DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (aktualizováno k 9. 3. 2023)

Pro účely tohoto dodatku se rozumí:

Správce osobních údajů

Společnost Konica Minolta IT Solutions Czech s.r.o.,

sídlem: U Plynárny 1002/97, Michle, 101 00 Praha 10,

IČ: 25820826, DIČ:CZ25820826, též jako „Odběratel“.

Zpracovatel osobních údajů Společnost v postavení dodavatele ze smlouvy, která na tento dodatek odkazuje, též jako „Poskytovatel“.

Termíny „správce“, „subjekt údajů“,

„osobní údaj“, „porušení zabezpečení osobních údajů“, „zpracování“, „zpracovatel“
a „dozorový úřad“

Mají stejný význam jako v Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (též

jako „GDPR“).

Zpracovatelské služby Jsou služby zpracování osobních údajů, poskytované ze strany Poskytovatele Odběrateli na základě Smlouvy, a jakákoliv související technická podpora, pokud obnáší zpracování osobních údajů.

1. Předmět a účel dodatku

  • Poskytovatel vykonává pro Odběratele služby v souvislosti s plněním z uzavřené smlouvy, která na tento dodatek odkazuje (dále jen jako „Smlouva“). Poskytovatel v rámci této činnosti může získat přístup k osobním údajům a zavazuje se je zpracovávat pouze k účelům, pro který mu byly svěřeny, a pouze v souladu s doloženými pokyny Odběratele. Rozsah a účel zpracování dat, které provede Poskytovatel, je definován ve Smlouvě a jejich případných dodatcích. Odpovědnost za zákonné zpracování osobních údajů nese Odběratel.
  • Smluvní strany uzavírají tento Dodatek ke Smlouvě (dále jen „Dodatek“) za účelem úpravy jejich práv a povinností vyplývajících z legislativy upravující ochranu osobních údajů. V případě rozporu mezi ustanovením tohoto Dodatku a Smlouvy budou mít přednost ustanovení tohoto Dodatku.
  • Zpracování osobních údajů bude prováděno po dobu trvání Smlouvy nebo do doby výmazu všech osobních údajů ze strany Poskytovatele, pokud nevyplývá z dalších ustanovení jinak

2. Povaha zpracovaných údajů, subjekty údajů

  • Poskytovatel bude manuálně i automatizovaně zpracovávat osobní údaje Odběratele za účelem poskytování zpracovatelských služeb Odběrateli. Osobní údaje Odběratele mohou zahrnovat např. jméno, příjmení, telefonní číslo, e-mail, pracovní zařazení subjektu údajů či jakékoliv další informace včetně informací poskytnutých objednatelem z databází, nezbytné pro naplnění účelu zpracovatelských služeb.
  • Osobní údaje Objednatele se týkají následujících kategorií subjektů údajů:
    1. subjektů údajů, jejichž osobní údaje Poskytovatel shromažďuje při poskytování zpracovatelských služeb; a/nebo
    2. subjektů údajů, jejichž osobní údaje jsou předány Poskytovateli v souvislosti s poskytováním zpracovatelských služeb Odběratelem, na jeho pokyn nebo za Odběratele.
  • V závislosti na povaze zpracovatelských služeb mohou výše uvedené kategorie subjektů údajů zahrnovat:
    1. zaměstnance nebo jiné spolupracovníky Odběratele,
    2. členy obchodních orgánů Odběratele,
    3. zákazníky nebo potenciální zákazníky Odběratele.
  • Poskytovatel pro Odběratele nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.

3. Právo Odběratele na vydání pokynů

  • Poskytovatel se zavazuje shromažďovat, zpracovávat či používat osobní údaje pouze ve spojitosti s plněním Smlouvy a pouze k účelu a pouze způsobem určeným Odběratelem.
  • Přijetím tohoto Dodatku Odběratel uděluje Poskytovateli pokyn zpracovávat osobní údaje Odběratele v souladu s obecně závaznými právními předpisy:
    1. k poskytování Zpracovatelských služeb;
    2. jak vyplývá z využívání Zpracovatelských služeb;
    3. jak vyplývá ze Smlouvy, včetně tohoto Dodatku; a
    4. jak vyplývá z jakéhokoliv jiného doloženého pokynu Odběratele, odsouhlaseného Zhotovitelem pro účely tohoto Dodatku.
  • V případě, že Poskytovatel má za to, že pokyny vydané Odběratelem nejsou v souladu s platnou legislativou na ochranu osobních údajů, Poskytovatel je povinen o tomto Odběratele neprodleně informovat. Poskytovatel tak může odložit vykonání tohoto pokynu do té doby, než Odběratel předmětný pokyn potvrdí či změní. Poskytovatel má právo odmítnout vykonat zjevně protiprávní pokyn.
  • Poskytovatel má právo na zvláštní kompenzaci všech úkonů, které na pokyny Odběratele vykoná nad rámec Smlouvy a/nebo které nejsou právní povinností Poskytovatele. Kompenzace se řídí platným ceníkem služeb Poskytovatele.

4. Bezpečnostní opatření Poskytovatele

  • Poskytovatel je povinen zavést a udržovat bezpečnostní opatření vyjmenovaná demonstrativně
    v Příloze 1, která může čas od času aktualizovat nebo upravit za předpokladu, že aktualizace nebo úpravy nepovedou ke snížení celkového zabezpečení zpracování osobních údajů.
  • Poskytovatel určí Pověřence pro ochranu osobních údajů v souladu s čl. 37 GDPR.
  • Zaměstnanci Poskytovatele jsou oprávněni zpracovávat, shromažďovat a používat osobní data pouze na základě příslušného pověření. Poskytovatel se zavazuje zajistit, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě Smlouvy, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím tomuto Dodatku a zákonu, zejména bude sám (a závazně uloží i těmto uvedeným osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních (čl. 28(3b) GDPR), jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání nebo dalších činností u Poskytovatele.

5. Práva a povinnosti Poskytovatele

  • Poskytovatel po dobu zpracování osobních údajů podnikne odpovídající kroky k zajištění dodržování bezpečnostních opatření svými zaměstnanci, jinými spolupracovníky nebo dodavateli v rozsahu odpovídajícím jejich činnostem.
  • Poskytovatel se zavazuje bezodkladně písemně informovat Odběratele o jakémkoli případu porušení zabezpečení osobních údajů. Oznámení porušení zabezpečení osobních údajů musí obsahovat minimálně následující informace:
  • Popis povahy porušení bezpečnosti osobních údajů, pokud možno s uvedením dotčených kategorií a počtem subjektů údajů, kterých se porušení týká a dotčených kategorií a počtem osobních údajů, kterých se porušení týká.
  • Popis opatření a kroků učiněných či navrhnutých Poskytovatelem za účelem eliminace porušení a případná opatření vedoucí ke snížení nepříznivých dopadů.
  • Poskytovatel se zavazuje bezodkladně přijmout potřebná opatření k opětovnému zabezpečení osobních údajů a zmírnit případné nepříznivé dopady na subjekty údajů, informovat Odběratele a vyžádat si pokyny k dalšímu postupu.
  • Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost v případě jednání mezi sebou, s Úřadem pro ochranu osobních údajů (a jeho ekvivalentem v jiných zemích) nebo s jinými veřejnoprávními orgány.

6. Práva a povinnosti Odběratele

  • Objednatel se před zahájením zpracování dat a v pravidelných intervalech po zahájení ujistí, že Poskytovatel zavedl příslušná bezpečnostní a organizační opatření. Za tímto účelem si Odběratel může vyžádat doložení různých dokumentů, jako například odborné posudky, certifikace, výsledky interních auditů a podobně. Dále má Odběratel právo, dle dohody stran, během běžné pracovní doby (s minimálně třítýdenním předstihem) osobně zkontrolovat, že Poskytovatel implementuje technická a organizační opatření nebo má tuto implementaci potvrzenou kvalifikovanou třetí stranou, která není přímým konkurentem Poskytovatele. Odběratel bude provádět kontrolu pouze způsobem a pouze v takovém rozsahu, který je nezbytně nutný a nebude v rámci kontrolní činnosti bezpředmětně zasahovat do operativních činností Poskytovatele. Náklady na kontrolní audit a účast Poskytovatele nad rámec nezbytně nutných činností uhradí Odběratel.
  • Poskytovatel se zavazuje poskytnout na písemnou žádost Odběratele v přiměřené lhůtě veškeré informace a dokumenty potřebné k monitorování efektivity technických a organizačních opatření Poskytovatele.
  • Pokud Poskytovatel při zpracovávání osobních údajů Odběratele obdrží od subjektu údajů ve vztahu k osobním údajům Odběratele jakoukoliv žádost, sdělí Poskytovatel subjektu údajů, aby se s žádostí obrátil přímo na Odběratele. Odběratel je odpovědný za vyřízení takové žádosti.

7. Ustanovení subdodavatelů

  • Služby poskytované na základě tohoto Dodatku a další služby s tímto spojené mohou být vykonávány ve spolupráci s dalším zpracovatelem identifikovaným v Příloze 2. Tito zpracovatelé jsou považování za správcem schválené.
  • Odběratel tímto uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů (Zapojení dalších zpracovatelů do zpracování), pokud dodrží povinnosti jemu určené tímto Dodatkem. O ustanovení dalšího zpracovatele musí Poskytovatel neprodleně a písemně informovat Odběratele, který se může prostřednictvím námitek k tomuto záměru Poskytovatele vyjádřit.
  • Poskytovatel se zavazuje zvolit dalšího zpracovatele dle svého nejlepšího vědomí na základě kvalifikace a spolehlivosti a přenést na něj stejné povinnosti, jaké Poskytovateli ukládá tento Dodatek, a zároveň zajistí, že Odběrateli je umožněno přímo vykonávat práva, která mu dle tohoto Dodatku přísluší (zejména pak právo na vykonávání inspekcí a kontrol). V případě, že se další zpracovatel nachází ve třetí zemi, Poskytovatel musí zajistit, že takový další zpracovatel dodržuje požadovanou úroveň zabezpečení osobních údajů (např. smlouva bude ošetřena Standardními doložkami o ochraně údajů).
  • Za zapojení dalších zpracovatelů do zpracování se nepovažuje ustanovení třetí strany k výkonu takových služeb, které jsou považovány za druhotné již z podstaty věci. Takovými službami se rozumí například: poštovní, transportní a dodavatelské služby, úklidové a telekomunikační služby, které nejsou v přímé souvislosti se službami, které Poskytovatel vykonává pro Odběratele, dále například bezpečnostní služby. Údržbové a testovací služby vykonávané dalším zpracovatelem musí být schváleny Odběratelem, pokud jsou vykonávány ve spojitosti s IT systémy, které jsou také používány k výkonu služeb pro Odběratele.
  • Poskytovatel v rámci zpracování nepředává údaje jemu Odběratelem svěřené do třetích zemí.

8. Odpovědnost

  • Odběratel se zavazuje nést odpovědnost za nároky vznesené proti Poskytovateli v souvislosti se ztrátou nebo poškozením dat, jež utrpěl subjekt údajů v důsledku zakázaného či nesprávného zpracování podle legislativy na ochranu osobních údajů, a to v případě, kdy k nesprávnému či zakázanému zpracování údajů došlo na základě pokynů vydaných Odběratelem.
  • Každá ze smluvních stran se zavazuje zprostit druhou smluvní stranu odpovědnosti, pokud dotčená druhá strana dokáže, že není nijak odpovědná za okolnosti vedoucí ke ztrátě či poškození, jež utrpěl subjekt údajů.

9. Ukončení poskytování zpracovatelských služeb

  • Po ukončení poskytování zpracovatelských služeb se Poskytovatel zavazuje vrátit Odběrateli veškeré dokumenty, data, elektronické nosiče a jiné hmotné nosiče poskytnuté Poskytovateli nebo – pokud si tak Odběratel přeje, a právo EU či právní řád České republiky nevyžaduje archivaci – smaže či zničí osobní údaje.
    To se vztahuje i na zálohy, které Poskytovatel vytvořil. Poskytovatel se zavazuje Odběrateli na žádost písemně potvrdit smazání/zničení všech dotčených dat a nosičů.
  • Povinnost Poskytovatele přistupovat důvěrně k údajům, které se dozvěděl v souvislosti s výkonem služby na základě Smlouvy o poskytnutí služeb, trvá i po skončení Smlouvy. Povinnosti plynoucí z tohoto Dodatku zůstávají zachovány i po skončení Smlouvy, a to tak dlouho, dokud má Poskytovatel ve svém držení osobní údaje, jež shromáždil nebo jinak získal jménem Odběratele.

10. Závěrečná ustanovení

  • Tento Dodatek lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.
  • Neplatnost či nevymahatelnost některého ustanovení tohoto Dodatku nemá za následek neplatnost celého Dodatku. V takovém případě jsou obě smluvní strany povinny vynaložit veškeré potřebné úsilí k nahrazení ustanovení neplatného ustanovením právně bezvadným.
  • Tento Dodatek a případné spory z něj se budou řídit příslušnými ustanoveními občanského zákoníku č. 89/2012 Sb., v platném znění, a dalšími platnými právními předpisy České republiky.

——

Přílohy:

Příloha 1: Technická a organizační opatření Poskytovatele

Příloha 2: Schválení další zpracovatelé

Příloha 1: Technická a organizační opatření Poskytovatele

  • anonymizace, případně pseudonymizace a šifrování osobních údajů;
  • zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů Poskytovatele;
  • schopností obnovení dostupnosti osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
  • pravidelného testování, posuzování a hodnocení účinnosti technických a organizačních opatření Poskytovatele;
  • existence a účinného vymáhání povinností plynoucích z interního předpisu upravujícího ochranuosobních údajů;
  • zajištění bezpečnosti elektronicky zpracovávaných osobních údajů v elektronickém systému Poskytovatele;
  • vymezení omezeného okruhu osob, jež mohou disponovat s osobními údaji včetně zajištění jejich mlčenlivosti o osobních údajích, o kterých se v rámci zpracování dozvěděly;
  • zajištění místností a počítačů s databázemi proti vniknutí třetích osob;

Příloha 2: Schválení další zpracovatelé

V případě zapojení dalších zpracovatelů bude Poskytovatel Odběratele informovat dle podmínek uvedených v tomto Dodatku.

(aktualizováno 9. 3. 2023)

Reference

Poptávka