Příloha 6 – Dohoda o zpracování osobních údajů
Příloha 6 – Dohoda o zpracování osobních údajů
Česká republika – Generální finanční ředitelství Sídlo: Xxxxxxxx 00, 000 00 Xxxxx 0 Xxxxxxxxxx:
Bankovní spojení:
(dále jen „Objednatel“ nebo „GFŘ“)
a
Eviden Czech Republic s.r.o.
Sídlo: Xxxxxxxxxx 0000/0, 000 00 Xxxxx 0 - Xxxxx
IČO: 44851391
DIČ: CZ44851391
Zastoupená:
Bankovní spojení:
(dále jen „Dodavatel“)
(společně dále také jen „Smluvní strany“, nebo jednotlivě „Smluvní strana“)
Tato Dohoda o zpracování údajů (dále jen „Dohoda“ nebo „DPA“) se vztahuje ke zpracování osobních údajů Dodavatelem pro Objednatele za účelem poskytování služeb dohodnutých na základě Rámcové dohody ADIS – zajišťování vývoje Systému ADIS, podpora provozu, pozáruční servis, služba ADIS Hot-line, konzultační služby a technická podpora (dále jen „Rámcová dohoda“) Tato DPA podléhá podmínkám Rámcové dohody. Výrazy, které zde nejsou definovány, mají význam uvedený v Obecném nařízení o ochraně osobních údajů 2016/679 (General Data Protection Regulation, GDPR). Bude-li to Dílčí plnění vyžadovat, uzavřou Smluvní strany vedle této DPA speciální DPA jako přílohu příslušné Prováděcí smlouvy. V případě rozporu bude mít speciální DPA přednost před DPA, která má přednost před Prováděcí smlouvou a Xxxxxxxx dohodou (dále pro obě společně jen „Smlouva“), s výjimkou situací výslovně stanovených ve Smlouvě a označujících relevantní Oddíl DPA, před nímž má přednost.
Jedná se o Dohodu mezi Objednatelem, jakožto správcem osobních údajů, a Dodavatelem, jakožto zpracovatelem osobních údajů.
1. Zpracování
1.1 Objednatel určuje účel a prostředky zpracování Osobních údajů.
1.2 Seznam kategorií Subjektů údajů, typů Osobních údajů, Zvláštních kategorií osobních údajů, účelů zpracování a dalších činností při zpracování bude uveden v Příloze k DPA pro danou Službu, která bude tvořit nedílnou součást jednotlivých Prováděcích smluv. Doba trvání Zpracování odpovídá době trvání Služby, pokud není v Příloze k DPA uvedeno jinak. Povahou, účelem a předmětem Zpracování je poskytování Služby, jak je popsáno v příslušné Prováděcí smlouvě.
1.3 Dodavatel bude Zpracovávat Osobní údaje podle písemných pokynů Objednatele. Rozsah pokynů Objednatele týkajících se Zpracování Osobních údajů je vymezen Smlouvou a Prováděcí smlouvou, touto DPA a používáním a konfigurací a případně funkcí Služby ze strany Správce a jeho oprávněných uživatelů. Objednatel může poskytnout i další pokyny, pokud je k tomu ze zákona povinen (Další pokyny). Pokud je Xxxxxxxxx přesvědčen, že tyto Další pokyny porušují GDPR nebo jiné platné právní předpisy z oblasti ochrany osobních údajů, informuje o této skutečnosti bez zbytečného prodlení Objednatele a může pozastavit poskytování Služeb, dokud Objednatel nezmění nebo písemnou formou nepotvrdí zákonnost těchto Dalších pokynů. Pokud Dodavatel oznámí Objednateli, že Další pokyny není možné uskutečnit, nebo pokud Objednatel informuje Dodavatele, že neakceptuje nabídku Dalších pokynů připravených v souladu s Oddílem 10.2 této Dohody, Objednatel může ukončit předmětnou Službu v souladu se Smlouvou.
1.4 Dodavatel bude ve vztahu ke Službám dodržovat veškeré právní předpisy, zejména GDPR a související právní předpisy (Právní předpisy na ochranu osobních údajů) platné pro Zpracovatele. Dodavatel neodpovídá za zjištění zákonných požadavků, které jsou platné pro činnost Objednatele, ani za zjištění, zda poskytování Služeb ze strany Dodavatele splňuje požadavky těchto právních předpisů. Ve vztahu mezi Smluvními stranami je za soulad Zpracování Osobních údajů se zákonem vůči Správcům odpovědný Objednatel. Objednatel nebude využívat Služby ve spojení s Osobními údaji, pokud by tak došlo k porušení příslušných Právních předpisů na ochranu osobních údajů.
2. Technická a organizační opatření
2.1 Dodavatel implementuje a bude udržovat technická a organizační opatření stanovená v Příloze Smlouvy Činnosti podpory bezpečnosti ADIS a bezpečnostní požadavky (dále jen „BP“) tak, aby byla zajištěna odpovídající úroveň zabezpečení vzhledem k rizikům a rozsahu odpovědnosti Dodavatele. BP podléhají technickému a jinému vývoji o změnách a úpravách BP. Dodavatel Objednateli písemně oznámí každou jednotlivou úpravu BP a Objednatel má právo proti každé jednotlivé úpravě BP vznést námitku do 30 dnů od oznámení. V případě podané námitky bude Dodavatel hledat alternativní BP, který by byl pro Objednatele akceptovatelný. Pokud takový BP neexistuje a je zároveň pro poskytování Služeb dle Xxxxxxx nezbytný, bude o tom Dodavatel Objednatele neprodleně informovat. V takovém případě budou Smluvní strany jednat o možnosti úpravy BP a dohodnutou změnu potvrdí formou písemného dodatku ke Smlouvě.
2.2 Objednatel v Prováděcí smlouvě potvrdí, že BP představují odpovídající úroveň ochrany Osobních údajů s ohledem na rizika spojená se Zpracováním osobních údajů.
3. Práva a požadavky Subjektů údajů
3.1 V rozsahu povoleném ze zákona bude Dodavatel neprodleně, nejpozději do druhého pracovního dne, informovat Objednatele o požadavcích Subjektů údajů vyplývajících z výkonu jejich práv Subjektů údajů (např. na opravu, výmaz a blokování údajů), adresovaných přímo Dodavateli. Objednatel odpovídá za reakce na tyto požadavky Subjektů údajů v souladu s GDPR a reakci zašle v kopii Dodavateli. Dodavatel poskytne Objednateli přiměřenou součinnost při reakcích na tyto požadavky Subjektů údajů v souladu s Oddílem 10.1 této Dohody.
3.2 Pokud Subjekt údajů vznese nárok přímo vůči Dodavateli kvůli porušení svých práv, Objednatel odškodní Dodavatele za veškeré náklady, poplatky, náhrady škody, výdaje nebo ztráty vyplývající z tohoto nároku, za předpokladu, že Dodavatel informoval Objednatele o tomto nároku a dal Objednateli příležitost spolupracovat s Dodavatelem při obraně před tímto nárokem a na jeho narovnání a zároveň k porušení práv Subjektu údajů nedošlo v důsledku porušení povinností Dodavatelem. V souladu s podmínkami této DPA může Objednatel vznést nárok na částky zaplacené Objednatelem Subjektu údajů za porušení jeho práv Subjektu údajů způsobené porušením povinností Dodavatelem dle GDPR.
4. Požadavky třetích osob a důvěrnost
4.1 Dodavatel neposkytne Osobní údaje žádné třetí osobě, pokud jej k tomu Objednatel nezmocní nebo to nebude vyžadovat zákon. Pokud si vláda nebo Dozorový orgán vyžádají přístup k Osobním údajům, Dodavatel informuje Objednatele o této skutečnosti ještě před poskytnutím těchto údajů, pokud to není zákonem zakázáno.
4.2 Dodavatel se zavazuje zajistit, aby se všichni jeho pracovníci, kteří jsou oprávněni Zpracovávat Osobní údaje, zavázali k zachování důvěrnosti a aby nezpracovávali tyto Osobní údaje k žádným jiným než Smlouvou sjednaným účelům, s výjimkou situace, kdy si to vyžádá Objednatel nebo to bude požadováno platnými právními předpisy.
5. Audit
5.1 Dodavatel umožní a usnadní audity, včetně kontrol, prováděné Objednatelem nebo jiným auditorem, kterého Objednatel pověří, u dodavatelů, kteří zpracovávají Osobní údaje, v souladu s následujícími postupy:
a. Na základě písemné žádosti Objednatele Dodavatel poskytne Objednateli nebo jím pověřenému auditorovi aktuální certifikace anebo souhrnné sestavy auditů, které nechal Xxxxxxxxx provést za účelem pravidelného testování, posuzování a vyhodnocování efektivity BP.
b. Dodavatel poskytne Objednateli přiměřenou součinnost v podobě poskytnutí dostupných dalších informací týkajících se BP, aby Objednatel těmto opatřením lépe porozuměl.
c. Pokud Objednatel bude potřebovat další informace, aby mohl splnit vlastní povinnosti ve vztahu k auditu nebo požadavek kompetentního Dozorového orgánu, Objednatel bude písemně informovat Xxxxxxxxxx, aby mu Dodavatel mohl tyto informace poskytnout nebo mu k nim umožnit přístup.
d. Pokud nebude možné splnit povinnost auditu nařízenou platnými právními předpisy jiným způsobem, mohou subjekty, jimž to nařizuje zákon (např. vládní regulační agentura vykonávající dohled nad provozem Objednatele), Objednatel nebo jím pověřený auditor provést fyzickou návštěvu v prostorách, kde je poskytována Služba, a sice během běžné pracovní doby a pouze takovým způsobem, který bude co nejméně narušovat provoz Dodavatele, s tím, že načasování této návštěvy bude koordinováno tak, aby se snížilo riziko pro ostatní zákazníky Dodavatele.
5.2 Každá ze stran ponese své vlastní náklady ve vztahu k odstavcům a. a b. Oddílu 5.1. této Dohody. Jakákoli další podpora bude poskytnuta v souladu s ustanoveními Oddílu 10 této Dohody.
6. Vrácení nebo odstranění Osobních údajů
6.1 Po ukončení Smlouvy nebo po uplynutí její platnosti Dodavatel dle pokynu Objednatele buď protokolárně odstraní, nebo protokolárně vrátí Osobní údaje do jeho vlastnictví dle popisu v Příloze k DPA, pokud není platnými právními předpisy upraveno jinak.
7. Dílčí zpracovatelé
7.1 Objednatel zmocňuje Dodavatele k tomu, aby zapojil smluvní partnery do Zpracování osobních údajů GFŘ (Dílčí zpracovatelé). Dodavatel předem informuje Objednatele o veškerých změnách Dílčích zpracovatelů. Do 30 dnů od oznámení Dodavatele o zamýšlené změně může Objednatel vznést námitku proti přidání Dílčího zpracovatele z důvodu, že by toto přidání mělo za následek porušení platných právních požadavků Objednatelem nebo v případě, že na straně Objednatele existuje oprávněný zájem, aby nedošlo k přidání konkrétního Dílčího zpracovatele. Námitka Objednatele bude vznesena písemně a bude zahrnovat specifické důvody Objednatele pro danou námitku a možnosti, jak případně danou situaci řešit. Pokud Objednatel v daném období nevznese žádnou námitku, může být příslušný Dílčí zpracovatel pověřen Zpracováním osobních údajů. Dodavatel bude od všech schválených Dílčích zpracovatelů před vlastním Zpracováním jakýchkoli Osobních údajů těmito Dílčími zpracovateli vyžadovat v zásadě podobné povinnosti týkající se ochrany osobních údajů, jako jsou stanoveny v DPA.
7.2 Pokud Objednatel vznese oprávněnou námitku vůči přidání Dílčího zpracovatele a Dodavatel nebude schopen úplně přerušit spolupráci s touto osobou, potom Dodavatel v souladu s požadavkem Objednatele nepoužije tuto osobu jako Dílčího zpracovatele, ale může ji využít jako subdodavatele bez přístupu k Osobním údajům. V tom případě Xxxxxxxxx informuje o této skutečnosti Objednatele.
8. Přeshraniční zpracování údajů
8.1 V případě zpracování Osobních údajů Dílčími zpracovateli usazenými buď mimo Evropský hospodářský prostor, nebo v zemích, jejichž úroveň ochrany osobních údajů považuje Evropská komise za dostatečnou (Dovozci údajů) uzavře Dodavatel (případně GFŘ s Dodavatelem, je-li Dovozcem údajů) s těmito Dílčími zpracovateli Standardní smluvní doložky EU. V případě, že konkrétní smlouva obsahující Standardní smluvní doložky EU nebude zajišťovat takovou úroveň ochrany osobních údajů, která je rovnocenná ochraně poskytované GDPR, předloží Dodavatel Objednateli tzv. dodatečné záruky pro zajištění rovnocenné ochrany předaných osobních údajů. V případě, že tyto záruky nebudou dostatečné, tak je Dodavatel ve spolupráci s Objednatelem povinen přijmout dodatečná doplňková opatření, která tyto záruky navýší na požadovanou úroveň. Seznam Dílčích zpracovatelů a Dovozců údajů bude uveden v Příloze k DPA.
8.2 Pokud Objednatel informuje Dodavatele o jiném Správci a Dodavatel proti tomu do 30 dnů po tomto oznámení nevznese námitku, Objednatel vyjádří jménem těchto ostatních Správců souhlas, nebo pokud nemůže vyjádřit souhlas, obstará si jej od těchto ostatních Správců, a ti se stanou dalšími vývozci údajů ve smyslu Standardních smluvních doložek EU uzavřených mezi Dovozci údajů a Objednatelem. Dodavatel zajistí přijetí souhlasu těchto ostatních Správců ze strany Dovozců údajů. Objednatel poskytne souhlas a v relevantních případech zajistí souhlas ostatních Správců s tím, že Standardní smluvní doložky EU, včetně veškerých nároků, které z nich vyplývají, podléhají podmínkám stanoveným ve Smlouvě, včetně vyloučení a omezení odpovědnosti. V případě rozporu mají přednost Standardní smluvní doložky EU.
9. Porušení zabezpečení osobních údajů
9.1 Pokud Dodavatel zjistí, že došlo nebo mohlo dojít k Porušení zabezpečení osobních údajů v souvislosti s poskytováním Služeb, informuje o tom Objednatele bez zbytečného odkladu, nejpozději do 24 hodin od zjištění porušení. Dodavatel co nejrychleji vyšetří případ Porušení zabezpečení osobních údajů, pokud k němu došlo v jeho infrastruktuře nebo v jiné oblasti, za kterou odpovídá Xxxxxxxxx, a poskytne Objednateli podporu, jak je stanoveno v Oddílu 10 této Dohody. Objednatel informuje Xxxxxxxxxx o všech zjištěných skutečnostech a způsobech odstranění Porušení zabezpečení osobních údajů.
10. Podpora
10.1 Dodavatel poskytne Objednateli veškeré informace potřebné k doložení toho, že byly při zpracování Osobních údajů splněny povinnosti dle GDPR a bude v přiměřeném rozsahu pomáhat Objednateli za pomoci BP za účelem splnění závazků Objednatele ve věci práv Subjektů údajů a při zajišťování souladu se závazky a právními povinnostmi Objednatele vztahujícími se k zabezpečení Zpracování a ochraně osobních údajů, zejména pak oznámení nebo ohlášení případu Porušení zabezpečení osobních údajů a k Posouzení vlivu na ochranu osobních údajů, přičemž Dodavatel bude brát v úvahu všechny informace, které má k dispozici.
10.2 Dodavatel neprodleně informuje Objednatele v případě, že podle jeho názoru určitý pokyn porušuje GDPR nebo jiné právní předpisy týkající se ochrany osobních údajů.
11. Závěrečná ustanovení
11.1 Kromě ustanovení, která byla změněna nebo modifikována v této Dohodě, platí v plném rozsahu všechna ustanovení Smlouvy.
11.2 Nedílnou součástí DPA, která bude součástí Prováděcí smlouvy a jejíž obsah bude předmětem obchodního tajemství, bude seznam kategorií Subjektů údajů, typů Osobních údajů, Zvláštních kategorií osobních údajů, účelů zpracování a dalších činností při zpracování, dokumenty popisující technická a organizační opatření Dodavatele.
11.3 Smluvní strany potvrzují, že si tuto Dohodu přečetly, rozumí jí a souhlasí s jejími podmínkami.
11.4 Tato Smlouva je podepsána elektronicky v jednom (1) vyhotovení..
V Praze
Za Dodavatele: 30. 4. 2024
Za Objednatele:
2. 5. 2024