SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů („Smlouva“)
SMLUVNÍ STRANY
(1) [•]
(„Správce“) a
(2) [•]
(„Zpracovatel“)
PREAMBULE
(A) Služby poskytované mezi Stranami zahrnují aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu nařízení GDPR.
(B) Na základě čl. 28 odst. 3 GDPR je Správce povinen uzavřít se Zpracovatelem smlouvu o zpracování osobních údajů.
(C) Tato Smlouva představuje vedlejší ujednání ke Smlouvě o poskytování služeb uzavřené mezi Xxxxxxxx, která je identifikována níže v čl. 1.1 této Smlouvy. Tato Xxxxxxx upravuje vzájemná práva a povinnosti Stran při zpracování osobních údajů a má aplikační přednost před dřívějšími ujednáními Stran upravujících zpracování a ochranu Osobních údajů.
1. DEFINICE
1.1. Níže uvedené termíny, které jsou použity v této Smlouvě a které jsou uvozeny velkým písmenem, mají následující význam. Pojmy, jež nejsou v této Smlouvě výslovně definovány (subjekt údajů, zpracování osobních údajů apod.), mají význam stanovený v GDPR.
„Další zpracovatel“ znamená třetí osobu vystupující v postavení zpracovatele, kterou Zpracovatele zapojí do zpracování Osobních údajů;
„GDPR“ znamená nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
„Osobní údaje“ jsou osobní údaje, které Xxxxxxx získal nebo získá v souvislosti se svou podnikatelskou činností a které předává v souvislosti s poskytováním Služeb Zpracovateli;
„Předpisy na ochranu osobních údajů“ se rozumí právní předpisy obsahující úpravu zpracování osobních údajů, zejména GDPR a zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (do okamžiku, kdy bude nahrazen zákonem o zpracování osobních údajů);
„Služby“ znamenají veškeré služby, které Správci na základě Smlouvy o poskytování služeb poskytuje Zpracovatel a které v sobě zahrnují zpracování osobních údajů Zpracovatelem pro Správce;
„Smlouva o poskytování služeb“ znamená [•];
„Strana“ znamená smluvní stranu této Smlouvy.
0. PŘEDMĚT A ÚČEL SMLOUVY
0.0. Strany se dohodly, že Zpracovatel bude pro Správce zajišťovat zpracování Osobních údajů jako součást plnění Smlouvy o poskytování služeb (tj. při poskytování Služeb).
0.1. Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele k zajištění ochrany Osobních údajů při jejich zpracování.
0.2. Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů, ke kterému dochází při poskytování Služeb.
0.3. Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technické a organizační bezpečnosti Osobních údajů.
1. XXXX, ROZSAH A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
1.0. Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle této Smlouvy. Zpracovatel nebude Osobní údaje zpracovávat pro žádné jiné účely než pro účely související s plněním závazků ze Smlouvy o poskytování služeb.
1.1. Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje, které Správce [•]. Jedná se zejména o následující kategorie osobních údajů: [•].
1.2. V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné osobní údaje, je Zpracovatel povinen zpracovávat a chránit i tyto osobní údaje v souladu s požadavky vyplývajícími z Předpisů na ochranu osobních údajů a této Smlouvy.
1.3. Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy.
1.4. Pokud Zpracovatel zpracovává Osobní údaje ve větším rozsahu, než jaký je uveden v odst. 3.2 tohoto článku nebo po delší dobu, než jaká je uvedena v odst. 3.4 tohoto článku, platí, že takové zpracování neprovádí pro účely stanovené Správcem dle této Smlouvy a Správce za takové zpracování nenese odpovědnost.
2. PRÁVA A POVINNOSTI ZPRACOVATELE
2.0. Zpracovatel se zavazuje zpracovávat Osobní údaje tak, aby neporušil žádný Předpis na ochranu osobních údajů nebo nezpůsobil skutečnost, která by znamenala porušení Předpisu na ochranu osobních údajů Správcem. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, zejména tehdy, pokud by provedení takového pokynu vedlo k porušení Předpisů na ochranu osobních údajů. Zpracovatel je v takovém případě oprávněn pokyny provést pouze na základě písemného požadavku Správce.
2.1. Zpracovatel je povinen řídit se při zpracování Osobních údajů výhradně doloženými pokyny Správce, včetně otázek předání Osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právní předpisy, které se na Zpracovatele vztahují; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zahájením zpracování, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
2.2. Zpracovatel se zavazuje zajistit, aby se osoby oprávněné zpracovávat Osobní údaje na základě Smlouvy zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
2.3. Zpracovatel se zavazuje zohlednit povahu zpracování, být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v čl. 12 až 22 GDPR, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů. V případě, že kterýkoli subjekt údajů požádá Zpracovatele o výkon svých práv, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
2.4. Zpracovatel se zavazuje být Správci nápomocen při zajišťování souladu s povinnostmi podle čl.
32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici v rámci poskytování Služeb a plnění této Smlouvy.
2.5. Pokud Správce požádá Zpracovatele o podklady nezbytné pro posouzení vlivu na ochranu osobních údajů ve smyslu článku čl. 35 GDPR souvisejících se zpracováním Osobních údajů prováděného v rámci poskytování Služeb, Zpracovatel se zavazuje bezplatně dodat Správci veškeré takové podklady, včetně podkladů týkajících se plánovaných opatření k řešení rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů dle čl. 35 odst. 7 písm. d) GDPR. Zpracovatel se zavazuje Správci poskytnout nezbytnou součinnost k vyhotovení tohoto posouzení vlivu.
2.6. Po ukončení této Smlouvy, poskytování Služeb a/nebo v souladu s rozhodnutím Správce, pokud právní předpisy nestanoví povinnost uložení zpracovávaných Osobních údajů, Zpracovatel vymaže či zneškodní veškeré zpracovávané Osobní údaje, a to včetně veškerých záloh a včetně veškerých kopií uložených u Dalších zpracovatelů, ledaže Správce požádá, aby mu Zpracovatel vydal tyto Osobní údaje (resp. nosiče, na kterých jsou Osobní údaje uloženy).
2.7. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené ve Smlouvě, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět.
3. ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
3.0. Zpracovatel se zavazuje, že přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Předpisech na ochranu osobních údajů a k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.
3.1. Zpracovatel se zavazuje, že přijme zejména následující organizační a technická opatření:
(a) prostřednictvím vhodných technických prostředků zajistí důvěrnost, integritu, dostupnost a odolnost systémů zpracování a schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
(a) zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
(b) zpracováním Osobních údajů pověří pouze své vybrané zaměstnance, které smluvně zaváže a poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Předpisů na ochranu osobních údajů či této Smlouvy;
(c) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;
(d) bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
(e) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel, a bude Osobní údaje pravidelně zálohovat;
(f) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
(g) bude zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů. Zpracovatel se pro tyto účely zavazuje uchovávat šifrovací klíče nebo jiné identifikátory, které slouží k pseudonymizaci a šifrování, odděleně od Osobních údajů.
3.2. Zpracovatel se zavazuje zpracovávat Osobní údaje pouze na území Evropské unie. Osobní údaje mohou být zpracovávány mimo území Evropské unie pouze na základě výslovného písemného souhlasu Správce, o který Zpracovatel požádá s dostatečným předstihem.
3.3. Pokud bude Zpracovatel v souladu s čl. 5.3 předávat Osobní údaje mimo území Evropské unie či Evropského hospodářského prostoru, zavazuje se tak činit pouze na základě dostatečných záruk a v souladu s mechanismy GDPR pro předávání osobních údajů do třetích zemí, např. prostřednictvím standardních smluvních doložek podle rozhodnutí Evropské Komise 2010/87/EU nebo standardních ochranných doložek podle článku 46 („standardní doložky o ochraně osobních údajů“).
4. PORUŠENÍ ZABEZPEČENÍ
4.0. Jakmile Zpracovatel zjistí porušení zabezpečení zpracovávaných Osobních údajů dle Smlouvy, ohlásí takové porušení bez zbytečného odkladu, nejpozději však do 24 hodin, Správci. Takové ohlášení musí přinejmenším obsahovat:
a. popis povahy daného případu porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů i kategorií a přibližného množství dotčených Osobních údajů;
b. popis pravděpodobných důsledků porušení zabezpečení Osobních údajů;
c. popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout výše uvedené informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
0.2. V případě jakéhokoli případu porušení zabezpečení Osobních údajů, týkajícího se zpracovávaných Osobních údajů podle Smlouvy, Zpracovatel bezodkladně vyvine přiměřené úsilí, aby zabránil opakovanému výskytu takového porušení zabezpečení.
4.1. Zpracovatel dokumentuje veškeré případy porušení zabezpečení Osobních údajů, které
zpracovává podle Xxxxxxx, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí být k dispozici Správci a dozorovému úřadu.
7. DALŠÍ ZPRACOVATEL
4.2. Zpracovatel nesvěří zpracování Osobních údajů Dalšímu zpracovateli bez předchozího konkrétního písemného povolení Správce. Správce tímto poskytuje Zpracovateli povolení zapojit do zpracování následující Další zpracovatele: [•];
4.3. Pokud Zpracovatel zapojí Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Předpisů na ochranu osobních údajů.
4.4. Neplní-li uvedený Další zpracovatel své povinnosti v oblasti ochrany Osobních údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů prostřednictvím Dalších zpracovatelů.
5. ODMĚNA ZPRACOVATELE
5.0. Odměna za zpracování Osobních údajů je zahrnuta v odměně Zpracovatele za poskytování Služeb dle Xxxxxxx o poskytování služeb.
6. DOBA TRVÁNÍ A UKONČENÍ SMLOUVY
6.0. Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Stranami. Tato Xxxxxxx se uzavírá na dobu určitou, a to na dobu trvání Smlouvy o poskytování služeb. Tato smlouva může být ukončena v souladu s ustanovením čl. 9.2 níže.
6.1. Správce je oprávněn tuto Smlouvu vypovědět ve lhůtě patnácti (15) dnů v případě, že Zpracovatel poruší některou ze svých povinností podle této Smlouvy a toto porušení nenapraví do patnácti (15) dnů od písemného vyrozumění Správcem.
6.2. Zpracovatel je nabytím účinnosti výpovědi dle článků 9.2 Smlouvy nebo ukončením Smlouvy z jiného důvodu povinen Správci veškeré zpracovávané Osobní údaje bezodkladně vrátit nebo je vymazat ve smyslu článku 4.7 Smlouvy. Pokud dojde k ukončení této Smlouvy dle článků 9.2 Smlouvy, budou automaticky ke stejnému datu ukončena i Smlouva o poskytování služeb. Pokud Správce v případě ukončení této Smlouvy sdělí Zpracovateli, že trvá na tom, aby Zpracovatel dále plnil závazky ze Smlouvy o poskytování služeb, k jejichž plnění nepotřebuje zpracovávat Osobní údaje, zůstává Smlouva o poskytování služeb v tomto rozsahu ukončením této Smlouvy nedotčeny.
6.3. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
7. PORUŠENÍ SMLOUVY A POJIŠTĚNÍ
7.0. V případě porušení povinností podle článků 4 až 7 této Smlouvy je Zpracovatel povinen uhradit Správci smluvní pokutu ve výši [•] Kč pro každý jednotlivý případ porušení.
7.1. Sjednanými smluvními pokutami dle čl. 10.1 této Smlouvy není dotčeno právo Správce na náhradu škody související s porušením příslušných povinností Zpracovatele.
7.2. Zpracovatel uzavře s pojišťovnou oprávněnou v České republice k provozování pojišťovací činnosti pojistnou smlouvu, jejichž uzavření na základě předchozí písemné žádosti bezodkladně
prokáže Správci. Taková pojistná smlouva musí zahrnovat pojistně krytí alespoň do výše [•].
8. ZÁVĚREČNÁ USTANOVENÍ
8.0. Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále zachovány, ledaže z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
8.1. Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad a vztahy mezi Stranami neupravené touto Smlouvou, se řídí právním řádem České republiky, zejména Předpisy na ochranu osobních údajů a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
8.2. Jakékoliv doplňky či změny této Smlouvy musí být učiněny formou vzestupně číslovaných písemných dodatků podepsaných oprávněnými zástupci obou Stran.
8.3. Tato Smlouva je vyhotovena a podepsána ve dvou (2) shodných vyhotoveních v českém jazyce, přičemž každá Strana obdrží jedno vyhotovení.
V dne V dne
[●] [●]
V dne
V dne