Smlouva
o zpracování Osobních údajů
uzavřená v souladu s čl. 28 Nařízení
Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně
fyzických osob v souvislosti se zpracováním Osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně Osobních
údajů), v platném znění (dále též „GDPR“)
(tato smlouva dále označena též jako „Smlouva“)
1.
Smluvní strany a jejich postavení
1.1.
Správce
jako
Uživatel Služby (dále též „Správce“)
1.2.
Zpracovatel
DuPonti
s.r.o., Kaprova 42/14, Staré Město, 110 00 Praha 1, IČ: 028 09 931, zapsaná v
obchodním rejstříku vedeném u Městského soudu v Praze pod sp. zn. C
224082; a Legal Partners, advokátní kancelář s.r.o., se sídlem Praha 2, Nové
Město, Záhořanského 1944/4, IČ: 06758967 (dále též "Zpracovatelé"
nebo každý z nich jednotlivě jako "Zpracovatel")
2.
Předmět smlouvy a účel
2.1.
Předmětem této
Smlouvy je zpracování vybraných osobních údajů třetích osob, které nejsou Stranami
této Smlouvy (dále též „Osobní údaje“). Osobní údaje těchto třetích osob
jsou buď vloženy Správcem do Služby jako Data či Informace nebo jsou poskytnuty
Advokátní kanceláři v rámci Modulu Kontrola Advokátem. Rozsah Osobních údajů,
které Služba zpracovává, je určen Správcem, neboť Zpracovatel nemůže ovlivnit,
jaké osobní údaje jsou Správcem zadány. Zpracovatel provádí zpracování těchto
Osobních údajů v rozsahu stanoveném touto Smlouvou a podle pokynů Správce.
2.2.
Zpracování
Osobních údajů, které je upravené touto Smlouvou, probíhá na základě ujednání
mezi Stranami, jehož obsah je stanoven ve Smluvních ujednáních, s nimiž
Správce vyslovil souhlas spolu s uzavřením této Smlouvy (dále též „Smluvní
ujednání“).
2.3.
Dojde – li
k ukončení smluvního vztahu mezi Stranami založeného Smluvními ujednáními,
zaniká taktéž smluvní vztah mezi Správcem a Zpracovatelem podle této Smlouvy, a
obráceně.
2.4.
Terminologie
užívaná v této Smlouvě je v souladu s terminologií užívanou ve
Smluvních ujednáních. Pojmy, které jsou v této Smlouvě uvedeny
s velkým písmenem a které nejsou vymezeny v této Smlouvě, jsou pojmy
vymezené v čl. 2 Smluvních ujednáních.
2.5.
Kategorie Osobních
údajů, které jsou předmětem zpracování jsou zejména:
a)
Jméno,
b)
Příjmení,
c)
Kontaktní údaje.
2.6.
Kategorie subjektů
údajů, jejichž osobní údaje jsou zpracovávány, jsou zejména následující fyzické
osoby:
a)
Zaměstnanci
správce,
b)
Zpracovatelé,
c)
Společní správci,
d)
Příjemci.
2.7.
Další kategorie
Osobních údajů a subjektů Osobních údaje může Správce určit faktickým vložením
těchto kategorií do Služby. Pro vyloučení jakýchkoliv pochybností platí, že
údaje vložené Správcem do Služby se považují za údaje zpracovávané
Zpracovatelem dle této smlouvy.
2.8.
Účel zpracování
Osobních údajů, jakožto i kategorie Subjektů Osobních údajů, vymezuje Správce,
jakožto Uživatel.
2.9.
Osobní údaje jsou
zpracovány po dobu trvání vztahu mezi Zpracovatelem a Správcem podle Smluvních
ujednání. Jeho ukončením, případně ukončením platnosti této Smlouvy, zaniká i
zpracování Osobních údajů.
2.10.
Pro vyloučení
jakýchkoliv pochybností se uvádí, že osobní údaje Uživatele se netýkají třetích
osob, a proto nejsou předmětem této Smlouvy.
3.
Povinnosti Správce
3.1.
Správce je povinen
zpracovávat jenom takové Osobní údaje, pro jejichž zpracování má zákonný důvod
podle příslušných Aplikovatelných předpisů pro ochranu osobních údajů.
3.2.
Správce se
zavazuje plnit svoji informační povinnost vůči všem relevantním Subjektům
Osobních údajů, jejichž Osobní údaje jsou zpracovávány podle této Smlouvy
v souladu s Aplikovatelnými předpisy. Pokud Správce zjistí, že svoji
informační povinnost neplní v rozsahu stanoveném Aplikovatelnými předpisy,
je povinen bezodkladně zjednat nápravu.
4.
Povinnosti Zpracovatele
4.1.
Zpracovatel se
zavazuje zpracovávat Osobní údaje a výsledky zpracování jen na základě
písemných pokynů Správce ve formě údajů zadaných Správcem do Služby. Pokud však
bude Zpracovatel povinen na základě rozhodnutí orgánu veřejné moci vydat Osobní
údaje zpracovávané dle pokynů Správce, tak o této skutečnosti musí bez
zbytečného odkladu informovat Správce a o tomto zpravit i orgán veřejné moci,
ledaže by takové jednání bylo v rozporu s Aplikovatelnými předpisy.
4.2.
Zpracovatel
prohlašuje, že zavázal všechny osoby podílející se na zpracování povinností
mlčenlivosti, nebo že u těchto osob je povinnost mlčenlivosti uložena Aplikovatelnými
předpisy. Dále pak prohlašuje, že povinnost mlčenlivosti bude trvat i poté, co
se již tyto osoby z jakýchkoliv důvodů na zpracování podílet nebudou.
4.3.
Zpracovatel se
zavazuje zohlednit povahu zpracování a být Správci nápomocen prostřednictvím vhodných
technických a organizačních opatření, pokud je to možné, pro splnění Správcovy
povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v
kapitole III GDPR. Dojde-li Zpracovateli žádost Subjektu údajů, ze které je
patrno, že Subjekt údajů považuje Zpracovatele mylně za Správce, je Zpracovatel
povinen tuto žádost předat ve vhodné lhůtě od jejího přijetí Správci a o tomto
informovat žadatele. V případě takové žádosti nesmí Zpracovatel zasahovat
do Osobních údajů Subjektu údajů bez vědomí Správce.
4.4.
Zpracovatel je
správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až
36 GDPR (zejména se jedná o zabezpečení zpracování, ohlašování případů porušení
zabezpečení, posouzení vlivu na ochranu Osobních údajů a předchozí konzultaci).
4.5.
Správce je
oprávněn ve vztahu k jím Zpracovateli předaným Osobním údajům, včetně
technických a organizačních opatřeních Zpracovatele, dohlížet, kontrolovat a
provádět audity u Zpracovatelem prováděného zpracování, včetně Zpracovatelem
zpracováním pověřených osob, a zpracovatel je povinen k těmto činnostem
Správce přispět. Za účelem provádění činností uvedených v první větě může
Správce jmenovat jinou osobu. Zpracovatel se zavazuje Správci poskytnout
jakoukoliv informaci, která je potřebná pro výkon kontroly povinností uvedených
v této Smlouvě. Zpracovatel je oprávněn nárokovat u Správce jím
prokazatelně vynaložené náklady na provedenou kontrolu.
4.6.
Zpracovatel je po
skončení této Smlouvy povinen zlikvidovat výsledky zpracování a všechny nosiče
obsahující Osobní údaje a vymaže existující kopie. Pokud Zpracovatel zpracovává
Osobní údaje ve zvláštním formátu, tak je dle požadavku Správce povinen po
skončení Smlouvy Osobní údaje předat v tomto zvláštním formátu nebo ve
formátu, ve kterém Osobní údaje získal od správce, nebo ve formátu obvykle
používaném pro přenos informací (např. XML).
4.7.
Zpracovatel je
povinen neprodleně informovat správce v případě, že podle jeho názoru určitý
pokyn porušuje nařízení GDPR nebo jiné předpisy Evropské unie nebo členského
státu týkající se ochrany údajů.
4.8.
Zpracovatel je
povinen bezodkladně informovat Správce v případě kontroly nebo opatření
přijatých vůči němu dozorovým úřadem, pokud se vztahují k této Smlouvě. To
se vztahuje i na situace, kdy u Zpracovatele probíhá vyšetřování ze strany
příslušného orgánu v případě porušení soukromého nebo veřejného práva,
zejména pak práva správního nebo trestního, pokud se tyto vztahují ke
zpracování Osobních údajů dle této Smlouvy.
4.9.
Pokud by Správce
byl účastníkem jakéhokoliv řízení, zejména správního nebo trestního, nebo by
vůči němu byl vznesen soukromoprávní nárok ve vztahu ke zpracování prováděném
na základě této Smlouvy, tak je Zpracovatel povinen být nápomocen Správci,
pokud to bude možné.
4.10.
Zpracovatel je
povinen oznámit Správci v přiměřené lhůtě všechny případy porušení zabezpečení
ochrany Osobních údajů a poskytnout mu veškerou součinnost, která v této
souvislosti vyžadována. Stejně tak je Zpracovatel povinen poskytnout potřebnou
součinnost při posuzování vlivu na ochranu Osobních údajů, včetně předchozí
konzultace s dozorovým úřadem. Zpracovatel je oprávněn nárokovat
v této souvislosti náhradu újmy, která mu prokazatelně vznikla jednáním
Správce.
5.
Technická a organizační opatření
5.1.
Zpracovatel se
zavazuje přijmout technická a organizační opatření vyžadovaná čl. 32 GDPR.
5.2.
Zpracovatel musí
přitom dle čl. 32 odst. 1 GDPR vzít v úvahu stav techniky, náklady na
provedení, povahu, rozsah, kontext a účely zpracování i různě
pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob.
Podrobnosti jsou uvedeny v příloze č. 1.
6.
Místo zpracovávání Osobních údajů
6.1.
Správci není
povoleno přenášet Osobní údaje do tzv. třetích zemí, tedy mimo území Evropské
unie, resp. Evropského hospodářského prostoru, pokud tyto Osobní údaje
pocházejí od Subjektů z tohoto území.
a)
Rozhodnutí o
odpovídající ochraně dle čl. 45 GDPR, nebo
b)
Standardních
doložek o ochraně údajů dle čl. 46 odst. 2 písm. c) a d) GDPR.
6.3.
Zpracovatel
informuje Správce a Subjekty o konkrétních třetích zemích, ve kterých probíhá
zpracování, pomocí Zásad.
7.
Další zpracovatelé
7.1.
Správce uděluje
Zpracovateli povolení zapojit do zpracování další zpracovatele, přičemž jejich
výběr je v kompetenci Zpracovatele.
7.2.
Zpracovatel
informuje Správce a Subjekty o osobách, které jsou do zpracování zapojeny jako
další zpracovatelé, jakož i o účelech zapojení takových osob do zpracování
Osobních údajů, pomocí Zásad.
7.3.
Zpracovatel musí
zajistit, že se na dalšího zpracovatele budou vztahovat stejné povinnosti, jako
má z této Smlouvy Zpracovatel. Neplní-li uvedený další zpracovatel své
povinnosti v oblasti ochrany Osobních údajů, počítaje v to povinnosti
uvedené v této Smlouvě, odpovídá za jejich nesplnění Správci Zpracovatel.
8.
Platnost a účinnost smlouvy, újma
8.2.
Tato Smlouva je
uzavřena na dobu neurčitou, přičemž její účinnost je navázána na Smluvní vztah
mezi Správcem a Zpracovatelem uzavřeným přijetím Smluvních ujednání ze strany
Správce. Zánik vztahu plynoucího ze Smluvních ujednání znamená rovněž
zánik této Smlouvy.
8.3.
Tato Smlouva
zaniká způsoby uvedenými v této Smlouvě, zákoně nebo písemnou dohodou
Smluvních stran.
9.
Vyjádření souhlasu
Přílohy:
Příloha č. 1 - Technická a organizační
opatření
PŘÍLOHA
Č. 1 - TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
DŮVĚRNOST
•
Přístupová
práva: Ochrana proti neoprávněnému použití systému heslem (včetně příslušných
zásad přístupu), šifrování datových nosičů;
•
Kontrola
přístupu: Ochrana proti neoprávněnému čtení, kopírování, pozměňování nebo
odstraňování záznamů v systému, pomocí logování přístupů, pravidelná revize
přiřazených oprávnění, zejména administrátorských uživatelských účtů;
•
Oddělené
zpracování: Virtuálně oddělené zpracování Osobních údajů, která jsou zadány
různými uživateli pro různé potřeby prostřednictvím podpory více klientů.
INTEGRITA
•
Kontrola
přenosu: Ochrana proti neoprávněnému čtení, kopírování, pozměňování nebo odstraňování
záznamů při elektronickém přenosu nebo přepravě pomocí šifrování protokolem
https.
ODOLNOST
A DOSTUPNOST
•
Kontrola
dostupnosti: Ochrana před náhodným nebo záměrným zničením nebo ztrátou, pomocí zálohování
dat, nepřerušitelného zdroje napájení, anti-viru a firewallu.
POSTUP
PRO PRAVIDELNÝ PŘEZKUM, POSUZOVÁNÍ A HODNOCENÍ
•
Formalizované
řízení zpracování, následná kontrola neobvyklých přístupů.