AGREEMENT ON THE PROCESSING OF PERSONAL DATA
Dodatek č. 1 ke Smlouvě o službách
Amendment No. 1 to the Contract for Services
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
AGREEMENT ON THE PROCESSING OF PERSONAL DATA
TATO SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (dále jen „Smlouva“) byla uzavřena v souladu s článkem 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
(dále jen „Nařízení“)
THIS AGREEMENT ON THE PROCESSING OF PERSONAL DATA (hereinafter referred to as the “Agreement”) was concluded in accordance with Article 28 of Regulation (EU) 2016/679 of the European Parliament and of the Council, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
(hereinafter referred to as the “Regulation”)
MEZI SPOLEČNOSTMI:
BETWEEN THE COMPANIES:
(1) Masarykova univerzita se sídlem / with its registered office at Xxxxxxxxxx xxxxxxx 000/0, 000 00 Xxxx, XXX / Company identification No.: 00000000, veřejná vysoká škola zřízena zákonem č. 111/1998 Sb., do Obchodního rejstříku se nezapisující,
Zastoupená / represented by Xxx. Xxxxx Xxxxxxxx, MBA – kvestorka univerzity (dále jen „Správce“) / (hereinafter referred to as the “Controller”) , a / and
(2) Mazars s.r.o., se sídlem / with its registered office in Xxxxx 0, Xxxxxxxx 000/0, XXX / Company identification No.: 62582496, zapsaná v obchodním rejstříku vedeném / registered in the Commercial Register maintained by Městským soudem v Praze, oddíl / Section C, xxxxxx / Insert 33439,
Zastoupená / represented by Xxxxx Xxxxx
(dále jen „Zpracovatel“) / (hereinafter referred to as the “Processor“)
(dohromady též jako „Smluvní strany“) / (also referred to jointly as the “Contractual Parties”)
VZHLEDEM K TOMU, ŽE:
WHEREAS:
(A) Zpracovatel poskytuje Správci služby (dále jen „Služby“) na základě Rámcové smlouvy na vedení mzdového účetnictví (dále jen „Smlouva o poskytování služeb“);
The Processor provides the Controller with services (hereinafter referred to as the “Services”) on the basis of the Framework Agreement for payroll services (hereinafter referred to as the “Service Contract”);
(B) V rámci poskytování Služeb Zpracovatel získává od Správce osobní údaje ve smyslu příslušných právních předpisů, které jsou blíže specifikovány v článku 2.4 Smlouvy (dále jen „Osobní údaje“);
While providing the Services the Processor receives personal data from the Controller in the sense of the relevant legal regulations, which are specified in detail in Article 2.4 of the Agreement (hereinafter referred to as the “Personal Data”);
(C) Strany mají zájem na tom, aby zpracování Osobních údajů bylo v souladu s Nařízením, které nabude účinnosti 25. 5. 2018;
The Parties are interested in the Personal Data being processed in accordance with the Regulation which will came into effect on 25 May 2018;
(D) Správce určuje účel a prostředky zpracování a primárně je za toto zpracování odpovědný;
The Controller shall specify the purpose and means of the processing and is primarily responsible for this processing;
(E) Zpracovatel zpracovává Osobní údaje pro Správce;
The Processor processes the Personal Data for the Controller;
(F) Správce a Zpracovatel jsou povinni uzavřít písemnou smlouvu o zpracování osobních údajů;
The Controller and the Processor are obliged to conclude a written agreement on the processing of the personal data;
SMLUVNÍ STRANY SE PROTO DOHODLY NA NÁSLEDUJÍCÍ SMLOUVĚ VE FORMĚ DODATKU KE SMLOUVĚ O POSKYTOVÁNÍ SLUŽEB, KTERÝJE NEDÍLNOU SOUČÁSTÍ SMLOUVY O POSKYTOVÁNÍ SLUŽEB:
THE CONTRACTUAL PARTIES HAVE THEREFORE AGREED ON THE FOLLOWING AGREEMENT IN THE FORM OF A SUPPLEMENT TO THE SERVICE CONTRACT WHICH IS AN INTEGRAL PART OF THE SERVICE CONTRACT:
1. PŘEDMĚT SMLOUVY
SUBJECT OF THE AGREEMENT
1.1. Předmět Smlouvy. Předmětem Smlouvy je stanovení práv a povinností Smluvních stran souvisejících se zpracováním Osobních údajů při poskytování Služeb v souladu s Nařízením a dalšími právními předpisy.
Subject of the Agreement. The subject of the Agreement is to specify the rights and obligations of the Contractual Parties related to the processing of the Personal Data when providing the Services in accordance with the Regulation and other legal regulations.
1.2. Soulad zpracování Osobních údajů s Nařízením. Zpracovatel před uzavřením Xxxxxxx zavedl vhodná technická a organizační opatření, kterými zajistil, že zpracování podle Xxxxxxx bude v souladu s Nařízením a dalšími právními předpisy a že bude zajištěna ochrana práv subjektů údajů, jejichž Osobní údaje bude Zpracovatel zpracovávat.
Compliance of the processing of the Personal Data with the Regulation. Before concluding the Agreement, the Processor introduced suitable technical and organisational measures to ensure that the processing pursuant to the Agreement will be in accordance with the Regulation and other legal regulations and that it will ensure the protection of the rights of the Data Subjects whose Personal Data the Processor will be processing.
2. ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PROCESSING OF THE PERSONAL DATA
2.1. Zpracování Osobních údajů Zpracovatelem. Smluvní strany sjednávají, že zpracování Osobních údajů bude provádět Zpracovatel pouze na základě doložených pokynů Správce a za podmínek stanovených Nařízením, dalšími právními předpisy a Xxxxxxxx.
Processing of the Personal Data by the Processor. The Contractual Parties have agreed that the Processor shall perform the processing of the Personal Data solely on the basis of the Controller’s documented instructions and under the conditions specified by the Regulation, other legal regulations and the Agreement.
2.2. Účel zpracování Osobních údajů. Na základě Smlouvy bude Zpracovatel zpracovávat Osobní údaje za účelem poskytování Služeb, a to zejména Služeb v oblasti daňové agendy pro Správce, v rozsahu a v souladu s podmínkami Smlouvy o poskytování služeb. Zpracování Osobních údajů je nezbytné pro splnění právních povinností, která se vztahují na Správce.
Purpose of processing of the Personal Data. The Processor shall process the Personal Data on the basis of the Agreement for the purpose of providing the Services, primarily the Services in the area of tax agenda for the Controller, in the scope of and in accordance with the conditions of the Service Contract. The processing of the Personal Data is necessary for the fulfilment of legal obligations that relate to the Controller.
2.3. Kategorie subjektů údajů. Zpracovatel bude zpracovávat Osobní údaje následujících subjektů údajů:
Categories of data subjects. The Processor shall process the Personal Data of the following data subjects:
a) Zaměstnanci Správce a jeho spřízněných osob / Employees of the Controller and its related parties
b) Bývalí / budoucí zaměstnanci Správce a jeho spřízněných osob / Former / future employees of the Controller and its related parties
c) Rodinní příslušníci zaměstnanců Správce a jeho spřízněných osob / Family members of the employees of the Controller and its related parties
(dále jen „Subjekty údajů“)
(hereinafter referred to as the “Data Subjects”)
2.4. Typ Osobních údajů. V rámci poskytování Služeb (především vedení daňové agendy) bude Zpracovatel zpracovávat následující typy Osobních údajů a dokumentů v rozsahu požadovaném zvláštními právními předpisy:
Types of the Personal Data. As part of the provided Services (especially keeping of tax agenda), the Processor shall process the following types of the Personal Data and documents in the scope required by the special legal regulations:
a) Identifikační údaje
Identification data
b) Kontaktní údaje
Contact data
c) Údaje o zaměstnání a předchozím / následujícím zaměstnání
Data on the employment and previous / following employment
d) Údaje o vzdělání
Education data
e) Mzdové údaje
Payroll data
f) Údaje o příjmech a souvisejících plnění, odměňovací struktury
Information about income and related benefits, remuneration structures
g)
h) Údaje o peněžních závazcích
Data on monetary liabilities
i) Údaje o bankovním účtu
Details of a bank account
j) Imigrační údaje
Immigration data
k) Údaje o docházce a absenci
Data on attendance and absences
l) Údaje pro uplatnění zaměstnaneckých výhod, daňových slev a odpočtů
Data for application of employee benefits, tax allowances and deductions
m) Zvláštní kategorie osobních údajů – údaje o zdravotním stavu, členství v odborech
Special category of the Personal Data – data on health status, participation in labour unions
2.5. Povaha a způsob zpracování. Zpracování Osobních údajů Zpracovatelem bude spočívat zejména ve shromažďování Osobních údajů a dokumentů obsahujících Osobní údaje, zpracování Osobních údajů v daňovém systému TaxEdit, vedení daňového spisu včetně nástrojů k tomu používaných, příprava zákonné dokumentace, výkazů a hlášení, předávání Osobních údajů státním orgánům a dalším oprávněným osobám. Zpracování bude probíhat automatizovaně i manuálně.
Nature and means of the processing. The processing of the Personal Data by the Processor shall consist primarily of the collection of the Personal Data and documents containing the Personal Data, the processing of the Personal Data in the tax system TaxEdit, the maintenance of tax files including used tools, the preparation of legal documentation, reports and announcements, providing of the Personal Data to state authorities and other authorised entities. The processing shall take place automatically and manually.
2.6. Doba trvání zpracování Osobních údajů. Zpracovatel bude Osobní údaje zpracovávat po dobu účinnosti Smlouvy o poskytování Služeb. V případě ukončení Smlouvy je Zpracovatel oprávněn uchovávat Osobní data po přiměřenou dobu s ohledem na promlčecí dobu daňových trestných činů, prekluzivní lhůty v daňovém řízení a pro ochranu práv Zpracovatele, tj. po dobu možného uplatnění škody klientem vůči Zpracovateli. Běh této doby se staví, pokud je nárok na náhradu škody skutečně uplatněn nebo má Zpracovatel důvodné podezření, že by klient takový nárok mohl uplatnit.
Duration of the processing of the Personal Data. The Processor shall process the Personal Data for the duration of the validity of the Service Contract. If the Agreement is terminated, the Processor is entitled to store the Personal Data for reasonable period reflecting the statute of limitations of tax delicts, preclusive time limits for tax proceedings and protection of the Processor’s rights, i.e. for the period for which the client can claim the compensation of loss caused by Processor. This time period is interrupted if the loss compensation is claimed or the Processor has a reasonable suspicion that the client can claim such compensation.
3. PRÁVA A POVINNOSTI SPRÁVCE
RIGHTS AND OBLIGATIONS OF THE CONTROLLER
3.1. Prohlášení Správce. Správce prohlašuje, že:
Declaration of the Controller. The Controller declares that:
a) bude získávat a shromažďovat Osobní údaje pouze v rozsahu a v souladu s Nařízením a dalšími právními předpisy,
It will acquire and collect the Personal Data solely in the scope of and in accordance with the Regulation and other legal regulations,
b) je povinen zpracovávat Osobní údaje pro plnění svých právních povinností,
It is obliged to process the Personal Data for the fulfilment of its legal obligations,
c) je oprávněn zpracovávat Osobní údaje bez souhlasu Subjektů údajů,
It is authorised to process the Personal Data without the approval of the Data Subjects,
d) je oprávněn poskytovat Osobní údaje ke zpracování Zpracovateli,
It is authorised to provide the Personal Data to the Processor for processing,
e) je oprávněn uzavřít Xxxxxxx se Zpracovatelem.
It is authorised to conclude the Agreement with the Processor.
3.2. Práva Správce. Správce má právo být pravidelně informován o stavu ochrany Osobních údajů, zejména o plánovaných změnách v procesech a systémech užívaných při zpracování Osobních údajů a o všech bezpečnostních incidentech týkajících se Osobních údajů, a vykonávat pravidelné kontroly u Zpracovatele ohledně zpracování Osobních údajů.
Rights of the Controller. The Controller has the right to be regularly informed of the state of the protection of the Personal Data, particularly on planned changes in the processes and systems used when processing the Personal Data and on all security incidents concerning the Personal Data, and to perform regular inspections at the Processor with regard to the processing of the Personal Data.
3.3. Povinnosti Správce. Správce je povinen:
Obligations of the Controller. The Controller is obliged:
a) předávat Osobní údaje (včetně příslušné dokumentace) v termínech a v rozsahu sjednaném ve Smlouvě o poskytování služeb,
To submit the Personal Data (including the respective documentation) by the deadlines and in the scope agreed in the Service Contract,
b) předávat přesné Osobní údaje a v případě potřeby je aktualizovat,
To submit the accurate Personal Data and, if necessary, update it,
c) předávat Osobní údaje pouze zabezpečeným způsobem (např. datovou schránkou, pseudonymizované Osobní údaje nebo šifrované Osobní údaje), To submit the Personal Data solely in a secure manner (e.g. by data box, pseudonymised Personal Data or encrypted Personal Data),
d) udělovat své pokyny ke zpracování Osobních údajů prokazatelným způsobem, tj. písemně nebo e-mailem a v neodkladných záležitostech i ústně s tím, že tento pokyn bude následně potvrzen e-mailem nebo písemně,
To give instructions for the processing of the Personal Data in a demonstrable manner, i.e. in writing or by email and, in urgent matters, orally as well, where these instructions will be subsequently confirmed by an e-mail or in writing,
e) v případě, že pokyny Správce porušují Nařízení nebo jiné právní předpisy a Zpracovatel na to Správce upozorní, bezodkladně změnit své pokyny ke zpracování Osobních údajů,
If the Controller’s instructions breach the Regulation or other legal regulations and the Processor informs the Controller thereon, to change its instructions for the processing of the Personal Data without delay,
f) informovat Subjekty údajů o zpracování Osobních údajů Zpracovatelem ke dni účinnosti Xxxxxxx,
To inform the Data Subjects of the processing of the Personal Data by the Processor by the date the Agreement comes into effect,
g) dodržovat základní zásady pro zpracování Osobních údajů stanovené Nařízením a odpovídá za jejich dodržování v průběhu celého zpracování Osobních údajů.
To follow the basic principles of the processing of the Personal Data specified by the Regulation and shall be liable for the compliance therewith during the course of the entire processing of the Personal Data.
4. POVINNOSTI ZPRACOVATELE
OBLIGATIONS OF THE PROCESSOR
4.1. Povinnosti Zpracovatele. Zpracovatel se zavazuje plnit povinnosti zpracovatele stanovené Nařízením, případně dalšími právními předpisy a touto Smlouvou, a to zejména:
Obligations of the Processor. The Processor undertakes to fulfil the obligations of the Processor specified by the Regulation, any other legal regulations and this Agreement, primarily:
a) zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání Osobních údajů do třetí země (mimo EHP), ledaže Správci toto předání ukládá právo EU nebo České republiky; v takovém případě je Zpracovatel povinen Správce informovat o takovém právním požadavku před samotným zpracováním, pokud mu to nezakazují výše uvedené právní předpisy,
To process the Personal Data solely on the basis of the Controller’s documented instructions, including in the matters of the transfer of the Personal Data to third countries (outside the EEA), unless the transfer is imposed on the Controller by the EU or Czech legislation; in such a case the Processor is obliged to inform the Controller of such legal requirement before the actual processing, provided the aforementioned legal regulations do not prohibit it;
b) dodržovat prostředky a způsoby zpracování Osobních údajů stanovené touto Smlouvou,
To comply with the means and methods of processing the Personal Data specified herein;
c) zajistit, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahovala zákonná povinnost mlčenlivosti,
To ensure that the persons authorised to process the Personal Data are bound to confidentiality or by the legal obligation of confidentiality;
d) přijmout všechna bezpečnostní opatření požadovaná Nařízením, dalšími právními předpisy a Xxxxxxxx,
To accept all the security measures required by the Regulation, other legal regulations and the Agreement;
e) nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného povolení Správce. V případě obecného písemného povolení bude Zpracovatel Správce informovat o veškerých změnách týkajících se přijetí další zpracovatelů nebo jejich nahrazení, a poskytne Správci příležitost vyslovit vůči těmto změnám námitky,
Not to include any other processor in the processing without the Controller’s prior specific or general approval. In the case of the general written approval, the Processor shall inform the Controller of all changes concerning the inclusion of other processors or their replacement, and shall provide the Controller with an opportunity to express objections to these changes;
f) být nápomocen pro splnění povinnosti Správce reagovat na žádosti Subjektů údajů, zejména umožnit Subjektům údajů přístup k Osobním údajům, včetně poskytnutí kopie Osobních údajů, opravit nebo doplnit nepřesné Osobní údaje, vymazat Osobní údaje, které již nejsou zapotřebí, nebo jsou zpracovány protiprávně, a omezit zpracování, pokud jsou zpracovávány nepřesné Osobní údaje nebo Subjekty údajů požadují omezení zpracování místo výmazu Osobních údajů. Zpracovatel je povinen na výzvu Správce ohledně žádosti Subjektů údajů reagovat bezodkladně a předat požadované informace nebo sdělení Správci nejpozději do 1 měsíce od obdržení výzvy Správce. V případě, že požadavek Subjektu údajů je oprávněný a Zpracovatel nemůže příslušné informace nebo sdělení poskytnout ve výše uvedené lhůtě, je povinen v této lhůtě Správce informovat o této skutečnosti a jejích důvodech,
To help to fulfil the Controller’s obligation to react to the Data Subjects’ requests, particularly by enabling to the Data Subjects access to the Personal Data, including providing a copy of the Personal Data, rectifying inaccurate Personal Data, adding Personal Data, erasing Personal Data that is no longer required or that is processed illegally, and restricting the processing of the Personal Data if inaccurate Personal Data is processed or if the Data Subjects request the restriction of the processing instead of the erasing of the Personal Data. The Processor is obliged to react without delay to a notice from the Controller regarding the Data Subject’s request and to submit the required information or notification to the Controller no later than within one month of the receipt of the Controller’s notice. If the Data Subject’s request is justified and the Processor cannot provide the relevant information or notification in the aforementioned period of time, it is obliged to inform the Controller of this fact and its reasons in this period of time;
g) být nápomocen Správci při plnění povinností podle Nařízení, zejména při plnění povinnosti zabezpečit zpracování Osobních údajů a ohlašovat bezpečnostní incidenty Úřadu pro ochranu osobních údajů a Subjektům údajů,
To help the Controller to fulfil the obligations pursuant to the Regulation, particularly when fulfilling the obligation to secure the processing of the Personal Data and to announce the Personal Data breach to the Office for the Protection of Personal Data and to the Data Subjects;
h) v případě zjištění bezpečnostního incidentu ohlásit tento incident bez zbytečného odkladu Správci a vést evidenci o všech bezpečnostních incidentech týkajících se Osobních údajů,
If any Personal Data breach is discovered, to announce this incident without undue delay to the Controller and to keep records about all the Personal Data breaches;
i) zasílat všechna sdělení, informace a hlášení v elektronické formě s příslušným zabezpečením, ledaže Správce stanoví jinak,
To send all the notifications, information and announcements in an electronic form with the relevant security, unless the Controller specifies otherwise;
j) poskytnout Správci veškeré informace potřebné k doložení splnění všech povinností podle Nařízení, dalších právních předpisů a Smlouvy,
To provide the Controller with all the information required to document the fulfilment of all the obligations pursuant to the Regulation, other legal regulations and the Agreement;
k) umožnit Správci nebo pověřenému auditorovi audity a inspekce zpracování Osobních údajů Zpracovatelem a přispívat k těmto auditům,
To enable the Controller or an authorised auditor to audit and inspect the processing of the Personal Data by the Processor and to contribute to these audits;
l) informovat neprodleně Správce v případě, že určitý pokyn Správce pravděpodobně porušuje Nařízení, jiné právní předpisy nebo Xxxxxxx,
To inform the Controller without delay if any of the Controller’s instructions probably breaches the Regulation, other legal regulations or the Agreement;
m) vést záznam o činnosti zpracování ohledně zpracování Osobních údajů podle Xxxxxxx,
To keep a record of the processing activities regarding the processing of the Personal Data pursuant to the Agreement;
n) nepředávat Osobní údaje třetím osobám bez pověření Správce,
Not to transfer the Personal Data to third parties without the Controller’s authorisation;
o) při skončení zpracování z důvodu ukončení poskytování Služeb vymazat (včetně kopií) nebo vrátit Osobní údaje Správci v souladu s jeho rozhodnutím s výjimkou uvedenou v článku 2.6. této smlouvy.
When terminating the processing due to the termination of providing the Services, to erase (including copies) or return the Personal Data to the Controller in accordance with its decision with an exception stipulated in Article 2.6 of the Agreement.
5. TECHNICKÉ A ORGANIZAČNÍ ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
TECHNICAL AND ORGANISATIONAL SECURITY TO PROTECT THE PERSONAL DATA
5.1. Povinnost zamezit neoprávněnému zpracování Osobních údajů. Zpracovatel se zavazuje přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
The obligation to limit unauthorised processing of the Personal Data. The Processor undertakes to take such measures to prevent the unauthorised or accidental access, changes, destruction or loss of the Personal Data, to prevent unauthorised transfers, other unauthorised processing and other misuse of the Personal Data.
5.2. Ochranná opatření. Zpracovatel se zavazuje učinit zejména následující ochranná opatření:
Protective measures. The Processor undertakes to primarily take the following protective measures:
a) chránit prostory, ve kterých jsou zpracovávány Osobní údaje. Způsoby zabezpečení upravuje vnitřní směrnice Zpracovatele.
To protect the spaces in which the Personal Data is processed. The security methods are regulated by the Processor’s internal regulations.
b) chránit přístup do IT systémů, ve kterých jsou zpracovávány Osobní údaje. Způsoby zabezpečení upravuje vnitřní směrnice Zpracovatele.
To protect access to the IT systems in which the Personal Data is processed. The security methods are regulated by the Processor’s internal regulations.
c) chránit papírové spisy, dokumenty a další média obsahující Osobní údaje před neoprávněným přístupem uzamčením ve skřínkách a archivech, dodržování pravidel čistého stolu a zákazu hromadění dokumentů na tiskárnách, kopírkách a faxech,
To protect the paper files, documents and other media containing the Personal Data against unauthorised access by locking them in cabinets and archives, by adhering to the clean table rules and a ban on gathering documents at printers, copy machines and fax machines,
d) určit pověřené zaměstnance ke zpracování Osobních údajů, pouze tito zaměstnanci jsou oprávněni k přístupu a zpracování Osobních údajů v souladu s ustanoveními Smlouvy,
To specify authorised employees for the processing of the Personal Data. Only these employees are authorised to access and process the Personal Data in accordance with the provisions herein,
e) poučit o povinnosti zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních zaměstnance Zpracovatele a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s Osobními údaji u Zpracovatele,
To provide instruction on the obligation to maintain confidentiality on the Personal Data and on the security measures to the Processor’s employees and other persons that come into contact with the Personal Data at the Processor within the fulfilment of the legally specified authorisation and obligations,
f) pravidelně školit zaměstnance Zpracovatele v oblasti ochrany Osobních údajů a testovat jejich znalosti,
To regularly train the Processor’s employees in the area of the protection of the Personal Data and to test their knowledge,
g) v případě porušení povinností při zpracování Osobních údajů zaměstnanci Zpracovatele vyvodit maximální možné důsledky podle pracovněprávních předpisů,
In the event of a breach of the obligations when processing the Personal Data by the Processor’s employees, to apply the maximum possible consequences pursuant to the labour regulations,
h) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány,
To make electronic records that make it possible to determine and verify when the Personal Data was recorded or otherwise processed, by whom and for what reason,
i) pravidelně testovat a hodnotit účinnost zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
To regularly test and evaluate the effect of the introduced technical and organisational measures for ensuring the security of the processing,
j) zajistit neustálou dostupnost všech systémů zpracování a obnovit dostupnost Osobních údajů v případě bezpečnostních incidentů,
To ensure the constant accessibility of all the processing systems and to renew the accessibility of the Personal Data in the event of any Personal Data breach,
k) přijmout případně další technická opatření, která jsou obecně uznávána jako bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.
To accept any other technical measures generally recognised as security measures for the used method of processing the Personal Data.
5.3. Povinnost dokumentovat přijatá opatření. Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu se zákonem a jinými právními předpisy.
The obligation to document the accepted measures. The Processor undertakes to process and document the accepted and implemented technical/organisational measures for ensuring the protection of the Personal Data in accordance with the Regulation and other legal regulations.
6. ŘETĚZENÍ ZPRACOVATELŮ
CHAINING OF PROCESSORS
6.1. Správce tímto souhlasí se zapojením dalšího zpracovatele – dodavatel IT systémů.
The Controller hereby agrees with the involvement of another processor – IT supplier.
6.2. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli na základě smlouvy o zpracování osobních údajů uloženy stejné povinnosti na ochranu Osobních údajů, jako má Zpracovatel, aby zpracování splňovalo požadavky Nařízení a jiných právních předpisů.
If the Processor involves another processor in order to perform certain processing activities in the name of the Controller, the same obligations to protect the Personal Data must be applied to another processor based on an agreement on the processing of personal data so that the processing fulfils the requirements of the Regulation and other legal regulations.
6.3. Neplní-li další zpracovatel své povinnosti v oblasti ochrany Osobních údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále Zpracovatel.
If another processor does not fulfil its obligations in the area of the protection of the Personal Data, the Processor shall be still responsible to the Controller for the fulfilment of the obligations of another processor in question.
7. ODPOVĚDNOST SMLUVNÍCH STRAN
LIABILITY OF THE CONTRACTUAL PARTIES
7.1. Odpovědnost Správce. Správce odpovídá za dodržení všech zásad a povinností při zpracování Osobních údajů. Pokud Zpracovatel poruší Nařízení a Smlouvu tím, že určí účely a prostředky pro zpracování Osobních údajů, považuje se ve vztahu k takovému zpracování za správce. V této souvislosti se smluvní strany zavazují bez zbytečného odkladu vypořádat vzájemná práva a povinnosti podle míry své účasti na porušení povinnosti.
Liability of the Controller. The Controller is liable for adhering to all the principles and obligations when processing the Personal Data. If the Processor breaches the Regulation and the Agreement by specifying the purposes and means for the processing of the Personal Data, it is considered to be the controller in relation to such processing. In this case the Contractual Parties undertake, without undue delay, to settle the mutual rights and obligations according to their participation in the breach of the obligations.
7.2. Náhrada újmy. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním Osobních údajů, které porušuje Nařízení, jiné právní předpisy a Smlouvu. Zpracovatel je odpovědný za újmu pouze v případě, že nesplnil povinnosti stanovené Nařízením, jinými právními předpisy nebo Xxxxxxxx konkrétně pro zpracovatele nebo že jednal nad rámec pokynů Správce nebo v rozporu s nimi. Správce nebo Zpracovatel se odpovědnosti za újmu zprostí, pokud prokážou, že nenesou žádným způsobem odpovědnost za událost, která vedla ke vzniku újmy. Jestliže Správce nebo Zpracovatel zaplatí plnou náhradu způsobené újmy, má právo žádat po druhé Smluvní straně vrácení části náhrady, která odpovídá jejímu podílu na odpovědnosti za újmu.
Compensation for damages. The Controller involved in the processing is liable for the damage that it causes by the processing of the Personal Data that breaches the Regulation, other legal regulations and the Agreement. The Processor is only liable for the damages when it does not fulfil the obligations specified by the Regulation, other legal regulations or the Agreement, specifically for the processor, or that it acted beyond or contrary to the Controller’s instructions. The Controller or the Processor is absolved from the liability for damages if it proves that it, in no manner, bears any responsibility for the event that led to the damages. If the Controller or the Processor pays the full compensation of the caused damages, it has the right to ask the other Contractual Party to return that part of the compensation that corresponds to its share in the liability for the damages.
8. DOBA TRVÁNÍ SMLOUVY A JEJÍ UKONČENÍ
DURATION OF AGREEMENT AND ITS TERMINATION
8.1. Účinnost. Smlouva nabývá účinnosti jejím uzavřením. Smlouva je sjednána na dobu určitou, a to od nabytí její účinnosti do ukončení Smlouvy o poskytování Služeb.
Effectiveness. The Agreement comes into effect when it is concluded. The Agreement is concluded for a fixed term, specifically from the moment of its effect until the Service Contract is terminated.
9. ZÁVĚREČNÁ USTANOVENÍ
FINAL PROVISIONS
9.1. Oddělitelnost. Stane-li se některé ustanovení Smlouvy neplatným, považuje se za neplatné pouze toto ustanovení, pokud z jeho povahy nebo obsahu anebo okolností, za nichž bylo sjednáno, nevyplývá, že jej nelze oddělit od ostatního obsahu Smlouvy. V případě neplatnosti některého ustanovení Smlouvy bude toto ustanovení Smluvními stranami nahrazeno platným ustanovením nejbližšího významu tak, aby úmysl Smluvních stran nebyl takovou změnou dotčen.
Separability. If any of the provisions of the Agreement becomes invalid, only this provision is considered to be invalid if, from its nature or content or the circumstances under which it was negotiated, it does not follow that it cannot be separated from the remaining content of the Agreement. In the event of the invalidity of some of the provisions of the Agreement, the Contractual Parties shall replace these provisions by valid provisions closest in meaning so that the intention of the Contractual Parties is not affected by such a change.
9.2. Písemná forma. Smlouvu je možné měnit pouze písemnou dohodou Smluvních stran ve formě číslovaných dodatků Smlouvy podepsaných oprávněnými zástupci obou Smluvních stran.
Written form. The Agreement can only be changed with a written agreement by the Contractual Parties in the form of numbered supplements to the Agreement signed by the authorised representatives of both Contractual Parties.
9.3. Stejnopisy. Smlouva je uzavřena ve dvou vyhotoveních, z nichž každá ze Smluvních stran obdrží po jednom vyhotovení.
Counterparts. The Agreement is concluded in two counterparts, with each of the Contractual Parties receiving one counterpart.
9.4. Svobodný projev vůle. Smluvní strany tímto prohlašují, že Smlouva byla vytvořena na základě jejich svobodné vůle, že nebyla podepsána pod nátlakem ani hrozbou a že jsou plně srozuměny s obsahem Smlouvy.
Free expression of will. The Contractual Parties hereby declare that the Agreement was created on the basis of their free will, that it was not signed under pressure or threat and that they are fully aware of the contents of the Agreement.
NA DŮKAZ ČEHOŽ OBĚ SMLUVNÍ STRANY PŘIPOJUJÍ SVÉ PODPISY:
AS A PROOF OF WHICH BOTH CONTRACTUAL PARTIES AFFIX THEIR SIGNATURES:
V / In
Masarykova univerzita
dne / on 06.11.2018
Podpis/Signature: |
|
Jméno/Name: | Xxx. Xxxxx Xxxxxxxx, MBA |
Funkce/Position: | kvestorka univerzity |
V Praze dne / In Prague on 29.10.2018
Mazars s.r.o.
Podpis/Signature: |
|
Jméno/Name: | Xxxxx Xxxxx |
Funkce/Position: | Jednatel |