Vzor smluvní doložky
Vzor smluvní doložky
Správce osobních údajů: ???
(dále jen Správce)
a
Zpracovatel osobních údajů: ???
(dále jen Zpracovatel)
se v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („Nařízení“), dohodli takto:
ZÁKLADNÍ USTANOVENÍ
Zpracovatel na základě smlouvy ??? ze dne ??? (dále je Xxxxxxx) zpracovává osobní údaje pro správce. Účelem tohoto zpracování je ???.
vymáhání pohledávek, správa automatizovaného knihovnického systému, vedení mzdové agendy…
Předmět a dobu trvání zpracování, způsob zpracování a kategorii subjektů údajů určuje Smlouva. Na základě Smlouvy nejsou zpracovávány zvláštních kategorie osobních údajů ani osobní údaje, které se týkají rozsudků v trestních věcech a trestných činů.
Pokud výše uvedené ze Smlouvy nevyplývá, je třeba vše vymezit zde.
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Zpracovatel pro Správce na základě Smlouvy zajišťuje činnosti, při kterých dochází ke zpracování osobních údajů třetích osob spravovaných Správcem.
Osobní údaje jsou Zpracovatelem zpracovávány pouze pro účely a v rozsahu nezbytném pro plnění předmětu Smlouvy.
Osobní údaje budou Zpracovatelem uchovávány pouze po dobu účinnosti Smlouvy. Po ukončení účinnosti Smlouvy, nebo jakmile pomine účel, pro který byly osobní údaje zpracovávány, Zpracovavatel osobní údaje v souladu s rozhodnutím Správce buď vymaže, nebo je vrátí Správci a vymaže existující kopie.
POVINNOSTI ZPRACOVATELE
Zpracovatel je při zpracování osobních údajů na základě Xxxxxxx povinen postupovat s náležitou odbornou péčí tak, aby neporušil žádné ustanovení Nařízení.
Zpracovatel je povinen řídit se při zpracování osobních údajů pouze doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného sdělení Správce, že Správce trvá na provedení takových pokynů, jinak Zpracovatel odpovídá Správci za případnou škodu způsobenou vznikem povinnosti Správce hradit škodu nebo nemajetkovou újmu subjektu Osobních údajů či pokutu ÚOOÚ.
V případě, že se subjekt osobních údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s Nařízením, a požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
Zpracovatel je povinen Správci neprodleně oznámit provádění kontroly ze strany ÚOOÚ ve věci osobních údajů zpracovávaných pro Správce a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu.
Zpracovatel je povinen Správci neprodleně oznámit každý případ porušení zabezpečení osobních údajů, který v souvislosti se zpracováním zjistí, a to telefonicky na číslo ??? a na emailovou adresu ???. V oznámení uvede veškeré informace dle čl. 33, odst. 3 Nařízení, které mu jsou známy.
Zpracovatel je, pokud je to možné při zohlednění povahy zpracování osobních údajů, prostřednictvím vhodných technických a organizačních opatření nápomocen Správci při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektů osobních údajů, zejména na žádost na přístup k osobním údajům, na opravu či výmaz osobních údajů a na přenositelnost osobních údajů.
Pokud je to možné, konkretizovat způsob a formu.
Zpracovatel je povinen dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů; Správce je oprávněn si takovou dokumentaci od Zpracovatele kdykoliv vyžádat k nahlédnutí. Zpracovatel je povinen umožnit audity, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje (poskytne součinnost).
Zpracovatel je Správci nápomocen při posuzování vlivu na ochranu osobních údajů dle čl. 35 Nařízení, ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ či subjektům údajů a při předchozích konzultacích s ÚOOÚ, to vše při zohlednění povahy zpracování a informací, jež má k dispozici.
ZAPOJENÍ DALŠÍHO ZPRACOVATELE
Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
Obecné povolení může být součástí této smluvní doložky. Již známé zpracovatele lze uvést do přílohy.
Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, musí tomuto dalšímu zpracovateli smluvně uložit stejné povinnosti na ochranu údajů jako Zpracovateli.
OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
Zpracovatel se zavazuje, že přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjekty údajů vhodná technická a organizační opatření, aby vyloučil možnost neoprávněného nebo nahodilého přístupu k osobním údajům, k jejich změně, zničení či ztrátě, jakož i k jinému zneužití osobních údajů, zejména
zaváže své zaměstnance a další osoby oprávněné zpracovávat osobní údaje k mlčenlivosti a poučí je o jejich dalších povinnostech, které jsou povinni dodržovat, aby nedošlo k porušení zabezpečení;
bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci na základě přístupových kódů či hesel;
zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích.
bude osobní údaje pravidelně zálohovat (v případě potřeby doplnit bližší podmínky)
ZÁVĚREČNÁ USTANOVENÍ
Zpracovatel odpovídá Správci za škodu způsobenou v důsledku porušení povinností uložených Zpracovateli Nařízením, Smlouvou nebo touto smluvní doložkou, zejména je-li v důsledku porušení povinností Zpracovatele Správce povinen hradit náhradu škody nebo nemajetkové újmy subjektu osobních údajů či pokutu ÚOOÚ.
Zpracovatel je i po zániku Xxxxxxx povinen dodržovat veškeré povinnosti plynoucí mu z Nařízení, zejména předejít jakémukoliv neoprávněnému nakládání s osobními údaji.