Zásady zpracování osobních údajů
Zásady práce s osobními údaji jsou blíže rozpracované v anglické části webu.
Smlouva o zpracování osobních údajů
Úvod
-
Za účelem dostát povinnostem stanoveným Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) se smluvní strany (Objednatel v postavení správce osobních údajů a Dodavatel v postavení zpracovatele osobních údajů) dohodly na následujících povinnostech při zpracování osobních údajů v rámci plnění dle Smlouvy.
Pro účely tohoto článku bude Objednatel v souladu s čl. 4 odst. 7 GDPR označen jako „Správce“ a Dodavatel v souladu s čl. 4 odst. 8 GDPR jako „Zpracovatel“.
-
Zpracovatel zpracovává osobní údaje na základě pokynů Správce zejména automatickými procesy v rámci funkcí Softwaru případně ručně (např. v rámci přímých úprav nebo oprav Softwaru na výslovnou žádost Správce), a to tak, aby mohl být správně využíván Software, a všechny jeho funkce (dále jen „povaha zpracování“).
-
Předmětem zpracování jsou osobní údaje v rozsahu předaném Správcem (zejm. identifikační údaje, fotografie, další údaje obvykle uváděné v životopisech apod.).
-
Předmětem zpracování nejsou citlivé osobní údaje (vyjma případů, kdy tyto předá subjekt sám).
-
Rozsah zpracování osobních údajů je omezen rámcem vzájemného plnění dle Smlouvy (automaticky v rámci fungování Softwaru nebo dle pokynů Správce), pokyny Správce a souhlasem subjektů údajů. Za pokyn správce je považován i automatický pokyn v rámci funkcí Softwaru (uložení dat, odeslání apod.)
Povinnosti a prohlášení Správce
-
Správce prohlašuje a potvrzuje, že veškeré osobní údaje získal v souladu s obecně závaznými předpisy, a to zejména v souladu s GDPR, a že k jejich zpracování (v požadovaném rozsahu, k požadovanému účelu a na nezbytnou dobu) existuje oprávněný důvod (souhlas, smlouva apod.);
-
Správce prohlašuje, že si je vědom skutečnosti, že Zpracovatel přebírá osobní údaje ve stavu, v jakém budou předány Správcem, a že nemá možnost nikterak posoudit jejich obsah, správnost způsob či oprávněnost jejich získání, a proto se zavazuje předávat Zpracovateli pouze přesné osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, nesdružovat osobní údaje, které byly získány k rozdílným účelům či uchovávat osobní údaje u Zpracovatele nebo v Softwaru po delší dobu, než která je nezbytná k účelu jejich zpracování.
Povinnosti a prohlášení Zpracovatele
-
Zpracovatel se zavazuje, že bude zpracovávat osobní údaje předané Správcem jménem Správce a v souladu s příslušnými právními předpisy, Smlouvou nebo pokyny Správce vydanými v souladu s příslušnými právními předpisy. Nebude-li Zpracovatel moci z jakýchkoli důvodů zajistit dodržování povinností stanovených GDPR, či dalšími příslušnými právními předpisy, Smlouvou či pokyny Správce, zavazuje se o tom neprodleně informovat Správce, který je v takovém případě oprávněn pozastavit předávání údajů;
-
Zpracovatel dodrží podmínky pro zapojení dalšího zpracovatele, Správce dává obecný souhlas k zapojení dalších zpracovatelů (seznam dalších zpracovatelých je k dispozici na této stránce a může se čas od času změnit);
-
Správce může proti zapojení dalšího zpracovatele vznést námitku a okamžitě písemně odstoupit od Smlouvy, jestliže tuto námitku podá do 3 měsíců od informace o zapojení dalšího zpracovatele. Toto právo na odstoupení je možné využít výhradně z důvodu námitky na nového zpracovatele.
-
Zpracovatel zohlední povahu zpracování osobních údajů;
-
Zpracovatel bude Správci nápomocen prostřednictvím vhodných technických a organizačních opatření dle čl. 32;
-
Zpracovatel bude na výzvu Správce poskytovat součinnost pro splnění povinností Správce na základě žádostí o výkon práv subjektů údajů;
-
Zpracovatel bude Správci nápomocen a bude mu poskytovat součinnost při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;
-
Zpracovatel v souladu s rozhodnutím Správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
-
Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.
-
Zpracovatel informuje neprodleně Správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů;
- Zpracovatel dále bere na vědomí své povinnosti stanovené GDPR, dle kterého je mimo jiné povinen
- zpracovávat pouze přesné osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,
- nesdružovat osobní údaje, které byly získány k rozdílným účelům či
- oprávněn uchovávat osobní údaje předané Správcem pouze po dobu, která je nezbytná k účelu jejich zpracování.
Při plnění těchto svých povinností je však závislý na plnění stejných povinností Správcem a je odpovědný za porušení svých povinností ve vztahu k subjektům údajů pouze v míře uvedené níže;
-
Při zpracování osobních údajů je Zpracovatel povinen dbát, aby subjekty údajů neutrpěly újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a dále je povinen dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů;
-
Zpracovatel dále prohlašuje, že před zpracováním osobních údajů přijal níže uvedená vhodná organizační a technická bezpečnostní opatření. Zpracovávání osobních údajů bude prováděno oprávněnými zástupci Zpracovatele v prostorách Zpracovatele (případně automaticky Softwarem v Data centrech umístěných v členských státech EU), to vše automatizovaně prostřednictvím prostředků výpočetní techniky, případně mechanickými prostředky v listinné podobě;
-
Zpracovatel dále prohlašuje, že uvědomil veškeré své zaměstnance a další případné zástupce, kteří zpracovávají osobní údaje nebo u Zpracovatele přicházejí do styku s osobními údaji, o jejich povinnosti (trvající i po skončení zaměstnání nebo příslušných prací) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů;
-
Zpracovatel nesmí v rámci zpracovávání osobních údajů podle Smlouvy údaje jakýmkoliv způsobem zpřístupňovat dalším osobám k jakémukoliv zpracování (s výjimkou osob uvedených v předcházejícím odstavci), zejména není oprávněn osobní údaje předávat dalším osobám, zpřístupňovat, zveřejňovat, či jakkoliv šířit, pokud k tomu nebude písemně zmocněn Správcem. Tato povinnost dále neplatí vůči příslušným státním úřadům či jiným subjektům podle zvláštních právních předpisů, pokud tak stanoví zvláštní právní předpisy;
-
Zpracovatel je povinen umožnit, na základě písemné odůvodněné žádosti Správce, přezkoumání činností spojených se zpracováním údajů podle Smlouvy. Kontrola bude provedena Správcem přiměřeným způsobem za přítomnosti zástupce Zpracovatele;
-
Zpracovatel prohlašuje, že mu není známa jakákoliv překážka bránící plnění pokynů Správce podle Smlouvy či plnění povinností stanovených příslušnými právními předpisy;
-
Zpracovatel se rovněž zavazuje oznámit Správci neprodleně veškeré případy získání náhodného nebo neoprávněného přístupu k osobním údajům předaných Správcem;
-
Zpracovatel se zavazuje předávat výsledky zpracování osobních údajů zpět Správci v souladu se Smlouvou a dle jeho pokynů, a to způsobem přiměřeným účelu zpracování;
- Správce se zavazuje uhradit Zpracovateli veškeré náklady a odměnu (hodinovou sazbu dle Cenové nabídky pokud není uvedeno jinak) související s jeho shora uvedenou součinností nebo činností (čl. \(\ref{gdpr}\), odst. \(\ref{gdpr-service}\)) nezbytnou zejm. na základě žádostí subjektů údajů (vydání záznamů apod.), státních orgánů (kontroly apod.), v rámci auditů pod.
Záruky Zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů:
- Na základě GDPR je Zpracovatel povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů na základě Smlouvy. Zpracovatel prohlašuje, že v rámci zpracování osobních údajů podle Smlouvy přijal opatření dle čl. 32 GDPR, tj. zejména následující technická a organizační opatření:
- Prostory, ve kterých budou osobní údaje zpracovávány, budou mechanicky a elektronicky zabezpečeny alarmem;
- Přístupová práva do automatizovaného systému zpracování osobních údajů budou mít k dispozici pouze zaměstnanci Zpracovatele, případně osoby v obdobném postavení vůči Zpracovateli (dále statutární orgány nebo společníci), kteří budou proškoleni na zacházení s osobními údaji a budou s osobními údaji přímo nakládat. Zaměstnanci (a další uvedené osoby) budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob. Zpracovatel zajistí systém antivirové ochrany zařízení na zpracování údajů a dále systém bezpečnostního zálohování údajů.
- Veškerá výše uvedená opatření bude Zpracovatel zachovávat po celou dobu trvání Smlouvy.
-
Ve smyslu čl. 82 odst. 2 GDPR je Zpracovatel odpovědný za újmu způsobenou zpracováním osobních údajů pouze v případě, že nesplnil povinnosti stanovené GDPR konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů Správce nebo v rozporu s nimi. V ostatních případech je za újmu, která bude způsobena zpracováním, jež porušuje GDPR, vůči subjektům údajů, odpovědný Správce. Jestliže Zpracovatel zjistí, že Správce porušuje povinnosti stanovené Zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů
- Osobní údaje budou zpracovávány po dobu trvání Smlouvy případně po dobu udělené licence, pokud bude tato doba delší. Ke dni ukončení Smlouvy je Zpracovatel povinen vrátit Správci veškeré zpracovávané osobní údaje.
Další zpracovatelé
Jméno entity | Role | Poloha firmy |
---|---|---|
Google LLC | Poskytovatel služeb G Suite | Spojené státy |
Plausible Insights OÜ | Analýza přístupu k obsahu | Estonsko |
Version: Zář-2022