Smlouva o zpracování údajů
Podle požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR) vstupujete vy (dále jen správce) a poskytovatel (dále jen zpracovatel) do smluvního vztahu zpracování dat, abyste definovali podmínky a ujednání pro zpracování osobních údajů, způsob jejich ochrany, jakož i vymezení dalších práv a povinností obou stran při zpracovávání osobních údajů subjektů údajů jménem správce v průběhu provádění předmětu těchto podmínek jako hlavní smlouvy.
1. Zpracování osobních údajů. Služby poskytované v souladu s těmito podmínkami zahrnují zpracování informací týkajících se identifikované nebo identifikovatelné fyzické osoby uvedené v zásadách ochrany osobních údajů (dále jen osobní údaje).
2. Oprávnění. Správce opravňuje zpracovatele zpracovávat osobní údaje, což zahrnuje následující:
(i) Účelem zpracování se rozumí poskytování služeb v souladu s těmito podmínkami. Zpracovatel je oprávněn zpracovávat osobní údaje jménem správce pouze v souvislosti s poskytováním služeb požadovaných správcem. Veškeré informace shromážděné pro další účely jsou zpracovávány mimo smluvní vztah mezi správcem a zpracovatelem.
(ii) Obdobím zpracování se rozumí období od vstupu do spolupráce za těchto podmínek do ukončení služeb.
(iii) Rozsah a kategorie osobních údajů musí obsahovat obecné osobní údaje, s výjimkou zvláštních kategorií osobních údajů.
(iv) Subjektem údajů se rozumí fyzická osoba jako oprávněný uživatel zařízení správce.
(v) Operacemi zpracování se rozumějí všechny operace nezbytné pro účel zpracování.
(vi) Doloženými pokyny se rozumějí instrukce popsané v těchto podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb. Správce odpovídá za právní přípustnost zpracování osobních údajů zpracovatelem z hlediska příslušných platných ustanovení právních předpisů o ochraně osobních údajů.
3. Povinnosti zpracovatele. Zpracovatel je povinen:
(i) zpracovávat osobní údaje pouze na základě doložených pokynů a pro účely definované v podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb,
(ii) zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k zachování důvěrnosti a dodržování doložených pokynů;
(iii) implementovat a dodržovat opatření popsaná v podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb,
(iv) pomáhat správci při vyřizování žádostí subjektů údajů týkající se jejich práv. Zpracovatel nesmí opravit, vymazat nebo omezit zpracování osobních údajů bez pokynu správce. Veškeré žádosti subjektu údajů týkající se osobních údajů zpracovávaných jménem správce budou neprodleně předány správci.
(v) pomáhat správci s oznamováním porušení zabezpečení osobních údajů dozorčímu orgánu a subjektu údajů,
(vi) odstranit nebo vrátit všechny osobní údaje správci po skončení období zpracování,
(vii) vést aktuální registr všech kategorií zpracovatelských činností, které zpracovatel provedl jménem správce;
(viii) zpřístupnit správci všechny informace nezbytné k prokázání dodržování těchto podmínek, jejich příloh, zásad ochrany osobních údajů a dokumentace služeb.
4. Zapojení dalšího zpracovatele. Zpracovatel je oprávněn zapojit jiného zpracovatele za účelem provádění zvláštních zpracovatelských činností, jako je poskytování cloudového úložiště a infrastruktury pro služby v souladu s těmito podmínkami, jejich přílohami, zásadami ochrany osobních údajů a dokumentací služeb. V současné době společnost Microsoft poskytuje cloudové úložiště a infrastrukturu jako součást cloudové služby Azure. I v tomto případě musí být zpracovatel jediným kontaktním subjektem a stranou, která je odpovědná za dodržování pravidel.
5. Území zpracování. Zpracovatel zajišťuje, že se zpracování uskuteční v Evropském hospodářském prostoru nebo na základě rozhodnutí správce v zemi označené rozhodnutím Evropské komise jako bezpečné. V případě převodů a zpracování umístěných mimo Evropský hospodářský prostor nebo v zemi, která byla rozhodnutím Evropské komise na žádost správce označena jako bezpečná, platí standardní smluvní doložky.
6. Zabezpečení. Zpracovatel je certifikován na ISO 27001:2013 a používá soustavu ISO 27001 k implementaci bezpečnostní strategie vrstvené obrany při použití prvků zabezpečení ve vrstvě sítě, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Dodržování regulačních a smluvních požadavků je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a operace zpracovatele. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Zpracovatel zajistil zabezpečení údajů pomocí systému řízení bezpečnosti (ISMS) na základě ISO 27001. Bezpečnostní dokumentace zahrnuje především dokumenty zásad pro bezpečnost informací, fyzickou bezpečnost a bezpečnost zařízení, správu incidentů, postupy při úniku dat a bezpečnostních incidentech atd.
7. Kontaktní informace zpracovatele. Všechna oznámení, žádosti, požadavky a jiná sdělení týkající se ochrany osobních údajů je třeba adresovat společnosti ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.