ MOHOU VYPLÝVAT Z POTENCIÁLNĚ NEZÁKONNÝCH POKYNŮ VYDANÝCH SPRÁVCEM ÚDAJŮ A UPRAVIT JE VE SMLOUVĚ MEZI STRANAMI.]

  1. Důvěrná povaha údajů


  1. Zpracovatel údajů poskytne přístup k osobním údajům zpracovávaným jménem správce údajů pouze osobám, které jednají z pověření zpracovatele údajů a které se zavázaly k mlčenlivosti nebo mají odpovídající zákonnou povinnost mlčenlivosti, a pouze osobám, které tyto osobní údaje potřebují znát. Seznam osob, kterým byl poskytnut přístup, musí být pravidelně přezkoumáván. Na základě tohoto přezkumu lze přístup k osobním údajům odejmout, není-li již nadále nezbytný, v důsledku čehož již dotčené osoby nebudou mít k osobním údajům přístup.


  1. Zpracovatel údajů na žádost správce údajů doloží, že dotyčné osoby jednající z pověření zpracovatele údajů podléhají výše uvedené povinnosti mlčenlivosti.

  1. Zabezpečení zpracování


  1. Článek 32 nařízení GDPR stanoví, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.


Správce údajů vyhodnotí rizika pro práva a svobody fyzických osob spojená se zpracováním a provede opatření k jejich zmírnění. V závislosti na jejich významnosti mohou být těmito opatřeními:

  1. pseudonymizace a šifrování osobních údajů,


  1. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,


  1. schopnost obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů,


  1. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.


  1. Podle článku 32 nařízení GDPR zpracovatel nezávisle na správci údajů vyhodnotí rizika pro práva a svobody fyzických osob spojená se zpracováním a provede opatření k jejich zmírnění. Za tímto účelem správce údajů poskytne zpracovateli údajů veškeré informace nezbytné k určení a vyhodnocení těchto rizik.


  1. Dále je zpracovatel údajů povinen být správci údajů nápomocen při zajišťování dodržení povinností správce údajů podle článků 32 GDPR, mimo jiné tím, že poskytne správci údajů informace o technických a organizačních opatřeních, která již zpracovatel údajů zavedl podle článku 32 nařízení GDPR, a dále všechny ostatní informace nezbytné k tomu, aby správce mohl dostát své povinnosti podle článku 32 nařízení GDPR.


Pokud bude na základě posouzení správce údajů později pro zmírnění zjištěných rizik nutné, aby zpracovatel údajů zavedl další opatření nad rámec těch, která již zpracovatel údajů podnikl podle článku 32 nařízení GDPR, upřesní správce údajů tato dodatečná opatření, která musí být zavedena, v příloze C.

  1. Využívání dílčích zpracovatelů údajů


  1. Aby mohl zpracovatel údajů do zpracování zapojit dalšího zpracovatele (dílčího zpracovatele), je nezbytné, aby splnil požadavky stanovené v čl. 28 odst. 2 a 4 nařízení GDPR.


  1. Zpracovatel údajů tedy nesmí zapojit dalšího zpracovatele (dílčího zpracovatele) do plnění těchto doložek bez předchozího [MOŽNOST 1] zvláštního písemného povolení] / [MOŽNOST 2] obecného písemného povolení správce údajů.


  1. [MOŽNOST 1 ZVLÁŠTNÍ PŘEDCHOZÍ OPRÁVNĚNÍ] V případě zvláštního předchozího oprávnění zapojí zpracovatel údajů dílčího zpracovatele pouze s předchozím souhlasem správce údajů. Zpracovatel údajů podá žádost o zvláštní povolení nejpozději [UPŘESNĚTE ČASOVOU LHŮTU] před zapojením dotyčného dílčího zpracovatele. Seznam dílčích zpracovatelů, pro které již správce údajů udělil povolení, je uveden v příloze B.


[MOŽNOST 2 OBECNÉ PÍSEMNÉ SCHVÁLENÍ] Zpracovatel údajů disponuje obecným povolením správce údajů k zapojení dílčích zpracovatelů. Zpracovatel údajů bude písemně informovat správce údajů o případných zamýšlených změnách týkajících se doplnění dílčích zpracovatelů nebo jejich nahrazení alespoň [UPŘESNĚTE ČASOVOU LHŮTU] předem, čímž správci údajů umožní, aby ještě před zapojením dotyčného dílčího zpracovatele vznesl proti takové změně námitku. V příloze B mohou být uvedeny delší lhůty pro podání oznámení v případě konkrétních služeb dílčího zpracování. Seznam dílčích zpracovatelů, u kterých již správce udělil povolení, je k dispozici v příloze B.


  1. Pokud zpracovatel údajů pověří dílčího zpracovatele prováděním zvláštních činností zpracování jménem správce údajů, budou pro tohoto dílčího zpracovatele na základě smlouvy nebo na základě jiného právního jednání podle práva EU nebo členského státu platit stejné povinnosti v oblasti ochrany osobních údajů, zejména poskytnutí dostatečných záruk zavedení vhodných technických a organizačních opatření tak, aby byly při zpracování dodrženy požadavky těchto doložek a nařízení GDPR.


Zpracovatel údajů je tedy povinen požadovat, aby dílčí zpracovatel splňoval alespoň povinnosti, které musí podle těchto doložek a nařízení GDPR splňovat on sám.


  1. Na jeho vlastní žádost musí být správci údajů předložena vyhotovení této smlouvy s dílčím zpracovatelem a jejích následných změn, což správci údajů umožní zajistit, aby měl dílčí zpracovatel povinnosti v oblasti ochrany údajů, které jsou stanoveny v těchto doložkách. Správci údajů není nutné předložit doložky týkající se obchodních záležitostí, které nemají dopad na právní obsah ochrany údajů podle smlouvě s dílčím zpracovatelem.


  1. Zpracovatel údajů sjedná s dílčím dodavatelem doložku o příjemci třetí strany, podle které se správce údajů v případě úpadku zpracovatele stane třetí stranou smlouvy s dílčím zpracovatelem a bude mít právo se na dílčím zpracovateli, kterého zpracovatel pověřil zpracováním osobních údajů, domáhat plnění z této smlouvy, např. tím, že umožní správci údajů dát dílčímu zpracovateli pokyn k tomu, aby vymazal nebo vrátil osobní údaje.


  1. V případě, že dílčí zpracovatel nesplní své povinnosti v oblasti ochrany osobních údajů, bude ve vztahu k plnění povinností dílčího zpracovatele vůči správci údajů plně odpovědný zpracovatel. Tím nejsou dotčena práva subjektů údajů podle nařízení GDPR, zejména práva vyplývající z článků 79 a 82 nařízení GDPR, vůči správci údajů a zpracovateli údajů, včetně dílčích zpracovatelů.

  1. Předávání údajů do třetích zemí nebo mezinárodním organizacím


  1. K případnému předání osobních údajů do třetích zemí nebo mezinárodním organizacím ze strany zpracovatele údajů smí dojít pouze na základě doložitelných pokynů správce údajů a vždy v souladu s kapitolou V nařízení GDPR.


  1. V případě, že předání do třetích zemí nebo mezinárodním organizacím, ke kterému nedal zpracovateli pokyn správce údajů, požaduje právo EU nebo členského státu, které se vztahuje na zpracovatele údajů, je zpracovatel povinen informovat správce údajů o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.


  1. Bez doloženého pokynu správce údajů není zpracovatel podle těchto doložek oprávněn:


    1. předávat osobní údaje správci údajů nebo zpracovateli údajů ve třetí zemi nebo v mezinárodní organizaci,


    1. pověřovat zpracováním osobních údajů dílčího zpracovatele ve třetí zemi,


    1. nechat osobní údaje zpracovat zpracovatele údajů ve třetí zemi.


  1. Pokyny správce údajů ohledně předávání osobních údajů do třetí země, případně včetně nástroje pro předávání podle kapitoly V nařízení GDPR, na jehož základě se uskuteční, jsou stanoveny v příloze C.6.


  1. Doložky nelze zaměňovat se standardními doložkami o ochraně osobních údajů ve smyslu čl. 46 odst. 2 písm. c) a d) nařízení GDPR a strany se na ně nemohou odvolávat jako na nástroj předávání podle kapitoly V nařízení GDPR.

  1. Poskytování součinnosti správci údajů


  1. S přihlédnutím k povaze zpracování, je zpracovatel údajů povinen být správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III nařízení GDPR.


To znamená, že zpracovatel údajů je povinen, pokud je to možné, být nápomocen správci údajů pro splnění správcových povinností vyplývajících z:


    1. práva být informován při shromažďování osobních údajů od subjektu údajů,

    2. práva být informován v případě, že osobní údaje nebyly získány od subjektu údajů,

    3. práva na přístup subjektu údajů,

    4. práva na opravu,

    5. práva na výmaz („právo být zapomenut“),

    6. práva na omezení zpracování,

    7. oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

    8. práva na přenositelnost osobních údajů,

    9. práva vznést námitku,

    10. práva nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování.


  1. Kromě povinnosti zpracovatele údajů být nápomocen správci údajů podle čl. 6 odst. 4 těchto doložek je zpracovatel údajů povinen, s přihlédnutím k povaze zpracování a informacím, které má zpracovatel údajů k dispozici, být nápomocen správci údajů pro zajištění dodržení:


    1. povinnosti správce údajů bez zbytečného odkladu a pokud je to možné, nejpozději do 72 hodin poté, co se dozvěděl o porušení zabezpečení osobních údajů, informovat o tomto porušení příslušný dozorový úřad [UVEĎTE PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD], ledaže je nepravděpodobné, že porušení zabezpečení osobních údajů povede k ohrožení práv a svobod fyzických osob,


    1. povinnosti správce oznámit porušení zabezpečení osobních údajů bez zbytečného odkladu subjektu údajů, pokud je pravděpodobné, že daný případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob,


    1. povinnosti správce provést před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (posouzení vlivu na ochranu osobních údajů),


    1. povinnosti správce konzultovat před zpracováním s příslušným dozorovým úřadem [UVEĎTE PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD], pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.


  1. Strany v příloze C vymezí vhodná technická a organizační opatření, kterými je zpracovatel údajů povinen být nápomocen správci údajů, a dále rozsah a míru požadované součinnosti. To platí pro povinnosti stanovené v čl. 9 odst. 1 a čl. 9 odst. 2 těchto doložek.

  1. Ohlašování případů porušení zabezpečení osobních údajů


  1. V případě jakéhokoli porušení zabezpečení osobních údajů je zpracovatel nebo dílčí zpracovatel povinen ohlásit toto porušení zabezpečení osobních údajů správci údajů bez zbytečného odkladu poté, co se o něm dozví.


  1. Je-li to možné, musí zpracovatel údajů ohlásit porušení zabezpečení osobních údajů správci údajů do [POČET HODIN] od okamžiku, kdy se o něm zpracovatel dozvěděl, aby mohl správce splnit svou povinnost ohlásit porušení zabezpečení osobních údajů dozorovému úřadu, srov. článek 33 nařízení GDPR.


  1. V souladu s čl. 9 odst. 2 písm. a) těchto doložek bude zpracovatel nápomocen správci údajů při ohlašování porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, což znamená, že zpracovatel údajů je povinen být nápomocen při získávání níže uvedených informací, které budou podle čl. 33 odst. 3 nařízení GDPR uvedeny v oznámení správce údajů příslušnému dozorovému úřadu:


    1. povaha porušení zabezpečení osobních údajů, pokud je to možné, včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;


    1. pravděpodobné důsledky porušení zabezpečení osobních údajů;


    1. opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.


  1. Strany v příloze D definují informace, které poskytne zpracovatel údajů, aby byl správci údajů nápomocen při ohlašování porušení zabezpečení osobních údajů příslušnému dozorovému úřadu.

  1. Výmaz a navrácení údajů


  1. Po ukončení poskytování služeb zpracování osobních údajů je zpracovatel povinen [MOŽNOST 1] vymazat všechny osobní údaje zpracovávané jménem správce údajů a potvrdit správci, že tak učinil / [MOŽNOST 2] vrátit všechny osobní údaje správci a vymazat stávající kopie, ledaže právní předpisy Unie nebo členského státu vyžadují jejich uložení.


  1. [NEPOVINNÉ] Následující právní předpisy EU nebo členského státu platné pro zpracovatele vyžadují uložení osobních údajů po ukončení poskytování služeb zpracování osobních údajů:


    1. […]


Zpracovatel se zavazuje zpracovávat údaje výhradně pro účely stanovené tímto právním předpisem a po dobu trvání zpracování stanovenou tímto předpisem a zásadně za platných podmínek.

  1. Audit a inspekce


  1. Zpracovatel údajů poskytne správci údajů veškeré informace nezbytné k tomu, aby prokázal splnění povinností stanovených v článku 28 a v doložkách a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.


  1. Platné postupy v případě auditů a inspekcí zpracovatele a dílčích zpracovatelů ze strany správce jsou uvedeny v přílohách C.7 a C.8.


  1. Zpracovatel je povinen umožnit dozorovým úřadům, které mají podle platných právních předpisů přístup do zařízení správce a zpracovatelů, nebo zástupcům jednajícím jménem těchto dozorovým úřadů, po předložení vhodných identifikačních dokladů přístup k fyzickým zařízením zpracovatele.

  1. Dohoda stran ohledně dalších podmínek


  1. Strany se mohou dohodnout na dalších doložkách týkajících se poskytování služeb zpracování osobních údajů, např. odpovědnosti, pokud tyto nejsou v přímém nebo nepřímém rozporu s těmito doložkami nebo nezasahují do základních práv nebo svobod subjektu údajů a do ochrany poskytované nařízením GDPR.

  1. Nabytí a zánik účinnosti


  1. Tyto doložky nabývají účinnosti dnem podpisu oběma stranami.


  1. Obě strany jsou oprávněny požadovat opětné zahájení jednání o těchto doložkách, pokud důvodem k obnově těchto jednání jsou změny právních předpisů nebo skutečnost, že tyto doložky neplní svůj účel.


  1. Tyto doložky zůstanou v platnosti po dobu trvání poskytování služeb zpracování osobních údajů. Po dobu trvání poskytování služeb zpracování osobních údajů nelze tyto doložky vypovědět, pokud se strany nedohodnou na jiných doložkách upravujících poskytování služeb zpracování osobních údajů.


  1. Pokud bude ukončeno poskytování služeb zpracování osobních údajů a osobní údaje budou vymazány nebo vráceny správci údajů v souladu s čl. 11 odst. 1 těchto doložek a přílohou C.4., lze tyto doložky vypovědět na základě písemné výpovědi podané kteroukoli ze stran.


  1. Podpis


Jménem správce údajů


Jméno

[JMÉNO]

Pozice

[POZICE]

Datum

[DATUM]

Podpis

[PODPIS]




Xxxxxx zpracovatele údajů


Jméno

[JMÉNO]

Pozice

[POZICE]

Datum

[DATUM]

Podpis

[PODPIS]



  1. Kontaktní osoby / body správce údajů a zpracovatele údajů


  1. Strany se mohou navzájem kontaktovat prostřednictvím následujících kontaktních osob / bodů:


  1. Strany jsou povinny se navzájem průběžně informovat o případných změnách kontaktních osob / bodů.


Jméno

[JMÉNO]

Pozice

[POZICE]

Telefon

[TELEFON]

E-mail

[E-MAIL]




Jméno

[JMÉNO]

Pozice

[POZICE]

Telefon

[TELEFON]

E-mail

[E-MAIL]


Příloha A Informace o zpracovávání


[POZN.: V PŘÍPADĚ NĚKOLIKA ČINNOSTÍ ZPRACOVÁNÍ MUSÍ BÝT TYTO INFORMACE VYPLNĚNY VE VZTAHU KE KAŽDÉ Z TĚCHTO ČINNOSTÍ.]


  1. Účelem zpracování osobních údajů zpracovatelem jménem správce, je:


[POPIŠTE ÚČEL ZPRACOVÁNÍ].


  1. Zpracování osobních údajů zpracovatelem údajů jménem správce údajů se týká zejména (povaha zpracování):


[POPIŠTE POVAHU ZPRACOVÁNÍ].


  1. Zpracování se týká následujících typů osobních údajů o subjektech údajů:


[POPIŠTE TYP ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ].


[NAPŘÍKLAD]


Jméno, e-mailová adresa, telefonní číslo, adresa, národní identifikační číslo, platební údaje, číslo členství, typ členství, přítomnost ve fitness centru a registrace pro konkrétní třídu fitness.“


[POZN.: POPIS BY MĚL BÝT CO NEJPODROBNĚJŠÍ S TÍM, ŽE V KAŽDÉM PŘÍPADĚ JE NUTNÉ TYP OSOBNÍCH ÚDAJŮ OZNAČIT PŘESNĚJI NEŽ POUZE ODKAZEM NA „OSOBNÍ ÚDAJE PODLE ČL. 4 ODST. 1 NAŘÍZENÍ GDPR“ NEBO NA KATEGORII („ČLÁNEK 6, 9 NEBO 10 NAŘÍZENÍ GDPR”) OSOBNÍCH ÚDAJŮ, KTERÉ SE ZPRACOVÁNÍ TÝKÁ.]


  1. Zpracování zahrnuje následující kategorie subjektů údajů:


[POPIŠTE KATEGORII SUBJEKTU ÚDAJŮ].


  1. Zpracování osobních údajů zpracovatelem údajů jménem správce může být zahájeno po nabytí účinnosti těchto doložek. Doba trvání zpracování je následující:


[UVEĎTE DOBU TRVÁNÍ ZPRACOVÁNÍ].

Příloha B Povolení dílčí zpracovatelé


  1. Schválení dílčí zpracovatelé

Po nabytí účinnosti doložek správce údajů povoluje zapojení následujících dílčích zpracovatelů:


NÁZEV

CVR

ADRESA

POPIS ZPRACOVÁVÁNÍ


















Správce údajů po nabytí účinnosti doložek povolí, aby byli zpracováním popsaným v případě této strany pověřeni výše uvedení dílčí zpracovatelé. Zpracovatel údajů není bez výslovného písemného povolení správce údajů oprávněn pověřit dílčího zpracovatele „jiným“ zpracováním, než jaké bylo dohodnuto, nebo nechat popsané zpracování provést jiného dílčího zpracovatele.


  1. Předchozí žádost o povolení dílčího zpracovatele


[VOLITELNÉ] [HODÍ-LI SE, UVEDENÍ LHŮT PRO PODÁNÍ PŘEDCHOZÍ ŽÁDOSTI O POVOLENÍ DÍLČÍHO ZPRACOVATELE]


Příloha C Pokyny týkající se používání osobních údajů


  1. Předmět/pokyn ke zpracování


Zpracování osobních údajů bude zpracovatel jménem správce údajů provádět takto:


[POPIŠTE ZPRACOVÁNÍ, JEHOŽ PROVEDENÍ BYLO ZPRACOVATELI ULOŽENO].


  1. Zabezpečení zpracování

Ve vztahu k úrovni zabezpečení je nutné přihlédnout k:


[UVEĎTE SKUTEČNOSTI, KTERÉ MAJÍ ZÁSADNÍ VÝZNAM PRO ÚROVEŇ ZABEZPEČENÍ, S PŘIHLÉDNUTÍM K POVAZE, ROZSAHU, SOUVISLOSTEM A ÚČELŮM ČINNOSTI ZPRACOVÁNÍ A K RIZIKU PRO PRÁVA A SVOBODY FYZICKÝCH OSOB]


[NAPŘÍKLAD]


Skutečnost, že zpracování se týká velkého množství osobních údajů, na které se vztahuje článek 9 nařízení GDPR o „zvláštních kategoriích osobních údajů“, a proto by měla být stanovena „vysoká“ úroveň zabezpečení.“


Zpracovatel údajů bude nadále oprávněn a povinen rozhodovat o technických a organizačních bezpečnostních opatřeních, která budou podniknuta k zajištění nezbytné (a sjednané) úrovně zabezpečení osobních údajů.


V každém případě ale zpracovatel údajů minimálně podnikne následující opatření, která byla sjednána se správcem údajů:


[POPIŠTE POŽADAVKY NA PSEUDONYMIZACI A ŠIFROVÁNÍ OSOBNÍCH ÚDAJŮ]


[POPIŠTE POŽADAVKY NA ZAJIŠTĚNÍ NEUSTÁLÉ DŮVĚRNOSTI, INTEGRITY, DOSTUPNOSTI A ODOLNOSTI SYSTÉMŮ A SLUŽEB ZPRACOVÁNÍ]


[POPIŠTE POŽADAVKY NA SCHOPNOST OBNOVIT DOSTUPNOST OSOBNÍCH ÚDAJŮ A PŘÍSTUP K NIM V PŘÍPADĚ FYZICKÝCH ČI TECHNICKÝCH INCIDENTŮ]


[POPIŠTE PROCESY PRAVIDELNÉHO TESTOVÁNÍ, POSUZOVÁNÍ A HODNOCENÍ ÚČINNOSTI ZAVEDENÝCH TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ PRO ZAJIŠTĚNÍ BEZPEČNOSTI ZPRACOVÁNÍ]


[POPIŠTE POŽADAVKY NA PŘÍSTUP K OSOBNÍM ÚDAJŮ PO INTERNETU]


[POPIŠTE POŽADAVKY NA OCHRANU OSOBNÍCH ÚDAJŮ PŘI JEJICH PŘEDÁVÁNÍ]


[POPIŠTE POŽADAVKY NA OCHRANU OSOBNÍCH ÚDAJŮ PŘI JEJICH UKLÁDÁNÍ]



[POPIŠTE POŽADAVKY NA FYZICKÉ ZABEZPEČENÍ MÍST, NA KTERÝCH JSOU OSOBNÍ ÚDAJE ZPRACOVÁVÁNY]


[POPIŠTE POŽADAVKY NA POUŽÍVÁNÍ PRÁCE Z DOMOVA / NA DÁLKU]


[POPIŠTE POŽADAVKY NA PŘIHLAŠOVÁNÍ SE]


  1. Poskytování součinnosti správci údajů


Pokud to bude možné, bude zpracovatel údajů v rozsahu a míře níže uvedené součinnosti nápomocen správci údajů v souladu s čl. 9 odst. 1 a čl. 9 odst. 2 těchto doložek tím, že zavede následující technická a organizační opatření:


[POPIŠTE ROZSAH A MÍRU SOUČINNOSTI, KTEROU POSKYTNE ZPRACOVATEL ÚDAJŮ]


[POPIŠTE KONKRÉTNÍ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, KTERÁ ZAVEDE ZPRACOVATEL ÚDAJŮ V RÁMCI POSKYTOVÁNÍ SOUČINNOSTI SPRÁVCI ÚDAJŮ]


  1. Doba uložení/postupy při výmazu


[HODÍ-LI SE, UVEĎTE DOBU ULOŽENÍ / POSTUPY PŘI VÝMAZU NA STRANĚ ZPRACOVATELE ÚDAJŮ]


[NAPŘÍKLAD]


Osobní údaje se ukládají na dobu [UVEĎTE DOBU TRVÁNÍ NEBO INCIDENT], po jejímž uplynutí zpracovatel osobní údaje automaticky vymaže.


Po ukončení poskytování služeb zpracování osobních údajů zpracovatel buď vymaže, nebo vrátí osobní údaje v souladu s čl. 11 odst. 1 těchto doložek, ledaže správce údajů po podpisu smlouvy změní svou původní volbu. Tato změna musí být doložena a vedena v písemné podobě, a to i elektronicky, společně s doložkami.“


  1. Místo zpracování


Zpracování osobních údajů podle těchto doložek nelze bez předchozího písemného povolení správce údajů provádět na jiných než následujících místech:


[UVEĎTE, KDE ZPRACOVÁNÍ PROBÍHÁ] [UVEĎTE ZPRACOVATELE NEBO DÍLČÍHO ZPRACOVATELE, KTERÝ TUTO ADRESU VYUŽÍVÁ]


  1. Pokyn k předání osobních údajů do třetích zemí


[POPIŠTE POKYN K PŘEDÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍ ZEMĚ NEBO MEZINÁRODNÍ ORGANIZACI]


[UVEĎTE PRÁVNÍ ZÁKLAD PŘEDÁNÍ PODLE KAPITOLY V NAŘÍZENÍ GDPR]

Pokud správce údajů v doložkách nebo později neposkytne doložené pokyny týkající se předání osobních údajů do třetí země, není zpracovatel údajů v rámci doložek oprávněn takové předání uskutečnit.


  1. Postupy při auditech zpracovávání osobních údajů zpracovatelem údajů, včetně inspekcí, prováděných správcem údajů


[POPIŠTE POSTUPY PŘO AUDITECH ZPRACOOVÁVÁNÍ OSOBNÍCH ÚDAJŮ ZPRACOVATELEM ÚDAJŮ, VČETNĚ INSPEKCÍ, PROVÁDĚNÝCH SPRÁVCE ÚDAJŮ]


Například:


Zpracovatel údajů je povinen [UVEĎTE LHŮTU] na náklady [ZPRACOVATELE ÚDAJŮ / SPRÁVCE ÚDAJŮ] získat [ZPRÁVU AUDITORA / PROTOKOL O INSPEKCI] od nezávislé třetí strany týkající se dodržování nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek ze strany zpracovatele údajů.


Strany se dohodly, že v souladu s doložkami lze použít následující typy [ZPRÁVY AUDITORA / PROTOKOLU O INSPEKCI]:


[VLOŽTE ZPRÁVY „SCHVÁLENÝCH“ AUDITORŮ / PROTOKOLY O INSPEKCI]


[ZPRÁVA AUDITORA / PROTOKOL O INSPEKCI] musí být bez zbytečného odkladu předloženy správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je oprávněn požádat o nový audit / inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.


Na základě výsledků auditu / inspekce je správce údajů oprávněn požadovat, aby byla podniknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek.


Správci údajů nebo jeho zástupci musí být navíc za účelem provedení kontroly, včetně fyzické kontroly, umožněn přístup na místa, na kterých zpracovatel údajů provádí zpracování osobních údajů, včetně fyzických zařízení a systémů používaných ke zpracování a s tímto zpracováním souvisejících. Tato inspekce bude uskutečněna, když to bude správce údajů považovat za nutné.“


[NEBO]


Správce údajů nebo jeho zástupce provede [UVEĎTE LHŮTU] fyzickou kontrolu míst, na kterých zpracovatel provádí zpracování osobních údajů, včetně fyzických zařízení a systémů používaných k tomuto zpracování a s tímto zpracováním souvisejících, s cílem zjistit, zda zpracovatel údajů dodržuje nařízení GDPR, platné právní předpisy o ochraně údajů EU nebo členského státu a doložky.


Kromě plánovaných inspekcí je správce údajů oprávněn provádět i inspekce zpracovatele údajů i v případech, kdy to bude považovat za nutné.“


[A PŘÍPADNĚ]


Náklady případně vzniklé správci údajů v souvislosti s fyzickou kontrolou nese správce údajů. Zpracovatel údajů je ale povinen vyčlenit prostředky (především čas) potřebné k tomu, aby správce údajů mohl inspekci provést.“


  1. [HODÍ-LI SE] Postupy při auditech zpracování osobních údajů dílčími zpracovateli, včetně inspekcí


[HODÍ-LI SE, POPIŠTE POSTUPY PŘI AUDITECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ DÍLČÍMI ZPRACOVATELI ÚDAJŮ, VČETNĚ INSPEKCÍ, PROVÁDĚNÝCH SPRÁVCEM ÚDAJŮ]


[NAPŘÍKLAD]


Zpracovatel údajů je povinen [UVEĎTE LHŮTU] na náklady [ZPRACOVATELE ÚDAJŮ / SPRÁVCE ÚDAJŮ] získat [ZPRÁVU AUDITORA / PROTOKOL O INSPEKCI] od nezávislé třetí strany týkající se dodržování nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek ze strany dílčího zpracovatele.


Strany se dohodly, že v souladu s doložkami lze použít následující typy [ZPRÁVY AUDITORA / PROTOKOLU O INSPEKCI]:


[VLOŽTE ZPRÁVY „SCHVÁLENÝCH“ AUDITORŮ / PROTOKOLY O INSPEKCI]


[ZPRÁVA AUDITORA / PROTOKOL O INSPEKCI] musí být bez zbytečného odkladu předloženy správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je oprávněn požádat o nový audit / inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.


Na základě výsledků auditu / inspekce je správce údajů oprávněn požadovat, aby byla podniknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek.


Zpracovateli údajů nebo jeho zástupci musí být navíc za účelem provedení kontroly, včetně fyzické kontroly, umožněn přístup na místa, na kterých dílčí zpracovatel údajů provádí zpracování osobních údajů, včetně fyzických zařízení a systémů používaných ke zpracování a s tímto zpracováním souvisejících. Tato inspekce bude uskutečněna, když to bude zpracovatel údajů (nebo správce údajů) považovat za nutné.“


Dokumentace k těmto inspekcím se neprodleně předloží správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je oprávněn požádat o novou inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.“


[NEBO]


Zpracovatel údajů nebo jeho zástupce provede [UVEĎTE LHŮTU] fyzickou kontrolu míst, na kterých dílčí zpracovatel provádí zpracování osobních údajů, včetně fyzických zařízení a systémů používaných k tomuto zpracování a s tímto zpracováním souvisejících, s cílem zjistit, zda dílčí zpracovatel údajů dodržuje nařízení GDPR, platné právní předpisy o ochraně údajů EU nebo členského státu a doložky.


Kromě plánovaných inspekcí je zpracovatel údajů oprávněn provádět inspekce dílčího zpracovatele údajů i v případech, kdy to považuje za nutné.


Dokumentace k těmto inspekcím se bez zbytečného odkladu předloží správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je oprávněn požádat o novou inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.


Na základě výsledků inspekce je správce údajů oprávněn požadovat, aby byla podniknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek.“


[A PŘÍPADNĚ]


Správce údajů se může v případě potřeby rozhodnout iniciovat fyzickou inspekci u dílčího zpracovatele a zúčastnit se jí. Taková situace může nastat, pokud se bude správce údajů domnívat, že z dohledu zpracovatele údajů nad dílčím zpracovatelem údajů mu nebyla poskytnuta dostatečná dokumentace k tomu, aby mohl konstatovat, že zpracování údaje ze strany dílčího zpracovatele probíhá v souladu s těmito doložkami.


Účast správce údajů na inspekci u dílčího zpracovatele nemění nic na skutečnosti, že zpracovatel údajů je nadále plně odpovědný za to, že dílčí zpracovatel bude dodržovat nařízení GDPR, platné právní předpisy EU nebo členského státu o ochraně osobních údajů a tyto doložky.“


[A PŘÍPADNĚ]


Správce údajů se nebudou nijak dotýkat náklady zpracovatele údajů a dílčího zpracovatele na provedení fyzické kontroly / inspekce v zařízeních dílčího zpracovatele, a to bez ohledu na to, zda správce údajů inicioval tuto inspekci a zúčastnil se jí.“


Příloha D Podmínky dohody stran ohledně jiných předmětů











1Shape1 Pokud se v těchto doložkách hovoří o „členských státech“, rozumějí se tím „členské státy EHP“.

Document Metadata

Filed: January 21st, 2020