SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO PODPORU POSKYTOVANOU SPOLEČNOSTÍ SAP A PROFESIONÁLNÍ SLUŽBY
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO PODPORU POSKYTOVANOU SPOLEČNOSTÍ SAP A PROFESIONÁLNÍ SLUŽBY
mezi SAP ČR, spol. s r.o.
se sídlem Vyskočilova 1481/4, 140 00 Praha 4 – Michle
IČ: 49713361
DIČ: CZ49713361
Společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze,
xxxxx X, vložka 23228
Již zastupuje: Xxxxx Xxxx, generální ředitel a jednatel a Xxxxxx Xxxxxxx, ředitel pro služby SAP ČR
(dále jen „SAP“)
a [doplňte]
(dále jen „Zákazník“)
1. ZÁKLADNÍ INFORMACE
1.1 Účel a použití. Tento dokument („Smlouva o zpracování osobních údajů“) je součástí Smlouvy a tvoří část písemné dohody (včetně v elektronické podobě) mezi společností SAP a Zákazníkem. Tato Smlouva o zpracování osobních údajů se vztahuje na Osobní údaje poskytované Zákazníkem a každým Správcem údajů v souvislosti s poskytováním služeb společnosti SAP uvedených v příslušné Smlouvě („Služby společnosti SAP“), ke které je tento dokument přiložen, a tyto služby mohou zahrnovat:
(a) Podporu poskytovanou společností SAP podle definice ve Smlouvě o poskytování licence k
softwaru a podpory;
(b) Profesionální služby popsané ve smlouvě o službách uzavřené mezi společností SAP a Zákazníkem („Smlouva o službách“).
1.2 Struktura. Do této Smlouvy o zpracování osobních údajů jsou začleněny Přílohy 1 a 2 a jsou její nedílnou součástí. Obsahují dohodnutý předmět smlouvy, povahu a účel zpracování, typ Osobních údajů, kategorie údajů, subjekty údajů a příslušná technická a organizační opatření.
1.3 GDPR. Společnost SAP a Zákazník souhlasí, že každá strana nese odpovědnost za kontrolu a implementaci požadavků, které pro Správce údajů a Zpracovatele údajů stanovuje obecné nařízení na ochranu osobních údajů 2016/679 („GDPR“), konkrétně s ohledem na Článek 28 a
32 až 36 GDPR, a to v rozsahu platném pro Osobní údaje Zákazníka/Správců, které jsou zpracovávány v rámci Smlouvy o zpracování osobních údajů. Pro účely ukázky uvádí Příloha 3 relevantní požadavky GDPR a odpovídající oddíly této Smlouvy o zpracování osobních údajů.
1.4 Řízení. Společnost SAP vystupuje v rámci Smlouvy o zpracování osobních údajů jako Zpracovatel a Zákazník a subjekty, které společnosti SAP povolují zahrnutí Osobních údajů do systémů přístupných společností SAP při poskytování Služeb společnosti SAP, vystupují jako Správci. Zákazník je kontaktním bodem a nese výhradní odpovědnost za získání relevantních oprávnění, souhlasů a svolení ke zpracování Osobních údajů v souladu s touto Smlouvou o zpracování osobních údajů, včetně souhlasu Správců s využitím společnosti SAP jako Zpracovatele, je-li to relevantní. Pokud oprávnění, souhlas, pokyny nebo svolení poskytuje Zákazník, jsou poskytovány nejen jménem Zákazníka, ale také jménem dalších Správců. Pokud společnost SAP Zákazníka informuje nebo mu poskytuje sdělení, považují se tyto informace nebo sdělení za přijatá Správci, kterým Zákazník povolil zahrnout Osobní údaje, a Zákazník nese odpovědnost za předání těchto informací a sdělení relevantním Správcům.
2. ZABEZPEČENÍ ZPRACOVÁNÍ
2.1 Příslušná technická a organizační opatření Společnost SAP implementovala a bude používat technická a organizační opatření uvedená v Příloze 2. Zákazník tato opatření zkontroloval a souhlasí, že opatření jsou vhodná a zohledňují aktuální stav technologií, náklady implementace, povahu, rozsah, kontext a účely zpracování Osobních údajů.
Příloha 2 platí, pouze pokud jsou Služby společnosti SAP vykonávány v místě společnosti SAP nebo z tohoto místa. Pokud společnost SAP vykonává Služby společnosti SAP z pracoviště Zákazníka a je jí udělen přístup k systémům a datům Zákazníka, bude společnost SAP dodržovat Zákazníkovy přiměřené administrativní, technické a fyzické podmínky na ochranu těchto dat a jejich zabezpečení před neoprávněným přístupem. V souvislosti s přístupem k systému a datům Zákazníka nese Zákazník odpovědnost za poskytnutí uživatelských oprávnění a hesel pracovníkům společnosti SAP pro přístup do systému a za zrušení těchto oprávnění a ukončení přístupu tak, jak to Zákazník čas od času považuje za vhodné. Zákazník neudělí společnosti SAP přístup k systémům Nabyvatele licence ani k osobním údajům (Zákazníka nebo třetí strany), pokud takový přístup není nutný pro poskytování Služeb společnosti SAP. Zákazník nebude uchovávat žádné Osobní údaje v neprodukčních prostředích.Změny. Společnost SAP používá technická a organizační opatření uvedená v Příloze 2 pro celou zákaznickou základnu společnosti SAP, která využívá stejnou Službu společnosti SAP. Společnost SAP je oprávněna opatření uvedená v Příloze 2 kdykoliv bez oznámení změnit, pokud zachová srovnatelnou nebo lepší úroveň zabezpečení. Jednotlivá opatření mohou být nahrazena novými opatřeními se stejným účelem bez snížení úrovně zabezpečení při ochraně Osobních údajů.
3. POVINNOSTI SPOLEČNOSTI SAP
3.1 Pokyny od Zákazníka. Společnost SAP bude Osobní údaje zpracovávat pouze v souladu se zdokumentovanými pokyny Zákazníka. Smlouva (včetně této Smlouvy o zpracování osobních údajů) představuje zdokumentované úvodní pokyny a Zákazník může během poskytování Služby společnosti SAP udělit další pokyny. Společnost SAP vynaloží přiměřené úsilí k dodržení všech dalších pokynů Zákazníka, pokud jsou vyžadovány Zákonem o ochraně osobních údajů, technicky proveditelné a nevyžadují změny provádění Služby společnosti SAP. Pokud platí některá z výše uvedených výjimek nebo pokud společnost SAP nemůže určitý pokyn splnit či se domnívá, že daný pokyn porušuje Zákon o ochraně osobních údajů, Zákazníka na tuto skutečnost ihned upozorní (lze také e-mailem).
3.2 Zpracování na základě zákonného požadavku. Společnost SAP může také zpracovávat Osobní údaje, pokud jí to nařizují příslušné zákony. V takovém případě společnost SAP na takový zákonný požadavek Zákazníka před zpracováním upozorní, pokud daný zákon takové upozornění z podstatných důvodů veřejného zájmu nezakazuje.
3.3 Pracovníci. Za účelem zpracování Osobních údajů udělí společnost SAP a její Dílčí zpracovatelé přístup pouze oprávněným pracovníkům, kteří se zavázali k zachování důvěrnosti. Společnost SAP a její Dílčí zpracovatelé zajistí pravidelné školení pracovníků, kteří mají přístup k Osobním údajům, zaměřené na příslušná opatření zabezpečení dat a ochrany osobních údajů.
3.4 Spolupráce Na žádost Zákazníka bude společnost SAP se Zákazníkem a Správci přiměřeně spolupracovat při řešení požadavků Subjektů údajů nebo regulačních úřadů v souvislosti se zpracováním Osobních údajů společností SAP nebo s případným narušením Osobních údajů. Co nejdříve to bude možné, upozorní společnost SAP Zákazníka na všechny požadavky, které obdrží od Subjektu údajů v souvislosti se zpracováním Osobních údajů, aniž by sama na takový požadavek bez dalších pokynů Zákazníka reagovala. Společnost SAP v souladu s pokyny Zákazníka a Zákonem o ochraně osobních údajů opraví nebo odstraní všechny Osobní údaje ve svém vlastnictví (pokud takové existují) nebo omezí jejich zpracování.
3.5 Oznámení o Narušení osobních údajů. Společnost SAP Zákazníka bez zbytečného prodlení upozorní, jakmile zjistí Narušení osobních údajů, a poskytne mu přiměřené informace, které má k dispozici, aby Zákazníkovi pomohla splnit jeho povinnost nahlásit Narušení osobních údajů v
souladu se Zákonem o ochraně osobních údajů. Společnost SAP může takové informace poskytovat postupně tak, jak je bude mít k dispozici. Takové oznámení nebude vykládáno jako přiznání chyby či odpovědnosti ze strany společnosti SAP.
3.6 Posouzení dopadu na ochranu Osobních údajů. Pokud má Zákazník (nebo jeho Správci) na základě Zákona o ochraně osobních údajů povinnost provádět posouzení dopadu na ochranu osobních údajů, nebo před konzultací s pracovníkem regulačního úřadu společnost SAP poskytne dokumenty, které jsou obecně dostupné pro Službu společnosti SAP (například tuto Smlouvu o zpracování osobních údajů, Smlouvu, zprávy auditu nebo certifikace). Na další součinnosti se dohodnou obě Strany.
4. VYMAZÁNÍ DAT.
Zákazník tímto společnosti SAP ukládá v souladu se Zákonem o ochraně osobních údajů vymazat Osobní údaje zbývající ve vlastnictví společnosti SAP (pokud nějaké existují) v přiměřené lhůtě (která nepřekročí šest měsíců), jakmile Osobní údaje přestanou být vyžadovány k plnění Smlouvy, pokud příslušné zákony nevyžadují uchování těchto údajů.
5. CERTIFIKACE A AUDITY
5.1 Audit Zákazníka. Zákazník nebo jeho nezávislý auditor třetí strany přijatelný pro společnost SAP (nebude se jednat o auditory třetí strany, kteří jsou konkurencí společnosti SAP nebo nemají vhodnou kvalifikaci či nejsou nezávislí) mohou provést audit center pro poskytování služeb a podpory společnosti SAP a postupů zabezpečení IT, které jsou relevantní pro zpracovávání Osobních údajů společností SAP, pouze pokud:
(a) společnost SAP neposkytla dostatečné důkazy o dodržení technických a organizačních opatření formou certifikace shody s ISO 27001 nebo s jinými standardy (rozsah bude definován v certifikátu). Certifikace jsou k dispozici na adrese: xxxxx://xxx.xxx.xxx/xxxxxxxxx/xx/xxxxxxx/xxxxxxx.xxxx#xxxxxxxxxxxx nebo na vyžádání, pokud certifikace není k dispozici online; nebo
(b) došlo k Narušení osobních údajů; nebo
(c) orgán pro ochranu osobních údajů Zákazníka o audit formálně požádá; nebo
(d) povinný Zákon o ochraně osobních údajů uděluje Zákazníkovi právo provést přímý audit, a za předpokladu, že Zákazník bude audit provádět pouze jednou za dvanáct měsíců, pokud povinný Zákon o ochraně osobních údajů nevyžaduje častější audity.
5.2 Audit provedený jiným Správcem. Audit kontrolního prostředí a postupů zabezpečení relevantních pro Osobní údaje zpracovávané společností SAP může provést libovolný jiný Správce, a to v souladu s Oddílem 5.1, a pouze pokud se na takového Správce vztahuje některý z případů uvedených v Oddíle 5.1. Takový audit je nutné provést prostřednictvím a ze strany Zákazníka v souladu s Oddílem 5.1, pokud jej v souladu se Zákonem o ochraně osobních údajů nemusí provést jiný Správce. Pokud audit vyžaduje několik Správců, jejichž Osobní údaje na základě Smlouvy společnost SAP zpracovává, využije Zákazník všechny přiměřené prostředky ke kombinaci auditů, aby nebylo prováděno auditů více.
5.3 Rozsah auditu. Zákazník na chystaný audit upozorní alespoň šedesát dní předem, pokud povinný Zákon o ochraně osobních údajů nebo kompetentní úřad na ochranu osobních údajů nevyžaduje kratší lhůtu. Frekvence, časový rámec a rozsah auditů budou dohodnuty vzájemně mezi stranami, které budou postupovat přiměřeně a v dobré víře. Pokud to bude možné, budou audity Zákazníka realizovány vzdáleně. Pokud je povinný audit v místě, jeho trvání nepřekročí jeden pracovní den. Nad rámec těchto omezení budou strany využívat aktuální certifikace nebo další zprávy auditu, aby zamezily nebo minimalizovaly opakování auditů. Zákazník poskytne výsledky všech auditů společnosti SAP.
5.4 Náklady auditu. Náklady každého auditu uhradí Zákazník. Pokud audit odhalí závažné porušení této Smlouvy o zpracování osobních údajů ze strany společnosti, uhradí společnost SAP své náklady auditu. Pokud se na základě auditu určí, že společnost SAP porušila své povinnosti na
základě Xxxxxxx o zpracování osobních údajů, společnost toto porušení ihned a na své náklady napraví.
6. DÍLČÍ ZPRACOVATELÉ
6.1 Povolené užívání. Společnosti SAP bylo uděleno obecné oprávnění k přidělení zpracování Osobních údajů jako podřízené zakázky Dílčím zpracovatelům, a to za předpokladu, že:
(a) společnost SAP nebo SAP SE svým jménem sjedná práci Dílčích zpracovatelů na základě písemné (včetně elektronické) smlouvy, jejíž podmínky jsou s ohledem na zpracování Osobních údajů Dílčím zpracovatelem konzistentní s podmínkami této Smlouvy o zpracování osobních údajů. společnost SAP ponese odpovědnost za veškerá porušení ze strany Dílčího zpracovatele v souladu s podmínkami Smlouvy;
(b) společnost SAP posoudí před výběrem postupy v oblasti zabezpečení, soukromí a důvěrnosti Dílčího zpracovatele a určí, zda je Dílčí zpracovatel schopen zajistit úroveň ochrany Osobních údajů vyžadovanou touto Smlouvou o zpracování osobních údajů.
(c) Pro Podporu poskytovanou společností SAP zveřejnila společnost SAP seznam Dílčích zpracovatelů využívaných k datu nabytí účinnosti Smlouvy (na adrese: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxxxxxxxxxx.xxxx) nebo společnost SAP tento seznam Zákazníkovi poskytne na vyžádání. Seznam bude obsahovat jméno, adresu a roli každého Dílčího zpracovatele, které společnost SAP využívá k poskytování Služeb společnosti SAP; a
(d) Pro Profesionální služby společnost SAP na žádost Zákazníka zpřístupní takový seznam nebo tyto dílčí zpracovatele identifikuje před začátkem poskytování příslušných Služeb společnosti SAP.
6.2 Noví Dílčí zpracovatelé. Využívání Dílčích zpracovatelů podléhá výhradnímu uvážení ze strany společnosti SAP, a to za předpokladu, že:
(a) společnost SAP Zákazníka předem informuje o zamýšlených přidáních nebo náhradách na seznamu Dílčích zpracovatelů, včetně jména, adresy a role nového Dílčího zpracovatele (i) pro Podporu poskytovanou společností SAP – zveřejněním na portále SAP Support Portal nebo e-mailem po registraci Zákazníka na tomto portále, a (ii) pro Profesionální služby – podobným zveřejněním na portále SAP Support Portal nebo e-mailem či v jiné písemné formě;
(b) Zákazník smí proti těmto změnám vznést námitku v souladu s Oddílem 6.3.
6.3 Námitka vůči novým Dílčím zpracovatelům.
(a) Podpora poskytovaná společností SAP: Pokud má Zákazník legitimní důvod v souladu se Zákonem o ochraně osobních údajů vznést námitku proti zpracovávání Osobních údajů novými Dílčími zpracovateli, je Zákazník oprávněn ukončit Podporu poskytovanou společností SAP na základě písemné výpovědi předložené společnosti SAP, a to nejpozději třicet dní od data, kdy společnost SAP Zákazníka o novém Dílčím zpracovateli informuje. Pokud Zákazník společnosti SAP během této třicetidenní lhůty výpověď nepředloží, považuje se to za souhlas s novým Dílčím zpracovatelem. Během třiceti dní od data, kdy společnost SAP Zákazníka o novém Dílčím zpracovateli informuje, může Zákazník požádat o schůzku stran, aby v dobré víře projednaly řešení námitky. Tyto diskuse neprodlouží období pro poskytnutí výpovědi společnosti SAP a nemají vliv na právo společnosti SAP po uplynutí 30denního období využívat nové Dílčí zpracovatele.
(b) Profesionální služby: Pokud má Zákazník legitimní důvod na základě Zákona o ochraně osobních údajů, který se týká zpracování Osobních údajů Dílčím zpracovatelem, může vznést námitku vůči využití Dílčího zpracovatele společností SAP. Tuto námitku společnosti SAP oznámí písemně do pěti pracovních dní od oznámení společnosti SAP v souladu s Oddílem 6.2. Pokud Zákazník vznese námitku vůči využívání Dílčího zpracovatele, strany společně v dobré víře projednají řešení. Společnost SAP se může rozhodnout, že: (i) Dílčího zpracovatele nevyužije nebo (ii) podnikne nápravné kroky
vyžadované Zákazníkem v jeho námitce a Dílčího zpracovatele využije. Pokud není reálná ani jedna z těchto možností a Zákazník z legitimního důvodu vznese další námitky, může každá ze stran relevantní služby ukončit, a to na základě písemné výpovědi poskytnuté pět dní předem. Pokud Zákazník nevznese námitku do pěti dní od přijetí oznámení, znamená to, že s Dílčím zpracovatelem souhlasí. Pokud námitka Zákazníka zůstává nevyřešena třicet dní od vznesení a společnost SAP neobdržela žádnou výpověď, znamená to, že Zákazník s Dílčím zpracovatelem souhlasí.
(c) Jakékoliv ukončení v souladu s tímto Oddílem 6.3 bude považováno za ukončení bez
chyby jednotlivých stran a podléhá podmínkám Smlouvy.
6.4 Nahrazení v nouzových případech. Společnost SAP je oprávněna nahradit Dílčího zpracovatele bez upozornění předem, pokud důvod změny nemůže přiměřeně ovlivnit a k zajištění zabezpečení nebo z dalších urgentních důvodů je nutné rychlé nahrazení. V takovém případě společnost SAP informuje Zákazníka o náhradním Dílčím zpracovateli co nejdříve po jeho jmenování. Příslušným způsobem platí Oddíl 6.3.
7. MEZINÁRODNÍ ZPRACOVÁNÍ
7.1 Podmínky mezinárodního zpracování. Společnost SAP je oprávněna zpracovávat Osobní údaje, včetně zpracování Dílčími zpracovateli, v souladu s touto Smlouvou o zpracování osobních údajů mimo zemi, ve které se Zákazník nachází, pokud to povoluje Zákon o ochraně osobních údajů.
7.2 Standardní smluvní doložky. Pokud jsou (i) Osobní údaje Správce působícího v EHS nebo Švýcarsku zpracovávány v zemi mimo EHS, Švýcarsko a jinou zemi, organizaci či území, kterou Evropská Unie považuje za bezpečnou zemi s odpovídající ochranou údajů v souladu se Článkem 45 GDPR, nebo pokud (ii) jsou mezinárodně zpracovávány Osobní údaje jiného Správce a toto mezinárodní zpracování vyžaduje prostředky přiměřenosti v souladu se zákony země Správce a požadované prostředky přiměřenosti lze splnit uzavřením Standardních smluvních doložek, pak:
(a) společnost SAP a Zákazník uzavřou Standardní smluvní doložky;
(b) Zákazník uzavře Standardní smluvní doložky s každým relevantním Dílčím zpracovatelem, a to následovně, buď: (i) Zákazník přistoupí ke Standardním smluvním doložkám uzavřeným společností SAP nebo SAP SE a Dílčím zpracovatelem jako nezávislý vlastník práv a povinností („Model přistoupení“), nebo: (ii) Dílčí zpracovatel (zastoupený společností SAP) uzavře Dílčí smluvní doložky se Zákazníkem („Model plné moci“). Model plné moci platí, pokud společnost SAP výslovně potvrdí, že Dílčí zpracovatel má na tento model nárok prostřednictvím seznamu Dílčích zpracovatelů uvedeného v Oddíle 6.1(c) nebo (d), nebo oznámením Zákazníkovi; nebo
(c) Standardní smluvní doložky mohou se společností SAP nebo relevantními Dílčími zpracovateli uzavřít také další Správci, kterým Zákazník udělil oprávnění k zahrnutí Osobních údajů v souladu se Smlouvou, a to stejným způsobem jako Zákazník v souladu s Oddíly 7.2 (a) a (b) výše. V takovém případě Zákazník uzavře Standardní smluvní doložky jménem ostatních Správců.
7.3 Vztah Standardních smluvních doložek a Smlouvy. Žádná ustanovení Smlouvy nebudou mít přednostní platnost před konfliktními ustanoveními Standardních smluvních doložek. Aby nedošlo k pochybnostem, pokud tato Smlouva o zpracování osobních údajů dále v Oddílech 5 a
6 uvádí pravidla pro audit a dílčí zpracovatele, platí tyto specifikace také ve vztahu ke Standardním smluvním doložkám.
7.4 Rozhodné právo Standardních smluvních doložek. Standardní smluvní doložky se řídí zákonem země, ve které příslušný Správce sídlí.
8. DOKUMENTACE, ZÁZNAMY O ZPRACOVÁNÍ
Každá strana má povinnost splnit své požadavky na dokumentaci, konkrétně vést záznamy o zpracování, pokud to vyžaduje Zákon o ochraně osobních údajů. Každá strana nabídne druhé straně
přiměřenou součinnost při plnění požadavků na dokumentaci, včetně poskytnutí informací, které druhá strana potřebuje, a to přiměřeným způsobem požadovaným druhou stranou (například prostřednictvím elektronického systému), aby druhá strana mohla splnit všechny povinnosti týkající se vedení záznamů o zpracování.
9. DEFINICE
Pojmy psané velkými písmeny, které zde nejsou definovány, mají stejný význam jako ve Smlouvě.
9.1 „Oprávněnými uživateli“ se rozumí osoby, kterým Zákazník udělí oprávnění k přístupu v souladu se softwarovou licencí SAP k užívání Služby společnosti SAP, které jsou zaměstnancem, agentem, smluvním dodavatelem nebo zástupcem (i) Zákazníka, (ii) ovládaných či řízených osob Zákazníka nebo (iii) Obchodních partnerů Zákazníka a ovládaných či řízených osob Zákazníka (definovaných ve Smlouvě o softwarové licenci a podpoře).
9.2 „Správcem“ se rozumí fyzická nebo právnická osoba, úřad, agentura nebo jiný orgán, který samostatně nebo společně s ostatními určuje účely a prostředky zpracování Osobních údajů; pro účely této Smlouvy o zpracování osobních údajů platí, že pokud Zákazník vystupuje jako Zpracovatel pro jiného Správce, bude ve vztahu ke společnosti SAP a v souvislosti s právy a povinnostmi správce podle této Smlouvy o zpracování osobních údajů považován za dalšího a nezávislého Správce.
9.3 „Zákonem o ochraně osobních údajů“ se rozumí příslušná legislativa chránící základní práva a svobody osob a jejich právo na soukromí s ohledem na zpracovávání Osobních údajů na základě Smlouvy (a zahrnuje, pokud se týká vztahu mezi stranami v souvislosti se zpracováním Osobních údajů společností SAP jménem Zákazníka, GDPR jako minimální standard bez ohledu na to, zda Osobní údaje GDPR podléhají, či nikoliv).
9.4 „Subjektem údajů“ se rozumí identifikovaná nebo identifikovatelná fyzická osoba definovaná
Zákonem o ochraně osobních údajů.
9.5 „Osobními údaji“ se rozumí informace týkající se Subjektu údajů, které jsou chráněny na základě Zákona o ochraně osobních údajů. Pro účely Smlouvy o zpracování osobních údajů zahrnují Osobní údaje pouze údaje, které jsou společnosti SAP nebo jejím Dílčím zpracovatelům poskytnuty nebo ke kterým společnost SAP či její Dílčí zpracovatelé přistupují za účelem poskytování Služby společnosti SAP podle Smlouvy.
9.6 „Narušením osobních údajů“se rozumí potvrzené (1) náhodné nebo nezákonné zrušení, ztráta, změna, neoprávněné zveřejnění nebo neoprávněný přístup k Osobním údajům třetí stranou bez oprávnění nebo (2) podobný incident zahrnující Osobní údaje, na který je Správce v souladu se Zákonem o ochraně osobních údajů povinen upozornit kompetentní orgány pro ochranu údajů nebo Subjekty údajů.
9.7 „Profesionálními službami“ se rozumí implementační služby, konzultační služby nebo služby jako SAP Premium Engagement Support Services, Innovative Business Solutions Development Services, Innovative Business Solutions Development Support Services.
9.8 „Zpracovatelem“ se rozumí fyzická nebo právnická osoba, úřad, agentura nebo jiný orgán, který zpracovává Osobní údaje jménem Zpracovatele, ať už přímo jako Zpracovatel Správce, nebo nepřímo jako Dílčí zpracovatel Zpracovatele, který zpracovává Osobní údaje jménem Správce.
9.9 „Standardními smluvními doložkami“ nebo někdy také „Modelovými ustanoveními EU“ se rozumí (Standardní smluvní doložky (zpracovatelé)) nebo následující verze tohoto dokumentu zveřejněná Evropskou komisí (která bude automaticky platit). K tomuto dokumentu jsou ve formě Přílohy 4 připojeny Standardní smluvní doložky v aktuální verzi k datu nabytí účinnosti Smlouvy.
9.10 „Dílčím zpracovatelem“ se rozumí ovládané či řízené osoby společnosti SAP, společnost SAP SE nebo ovládané či řízené osoby společnosti SAP SE v souvislosti se Službou společnosti SAP, které zpracovávají Osobní údaje v souladu s touto Smlouvou o zpracování osobních údajů
Přijal/a: Přijal/a:
SAP ČR, spol. s r.o.
(SAP) (Zákazník)
Podepsal(a): | Xxxxx Xxxx | Podepsal(a): |
Funkce: | generální ředitel a jednatel | Funkce: |
Datum: | Datum: |
SAP ČR, spol. s r.o.
(SAP) (Zákazník)
Podepsal(a): | Xxxxxx Xxxxxxx | Xxxxxxxx(a): |
Funkce: | ředitel pro služby SAP ČR | Funkce: |
Datum: | Datum: |
Příloha 1 ke Smlouvě o zpracování osobních údajů a, je-li relevantní, Standardním
smluvním doložkám
Vývozce údajů
Vývozce údajů je Zákazník, který se společností SAP uzavřel Smlouvu o softwarové licenci a podpoře nebo Smlouvu o službách, na základě kterých využívá Službu společnosti SAP podle popisu v příslušné Smlouvě. Vývozce údajů umožňuje Službu společnosti SAP využívat i ostatním Správcům, kteří jsou také Vývozci údajů.
Dovozce údajů
Společnost SAP a její Dílčí zpracovatelé poskytují Službu společnosti SAP podle definice v příslušné Smlouvě uzavřené Vývozcem údajů, která zahrnuje následující Službu společnosti SAP:
- Na základě Smlouvy o softwarové licenci a podpoře: Společnost SAP nebo její Dílčí zpracovatelé poskytnou podporu, když Zákazník odešle tiket podpory z důvodu, že Software není dostupný nebo nepracuje podle očekávání. Odpovídají na telefonní hovory a provádějí základní úkony řešení problémů a zpracovávají tikety podpory ve sledovacím systému.
- Na základě Smlouvy o službách pro Profesionální služby: Společnost SAP nebo její Dílčí zpracovatelé poskytnou Služby v souladu s Objednávkovým formulářem a příslušnou Specifikací rozsahu.
Subjekty údajů
Pokud Vývozce údajů neuvede jinak, týkají se předané Osobní údaje následujících kategorií Subjektů údajů: zaměstnanci, smluvní dodavatelé, Obchodní partneři nebo další osoby, jejichž Osobní údaje jsou předávány či poskytnuty Vývozci údajů nebo k jejichž Osobním údajům Vývozce údajů přistupuje.
Kategorie údajů
Předané Osobní údaje se týkají následujících kategorií údajů:
Zákazník určí kategorie údajů nebo pole údajů, které lze pro jednotlivé Služby společnosti SAP předat v souladu s příslušnou Smlouvou. Předávané Osobní údaje se obvykle týkají následujících kategorií údajů: jméno, telefonní čísla, e-mailová adresa, časové pásmo, údaje adresy, data o přístupu k systému, využití a autorizaci, název společnosti, údaje smluv, údaje faktur a další data specifická pro konkrétní aplikace přenášená Definovanými uživateli a mohou zahrnovat finanční údaje, například údaje o bankovním účtu a kreditní či debetní kartě.
Zvláštní kategorie údajů (je-li relevantní)
Předávané Osobní údaje se týkají následujících zvláštních kategorií údajů: Podle ustanovení příslušné Smlouvy (včetně Objednávkového formuláře).
Operace zpracování / účely
Předávané Osobní údaje podléhají základnímu zpracování v souladu se Smlouvou, které může
zahrnovat:
• užívání Osobních údajů za účelem poskytování Služby společnosti SAP
• uchovávání Osobních údajů
• počítačové zpracování Osobních údajů za účelem přenosu dat
• Provedení pokynů Zákazníka v souladu se Smlouvou.
Příloha 2 ke Smlouvě o zpracování osobních údajů a, je-li relevantní, Standardním
smluvním doložkám – Technická a organizační opatření
1. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
V následujících oddílech jsou definována aktuální technická a organizační opatření společnosti SAP. Společnost SAP je oprávněna tato opatření kdykoliv bez oznámení změnit, a to při zajištění srovnatelné nebo lepší úrovně zabezpečení. Jednotlivá opatření mohou být nahrazena novými opatřeními se stejným účelem bez snížení úrovně zabezpečení při ochraně Osobních údajů.
1.1 Řízení fyzického přístupu. Neoprávněným osobám bude zabráněno v získání fyzického přístupu do prostor, budov nebo místností, ve kterých se nacházejí systémy pro zpracování dat zpracovávající nebo používající Osobní údaje.
Opatření:
• Společnost SAP chrání své zdroje a zařízení s použitím příslušných prostředků v souladu se Zásadami zabezpečení společnosti SAP.
• Budovy jsou obecně zabezpečeny prostřednictvím systémů pro řízení přístupu (např. systém přístupu na základě vstupních karet).
• Minimálním požadavkem je, že vnější přístupové body musí být opatřeny certifikovaným systémem hlavního klíče včetně moderní a aktivní správy klíče.
• V závislosti na klasifikaci zabezpečení mohou být budovy, jednotlivé oblasti a okolní prostory dále chráněny dalšími opatřeními. Tato opatření zahrnují konkrétní přístupové profily, monitorovací systém, zabezpečovací systémy a systémy řízení přístupu pomocí biometrických údajů.
• Přístupová práva budou autorizovaným osobám udělována jednotlivě v souladu s opatřeními Řízení přístupu do systému a k datům (viz Oddíl 1.2 a 1.3 níže). To také platí pro přístup návštěv. Hosté a návštěvy v budovách společnosti SAP musí nahlásit své jméno na recepci a musí je doprovázet oprávněný zaměstnanec společnosti SAP.
• Zaměstnanci společnosti SAP a externí personál musí na všech pracovištích společnosti SAP nosit identifikační karty.
Další opatření pro Datová centra:
• Všechna Datová centra budou dodržovat přísné bezpečnostní postupy vynucované pracovníky ostrahy, kamerami monitorovacího systému, mechanismy kontroly přístupu a ostatními opatřeními, jejichž cílem je zabránit zneužití vybavení a zařízení Datového centra. K systémům a infrastruktuře v rámci zařízení Datového centra budou mít přístup pouze autorizovaní zástupci. K ochraně řádné funkce je prováděna pravidelná údržba fyzického vybavení zabezpečení (např. snímačů pohybu, kamer atd.).
• Společnost SAP a všichni poskytovatelé Datových center, kteří jsou třetí stranou, zaznamenávají jména a časy vstupu autorizovaného personálu do soukromých oblastí společnosti SAP v rámci Datového centra.
1.2 Řízení přístupu do systému. Systémy pro zpracování dat používané k poskytování Služby SAP musí být chráněny před neoprávněným použitím.
Opatření:
• K udělení přístupu do citlivých systémů, včetně systémů uchovávajících a zpracovávajících Osobní údaje, se používá více úrovní autorizace. Oprávnění jsou spravována prostřednictvím definovaných procesů v souladu se Zásadami zabezpečení společnosti SAP.
• Všichni pracovníci mají přístup do systémů SAP na základě jednoznačného identifikátoru (ID uživatele).
• Společnost SAP využívá postupy, jejichž cílem je zajistit, aby požadované změny autorizace byly implementovány pouze v souladu se Zásadami zabezpečení společnosti SAP (například zákaz
udělení práv bez autorizace). Pokud pracovník opustí společnost, příslušná práva jsou mu
odebrána.
• Společnost SAP zavedla zásady ohledně hesel, které zakazují sdílení hesel, řídí postup v případě zveřejnění hesla a vyžadují pravidelné změny hesla a změnu výchozích hesel. Pro autentizaci jsou přiřazena osobní ID uživatele. Všechna hesla musí splňovat minimální požadavky a jsou uchovávána v šifrované podobě. V případě doménových hesel systém každých šest měsíců vynutí změnu hesla, a zajišťuje tak splnění požadavků na složitá hesla. Každý počítač je vybaven spořičem obrazovky chráněným heslem.
• Podniková síť je od veřejné sítě oddělena bránou firewall.
• V přístupových bodech do podnikové sítě (pro e-mailové účty) a na všech serverech se soubory a
pracovních stanicích společnost SAP využívá aktualizovaný antivir.
• Implementována je správa oprav zabezpečení za účelem zajištění pravidelného nasazení příslušných aktualizací zabezpečení. Plný vzdálený přístup k podnikovým sítím a důležité infrastruktuře SAP je chráněn pomocí silného ověření.
1.3 Řízení přístupu k datům. Osoby oprávněné k používání systému pro zpracování dat získají pouze přístup k Osobním údajům, ke kterým jsou oprávněny přistupovat. Osobní údaje je během zpracovávání, používání a uchovávání zakázáno číst, kopírovat, měnit nebo odebírat bez autorizace.
Opatření:
• V rámci Zásad zabezpečení společnosti SAP vyžadují Osobní údaje minimálně stejnou úroveň ochrany jako důvěrné informace odpovídající standardu Klasifikace informací společnosti SAP.
• Přístup k Osobním údajům je udělován jen v nezbytně nutném rozsahu. Pracovníci mají přístup k informacím, které vyžadují k výkonu svých povinností. Společnost SAP využívá koncepty oprávnění, které dokumentují procesy udělení oprávnění a přiřazené role pro jednotlivé účty (ID uživatele). Všechna Data zákazníka jsou chráněna v souladu se Zásadami zabezpečení společnosti SAP.
• Veškeré produkční servery jsou provozovány v Datových centrech nebo zabezpečených serverovnách. Bezpečnostní opatření, která chrání aplikace zpracovávající Osobní údaje, jsou pravidelně kontrolována. Za tímto účelem společnost SAP provádí na systémech IT interní a externí kontroly zabezpečení a testy vniknutí.
• Společnost SAP nepovoluje instalaci softwaru, který společnost SAP neschválila.
• Způsob mazání nebo zničení dat a nosičů dat, jakmile už nejsou k dispozici, se řídí standardem zabezpečení společnosti SAP.
1.4 Řízení přenosu dat. Osobní údaje je zakázáno během přenosu bez oprávnění číst, kopírovat, měnit nebo odebírat, pokud to není vyžadováno k poskytování Služeb společnosti SAP v souladu s příslušnou Smlouvou. Při fyzickém transportu nosičů dat společnost SAP implementuje odpovídající opatření k zajištění dohodnutých úrovní služeb (například šifrování a kontejnery s olovem).
Opatření:
• Osobní údaje předávané prostřednictvím interních sítí společnosti SAP jsou chráněny v souladu se Zásadami zabezpečení společnosti SAP.
• Při předávání údajů mezi společností SAP a jejími zákazníky se společnost SAP a její zákazník dohodnou na ochranných opatřeních vyžadovaných pro datový přenos, která budou zahrnuta jako součást Smlouvy. To platí pro fyzický přenos dat i přenos po síti. Zákazník přebírá odpovědnost za předávání údajů, jakmile údaje opustí systémy řízené společností SAP (např. údaje předávané mimo firewall Datového centra společnosti SAP).
1.5 Řízení zadávání dat. Bude možné zpětně prošetřit a určit, zda byly Osobní údaje zadány, změněny nebo odebrány ze systémů pro zpracování údajů společností SAP a kým.
Opatření:
• Společnost SAP umožňuje autorizovaným pracovníkům přístup k Osobním údajům pouze v rozsahu, který je vyžadován k jejich práci.
• Společnost SAP implementovala protokolovací systém pro zadávání, změnu, odstraňování a blokování Osobních údajů společností SAP nebo jejími dílčími zpracovateli v rámci Služby společnosti SAP, a to v rozsahu, který je technicky proveditelný.
1.6 Řízení úloh. K zajištění, že osobní údaje zpracovávané jménem ostatních jsou zpracovávány přísně v souladu s pokyny Zákazníka, je vyžadováno Řízení úloh.
Opatření:
Společnost SAP využívá kontrolní prvky a procesy k monitorování shody se smlouvami mezi společností SAP a jejími zákazníky, dílčími zpracovateli nebo poskytovateli služeb.
V rámci Zásad zabezpečení společnosti SAP vyžadují Osobní údaje minimálně stejnou úroveň
ochrany jako důvěrné informace odpovídající standardu Klasifikace informací společnosti SAP.
• Všichni zaměstnanci a smluvní dílčí zpracovatelé nebo další poskytovatelé služeb jsou smluvně vázáni k respektování důvěrné povahy všech citlivých informací, včetně obchodních tajemstvích zákazníků a partnerů společnosti SAP.
V případě Podpory poskytované společností SAP mají zákazníci společnosti SAP vždy kontrolu nad svými vzdálenými připojeními podpory. Zaměstnanci společnosti SAP nemají přístup k systému zákazníka bez vědomí a souhlasu zákazníka. Pro účely Podpory poskytované společností SAP poskytuje společnost SAP speciálně vyčleněné zabezpečené zařízení pro tikety podpory, v rámci kterého společnost SAP poskytuje speciální monitorovanou bezpečnou oblast s řízeným přístupem pro přenos přístupových údajů a hesel. Zákazníci společnosti SAP mají vždy kontrolu nad svými vzdálenými připojeními podpory. Zaměstnanci společnosti SAP nemají přístup k místnímu systému zákazníka bez vědomí nebo aktivní účasti zákazníka.
1.7 Řízení dostupnosti. Osobní údaje budou chráněny před náhodným nebo neoprávněným zničením či ztrátou.
Opatření:
• Společnost SAP využívá pravidelné procesy záloh k zajištění obnovy důležitých obchodních systémů podle potřeby.
• Společnost SAP využívá nepřerušitelné zdroje napájení: (např. UPS, baterie, generátory atd.) k ochraně dostupnosti dodávky proudu do Datových center.
• Společnost SAP definovala pro důležité obchodní procesy plány obchodní kontinuity;
• Nouzové procesy a systémy jsou pravidelně testovány.
1.8 Řízení oddělení dat. Osobní údaje shromažďované pro různé účely lze zpracovávat odděleně. Opatření:
• Společnost SAP využívá příslušné technické prostředky k zajištění oddělení Zákaznických dat.
• Zákazník (včetně jím schválených Správců) bude mít přístup pouze ke svým vlastním Údajům, a to na základě bezpečné autentizace a oprávnění.
• Pokud jsou Osobní údaje vyžadovány ke zpracování incidentu podpory nahlášeného Zákazníkem, jsou data konkrétnímu hlášení přiřazena a jsou použita pouze ke zpracování daného hlášení, nikoliv ke zpracování jiných hlášení. Tato data jsou uchovávána ve vyhrazených systémech podpory.
1.9 Kontrola integrity dat. Osobní údaje zůstanou během činností zpracování neměnné, úplné a
aktuální.
Opatření:
Společnost SAP implementovala obrannou strategii zahrnující několik vrstev s cílem zajistit ochranu před neoprávněnými změnami.
Společnost SAP používá k implementaci oddílů věnovaných kontrole a opatřením popsaným výše následující možnosti. Konkrétně se jedná o:
• Brány firewall;
• Bezpečnostní monitorovací centrum;
• Antivir;
• Zálohování a obnovu;
• Externí a interní testování vniknutí;
• Pravidelné externí audity k doložení bezpečnostních opatření.
Příloha 3 ke Smlouvě o zpracování osobních údajů
Následující tabulka obsahuje relevantní články nařízení GDPR a odpovídající pojmy Smlouvy o zpracování osobních údajů, které slouží pouze k ilustračním účelům.
Příloha 4
STANDARDNÍ SMLUVNÍ DOLOŽKY (ZPRACOVATELÉ)1
Ve smyslu Článku 26 odst. 2 směrnice 95/46/ES (nebo po 25. květnu 2018 Článku 44 a dalších nařízení 2016/79) pro předávání osobních údajů zpracovatelům sídlícím ve třetích zemích, které nezajišťují odpovídající úroveň ochrany údajů.
[…]
(V Doložkách dále označován jako vývozce údajů)
a
[…]
(V Doložkách dále označován jako dovozce údajů)
jednotlivě „strana“, společně „strany“
SE DOHODLI v zájmu zajištění dostatečných ochranných opatření s ohledem na ochranu soukromí a základní práva a svobody osob při předávání osobních údajů uvedených v Příloze 1 vývozcem údajů dovozci údajů na těchto Smluvních doložkách („Doložky“).
Doložka 1
Definice
Pro účely Doložek:
(a) „osobní údaje“, „zvláštní kategorie údajů“, „zpracovávat/zpracování“, „správce“,
„zpracovatel“, „subjekt údajů“ a „orgán dozoru“ mají stejný význam jako ve směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1);
(b) „vývozcem údajů“ se rozumí správce, který předává osobní údaje;
(c) „dovozcem údajů“ se rozumí zpracovatel, který se zavazuje přijímat od vývozce údajů osobní údaje určené ke zpracování jménem vývozce údajů po předání v souladu s jeho pokyny a s podmínkami těchto Xxxxxxx a který nepodléhá systému třetí země zajišťující odpovídající ochranu ve smyslu Článku 25 odst. 1 směrnice 95/46/ES;
(d) „dílčím zpracovatelem“ se rozumí zpracovatel najatý dovozcem údajů nebo jiným dílčím zpracovatelem dovozce údajů, který se zavazuje přijímat od dovozce údajů nebo od jiného dílčího zpracovatele dovozce údajů osobní údaje určené výhradně pro činnosti spojené se zpracováním jménem vývozce údajů po předání v souladu s pokyny vývozce údajů, podmínkami Doložek a podmínkami písemné smlouvy o dílčím zpracování;
(e) „platnými zákony o ochraně osobních údajů“ se rozumí právní předpisy ochraňující základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke
1 V souladu s Rozhodnutím Komise ze dne 5. února 2010 (2010/87/EU)
zpracování osobních údajů, které se vztahují na správce údajů v Členském státě, ve kterém sídlí vývozce údajů;
(f) „technickými a organizačními bezpečnostními opatřeními“ se rozumí opatření zaměřená na ochranu osobních údajů před náhodným či protiprávním zničením nebo před náhodnou ztrátou, úpravou, neoprávněným zveřejněním či přístupem, zejména v případech, kdy v souvislosti se zpracováním dochází k předávání údajů po síti, nebo před všemi ostatními protiprávními způsoby zpracování.
Doložka 2
Podrobnosti předávání
Podrobnosti předávání a zejména případné zvláštní kategorie osobních údajů jsou uvedeny v Příloze 1, která tvoří nedílnou součást Doložek.
Doložka 3
Xxxxxxx ve prospěch třetí strany
1. Subjekt údajů může vůči vývozci údajů uplatnit jako oprávněná třetí strana tuto Doložku, Doložku 4 písm. b) až i), Doložku 5 písm. a) až e) a g) až j), Doložku 6 odst. 1 a 2, Doložku 7, Doložku 8 odst. 2 a Doložky 9 až 12.
2. Subjekt údajů může vůči dovozci údajů uplatnit tuto Doložku, Doložku 5 písm. a) až e) a g), Doložku 6, Doložku 7, Doložku 8 odst. 2 a Doložky 9 až 12 v případech, kdy vývozce údajů fakticky zmizel nebo kdy z právního hlediska zanikl, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu.
3. Subjekt údajů může vůči dílčímu zpracovateli uplatnit tuto Doložku, Doložku 5 písm. a) až e) a g), Doložku 6, Doložku 7, Doložku 8 odst. 2 a Doložky 9 až 12 v případech, kdy vývozce údajů i dovozce údajů fakticky zmizeli nebo kdy z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto Xxxxxxx.
4. Strany nemají námitek proti tomu, aby byl subjekt údajů zastupován sdružením nebo
jiným subjektem, je-li to jeho výslovným přáním a povoluje-li to vnitrostátní právo.
Doložka 4
Povinnosti vývozce údajů
Vývozce údajů se zavazuje a zaručuje, že:
(a) zpracování osobních údajů, včetně předávání samotného, bylo a bude i nadále prováděno v souladu se souvisejícími ustanoveními práva rozhodného pro ochranu údajů (a případně bylo oznámeno příslušným orgánům Členského státu, ve kterém je vývozce údajů usazen) a že neporušuje související předpisy daného Státu;
(b) nařídil a po celou dobu poskytování služeb zpracování osobních údajů bude dovozci údajů nařizovat, aby předávané osobní údaje byly zpracovávány pouze jménem vývozce údajů a v souladu s právem rozhodným pro ochranu údajů a s Xxxxxxxxx;
(c) dovozce údajů poskytne dostatečné záruky v souvislosti s technickými a organizačními bezpečnostními opatřeními uvedenými v Příloze 2 k této smlouvě;
(d) po vyhodnocení požadavků práva rozhodného pro ochranu údajů jsou bezpečnostní opatření dostatečná k zajištění ochrany osobních údajů před náhodným či protiprávním zničením nebo před náhodnou ztrátou, úpravou, neoprávněným zveřejněním či přístupem, zejména v případech, kdy v souvislosti se zpracováním dochází k předávání údajů po síti, nebo před všemi ostatními protiprávními způsoby zpracování, a že tato opatření zajišťují úroveň bezpečnosti odpovídající rizikům, která v souvislosti se zpracováním hrozí, a povaze údajů, jež mají být chráněny, s ohledem na stav techniky a nákladnost jejich zavedení;
(e) zajistí dodržování bezpečnostních opatření;
(f) budou-li součástí předávání i zvláštní kategorie údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve poté, že jeho údaje mohou být předávány do třetí země, která neposkytuje odpovídající ochranu ve smyslu směrnice 95/46/ES;
(g) předá oznámení obdržené od dovozce údajů nebo případného dílčího zpracovatele podle Xxxxxxx 5 písm. b) a Doložky 8 odst. 3 orgánu dozoru pro ochranu údajů, pokud se vývozce údajů rozhodne pokračovat v předávání nebo odvolat jeho pozastavení;
(h) na požádání poskytne subjektům údajů kopii Xxxxxxx, s výjimkou Přílohy 2 a souhrnného popisu bezpečnostních opatření, a rovněž kopii případné smlouvy o službách dílčího zpracování, kterou je nutno uzavřít v souladu s Xxxxxxxxx, pokud Xxxxxxx nebo smlouva neobsahují obchodní informace, v tomto případě je možno tyto obchodní informace vynechat;
(i) v případě dílčího zpracování je činnost spojená se zpracováním údajů vykonávána v souladu s Doložkou 11 dílčím zpracovatelem, který zajišťuje přinejmenším stejnou úroveň ochrany osobních údajů a práv subjektu údajů jako dovozce údajů podle Xxxxxxx, a
(j) zajistí shodu s Doložkou 4 písm. a) až i).
Doložka 5
Povinnosti dovozce údajů (2)
Dovozce údajů se zavazuje a zaručuje, že:
(a) osobní údaje bude zpracovávat pouze jménem vývozce údajů a v souladu s jeho pokyny a s těmito Xxxxxxxxx; nebude-li moci dodržování pokynů a doložek z jakýchkoli důvodů zajistit, zavazuje se o tom neprodleně informovat vývozce údajů, který je v takovém případě oprávněn pozastavit předávání údajů nebo odstoupit od smlouvy;
(b) nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy a že v případě změny těchto právních předpisů, která by mohla mít výrazně nepříznivý dopad na ochranná opatření a závazky
stanovené Xxxxxxxxx, oznámí neprodleně tuto změnu vývozci údajů, který je v takovém případě oprávněn pozastavit předávání údajů nebo odstoupit od smlouvy;
(c) před zpracováním předaných osobních údajů učinil organizační a technická bezpečnostní opatření uvedená v Příloze 2;
(d) oznámí vývozci údajů neprodleně:
(i) veškeré právně závazné požadavky na zveřejnění osobních údajů ze strany donucovacího orgánu, není-li to jinak zakázáno, například trestním právem, aby byla zajištěna důvěrnost vyšetřování v rámci výkonu práva;
(ii) veškeré případy získání náhodného nebo neoprávněného přístupu a
(iii) veškeré žádosti obdržené přímo od subjektů údajů, aniž by na tyto žádosti reagoval, ledaže k tomu byl jinak oprávněn;
(e) vyřídí neprodleně a řádně veškeré dotazy vývozce údajů týkající se jím prováděného zpracování osobních údajů, které jsou předmětem přenosu, a že se bude řídit v souvislosti se zpracováním předávaných údajů názorem orgánu dozoru;
(f) na žádost vývozce údajů umožní přezkoumání činností spojených se zpracováním údajů podle Xxxxxxx ve svých zařízeních na zpracování údajů, které provede vývozce údajů nebo kontrolní orgán složený z nezávislých členů s požadovanou odbornou kvalifikací, kteří budou vázáni povinností zachovat mlčenlivost a vybráni vývozcem údajů, popřípadě po dohodě s orgánem dozoru;
(g) na požádání poskytne subjektu údajů kopii Doložek nebo případné existující smlouvy o dílčím zpracování, pokud Doložky nebo smlouva neobsahují obchodní informace, v tomto případě je možno tyto obchodní informace vynechat, s výjimkou Přílohy 2, který bude nahrazen souhrnným popisem bezpečnostních opatření v případech, kdy subjekt údajů není schopen získat kopii od vývozce údajů;
(h) v případě dílčího zpracování předem informoval vývozce údajů a obdržel jeho předchozí písemný souhlas;
(i) služby zpracování údajů poskytované dílčím zpracovatelem budou v souladu s Doložkou 11;
(j) vývozci údajů zašle neprodleně kopii případné dohody s dílčím zpracovatelem, která se uzavírá podle těchto Xxxxxxx.
Doložka 6
Odpovědnost
1. Strany se dohodly, že subjekt údajů, který utrpěl v důsledku porušení povinností uvedených v Doložce 3 nebo Doložce 11 škodu způsobenou kteroukoliv ze stran nebo dílčím zpracovatelem, je oprávněn obdržet od vývozce údajů za utrpěnou škodu náhradu.
2. Nemůže-li subjekt údajů uplatňovat v souladu s odstavcem 1 nárok na odškodnění vůči vývozci údajů pro porušení některé z povinností dovozce údajů nebo jeho dílčího
zpracovatele uvedených v Doložce 3 a 11, protože vývozce údajů fakticky zmizel, z právního hlediska zanikl nebo je v platební neschopnosti, dovozce údajů se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dovozci údajů, jako by byl vývozcem údajů, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů, přičemž v tomto případě může subjekt může uplatňovat svá práva vůči tomuto subjektu.
Dovozce údajů se nemůže spoléhat na to, že dílčí zpracovatel poruší své povinnosti, aby se vyhnul vlastní odpovědnosti.
3. Nemůže-li subjekt údajů uplatňovat v souladu s odstavci 1 a 2 nárok vůči vývozci údajů a dovozci údajů pro porušení některé z povinností dílčího zpracovatele uvedených v Doložkách 3 a 11, protože vývozce údajů i dovozce údajů fakticky zmizeli, z právního hlediska zanikli nebo jsou v platební neschopnosti, dílčí zpracovatel se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dílčímu zpracovateli s ohledem na jeho vlastní činnosti spojené se zpracováním údajů podle těchto Doložek, jako by byl vývozcem údajů nebo dovozcem údajů, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů, přičemž v tomto případě může subjekt údajů uplatňovat svá práva vůči tomuto subjektu. Odpovědnost dílčího zpracovatele je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto Xxxxxxx.
Doložka 7
Mediace a soudní příslušnost
1. Dovozce údajů se zavazuje, že uplatní-li proti němu subjekt údajů práva ve prospěch třetí strany nebo uplatní-li nárok na náhradu škody podle těchto Xxxxxxx, přistoupí dovozce údajů na rozhodnutí subjektu údajů:
(a) předat spor k mediaci prováděné nezávislou osobou nebo popřípadě orgánem dozoru;
(b) předat spor soudům v Členském státě, ve kterém vývozce údajů sídlí.
2. Strany se dohodly, že rozhodnutím subjektu údajů nebudou dotčena jeho hmotná ani procesní práva při podávání soudních žalob v souladu s ostatními ustanoveními vnitrostátního nebo mezinárodního práva.
Doložka 8
Spolupráce s orgány dozoru
1. Vývozce údajů se zavazuje uložit kopii této smlouvy u orgánu dozoru, vyžaduje-li to
tento orgán nebo právo rozhodné pro ochranu údajů.
2. Strany se dohodly, že orgán dozoru má právo provést přezkoumání u dovozce údajů a u případného dílčího zpracovatele, které bude mít stejný rozsah a bude podléhat stejným podmínkám jako přezkoumání u vývozce údajů uskutečněné v souladu s právem rozhodným pro ochranu údajů.
3. Dovozce údajů okamžitě informuje vývozce údajů o existenci právních předpisů, kterým on nebo dílčí zpracovatel podléhá, jež podle odstavce 2 brání provést přezkoumání dovozce údajů nebo dílčího zpracovatele. V tomto případě má vývozce údajů právo učinit opatření podle Xxxxxxx 5 písm. b).
Doložka 9
Rozhodné právo
Doložky se řídí právem Členského státu, ve kterém sídlí vývozce údajů.
Doložka 10
Změna smlouvy
Strany se zavazují, že v Doložkách nebudou provádět žádné změny ani úpravy. Toto nevylučuje, aby strany v případě potřeby připojily další doložky, které se vztahují k předmětu obchodu, pokud tyto doložky nejsou v rozporu s těmito Doložkami.
Doložka 11
Dílčí zpracování
1. Dovozce údajů nezadá externě žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem vývozce údajů na základě těchto Xxxxxxx, bez předchozího písemného souhlasu vývozce údajů. Pokud dovozce údajů se souhlasem vývozce údajů zajišťuje plnění svých povinností podle těchto Doložek subdodavatelsky, učiní tak pouze formou písemné dohody s dílčím zpracovatelem, která dílčímu zpracovateli ukládá stejné povinnosti, jako jsou povinnosti dovozce údajů podle těchto Xxxxxxx (3). Neplní-li dílčí zpracovatel své povinnosti týkající se ochrany údajů na základě této písemné dohody, je dovozce údajů vůči vývozci údajů nadále plně odpovědný za splnění povinností dílčího zpracovatele podle takovéto dohody.
2. Předchozí písemná smlouva mezi dovozcem údajů a dílčím zpracovatelem zahrnuje rovněž doložku ve prospěch třetí strany stanovenou v Doložce 3 pro případy, kdy subjekt údajů nemůže uplatňovat nárok na odškodnění podle odstavce 1 Doložky 6 vůči vývozci údajů nebo dovozci údajů, protože ti fakticky zmizeli nebo z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto Xxxxxxx.
3. Ustanovení týkající se aspektů ochrany údajů u subdodavatelského zajišťování podle odstavce 1 se řídí právem Členského státu, ve kterém sídlí vývozce údajů.
4. Vývozce údajů vede seznam dohod o dílčím zpracování, jež uzavřel podle těchto Xxxxxxx a které dovozce údajů oznámil podle Xxxxxxx 5 písm. j), který bude alespoň jednou ročně aktualizovat. Seznam musí být dán k dispozici orgánu dozoru pro ochranu údajů vývozce údajů.
Doložka 12
Povinnosti po ukončení poskytování služeb spojených se zpracováním osobních údajů
1. Strany se dohodly, že po ukončení poskytování služeb spojených se zpracováním údajů dovozce údajů a dílčí zpracovatel podle rozhodnutí vývozce údajů vrátí veškeré předávané osobní údaje a jejich kopie vývozci údajů, nebo provede zničení veškerých osobních údajů a předloží vývozci údajů potvrzení o jejich zničení, pokud právní předpisy vztahující se
na dovozce údajů nezakazují dovozci vrácení či zničení všech nebo části předávaných osobních údajů. V takovém případě dovozce údajů zaručuje, že zajistí zachování důvěrnosti předávaných osobních údajů a že nebude přenášené osobní údaje již dále aktivně zpracovávat.
2. Dovozce údajů a dílčí zpracovatel zaručují, že na žádost vývozce údajů nebo orgánu dozoru dají k dispozici svá zařízení na zpracování údajů za účelem přezkoumání opatření uvedených v odstavci 1.
(1) Strany mohou v této doložce znovu uvést definice a významy obsažené ve směrnici 95/46/ES, budou-li to považovat za vhodné pro význam smlouvy jako samostatného dokumentu.
(2) Povinné požadavky vnitrostátních právních předpisů vztahujících se na dovozce údajů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti, na základě jednoho ze zájmů uvedených v čl. 13 odst.
1 směrnice 95/46/ES, tzn. představují-li opatření nezbytná k zajištění bezpečnosti státu, obrany, veřejné bezpečnosti, předcházení trestným činům a jejich vyšetřování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání, významného hospodářského nebo finančního zájmu státu nebo ochrany subjektu údajů nebo práv a svobod druhých, nejsou v rozporu se standardními smluvními doložkami. Příkladem takových povinných požadavků, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti, jsou mimo jiné mezinárodně uznané sankce, požadavky na vykazování daní či požadavky na předkládání zpráv o boji proti legalizaci výnosů z trestné činnosti.
(3) Tento požadavek může být splněn tak, že dílčí zpracovatel spolupodepíše smlouvu uzavřenou mezi vývozcem údajů a dovozcem údajů podle tohoto rozhodnutí.