Vzor smlouvy mezi správcem a zpracovatelem1
Vzor smlouvy mezi správcem a zpracovatelem1
Správce osobních údajů:
identifikace
(dále jen Správce) a
Zpracovatel osobních údajů:
identifikace
(dále jen Zpracovatel)
se v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („Obecné nařízení“), dohodli takto:
ZÁKLADNÍ USTANOVENÍ
1. Zpracovatel na základě smlouvy ………………………... ze dne …………….. (dále jen Smlouva)
zpracovává osobní údaje pro správce. Účelem tohoto zpracování je např.
jiné..
agendy,
mzdové
vedení
2. Předmět a dobu trvání zpracování, způsob zpracování a kategorii subjektů údajů určuje Smlouva. Na základě Smlouvy nejsou zpracovávány zvláštní kategorie osobních údajů ani osobní údaje, které se týkají rozsudků v trestních věcech a trestných činů.
Pokud výše uvedené ze Smlouvy nevyplývá, je třeba vše vymezit zde.
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3. Zpracovatel pro Správce na základě Smlouvy zajišťuje činnosti, při kterých dochází ke zpracování osobních údajů třetích osob spravovaných Správcem.
1 Tento vzor představuje lehce modifikovaný materiál zpracovaný Národní knihovou ČR (dostupný na internetu).
4. Osobní údaje jsou Zpracovatelem zpracovávány pouze pro účely a v rozsahu nezbytném pro plnění předmětu Smlouvy.
5. Osobní údaje budou Zpracovatelem uchovávány pouze po dobu účinnosti Smlouvy. Po ukončení účinnosti Smlouvy, nebo jakmile pomine účel, pro který byly osobní údaje zpracovávány, Zpracovavatel osobní údaje v souladu s rozhodnutím Správce buď vymaže, nebo je vrátí Správci a vymaže existující kopie.
POVINNOSTI ZPRACOVATELE
6. Zpracovatel je při zpracování osobních údajů na základě Xxxxxxx povinen postupovat s náležitou odbornou péčí tak, aby neporušil žádné ustanovení Obecného nařízení.
7. Zpracovatel je povinen řídit se při zpracování osobních údajů pouze doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného sdělení Správce, že Správce trvá na provedení takových pokynů, jinak Zpracovatel odpovídá Správci za případnou škodu způsobenou vznikem povinnosti Správce hradit škodu nebo nemajetkovou újmu v penězích subjektu Osobních údajů či pokutu ÚOOÚ.
8. V případě, že se subjekt osobních údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s Obecným nařízením, a požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
9. Zpracovatel je povinen Správci neprodleně oznámit provádění kontroly ze strany ÚOOÚ ve věci osobních údajů zpracovávaných pro Správce a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu.
10. Zpracovatel je povinen Správci neprodleně oznámit každý případ porušení zabezpečení osobních údajů, který v souvislosti se zpracováním zjistí, a to telefonicky na číslo
………………………. a na emailovou adresu ...………………………… V oznámení uvede veškeré informace dle čl. 33 odst. 3 Obecného nařízení, které mu jsou známy.
11. Zpracovatel je, pokud je to možné při zohlednění povahy zpracování osobních údajů, prostřednictvím vhodných technických a organizačních opatření nápomocen Správci při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektů osobních údajů, zejména na žádost na přístup k osobním údajům, na opravu či výmaz osobních údajů a na přenositelnost osobních údajů.
Pokud je to možné, konkretizovat způsob a formu.
12. Zpracovatel je povinen dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů; Správce je oprávněn si takovou dokumentaci od Zpracovatele kdykoliv vyžádat k nahlédnutí. Zpracovatel je povinen umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.
13. Zpracovatel je Správci nápomocen při posuzování vlivu na ochranu osobních údajů dle čl. 35 Obecného nařízení, ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ či subjektům údajů a při předchozích konzultacích s ÚOOÚ, to vše při zohlednění povahy zpracování a informací, jež má k dispozici.
ZAPOJENÍ DALŠÍHO ZPRACOVATELE
14. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
Obecné povolení může být součástí této smluvní doložky. Již známé zpracovatele lze uvést do přílohy.
15. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, musí tomuto dalšímu zpracovateli smluvně uložit stejné povinnosti na ochranu údajů jako Zpracovateli.
OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
16. Zpracovatel se zavazuje, že přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným
rizikům pro práva a svobody subjekty údajů vhodná technická a organizační opatření, aby vyloučil možnost neoprávněného nebo nahodilého přístupu k osobním údajům, k jejich změně, zničení či ztrátě, jakož i k jinému zneužití osobních údajů, zejména
a) zaváže své zaměstnance a další osoby oprávněné zpracovávat osobní údaje k mlčenlivosti a poučí je o jejich dalších povinnostech, které jsou povinni dodržovat, aby nedošlo k porušení zabezpečení;
b) bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
c) osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci na základě přístupových kódů či hesel;
d) zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích.
e) bude osobní údaje pravidelně zálohovat (v případě potřeby doplnit bližší podmínky)
ZÁVĚREČNÁ USTANOVENÍ
17. Zpracovatel odpovídá Správci za škodu způsobenou v důsledku porušení povinností uložených Zpracovateli Obecným nařízením, Smlouvou nebo touto smluvní doložkou, zejména je-li v důsledku porušení povinností Zpracovatele Správce povinen hradit náhradu škody nebo nemajetkové újmy subjektu osobních údajů či pokutu ÚOOÚ.
18. Zpracovatel je i po zániku Xxxxxxx povinen dodržovat veškeré povinnosti plynoucí mu z Obecného nařízení, zejména předejít jakémukoliv neoprávněnému nakládání s osobními údaji.