EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021D0915

Prováděcí rozhodnutí Komise (EU) 2021/915 ze dne 4. června 2021 o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 a čl. 29 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (Text s významem pro EHP)

C/2021/3701

OJ L 199, 7.6.2021, p. 18–30 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2021/915/oj

7.6.2021   

CS

Úřední věstník Evropské unie

L 199/18


PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/915

ze dne 4. června 2021

o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 a čl. 29 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1725

(Text s významem pro EHP)

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

S ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (1), a zejména na čl. 28 odst. 7 uvedeného nařízení,

s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (2), a zejména na čl. 29 odst. 7 tohoto nařízení,

vzhledem k těmto důvodům:

(1)

Pojmy správce a zpracovatel hrají klíčovou úlohu při uplatňování nařízení (EU) 2016/679 a nařízení (EU) 2018/1725. Správce je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Pro účely nařízení (EU) 2018/1725 se správcem rozumí orgán nebo instituce Unie nebo generální ředitelství či jakýkoli jiný organizační subjekt, který sám nebo společně s jinými subjekty určuje účely a prostředky zpracování osobních údajů. V případě, kdy účely a prostředky takového zpracování určuje specifický akt Unie, může Unie stanovit správce nebo specifická kritéria pro jeho určení. Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem správce.

(2)

Vztah mezi správci údajů a zpracovateli údajů, na něž se vztahuje nařízení (EU) 2016/679, a těmi, na něž se vztahuje nařízení (EU) 2018/1725, by se měl řídit stejným souborem standardních smluvních doložek. Je tomu tak proto, že v zájmu soudržného přístupu k ochraně osobních údajů v celé Unii a volného pohybu osobních údajů v rámci Unie byla pravidla ochrany osobních údajů platná pro veřejný sektor v členských státech a pravidla ochrany osobních údajů pro orgány, instituce a jiné subjekty Unie stanovená nařízením (EU) 2016/679 a nařízením (EU) 2018/1725 co nejvíce sladěna.

(3)

Aby byl v případě zpracování prováděného zpracovatelem za správce zajištěn soulad s požadavky nařízení (EU) 2016/679 a nařízení (EU) 2018/1725, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky nařízení (EU) 2016/679 a nařízení (EU) 2018/1725, včetně požadavků na zabezpečení zpracování.

(4)

Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a které stanoví prvky uvedené v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725. Uvedená smlouva nebo akt musí mít písemnou formu, případně včetně elektronické podoby.

(5)

V souladu s čl. 28 odst. 6 nařízení (EU) 2016/679 a čl. 29 odst. 6 nařízení (EU) 2018/1725 se správce a zpracovatel mohou rozhodnout, zda spolu sjednají individuální smlouvu obsahující povinné prvky stanovené v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725, nebo zda zcela nebo zčásti uplatní standardní smluvní doložky přijaté Komisí podle čl. 28 odst. 7 nařízení (EU) 2016/679 a čl. 29 odst. 7 nařízení (EU) 2018/1725.

(6)

Správce a zpracovatel by měli mít možnost zahrnout standardní smluvní doložky stanovené v tomto rozhodnutí do širší smlouvy a doplnit další doložky nebo další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami nebo pokud neomezují základní práva nebo svobody subjektů údajů. Uplatnění standardních smluvních doložek platí bez ohledu na jakékoli smluvní závazky správce a zpracovatele zajistit dodržování příslušných výsad a imunit.

(7)

Standardní smluvní doložky by měly pokrývat jak hmotněprávní, tak i procesní pravidla. V souladu s ustanoveními čl. 28 odst. 3 nařízení (EU) 2016/679 a čl. 29 odst. 3 nařízení (EU) 2018/1725 by standardní smluvní doložky měly také vyžadovat, aby správce a zpracovatel stanovili předmět a dobu trvání zpracování, jeho povahu a účel, druh dotčených osobních údajů, kategorie subjektů údajů a povinnosti a práva správce.

(8)

Podle ustanovení čl. 28 odst. 3 nařízení (EU) 2016/679 a čl. 29 odst. 3 nařízení (EU) 2018/1725 musí zpracovatel neprodleně informovat správce, pokud podle jeho názoru pokyn správce porušuje nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725 nebo jiná ustanovení Unie či členského státu o ochraně údajů.

(9)

Pokud zpracovatel zapojí do provádění konkrétních činností jiného zpracovatele, měly by se použít konkrétní požadavky uvedené v čl. 28 odst. 2 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 2 a 4 nařízení (EU) 2018/1725. Zejména se vyžaduje předchozí konkrétní nebo obecné písemné povolení. Bez ohledu na to, zda je toto předchozí povolení konkrétní nebo obecné, musí první zpracovatel udržovat aktualizovaný seznam dalších zpracovatelů.

(10)

Ke splnění požadavků čl. 46 odst. 1 nařízení (EU) 2016/679 přijala Komise standardní smluvní doložky podle čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679. Tato ustanovení rovněž splňují požadavky čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 na předávání údajů od správců, na něž se vztahuje nařízení (EU) 2016/679, zpracovatelům mimo územní působnost uvedeného nařízení nebo od zpracovatelů, na něž se vztahuje nařízení (EU) 2016/679, dílčím zpracovatelům mimo územní působnost uvedeného nařízení. Tyto standardní smluvní doložky nelze použít jako standardní smluvní doložky pro účely kapitoly V nařízení (EU) 2016/679.

(11)

Třetí strany by měly mít možnost stát se stranou standardních smluvních doložek po celou dobu trvání smlouvy.

(12)

Fungování standardních smluvních doložek by mělo být hodnoceno jako dílčí část pravidelného hodnocení nařízení (EU) 2016/679 stanoveného v článku 97 uvedeného nařízení.

(13)

Evropský inspektor ochrany údajů a Evropský sbor pro ochranu osobních údajů byly konzultovány v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 14. ledna 2021 (3) vydaly společné stanovisko, které bylo zohledněno při přípravě tohoto rozhodnutí.

(14)

Opatření stanovená v tomto rozhodnutí jsou v souladu se stanoviskem Výboru zřízeným podle čl. 93 nařízení (EU) 2016/679 a čl. 96 odst. 2 nařízení (EU) 2018/1725,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

Standardní smluvní doložky uvedené v příloze splňují požadavky na smlouvy mezi správci a zpracovateli podle čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 a čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725.

Článek 2

Standardní smluvní doložky uvedené v příloze mohou být použity ve smlouvách mezi správcem a zpracovatelem, který jménem tohoto správce zpracovává osobní údaje.

Článek 3

Komise na základě všech dostupných informací vyhodnotí praktické uplatňování standardních smluvních doložek uvedených v příloze v rámci pravidelného hodnocení stanoveného v článku 97 nařízení (EU) 2016/679.

Článek 4

Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

V Bruselu dne 4. června 2021.

Za Komisi

předsedkyně

Ursula VON DER LEYEN


(1)  Úř. věst. L 119, 4.5.2016, s. 1.

(2)  Úř. věst. L 295, 21.11.2018, s. 39.

(3)  Společné stanovisko EDPB a EIOÚ 1/2021 k prováděcímu rozhodnutí Evropské komise o standardních smluvních doložkách mezi správci a zpracovateli pro záležitosti uvedené v čl. 28 odst. 7 nařízení (EU) 2016/679 a čl. 29 odst. 7 nařízení (EU) 2018/1725


PŘÍLOHA

STANDARDNÍ SMLUVNÍ DOLOŽKY

ODDÍL I

Doložka 1

Účel a oblast působnosti

a)

Účelem těchto standardních smluvních doložek (dále jen „doložky“) je zajistit soulad s [vyberte příslušnou možnost: MOŽNOST 1: ustanoveními čl. 28 odst. 3 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)] / [MOŽNOST 2: ustanoveními čl. 29 odst. 3 a 4 nařízení Evropského parlamentu a Rady (ES) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES].

b)

Správci a zpracovatelé uvedení v příloze I schválili tyto doložky, aby zajistili soulad s čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 a/nebo čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725.

c)

Tyto doložky se uplatňují na zpracování osobních údajů, jak je upřesněno v příloze II.

d)

Přílohy I až IV jsou nedílnou součástí těchto doložek.

e)

Těmito doložkami nejsou dotčeny povinnosti, které správce musí plnit na základě nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725.

f)

Tyto doložky samy o sobě nezajišťují soulad s povinnostmi týkajícími se mezinárodního předávání podle kapitoly V nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725.

Doložka 2

Neměnnost doložek

a)

Smluvní strany se zavazují, že doložky nebudou měnit, s výjimkou doplňování nebo aktualizace informací v přílohách.

b)

To stranám nebrání v možnosti zahrnout tyto standardní smluvní doložky stanovené v tomto rozhodnutí do širší smlouvy nebo k nim doplnit další doložky nebo další záruky, pokud tyto nejsou se standardními smluvními doložkami v přímém nebo nepřímém rozporu nebo pokud neomezují základní práva nebo svobody subjektů údajů.

Doložka 3

Výklad

a)

V případech, kdy tyto doložky používají pojmy definované v nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725, mají tyto pojmy stejný význam jako v uvedeném nařízení.

b)

Tyto doložky jsou chápány a vykládány v souladu s ustanoveními nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725.

c)

Tyto doložky nesmí být vykládány způsobem, který by byl v rozporu s právy a povinnostmi stanovenými v nařízení (EU) 2016/679 / nařízení (EU) 2018/1725, nebo který by omezoval základní práva nebo svobody subjektů údajů.

Doložka 4

Hierarchie

V případě rozporu mezi těmito doložkami a ustanoveními souvisejících dohod existujících mezi stranami v době, kdy jsou tyto doložky sjednány, nebo dohod uzavřených později mají přednost tyto doložky.

Doložka 5 – Nepovinná

Doložka o přistoupení

a)

Každý subjekt, který není smluvní stranou těchto doložek, může se souhlasem všech stran k těmto doložkám kdykoli přistoupit buď jako správce, nebo jako zpracovatel, a to tím, že vyplní přílohy a podepíše přílohu I.

b)

Po vyplnění a podpisu příloh uvedených v odst. a) je přistupující subjekt považován za smluvní stranu těchto doložek a má práva a povinnosti správce nebo zpracovatele v souladu s jeho určením v příloze I.

c)

Přistupujícímu subjektu z těchto doložek nevyplývají žádná práva ani povinnosti pro období před tím, než se stal smluvní stranou.

ODDÍL II

POVINNOSTI STRAN

Doložka 6

Popis zpracování

Podrobnosti týkající se operací zpracování, zejména kategorie osobních údajů a účely zpracování, pro něž jsou osobní údaje zpracovávány jménem správce, jsou uvedeny v příloze II.

Doložka 7

Povinnosti stran

7.1   Pokyny

a)

Zpracovatel zpracovává osobní údaje pouze na základě písemně doložených pokynů správce, pokud mu takové zpracování neukládá právo Unie nebo členského státu, které se na správce vztahuje. V tomto případě zpracovatel správce informuje o uvedeném právním požadavku před zpracováním, pokud to právní předpisy nezakazují z důvodů důležitého veřejného zájmu. Po celou dobu zpracování osobních údajů může správce rovněž vydávat další pokyny. Tyto pokyny musí být vždy písemně doloženy.

b)

Zpracovatel neprodleně informuje správce v případě, že dle jeho názoru pokyny správce porušují nařízení (EU) 2016/679 / nařízení (EU) 2018/1725 nebo příslušná ustanovení Unie nebo členského státu o ochraně údajů.

7.2   Omezení účelu

Zpracovatel zpracovává osobní údaje pouze pro konkrétní účel nebo účely zpracování, jak je stanoveno v příloze II, pokud od správce neobdrží další pokyny.

7.3   Doba trvání zpracování osobních údajů

Zpracování zpracovatelem probíhá pouze po dobu stanovenou v příloze II.

7.4   Zabezpečení zpracování

a)

Za účelem zajištění bezpečnosti osobních údajů musí zpracovatel zavést přinejmenším technická a organizační opatření uvedená v příloze III. Součástí těchto opatření musí být ochrana údajů před narušením bezpečnosti, které by vedlo k jejich náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k nim (porušení zabezpečení osobních údajů). Při posuzování vhodné úrovně zabezpečení vezmou strany v úvahu aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování a rizika pro subjekty údajů.

b)

Zpracovatel poskytne svým zaměstnancům přístup ke zpracovávaným osobním údajům pouze v rozsahu nezbytně nutném pro provádění, správu a kontrolu smlouvy. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat obdržené osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.

7.5   Citlivé údaje

Pokud zpracování zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu nebo o sexuálním životě či sexuální orientaci dané osoby nebo údaje týkající se odsouzení v trestních věcech a trestných činů (dále jen „citlivé údaje“), uplatní zpracovatel zvláštní omezení nebo další záruky.

7.6.   Dokumentace a soulad

a)

Strany musí být schopny prokázat dodržování těchto doložek.

b)

Zpracovatel neprodleně a odpovídajícím způsobem vyřídí dotazy správce, které se týkají zpracovávání podle těchto doložek.

c)

Zpracovatel poskytne správci veškeré informace potřebné k prokázání souladu s povinnostmi stanovenými v těchto doložkách, které vyplývají přímo z nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725. Zpracovatel též na žádost správce umožní audity činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispěje, a to v přiměřených intervalech nebo pokud existují známky nesouladu. Při rozhodování o přezkumu nebo auditu může správce zohlednit příslušná osvědčení držená zpracovatelem.

d)

Správce se může rozhodnout, zda audit provede sám, nebo jím pověří nezávislého auditora. Audity mohou rovněž zahrnovat kontroly v objektech a prostorách zařízení zpracovatele a případně jsou předem včas ohlášeny.

e)

Strany na požádání zpřístupní informace uvedené v této doložce, včetně výsledků případných auditů, příslušnému dozorovému úřadu, respektive příslušným dozorovým úřadům.

7.7   Využívání dílčích zpracovatelů údajů

a)

MOŽNOST 1: KONKRÉTNÍ PŘEDCHOZÍ POVOLENÍ: Bez předchozího konkrétního písemného povolení správce nesmí zpracovatel zadat dílčímu zpracovateli žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem správce v souladu s těmito doložkami. Zpracovatel předloží žádost o konkrétní povolení nejméně [UPŘESNĚTE ČASOVÝ ÚSEK] před zapojením dotčeného dílčího zpracovatele, a to společně s informacemi, jež jsou nezbytné k tomu, aby správce mohl o povolení rozhodnout. Seznam dílčích zpracovatelů, kteří správce schválil, je uveden v příloze IV. Smluvní strany přílohu IV průběžně aktualizují.

MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ: Zpracovatel má obecné povolení správce k zapojení dílčích zpracovatelů ze schváleného seznamu. Zpracovatel výslovně písemně informuje správce o všech zamýšlených změnách uvedeného seznamu přijetím nebo nahrazením dílčích zpracovatelů nejméně [UPŘESNĚTE ČASOVÝ ÚSEK] předem, čímž poskytne správci dostatek času na to, aby mohl vznést námitku proti takovým změnám před zapojením dotčeného dílčího zpracovatele / dotčených dílčích zpracovatelů. Zpracovatel poskytne správci informace nezbytné k tomu, aby správce mohl uplatnit své právo vznést námitku.

b)

Pokud zpracovatel zapojí dílčího zpracovatele do provádění konkrétních činností zpracování (jménem správce), učiní tak prostřednictvím smlouvy, která ukládá dílčímu zpracovateli v podstatě stejné povinnosti v oblasti ochrany údajů, jaké jsou v souladu s těmito doložkami uloženy zpracovateli údajů. Zpracovatel zajistí, aby dílčí zpracovatel plnil povinnosti, které se na zpracovatele vztahují podle těchto doložek a nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725.

c)

Zpracovatel poskytne správci na jeho žádost opis dohody s dílčím zpracovatelem a veškeré následné změny dohody. V rozsahu nutném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může zpracovatel před poskytnutím opisu text dohody upravit.

d)

Zpracovatel nese vůči správci plnou odpovědnost za to, aby dílčí zpracovatel plnil povinností vyplývající z jeho smlouvy se zpracovatelem. Zpracovatel správce uvědomí, pokud dílčí zpracovatel neplní své povinnosti vyplývající z uvedené smlouvy.

e)

Zpracovatel s dílčím zpracovatelem schválí doložku ve prospěch třetí strany, podle níž v případě, že zpracovatel fakticky zmizí, z právního hlediska zanikne, nebo se ocitne v platební neschopnosti, má správce právo ukončit smlouvu s dílčím zpracovatelem a pověřit dílčího zpracovatele, aby osobní údaje vymazal nebo vrátil.

7.8   Mezinárodní předávání údajů

a)

Jakékoli předání údajů zpracovatelem do třetí země nebo mezinárodní organizaci se provádí pouze na základě písemně doložených pokynů správce nebo za účelem splnění konkrétního požadavku podle právních předpisů Unie nebo členského státu, které se na zpracovatele vztahují, a to v souladu s kapitolou V nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725.

b)

Správce souhlasí s tím, že pokud zpracovatel v souladu s doložkou 7.7 zapojí dílčího zpracovatele do provádění konkrétních činností zpracováním (jménem správce) a uvedené činnosti zahrnují předání osobních údajů ve smyslu kapitoly V nařízení (EU) 2016/679, mohou zpracovatel a dílčí zpracovatel zajistit soulad s ustanoveními kapitoly V nařízení (EU) 2016/679 použitím standardních smluvních doložek přijatých Komisí v souladu s čl. 46 odst. 2 nařízení (EU) 2016/679, pokud jsou splněny standardní podmínky pro použití těchto smluvních doložek.

Doložka 8

Pomoc poskytovaná správci

a)

Zpracovatel neprodleně informuje správce o každé žádosti, kterou obdržel od subjektu údajů. Na tuto žádost neodpovídá sám, pokud k tomu není správcem zmocněn.

b)

Zpracovatel pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů o výkon jejich práv s přihlédnutím k povaze zpracování. Při plnění svých povinností podle ustanovení písmen a) a b) postupuje zpracovatel v souladu s pokyny správce.

c)

Kromě toho, že má zpracovatel povinnost pomáhat správci podle doložky 8 písm. b), zpracovatel správci dále pomáhá při zajišťování plnění následujících povinností, a to s přihlédnutím k povaze zpracování údajů a informacím, které má zpracovatel k dispozici:

1)

povinnost provést posouzení dopadu zamýšlených operací zpracování na ochranu osobních údajů (dále jen „posouzení vlivu na ochranu údajů“), pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob;

2)

povinnost konzultovat před zpracováním příslušný dozorový úřad, respektive příslušné dozorové úřady, pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika;

3)

povinnost zajistit, aby byly osobní údaje přesné a aktuální, a to tím, že zpracovatel správce neprodleně informuje, pokud se dozví, že osobní údaje, které zpracovává, jsou nepřesné nebo zastaralé;

4)

povinnosti podle [MOŽNOST 1] článku 32 nařízení (EU) 2016/679 / [MOŽNOST 2] článku 33 a článků 36 až 38 nařízení (EU) 2018/1725.

d)

V příloze III strany stanoví vhodná technická a organizační opatření, jimiž je zpracovatel povinen správci pomáhat při uplatňování této doložky, jakož i oblast působnosti a rozsah požadované pomoci.

Doložka 9

Ohlašování případů porušení zabezpečení osobních údajů

V případě porušení zabezpečení osobních údajů zpracovatel spolupracuje se správcem a pomáhá mu při plnění jeho povinností podle článků 33 a 34 nařízení (EU) 2016/679 nebo případně podle článků 34 a 35 nařízení (EU) 2018/1725, přičemž zohlední povahu zpracování a informace, které má zpracovatel k dispozici.

9.1   Porušení zabezpečení údajů zpracovávaných správcem

V případě porušení zabezpečení osobních údajů zpracovávaných správcem zpracovatel napomáhá správci:

a)

při ohlašování případů porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, respektive příslušným dozorovým úřadům, a to bez zbytečného odkladu poté, co se o něm správce dozvěděl, je-li to relevantní / (pokud je nepravděpodobné, že by porušení zabezpečení osobních údajů vedlo k ohrožení práv a svobod fyzických osob);

b)

při získávání následujících informací, které musí být podle [MOŽNOST 1] čl. 33 odst. 3 nařízení (EU) 2016/679 / [MOŽNOST 2] čl. 34 odst. 3 nařízení (EU) 2018/1725 uvedeny v oznámení správce, a to musí přinejmenším zahrnovat:

1)

povahu daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

2)

pravděpodobné důsledky porušení zabezpečení osobních údajů;

3)

opatření přijatá nebo navržená k přijetí v souvislosti s porušením zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.

c)

při plnění povinnosti v souladu s [MOŽNOST 1] článkem 34 nařízení (EU) 2016/679 / [MOŽNOST 2] článkem 35 nařízení (EU) 2018/1725 oznámit bez zbytečného odkladu subjektu údajů porušení zabezpečení osobních údajů, pokud je pravděpodobné, že dané porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

9.2   Porušení zabezpečení údajů zpracovávaných zpracovatelem

V případě porušení zabezpečení osobních údajů zpracovávaných zpracovatelem o tom zpracovatel informuje správce bez zbytečného odkladu poté, co se o tomto porušení dozvěděl. Takové oznámení obsahuje alespoň:

a)

popis povahy daného případu porušení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a záznamů údajů);

b)

údaje o kontaktním místě, kde lze získat více informací o daném porušení zabezpečení osobních údajů;

c)

pravděpodobné důsledky a opatření přijatá nebo navržená k přijetí v souvislosti s porušením zabezpečení, a to včetně opatření ke zmírnění možných nepříznivých dopadů.

Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.

Strany stanoví v příloze III všechny další informace, které má zpracovatel poskytnout, když správci poskytuje pomoc při plnění povinností správce podle [MOŽNOST 1] článků 33 a 34 nařízení (EU) 2016/679 / [MOŽNOST 2] článků 34 a 35 nařízení (EU) 2018/1725.

ODDÍL III

ZÁVĚREČNÁ USTANOVENÍ

Doložka 10

Porušení doložek a ukončení smlouvy

a)

Aniž jsou dotčena jakákoli ustanovení nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725, pokud zpracovatel poruší své povinnosti podle těchto doložek, může mu správce nařídit, aby pozastavil zpracovávání osobních údajů, dokud zpracovatel nebude plnit povinnosti podle těchto doložek, nebo dokud nebude smlouva vypovězena. Zpracovatel neprodleně informuje správce v případě, že z jakéhokoli důvodu není schopen plnit ustanovení těchto doložek.

b)

Správce je oprávněn vypovědět smlouvu v rozsahu, v němž se týká zpracování osobních údajů v souladu s těmito doložkami, pokud:

1)

správce pozastavil podle písmene a) zpracovávání osobních údajů zpracovatelem a plnění povinností podle těchto doložek není obnoveno v přiměřené lhůtě a v každém případě do jednoho měsíce od pozastavení;

2)

zpracovatel závažně nebo trvale porušuje tyto doložky nebo povinnosti, které pro něj vyplývají z nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725;

3)

zpracovatel neplní závazné rozhodnutí příslušného soudu nebo příslušného dozorového úřadu, respektive příslušných dozorových úřadů týkající se jeho povinností vyplývající z těchto doložek nebo z nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725.

c)

Zpracovatel je oprávněn vypovědět smlouvu v rozsahu, v němž se týká zpracování osobních údajů podle těchto doložek, pokud poté, co informoval správce o tom, že pokyny správce porušují platné právní požadavky podle doložky 7.1 písm. b), správce na splnění těchto pokynů trvá.

d)

Po ukončení smlouvy zpracovatel podle volby správce vymaže veškeré osobní údaje zpracovávané jménem správce a potvrdí správci, že tak učinil, nebo vrátí veškeré osobní údaje správci a vymaže stávající kopie, pokud právo Unie nebo členského státu nepožaduje uchovávání osobních údajů. Dokud nejsou osobní údaje vymazány nebo vráceny, zpracovatel nadále zajišťuje dodržování souladu s těmito doložkami.


PŘÍLOHA I

SEZNAM STRAN

Správce/správci: [Jméno a kontaktní údaje správce/správců a případně jeho/jejich pověřence pro ochranu osobních údajů]

1.

Jméno/název: …

 

Adresa: …

 

Jméno, funkce a kontaktní údaje kontaktní osoby: …

 

Podpis a datum přistoupení k doložkám: …

2.

 

Zpracovatel/zpracovatelé: [Jméno a kontaktní údaje zpracovatele/zpracovatelů a případně jeho/jejich pověřence pro ochranu osobních údajů]

1.

Jméno/název: …

 

Adresa: …

 

Jméno, funkce a kontaktní údaje kontaktní osoby: …

 

Podpis a datum přistoupení k doložkám: …

2.

 


PŘÍLOHA II

POPIS ZPRACOVÁNÍ

Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány

Kategorie zpracovávaných osobních údajů

Zpracovávané citlivé údaje (v relevantních případech) a použitá omezení nebo záruky, které plně zohledňují povahu těchto údajů a související rizika, jako je například přísné omezení účelu, omezení přístupu (včetně přístupu pouze pro pracovníky, kteří absolvovali specializovanou odbornou přípravu), vedení záznamů o přístupu k údajům, omezení dalšího předávání nebo další opatření k zajištění zabezpečení.

Povaha zpracování

Účel/účely, pro který/které jsou osobní údaje zpracovávány jménem správce

Doba trvání zpracování

U zpracování (dílčím) zpracovatelem rovněž upřesněte předmět, povahu a dobu trvání zpracování.


PŘÍLOHA III

TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ ÚDAJŮ

VYSVĚTLIVKY:

Technická a organizační opatření musí být popsána konkrétně, a nikoli obecně.

Popis technických a organizačních bezpečnostních opatření zavedených zpracovatelem (zpracovateli) (včetně příslušných osvědčení) k zajištění odpovídající úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování, jakož i k rizikům pro práva a svobody fyzických osob. Příklady možných opatření:

 

opatření pro pseudonymizaci a šifrování osobních údajů,

 

opatření zajišťující neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,

 

opatření zajišťující schopnost obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů,

 

procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření k zajištění zabezpečení zpracování,

 

opatření pro identifikaci uživatelů a poskytování uživatelských oprávnění,

 

opatření na ochranu údajů během jejich přenosu,

 

opatření na ochranu údajů během jejich uchovávání,

 

opatření k zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje,

 

opatření zajišťující zaznamenávání událostí,

 

opatření zajišťující konfiguraci systému, včetně výchozí konfigurace,

 

opatření pro vnitřní správu a řízení IT a bezpečnosti IT,

 

opatření pro certifikaci / zabezpečení procesů a produktů,

 

opatření zajišťující minimalizaci údajů,

 

opatření zajišťující kvalitu údajů,

 

opatření zajišťující omezené uchovávání údajů,

 

opatření zajišťující odpovědnost,

 

opatření umožňující přenositelnost údajů a zajištění výmazu.

U předání (dílčímu) zpracovateli rovněž popište konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl správci poskytovat pomoc.

Popis konkrétních technických a organizačních opatření, která má zpracovatel přijmout, aby mohl správci poskytovat pomoc.


PŘÍLOHA IV

SEZNAM DÍLČÍCH ZPRACOVATELŮ

VYSVĚTLIVKY:

Tuto přílohu je třeba vyplnit v případě konkrétního povolení dílčích zpracovatelů (doložka 7.7 písm. a), možnost 1).

Správce povolil využití těchto dílčích zpracovatelů:

1.

Jméno/název: …

 

Adresa: …

 

Jméno, funkce a kontaktní údaje kontaktní osoby: …

 

Popis zpracování (včetně jasného vymezení odpovědnosti v případě, že je povoleno více dílčích zpracovatelů): …

2.


Top