SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

TATO SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (dále jen: Smlouva o zpracování osobních údajů) vzniká mezi následujícími stranami, dnem (posledního) jejího podpisu:
  1. NUTURELLA s. r. o., která má sídlo v Komárně, Vodná 23/10, IČO: 52953416 (dále jen: Správce osobních údajů) a
  2. NUTURELLA s. r. o., která má sídlo v Komárne, Vodná 23/10 a DIČ 2121185286 (dále jen: Zpracovatel osobních údajů),
Dále jen strana nebo strany

VŠEOBECNĚ
  1. Zpracovatel osobních údajů stanovuje cíl a formu zpracování osobních údajů, které zpracuje zpracovatel osobních údajů, které souvisejí se službou poskytovanou Správcem osobních údajů, jménem Správce osobních údajů.
  2. Strany touto Smlouvou o zpracování osobních údajů míní doplnit Smlouvu za účelem upřesnění zpracování osobních údajů, a také v zájmu toho, aby odpovídalo nařízení Evropského parlamentu a Rady (EU) č. 2016/679 z 27. dubna 2016 o ochraně jednotlivců se zřetelem na zpracování osobních údajů a volný pohyb těchto údajů a kterým se zrušuje nařízení (ES) č. 95/46 (všeobecná ochrana údajů) (dále jen “GDPR”).
  3. Hlavním cílem této Smlouvy o zpracování osobních údajů je, poskytnout přiměřené preventivní opatření týkající se ochrany údajů a také zajištění toho, aby zpracování osobních údajů probíhalo podle závazků Zpracovatele a Správce osobních údajů.

     I. DOHODA

I.1. Kromě hlavního textu dohody tato dohoda o zpracování údajů obsahuje následující dokumenty:

Příloha č. 1 - Pokyny na zpracování osobních údajů
Příloha č. 2 - Minimální bezpečnostní opatření

II.2. V případě, že je kterákoliv část této Smlouvy o ochraně osobních údajů v rozporu s některou podmínkou Smlouvy, směrodatná je tato Smlouva o ochraně osobních údajů. Na této smlouvě nevysvětlitelné pojmy (pokud nějaké existují) se vztahují ve Smlouvě na ustanovená vysvětlení a vysvětlení ve smyslu GDPR.

     II. VYSVĚTLUJÍCÍ USTANOVENÍ

II.1. Na účely této Smlouvy o zpracování údajů znamenají níže uvedené pojmy následující:

Zpracování: Jakýkoliv úkon nebo kombinace úkonů vykonaných automaticky nebo neautomaticky na osobních údajích, tedy jejich sběr, nahrávání, organizování, ukládání, úprava nebo změna, vyhledávání, kontrola, použití, zveřejnění postoupením, šíření nebo jiného zpřístupnění, zarovnání, propojení, zamykání, vymazání nebo zničení. V této dohodě výrazy „zpracovat” nebo „zpracované” a v jakékoliv formě použití, by se měli vykládat odpovídajícím způsobem;

Schválený subdodavatel: Jakýkoliv podnikatel definovaný v bodě 1;

Schválený cíl: i) nezbytné na splnění účelu předtím uzavřené smlouvy nebo ii) na zpracování údajů, které písemně definuje ​​zpracovatel údajů;

Služby: Služby poskytované Zpracovatelem osobních údajů na základě Smlouvy;

     III. VŠEOBECNÁ USTANOVENÍ

III.1. Tato dohoda o zpracování údajů upravuje způsob zpracování osobních údajů Zpracovatelem osobních údajů na účely vykonávání služeb podle smlouvy. Zpracovatel osobních údajů je povinen spravovat osobní údaje pouze v souladu s určeným Cílem a na něho se vztahujících pravidel, ve smyslu této Dohody o zpracování osobních údajů (zejména pokyny uvedené v příloze č.1) a ve smyslu Smlouvy.

III.2. Zpracovatel osobních údajů je povinen bezodkladně informovat Správce osobních údajů, pokud podle jeho posouzení narušuje platné právní předpisy.

III.3. Zpracovatel osobních údajů v souvislosti s osobními údaji nemá žádná práva, s výjimkou nevýhradního odvolatelného a časově omezeného práva na zpracování osobních údajů pro schválený účel.

     IV. SCHVÁLENÝ ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

IV.1. Zpracovatel osobních údajů může zpracovat osobní údaje pouze ve smyslu schváleného účelu. Zpracování osobních údajů na jakýkoliv jiný účel je přísně zakázáno, a proto se takové konání považuje za přísné porušení této Dohody o zpracování osobních údajů a Smlouvy.

     V. SCHVÁLENÁ MÍSTA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

V.1. Zpracování osobních údajů se může uskutečňovat pouze v technologickém prostředí schváleném Zpracovatelem osobních údajů, Správcem osobních údajů a schváleným Subdodavatelem.

V.2. Pokud jsou osobní údaje dostupné ze vzdáleného místa, považuje se to za přenos osobních údajů. Dostupnost osobních údajů kromě schválených míst je zakázána.

     VI. POMOC ZE STRANY ZPRACOVATELE OSOBNÍCH ÚDAJŮ

VI.1. Zpracovatel osobních údajů je povinen bezodkladně poskytnout pomoc Správci osobních údajů, také je povinen zajistit, aby Subdodavatel Zpracovatele osobních údajů poskytl pomoc Správci osobních údajů v tom, aby poskytl odpovědi a informace dotčeným stranám a vnitrostátním regulačním orgánům. Zpracovatel osobních údajů je povinen zajistit, aby poskytl pomoc v rámci odůvodněných vymezení Správcům osobních údajů tyto informace v zájmu toho, aby mohl Správce údajů dodržovat příslušné zákony dotčených orgánů. Zpracovatel osobních údajů je obzvláště povinen:


     VII. VYUŽITÍ SUBDODAVATELŮ

VII.1. Zpracovatel osobních údajů může využít pomoc pouze Subdodavatelů, kteří mají oprávnění na vykonávání služby ve smyslu Dohody o zpracování osobních údajů. Zpracovatel osobních údajů je povinen postarat se o to, aby osobní údaje použité Subdodavatelem v jakékoliv formě bylo v souladu se všemi ustanoveními této Dohody o zpracování osobních údajů. Patří sem i to, aby byla bezpečnostní opatření uplatňována schváleným Subdodavatelem na stejné úrovni, jako pro Zpracovatele osobních údajů podle této dohody o zpracování osobních údajů. V případě výzvy Správcem osobních údajů je povinen Zpracovatel osobních údajů bez neodůvodněného zpoždění předložit doklad o schválení kteréhokoli Subdodavatele.

VII.2. Správce osobních údajů je povinen zajistit, aby mezi Zpracovatelem osobních údajů a schváleným Subdodavatelem vznikla smlouva o zpracování osobních údajů ještě před tím, než schválený Subdodavatel začne jakékoliv osobní údaje zpracovávat. Dohoda(y) o zpracování osobních údajů zajistí, aby se na schváleného Subdodavatele vztahovaly minimálně tak přísné předpisy, jako na Správce osobních údajů a Zpracovatele osobních údajů, jak je uvedeno v této Smlouvě o zpracování údajů a ve smyslu příslušných zákonů týkajících se zpracovatelských činností na zpracování dat.

VII.3. Ve smyslu této Dohody o zpracování osobních údajů subdodavatele (ať je to už schválený subdodavatel nebo ne) je za jakékoliv opatření nebo opomenutí, které má vliv na dotčené strany zodpovědný pouze zpracovatel osobních údajů.

VII.4. Správce osobních údajů může v rámci své pravomoci odebrat schválení, které souvisí s využitím služby některého subdodavatele. V tomto případě poskytne Zpracovatel Správci osobních údajů důvody odebrání schválení. V případě, že odebrání schválení brání Zpracovateli osobních údajů v splnění služby, smluvní strany vedou rokování o alternativních řešeních a/anebo subdodavatelích na další poskytování služby.

     VIII. TECHNICKÉ A ORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ

VIII.1. Zpracovatel osobních údajů je povinen podle této Dohody o zpracování osobních údajů splnit své závazky s odborností, pozorností a pečlivostí.

VIII.2. Zpracovatel je povinen používat vhodné technické a organizační bezpečnostní opatření v zájmu zabránění vzniku škod způsobených jakýmkoliv neoprávněným nebo protiprávním zpracováním, ztrátou, zničením, poškozením, změněním nebo zveřejněním osobních údajů, s ohledem na charakter chráněných osobních údajů. Úroveň bezpečnosti musí odpovídat minimálně bezpečnostním opatřením uvedeným v příloze č.2.

VIII.3. Zpracovatel osobních údajů je povinen dokumentovat pro splnění požadavků ustanovených v bodu 2. jím používané technické a organizační bezpečnostní opatření. Dokumentaci je povinen v případě žádosti Správce osobních údajů zpřístupnit.

VIII.4. Pokud má Zpracovatel osobních údajů informaci o tom, že jeho vlastní bezpečnostní opatření nebo bezpečnostní opatření jeho subdodavatele, nezodpovídají bezpečnostním opatřením ustanoveným v bodu 2., je povinen to oznámit Správci osobních údajů podle postupu ustanoveném v bodu 11.

     IX. MLČENLIVOST

IX.1. Zpracovatel osobních údajů je povinen zajistit, aby jeho zaměstnanci dodržovali mlčenlivost ohledně všech osobních údajů a také to, aby měli zaměstnanci Zpracovatele osobních údajů přístup k osobním údajům pouze v potřebné míře k výkonu jejich práce. Zpracovatel osobních údajů je obzvláště povinen zajistit, aby byli všichni jeho zaměstnanci, kterých se zpracování osobních údajů týká, vhodně vyškolení a přezkoušení ohledně zpracování osobních údajů.

IX.2. Zpracovatel osobních údajů je povinen považovat osobní údaje za své vlastnictví a/nebo vlastnictví dotčené osoby, na které se vztahují vhodná bezpečnostní opatření jejich zpracování přijaté v této Dohodě o zpracování osobních údajů a ve Smlouvě o poskytování služeb.

    X. KONTROLA

X.1. Zpracovatel osobních údajů je povinen uchovat všechny informace potřebné k prokázání souladu s povinnostmi obsaženými v této dohodě, včetně jakéhokoliv relevantního posouzení vlivu ochrany osobních údajů a vést přesnou evidenci (Evidence) o všech zpracováních osobních údajů a všech technologických systémů (systému), pomocí kterých osobní údaje přijímá nebo vysílá (Systémy), dále je povinen tyto informace kdykoliv zpřístupnit Správci osobních údajů.

X.2. Správce osobních údajů je ve smyslu této Dohody o zpracování osobních údajů oprávněn Zpracovatele osobních údajů zkontrolovat.
Správce osobních údajů má právo pověřit svého zaměstnance nebo pověřenou osobu (sem patří třetí nezávislá osoba - auditor (dále jen: Auditor)), aby v řádné pracovní době jeho informováním o této skutečnosti v předstihu 10 (deset) pracovních dnů Zpracovatele osobních údajů zkontroloval, jeho technické a organizační bezpečnostní opatření dohodnuté ve smlouvě a systémy Zpracovatele osobních údajů. Auditorovi je třeba zajistit přístup k Evidenci, interním předpisům a běžným pracovním postupům, případně k jakýmkoliv jiným informacím uchovávaným v prostorech zpracovatele osobních údajů, z kterých si může udělat kopie. Audit může zahrnovat i jiné vhodné kontroly, například přehled technické dokumentace, náhodný výběr vzorků nebo širší kontrolu na místě. Zpracovatel osobních údajů je povinen k vykonání těchto kontrol přispět všemi způsoby.

X.3. Právo na kontrolu je možné uplatnit jednou v kalendářním roce, případně tehdy, když je předpoklad, že se stal incident ohledně ochrany osobních údajů nebo se vyskytla skutečnost, která zdůvodňuje vykonání auditu. V případě, že se při kontrole objeví jakákoliv nejasnost, správce osobních údajů je oprávněn kvůli zachování zájmů této smlouvy vykonat následující kontrolu vlastním Auditorem. Tento bod 10.3 nemůže být vyložen tak, aby byla omezena jakákoliv práva na kontrolu Zpracovatele osobních údajů ve smyslu Přílohy č. 2, bod 1. „Bezpečnostní audit, testování a ověřování ”.

X.4. Pokud státní instituce na ochranu osobních údajů příslušná sídlu Správce osobních údajů o to požádá, Správce osobních údajů je oprávněn sdílet s těmito institucemi zprávy a/nebo výsledky těchto kontrol.

     XI. OZNÁMENÍ INCIDENTU TÝKAJÍCÍHO SE OCHRANY OSOBNÍCH ÚDAJŮ

XI.1. Pokud se Zpracovatel osobních údajů dozví o jakémkoliv incidentu týkajícím se ochrany osobních údajů, je povinen bezodkladně, nejpozději však do 24 hodin, informovat Správce osobních údajů a zcela spolupracovat na jednoduchém a rychlém odstranění incidentu. Oznámení musí obsahovat následující náležitosti (pokud jsou známé):

  1. popis incidentu, včetně okruhu a počtu Dotčených osob; shrnutí událostí, které vedly ke vzniku incidentu; datum a hodinu dané události; kategorii a počet příslušných záznamů údajů; charakter osobních údajů a jejich obsah, místo incidentu a dotčených nosičů údajů;
  2. okolnosti incidentu ohledně ochrany osobních údajů (např. ztráta, odcizení, kopírování);
  3. popis opatření na zmírnění nepříznivých účinků způsobených incidentem ohledně ochrany osobních údajů,
  4. popis všech pravděpodobných následků a potenciálních rizik, které může incident ohledně ochrany osobních údajů způsobit dotčené osobě;
  5. popis navrhovaných nebo přijatých opatření souvisejících se zpracováním osobních údajů, které schválil Zpracovatel osobních údajů nebo jeho Subdodavatel;
  6. popis jakýchkoliv dalších informací, které mohou být důležité pro incident ohledně ochrany osobních údajů nebo na jeho zmírnění, zejména informace, které Správce osobních údajů předtím označil za relevantní informace.

     XII. OSTATNÍ OZNÁMENÍ

XII.1. Zpracovatel osobních údajů je povinen:

  1. bez neodůvodněného opoždění, písemně informovat Správce osobních údajů o jakýchkoliv plánovaných změnách Služeb poskytovaných Správcem osobních údajů, z organizačního a finančního hlediska, také o změnách týkajících se Zpracovatele osobních údajů a jejich Subdodavatelů, které mohou nepříznivě ovlivnit schopnost nebo ochotu zpracovatele osobních údajů a jeho Subdodavatelů k tomu, aby spravování osobních údajů vykonali podle očekávání Správce osobních údajů nebo podle Dohody o zpracování osobních údajů;
  2. do 5 (pět) kalendářních dnů písemně informovat Správce osobních údajů pokud (i) od některé dotčené strany dostane žádost o nahlédnutí do svých osobních údajů; nebo (ii) pokud Správce osobních údajů a/nebo jeho klient uplatní nároky týkající se povinností vyplývajících z platných právních předpisů o ochraně údajů. Zpracovatel osobních údajů nemůže přijmout žádná rozhodnutí nebo opatření, která mohou nepříznivě ovlivnit obhajobu nebo vyřešení takové námitky a je povinen Správci osobních údajů poskytnout každou logickou pomoc, kterou ten může v případě takové námitky potřebovat;
  3. bez neodůvodněného opoždění informovat Správce osobních údajů, pokud některá instituce na ochranu osobních údajů vyzve Zpracovatele osobních údajů nebo některého jeho Subdodavatele, aby pro tuto instituci zajistil přístup k osobním údajům. Toto opatření je potřebné vykonat ve smyslu právních předpisů, před vydáním jakýchkoliv osobních údajů.

     XIII. ROZSAH

XIII.1. Tato dohoda o zpracování osobních údajů je platná ode dne podpisu (všemi smluvními stranami) a je platná tak dlouho, dokud Zpracovatel osobních údajů nebo některý z jeho Subdodavatelů zpracuje osobní údaje nebo má k nim přístup (Rozsah).

XIII.2. V případě, že je Zpracovatel osobních údajů vyzvaný k poskytnutí informací o zpracovaných osobních údajích orgány na ochranu osobních údajů nebo Dotčenými osobami, ve smyslu Smlouvy a této Dohody o zpracování osobních údajů, je povinen zajistit zachování mlčenlivosti i po zrušení Smlouvy.

     XIV. PORUŠENÍ SMLOUVY

XVI.1. Jakékoliv nedodržení podmínek stanovených v této Dohodě o zpracování osobních údajů se ze strany Zpracovatele osobních údajů považuje za porušení smlouvy. Zpracovatel osobních údajů je povinen se postarat o co nejrychlejší nápravu porušení smlouvy. Zpracovatel osobních údajů je povinen pravidelně informovat Správce osobních údajů o případném vývoji události a zdokumentovat všechny kroky vedoucí k napravení nedodržení podmínek.

XVI.2. Jakékoliv nedodržení podmínek stanovených v této Dohodě o zpracování osobních údajů může Správce osobních údajů okamžitě nařídit Zpracovateli osobních údajů pozastavení nebo ukončení dalšího zpracování osobních údajů.

XVI.3. Zpracovatel osobních údajů je povinen v plné míře odškodnit a kompenzovat Správce osobních údajů včetně požadavků, zodpovědnosti, nákladů, výdajů a škod, jako i ztrát, které plynou z toho, že Zpracovatel osobních údajů neplní podmínky plynoucí z této Dohody o zpracování osobních údajů a právních předpisů vztahujících se na zpracování osobních údajů.

     XVI. POSKYTNUTÍ POMOCI PRO MIGRACI ÚDAJŮ

XV.1. Zpracovatel osobních údajů je povinen bezplatně poskytnout pomoc v přiměřených mezích Správci osobních údajů a/ nebo některé třetí straně pokud o to požádá na to, aby bylo možné osobní údaje přenést ve standardních formátech.

XVI. POVINNOST SMAZÁNÍ ÚDAJŮ

XVI..1. Je zakázáno uchovávat osobní údaje delší dobu, než byl původní cíl jejich uchovávání. Zpracovatel osobních údajů je povinen dodržovat ustanovení uvedené v článku č.1. ohledně rutinních postupů na pokračování vymazání údajů uvedených v příloze.

XVI..2. Zpracovatel osobních údajů v případě zrušení Smlouvy reálně smaže všechny osobní údaje, pokud Správce osobních údajů nevydá opačný příkaz. Ve smyslu této Dohody o zpracování osobních údajů znamená reálné smazání to, že vymazání osobních údajů probíhá podle takových předpisů, aby osobní údaje nebylo možné žádnými známými technologiemi obnovit.

XVI..3. Zpracovatel osobních údajů je před každým smazáním povinen žádat potvrzení od Správce osobních údajů o tom, že může vymazání vykonat. Pokud toto potvrzení nedostane, Zpracovatel osobních údajů je po uplynutí 30 dnů ode dne ukončení Smlouvy oprávněn osobní údaje vymazat.

XVI..4. Bez výše uvedených omezení je Zpracovatel osobních údajů během doby platnosti Dohody o zpracování osobních údajů povinen kdykoliv reálně vymazat osobní údaje tehdy, pokud ho o to požádá Správce osobních údajů nebo je to uvedeno v příloze č.1.

XVII. PRÁVNÍ VYMEZENÍ A ŘEŠENÍ SPORŮ

Spory, procesy nebo požadavky plynoucí z této Dohody o zpracování osobních údajů nebo s ní související, nezávisle od jejich charakteru, je potřebné vykládat na základě právních předpisů České republiky.

Příloha č. 1. – Pokyny na zpracování osobních údajů

  1. Osobní údaje na zpracování

Zpracované budou údaje následujících dotčených stran:


Zpracované budou následující druhy osobních údajů:


  1. Schválené oblasti

Ohledně zpracování osobních údajů schválené oblasti jsou následující regiony nebo oblasti: Česká republika

     3. Rutinní a jiné pracovní procesy zajišťující smazání údajů

Zpracovatel osobních údajů na pokyn Správce osobních údajů koná při smazání údajů podle jeho pokynů. Zpracovatel osobních údajů během plnění podmínek smlouvy je povinen ze svých systémů smazat ním poznané osobní údaje, nemůže v nich vykonat žádné zpracovatelské úkony bez vysloveného příkazu Správce osobních údajů.

Příloha č. 2. – Minimální bezpečnostní opatření
    1. Správce osobních údajů si vyhrazuje právo, aby vykonával audity, testy a kontroly související s bezpečností, k čemu je Zpracovatel osobních údajů povinen poskytnout odůvodněnou pomoc a dokumentaci potřebnou k vykonání auditu.
    2. Správce osobních údajů je povinen nejméně dva týdny předem informovat Zpracovatele osobních údajů o tomto bezpečnostním auditu, testování, kontrole, s výjimkou, pokud by to nepříznivě ovlivnilo cíl nebo průběh daného bezpečnostního auditu, testování a/nebo kontroly. Kromě toho je potřebné zajistit včasné informování minimálně 24 hodin před vykonáním tohoto auditu.
    1. Zpracovatel osobních údajů je povinen vytvořit inventář o zpracování osobních údajů ve smyslu této Dohody o zpracování osobních údajů, o všech aplikacích a systémech, vést jejich evidenci a minimálně čtvrtročně je aktualizovat.
    2. Zpracovatel osobních údajů na výzvu Správce osobních údajů v případě jeho včasného oznámení je povinen ve smyslu této Dohody o zpracování osobních údajů poskytnout inventář o všech používaných aplikacích a systémech na zpracování osobních údajů.
    1. Zpracovatel osobních údajů je povinen během procesu selektování zajistit, že zaměstnanci pracující s osobními údaji, kterými disponuje Správce osobních údajů:
    2. Jsou skutečně osoby, za které se vydávají, tedy při jejich přijmutí je třeba vykonat identifikaci jejich osoby;
    3. Disponují patřičným vzděláním potřebným k výkonu svého povolání, mají vhodné morální zázemí a jsou bezúhonní, a proto je třeba od nich vyžádat výpis z registru trestů nebo reference.
    4. Zpracovatel osobních údajů je zodpovědný za své zaměstnance a za jejich chování. Zpracovatel osobních údajů je povinen uzavřít s každým svým zaměstnancem závaznou smlouvu, ve které stanoví jejich povinnosti vůči Zpracovateli osobních údajů, včetně služební mlčenlivosti a také dodržování IT a bezpečnostních předpisů.
    5. Zpracovatel osobních údajů je povinen zajistit, aby zaměstnanci, kteří mají uzavřené smlouvy se Zpracovatelem osobních údajů, a kteří poruší jakékoliv podmínky nebo jakékoliv povinnosti vůči Zpracovateli osobních údajů – pokud Zpracovatel osobních údajů nekvalifikuje tato porušení za méně závažná, úmyslná a jsou bez následků – měli zakázána všechna přístupová práva k osobním údajům spravovaným Zpracovatelem osobních údajů, aby měli s okamžitou platností odebraná všechna fyzická a logická přístupová práva ke všem informacím nebo funkcím, které jsou nějakým způsobem důležité ve smyslu této Dohody o zpracování osobních údajů.
    1. Zpracovatel osobních údajů je pro zachování ochrany osobních údajů povinen disponovat zdokumentovanými ustanoveními realizovanými v praxi, které je na výzvu Správce osobních údajů povinen dokladovat.
    2. Pro zachování a ochranu osobních údajů všechna místa, kde vykonává Zpracovatel osobních údajů úkoly pro Správce osobních údajů, které mají potenciální vliv na osobní údaje Správce osobních údajů, je povinen zajistit v souladu s fyzickou bezpečností nebo s pravidly.
    3. Zpracovatel osobních údajů je povinen zajistit, aby bezpečnostní pravidla Zpracovatele osobních údajů byla dodržena ve všech oblastech, kde Zpracovatel osobních údajů vykonává činnosti pro Správce osobních údajů tak, aby takto dosažená fyzická bezpečnost odpovídala uvedeným požadavkům o vlastní fyzické bezpečnosti Správce osobních údajů.
    4. Konkrétně: všechny kancelářské prostory, kde Zpracovatel osobních údajů vykonává pro Správce osobních údajů činnosti, je potřebné zajistit tak, aby zodpovídali vlastním bezpečnostním podmínkám Správce osobních údajů. Dále všechny servery, nosiče, routery nebo switch a jiné systémové a IT zařízení, přes které se osobní údaje Správce osobních údajů skladují nebo zpracovávají, a podle svého cíle si nevyžadují pravidelné použivatelské užívání, je potřebné umístit v zajištěných institucích, které zodpovídají uvedeným požadavkům o vlastní fyzické bezpečnosti Správce osobních údajů.
    1. Před uzavřením této dohody o ochraně osobních údajů je Zpracovatel osobních údajů povinen vytvořit vhodná a aktuální bezpečnostní opatření a udržet během celé doby trvání Smlouvy o poskytování služeb a zachovat všechny koncové zařízení, servery, sítě, digitální nosiče a mobilní zařízení, které používá za cílem služeb poskytovaných Správcem osobních údajů.
    2. Konkrétně Zpracovatel osobních údajů je povinen:
    3. Nainstalovat ochranu (anti-malware) proti škodlivým hostitelským programům na všechny koncové zařízení, na kterých je program proti škodlivým hostitelským programům relevantní, včetně pravidelného obnovování mechanismu anti-malware softwéru;
    4. nainstalujte hostitelské řešení firewall pro všechna používaná koncová zařízení;
    5. systematicky posilovat své systémy, aby minimalizoval prostor pro útoky;
    6. uplatňovat mechanismy na bezpečnostní centrální zálohování relevantních údajů ze všech node-počítačů a za účelem bezpečnostního zálohování všech centrálních úložišť;
    7. Údaje je povinen chránit i na nepoužívaných a ztracených zařízeních, v daném případě, podle potřeby použitím šifrovacích technologií.
    1. Při přidělování úkolů souvisejících se zpracováním osobních údajů Správce osobních údajů se musí prosazovat přísné oddělení povinností.
    2. Přístupová práva, privilegia a činnosti zpracující, rozdělující nebo kontrolující osoba, která pracuje v některých systémech a mechanismech zpracovatele (z technického nebo manažerského hlediska) zodpovědnost vůči okruhu povinností a osobám musí probíhat tak, aby žádná osoba neměla možnost zacházet s vlastními přístupovými právy, privilegiemi, aby neměla vliv na jejich přidělení nebo kontrolu, kromě toho je potřebné i v samotném systému vykonat potřebné kontroly a omezení, které brání jeho náhodným nebo úmyslným výskytům. V zájmu minimalizování přístupu k údajům Správce osobních údajů je potřebné uplatnit minimální přístup a oprávněnost.
    1. Postup přístupu a zpracování Zpracovatele osobních údajů musí zodpovídat následujícímu:
    2. Pouze omezený počet vedoucích pracovníků může dostat příležitost na zajištění přístupu systémů, ve kterých se zpracovávají osobní údaje Správce osobních údajů (dále jen: autorizátor).
    3. Správce osobních údajů může podle potřeby kdykoliv nahlédnout do seznamu autorizátorů.
    4. Zpracovatel osobních údajů je povinen vytvořit postupy pro vstupní údaje, které se už nepovažují za bezpečné (hesla, atd.) pro jejich okamžité, non stop (7/24) nahlášení a zablokování.
  1. Zpracovatel osobních údajů je povinen bezodkladně vykonat všechny logické kroky a zavést všechny přiměřené kroky, aby minimalizoval negativní vlivy způsobené incidentem v oblasti ochrany osobních údajů. Zpracovatel osobních údajů je povinen bezodkladně oznámit Správci osobních údajů všechny informace, které mohou ovlivnit schopnost Zpracovatele osobních údajů minimalizovat všechny možné negativní vlivy vyplývající z incidentu v oblasti ochrany osobních údajů při ochraně osobních údajů dozorovaných Správcem osobních údajů.