Standardní smluvní body
ODDÍL I
Doložka 1 Účel a rozsah působnosti
(a) Účelem těchto standardních smluvních doložek je zajistit dodržování požadavků uvedených v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) (1), pokud jde o předávání osobních údajů do třetí země.
b) Smluvní strany:
(i) fyzická nebo právnická osoba či osoby, orgán či orgány veřejné moci, agentura či agentury nebo jiný subjekt či jiné subjekty (dále jen "subjekt" či "subjekty") předávající osobní údaje, uvedené v příloze I části A (dále jen "vývozce údajů"), a
(ii) subjekt či subjekty ve třetí zemi, přijímající přímo nebo nepřímo prostřednictvím jiného subjektu, jenž je rovněž stranou těchto doložek, osobní údaje od vývozce údajů, uvedené v příloze I části A (dále jen "dovozce údajů"),
se dohodly na těchto standardních smluvních doložkách (dále jen "Doložky").
(c) Tyto doložky se použijí s ohledem na předávání osobních údajů podle přílohy I části B.
(d) Dodatek k těmto doložkám obsahující přílohy, na něž se v těchto doložkách odkazuje, tvoří nedílnou součást těchto doložek.
Doložka 2 Účinek a neměnnost doložek
Tyto doložky stanoví vhodné záruky, včetně vymahatelných práv subjektu údajů a účinné právní ochrany, podle čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679 a s ohledem na předávání údajů od správců zpracovatelům a/nebo od zpracovatelů zpracovatelům, standardní smluvní doložky podle čl. 28 odst. 7 nařízení (EU) 2016/679, pokud nebudou změněny, s výjimkou výběru vhodného modulu (vhodných modulů) nebo za účelem přidání nebo aktualizace informací v dodatku. To smluvním stranám nebrání v tom, aby zahrnuly standardní smluvní doložky stanovené v těchto doložkách do širší smlouvy a/nebo přidaly další doložky nebo dodatečné záruky, pokud nebudou přímo nebo nepřímo v rozporu s těmito doložkami nebo nebudou dotčena základní práva nebo svobody subjektů údajů.
(b) Těmito doložkami nejsou dotčeny povinnosti, které se vztahují na vývozce údajů na základě nařízení (EU) 2016/679.
Doložka 3 Oprávněné třetí strany
(a) Subjekty údajů se mohou jako oprávněné třetí strany ve vztahu k vývozci a/nebo dovozci údajů dovolávat těchto doložek a vymáhat je, a to s následujícími výjimkami:
i) Doložka 1, Doložka 2, Doložka 3, Doložka 6, Doložka 7;
ii) Doložka 8 – Modul 1: Doložka 8.5. písm. e) a Doložka 8.9. písm. b); Modul 2: Doložka 8.1. písm. b), Doložka 8.9. písm. a), c), d) a e); Modul 3: Doložka 8.1. písm. a), c) a d) a Doložka 8.9. písm. a), c), d), e), f) a g); Modul 4: Doložka 8.1. písm. b) a Doložka 8.3 písm. b);
(iii) Doložka 9 – Modul dva: Doložka 9 písm. a), c), d) a e); Modul 3: Doložka 9 písm. a), c), d) a e);
(iv) Doložka 12 – Modul 1: Doložka 12 písm. a) a d); Moduly 2 a 3: Doložka 12 písm. a), d) a f);
(v) Doložka 13;
(vi) Doložka 15.1 písm. c), d) a e);
(vii) Doložka 16 písm. e);
(viii) Doložka 18 – Moduly 1, 2 a 3: Doložka 18 písm. a) a b); Modul 4: Doložka 18.
(b) Písmenem a) nejsou dotčena práva subjektů údajů podle nařízení (EU) 2016/679.
Doložka 4 Výklad
(a) Pokud tyto doložky používají pojmy, které jsou vymezeny v nařízení (EU) 2016/679, mají tyto pojmy stejný význam jako v uvedeném nařízení.
(b) Tyto doložky je třeba číst a vykládat s ohledem na ustanovení nařízení (EU) 2016/679.
(c) Tyto doložky nebudou vykládány žádným způsobem, který by byl v rozporu s právy a povinnostmi stanovenými v nařízení (EU) 2016/679.
Doložka 5 Hierarchie
V případě rozporu mezi těmito doložkami a ustanoveními souvisejících dohod mezi stranami, které existovaly v době sjednání těchto doložek, nebo které byly uzavřeny až po jejich sjednání, mají tyto doložky přednost.
Doložka 6 Popis předávání
Podrobnosti týkající se předávání, zejména kategorie osobních údajů, které jsou předávány, a účel nebo účely, pro které jsou předávány, jsou uvedeny v příloze I části B.
Doložka 7 – volitelná Doložka o přistoupení
(a) Subjekt, který není stranou těchto doložek, může se souhlasem stran k těmto doložkám kdykoli přistoupit, buď jako vývozce údajů, nebo jako dovozce údajů, a to vyplněním dodatku a podepsáním přílohy I části A.
(b) Poté, co přistupující subjekt vyplní dodatek a podepíše přílohu I část A, stane se stranou těchto doložek a má práva a povinnosti vývozce údajů nebo dovozce údajů v souladu se svým určením v příloze I části A.
(c) Přistupující subjekt nemá žádná práva ani povinnosti na základě těchto doložek plynoucí z období před tím, než se stal stranou.
ODDÍL II – POVINNOSTI STRAN
Doložka 8 Záruky ochrany údajů
Vývozce údajů zaručuje, že vynaložil přiměřené úsilí, aby mohl stanovit, zda je dovozce údajů schopen – zavedením vhodných technických a organizačních opatření – plnit své povinnosti podle těchto doložek.
MODUL 1: Předání od správce správci
8.1. Omezení účelu
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B. Osobní údaje může zpracovávat pro jiný účel pouze tehdy, pokud:
i) získal předchozí souhlas subjektu údajů;
(ii) je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo
(iii) je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
8.2. Transparentnost
(a) Aby subjekty údajů mohly účinně vykonávat svá práva podle doložky 10, dovozce údajů je informuje přímo nebo prostřednictvím vývozce údajů:
i) o své totožnosti a kontaktních údajích;
(ii) o kategoriích zpracovávaných osobních údajů;
(iii) o právu získat kopii těchto doložek;
(iv) pokud má v úmyslu osobní údaje dále předat jakékoli třetí straně nebo stranám, o příjemci nebo kategoriích příjemců (podle potřeby za účelem poskytnutí smysluplných informací), o účelu takového dalšího předávání a o důvodu pro další předávání podle doložky 8.7.
(b) Písmeno a) se nepoužije, pokud subjekt údajů již tyto informace má, a to i v případě, že tyto informace již poskytl vývozce údajů, nebo pokud je poskytnutí těchto informací nemožné nebo by to pro dovozce údajů znamenalo nepřiměřené úsilí. V druhém případě dovozce údajů informace v maximální možné míře zveřejní.
(c) Strany poskytnou subjektu údajů na požádání a bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, mohou strany před sdílením kopie upravit část znění dodatku, ale poskytnou smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny.
(d) Písmeny a) až c) nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679.
8.3. Přesnost a minimalizace údajů
(a) Každá strana zajistí, aby osobní údaje byly přesné a v případě potřeby aktualizovány. Dovozce údajů přijme veškerá smysluplná opatření, aby zajistil, že osobní údaje, které jsou nepřesné, budou s ohledem na účel nebo účely zpracování bezodkladně vymazány nebo opraveny.
(b) Pokud se jedna ze stran dozví, že osobní údaje, které předala nebo přijala, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje druhou stranu.
(c) Dovozce údajů zajistí, aby osobní údaje byly přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelu nebo účelů, pro které jsou zpracovávány.
8.4. Minimalizace uchovávání
Dovozce údajů uchová osobní údaje pouze po dobu nezbytnou pro účel nebo účely, pro který (které) jsou zpracovávány. Přijme vhodná technická nebo organizační opatření k zajištění dodržování této povinnosti, včetně vymazání nebo anonymizace údajů (2) a všech záloh na konci doby uchovávání.
8.5. Bezpečnost zpracování
a) Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení osobních údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění (dále jen "porušení zabezpečení osobních údajů"). Při posuzování vhodné úrovně zabezpečení oni řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování.
(b) Strany se dohodly na technických a organizačních opatřeních stanovených v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení.
(c) Dovozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
(d) V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení osobních údajů, včetně opatření ke zmírnění jeho možných nepříznivých účinků.
(e) V případě porušení zabezpečení osobních údajů, které by mohlo vést k ohrožení práv a svobod fyzických osob, dovozce údajů bez zbytečného odkladu informuje vývozce údajů i příslušný dozorový úřad v souladu s doložkou 13. Toto ohlášení obsahuje i) popis povahy daného případu porušení zabezpečení osobních údajů (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů), ii) jeho pravděpodobných důsledků, iii) popis opatření, která byla přijata nebo byla navržena s cílem vyřešit dané porušení zabezpečení, a iv) údaje kontaktního místa, kde lze získat více informací. Není-li možné, aby dovozce údajů veškeré informace poskytl současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
(f) V případě porušení zabezpečení osobních údajů, které pravděpodobně bude představovat vysoké riziko pro práva a svobody fyzických osob, dovozce údajů rovněž bez zbytečného odkladu podá hlášení dotčeným subjektům údajů o porušení zabezpečení osobních údajů a jeho povaze – v případě potřeby ve spolupráci s vývozcem údajů – a sdělí jim také informace uvedené v písm. e) bodu ii) až iv), pokud dovozce údajů nezavedl opatření za účelem značného snížení rizika pro práva a svobody fyzických osob nebo pokud dané hlášení nevyžaduje nepřiměřené úsilí. V posledně uvedeném případě dovozce údajů místo toho vydá veřejné oznámení nebo zajistí obdobné opatření, kterým veřejnost o porušení zabezpečení osobních údajů informuje.
(g) Dovozce údajů dokumentuje veškeré relevantní skutečnosti týkající se porušení zabezpečení osobních údajů, včetně jeho účinků a přijatých nápravných opatření, a vede si o tom záznamy.
8.6. Citlivé údaje
Jestliže předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech nebo trestných činů (dále jen "citlivé údaje"), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky přizpůsobené zvláštní povaze údajů a souvisejícím rizikům. To může zahrnovat omezení personálu, který má povolen přístup k osobním údajům, dodatečná bezpečnostní opatření (jako je pseudonymizace) a/nebo dodatečná omezení s ohledem na další zpřístupnění.
8.7. Další předávání
Dovozce údajů nezpřístupní osobní údaje třetí straně se sídlem mimo Evropskou unii (3) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen "další předávání"), ledaže by tato třetí strana byla podle příslušného modulu těmito doložkami vázána nebo by souhlasila s tím, že jimi bude vázána. K dalšímu předání dovozcem údajů jinak může dojít pouze tehdy, pokud:
(i) se provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání;
(ii) třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování;
(iii) třetí strana uzavře s dovozcem údajů závazný instrument zajišťující stejnou úroveň ochrany údajů jako podle těchto doložek a dovozce údajů poskytne kopii těchto záruk vývozci údajů;
(iv) je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení;
(v) je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, nebo
(vi) pokud neplatí žádná z dalších podmínek, dovozce údajů získal výslovný souhlas subjektu údajů s dalším předáváním v konkrétní situaci poté, co jej informoval o jeho účelu nebo účelech, totožnosti příjemce a možných rizicích, která pro něj vyplývají z takového předávání vzhledem k nedostatku vhodných záruk ochrany údajů. V takovém případě dovozce údajů informuje vývozce údajů a na žádost vývozce údajů mu předá kopii informací poskytnutých subjektu údajů.
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.8. Zpracování z pověření dovozce údajů
Dovozce údajů zajistí, aby jakákoli osoba, která jedná z jeho pověření, včetně zpracovatele, zpracovávala údaje pouze na základě jeho pokynů.
8.9. Dokumentace a plnění povinností
(a) Každá strana musí být schopna prokázat plnění svých povinností podle těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování, za jejichž provádění odpovídá.
(b) Dovozce údajů tuto dokumentaci na požádání zpřístupní příslušnému dozorovému úřadu.
MODUL 2: Předání od správce zpracovateli
8.1. Pokyny
(a) Dovozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od vývozce údajů. Vývozce údajů může takové pokyny vydávat po celou dobu trvání smlouvy.
(b) Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet.
8.2. Omezení účelu
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání uvedené v příloze I části B, ledaže vývozce údajů vydá další pokyny.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně opatření popsaných v příloze II a osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku k těmto doložkám, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny. Touto doložkou nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich vymazání nebo opravě.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem vývozce údajů a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Bezpečnost zpracování
(a) Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen "porušení zabezpečení osobních údajů"). Při posuzování vhodné úrovně zabezpečení strany řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení.
(b) Dovozce údajů poskytne přístup k osobním údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
(c) V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých dopadů. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení dozvěděl, podá hlášení vývozci údajů. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení, včetně případných opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu.
(d) Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení příslušnému dozorovému úřadu a dotčeným subjektům údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné.
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen "citlivé údaje"), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky popsané v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (4) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen "další předávání"), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
(i) se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání;
(ii) třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování;
(iii) je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo
(iv) je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
(a) Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů, které se týkají zpracování podle těchto doložek.
b) Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za vývozce údajů.
(c) Dovozce údajů poskytne vývozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, a na žádost vývozce údajů umožní audity činností zpracování, na které se tyto doložky vztahují, a bude k nim přispívat, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Při rozhodování o přezkumu nebo auditu může vývozce údajů vzít v úvahu příslušná osvědčení, kterými disponuje dovozce údajů.
(d) Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení.
(e) Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů.
MODUL 3: Předání od zpracovatele zpracovateli
8.1. Pokyny
(a) Vývozce údajů informoval dovozce údajů, že jedná jako zpracovatel na základě pokynů svého správce nebo správců, a tyto pokyny vývozce údajů před zpracováním zpřístupní dovozci údajů.
(b) Dovozce údajů zpracovává osobní údaje pouze na základě dokumentovaných pokynů správce, které byly vývozcem údajů sděleny dovozci údajů, a na základě jakýchkoli dodatečných dokumentovaných pokynů od vývozce údajů. Tyto dodatečné pokyny nesmí být v rozporu s pokyny správce. Správce nebo vývozce údajů může po dobu trvání smlouvy vydat další dokumentované pokyny týkající se zpracování údajů.
(c) Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet. Jestliže dovozce údajů není schopen postupovat podle pokynů správce, vývozce údajů o tom správce neprodleně uvědomí.
(d) Vývozce údajů zaručuje, že uložil dovozci údajů stejné povinnosti v oblasti ochrany údajů, jaké stanoví smlouva nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a vývozcem údajů (5).
8.2. Omezení účelu
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B, pokud neexistují další pokyny ze strany správce, které dovozci údajů sdělil vývozce údajů, ani další pokyny ze strany vývozce údajů.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich opravě nebo vymazání.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem správce a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Bezpečnost zpracování
(a) Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen "porušení zabezpečení osobních údajů"). Při posuzování vhodné úrovně zabezpečení oni řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů nebo správce. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení.
(b) Dovozce údajů poskytne přístup k údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
(c) V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých dopadů. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení zabezpečení dozvěděl, podá hlášení vývozci údajů, a je-li to vhodné a proveditelné, také správci. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení údajů, včetně opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu.
(d) Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení svému správci, aby tento správce mohl informovat příslušný dozorový úřad a dotčené subjekty údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné.
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen "citlivé údaje"), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky stanovené v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od správce, které dovozci údajů sdělil vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (6) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen "další předávání"), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
(i) se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání;
(ii) třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679;
(iii) je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo
(iv) je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
(a) Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů nebo správce, které se týkají zpracování podle těchto doložek.
b) Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za správce.
(c) Dovozce údajů poskytne vývozci údajů veškeré informace nezbytné k prokázání dodržování povinností stanovených v těchto doložkách, přičemž vývozce údajů je pak poskytne správci.
(d) Dovozce údajů umožní audity ze strany vývozce údajů, které se týkají činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispívá, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Totéž platí, pokud vývozce údajů požaduje audit na základě pokynů správce. Při rozhodování o auditu může vývozce údajů zohlednit příslušná osvědčení, kterými disponuje dovozce údajů.
(e) Pokud je audit prováděn na základě pokynů od správce, bude správce o jeho výsledcích informován vývozcem údajů.
(f) Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení.
(g) Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů.
MODUL 4: Předání od zpracovatele správci
8.1. Pokyny
(a) Vývozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od dovozce údajů, který jedná jako jeho správce.
(b) Vývozce údajů neprodleně informuje dovozce údajů, pokud není schopen tyto pokyny dodržovat, včetně případů, kdy tyto pokyny porušují nařízení (EU) 2016/679 nebo jiné právní předpisy Unie nebo členského státu v oblasti ochrany údajů.
(c) Dovozce údajů se zdrží přijímání jakýchkoli opatření, která by vývozci údajů bránila v plnění jeho povinností podle nařízení (EU) 2016/679, mimo jiné v kontextu dílčího zpracování, nebo pokud se jedná o spolupráci s příslušnými dozorovými úřady.
(d) Po skončení poskytování zpracovatelských služeb vývozce údajů v souladu s volbou dovozce údajů vymaže všechny osobní údaje zpracovávané jménem dovozce údajů a potvrdí dovozci údajů, že tak učinil, nebo dovozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie.
8.2. Bezpečnost zpracování
a) Strany zavedou vhodná technická a organizační opatření k zajištění zabezpečení údajů, a to i během předávání, a zajistí ochranu před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění (dále jen "porušení zabezpečení osobních údajů"). Při posuzování vhodné úrovně zabezpečení strany náležitě zohlední aktuální stav techniky, náklady na provedení, povahu osobních údajů (7), povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním, a zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování.
(b) Vývozce údajů pomáhá dovozci údajů při zajišťování odpovídajícího zabezpečení údajů v souladu s písmenem a). V případě porušení zabezpečení osobních údajů týkajícího se osobních údajů zpracovávaných vývozcem údajů podle těchto doložek vývozce údajů podá hlášení dovozci údajů bez zbytečného odkladu poté, co se o něm dozvěděl, a dovozci údajů bude při řešení uvedeného porušení nápomocen.
(c) Vývozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
8.3. Dokumentace a plnění povinností
(a) Strany musí být schopny prokázat dodržování těchto doložek.
(b) Vývozce údajů poskytne dovozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, umožní provedení auditů a bude k nim přispívat.
Doložka 9 Využití dílčích zpracovatelů
MODUL 2: Předání od správce zpracovateli
(a) Dovozce údajů má obecné povolení vývozce údajů pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje vývozce údajů o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne vývozci údajů dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne vývozci údajů informace nezbytné k tomu, aby vývozce údajů mohl uplatnit své právo vznést námitku.
Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem vývozce údajů), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů. (8) Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů.
(c) Dovozce údajů poskytne vývozci údajů na jeho žádost kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit.
(d) Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá.
(e) Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil.
MODUL 3: Předání od zpracovatele zpracovateli
(a) Dovozce údajů má obecné povolení správce pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje správce o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne správci dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne správci informace nezbytné k tomu, aby správce mohl uplatnit své právo vznést námitku. Dovozce údajů o zapojení dílčího zpracovatele nebo dílčích zpracovatelů informuje vývozce údajů.
(b) Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem správce), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů. (9) Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů.
(c) Dovozce údajů poskytne na žádost vývozce údajů nebo správce kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit.
(d) Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá.
(e) Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil.
Doložka 10 Práva subjektu údajů
MODUL 1: Předání od správce správci
(a) Dovozce údajů, případně za pomoci vývozce údajů, vyřizuje veškeré dotazy a žádosti, které obdrží od subjektu údajů, týkající se zpracování jeho osobních údajů a výkonu jeho práv podle těchto doložek, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení dotazu nebo žádosti. (10) Dovozce údajů přijme vhodná opatření k usnadnění vyřizování těchto dotazů, žádostí a výkonu práv subjektu údajů. Veškeré informace poskytované subjektu údajů musí být ve srozumitelném a snadno přístupném znění za použití jasných a jednoduchých jazykových prostředků.
(b) Na žádost subjektu údajů dovozce údajů zejména bezplatně:
(i) poskytne subjektu údajů potvrzení o tom, zda se zpracovávají osobní údaje, které se ho týkají, a v takovém případě mu poskytne kopii údajů, které se ho týkají, a informace uvedené v příloze I; pokud osobní údaje byly nebo budou dále předávány, poskytne informace o příjemcích nebo kategoriích příjemců (podle potřeby za účelem poskytnutí smysluplných informací), kterým osobní údaje byly nebo budou dále předávány, účel těchto dalších předání a jejich důvod v souladu s doložkou 8.7.; a poskytne informace o právu podat stížnost u dozorového úřadu v souladu s doložkou 12 písm. c) bodem i);
ii) opraví nepřesné nebo neúplné údaje týkající se subjektu údajů;
(ii) vymaže osobní údaje týkající se subjektu údajů, pokud tyto údaje jsou nebo byly zpracovávány v rozporu s kteroukoli z těchto doložek, která zajišťuje práva náležející oprávněné třetí straně, nebo pokud subjekt údajů odvolá souhlas, na kterém je zpracování založeno.
(c) Pokud dovozce údajů zpracovává osobní údaje pro účely přímého marketingu, přestane je pro tyto účely zpracovávat, vznese-li proti tomu subjekt údajů námitky.
(d) Dovozce údajů nepřijme rozhodnutí založené výhradně na automatizovaném zpracování předávaných osobních údajů (dále jen "automatizované rozhodnutí"), které by mělo právní účinky týkající se subjektu údajů nebo by ho obdobně významně ovlivnilo, ledaže by k tomu subjekt údajů dal výslovný souhlas, nebo pokud by mu to bylo na základě právních předpisů země určení povoleno, za předpokladu, že takové právní předpisy stanoví vhodná opatření na ochranu práv a oprávněných zájmů subjektu údajů. V tomto případě dovozce údajů, v případě potřeby ve spolupráci s vývozcem údajů:
(i) informuje subjekt údajů o předpokládaném automatizovaném rozhodnutí, předpokládaných důsledcích a použitém postupu a
(ii) zavede vhodná ochranná opatření, přinejmenším tím, že umožní subjektu údajů napadnout rozhodnutí, vyjádřit svůj názor a dosáhnout přezkumu prováděného člověkem.
(e) Jestliže jsou žádosti subjektu údajů nepřiměřené, zejména proto, že se opakují, může dovozce údajů buď uložit přiměřený poplatek, v němž budou zohledněny administrativní náklady související s vyhověním dané žádosti, nebo může odmítnout žádosti vyhovět.
(f) Dovozce údajů může žádost subjektu údajů odmítnout, pokud je takové odmítnutí umožněno podle práva země určení a je v demokratické společnosti nezbytné a přiměřené za účelem ochrany jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679.
(g) Pokud má dovozce údajů v úmyslu žádost subjektu údajů odmítnout, informuje subjekt údajů o důvodech odmítnutí a možnosti podat stížnost u příslušného dozorového úřadu a/nebo požádat o soudní ochranu.
MODUL 2: Předání od správce zpracovateli
(a) Dovozce údajů neprodleně informuje vývozce údajů o každé žádosti, kterou od subjektu údajů přijal. Na tuto žádost sám neodpoví, pokud k tomu nedostal povolení od vývozce údajů.
(b) Dovozce údajů vývozci údajů pomáhá při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci.
(c) Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny vývozce údajů.
MODUL 3: Předání od zpracovatele zpracovateli
(a) Dovozce údajů neprodleně informuje vývozce údajů a v příslušném případě i správce o každé žádosti, kterou od subjektu údajů přijal, aniž by na tuto žádost reagoval, ledaže by k tomu dostal od správce povolení.
(b) Dovozce údajů, případně ve spolupráci s vývozcem údajů, pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679 nebo v příslušném případě nařízení (EU) 2018/1725. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci.
(c) Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny správce, které mu jsou sděleny vývozcem údajů.
MODUL 4: Předání od zpracovatele správci
Strany si vzájemně pomáhají při odpovídání na dotazy a žádosti subjektů údajů podle místního práva použitelného na dovozce údajů nebo v případě zpracování údajů dovozcem údajů v EU podle nařízení (EU) 2016/679.
Doložka 11 Náprava
(a) Dovozce údajů transparentně a ve snadno přístupném formátu informuje subjekty údajů prostřednictvím individuálního oznámení nebo na svých internetových stránkách o kontaktním místě oprávněném vyřizovat stížnosti. Takové místo neprodleně vyřídí jakékoli stížnosti, které od subjektu údajů přijme.
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
(b) V případě sporu mezi subjektem údajů a jednou ze smluvních stran týkajícího se dodržování těchto doložek vyvine tato strana veškeré úsilí k tomu, aby takovou záležitost vyřešila smírně a včas. Strany se o těchto sporech navzájem informují a v příslušných případech při jejich řešení spolupracují.
(c) Pokud se subjekt údajů dovolává práva ve prospěch oprávněné třetí strany podle doložky 3, dovozce údajů akceptuje rozhodnutí subjektu údajů:
(i) podat stížnost u dozorového úřadu v členském státě svého obvyklého bydliště nebo místa výkonu práce nebo u příslušného dozorového úřadu podle doložky 13;
(ii) postoupit spor příslušným soudům ve smyslu doložky 18.
(d) Strany jsou srozuměny, že subjekt údajů může být zastoupen neziskovým subjektem, organizací nebo sdružením za podmínek stanovených v čl. 80 odst. 1 nařízení (EU) 2016/679.
(e) Dovozce údajů dodržuje rozhodnutí závazné podle platného práva EU nebo členského státu.
(f) Dovozce údajů souhlasí s tím, že výběr provedený subjektem údajů nebude mít vliv na jeho hmotná a procesní práva požadovat nápravu v souladu s platnými právními předpisy.
Doložka 12 Odpovědnost
MODUL 1: Předání od správce správci
MODUL 4: Předání od zpracovatele správci
(a) Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí.
(b) Každá strana je odpovědná vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou strana způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů podle nařízení (EU) 2016/679.
(c) Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, nesou společnou a nerozdílnou odpovědnost všechny odpovědné strany a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu.
(d) Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene c), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu.
(e) Dovozce údajů se nemůže dovolávat jednání zpracovatele nebo dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti.
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
(a) Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí.
(b) Dovozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou dovozce údajů nebo jeho dílčí zpracovatel způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek.
(c) Aniž by bylo dotčeno písmeno b), vývozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou vývozce údajů nebo dovozce údajů (nebo jeho dílčí zpracovatel) způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů, a pokud je vývozcem údajů zpracovatel jednající jménem správce, odpovědnost správce podle nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725.
(d) Strany se dohodly, že pokud je vývozce údajů odpovědný podle písmene c) za újmu způsobenou dovozcem údajů (nebo jeho dílčím zpracovatelem), je oprávněn požadovat od dovozce údajů část náhrady újmy odpovídající odpovědnosti dovozce údajů za újmu.
(e) Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, nesou společnou a nerozdílnou odpovědnost všechny odpovědné strany a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu.
(f) Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene e), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu.
(g) Dovozce údajů se nemůže dovolávat jednání dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti.
Doložka 13 Dohled
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
(a) [Pokud je vývozce údajů usazen v členském státě EU:] Dozorový úřad uvedený v příloze I části C, který je odpovědný za zajištění, že vývozce údajů dodržuje nařízení (EU) 2016/679, pokud jde o předávání údajů, jedná jako příslušný dozorový úřad.
[Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2 a jmenoval zástupce podle čl. 27 odst. 1 nařízení (EU) 2016/679:] Dozorový úřad členského státu – uvedený v příloze I části C–, v němž je usazen zástupce ve smyslu čl. 27 odst. 1 nařízení (EU) 2016/679, jedná jako příslušný dozorový úřad.
[Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2, aniž by však musel jmenovat zástupce podle čl. 27 odst. 2 nařízení (EU) 2016/679:] Dozorový úřad jednoho z členských států, v nichž se nacházejí subjekty údajů, jejichž osobní údaje jsou předávány podle těchto doložek v souvislosti se zbožím nebo službami jim nabízenými, nebo jejichž chování je monitorováno, uvedený v příloze I části C, jedná jako příslušný dozorový úřad.
(b) Dovozce údajů souhlasí, že se podřídí pravomoci příslušného dozorového úřadu a bude s ním spolupracovat v rámci všech postupů zaměřených na zajištění dodržování těchto doložek. Dovozce údajů zejména souhlasí, že bude reagovat na dotazy, podrobovat se auditům a dodržovat opatření přijatá dozorovým úřadem, včetně nápravných a kompenzačních opatření. Dozorovému úřadu poskytne písemné potvrzení, že byla přijata nezbytná opatření.
ODDÍL III – MÍSTNÍ PRÁVNÍ PŘEDPISY A POVINNOSTI V PŘÍPADĚ PŘÍSTUPU ORGÁNŮ VEŘEJNÉ MOCI
Doložka 14 Místní právní předpisy a postupy mající dopad na dodržování doložek
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
(a) Strany zaručují, že nemají důvod se domnívat, že právní předpisy a postupy ve třetí zemi určení, které se vztahují na zpracování osobních údajů dovozcem údajů, včetně jakýchkoli požadavků na zpřístupnění osobních údajů nebo opatření, kterými se povoluje přístup orgánům veřejné moci, brání dovozci údajů při plnění svých povinností podle těchto doložek. To je založeno na předpokladu, že právní předpisy a postupy, které respektují podstatu základních práv a svobod a nepřekračují to, co je v demokratické společnosti nezbytné a přiměřené k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679, nejsou v rozporu s těmito doložkami.
(b) Smluvní strany prohlašují, že při poskytování záruky uvedené v písmenu a) náležitě zohlednily zejména následující prvky:
(i) konkrétní okolnosti předání, včetně délky zpracovatelského řetězce, počtu zapojených subjektů a použitých kanálů pro přenos údajů, zamýšlené další předání, druh příjemce, účely zpracování, kategorie a formát předávaných osobních údajů, hospodářské odvětví, v němž se předávání uskutečňuje, místo, kde se předané údaje uchovávají;
(ii) právní předpisy a postupy třetí země určení – včetně těch, které vyžadují zpřístupnění údajů orgánům veřejné moci nebo povolují přístup těchto orgánů – relevantní s ohledem na konkrétní okolnosti předání, jakož i použitelná omezení a záruky (12);
(iii) veškeré příslušné smluvní, technické nebo organizační záruky zavedené za účelem doplnění záruk podle těchto doložek, včetně opatření uplatňovaných během předání a zpracování osobních údajů v zemi určení.
(c) Dovozce údajů zaručuje, že při provádění posouzení podle písmene b) vynaložil maximální úsilí, aby poskytl vývozci údajů relevantní informace, a souhlasí s tím, že bude při zajišťování dodržování těchto doložek s vývozcem údajů i nadále spolupracovat.
(d) Strany souhlasí, že posouzení podle písmene b) zdokumentují a na požádání zpřístupní příslušnému dozorovému úřadu.
(e) Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, pokud má po vyjádření souhlasu s těmito ustanoveními a po dobu trvání smlouvy důvod se domnívat, že se na něj vztahují, nebo se začaly vztahovat právní předpisy nebo postupy, které nejsou v souladu s požadavky podle písmene a), a to i po změně v právních předpisech třetí země nebo opatření (jako je například žádost o poskytnutí údajů), jež svědčí o tom, že uplatňování těchto právních předpisů v praxi není v souladu s požadavky uvedenými v písmeni a). [Pokud jde o modul 3: Vývozce údajů předá oznámení správci.]
(f) Po oznámení podle písmene e), nebo pokud má vývozce údajů jinak důvod se domnívat, že dovozce údajů již nemůže plnit své povinnosti na základě těchto doložek, vývozce údajů neprodleně určí vhodná opatření (např. technická nebo organizační opatření k zajištění bezpečnosti a důvěrnosti), která má přijmout vývozce údajů a/nebo dovozce údajů k řešení situace [pokud jde o modul 3: případně po konzultaci se správcem]. Vývozce údajů pozastaví předávání údajů, pokud se domnívá, že pro toto předávání nemohou být zajištěny žádné vhodné záruky, nebo pokud mu dá pokyn [pokud jde o modul 3: správce nebo] příslušný dozorový úřad. V tomto případě je vývozce údajů oprávněn vypovědět smlouvu, pokud jde o zpracování osobních údajů podle těchto doložek. Pokud smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak. Jestliže je smlouva vypovězena podle této doložky, použije se doložka 16 písm. d) a e).
Doložka 15 Povinnost dovozce údajů v případě přístupu orgánů veřejné moci
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
15.1. Oznámení
(a) Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, a je-li to možné, subjekt údajů (v případě potřeby s pomocí vývozce údajů), pokud:
/i) na základě právních předpisů země určení obdrží právně závaznou žádost od orgánu veřejné moci, včetně soudních orgánů, o zpřístupnění osobních údajů předaných podle těchto doložek; takové oznámení obsahuje informace o požadovaných osobních údajích, dožadujícím orgánu, právním základu žádosti a poskytnuté odpovědi, nebo
(ii) se dozví o jakémkoli přímém přístupu orgánů veřejné moci k osobním údajům předávaným podle těchto doložek v souladu s právními předpisy země určení; takové oznámení obsahuje všechny informace dostupné dovozci.
[Pokud jde o modul 3: Vývozce údajů předá oznámení správci.]
(b) Pokud je podle právních předpisů země určení dovozci údajů zakázáno informovat vývozce údajů a/nebo subjekt údajů, souhlasí dovozce údajů s tím, že za účelem co nejrychlejšího sdělení co největšího množství informací vynaloží maximální úsilí, aby od tohoto zákazu bylo upuštěno. Dovozce údajů souhlasí, že zdokumentuje své maximální úsilí, aby je mohl na žádost vývozce údajů prokázat.
(c) Je-li to povoleno právními předpisy země určení, dovozce údajů souhlasí, že bude poskytovat vývozci údajů v pravidelných intervalech po dobu trvání smlouvy co nejrelevantnější informace o přijatých žádostech (zejména informace o počtu žádostí, druhu požadovaných údajů, dožadujícím orgánu nebo orgánech, zda byly tyto žádosti napadeny a výsledek takového napadení atd.). [Pokud jde o modul 3: Vývozce údajů předá informace správci.]
(d) Dovozce údajů souhlasí s tím, že po dobu trvání smlouvy bude informace podle písmene a) až c) uchovávat a na vyžádání je poskytne příslušnému dozorovému úřadu.
(e) Písmeny a) až c) není dotčena povinnost dovozce údajů podle doložky 14 písm. e) a doložky 16 neprodleně informovat vývozce údajů, pokud není schopen tyto doložky dodržovat.
15.2. Přezkum zákonnosti a minimalizace údajů
(a) Dovozce údajů souhlasí s tím, že přezkoumá zákonnost žádosti o poskytnutí údajů, zejména zda nepřekročila meze pravomocí udělených dožadujícímu orgánu veřejné moci, a že žádost napadne, pokud po pečlivém posouzení dojde k závěru, že existují opodstatněné důvody se domnívat, že žádost je podle právních předpisů země určení, platných závazků podle mezinárodního práva a zásad mezinárodní zdvořilosti protiprávní. Dovozce údajů za stejných podmínek využívá možností odvolání. Při napadení žádosti dovozce údajů přijme předběžná opatření s cílem pozastavit účinky žádosti, dokud příslušný soudní orgán nerozhodne o její opodstatněnosti. Nezpřístupní požadované osobní údaje, dokud mu taková povinnost nebude stanovena na základě platných procesních pravidel. Těmito požadavky nejsou dotčeny povinnosti dovozce údajů podle doložky 14 písm. e).
(b) Dovozce údajů souhlasí, že zdokumentuje své právní posouzení i jakékoli napadení žádosti o poskytnutí údajů a v rozsahu povoleném právními předpisy země určení zpřístupní dokumentaci vývozci údajů. Na požádání ji rovněž zpřístupní příslušnému dozorovému úřadu. [Pokud jde o modul 3: Vývozce údajů posouzení zpřístupní správci.]
(c) Dovozce údajů souhlasí s poskytnutím minimálního přípustného množství informací při odpovědi na žádost o zpřístupnění, a to na základě přiměřeného výkladu žádosti.
ODDÍL IV – ZÁVĚREČNÁ USTANOVENÍ
Doložka 16 Nedodržení doložek a vypovězení
(a) Dovozce údajů neprodleně informuje vývozce údajů, pokud není z jakéhokoli důvodu schopen tyto doložky dodržet.
(b) Pokud dovozce údajů poruší tyto doložky nebo není schopen tyto doložky dodržet, vývozce údajů pozastaví předávání osobních údajů dovozci údajů, dokud není dodržování opět zajištěno nebo smlouva vypovězena. Tímto není dotčena doložka 14 písm. f).
(c) Vývozce údajů je oprávněn vypovědět smlouvu v rozsahu, v němž se jedná o zpracování osobních údajů podle těchto doložek, pokud:
(i) vývozce údajů pozastavil předávání osobních údajů dovozci údajů podle písm. b) a dodržování těchto doložek není v přiměřené lhůtě a v každém případě do jednoho měsíce od pozastavení obnoveno;
(ii) dovozce údajů tyto doložky podstatně nebo trvale porušuje nebo
(iii) dovozce údajů nedodrží závazné rozhodnutí příslušného soudu nebo dozorového úřadu týkajícího se jeho povinností podle těchto doložek.
V takových případech o nedodržení informuje příslušný dozorový úřad [pokud jde o modul 3: a správce]. Jestliže smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak.
d) [Pokud jde o modul 1, 2 a 3: Osobní údaje, které byly předány před vypovězením smlouvy podle písmene c), musí být podle volby vývozce údajů neprodleně vráceny vývozci údajů nebo vymazány v celém rozsahu. To samé se uplatní ve vztahu k veškerým kopiím údajů.] [Pokud jde o modul 4: Osobní údaje shromážděné vývozcem údajů v EU, které byly předány před vypovězením smlouvy podle písmene c), musí být neprodleně vymazány v celém rozsahu, včetně veškerých jejich kopií.] Dovozce údajů potvrdí vývozci údajů, že byly údaje vymazány. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují předané osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to uvedené místní právo vyžaduje.
(e) Kterákoli ze stran může odvolat svůj souhlas s tím, že bude vázána těmito doložkami, pokud i) Evropská komise přijme rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679 týkající se předávání osobních údajů, na které se tyto doložky vztahují, nebo ii) se nařízení (EU) 2016/679 stane součástí právního rámce země, do které jsou osobní údaje předávány. Tím nejsou dotčeny další povinnosti vztahující se na dotčené zpracování podle nařízení (EU) 2016/679.
Doložka 17 Rozhodné právo
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
Tyto doložky se řídí právem jednoho z členských států EU, pokud takové právo umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem definovaným v Podmínkách.
MODUL 4: Předání od zpracovatele správci
Tyto doložky se řídí právem země, jež umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem definovaným v Podmínkách.
Doložka 18 Volba soudu a příslušnost
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
(a) Veškeré spory vyplývající z těchto doložek budou řešeny soudy členského státu EU.
(b) Strany se dohodly, že se budou řídit soudy definovanými v Podmínkách.
(c) Subjekt údajů může rovněž zahájit soudní řízení proti vývozci údajů a/nebo dovozci údajů před soudy členského státu, v němž má subjekt údajů své obvyklé bydliště.
(d) Smluvní strany se dohodly, že se příslušnosti těchto soudů podřídí.
MODUL 4: Předání od zpracovatele správci
Veškeré spory vyplývající z těchto doložek budou řešeny soudy jak je definováno v Podmínkách.
DODATEK
VYSVĚTLIVKY: Musí být možné jasně rozlišit informace, které se vztahují na každé předání nebo každou kategorii předání, a v tomto ohledu určit příslušnou úlohu/příslušné úlohy stran v postavení vývozce/vývozců údajů a/nebo dovozce/dovozců údajů. To nemusí nutně vyžadovat vyplnění a podepsání samostatných dodatků pro každé předání/kategorii předání a/nebo smluvní vztah, pokud lze této transparentnosti dosáhnout prostřednictvím jednoho dodatku. Pokud je to však nutné k zajištění dostatečné srozumitelnosti, měly by se použít samostatné dodatky.
PŘÍLOHA I
A. SEZNAM SMLUVNÍCH STRAN
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Vývozce (vývozci) údajů: [Totožnost a kontaktní údaje vývozce/vývozců údajů a v příslušném případě jeho/jejich pověřence pro ochranu osobních údajů a/nebo zástupce v Evropské unii]
1. Správce, jak je definován ve Smlouvě o zpracování údajů
2. Zpracovatel, jak je definován ve Smlouvě o zpracování údajů
(na základě toku dat)
Dovozce nebo dovozci údajů: [Totožnost a kontaktní údaje dovozce/dovozců údajů, včetně jakékoli kontaktní osoby, která je odpovědná za ochranu údajů]
1. Správce, jak je definován ve Smlouvě o zpracování údajů
2. Zpracovatel, jak je definován ve Smlouvě o zpracování údajů
(na základě toku dat)
B. POPIS PŘEDÁNÍ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Kategorie subjektů údajů, jejichž osobní údaje se předávají: Jak je definováno ve Smlouvě o zpracování údajů.
Kategorie předávaných osobních údajů: Jak je definováno ve Smlouvě o zpracování údajů a Zásadách ochrany osobních údajů.
Citlivé údaje, které se předávají (v příslušných případech), a uplatněná omezení nebo záruky, jež plně zohledňují povahu údajů a související rizika, například přísné účelové omezení, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamu o přístupu k údajům, omezení pro další předávání nebo dodatečná bezpečnostní opatření: Jak je definováno ve Smlouvě o zpracování údajů a Zásadách ochrany osobních údajů.
Četnost předávání (např. zda jsou údaje předávány jednorázově nebo průběžně): Průběžně.
Povaha zpracování: Automatizovaně.
Účel nebo účely předání údajů a další zpracování: Poskytování služeb, jak je definováno v Podmínkách, jejich Přílohách, Zásadách ochrany osobních údajů a servisní dokumentaci.
Doba, po kterou budou osobní údaje uchovávány, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby: Jak je definováno ve Smlouvě o zpracování údajů.
Pokud jde o předávání (dílčím) zpracovatelům, rovněž uveďte předmět, povahu a trvání zpracování: Jak je definováno ve Smlouvě o zpracování údajů.
C. PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
V souladu s doložkou 13 určete příslušný dozorový úřad nebo příslušné dozorové úřady: Jak je definováno v Zásadách ochrany osobních údajů
PŘÍLOHA II TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ ÚDAJŮ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY: Technická a organizační opatření musí být popsána konkrétně (nikoli obecně). Viz také obecnou poznámku na první stránce dodatku, týkající se zejména potřeby jasně uvést, která opatření se vztahují na každé jednorázové nebo souborné předání.
Popis technických a organizačních opatření zavedených dovozcem nebo dovozci údajů (včetně veškerých příslušných certifikací) za účelem zajištění vhodné úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob: Jak je definováno v Bezpečnostní dokumentaci
Pokud jde o předávání údajů (dílčím) zpracovatelům, popište také konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl poskytnout pomoc správci; a – v případě předávání od zpracovatele dílčímu zpracovateli – vývozci údajů.
PŘÍLOHA III SEZNAM DÍLČÍCH ZPRACOVATELŮ
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY: Tuto přílohu je třeba vyplnit pro moduly 2 a 3 pro případ zvláštního povolení dílčích zpracovatelů (doložka 9 písm. a), varianta 1).
Správce udělil povolení pro zapojení následujících dílčích zpracovatelů: Jak je definováno ve Smlouvě o zpracování údajů
Odkazy:
(1) Pokud je vývozcem údajů zpracovatel, na nějž se vztahuje nařízení (EU) 2016/679 a který jedná jménem orgánu nebo subjektu Unie jako správce, spoléhání se na tyto doložky při zapojení jiného zpracovatele (dílčí zpracování), na kterého se nařízení (EU) 2016/679 nevztahuje, rovněž zajišťuje soulad s čl. 29 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí 1247/2002/ES (Úř. věst. L 295 ze dne 21.11.2018, s. 39), v rozsahu, v němž jsou tyto doložky a povinnosti týkající se ochrany údajů stanovené ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle čl. 29 odst. 3 nařízení (EU) 2018/1725 sladěny. To bude zejména případ, kdy se správce a zpracovatel spoléhají na standardní smluvní doložky obsažené v rozhodnutí 2021/915.
(2) To vyžaduje anonymizaci údajů takovým způsobem, aby již nikdo nemohl být nikým identifikovatelný, v souladu s 26. bodem odůvodnění nařízení (EU) 2016/679, a aby byl tento proces nevratný.
(3) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(4) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(5) 28 odst. 4 nařízení (EU) 2016/679, a pokud je správcem orgán nebo jiný subjekt EU, čl. 29 odst. 4 nařízení (EU) 2018/1725.
(6) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(7) Mimo jiné se jedná o to, zda se předávání a další zpracování týká i osobních údajů vypovídajících o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetických údajů nebo biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údajů týkajících se rozsudků v trestních věcech nebo trestných činů.
(8) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(9) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(10) Tuto lhůtu lze v nezbytném rozsahu s přihlédnutím ke složitosti a počtu žádostí prodloužit nejvýše o další dva měsíce. Dovozce údajů o takovém prodloužení řádně a neprodleně informuje subjekt údajů.
(11) Dovozce údajů může nabídnout nezávislé řešení sporů prostřednictvím rozhodčího orgánu pouze v případě, že je usazen v zemi, která ratifikovala Newyorskou úmluvu o výkonu rozhodčích nálezů.
(12) Pokud jde o dopad takových právních předpisů a postupů na dodržování těchto doložek, za součást celkového posouzení lze považovat různé prvky. Mezi tyto prvky mohou patřit relevantní a zdokumentované praktické zkušenosti s předchozími případy žádostí o zpřístupnění od orgánů veřejné moci nebo neexistence takových žádostí, které pokrývají dostatečně reprezentativní časový rámec. Týká se to zejména interních záznamů nebo jiné dokumentace, vypracovávané průběžně v souladu s náležitou péčí a certifikované na úrovni vrcholového vedení, za předpokladu, že tyto informace lze v souladu s právními předpisy sdílet se třetími stranami. Pokud se na základě této praktické zkušenosti dospěje k závěru, že dovozci údajů nebude bráněno v dodržování těchto doložek, je třeba to podpořit dalšími relevantními, objektivními prvky a je na smluvních stranách, aby pečlivě zvážily, zda tyto prvky mají společně dostatečnou váhu na podporu tohoto závěru, pokud jde o jejich spolehlivost a reprezentativnost. Smluvní strany musí zejména zohlednit, zda jsou jejich praktické zkušenosti potvrzeny veřejně dostupnými nebo jinak přístupnými spolehlivými informacemi o existenci či neexistenci žádostí ve stejném odvětví a/nebo o uplatňování práva v praxi, jako je například judikatura a zprávy nezávislých orgánů dohledu, a nejsou s nimi v rozporu.