Dodatek č. ke smlouvě o poskytování služeb ze dne  

Dodatek č. ke smlouvě o poskytování služeb ze dne  

(Může se jednat o dodatek k původní smlouvě o poskytování služeb, kterou už máte uzavřenou v rámci běžných obchodních vztahů, nebo o samostatnou smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem.)

S M L O U V A

o zpracováni osobních údajů

číslo smlouvy:      

uzavřená podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

(dále jen „GDPR“)

1. Smluvní strany

Firma či jméno a příjmení:  

Sídlo:  

IČO:  

zapsaná v obchodním rejstříku vedeném u Městského soudu  

Spisová značka  

Zastoupen/a:  

(dále také jen „správce“)

a

Firma:      

Sídlo:      

IČO:      

zapsaná v obchodním rejstříku vedeném      

Spisová značka:      

Zastoupena:        

(dále také jen „zpracovatel“)

2. Předmět zpracování

Předmětem zpracování je poskytování osobních údajů zpracovateli za účelem zajišťování služby  

Osobní údaje budou poskytovány pouze v nevyhnutelném rozsahu potřebném k zajištění služby.

3. Doba trvání zpracování

Osobní údaje budou poskytovány po dobu trvání smlouvy o poskytování služeb ze dne   uzavřenou mezi správcem a zpracovatelem.

4. Povaha a účel zpracování

Účelem zpracování osobních údajů je v rámci komplexního zajištění služby   (tady je třeba rozepsat něco více o zpracování osobních údajů. Proč jsou osobní údaje poskytovány, zda je poskytnutí osobních údajů nevyhnutelné pro dosažení účelu – teda toho, proč si objednáváme služby zpracovatele.)

5. Typ osobních údajů a kategorie subjektů údajů

  (Stačí vyjmenovat typy osobních údajů: jméno a příjmení, datum narození, telefon, adresa atd… V případě, že jsou zpracovateli poskytovány také osobní údaje z takzvaných zvláštních kategorii osobních údajů, je zapotřebí také uvést i tuto informaci. K zvláštním kategoriím osobních údajů patří údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, nebo členství v odborech, o zdravotním stavu, sexuálním životě a orientaci, genetické údaje, biometrické údaje.)

6. Povinnosti a práva správce

Správce se zavazuje zavést vhodná technická a organizační opatření pro zajištění zabezpečení osobních údajů odpovídající danému riziku po celou dobu zpracování. Správce zajistí vhodná opatření také po čas předávaní osobních údajů zpracovateli. Správce deklaruje, že úspěšně implementoval požadavky GDPR do chodu své společnosti a všechny osobní údaje, které získal od zpracovatele, jsou zpracovávané dle pravidel GDPR. Správce je oprávněn kdykoliv požádat zpracovatele, aby ten přestal dále zpracovávat osobní údaje, které byly poskytnuty zpracovateli.

  (tady si můžete přidat Vaše další práva a povinnosti)

7. Povinnosti a práva zpracovatele

7.1

Zpracovatel deklaruje, že:

a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Evropské unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu,

b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala obdobná zákonná povinnost,

c) přijme všechna opatření požadovaná podle článku 32 GDPR:

• Zpracovatel provede vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.

• Zpracovatel při posuzování vhodné úrovně bezpečnosti zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

• Zpracovatel přijme opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Evropské unie nebo členského státu.

d) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 7.2 a 7.3,

e) zohledňuje povahu zpracování, je správci nápomocen při výkonu správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,

f) je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici,

g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů,

h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené zpracovateli podle GDPR, a poskytne správci možnost auditu, včetně inspekcí, prováděného správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

7.2

Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky

7.3

Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Evropské unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3 článku 28 GDPR, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

7.4

Pokud určitý pokyn správce podle názoru zpracovatele porušuje GDPR nebo jiné předpisy Evropské unie nebo členského státu týkající se ochrany osobních údajů, zpracovatel o tom informuje správce.

8. Závěrečná ustanovení

8.1

Smlouva je sepsána ve 2 písemných vyhotoveních, z nichž každá smluvní strana obdrží jedno její vyhotovení.

8.2

Smlouva nabývá platnosti a účinnosti jejím podepsáním oprávněnými zástupci za obě smluvní strany a uzavírá se na dobu neurčitou.

8.3

Tuto smlouvu lze ukončit písemnou dohodou smluvních stran nebo písemnou výpovědí s výpovědní lhůtou dva měsíce, která počíná běžet prvním dnem měsíce následujícího po doručení výpovědi druhé smluvní straně.

8.4

Kterákoli smluvní strana je také oprávněna od smlouvy kdykoliv písemně odstoupit, pokud druhá smluvní strana závažným způsobem poruší jakékoliv závazky dané jí touto smlouvou nebo GDPR nebo jinými právními předpisy upravujícími oblast ochrany osobních údajů. Účinky odstoupení nastávají dnem doručení písemného odstoupení druhé smluvní straně.

8.5

Po ukončení platnosti této smlouvy jsou smluvní strany povinny s osobními údaji shromážděnými na základě této smlouvy naložit v souladu s příslušnými ustanoveními GDPR a jiných právních předpisů upravujících oblast ochrany osobních údajů.

8.6

Tuto smlouvu lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.

V ……………………………. dne ………………………… V …………..……………… dne……………………………

..……………………………………………………………….. ………………………………………………………………….

Správce Zpracovatel

4