Dodatek DPA zákazník

DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Pro účely tohoto dodatku se rozumí:

Předmět a účel dodatku

• Poskytovatel vykonává pro Odběratele služby v souvislosti s plněním z uzavřené smlouvy, která na tento dodatek odkazuje (dále jen jako „Smlouva“). Poskytovatel v rámci této činnosti může získat přístup k osobním údajům a zavazuje se je zpracovávat pouze k účelům, pro který mu byly svěřeny, a pouze v souladu s doloženými pokyny Odběratele. Rozsah a účel zpracování dat, které provede Poskytovatel, je definován ve Smlouvě a jejich případných dodatcích. Odpovědnost za zákonné zpracování osobních údajů nese Odběratel.
• Smluvní strany uzavírají tento Dodatek ke Smlouvě (dále jen „Dodatek“) za účelem úpravy jejich práv a povinností vyplývajících z legislativy upravující ochranu osobních údajů. V případě rozporu mezi ustanovením tohoto Dodatku a Smlouvy budou mít přednost ustanovení tohoto Dodatku.
• Zpracování osobních údajů bude prováděno po dobu trvání Smlouvy nebo do doby výmazu všech osobních údajů ze strany Poskytovatele, pokud nevyplývá z dalších ustanovení jinak.

Povaha zpracovaných údajů, subjekty údajů

• Poskytovatel bude manuálně i automatizovaně zpracovávat osobní údaje Odběratele za účelem poskytování zpracovatelských služeb Odběrateli. Osobní údaje Odběratele mohou zahrnovat např. jméno, příjmení, telefonní číslo, e-mail, pracovní zařazení subjektu údajů či jakékoliv další informace včetně informací poskytnutých objednatelem z databází, nezbytné pro naplnění účelu zpracovatelských služeb.
• Osobní údaje Objednatele se týkají následujících kategorií subjektů údajů:
  1. subjektů údajů, jejichž osobní údaje Poskytovatel shromažďuje při poskytování zpracovatelských služeb; a/nebo
  2. subjektů údajů, jejichž osobní údaje jsou předány Poskytovateli v souvislosti s poskytováním zpracovatelských služeb Odběratelem, na jeho pokyn nebo za Odběratele.
• V závislosti na povaze zpracovatelských služeb mohou výše uvedené kategorie subjektů údajů zahrnovat:
  1. zaměstnance nebo jiné spolupracovníky Odběratele,
  2. členy obchodních orgánů Odběratele,
  3. zákazníky nebo potenciální zákazníky Odběratele.
• Poskytovatel pro Odběratele nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.

Právo Odběratele na vydání pokynů

• Poskytovatel se zavazuje shromažďovat, zpracovávat či používat osobní údaje pouze ve spojitosti s plněním Smlouvy a pouze k účelu a pouze způsobem určeným Odběratelem.
• Přijetím tohoto Dodatku Odběratel uděluje Poskytovateli pokyn zpracovávat osobní údaje Odběratele v souladu s obecně závaznými právními předpisy:
  1. k poskytování Zpracovatelských služeb;
  2. jak vyplývá z využívání Zpracovatelských služeb;
  3. jak vyplývá ze Smlouvy, včetně tohoto Dodatku; a
  4. jak vyplývá z jakéhokoliv jiného doloženého pokynu Odběratele, odsouhlaseného Zhotovitelem pro účely tohoto Dodatku.
• V případě, že Poskytovatel má za to, že pokyny vydané Odběratelem nejsou v souladu s platnou legislativou na ochranu osobních údajů, Poskytovatel je povinen o tomto Odběratele neprodleně informovat. Poskytovatel tak může odložit vykonání tohoto pokynu do té doby, než Odběratel předmětný pokyn potvrdí či změní. Poskytovatel má právo odmítnout vykonat zjevně protiprávní pokyn.
• Poskytovatel má právo na zvláštní kompenzaci všech úkonů, které na pokyny Odběratele vykoná nad rámec Smlouvy a/nebo které nejsou právní povinností Poskytovatele. Kompenzace se řídí platným ceníkem služeb Poskytovatele.

Bezpečnostní opatření Poskytovatele

• Poskytovatel je povinen zavést a udržovat bezpečnostní opatření vyjmenovaná demonstrativně
  v Příloze 1, která může čas od času aktualizovat nebo upravit za předpokladu, že aktualizace nebo úpravy nepovedou ke snížení celkového zabezpečení zpracování osobních údajů.
• Frederike Rehker je Poskytovatelem určený pověřenec pro ochranu osobních údajů. Odběratel se může obracet s veškerými dotazy týkajícími se zpracování osobních údajů Poskytovatelem na emailovou adresu: its(zavináč)konicaminolta.cz

Práva a povinnosti Poskytovatele

• Poskytovatel po dobu zpracování osobních údajů podnikne odpovídající kroky k zajištění dodržování bezpečnostních opatření svými zaměstnanci, jinými spolupracovníky nebo dodavateli v rozsahu odpovídajícím jejich činnostem.
• Poskytovatel se zavazuje bezodkladně písemně informovat Odběratele o jakémkoli případu porušení zabezpečení osobních údajů. Oznámení porušení zabezpečení osobních údajů musí obsahovat minimálně následující informace:
• Popis povahy porušení bezpečnosti osobních údajů, pokud možno s uvedením dotčených kategorií a počtem subjektů údajů, kterých se porušení týká a dotčených kategorií a počtem osobních údajů, kterých se porušení týká.
• Popis opatření a kroků učiněných či navrhnutých Poskytovatelem za účelem eliminace porušení a případná opatření vedoucí ke snížení nepříznivých dopadů.
• Poskytovatel se zavazuje bezodkladně přijmout potřebná opatření k opětovnému zabezpečení osobních údajů a zmírnit případné nepříznivé dopady na subjekty údajů, informovat Odběratele a vyžádat si pokyny k dalšímu postupu.
• Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost v případě jednání mezi sebou, s Úřadem pro ochranu osobních údajů (a jeho ekvivalentem v jiných zemích) nebo s jinými veřejnoprávními orgány.

Práva a povinnosti Odběratele

• Odběratel je odpovědný za plnění všech povinností ve vztahu ke zpracování osobních údajů Odběratele, zejména za řádné informování subjektů údajů o zpracování osobních údajů Odběratele, získání souhlasu se zpracováním osobních údajů Odběratele, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.). Odběratel je dále odpovědný za plnění všech oznamovacích povinností vůči dozorovému úřadu v souvislosti se zpracováním osobních údajů Odběratele, zejména za ohlašování případů porušení zabezpečení osobních údajů.
• Odběratel je výlučně odpovědný za seznámení se s tímto Dodatkem a vyhodnocení přijatých bezpečnostních opatření a závazků Poskytovatele s ohledem na potřeby Odběratele, zejména ve vztahu k bezpečnostním povinnostem Odběratele podle obecně závazných právních předpisů. Za tímto účelem si Odběratel může vyžádat doložení různých dokumentů, jako například odborné posudky, certifikace, výsledky interních auditů a podobně. Dále má Odběratel právo, dle dohody stran, během běžné pracovní doby (s minimálně třítýdenním předstihem) osobně zkontrolovat, že Poskytovatel implementuje technická a organizační opatření nebo má tuto implementaci potvrzenou kvalifikovanou třetí stranou, která není přímým konkurentem Poskytovatele. Odběratel bude provádět kontrolu pouze způsobem a pouze v takovém rozsahu, který je nezbytně nutný a nebude v rámci kontrolní činnosti bezpředmětně zasahovat do operativních činností Poskytovatele. Náklady na kontrolní audit a účast Poskytovatele nad rámec nezbytně nutných činností uhradí Odběratel.
• Pokud Poskytovatel při zpracovávání osobních údajů Odběratele obdrží od subjektu údajů ve vztahu k osobním údajům Odběratele jakoukoliv žádost, sdělí Poskytovatel subjektu údajů, aby se s žádostí obrátil přímo na Odběratele. Odběratel je odpovědný za vyřízení takové žádosti.

Ustanovení subdodavatelů

• Služby poskytované na základě tohoto Dodatku a další služby s tímto spojené mohou být vykonávány ve spolupráci s dalším zpracovatelem identifikovaným v Příloze 2. Tito zpracovatelé jsou považování za správcem schválené.
• Odběratel tímto uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů (Zapojení dalších zpracovatelů do zpracování), pokud dodrží povinnosti jemu určené tímto Dodatkem. O ustanovení dalšího zpracovatele musí Poskytovatel neprodleně a písemně informovat Odběratele, který se může prostřednictvím námitek k tomuto záměru Poskytovatele vyjádřit.
• Poskytovatel se zavazuje zvolit dalšího zpracovatele dle svého nejlepšího vědomí na základě kvalifikace a spolehlivosti a přenést na něj stejné povinnosti, jaké Poskytovateli ukládá tento Dodatek, a zároveň zajistí, že Odběrateli je umožněno přímo vykonávat práva, která mu dle tohoto Dodatku přísluší (zejména pak právo na vykonávání inspekcí a kontrol). V případě, že se další zpracovatel nachází ve třetí zemi, Poskytovatel musí zajistit, že takový další zpracovatel dodržuje požadovanou úroveň zabezpečení osobních údajů (např. smlouva bude ošetřena Standardními doložkami o ochraně údajů).
• Za zapojení dalších zpracovatelů do zpracování se nepovažuje ustanovení třetí strany k výkonu takových služeb, které jsou považovány za druhotné již z podstaty věci. Takovými službami se rozumí například: poštovní, transportní a dodavatelské služby, úklidové a telekomunikační služby, které nejsou v přímé souvislosti se službami, které Poskytovatel vykonává pro Odběratele, dále například bezpečnostní služby. Údržbové a testovací služby vykonávané dalším zpracovatelem musí být schváleny Odběratelem, pokud jsou vykonávány ve spojitosti s IT systémy, které jsou také používány k výkonu služeb pro Odběratele.
• Poskytovatel v rámci zpracování nepředává údaje jemu Odběratelem svěřené do třetích zemí.

Odpovědnost

• Odběratel se zavazuje nést odpovědnost za nároky vznesené proti Poskytovateli v souvislosti se ztrátou nebo poškozením dat, jež utrpěl subjekt údajů v důsledku zakázaného či nesprávného zpracování podle legislativy na ochranu osobních údajů, a to v případě, kdy k nesprávnému či zakázanému zpracování údajů došlo na základě pokynů vydaných Odběratelem.
• Každá ze smluvních stran se zavazuje zprostit druhou smluvní stranu odpovědnosti, pokud dotčená druhá strana dokáže, že není nijak odpovědná za okolnosti vedoucí ke ztrátě či poškození, jež utrpěl subjekt údajů.

Ukončení poskytování zpracovatelských služeb

• Po ukončení poskytování zpracovatelských služeb se Poskytovatel zavazuje vrátit Odběrateli veškeré dokumenty, data, elektronické nosiče a jiné hmotné nosiče poskytnuté Poskytovateli nebo – pokud si tak Odběratel přeje, a právo EU či právní řád České republiky nevyžaduje archivaci – smaže či zničí osobní údaje.
  To se vztahuje i na zálohy, které Poskytovatel vytvořil. Poskytovatel se zavazuje Odběrateli na žádost písemně potvrdit smazání/zničení všech dotčených dat a nosičů.
• Povinnost Poskytovatele přistupovat důvěrně k údajům, které se dozvěděl v souvislosti s výkonem služby na základě Smlouvy o poskytnutí služeb, trvá i po skončení Smlouvy. Povinnosti plynoucí z tohoto Dodatku zůstávají zachovány i po skončení Smlouvy, a to tak dlouho, dokud má Poskytovatel ve svém držení osobní údaje, jež shromáždil nebo jinak získal jménem Odběratele.

Závěrečná ustanovení

• Tento Dodatek lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.
• Neplatnost či nevymahatelnost některého ustanovení tohoto Dodatku nemá za následek neplatnost celého Dodatku. V takovém případě jsou obě smluvní strany povinny vynaložit veškeré potřebné úsilí k nahrazení ustanovení neplatného ustanovením právně bezvadným.
• Tento Dodatek a případné spory z něj se budou řídit příslušnými ustanoveními občanského zákoníku č. 89/2012 Sb., v platném znění, a dalšími platnými právními předpisy České republiky.

——

Přílohy:

Příloha 1: Technická a organizační opatření Poskytovatele

Příloha 2: Schválení další zpracovatelé

Příloha 1: Technická a organizační opatření Poskytovatele

1. Zabezpečení důvěrnosti

Řízení fyzického přístupu

Opatření, kterými se neoprávněným osobám zabraňuje v přístupu k systémům zpracování dat jsou následující:

• Definice osob oprávněných ke vstupu do prostor Poskytovatele
• Vedení záznamů o přidělení a odebrání oprávnění ke vstupu do prostor Poskytovatele
• Řízení vstupu prostřednictvím osobních karet s fotografií a PIN kódem
• Řízení vstupu prostřednictvím osobních čipů
• Vedení záznamů o vstupech do místnosti se servery
• Pravidla pro vstup cizích osob do prostor Poskytovatele
• Oddělené prostory so vstupem jen pro oprávněné osoby
• Video monitoring oddělených prostor a vnitřku budovy včetně místností se servery

Řízení přístupů do systémů

Následovná opatření jsou přijatá za účelem zabránění přístupu neoprávněných osob do systémů zpracovaní dat:

• Přístup k systémům je možný jen po autentizaci pomocí individuálního uživatelského jména a hesla
• Používaní hesel s minimální délkou 8 znaků splňujících minimálně tři ze čtyř kritérií (velké písmeno, malé písmeno, číslice, speciální znak) a povinná změna hesla každých 90 dní
• Zákaz prozrazování hesla
• Vedení záznamů o přidělení přístupu
• Omezení administrátorského přístupu na minimum
• Použití přiměřených firewall systémů

Řízení přístupu k datům

Neoprávněným aktivitám v systémech zpracování dát nad rámec přidělených oprávnění je zamezeno prostřednictvím přístupových práv, konceptem autorizace založeném na základě potřeb a prostřednictvím jejich kontroly:

• Omezení přístupových práv dle oblasti aktivit osob
• Oddělení organizačního přidělovaní práv od technického přidělovaní práv
• Vedení záznamů o změnách v přístupových právech

Řízení separace

• Definování různých uživatelských profilů
• Specifická přístupová práva odpovídající požadavkům na přístup k datům
• Oddělení dat různých aplikací použitím virtuálních počítačů (pro individuální aplikace)

Pseudoanonymizace

• Ve smyslu (čl. 32 odd. 1, písm. a) GDPR; čl. 25, odd. 1 GDPR)

2. Zabezpečení integrity

Řízení přenosu dat

• Šifrovaní přenosu dat, osobně při přenosu přes veřejné sítě (SSL, TLS)
• Trvalá likvidace dat, datových nosičů, včetně HDD tiskové techniky a tištěných kopií v souladu s ochranou dat a v souladu s konceptem kategorizace ochrany

Řízení vstupu dat

• Pravidelná revize a změny přístupových práv
• Vedení záznamů o zpracování dat (tam kde je to možné a vhodné) umožňující rychlý přezkum a identifikaci, zda a čí osobní údaje byly zaevidované, změněné anebo vymazané (např. jmenné záznamy hlavního ERP systému)
• Zaznamenávání a dostupnost aktivit v systémech odpovídajících potřebám (např. log soubory)
• Explicitní identifikace a označování úložišť dat MFP/PP zařádění při vrácení zařízení

3. Dostupnost a zatížitelnost: Řízení dostupnosti a schopnost obnovy

• Použití dvou certifikovaných IT center, která jsou umístěna daleko od sebe a tím zabraňují přerušení poskytování služeb prostřednictvím mirroringu (např. uchovávání zdvojených dat)
• Technické preventivní opatření ve formě včasných varovných systémů na ochranu proti výpadkům způsobeným požáry, přehřátím, zaplavením a zdroje nepřerušitelného napájení
• Opatření na ochranu před výpadky napájení a proudového přetížení, např. systémy nepřerušitelného napájení
• Plánované vykonávaní zálohováni dat a v případě potřeby použité procesy pro mirroring
• Vícevrstvová architektura antiviru/firewallu
• Centralizované obstarávaní hardware a software
• Schopnost včasné obnovy v čl. 32, odd. 1,
  písm. c) GDPR)

4. Řízení objednávek

• Určení osoby odpovědné za ochranu dat
• Dohody o úrovni zabezpečení služeb (SLA)
  s externími poskytovateli služeb
• Proškolení zaměstnanců při zpracovaní osobních údajů
• Povinný souhlas zaměstnanců se zachováním mlčenlivosti

5. Řízení organizace

• Nepřetržitý proces kontroly a v případě potřeby přizpůsobení opatření na ochranu dat
• Interní písemné předpisy upravující nakládání
  s daty, včetně kopírování
• Proces pro vedení soudních sporů týkajících se ochrany dat
• Provedení hodnocení rizik pro každý relevantní proces
• Provedení hodnocení dopadů pro každý relevantní proces
• Implementace základních nastavení řízení organizace v souladu s legislativou
• Management incidentů a reakce na ně

Příloha 2: Schválení další zpracovatelé

V případě zapojení dalších zpracovatelů bude Poskytovatel Odběratele informovat dle podmínek uvedených v tomto Dodatku.