UDKAST
Strana 1 z 18
UDKAST
Standardní smluvní doložky
Pro účely čl. 28 odst. 3 nařízení 2016/679 (GDPR) mezi
[ZEMĚ]
"[PSČ A MĚSTO]"
[ADRESA]
"[č. CVR]"
[JMÉNO/NÁZEV]
CVR
(dále jen „správce údajů“) a
[ZEMĚ]
"[PSČ A MĚSTO]"
[ADRESA]
"[č. CVR]"
[JMÉNO/NÁZEV]
CVR
(dále jen „zpracovatel údajů“)
každá jednotlivě dále jen „strana“ a společně „strany“,
SE DOHODLY na následujících smluvních doložkách (dále jen „doložky“) s cílem splnit poža- davky nařízení GDPR a zajistit ochranu práv subjektu údajů.
1. Obsah
2. Preambule 3
3. Práva a povinnosti správce údajů 3
4. Zpracovatel údajů jedná podle pokynů 4
5. Důvěrná povaha údajů 4
6. Zabezpečení zpracování 4
7. Využívání dílčích zpracovatelů údajů 5
8. Předávání údajů do třetích zemí nebo mezinárodním organizacím 6
9. Poskytování součinnosti správci údajů 7
10. Ohlašování případů porušení zabezpečení osobních údajů 8
11. Výmaz a navrácení údajů 8
12. Audit a inspekce 9
13. Xxxxxx stran ohledně dalších podmínek 9
14. Nabytí a zánik účinnosti 9
15. Kontaktní osoby / body správce údajů a zpracovatele údajů 10
Příloha A Informace o zpracovávání 11
Příloha B Povolení dílčí zpracovatelé 12
Příloha C Pokyny týkající se používání osobních údajů 13
Příloha D Xxxxxxxx dohody stran ohledně jiných předmětů 18
Strana 2 z 18
2. Preambule
1. Tyto smluvní doložky (dále jen „doložky“) stanoví práva a povinnosti správce údajů a zpracovatele údajů při zpracování osobních údajů jménem správce údajů.
2. Tyto doložky mají zajistit, aby strany dodržely ustanovení čl. 28 odst. 3 nařízení Ev- ropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzic- kých osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení GDPR“),
Strana 3 z 18
3. V souvislosti s poskytováním [OZNAČENÍ SLUŽBY] bude zpracovatel údajů zpraco- vávat osobní údaje jménem správce údajů v souladu s těmito doložkami.
4. Doložky mají přednost před veškerými podobnými ustanoveními obsaženými v jiných smlouvách mezi stranami.
5. K těmto doložkám jsou připojeny čtyři přílohy, které tvoří jejich nedílnou součást.
6. Příloha A udává bližší informace o zpracování osobních údajů, včetně účelu a povahy zpracování, typu osobních údajů, kategorií subjektů údajů a doby trvání zpracování.
7. Příloha B obsahuje podmínky správce údajů, za kterých může zpracovatel údajů vy- užívat dílčích zpracovatelů, a seznam dílčích zpracovatelů povolených správcem údajů.
8. Příloha C obsahuje pokyny správce údajů ohledně zpracovávání osobních údajů, mi- nimálních bezpečnostních opatření, která je zpracovatel údajů povinen zavést, a způ- sobu provádění auditů zpracovatele údajů a případných dílčích zpracovatelů.
9. Příloha D obsahuje ustanovení týkající se jiných činností, které nejsou upraveny v do- ložkách.
10. Obě strany uchovají tyto doložky i s přílohami v písemné formě, včetně elektronické.
11. Tyto doložky nezbavují zpracovatele údajů povinností, které mu vyplývají z obecného nařízení o ochraně údajů (GDPR) nebo jiných právních předpisů.
3. Práva a povinnosti správce údajů
1. Správce údajů je povinen zajistit, aby zpracování osobních údajů probíhalo v souladu s obecným nařízením o ochraně osobních údajů (viz článek 24 nařízení GDPR), plat- nými předpisy EU nebo členského státu o ochraně osobních údajů1 a těmito dolož- kami.
2. Správce údajů má právo a povinnost rozhodovat o účelech a prostředcích zpracování osobních údajů.
3. Správce údajů je mimo jiné povinen zajistit, aby zpracování osobních údajů, jímž je zpracovatel pověřen, bylo prováděno na právním základu.
1 Pokud se v těchto doložkách hovoří o „členských státech“, rozumějí se tím „členské státy EHP“.
4. Zpracovatel údajů jedná podle pokynů
1. Zpracovatel údajů je povinen zpracovávat osobní údaje výhradně na základě dolože- ných pokynů správce údajů, ledaže mu jejich zpracování ukládají právní předpisy Unie nebo členského státu, které se na zpracovatele vztahují. Tyto pokyny budou upřesněny v přílohách A a C. Správce údajů může pokyny vydat i později v průběhu celé doby trvání zpracování osobních údajů, ovšem tyto pokyny musí být vždy dolo- ženy a uchovány v písemné podobě, včetně elektronické, společně s doložkami.
2. Zpracovatel údajů je povinen neprodleně informovat správce údajů, pokud se bude domnívat, že pokyny vydané správcem údajů porušují nařízení GDPR nebo předpisy o ochraně údajů platné v EU nebo členském státě.
Strana 4 z 18
SPRÁVCEM ÚDAJŮ A UPRAVIT JE VE SMLOUVĚ MEZI STRANAMI.]
[POZN.: STRANY BY MĚLY PŘEDVÍDAT A ZVAŽOVAT DŮSLEDKY, KTERÉ MO- HOU VYPLÝVAT Z POTENCIÁLNĚ NEZÁKONNÝCH POKYNŮ VYDANÝCH
5. Důvěrná povaha údajů
1. Zpracovatel údajů poskytne přístup k osobním údajům zpracovávaným jménem správce údajů pouze osobám, které jednají z pověření zpracovatele údajů a které se zavázaly k mlčenlivosti nebo mají odpovídající zákonnou povinnost mlčenlivosti, a pouze osobám, které tyto osobní údaje potřebují znát. Seznam osob, kterým byl po- skytnut přístup, musí být pravidelně přezkoumáván. Na základě tohoto přezkumu lze přístup k osobním údajům odejmout, není-li již nadále nezbytný, v důsledku čehož již dotčené osoby nebudou mít k osobním údajům přístup.
2. Zpracovatel údajů na žádost správce údajů doloží, že dotyčné osoby jednající z po- věření zpracovatele údajů podléhají výše uvedené povinnosti mlčenlivosti.
6. Zabezpečení zpracování
1. Článek 32 nařízení GDPR stanoví, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodob- ným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.
Správce údajů vyhodnotí rizika pro práva a svobody fyzických osob spojená se zpra- cováním a provede opatření k jejich zmírnění. V závislosti na jejich významnosti mo- hou být těmito opatřeními:
a. pseudonymizace a šifrování osobních údajů,
b. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
c. schopnost obnovit včas dostupnost osobních údajů a přístup k nim v případě fy- zických či technických incidentů,
d. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
2. Podle článku 32 nařízení GDPR zpracovatel nezávisle na správci údajů vyhodnotí rizika pro práva a svobody fyzických osob spojená se zpracováním a provede opat- ření k jejich zmírnění. Za tímto účelem správce údajů poskytne zpracovateli údajů veškeré informace nezbytné k určení a vyhodnocení těchto rizik.
3. Dále je zpracovatel údajů povinen být správci údajů nápomocen při zajišťování dodr- žení povinností správce údajů podle článků 32 GDPR, mimo jiné tím, že poskytne správci údajů informace o technických a organizačních opatřeních, která již zpraco- vatel údajů zavedl podle článku 32 nařízení GDPR, a dále všechny ostatní informace nezbytné k tomu, aby správce mohl dostát své povinnosti podle článku 32 nařízení GDPR.
Pokud bude na základě posouzení správce údajů později pro zmírnění zjištěných rizik nutné, aby zpracovatel údajů zavedl další opatření nad rámec těch, která již zpraco- vatel údajů podnikl podle článku 32 nařízení GDPR, upřesní správce údajů tato do- datečná opatření, která musí být zavedena, v příloze C.
7. Využívání dílčích zpracovatelů údajů
1. Aby mohl zpracovatel údajů do zpracování zapojit dalšího zpracovatele (dílčího zpra- covatele), je nezbytné, aby splnil požadavky stanovené v čl. 28 odst. 2 a 4 nařízení GDPR.
[MOŽNOST 1] zvláštního písemného povo-
2. Zpracovatel údajů tedy nesmí zapojit dalšího zpracovatele (dílčího zpracovatele) do plnění těchto doložek bez předchozího
lení] / [MOŽNOST 2] obecného písemného povolení správce údajů.
Strana 5 z 18
3. [MOŽNOST 1 ZVLÁŠTNÍ PŘEDCHOZÍ OPRÁVNĚNÍ] V případě zvláštního předcho- zího oprávnění zapojí zpracovatel údajů dílčího zpracovatele pouze s předchozím souhlasem správce údajů. Zpracovatel údajů podá žádost o zvláštní povolení nejpoz- ději [UPŘESNĚTE ČASOVOU LHŮTU] před zapojením dotyčného dílčího zpracova- tele. Seznam dílčích zpracovatelů, pro které již správce údajů udělil povolení, je uve- den v příloze B.
[MOŽNOST 2 OBECNÉ PÍSEMNÉ SCHVÁLENÍ] Zpracovatel údajů disponuje obec- ným povolením správce údajů k zapojení dílčích zpracovatelů. Zpracovatel údajů bude písemně informovat správce údajů o případných zamýšlených změnách týkají- cích se doplnění dílčích zpracovatelů nebo jejich nahrazení alespoň [UPŘESNĚTE ČASOVOU LHŮTU] předem, čímž správci údajů umožní, aby ještě před zapojením dotyčného dílčího zpracovatele vznesl proti takové změně námitku. V příloze B mo- hou být uvedeny delší lhůty pro podání oznámení v případě konkrétních služeb dílčího zpracování. Seznam dílčích zpracovatelů, u kterých již správce udělil povolení, je k dispozici v příloze B.
4. Pokud zpracovatel údajů pověří dílčího zpracovatele prováděním zvláštních činností zpracování jménem správce údajů, budou pro tohoto dílčího zpracovatele na základě smlouvy nebo na základě jiného právního jednání podle práva EU nebo členského státu platit stejné povinnosti v oblasti ochrany osobních údajů, zejména poskytnutí dostatečných záruk zavedení vhodných technických a organizačních opatření tak, aby byly při zpracování dodrženy požadavky těchto doložek a nařízení GDPR.
Zpracovatel údajů je tedy povinen požadovat, aby dílčí zpracovatel splňoval alespoň povinnosti, které musí podle těchto doložek a nařízení GDPR splňovat on sám.
5. Na jeho vlastní žádost musí být správci údajů předložena vyhotovení této smlouvy s dílčím zpracovatelem a jejích následných změn, což správci údajů umožní zajistit, aby měl dílčí zpracovatel povinnosti v oblasti ochrany údajů, které jsou stanoveny v těchto doložkách. Správci údajů není nutné předložit doložky týkající se obchodních záležitostí, které nemají dopad na právní obsah ochrany údajů podle smlouvě s dílčím zpracovatelem.
6. Zpracovatel údajů sjedná s dílčím dodavatelem doložku o příjemci třetí strany, podle které se správce údajů v případě úpadku zpracovatele stane třetí stranou smlouvy s dílčím zpracovatelem a bude mít právo se na dílčím zpracovateli, kterého zpraco- vatel pověřil zpracováním osobních údajů, domáhat plnění z této smlouvy, např. tím, že umožní správci údajů dát dílčímu zpracovateli pokyn k tomu, aby vymazal nebo vrátil osobní údaje.
7. V případě, že dílčí zpracovatel nesplní své povinnosti v oblasti ochrany osobních údajů, bude ve vztahu k plnění povinností dílčího zpracovatele vůči správci údajů plně odpovědný zpracovatel. Tím nejsou dotčena práva subjektů údajů podle nařízení GDPR, zejména práva vyplývající z článků 79 a 82 nařízení GDPR, vůči správci údajů a zpracovateli údajů, včetně dílčích zpracovatelů.
8. Předávání údajů do třetích zemí nebo mezinárodním organizacím
1. K případnému předání osobních údajů do třetích zemí nebo mezinárodním organiza- cím ze strany zpracovatele údajů smí dojít pouze na základě doložitelných pokynů správce údajů a vždy v souladu s kapitolou V nařízení GDPR.
2. V případě, že předání do třetích zemí nebo mezinárodním organizacím, ke kterému nedal zpracovateli pokyn správce údajů, požaduje právo EU nebo členského státu, které se vztahuje na zpracovatele údajů, je zpracovatel povinen informovat správce údajů o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
3. Bez doloženého pokynu správce údajů není zpracovatel podle těchto doložek opráv- něn:
a. předávat osobní údaje správci údajů nebo zpracovateli údajů ve třetí zemi nebo v mezinárodní organizaci,
b. pověřovat zpracováním osobních údajů dílčího zpracovatele ve třetí zemi,
c. nechat osobní údaje zpracovat zpracovatele údajů ve třetí zemi.
4. Pokyny správce údajů ohledně předávání osobních údajů do třetí země, případně včetně nástroje pro předávání podle kapitoly V nařízení GDPR, na jehož základě se uskuteční, jsou stanoveny v příloze C.6.
5. Doložky nelze zaměňovat se standardními doložkami o ochraně osobních údajů ve smyslu čl. 46 odst. 2 písm. c) a d) nařízení GDPR a strany se na ně nemohou odvo- lávat jako na nástroj předávání podle kapitoly V nařízení GDPR.
Strana 6 z 18
9. Poskytování součinnosti správci údajů
1. S přihlédnutím k povaze zpracování, je zpracovatel údajů povinen být správci nápo- mocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III nařízení GDPR.
To znamená, že zpracovatel údajů je povinen, pokud je to možné, být nápomocen správci údajů pro splnění správcových povinností vyplývajících z:
a. práva být informován při shromažďování osobních údajů od subjektu údajů,
b. práva být informován v případě, že osobní údaje nebyly získány od subjektu údajů,
c. práva na přístup subjektu údajů,
d. práva na opravu,
e. práva na výmaz („právo být zapomenut“),
f. práva na omezení zpracování,
g. oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
h. práva na přenositelnost osobních údajů,
i. práva vznést námitku,
j. práva nebýt předmětem žádného rozhodnutí založeného výhradně na auto- matizovaném zpracování, včetně profilování.
2. Kromě povinnosti zpracovatele údajů být nápomocen správci údajů podle čl. 6 odst. 4 těchto doložek je zpracovatel údajů povinen, s přihlédnutím k povaze zpracování a informacím, které má zpracovatel údajů k dispozici, být nápomocen správci údajů pro zajištění dodržení:
a. povinnosti správce údajů bez zbytečného odkladu a pokud je to možné, nejpozději do 72 hodin poté, co se dozvěděl o porušení zabezpečení osob- ních údajů, informovat o tomto porušení příslušný dozorový úřad [UVEĎTE PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD], ledaže je nepravděpodobné, že porušení zabezpečení osobních údajů povede k ohrožení práv a svobod fyzických osob,
b. povinnosti správce oznámit porušení zabezpečení osobních údajů bez zby- tečného odkladu subjektu údajů, pokud je pravděpodobné, že daný případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob,
c. povinnosti správce provést před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (posouzení vlivu na ochranu osobních údajů),
d. povinnosti správce konzultovat před zpracováním s příslušným dozorovým úřadem [UVEĎTE PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD], pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.
Strana 7 z 18
3. Strany v příloze C vymezí vhodná technická a organizační opatření, kterými je zpra- covatel údajů povinen být nápomocen správci údajů, a dále rozsah a míru požado- vané součinnosti. To platí pro povinnosti stanovené v čl. 9 odst. 1 a čl. 9 odst. 2 těchto doložek.
10. Ohlašování případů porušení zabezpečení osobních údajů
1. V případě jakéhokoli porušení zabezpečení osobních údajů je zpracovatel nebo dílčí zpracovatel povinen ohlásit toto porušení zabezpečení osobních údajů správci údajů bez zbytečného odkladu poté, co se o něm dozví.
2. Je-li to možné, musí zpracovatel údajů ohlásit porušení zabezpečení osobních údajů správci údajů do [POČET HODIN] od okamžiku, kdy se o něm zpracovatel dozvěděl, aby mohl správce splnit svou povinnost ohlásit porušení zabezpečení osobních údajů dozorovému úřadu, srov. článek 33 nařízení GDPR.
3. V souladu s čl. 9 odst. 2 písm. a) těchto doložek bude zpracovatel nápomocen správci údajů při ohlašování porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, což znamená, že zpracovatel údajů je povinen být nápomocen při získávání níže uvedených informací, které budou podle čl. 33 odst. 3 nařízení GDPR uvedeny v oznámení správce údajů příslušnému dozorovému úřadu:
a. povaha porušení zabezpečení osobních údajů, pokud je to možné, včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibliž- ného množství dotčených záznamů osobních údajů;
b. pravděpodobné důsledky porušení zabezpečení osobních údajů;
c. opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané poru- šení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
4. Strany v příloze D definují informace, které poskytne zpracovatel údajů, aby byl správci údajů nápomocen při ohlašování porušení zabezpečení osobních údajů pří- slušnému dozorovému úřadu.
11. Výmaz a navrácení údajů
1. Po ukončení poskytování služeb zpracování osobních údajů je zpracovatel povinen [MOŽNOST 1] vymazat všechny osobní údaje zpracovávané jménem správce údajů a potvrdit správci, že tak učinil / [MOŽNOST 2] vrátit všechny osobní údaje správci a vymazat stávající kopie, ledaže právní předpisy Unie nebo členského státu vyžadují jejich uložení.
Strana 8 z 18
2. [NEPOVINNÉ] Následující právní předpisy EU nebo členského státu platné pro zpra- covatele vyžadují uložení osobních údajů po ukončení poskytování služeb zpracování osobních údajů:
a. […]
Zpracovatel se zavazuje zpracovávat údaje výhradně pro účely stanovené tímto práv- ním předpisem a po dobu trvání zpracování stanovenou tímto předpisem a zásadně za platných podmínek.
12. Audit a inspekce
1. Zpracovatel údajů poskytne správci údajů veškeré informace nezbytné k tomu, aby prokázal splnění povinností stanovených v článku 28 a v doložkách a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
2. Platné postupy v případě auditů a inspekcí zpracovatele a dílčích zpracovatelů ze strany správce jsou uvedeny v přílohách C.7 a C.8.
3. Zpracovatel je povinen umožnit dozorovým úřadům, které mají podle platných práv- ních předpisů přístup do zařízení správce a zpracovatelů, nebo zástupcům jednajícím jménem těchto dozorovým úřadů, po předložení vhodných identifikačních dokladů pří- stup k fyzickým zařízením zpracovatele.
13. Xxxxxx stran ohledně dalších podmínek
1. Strany se mohou dohodnout na dalších doložkách týkajících se poskytování služeb zpracování osobních údajů, např. odpovědnosti, pokud tyto nejsou v přímém nebo nepřímém rozporu s těmito doložkami nebo nezasahují do základních práv nebo svo- bod subjektu údajů a do ochrany poskytované nařízením GDPR.
14. Nabytí a zánik účinnosti
1. Tyto doložky nabývají účinnosti dnem podpisu oběma stranami.
2. Obě strany jsou oprávněny požadovat opětné zahájení jednání o těchto doložkách, pokud důvodem k obnově těchto jednání jsou změny právních předpisů nebo skuteč- nost, že tyto doložky neplní svůj účel.
3. Tyto doložky zůstanou v platnosti po dobu trvání poskytování služeb zpracování osobních údajů. Po dobu trvání poskytování služeb zpracování osobních údajů nelze tyto doložky vypovědět, pokud se strany nedohodnou na jiných doložkách upravují- cích poskytování služeb zpracování osobních údajů.
4. Pokud bude ukončeno poskytování služeb zpracování osobních údajů a osobní údaje budou vymazány nebo vráceny správci údajů v souladu s čl. 11 odst. 1 těchto doložek a přílohou C.4., lze tyto doložky vypovědět na základě písemné výpovědi podané kte- roukoli ze stran.
5. Podpis
[JMÉNO] [POZICE] [DATUM]
[PODPIS]
Jménem správce údajů Jméno
Pozice Datum Podpis
Strana 9 z 18
Xxxxxx zpracovatele údajů
[JMÉNO] [POZICE] [DATUM]
[PODPIS]
Jméno Pozice Datum Podpis
Strana 10 z 18
15. Kontaktní osoby / body správce údajů a zpracovatele údajů
1. Strany se mohou navzájem kontaktovat prostřednictvím následujících kontaktních osob / bodů:
2. Strany jsou povinny se navzájem průběžně informovat o případných změnách kon- taktních osob / bodů.
[E-MAIL]
[TELEFON]
[POZICE
[JMÉNO]
Jméno
Pozice ]
Telefon E-mail
[E-MAIL]
[TELEFON]
[POZICE
[JMÉNO]
Jméno
Pozice ]
Telefon E-mail
Příloha A Informace o zpracovávání
Strana 11 z 18
VYPLNĚNY VE VZTAHU KE KAŽDÉ Z TĚCHTO ČINNOSTÍ.]
[POZN.: V PŘÍPADĚ NĚKOLIKA ČINNOSTÍ ZPRACOVÁNÍ MUSÍ BÝT TYTO INFORMACE
A.1. Účelem zpracování osobních údajů zpracovatelem jménem správce, je:
[POPIŠTE ÚČEL ZPRACOVÁNÍ].
A.2. Zpracování osobních údajů zpracovatelem údajů jménem správce údajů se týká zejména (povaha zpracování):
[POPIŠTE POVAHU ZPRACOVÁNÍ].
A.3. Zpracování se týká následujících typů osobních údajů o subjektech údajů:
[POPIŠTE TYP ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ].
[NAPŘÍKLAD]
„Jméno, e-mailová adresa, telefonní číslo, adresa, národní identifikační číslo, platební údaje, číslo členství, typ členství, přítomnost ve fitness centru a registrace pro konkrétní třídu fitness.“
[POZN.: POPIS BY MĚL BÝT CO NEJPODROBNĚJŠÍ S TÍM, ŽE V KAŽDÉM PŘÍPADĚ JE NUTNÉ TYP OSOBNÍCH ÚDAJŮ OZNAČIT PŘESNĚJI NEŽ POUZE ODKAZEM NA
„OSOBNÍ ÚDAJE PODLE ČL. 4 ODST. 1 NAŘÍZENÍ GDPR“ NEBO NA KATEGORII („ČLÁ-
NEK 6, 9 NEBO 10 NAŘÍZENÍ GDPR”) OSOBNÍCH ÚDAJŮ, KTERÉ SE ZPRACOVÁNÍ
TÝKÁ.]
A.4. Zpracování zahrnuje následující kategorie subjektů údajů:
[POPIŠTE KATEGORII SUBJEKTU ÚDAJŮ].
A.5. Zpracování osobních údajů zpracovatelem údajů jménem správce může být zahá- jeno po nabytí účinnosti těchto doložek. Doba trvání zpracování je následující:
[UVEĎTE DOBU TRVÁNÍ ZPRACOVÁNÍ].
Příloha B Povolení dílčí zpracovatelé
Příloha A
B.1. Schválení dílčí zpracovatelé
Po nabytí účinnosti doložek správce údajů povoluje zapojení následujících dílčích zpracova- telů:
NÁZEV | CVR | ADRESA | POPIS ZPRACOVÁ- VÁNÍ |
Správce údajů po nabytí účinnosti doložek povolí, aby byli zpracováním popsaným v případě této strany pověřeni výše uvedení dílčí zpracovatelé. Zpracovatel údajů není bez výslovného písemného povolení správce údajů oprávněn pověřit dílčího zpracovatele „jiným“ zpracová- ním, než jaké bylo dohodnuto, nebo nechat popsané zpracování provést jiného dílčího zpra- covatele.
B.2. Předchozí žádost o povolení dílčího zpracovatele
Strana 12 z 18
[VOLITELNÉ] [HODÍ-LI SE, UVEDENÍ LHŮT PRO PODÁNÍ PŘEDCHOZÍ ŽÁDOSTI O PO- VOLENÍ DÍLČÍHO ZPRACOVATELE]
Příloha C Pokyny týkající se používání osobních údajů
Příloha B
C.1. Předmět/pokyn ke zpracování
Zpracování osobních údajů bude zpracovatel jménem správce údajů provádět takto:
Strana 13 z 18
[POPIŠTE ZPRACOVÁNÍ, JEHOŽ PROVEDENÍ BYLO ZPRACOVATELI ULOŽENO].
C.2. Zabezpečení zpracování
Ve vztahu k úrovni zabezpečení je nutné přihlédnout k:
[UVEĎTE SKUTEČNOSTI, KTERÉ MAJÍ ZÁSADNÍ VÝZNAM PRO ÚROVEŇ ZABEZPEČENÍ, S PŘIHLÉDNUTÍM K POVAZE, ROZSAHU, SOUVISLOSTEM A ÚČELŮM ČINNOSTI ZPRA-
COVÁNÍ A K RIZIKU PRO PRÁVA A SVOBODY FYZICKÝCH OSOB]
[NAPŘÍKLAD]
„Skutečnost, že zpracování se týká velkého množství osobních údajů, na které se vztahuje článek 9 nařízení GDPR o „zvláštních kategoriích osobních údajů“, a proto by měla být stano- vena „vysoká“ úroveň zabezpečení.“
Zpracovatel údajů bude nadále oprávněn a povinen rozhodovat o technických a organizačních bezpečnostních opatřeních, která budou podniknuta k zajištění nezbytné (a sjednané) úrovně zabezpečení osobních údajů.
V každém případě ale zpracovatel údajů minimálně podnikne následující opatření, která byla sjednána se správcem údajů:
[POPIŠTE POŽADAVKY NA PSEUDONYMIZACI A ŠIFROVÁNÍ OSOBNÍCH ÚDAJŮ]
[POPIŠTE POŽADAVKY NA ZAJIŠTĚNÍ NEUSTÁLÉ DŮVĚRNOSTI, INTEGRITY, DOSTUP- NOSTI A ODOLNOSTI SYSTÉMŮ A SLUŽEB ZPRACOVÁNÍ]
[POPIŠTE POŽADAVKY NA SCHOPNOST OBNOVIT DOSTUPNOST OSOBNÍCH ÚDAJŮ A PŘÍSTUP K NIM V PŘÍPADĚ FYZICKÝCH ČI TECHNICKÝCH INCIDENTŮ]
[POPIŠTE PROCESY PRAVIDELNÉHO TESTOVÁNÍ, POSUZOVÁNÍ A HODNOCENÍ ÚČIN- NOSTI ZAVEDENÝCH TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ PRO ZAJIŠTĚNÍ
BEZPEČNOSTI ZPRACOVÁNÍ]
[POPIŠTE POŽADAVKY NA PŘÍSTUP K OSOBNÍM ÚDAJŮ PO INTERNETU]
[POPIŠTE POŽADAVKY NA OCHRANU OSOBNÍCH ÚDAJŮ PŘI JEJICH PŘEDÁVÁNÍ]
[POPIŠTE POŽADAVKY NA OCHRANU OSOBNÍCH ÚDAJŮ PŘI JEJICH UKLÁDÁNÍ]
[POPIŠTE POŽADAVKY NA FYZICKÉ ZABEZPEČENÍ MÍST, NA KTERÝCH JSOU OSOBNÍ ÚDAJE ZPRACOVÁVÁNY]
[POPIŠTE POŽADAVKY NA POUŽÍVÁNÍ PRÁCE Z DOMOVA / NA DÁLKU]
Strana 14 z 18
[POPIŠTE POŽADAVKY NA PŘIHLAŠOVÁNÍ SE]
C.3. Poskytování součinnosti správci údajů
Pokud to bude možné, bude zpracovatel údajů v rozsahu a míře níže uvedené součinnosti nápomocen správci údajů v souladu s čl. 9 odst. 1 a čl. 9 odst. 2 těchto doložek tím, že zavede následující technická a organizační opatření:
[POPIŠTE ROZSAH A MÍRU SOUČINNOSTI, KTEROU POSKYTNE ZPRACOVATEL ÚDAJŮ]
[POPIŠTE KONKRÉTNÍ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, KTERÁ ZAVEDE ZPRACOVATEL ÚDAJŮ V RÁMCI POSKYTOVÁNÍ SOUČINNOSTI SPRÁVCI ÚDAJŮ]
C.4. Doba uložení/postupy při výmazu
[HODÍ-LI SE, UVEĎTE DOBU ULOŽENÍ / POSTUPY PŘI VÝMAZU NA STRANĚ ZPRACO- VATELE ÚDAJŮ]
[NAPŘÍKLAD]
„Osobní údaje se ukládají na dobu [UVEĎTE DOBU TRVÁNÍ NEBO INCIDENT], po jejímž uplynutí zpracovatel osobní údaje automaticky vymaže.
Po ukončení poskytování služeb zpracování osobních údajů zpracovatel buď vymaže, nebo vrátí osobní údaje v souladu s čl. 11 odst. 1 těchto doložek, ledaže správce údajů po podpisu smlouvy změní svou původní volbu. Tato změna musí být doložena a vedena v písemné po- době, a to i elektronicky, společně s doložkami.“
C.5. Místo zpracování
Zpracování osobních údajů podle těchto doložek nelze bez předchozího písemného povolení správce údajů provádět na jiných než následujících místech:
[UVEĎTE, KDE ZPRACOVÁNÍ PROBÍHÁ] [UVEĎTE ZPRACOVATELE NEBO DÍLČÍHO ZPRACOVATELE, KTERÝ TUTO ADRESU VYUŽÍVÁ]
C.6. Pokyn k předání osobních údajů do třetích zemí
[POPIŠTE POKYN K PŘEDÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍ ZEMĚ NEBO MEZINÁRODNÍ ORGANIZACI]
[UVEĎTE PRÁVNÍ ZÁKLAD PŘEDÁNÍ PODLE KAPITOLY V NAŘÍZENÍ GDPR]
Pokud správce údajů v doložkách nebo později neposkytne doložené pokyny týkající se pře- dání osobních údajů do třetí země, není zpracovatel údajů v rámci doložek oprávněn takové předání uskutečnit.
C.7. Postupy při auditech zpracovávání osobních údajů zpracovatelem údajů, včetně inspekcí, prováděných správcem údajů
VATELEM ÚDAJŮ, VČETNĚ INSPEKCÍ, PROVÁDĚNÝCH SPRÁVCE ÚDAJŮ]
[POPIŠTE POSTUPY PŘO AUDITECH ZPRACOOVÁVÁNÍ OSOBNÍCH ÚDAJŮ ZPRACO-
Strana 15 z 18
Například:
[ZPRACOVATELE ÚDAJŮ /
[UVEĎTE LHŮTU]
„Zpracovatel údajů je povinen na náklady
SPRÁVCE ÚDAJŮ] získat [ZPRÁVU AUDITORA / PROTOKOL O INSPEKCI] od nezávislé
třetí strany týkající se dodržování nařízení GDPR, platných právních předpisů EU nebo člen- ského státu o ochraně osobních údajů a těchto doložek ze strany zpracovatele údajů.
Strany se dohodly, že v souladu s doložkami lze použít následující typy [ZPRÁVY AUDITORA
/ PROTOKOLU O INSPEKCI]:
[VLOŽTE ZPRÁVY „SCHVÁLENÝCH“ AUDITORŮ / PROTOKOLY O INSPEKCI]
[ZPRÁVA AUDITORA / PROTOKOL O INSPEKCI] musí být bez zbytečného odkladu předlo- ženy správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo meto- diku zprávy a v takových případech je oprávněn požádat o nový audit / inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.
Na základě výsledků auditu / inspekce je správce údajů oprávněn požadovat, aby byla pod- niknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek.
Správci údajů nebo jeho zástupci musí být navíc za účelem provedení kontroly, včetně fyzické kontroly, umožněn přístup na místa, na kterých zpracovatel údajů provádí zpracování osob- ních údajů, včetně fyzických zařízení a systémů používaných ke zpracování a s tímto zpraco- váním souvisejících. Tato inspekce bude uskutečněna, když to bude správce údajů považovat za nutné.“
[NEBO]
„Správce údajů nebo jeho zástupce provede [UVEĎTE LHŮTU] fyzickou kontrolu míst, na kte- rých zpracovatel provádí zpracování osobních údajů, včetně fyzických zařízení a systémů po- užívaných k tomuto zpracování a s tímto zpracováním souvisejících, s cílem zjistit, zda zpra- covatel údajů dodržuje nařízení GDPR, platné právní předpisy o ochraně údajů EU nebo člen- ského státu a doložky.
Kromě plánovaných inspekcí je správce údajů oprávněn provádět i inspekce zpracovatele údajů i v případech, kdy to bude považovat za nutné.“
[A PŘÍPADNĚ]
„Náklady případně vzniklé správci údajů v souvislosti s fyzickou kontrolou nese správce údajů. Zpracovatel údajů je ale povinen vyčlenit prostředky (především čas) potřebné k tomu, aby správce údajů mohl inspekci provést.“
C.8. [HODÍ-LI SE] Postupy při auditech zpracování osobních údajů dílčími zpracovateli, včetně inspekcí
[HODÍ-LI SE, POPIŠTE POSTUPY PŘI AUDITECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ DÍL-
ČÍMI ZPRACOVATELI ÚDAJŮ, VČETNĚ INSPEKCÍ, PROVÁDĚNÝCH SPRÁVCEM ÚDAJŮ]
[NAPŘÍKLAD]
Strana 16 z 18
„Zpracovatel údajů je povinen [UVEĎTE LHŮTU] na náklady [ZPRACOVATELE ÚDAJŮ / SPRÁVCE ÚDAJŮ] získat [ZPRÁVU AUDITORA / PROTOKOL O INSPEKCI] od nezávislé
třetí strany týkající se dodržování nařízení GDPR, platných právních předpisů EU nebo člen- ského státu o ochraně osobních údajů a těchto doložek ze strany dílčího zpracovatele.
Strany se dohodly, že v souladu s doložkami lze použít následující typy [ZPRÁVY AUDITORA
/ PROTOKOLU O INSPEKCI]:
[VLOŽTE ZPRÁVY „SCHVÁLENÝCH“ AUDITORŮ / PROTOKOLY O INSPEKCI]
[ZPRÁVA AUDITORA / PROTOKOL O INSPEKCI] musí být bez zbytečného odkladu předlo- ženy správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo meto- diku zprávy a v takových případech je oprávněn požádat o nový audit / inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.
Na základě výsledků auditu / inspekce je správce údajů oprávněn požadovat, aby byla pod- niknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo členského státu o ochraně osobních údajů a těchto doložek.
Zpracovateli údajů nebo jeho zástupci musí být navíc za účelem provedení kontroly, včetně fyzické kontroly, umožněn přístup na místa, na kterých dílčí zpracovatel údajů provádí zpra- cování osobních údajů, včetně fyzických zařízení a systémů používaných ke zpracování a s tímto zpracováním souvisejících. Tato inspekce bude uskutečněna, když to bude zpracova- tel údajů (nebo správce údajů) považovat za nutné.“
Dokumentace k těmto inspekcím se neprodleně předloží správci údajů pro informaci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je opráv- něn požádat o novou inspekci v upraveném rozsahu a/nebo s použitím odlišné metodiky.“
[NEBO]
„Zpracovatel údajů nebo jeho zástupce provede [UVEĎTE LHŮTU] fyzickou kontrolu míst, na kterých dílčí zpracovatel provádí zpracování osobních údajů, včetně fyzických zařízení a sys- témů používaných k tomuto zpracování a s tímto zpracováním souvisejících, s cílem zjistit, zda dílčí zpracovatel údajů dodržuje nařízení GDPR, platné právní předpisy o ochraně údajů EU nebo členského státu a doložky.
Kromě plánovaných inspekcí je zpracovatel údajů oprávněn provádět inspekce dílčího zpra- covatele údajů i v případech, kdy to považuje za nutné.
Dokumentace k těmto inspekcím se bez zbytečného odkladu předloží správci údajů pro infor- maci. Správce údajů je oprávněn napadnout rozsah a/nebo metodiku zprávy a v takových případech je oprávněn požádat o novou inspekci v upraveném rozsahu a/nebo s použitím od- lišné metodiky.
Na základě výsledků inspekce je správce údajů oprávněn požadovat, aby byla podniknuta další opatření k zajištění dodržení nařízení GDPR, platných právních předpisů EU nebo člen- ského státu o ochraně osobních údajů a těchto doložek.“
[A PŘÍPADNĚ]
„Správce údajů se může v případě potřeby rozhodnout iniciovat fyzickou inspekci u dílčího zpracovatele a zúčastnit se jí. Taková situace může nastat, pokud se bude správce údajů domnívat, že z dohledu zpracovatele údajů nad dílčím zpracovatelem údajů mu nebyla po- skytnuta dostatečná dokumentace k tomu, aby mohl konstatovat, že zpracování údaje ze strany dílčího zpracovatele probíhá v souladu s těmito doložkami.
Účast správce údajů na inspekci u dílčího zpracovatele nemění nic na skutečnosti, že zpraco- vatel údajů je nadále plně odpovědný za to, že dílčí zpracovatel bude dodržovat nařízení GDPR, platné právní předpisy EU nebo členského státu o ochraně osobních údajů a tyto do- ložky.“
Strana 17 z 18
[A PŘÍPADNĚ]
„Správce údajů se nebudou nijak dotýkat náklady zpracovatele údajů a dílčího zpracovatele na provedení fyzické kontroly / inspekce v zařízeních dílčího zpracovatele, a to bez ohledu na to, zda správce údajů inicioval tuto inspekci a zúčastnil se jí.“
Příloha D Podmínky dohody stran ohledně jiných předmětů
Strana 18 z 18