Smlouva o zpracování Osobních údajů

uzavřená v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním Osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně Osobních údajů), v platném znění (dále též „GDPR“)

(tato smlouva dále označena též jako „Smlouva“)

1.             Smluvní strany a jejich postavení

1.1.         Správce

jako Uživatel Služby (dále též „Správce“)

1.2.         Zpracovatel

DuPonti s.r.o., Kaprova 42/14, Staré Město, 110 00 Praha 1, IČ: 028 09 931, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze pod sp. zn. C 224082; a Legal Partners, advokátní kancelář s.r.o., se sídlem Praha 2, Nové Město, Záhořanského 1944/4, IČ: 06758967 (dále též "Zpracovatelé" nebo každý z nich jednotlivě jako "Zpracovatel")

2.             Předmět smlouvy a účel

2.1.         Předmětem této Smlouvy je zpracování vybraných osobních údajů třetích osob, které nejsou Stranami této Smlouvy (dále též „Osobní údaje“). Osobní údaje těchto třetích osob jsou buď vloženy Správcem do Služby jako Data či Informace nebo jsou poskytnuty Advokátní kanceláři v rámci Modulu Kontrola Advokátem. Rozsah Osobních údajů, které Služba zpracovává, je určen Správcem, neboť Zpracovatel nemůže ovlivnit, jaké osobní údaje jsou Správcem zadány. Zpracovatel provádí zpracování těchto Osobních údajů v rozsahu stanoveném touto Smlouvou a podle pokynů Správce.

2.2.         Zpracování Osobních údajů, které je upravené touto Smlouvou, probíhá na základě ujednání mezi Stranami, jehož obsah je stanoven ve Smluvních ujednáních, s nimiž Správce vyslovil souhlas spolu s uzavřením této Smlouvy (dále též „Smluvní ujednání“).

2.3.         Dojde – li k ukončení smluvního vztahu mezi Stranami založeného Smluvními ujednáními, zaniká taktéž smluvní vztah mezi Správcem a Zpracovatelem podle této Smlouvy, a obráceně.

2.4.         Terminologie užívaná v této Smlouvě je v souladu s terminologií užívanou ve Smluvních ujednáních. Pojmy, které jsou v této Smlouvě uvedeny s velkým písmenem a které nejsou vymezeny v této Smlouvě, jsou pojmy vymezené v čl. 2 Smluvních ujednáních.

2.5.         Kategorie Osobních údajů, které jsou předmětem zpracování jsou zejména:

a)        Jméno,

b)        Příjmení,

c)        Kontaktní údaje.

2.6.         Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány, jsou zejména následující fyzické osoby:

a)        Zaměstnanci správce,

b)        Zpracovatelé,

c)        Společní správci,

d)        Příjemci.

2.7.         Další kategorie Osobních údajů a subjektů Osobních údaje může Správce určit faktickým vložením těchto kategorií do Služby. Pro vyloučení jakýchkoliv pochybností platí, že údaje vložené Správcem do Služby se považují za údaje zpracovávané Zpracovatelem dle této smlouvy.

2.8.         Účel zpracování Osobních údajů, jakožto i kategorie Subjektů Osobních údajů, vymezuje Správce, jakožto Uživatel.

2.9.         Osobní údaje jsou zpracovány po dobu trvání vztahu mezi Zpracovatelem a Správcem podle Smluvních ujednání. Jeho ukončením, případně ukončením platnosti této Smlouvy, zaniká i zpracování Osobních údajů.

2.10.       Pro vyloučení jakýchkoliv pochybností se uvádí, že osobní údaje Uživatele se netýkají třetích osob, a proto nejsou předmětem této Smlouvy.

3.             Povinnosti Správce

3.1.         Správce je povinen zpracovávat jenom takové Osobní údaje, pro jejichž zpracování má zákonný důvod podle příslušných Aplikovatelných předpisů pro ochranu osobních údajů.

3.2.         Správce se zavazuje plnit svoji informační povinnost vůči všem relevantním Subjektům Osobních údajů, jejichž Osobní údaje jsou zpracovávány podle této Smlouvy v souladu s Aplikovatelnými předpisy. Pokud Správce zjistí, že svoji informační povinnost neplní v rozsahu stanoveném Aplikovatelnými předpisy, je povinen bezodkladně zjednat nápravu.

4.             Povinnosti Zpracovatele

4.1.         Zpracovatel se zavazuje zpracovávat Osobní údaje a výsledky zpracování jen na základě písemných pokynů Správce ve formě údajů zadaných Správcem do Služby. Pokud však bude Zpracovatel povinen na základě rozhodnutí orgánu veřejné moci vydat Osobní údaje zpracovávané dle pokynů Správce, tak o této skutečnosti musí bez zbytečného odkladu informovat Správce a o tomto zpravit i orgán veřejné moci, ledaže by takové jednání bylo v rozporu s Aplikovatelnými předpisy.

4.2.         Zpracovatel prohlašuje, že zavázal všechny osoby podílející se na zpracování povinností mlčenlivosti, nebo že u těchto osob je povinnost mlčenlivosti uložena Aplikovatelnými předpisy. Dále pak prohlašuje, že povinnost mlčenlivosti bude trvat i poté, co se již tyto osoby z jakýchkoliv důvodů na zpracování podílet nebudou.

4.3.         Zpracovatel se zavazuje zohlednit povahu zpracování a být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III GDPR. Dojde-li Zpracovateli žádost Subjektu údajů, ze které je patrno, že Subjekt údajů považuje Zpracovatele mylně za Správce, je Zpracovatel povinen tuto žádost předat ve vhodné lhůtě od jejího přijetí Správci a o tomto informovat žadatele. V případě takové žádosti nesmí Zpracovatel zasahovat do Osobních údajů Subjektu údajů bez vědomí Správce.

4.4.         Zpracovatel je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR (zejména se jedná o zabezpečení zpracování, ohlašování případů porušení zabezpečení, posouzení vlivu na ochranu Osobních údajů a předchozí konzultaci).

4.5.         Správce je oprávněn ve vztahu k jím Zpracovateli předaným Osobním údajům, včetně technických a organizačních opatřeních Zpracovatele, dohlížet, kontrolovat a provádět audity u Zpracovatelem prováděného zpracování, včetně Zpracovatelem zpracováním pověřených osob, a zpracovatel je povinen k těmto činnostem Správce přispět. Za účelem provádění činností uvedených v první větě může Správce jmenovat jinou osobu. Zpracovatel se zavazuje Správci poskytnout jakoukoliv informaci, která je potřebná pro výkon kontroly povinností uvedených v této Smlouvě. Zpracovatel je oprávněn nárokovat u Správce jím prokazatelně vynaložené náklady na provedenou kontrolu.

4.6.         Zpracovatel je po skončení této Smlouvy povinen zlikvidovat výsledky zpracování a všechny nosiče obsahující Osobní údaje a vymaže existující kopie. Pokud Zpracovatel zpracovává Osobní údaje ve zvláštním formátu, tak je dle požadavku Správce povinen po skončení Smlouvy Osobní údaje předat v tomto zvláštním formátu nebo ve formátu, ve kterém Osobní údaje získal od správce, nebo ve formátu obvykle používaném pro přenos informací (např. XML).

4.7.         Zpracovatel je povinen neprodleně informovat správce v případě, že podle jeho názoru určitý pokyn porušuje nařízení GDPR nebo jiné předpisy Evropské unie nebo členského státu týkající se ochrany údajů.

4.8.         Zpracovatel je povinen bezodkladně informovat Správce v případě kontroly nebo opatření přijatých vůči němu dozorovým úřadem, pokud se vztahují k této Smlouvě. To se vztahuje i na situace, kdy u Zpracovatele probíhá vyšetřování ze strany příslušného orgánu v případě porušení soukromého nebo veřejného práva, zejména pak práva správního nebo trestního, pokud se tyto vztahují ke zpracování Osobních údajů dle této Smlouvy.

4.9.         Pokud by Správce byl účastníkem jakéhokoliv řízení, zejména správního nebo trestního, nebo by vůči němu byl vznesen soukromoprávní nárok ve vztahu ke zpracování prováděném na základě této Smlouvy, tak je Zpracovatel povinen být nápomocen Správci, pokud to bude možné.

4.10.       Zpracovatel je povinen oznámit Správci v přiměřené lhůtě všechny případy porušení zabezpečení ochrany Osobních údajů a poskytnout mu veškerou součinnost, která v této souvislosti vyžadována. Stejně tak je Zpracovatel povinen poskytnout potřebnou součinnost při posuzování vlivu na ochranu Osobních údajů, včetně předchozí konzultace s dozorovým úřadem. Zpracovatel je oprávněn nárokovat v této souvislosti náhradu újmy, která mu prokazatelně vznikla jednáním Správce.

5.             Technická a organizační opatření

5.1.         Zpracovatel se zavazuje přijmout technická a organizační opatření vyžadovaná čl. 32 GDPR.

5.2.         Zpracovatel musí přitom dle čl. 32 odst. 1 GDPR vzít v úvahu stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování i různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob. Podrobnosti jsou uvedeny v příloze č. 1.

6.             Místo zpracovávání Osobních údajů

6.1.         Správci není povoleno přenášet Osobní údaje do tzv. třetích zemí, tedy mimo území Evropské unie, resp. Evropského hospodářského prostoru, pokud tyto Osobní údaje pocházejí od Subjektů z tohoto území.

6.2.         Zpracování Osobních údajů Zpracovatelem může alespoň zčásti probíhat mimo území Evropské unie, resp. Evropského hospodářského prostoru (ve třetích zemích). Přiměřená ochrana Osobních údajů v případě těchto zemí bude vycházet zejména z:

a)        Rozhodnutí o odpovídající ochraně dle čl. 45 GDPR, nebo

b)        Standardních doložek o ochraně údajů dle čl. 46 odst. 2 písm. c) a d) GDPR.

6.3.         Zpracovatel informuje Správce a Subjekty o konkrétních třetích zemích, ve kterých probíhá zpracování, pomocí Zásad.

7.             Další zpracovatelé

7.1.         Správce uděluje Zpracovateli povolení zapojit do zpracování další zpracovatele, přičemž jejich výběr je v kompetenci Zpracovatele.

7.2.         Zpracovatel informuje Správce a Subjekty o osobách, které jsou do zpracování zapojeny jako další zpracovatelé, jakož i o účelech zapojení takových osob do zpracování Osobních údajů, pomocí Zásad.

7.3.         Zpracovatel musí zajistit, že se na dalšího zpracovatele budou vztahovat stejné povinnosti, jako má z této Smlouvy Zpracovatel. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany Osobních údajů, počítaje v to povinnosti uvedené v této Smlouvě, odpovídá za jejich nesplnění Správci Zpracovatel.

8.             Platnost a účinnost smlouvy, újma

8.1.         Tato Smlouva nabývá platnosti a účinnosti dnem odsouhlasení jejího elektronického znění Správcem, jakožto Uživatelem.

8.2.         Tato Smlouva je uzavřena na dobu neurčitou, přičemž její účinnost je navázána na Smluvní vztah mezi Správcem a Zpracovatelem uzavřeným přijetím Smluvních ujednání ze strany Správce. Zánik vztahu plynoucího ze Smluvních ujednání znamená rovněž zánik této Smlouvy.

8.3.         Tato Smlouva zaniká způsoby uvedenými v této Smlouvě, zákoně nebo písemnou dohodou Smluvních stran.

9.             Vyjádření souhlasu

9.1.         Správce vyjádří svoji vůli být vázán touto Smlouvu kliknutím na tlačítko představující souhlas (případně zaškrtnutím příslušného pole), jemuž je bez jakýchkoliv pochybností přiřazen význam souhlaseného úkonu Uživatele;

9.2.         Zpracovatelé (každý z nich jednotlivě) vyjádří svoji vůli být vázán těmito Smluvními ujednáními tím, že tyto zveřejnění na Webových stránkách.

 

 

Přílohy:

Příloha č. 1 - Technická a organizační opatření


 

PŘÍLOHA Č. 1 - TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

 

DŮVĚRNOST

 

         Přístupová práva: Ochrana proti neoprávněnému použití systému heslem (včetně příslušných zásad přístupu), šifrování datových nosičů;

         Kontrola přístupu: Ochrana proti neoprávněnému čtení, kopírování, pozměňování nebo odstraňování záznamů v systému, pomocí logování přístupů, pravidelná revize přiřazených oprávnění, zejména administrátorských uživatelských účtů;

         Oddělené zpracování: Virtuálně oddělené zpracování Osobních údajů, která jsou zadány různými uživateli pro různé potřeby prostřednictvím podpory více klientů.

 

INTEGRITA

 

         Kontrola přenosu: Ochrana proti neoprávněnému čtení, kopírování, pozměňování nebo odstraňování záznamů při elektronickém přenosu nebo přepravě pomocí šifrování protokolem https.

 

ODOLNOST A DOSTUPNOST

 

         Kontrola dostupnosti: Ochrana před náhodným nebo záměrným zničením nebo ztrátou, pomocí zálohování dat, nepřerušitelného zdroje napájení, anti-viru a firewallu.

 

POSTUP PRO PRAVIDELNÝ PŘEZKUM, POSUZOVÁNÍ A HODNOCENÍ

 

         Formalizované řízení zpracování, následná kontrola neobvyklých přístupů.