Smlouva o zpracování údajů
Podle požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR) vstupujete vy (dále jen správce) a poskytovatel (dále jen zpracovatel) do smluvního vztahu zpracování dat, abyste definovali podmínky a ujednání pro zpracování osobních údajů, způsob jejich ochrany, jakož i vymezení dalších práv a povinností obou stran při zpracovávání osobních údajů subjektů údajů jménem správce v průběhu provádění předmětu těchto podmínek jako hlavní smlouvy.
1. Zpracování osobních údajů. Služby poskytované v souladu s těmito podmínkami zahrnují zpracování informací týkajících se identifikované nebo identifikovatelné fyzické osoby uvedené v zásadách ochrany osobních údajů (dále jen osobní údaje).
2. Oprávnění. Správce opravňuje zpracovatele zpracovávat osobní údaje, což zahrnuje následující:
(i) Účelem zpracování se rozumí poskytování služeb v souladu s těmito podmínkami. Zpracovatel je oprávněn zpracovávat osobní údaje jménem správce pouze v souvislosti s poskytováním služeb požadovaných správcem. Veškeré informace shromážděné pro další účely jsou zpracovávány mimo smluvní vztah mezi správcem a zpracovatelem.
(ii) Obdobím zpracování se rozumí období od vstupu do spolupráce za těchto podmínek do ukončení služeb.
(iii) Rozsah a kategorie osobních údajů. Služby jsou určeny pouze ke zpracování obecných osobních údajů. Za určení rozsahu osobních údajů však odpovídá výhradně správce.
(iv) Subjektem údajů se rozumí fyzická osoba jako oprávněný uživatel zařízení správce.
(v) Operacemi zpracování se rozumějí všechny operace nezbytné pro zpracování.
(vi) Doloženými pokyny se rozumějí instrukce popsané v těchto podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb. Správce odpovídá za právní přípustnost zpracování osobních údajů zpracovatelem z hlediska příslušných platných ustanovení právních předpisů o ochraně osobních údajů.
3. Povinnosti zpracovatele. Zpracovatel je povinen:
(i) zpracovávat osobní údaje pouze na základě doložených pokynů a pro účely definované v podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb,
(ii) poučit osoby oprávněné zpracovávat osobní údaje (dále označované jako „autorizované osoby“) o jejich právech a povinnostech podle nařízení GDPR a o jejich odpovědnosti v případě porušení povinností a zajistit, aby se autorizované osoby zavázaly k zachovávání důvěrnosti a dodržování zdokumentovaných pokynů.
(iii) implementovat a dodržovat opatření popsaná v podmínkách, jejich přílohách, zásadách ochrany osobních údajů a dokumentaci služeb,
(iv) pomáhat správci při vyřizování žádostí subjektů údajů týkající se jejich práv. Zpracovatel nesmí opravit, vymazat nebo omezit zpracování osobních údajů bez pokynu správce. Veškeré žádosti subjektu údajů týkající se osobních údajů zpracovávaných jménem správce budou neprodleně předány správci.
(v) pomáhat správci s oznamováním porušení zabezpečení osobních údajů dozorčímu orgánu a subjektu údajů, Zpracovatel je povinen upozornit správce na jakýkoli problém při zpracování osobních údajů nebo se zabezpečením osobních údajů ihned po jeho zjištění. Zpracovatel bude v přiměřeném rozsahu spolupracovat při vyšetřování a nápravě takového problému a přijme přiměřená opatření k omezení dalších negativních dopadů.
(vi) na základě volby správce vymazat nebo vrátit všechny osobní údaje správci po skončení období zpracování. Správce se zavazuje informovat zpracovatele o svém rozhodnutí do deseti (10) dnů od konce období zpracování. Tímto ustanovením není dotčeno právo zpracovatele uchovávat osobní údaje v nezbytném rozsahu pro účely archivace ve veřejném zájmu, pro účely vědeckého výzkumu, pro statistické účely nebo pro účely stanovení, výkonu nebo obrany právních nároků.
(vii) vést aktuální registr všech kategorií zpracovatelských činností, které zpracovatel provedl jménem správce;
(viii) zpřístupnit správci všechny informace nezbytné k prokázání dodržování těchto podmínek, jejich příloh, zásad ochrany osobních údajů a dokumentace služeb. V případě auditu nebo kontroly zpracování osobních údajů ze strany správce je správce povinen informovat zpracovatele písemně nejméně třicet (30) dnů před plánovaným auditem nebo kontrolou.
4. Zapojení dalšího zpracovatele. Zpracovatel je oprávněn zapojit jiného zpracovatele za účelem provádění zvláštních zpracovatelských činností, jako je poskytování cloudového úložiště a infrastruktury pro služby v souladu s těmito podmínkami, jejich přílohami, zásadami ochrany osobních údajů a dokumentací služeb. V současné době společnost Microsoft poskytuje cloudové úložiště a infrastrukturu jako součást cloudové služby Azure. I v tomto případě musí být zpracovatel jediným kontaktním subjektem a stranou, která je odpovědná za dodržování pravidel. Zpracovatel se tímto zavazuje informovat správce o jakémkoli přidání dalšího zpracovatele nebo nahrazení zpracovatele, aby bylo možné vznést proti takové změně námitku.
5. Území zpracování. Zpracovatel zajišťuje, že se zpracování uskuteční v Evropském hospodářském prostoru nebo na základě rozhodnutí správce v zemi označené rozhodnutím Evropské komise jako bezpečné. V případě převodů a zpracování umístěných mimo Evropský hospodářský prostor nebo v zemi, která byla rozhodnutím Evropské komise na žádost správce označena jako bezpečná, platí standardní smluvní doložky.
6. Zabezpečení. Zpracovatel je certifikován na ISO 27001:2013 a používá soustavu ISO 27001 k implementaci bezpečnostní strategie vrstvené obrany při použití prvků zabezpečení ve vrstvě sítě, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Dodržování regulačních a smluvních požadavků je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a operace zpracovatele. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Zpracovatel zajistil zabezpečení údajů pomocí systému řízení bezpečnosti (ISMS) na základě ISO 27001. Bezpečnostní dokumentace zahrnuje především dokumenty zásad pro bezpečnost informací, fyzickou bezpečnost a bezpečnost zařízení, správu incidentů, postupy při úniku dat a bezpečnostních incidentech atd.
7. Technická a organizační opatření. Zpracovatel bude chránit osobní údaje před neúmyslným nebo nezákonným poškozením či zničením, neúmyslnou ztrátou, změnou, neoprávněným přístupem a vyzrazením. Za tímto účelem zpracovatel přijme adekvátní technická a organizační opatření odpovídající režimu zpracování a riziku, které zpracování představuje pro práva subjektů údajů, v souladu s požadavky GDPR. Podrobný popis technických a organizačních opatření je uveden v zásadách zabezpečení.
8. Kontaktní informace zpracovatele. Všechna oznámení, žádosti, požadavky a jiná sdělení týkající se ochrany osobních údajů je třeba adresovat společnosti ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.