DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Verze 1 (platnost od 25.5. 2018)

Pro účely tohoto dodatku se rozumí:

Správce osobních údajů: odběratel ze SMLOUVY O POSKYTOVÁNÍ SLUŽEB a/nebo ze SMLOUVY O NÁJMU A POSKYTOVÁNÍ SLUŽEB a/nebo ze SERVISNÍ a MATERIÁLOVÉ SMLOUVY a/nebo ze SMLOUVY KUPNÍ a/nebo ze SMLOUVY KUPNÍ - SPLÁTKOVÝ PRODEJ a/nebo ze SMLOUVY O NÁJMU A POSKYTOVÁNÍ SLUŽEB S a/nebo ze SMLOUVY KUPNÍ

(dále jen jako “Odběratel”)

Zpracovatel osobních údajů: Konica Minolta Business Solutions Czech spol s.r.o. Se sídlem: Žarošická 13, 628 00 Brno 5

IČO: 00176150

DIČ: CZ 00176150

(dále jen jako “Poskytovatel”)

I.

Předmět a účel dodatku

(1) Poskytovatel vykonává pro Odběratele služby v souvislosti s plněním z uzavřené SMLOUVY O POSKYTOVÁNÍ SLUŽEB a/nebo ze SMLOUVY O NÁJMU A POSKYTOVÁNÍ SLUŽEB a/nebo ze SERVISNÍ a MATERIÁLOVÉ SMLOUVY a/nebo ze SMLOUVY KUPNÍ a/nebo ze SMLOUVY KUPNÍ - SPLÁTKOVÝ PRODEJ a/nebo ze SMLOUVY O NÁJMU A POSKYTOVÁNÍ SLUŽEB S a/nebo ze SMLOUVY KUPNÍ (dále jen jako Smlouva o poskytnutí služeb). Poskytovatel v rámci

této činnosti může získat přístup k osobním údajům a zavazuje se je zpracovávat pouze k účelům, pro který mu byly svěřeny, a pouze v souladu s doloženými pokyny Odběratele. Rozsah a účel zpracování dat, které provede Poskytovatel, je definován ve Xxxxxxx o poskytnutí služeb a jejich případných dodatcích. Odpovědnost za zákonné zpracování osobních údajů nese Odběratel.

(2) Smluvní strany uzavírají tento Dodatek ke Smlouvě o poskytnutí služeb (dále jen „Dodatek“) za účelem úpravy jejich práv a povinností vyplývajících z legislativy upravující ochranu osobních údajů. V případě rozporu mezi ustanovením tohoto Dodatku a Xxxxxxx o poskytnutí služeb budou mít přednost

ustanovení tohoto Dodatku.

(3) Ustanovení tohoto Dodatku se vztahují na veškeré činnosti vykonané na základě Smlouvy o poskytnutí služeb, kdy Zpracovatel či jeho zaměstnanci přijdou do styku s osobními údaji získanými či shromážděnými pro Odběratele.

(4) Doba trvání tohoto Dodatku se shoduje s dobou trvání Smlouvy o poskytnutí služeb, pokud nevyplývá z dalších ustanovení jinak.

II.

Povaha zpracovaných dat, subjekty údajů

(1) Při výkonu činností na základě Smlouvy o poskytnutí služeb může Poskytovatel získat přístup

k osobním údajům, čímž se rozumí zejména osobní údaje Odběratele, jeho zaměstnanců, klientů, smluvních partnerů či zákazníků a dalších osob, vůči kterým je Xxxxxxxxx v postavení správce osobních údajů. Účelem zpracování je výhradně plnění Smlouvy o poskytnutí služeb.

(2) Zpracovatel pro Správce nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.

III.

Právo Odběratele na vydání pokynů

(1) Poskytovatel se zavazuje shromažďovat, zpracovávat či používat osobní údaje pouze ve spojitosti s plněním Smlouvy o poskytnutí služby a pouze k účelu a pouze způsobem určeným Odběratelem.

(2) Pokyny Odběratele budou rámcově specifikovány v této Smlouvě. Odběratel je oprávněn poskytovat, upravovat či měnit své pokyny a to písemným oznámením (včetně originálního podpisu) nebo elektronicky. V případě ústního pokynu se Odběratel zavazuje jej neprodleně potvrdit písemně nebo elektronicky. Odběratel je oprávněn vydávat pokyny kdykoli a to včetně pokynů týkajících se opravy, smazání či likvidace osobních údajů.

(3) V případě, že Poskytovatel má za to, že pokyny vydané Odběratelem nejsou v souladu s platnou legislativou na ochranu osobních údajů, Poskytovatel je povinen o tomto Odběratele neprodleně informovat. Poskytovatel tak může odložit vykonání tohoto pokynu do té doby, než Xxxxxxxxx předmětný pokyn potvrdí či změní. Poskytovatel má právo odmítnout vykonat zjevně protiprávní pokyn.

(4) Poskytovatel má právo na zvláštní kompenzaci všech úkonů, které na pokyny Odběratele vykoná nad rámec Smlouvy o poskytnutí služby a/nebo které nejsou právní povinností Poskytovatele. Kompenzace se řídí platným ceníkem služeb Poskytovatele.

IV.

Bezpečnostní opatření Odběratele

(1) Poskytovatel se zavazuje dodržovat při zpracování osobních údajů na základě tohoto Dodatku povinnosti stanovené legislativou týkající se ochrany osobních údajů. Poskytovatel se zavazuje přijmout taková interní opatření, která jsou v souladu s požadavky na standardní ochranu osobních údajů. Poskytovatel se zavazuje přijmout taková technická, personální a jiná potřebná opatření tak, aby zajistil přiměřenou ochranu dat Odběratele na základě čl. 32 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 - Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) včetně, avšak nikoli pouze opatření vyjmenovaná v Příloze 1, jako například:

a) Kontrola vstupu

b) Kontrola přístupů

c) Kontrola užívání

d) Kontrola distribuce

e) Kontrola vstupních údajů

f) Kontrola objednávek

g) Kontrola dostupnosti

h) Kontrola separace

Poskytovatel má právo změnit zavedená bezpečnostní opatření, ale musí zajistit, že budou dodrženy bezpečnostní standardy stanovené touto Smlouvou.

(3) Xx. Xxxxxxxxx Xxxxxx je Poskytovatelem určený Pověřenec pro ochranu osobních údajů. Poskytovatel uvede kontaktní údaje Pověřence na svém webu a předá tyto kontaktní údaje dozorovému orgánu.

Xx. Xxxxxxxxx Xxxxxx

Konica Minolta Business Solutions Deutschland GmbH Xxxxxxxxxxx 00, 00000 Xxxxxxxxxxx

Telefon: x00 (0)000 0000-0

E-Mail: dataprotection(at)xxxxxxxxxxxxx.xx

(4) Zaměstnanci Poskytovatele jsou oprávněni zpracovávat, shromažďovat a používat osobní data pouze na základě příslušného pověření. Poskytovatel se zavazuje zajistit, že jeho zaměstnanci a jiné

osoby, které budou zpracovávat osobní údaje na základě Smlouvy, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím této Smlouvě a zákonu, zejména bude sám (a závazně uloží i těmto uvedeným osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních (čl. 28(3b) GDPR), jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání nebo dalších činností u zpracovatele. Poskytovatel je povinen poskytnout na žádost Xxxxxxxxxx důkaz o tom, že se jeho zaměstnanci zavázali dostát tomuto závazku.

V.

Práva a povinnosti Poskytovatele

(1) Poskytovatel se zavazuje bezodkladně informovat Xxxxxxxxxx o jakémkoli případu porušení zabezpečení osobních údajů a to písemně s originálním podpisem odpovědné osoby nebo elektronicky. Oznámení porušení zabezpečení osobních údajů musí obsahovat minimálně následující informace:

a) Popis povahy porušení bezpečnosti osobních údajů, pokud možno s uvedením dotčených kategorií a počtem subjektů údajů, kterých se porušení týká a dotčených kategorií a počtem osobních údajů, kterých se porušení týká.

b) Popis opatření a kroků učiněných či navrhnutých Poskytovatelem za účelem eliminace porušení a případná opatření vedoucí ke snížení nepříznivých dopadů.

(2) Poskytovatel se zavazuje bezodkladně přijmout potřebná opatření k opětovnému zabezpečení osobních údajů a zmírnit případné nepříznivé dopady na subjekty údajů, informovat Xxxxxxxxxx a vyžádat si pokyny k dalšímu postupu.

(3) Poskytovatel bude dále informovat Odběratele kdykoli budou dotčeny osobní údaje Odběratele porušením bezpečnosti osobních údajů podle odstavce 1.

(4) V případě, že jsou údaje Odběratele ohroženy zajištěním či exekucí, v rámci insolvence či řízení o vyrovnání nebo jsou ohroženy jiným způsobem třetí stranou během doby, co jsou v držení Poskytovatele, Poskytovatel o takové situaci neprodleně informuje Odběratele, ledaže je mu to zakázáno soudním příkazem či soudním rozhodnutím. Poskytovatel se zavazuje bezodkladně informovat všechny příslušné kontrolní orgány o skutečnosti, že právo na konečné rozhodnutí ohledně předmětných osobních údajů má Xxxxxxxxx ze své pozice „Správce osobních údajů“ tak, jak je tento pojem vykládán dle GDPR.

(5) Poskytovatel se zavazuje vést a udržovat záznamy o všech kategoriích zpracovatelských aktivit, které pro Odběratele vykonává, přičemž v záznamech uvede veškeré informace podle čl. 30(2)

GDPR.

(6) Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost v případě jednání mezi sebou, s Úřadem pro ochranu osobních údajů (a jeho ekvivalentem v jiných zemích) nebo s jinými veřejnoprávními orgány.

VI.

Práva a povinnosti Odběratele

(1) Odběratel se před zahájením zpracování dat a v pravidelných intervalech po zahájení ujistí, že Poskytovatel zavedl příslušná bezpečnostní a organizační opatření. Za tímto účelem si Odběratel může vyžádat doložení různých dokumentů, jako například odborné posudky, certifikace, výsledky interních auditů a podobně. Dále má Odběratel právo, dle dohody stran, během běžné pracovní doby (s minimálně třítýdenním předstihem) osobně zkontrolovat, že Poskytovatel implementuje technická a organizační opatření nebo má tuto implementaci potvrzenou kvalifikovanou třetí stranou, která není přímým konkurentem Poskytovatele. Odběratel bude provádět kontrolu pouze způsobem a pouze v takovém rozsahu, který je nezbytně nutný a nebude v rámci kontrolní činnosti bezpředmětně zasahovat do operativních činností Poskytovatele. Náklady na kontrolní audit a účast Poskytovatele nad rámec nezbytně nutných činností uhradí Odběratel.

(2) Poskytovatel se zavazuje poskytnout na písemnou žádost Odběratele v přiměřené lhůtě veškeré informace a dokumenty potřebné k monitorování efektivity technických a organizačních opatření Poskytovatele.

(3) Odběratel se zavazuje vést o provedených kontrolách záznamy a informovat o nich Poskytovatele. Odběratel se dále zavazuje neprodleně informovat Poskytovatele v případě zjištění jakýchkoli chyb a nejasností, zvláště pak v oblasti samotného zpracování. V případě, že v průběhu kontrol dojde k identifikaci problematických oblastí, které vyžadují změnu ve zpracovatelských postupech, aby se zabránilo nežádoucímu opakování, Odběratel neprodleně informuje Poskytovatele o procesních změnách.

VII.

Ustanovení subdodavatelů

(1) Služby poskytované na základě tohoto Dodatku a další služby s tímto spojené budou vykonávány ve spolupráci s dalším zpracovatelem identifikovaným v Příloze 2. Xxxx zpracovatelé jsou považování za správcem schválené. Správce tímto uděluje Zpracovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů (Zapojení dalších

zpracovatelů do zpracování) pokud dodrží povinnosti jemu určené touto Smlouvou. O ustanovení dalšího zpracovatele musí Poskytovatel neprodleně a písemně informovat Xxxxxxxxxx, který se může prostřednictvím námitek k tomuto záměru Poskytovatele vyjádřit. Poskytovatel se zavazuje zvolit dalšího zpracovatele dle svého nejlepšího vědomí na základě kvalifikace a spolehlivosti a přenést na něj stejné povinnosti, jaké Poskytovateli ukládá tento Dodatek a zároveň zajistí, že Xxxxxxxxxx je umožněno přímo vykonávat práva, která mu dle tohoto Dodatku přísluší (zejména pak právo na vykonávání inspekcí a kontrol). V případě, že se další zpracovatel nachází ve třetí zemi, Poskytovatel musí zajistit, že takový další zpracovatel dodržuje požadovanou úroveň zabezpečení osobních údajů (např. smlouva bude ošetřena Standardními doložkami o ochraně údajů). Poskytovatel je povinen předložit na žádost Odběratele důkaz o existenci takových smluv s jeho dalšími zpracovateli.

(2) Za zapojení dalších zpracovatelů do zpracování se nepovažuje ustanovení třetí strany k výkonu takových služeb, které jsou považovány za druhotné již z podstaty věci. Takovými službami se rozumí například: poštovní, transportní a dodavatelské služby, úklidové a telekomunikační služby, které nejsou v přímé souvislost se službami, které Poskytovatel vykonává pro Odběratele, dále například bezpečnostní služby. Údržbové a testovací služby vykonávané dalším zpracovatelem musí být schváleny Odběratelem, pokud jsou vykonávány ve spojitosti s IT systémy, které jsou také používány k výkonu služeb pro Odběratele.

(3) Zpracovatel v rámci zpracování nepředává údaje jemu Odběratelem svěřené do třetích zemí.

VIII.

Práva subjektů údajů

(1) Poskytovatel se zavazuje poskytnout Odběrateli maximální součinnost při implementaci technických a organizačních opatření ve spojitosti s dodržováním povinností jemu uložených na základě čl. 12 až 22, 32 a 36 GDPR.

(2) V případě, že se subjekt údajů obrátí přímo na Poskytovatele za účelem využít svá práva, včetně, ne však výhradně práva na informace, opravu nebo výmaz, Poskytovatel nebude jednat sám, ale odkáže subjekt údajů neprodleně na Odběratele a vyčká dalších instrukcí.

(3) Odběratel nahradí Poskytovateli náklady vynaložené k postupu dle čl. 8/1.

IX.

Odpovědnost

(1) Odběratel se zavazuje nést odpovědnost za nároky vznesené proti Poskytovateli v souvislosti se ztrátou nebo poškozením dat, jež utrpěl subjekt údajů v důsledku zakázaného či nesprávného zpracování podle legislativy na ochranu osobních údajů a to v případě, kdy k nesprávnému či zakázanému zpracování údajů došlo na základě pokynů vydaných Odběratelem.

(2) Každá ze smluvních stran se zavazuje zprostit druhou smluvní stranu odpovědnosti, pokud dotčená druhá strana dokáže, že není nijak odpovědná za okolnosti vedoucí ke ztrátě či poškození, jež utrpěl subjekt údajů.

X.

Ukončení Xxxxxxx o poskytnutí služeb

(1) Po ukončení Smlouvy o poskytnutí služeb, jinak na žádost Odběratele, se Poskytovatel zavazuje vrátit Odběrateli veškeré dokumenty, data, elektronické nosiče a jiné poskytnuté Poskytovateli nebo – pokud si tak Odběratel přeje, a právo EU či právní řád České republiky nevyžaduje archivaci – smaže či zničí veškerá tato data, dokumenty a elektronická média. To se vztahuje i na zálohy, které Poskytovatel vytvořil. Poskytovatel se zavazuje Xxxxxxxxxx na žádost písemně potvrdit smazání/zničení všech dotčených dat a nosičů.

(2) Povinnost Poskytovatele přistupovat důvěrně k údajům, které se dozvěděl v souvislosti s výkonem služby na základě Smlouvy o poskytnutí služeb, trvá i po skončení Smlouvy o poskytnutí služeb. Povinnosti plynoucí z tohoto Dodatku zůstávají zachovány i po skončení Smlouvy o poskytnutí služeb a to tak dlouho, dokud má Poskytovatel ve svém držení osobní údaje, jež shromáždil nebo jinak získal jménem Xxxxxxxxxx.

XI.

Závěrečná ustanovení

(1) Tuto smlouvu lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.

(2) Neplatnost či nevymahatelnost některého ustanovení tohoto Dodatku nemá za následek neplatnost celé smlouvy. V takovém případě jsou obě smluvní strany povinny vynaložit veškeré potřebné úsilí k nahrazení ustanovení neplatného ustanovením právně bezvadným

(3) Tato smlouva a případné spory z ní se budou řídit příslušnými ustanoveními Občanského zákoníku a dalšími platnými právními předpisy České republiky.

Přílohy:

Příloha 1: Technická a organizační opatření Poskytovatele Příloha 2: Schválení další zpracovatelé

Příloha 1: Technické a organizační opatření Poskytovatele

1. Zabezpečení důvěrnosti

a) Řízení fyzického přístupu

Opatření, kterými se neoprávněným osobám zabraňuje v přístupu k systémům zpracování dat jsou následující:

- Definice osob oprávněných ke vstupu prostřednictvím určení organizací

- Vedení záznamů o přidělení a odebrání oprávnění ke vstupu

- Řízení vstupu prostřednictvím osobních karet s fotografií a PIN kódem

- Řízení vstupu prostřednictvím osobních čipů, řízení vstupu prostřednictvím biometrie (otisk prstu)

- Vedení záznamů o vstupech do místnosti se servery

- Pravidla pro vstup cizích osob

- Oddělené prostory so vstupem jen pro oprávněné osoby

- Video monitoring oddělených prostor a vnitřku budovy včetně místností se servery

b) Řízení přístupů do systémů

Následovná opatření jsou přijaté na zabránění průniku neoprávněných osob do systémů zpracovaní dát:

- Přístup k systémům je možný jen po autentifikaci individuálním uživatelským jménem a heslem

- Používaní hesel s minimální délkou 8 znaků splňujících minimálně tři ze čtyř kritérií (velké písmeno, malé písmeno, číslice, speciální znak) a povinná změna hesla každých 90 dní

- Zákaz prozrazování hesla

- Vedení záznamů o přidělení přístupu

- Omezení administrátorského přístupu na minimum

- Použití přiměřených firewall systémů

c) Řízení přístupu k datům

Neoprávněným aktivitám v systémech zpracování dát nad rámec přidělených oprávnění je zamezeno prostřednictvím přístupových práv, konceptem autorizace založeném na základě potřeb a prostřednictvím jejich kontroly:

- Omezení přístupových práv na oblasti aktivit

- Oddělení organizačního přidělovaní práv od technického přidělovaní práv

- Vedení záznamů o změnách v přístupových právech

d) Řízení separace

- Definování různých uživatelských profilů

- Specifická přístupová práva odpovídající požadavkům na přístup k datům

- Oddělení dát různých aplikací použitím virtuálních počítačů (pro individuální aplikace)

e) Pseudoanonymizace (čl. 32 odd. 1, písm. a) GDPR; čl. 25, odd. 1 GDPR)

2. Zabezpečení integrity

a) Řízení přenosu dat

- Šifrovaní přenosu dat, osobně při přenosu přes veřejné sítě (SSL, TLS)

- Trvalá likvidace dat, datových nosičů a tištěných kopií v souladu s ochranou dat a v souladu s konceptem kategorizace ochrany

b) Řízení vstupu dat

- Pravidelná revize a změny přístupových práv

- Vedení záznamů o zpracování dat (tam kde je to možné a vhodné) umožňující rychlý přezkum a identifikaci zda a čí osobní údaje byly zaevidované, změněné anebo

vymazané (např. jmenné záznamy hlavního ERP systému)

- Zaznamenávání a dostupnost aktivit v systémech odpovídajících potřebám (např. log soubory)

- Explicitní identifikace a označování úložišť dat MFP/PP zařádění při vrácení zařízení

3. Dostupnost a zatížitelnost: Řízení dostupnosti a schopnost obnovy

- Použití dvou certifikovaných IT center, které jsou umístěné daleko od sebe a tím zabraňují přerušení poskytování služeb prostřednictvím zrcadlení (např. uchovávání zdvojených dát)

- Technické preventivní opatření ve formě včasných varovných systémů na ochranu proti výpadkům způsobeným požáry, přehřátím, zaplavením a zdroje nepřerušitelného napájení

- Opatření na ochranu před výpadky napájení a proudového přetížení, např. systémy nepřerušitelného napájení

- Plánované vykonávaní zálohováni dat a v případě potřeby použité procesy pro mirroring

- Vícevrstvová architektura antiviru/firewallu

- Centralizované obstarávaní hardware a software

- Schopnost včasné obnovy v(čl. 32, odd. 1, písm. c) GDPR)

4. Řízení při objednávkách

- Vyměňování osoby odpovědné za ochranu dat

- Dohody o úrovni zabezpečení služeb (SLA) s externími poskytovateli služeb

- Instruovaní zaměstnanců při zpracovaní osobních údajů

- Povinný souhlas zaměstnanců s utajením dát

5. Řízení organizace

- Nepřetržitý proces kontroly a v případě potřeby přizpůsobení opatření na ochranu dát

- Písemné předpisy pro kopírování dat

- Proces pro nakládání se soudními spory týkajícími se ochrany dat

- Provedení hodnocení rizik pro každý relevantní proces

- Provedení hodnocení dopadů pro každý relevantní proces

- Implementace základních nastavení v souladu s ochranou dát

- Management incidentů a reakce na ně

Příloha 2: Schválení další zpracovatelé

Dataspring s.r.o. – poskytovatel úložiště

Y Soft Corporation, a.s.. – poskytovatel servisních prací

REMA Systém, a.s. – likvidace zařízení

Konica Minolta Business Solutions Europe GmbH – mateřská společnost

WEBCOM a. s. – dceřinná společnost

V případě zapojení dalších zpracovatelů bude Odběratel Dodavatelem informován dle podmínek uvedených v Dodatku.