Zpracovatelská smlouva – smlouva o zpracování osobních údajů
Zpracovatelská smlouva – smlouva o zpracování osobních údajů
uzavřená mezi:
Zákazníkem: ...................................................................................................................................
se sídlem: .........................................................., město: ........................................., PSČ ...............
IČ: ..................... e-mail: ..................................................................... telefon:.............................
zastoupená ..............................................................................
(dále jen „Správce“) A
EURO OPERATOR a.s.
se sídlem Družební 769/2D, Olomouc , 779 00, IČ: 01857711, DIČ: CZ01857711
společnost zapsaná v obchodním rejstříku zapsaném u Městského soudu v Praze, oddíl B, vložka 19171 zastoupená Xxxxx Xxxxxxxxx, předsedou představenstva
(dále jen „Zpracovatel“)
(dále společně jen „Smluvní strany”)
I. Úvodní ustanovení
1. EURO OPERATOR se zavázal poskytovat Správci služby elektronických komunikací v rozsahu které EURO OPERATOR nabízí svým zákazníkům.
2. Řádné poskytování Služby vyžaduje mimo jiné i zpracování osobních údajů zákazníků, třetích osob a zaměstnanců Správce (dále jen „Osobní údaje“), které pro Správce bude provádět Zpracovatel. Rozsah zpracování Zpracovatelem je přesně definován v této Smlouvě.
3. S ohledem na výše uvedené Smluvní strany uzavírají v režimu Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen „Nařízení”) a ve spojení se zákonem o zpracování osobních údajů následující smlouvu o zpracování osobních údajů (dále jen „Smlouva“).
4. EURO OPERATOR není zpracovatelem žádných osobních údajů (pro) Správce, vyjma přesně vyjmenovaných situací v této Smlouvě. Z hlediska právního je EURO OPERATOR ve vztahu zpracovatele vůči zákazníkům EURO OPERATOR, kteří využívají služby EURO OPERATOR, protože data jsou ukládána na serverech EURO OPERATOR.
5. EURO OPERATOR však nikdy nezasahuje jakkoliv (s výjimkou technických zásahů nutných pro provoz Služby), zejména obsahově a technicky do dat, která mají zákazníci EURO OPERATOR umístěna na serverech (nebo jiných technických zařízeních obdobné povahy – dále jen
„Servery”) u EURO OPERATOR.
6. EURO OPERATOR, jako Zpracovatel se svými zákazníky uzavírá pro každou službu samostatnou Zpracovatelskou smlouvu a není smluvně a právně oprávněn jakkoliv obsahově nebo technicky zasahovat do žádných dat (včetně dat a informací osobní povahy) svých zákazníků na serverech EURO OPERATOR.
II. Předmět Smlouvy
1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů, které Zpracovatel získá v souvislosti s poskytováním svých Služeb Správci. Jedná se o Osobní údaje, které Správce ukládá nebo má uložené, na serverech Zpracovatele a to v souladu se Službou, kterou Zpracovatel poskytuje Správci.
III. Podmínky zpracování Osobních údajů
1. Osobní údaje budou zpracovány v rozsahu:
• ukládání dat „patřících” Správci a zpracovávaných Správcem na serverech Zpracovatele,
• zálohování dat „patřících” Správci a zpracovávaných Správcem na serverech Zpracovatele , přičemž zálohování je Zpracovatelem prováděno v souladu s nastavením jednotlivých služeb,
• obnova dat ze zálohy v případě dat „patřících” Správci a zpracovávaných Správcem na serverech Zpracovatele.
2. Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou standardně Zvláštní kategorie osobních údajů (tzv. zvláštní a citlivé) údaje ve smyslu Nařízení. Předmětem zpracování osobních údajů spadajících do těchto Zvláštních kategorií osobních údajů, tedy zvláštní a citlivé údaje, tj. takové údaje, které například vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, případně genetické a biometrické údaje (jež jsou zpracovávány za účelem jedinečné identifikace fyzické osoby), je předmětem zpracování na základě této Smlouvy jen v případě, že Správce dodržuje a splňuje všechny zvýšené nároky na zabezpečení a zvýšené nároky na správu a zpracování těchto zvláštních a citlivých údajů v souladu s Nařízením, případně dalšími souvisejícími právními předpisy. EURO OPERATOR není oprávněn a technicky schopen posuzovat, zda se jedná o data patřící do Zvláštní kategorie osobních údajů.
3. Zpracováním Osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich ukládání na serverech a datových úložištích (ukládání na nosiče informací) Zpracovatele a provozní manipulace související s provozem těchto serverů a datových úložišť Zpracovatele. Zpracovatel není oprávněn zasahovat do ukládaných dat, ovlivňovat shromažďování a proces shromažďování těchto dat, nezasahuje do obsahu nebo používání těchto dat, nezasahuje do třídění nebo kombinování, blokování, anonymizace, mazání a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) těchto dat. Zpracovatel nikdy nezasahuje do ukládaných dat. Vše ze strany Zpracovatele probíhá jen v rozsahu
nezbytném pro zajištění řádného poskytování Služeb. V rámci oprávněného zájmu k řádnému zajištění poskytovaných služeb je Zpracovatel výjimečně oprávněn skenovat ukládaná data (a to skutečně jen pro technické zajištění provozu Služby), například z důvodu kontroly antivirem (či obdobným programem), opravy práv k souborům nebo instalací různých softwarů a redakčních systémů. V žádném případě Zpracovatel nemá právo tato data dále analyzovat a zpracovávat nebo do obsahu těchto dat jakkoliv zasahovat.
4. Osobní údaje budou zpracovány po dobu poskytování Služeb s tím, že ukončením smlouvy o poskytování Služeb bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají povinnosti Zpracovatele týkající se bezpečnosti a ochrany Osobních údajů až do okamžiku jejich úplné likvidace.
5. Smluvní strany se dohodly, že zpracování Osobních údajů na základě této Smlouvy bude bezplatné a je součástí poskytované Služby, přičemž Zpracovatel nemá nárok na náhradu nákladů spojených s plněním této Smlouvy. Tím není dotčen nárok Zpracovatele na odměnu za poskytování Služeb.
IV. Povinnosti Správce
1. Správce je při plnění této Smlouvy povinen:
a) zajistit, že Osobní údaje budou zpracovány vždy v souladu s Nařízením a zákonem o zpracování osobních údajů, že tyto údaje budou aktuální, přesné a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování;
b) přijmout vhodná opatření, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná Nařízením a zákonem o zpracování osobních údajů;
c) při ukončení využívání Služby smazat všechna data a jejich kopie, včetně jakýchkoliv Osobních údajů uložených na serverech Zpracovatele.
V. Povinnosti Zpracovatele
1. Zpracovatel je při plnění této Smlouvy povinen:
a) nezapojit do zpracování Osobních údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce.
b) Zpracovatel je oprávněn odmítnout provedení pokynů Správce v případě, že zpracování Osobních údajů je nad rámec poskytované služby;
c) zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve
smyslu Nařízení; Zpracovatel není komukoliv oprávněn poskytovat jakékoliv informace a Osobní údaje, náhledy dat a exporty dat a podklady z dat Správce. Zpracovatel do dat Správce nezasahuje.
d) na žádost Správce kdykoliv umožnit provedení auditu či inspekce týkající se zpracování Osobních údajů, přičemž tento krok bude zpoplatněn podle hodinové sazby dle aktuálního ceníku Zpracovatele;
e) maximální doba trvání zpracování a doba uchování osobních údajů je totožná s dobou provozu Služby. Po uplynutí této lhůty budou osobní údaje zlikvidovány v souladu s touto Smlouvou;
f) Osobní údaje je možné zpracovávat pouze na pracovištích Zpracovatele nebo jeho dodavatelů (subdodavatelů, poddodavatelů), a to zejména na území Evropské unie. Zpracovatel je povinen zpracovávat Osobní údaje v souladu s právními předpisy, zejména se Zákonem o ochraně osobních údajů;
g) po skončení této Smlouvy smazat všechny Osobní údaje zpracované po dobu poskytování Služeb (s výjimkou situací, kde je Zpracovatel povinen data uchovat podle zákona nebo na základě zvláštních žádostí státních orgánů. Zpracovatel je povinen bezodkladně, nejpozději však do 30 dnů od ukončení služby data zlikvidovat a ze serverů smazat. Osobní údaje nejsou automaticky mazány z již provedených záloh. Zálohy jsou periodicky mazány v souladu s nastavením jednotlivých služeb. Tímto periodickým mazáním záloh dochází k automatickému následnému smazání Osobních údajů ze všech zařízení Zpracovatele (a to nejpozději 180 dní od pořízení příslušné zálohy);
h) Zpracovatel žádným způsobem neodpovídá za bezpečnost a ochranu dat, která souvisí s organizační, personální nebo technickou úrovní nebo činností Správce. Zpracovatel neodpovídá za bezpečnost zvoleného technického řešení (například volbu operačního systému nebo redakčního systému).
VI. Vzájemné povinnosti Smluvních stran
1. Smluvní strany jsou při plnění této Smlouvy povinny:
a) zavést technická, organizační, personální a jiná vhodná opatření ve smyslu Nařízení, aby zajistily a byly schopny kdykoliv doložit, že zpracování Osobních údajů je prováděno v souladu s Nařízením a zákonem o zpracování osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům a k datovým nosičům, které tyto údaje obsahují, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití, a tato opatření podle potřeby průběžné revidovat a aktualizovat;
b) vést a průběžně revidovat a aktualizovat záznamy o zpracování Osobních údajů ve smyslu Nařízení;
c) řádně a včas ohlašovat případná porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a spolupracovat s tímto úřadem v nezbytném rozsahu;
d) navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
e) zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
f) postupovat v souladu s dalšími požadavky Nařízení a zákona o zpracování osobních údajů, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost.
VII. Technické a organizační zabezpečení ochrany osobních údajů
1. Zpracovatel se zavazuje, že technicky (v souladu s obecně známými znalostmi a povědomím) a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti zpracovatele osobních údajů, vyplývající z právních předpisů, včetně evropských právních předpisů, pokud na zpracování osobních údajů dopadají.
2. Zpracovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Zpracovatele v rámci jeho systému řízení bezpečnosti informací.
3. Zpracovatel se zavazuje, že zpracovávání údajů bude zabezpečeno zejména následujícím způsobem:
a) k osobním údajům budou mít přístup pouze oprávněné osoby Zpracovatele, které budou mít Zpracovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem;
b) osobní údaje budou zpracovávány v prostorách Zpracovatele do nichž budou mít přístup pouze oprávněné osoby Zpracovatele nebo jeho dodavatelé (subdodavatelé, pod-dodavatelé);
c) oprávněné osoby Zpracovatele, které zpracovávají osobní údaje podle této Smlouvy, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení.
VIII. Další povinnosti
1. V případě zjištění narušení zabezpečení ochrany zpracovávaných osobních údajů, neoprávněného nebo nahodilého přístupu k osobním údajům, zničení či ztráty, neoprávněného přenosu, nebo jiného neoprávněného zpracování nebo zneužití, je Zpracovatel povinen bezodkladně informovat Správce a je povinen bezodkladně přijmout opatření k odstranění závadného stavu. O přijatých opatřeních je Zpracovatel povinen bezodkladně písemně nebo emailem nebo prostřednictvím sms informovat Správce.
2. Po ukončení této Smlouvy provede Zpracovatel: - vymazání všech dat ze serverů Zpracovatele, s výjimkou záloh; - mazání dat ze záloh probíhá periodicky v souladu s technickým nastavením zálohování Zpracovatele (v souladu s bodem V. Odstavec i) této Smlouvy)
3. Všechna osobní data a osobní údaje jsou nebo mohou být pravidelně zálohovány (a to v rozsahu, který je v souladu s nastavením parametrů jednotlivých služeb). V provedených zálohách (souborech, snapshotech apod.) EURO OPERATOR do obsahu dat nezasahuje a nic v těchto zálohách nemaže (a to ani v případě výslovné žádosti Správce nebo jakékoliv třetí osoby, bez ohledu na to, zda mazání je nebo není technicky možné). V případě obnovy dat ze zálohy není EURO OPERATOR právně a smluvně oprávněn a technicky schopen udělat kroky, aby zajistil, že Osobní data byla v souladu s aktuálním stavem před zálohou a proto je povinností Správce obnovená data upravit tak, aby Osobní údaje byly v souladu s povinnostmi Správce vůči subjektům těchto Osobních údajů či jiných dotčených třetích osob.
4. V případě, že (například) dojde k poškození některých technických zařízení a tím k poškození některých osobních údajů, tak je EURO OPERATOR oprávněn obnovit všechna potřebná data ze zálohy, která je k tomuto určena. EURO OPERATOR se zavazuje, že nejpozději do 15 dnů od obnovení dat bude informovat Správce. Správce bude informován e-mailem, který je aktuálně veden v nastavení Služby. EURO OPERATOR provede obnovu dat z příslušné zálohy a to k datu příslušné zálohy. Správce je povinen z obnovených dat vymazat (případně jinak odstranit) nebo anonymizovat, všechna data (osobní údaje), která tam již nemají být dostupná.
IX. Závěrečná ustanovení
1. Tato Xxxxxxx a právní poměry z ní vzešlé a s ní související se řídí Nařízením a právními předpisy České republiky, zejména pak ustanoveními zákona o zpracování osobních údajů.
2. Tato Smlouva nabývá platnosti a účinnosti okamžikem podpisu poslední ze Smluvních stran, případně elektronickou akceptací Správcem na webových stránkách EURO OPERATOR (například formou stažení této Smlouvy ve formátu PDF).
3. Tuto Smlouvu lze měnit, doplňovat nebo zrušit pouze písemně, nikoliv ovšem prostřednictvím elektronických zpráv bez kvalifikovaného elektronického podpisu ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (eIDAS). Výpovědní lhůta pro vypovězení (ukončení) této smlouvy odpovídá výpovědní lhůtě Služby.
4. Změny nebo doplňky této Smlouvy včetně jejích příloh musejí být vyhotoveny písemně formou dodatku, datovány a podepsány oběma smluvními stranami s podpisy smluvních stran na jedné listině, ledaže Smlouva v konkrétních případech stanoví jinak.
5. Tato Smlouva se vyhotovuje elektronicky ve formátu PDF, přičemž dokument je elektronicky podepsán důvěryhodným elektronických certifikátem. Smlouva se nevystavuje v papírové podobě.
6. Smluvní strany prohlašují, že si návrh této Xxxxxxx pozorně a pečlivě přečetly, že dobře rozumí jeho obsahu a že ten odpovídá jejich skutečné vůli, na důkaz čehož připojují své podpisy a uzavírají tuto Smlouvu.
V.................................. dne ...................................
Zá Správce: Za Zpracovatele:
Xxxx Xxxxxxx,
Předseda představenstva EURO OPERATOR s.r.o.