Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů
I. Smluvní strany
Tato smlouva o zpracování osobních údajů (dále jen smlouva) se dle § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a dle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), uzavírá mezi:
fyzickou osobou Xxxxx Xxxxxxxx, IČ: 87520796, se sídlem v Hradci Xxxxxxx, xxxxx Xxxxxxxxxxx 00/0, kontaktní emailová adresa xxxxx@xxxxxxxx.xx, telefon 000 000 000 jako zpracovatelem na straně jedné (dále jen Zpracovatel)
a
zákazníkem, který je správcem osobních údajů na straně druhé (dále jen Správce).
II. Úvodní ustanovení
1. Správce prohlašuje, že
a. využívá a/nebo má zájem využívat serverové a/nebo hostingové služby Zpracovatele, které Správci umožňují přímo nebo nepřímo ukládat data týkající se jeho zákazníků na zařízení Zpracovatele (dále jen služby)
b. na zařízení Zpracovatele má v úmyslu ukládat také osobní údaje, týkající se fyzických osob - jeho zákazníků nebo jiných osob, a to v souvislosti s jeho podnikatelskou činností,
c. specifikaci osobních údajů, které budou ukládány na zařízení Zpracovatele sdělil Zpracovateli
2. Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů). Identifikovatelnou fyzickou osobou se rozumí fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační údaje, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní či společenské identity této fyzické osoby.
3. Účelem této smlouvy je úprava vzájemných práv a povinností smluvních stran souvisejících se zpracováním osobních údajů, které bude pro Správce provádět v souvislosti s poskytováním služeb, na základě kterých budou osobní údaje zákazníků Správce ukládány na zařízení Zpracovatele.
4. Správce bere na vědomí, že
a. použití software třetích osob představuje nebezpečí také pro zpracování dat, kterému Zpracovatel není schopen zcela zabránit,
b. volbou software, kterou Správce na serveru užívá, určuje způsob zpracování dat a technické a organizační opatření ochrany osobních údajů,
c. v případě používání software třetí osoby není Zpracovatel komplexním Zpracovatelem osobních údajů, jako je tomu v případě výlučného užívání jeho software.
5. V případě hostingové služby, která zajišťuje provoz webových stránek Správce, jsou data Správce ukládána na zařízení – server Zpracovatele. Jestliže tato data obsahují osobní údaje zákazníků Správce nebo jiných osob, probíhá tímto zpracování osobních údajů, za které nese odpovědnost Správce. Ukládání dat je zabezpečeno šifrováním a k těmto uloženým datům je fyzicky i technicky omezen přístup, aby nemohlo dojít k jejich zneužití
6. V případě služby virtuálních serverů, prostřednictvím které Zpracovatel pronajímá a zpřístupňuje virtuální server Správci, jsou data Správce ukládána na zařízení – server Zpracovatele. Jestliže tato data obsahují osobní údaje zákazníků Správce nebo jiných osob, probíhá tímto zpracování osobních údajů, za které nese odpovědnost Správce. Ukládání dat je zabezpečeno šifrováním a k těmto uloženým datům je fyzicky i technicky omezen přístup, aby nemohlo dojít k jejich zneužití.
III. Předmět smlouvy
Předmětem této smlouvy je úprava práv a povinností smluvních stran v souvislosti s ochranou osobních údajů a dalšími záležitostmi upravenými touto smlouvu.
Úplata za zpracování osobních údajů dle této smlouvy je již zahrnuta v úplatě za poskytování služeb.
IV. Zpracování osobních údajů
1. Na základě této smlouvy Správce pověřuje Zpracovatele ke zpracování osobních údajů, které Správce spravuje.
2. Zpracovatel se zavazuje zpracovávat osobní údaje subjektů údajů, a to zákazníků a dalších osob, k jejichž správě je Správce oprávněn
3. Zpracovatel je oprávněn zpracovávat osobní údaje jiným způsobem, než je sjednáno v této smlouvě, pouze na základě doložených pokynů Správce. Zpracovatel je povinen neprodleně Správce informovat v případě, že podle jeho názoru je některý pokyn Správce v rozporu s právními předpisy na ochranu osobních údajů.
4. Zpracovatel zpracovává osobní údaje subjektů údajů za účelem plnění smluvních vztahů se Správcem, konkrétně za účelem poskytování objednaných služeb na základě uzavřené separátní smlouvy upravující práva a povinnosti týkající se poskytované služby.
5. Zpracovatel výslovně prohlašuje, že veškeré zpracování osobních údajů dle této smlouvy bude probíhat výhradně za účelem poskytování služby ve prospěch Správce, nikoli pro vlastní potřebu nebo potřebu třetích osob.
6. Zpracovatel je povinen osobní údaje zpracovávat v elektronické podobě za použití svých informačních technologií.
7. Zpracovatel je povinen zpracovávat osobní údaje, kterými jsou zejména:
a. identifikační osobní údaje (např. jméno, příjmení, datum narození, ip adresa, příp. rodné číslo, pokud je zpracováváno),
b. adresní osobní údaje (např. adresa trvalého bydliště, adresa odběrného místa, telefon, emailová adresa),
c. fotografie,
d. jiné (např. bankovní spojení),
přičemž konkrétní specifikace kategorií osobních údajů v konkrétním případě sdělí Zpracovateli Správce v dokumentu nazvaném Zásady pro ochranu osobních údajů u Zpracovatele
V. Podmínky zpracování osobních údajů
1. Zpracovatel není oprávněn zapojit do zpracování osobních údajů dle této smlouvy žádného dalšího Zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení je Zpracovatel povinen informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších Zpracovatelů nebo jejich nahrazení, a je povinen
poskytnout Správci příležitost vyslovit vůči těmto změnám námitky. Pokud Správce vysloví námitky, je Zpracovatel povinen tyto námitky respektovat.
2. Pokud Zpracovatel zapojí dalšího Zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, musí být tomuto dalšímu Zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky právních předpisů. Neplní-li uvedený další Zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího Zpracovatele i nadále plně prvotní Zpracovatel.
3. Zpracovatel se zavazuje k tomu, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelu zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob je Zpracovatel povinen v součinnosti se Správcem provést za účelem plnění této smlouvy vhodná technická a organizační opatření, aby byla zajištěna úroveň zabezpečení odpovídající danému riziku, a v rámci tohoto požadavku se zavazuje přijmout a průběžně zlepšovat opatření, kterými bude
a. zajištěna neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování,
b. zajištěna schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
c. zajištěn proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
4. Při posuzování vhodné úrovně bezpečnosti je Zpracovatel povinen zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
5. Správce a Zpracovatel ve vzájemné součinnosti přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření Správce nebo Zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn Správce, pokud jí jejich zpracování již neukládá právní předpis.
6. Zpracovatel se dále zavazuje:
a. zpracovávat osobní údaje v podobě přesně tak, jak je získá,
b. být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených právními předpisy,
c. být Správci nápomocen při zajišťování souladu s jeho povinnostmi stanovenými právními předpisy v souvislosti se zabezpečením osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici,
x. xxxxxxxx s osobními údaji jako s chráněnými informacemi a zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném právními předpisy a touto smlouvou,
e. zabránit tomu, aby došlo k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, přičemž tato povinnost platí i po ukončení zpracování osobních údajů,
f. přijmout technické a organizační opatření k zajištění požadované ochrany osobních údajů, a to zejména zabezpečení objektů a místností, ve kterých dochází ke zpracování osobních údajů, zámky a zabezpečení automatizovaného zpracování osobních údajů (především omezením přístupových práv, bezpečnostními zálohami, antivirovou ochranou aj.) a všechna tato opatření obnovovat pravidelně dle technologického vývoje,
g. vést po celou dobu platnosti této smlouvy evidenci technických a organizačních opatření k
ochraně osobních údajů,
h. informovat pracovníky Zpracovatele pověřené plněním této smlouvy o rozsahu zpracování osobních údajů a proškolit je ohledně povinnosti zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a zajistit, aby povinnost mlčenlivosti těchto osob trvala i po skončení právního vztahu ke Správci,
i. dbát na to, aby subjekty údajů neutrpěly při zpracování osobních údajů újmu na svých právech,
j. jakmile pomine účel, pro který jsou osobní údaje zpracovány, nebo na základě doručeného pokynu Správce provést bezodkladnou likvidaci osobních údajů,
k. nesdružovat osobní údaje, které byly získány k rozdílným účelům,
l. při zpracování osobních údajů postupovat v souladu s právními předpisy,
m. poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené právními předpisy související se zpracováním osobních údajů Zpracovatelem, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje
7. Správce se touto smlouvou zavazuje:
a. zajistit, aby osobní údaje subjektů údajů pro zpracování byly získány s jejich souhlasem nebo ze zákonem stanovených důvodů bez jejich souhlasu,
b. zajistit Zpracovateli bezpečný přístup k osobním údajům,
c. poskytnout Zpracovateli součinnost potřebnou k plnění této smlouvy.
VI. Doba zpracování osobních údajů
1. Smluvní strany sjednávají, že zpracování osobních údajů dle této smlouvy je Zpracovatel povinen provádět po dobu trvání smlouvy o poskytování služby, na základě které jsou ukládány osobní údaje zákazníků Správce na zařízení Zpracovatele. Po ukončení poskytování služeb tato smlouva zaniká.
2. V souladu s rozhodnutím Správce je Zpracovatel povinen všechny osobní údaje buď vymazat, nebo vrátit Správci po ukončení poskytování služeb spojených se zpracováním, a vymazat existující kopie, pokud právní předpisy nepožadují uložení daných osobních údajů.
Uzavřeno dne: 23.05.2018
Za Správce Za Zpracovatele
Xxxx Xxxxxxx