Podmínky zpracování osobních údajů

  1. Tato příloha se uplatní na případy, kdy (a) Dodavatel při plnění smlouvy zpracovává osobní údaje pro Kupujícího a (b) Kupující a Dodavatel spolu neuzavřeli zvláštní smlouvu o zpracování osobních údajů. Ujednání této přílohy má povahu smlouvy o zpracování osobních údajů podle čl. 28 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů („GDPR“).
  2. Při zpracování osobních údajů je Kupující v postavení správce osobních údajů a Dodavatel v postavení jeho zpracovatele. Ke zpracování osobních údajů ze strany Dodavatele může docházet výlučně za účelem splnění jeho povinností ze smlouvy. Dodavatel bude zpracovávat pouze osobní údaje (a) poskytnuté Dodavateli Kupujícím v souvislosti s uzavřenou Smlouvou a za účelem jejího plnění; (b) získané Dodavatelem při plnění smlouvy, včetně osobních údajů poskytnutých Dodavateli přímo příslušným subjektem údajů. Osobní údaje budou Dodavatelem zpracovávány po dobu trvání jeho závazků ze Smlouvy, nestanoví-li samotná Smlouva kratší dobu zpracování. Po uplynutí sjednané doby zpracování budou osobní údaje (včetně jejich kopií) neprodleně vráceny Kupujícímu a smazány (bez možnosti obnovy) ze všech systémů a nosičů Dodavatele.
  3. Dodavatel je povinen provádět zpracování osobních údajů pouze v souladu s obecně závaznými právními předpisy (zejména GDPR), Smlouvou, tímto ujednáním a pokyny Kupujícího. Dodavatel je povinen neprodleně písemně upozornit Kupujícího, pokud se domnívá, že jeho pokyn je v rozporu s obecně závaznými právními předpisy. Dodavatel je povinen zachovávat důvěrnost zpracovávaných osobních údajů a tyto údaje nepoužívat pro jiné účely, než je plnění Smlouvy uzavřené s Kupujícím. Pokud Dodavatel zjistí chyby či nesrovnalosti ve zpracovávaných osobních údajích, je povinen na takovou skutečnost Kupujícího neprodleně písemně upozornit.
  4. Dodavatel přijme technická a organizační opatření, aby nemohlo dojít k neoprávněnému či nahodilému přístupu k zpracovávaným osobním údajům, jejich ztrátě nebo zničení. Dodavatel zajistí zachování mlčenlivosti ze strany všech osob podílejících se na zpracování osobních údajů. Osobní údaje mohou být zpřístupněny pouze zaměstnancům Dodavatele, kteří (a) potřebují mít přístup k těmto údajům pro plnění Smlouvy, (b) prošli školením ohledně řádného nakládání s osobními údaji a (c) jsou smluvně vázáni zachovávat ochranu, zabezpečení a mlčenlivost ve vztahu k zpracovávaným osobním údajům. Ustanovení čl. e) níže tím není dotčeno.
  5. Dodavatel je oprávněn zapojit do prováděného zpracování třetí osobu (tzv. dalšího zpracovatele) pouze (a) s předchozím písemným souhlasem Kupujícího a (b) za předpokladu, že s dalším zpracovatelem uzavře písemnou smlouvu o zpracování osobních údajů, která bude zajišťovat alespoň takovou míru ochrany osobních údajů, jako toto ujednání s Kupujícím; na žádost Kupujícího mu Dodavatel takovou smlouvu předloží k posouzení. Dodavatel bude v dostatečném předstihu informovat Kupujícího o veškerých zamýšlených změnách v osobách dalších zpracovatelů a umožní Kupujícímu vyslovit vůči takovým změnám námitky. Dodavatel v plném rozsahu odpovídá za veškeré zpracování osobních údajů prováděné dalšími zpracovateli.
  6. V případě, že dojde k narušení zabezpečení osobních údajů zpracovávaných Dodavatelem pro Kupujícího, Dodavatel (a) neprodleně přijme veškerá vhodná nápravná opatření s cílem odstranit příčiny takového narušení, (b) bezodkladně, v každém případě nejpozději do 48 hodin bude o narušení zabezpečení osobních údajů informovat Kupujícího spolu s uvedením podrobností (zejména odhadovaný počet dotčených subjektů údajů, rozsah dotčených osobních údajů, dopady narušení zabezpečení osobních údajů a popis opatření přijatých Dodavatelem). Dodavatel přijme taková opatření, aby se narušení bezpečnosti osobních údajů nemohlo v budoucnu opakovat, včetně opatření rozumně požadovaných Kupujícím. Splněním povinností Dodavatele podle tohoto článku není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení osobních údajů zpracovávaných Dodavatelem pro Kupujícího.
  7. Bez předchozího písemného pokynu Kupujícího nebude Dodavatel předávat osobní údaje zpracovávané pro Kupujícího mimo Evropskou unii a Evropský hospodářský prostor.
  8. Na žádost Kupujícího mu Dodavatel bude nápomocen v případě uplatnění práv subjektů údajů podle kapitoly III GDPR. Dodavatel v této souvislosti prohlašuje, že disponuje prostředky a přijal opatření k tomu, aby v souladu s GDPR bylo možné vyhovět právům subjektů údajů, jejichž osobní údaje Dodavatel zpracovává pro Kupujícího. Na žádost Kupujícího mu Dodavatel (a) umožní provedení auditu zpracování osobních údajů, které Dodavatel provádí pro Kupujícího a (b) poskytne přiměřenou součinnost při posouzení vlivu na ochranu osobních údajů.