1. Pozadí; Definice

1.1 Pozadí. Toto DPA (včetně příloh a odkazovaných dokumentů) doplňuje a tvoří součást smlouvy mezi DDFU a Zákazníkem, podle níž DDFU provádí určité Služby („Hlavní smlouva“), za předpokladu, že Služby zahrnují Zpracování osobních údajů a na užívání Služeb Zákazníkem se vztahuje legislativa o ochraně údajů.

Toto DPA je doplňkem k povinnostem stran podle legislativy o ochraně údajů a nezbavuje ani nenahrazuje povinnosti žádné ze stran.

Žádné z podmínek Hlavní smlouvy nejsou tímto DPA zrušeny ani změněny; v případě rozporu mezi ustanoveními tohoto DPA a Hlavní smlouvy v souvislosti se Zpracováním osobních údajů se strany dohodly, že ustanovení tohoto DPA mají přednost v rozsahu takového rozporu.

1.2 Definice. V tomto DPA mají následující pojmy níže uvedený význam:

• „Pobočka“ znamená subjekt, který vlastní nebo kontroluje, je vlastněn nebo kontrolován nebo je pod společnou kontrolou nebo vlastnictvím se společností, přičemž kontrola se definuje jako držení přímé nebo nepřímé moci řídit nebo určovat směr řízení a politiky subjektu.
• „Legislativa o ochraně údajů“ znamená (i) GDPR (a zákony členských států Evropského hospodářského prostoru („EHP“) provádějící nebo doplňující GDPR), (ii) britské právo o ochraně údajů a (iii) zákony o ochraně údajů nebo soukromí Švýcarska, v každém případě v rozsahu vztahujícím se na Zpracování osobních údajů podle tohoto DPA a Hlavní smlouvy.
• „GDPR“ znamená nařízení EU o ochraně osobních údajů 2016/679.
• „Služby“ znamenají služby nebo produkty a další činnosti, které mají být poskytnuty Zákazníkovi nebo provedeny DDFU nebo jménem DDFU podle Hlavní smlouvy.
• „Sub-zpracovatel“ znamená jakoukoli třetí stranu (včetně jakékoli pobočky DDFU) jmenovanou DDFU nebo jménem DDFU jako subdodavatele ke Zpracování osobních údajů jménem Zákazníka nebo pobočky Zákazníka v souvislosti s Hlavní smlouvou.

Pojmy „Správce“, „Subjekt údajů“, „Osobní údaje“, „Porušení osobních údajů“, „Zpracování“ a „Zpracovatel“ mají stejný význam jako v příslušné legislativě o ochraně údajů.

2. Povinnosti zpracování údajů

2.1 Správce a Zpracovatel osobních údajů, jmenování Zpracovatele a účel Zpracování.

DDFU bude plnit všechny příslušné požadavky legislativy o ochraně údajů v rozsahu, v jakém ukládá DDFU jako Zpracovateli povinnosti, a očekává, že Zákazník bude rovněž plnit legislativu o ochraně údajů.

Toto DPA se vztahuje v rozsahu, v jakém je Zákazník Správcem a DDFU Zpracovatelem. Vztahuje se rovněž v rozsahu, v jakém je Zákazník Zpracovatelem a DDFU vystupuje jako (sub)Zpracovatel. Je-li Zákazník Zpracovatelem, Zákazník potvrzuje, že jeho pokyny, včetně jmenování DDFU jako Zpracovatele nebo (sub)Zpracovatele, byly schváleny příslušným Správcem.

2.2 Povinnosti DDFU vůči Zákazníkovi.

DDFU bude v souvislosti s jakýmikoli osobními údaji, které bude Zpracovávat podle Hlavní smlouvy a tohoto DPA:

• zpracovávat takové osobní údaje výhradně za účelem poskytování Služeb;
• zpracovávat takové osobní údaje v souladu s dokumentovanými a obchodně přiměřenými pokyny Zákazníka, s výhradou a v souladu s podmínkami Hlavní smlouvy;
• zajistit, aby osoby jím oprávněné ke Zpracování takových osobních údajů přijaly závazek mlčenlivosti nebo byly pod příslušnou zákonnou povinností mlčenlivosti a absolvovaly příslušné školení o svých odpovědnostech; a
• omezit přístup personálu DDFU k osobním údajům podléhajícím Zpracování na to, co je nezbytné pro poskytování Služeb.

Zákazník souhlasí s tím, že Hlavní smlouva (včetně tohoto DPA) představuje jeho úplné dokumentované pokyny pro DDFU pro Zpracování osobních údajů. Dodatečné pokyny, pokud existují, vyžadují předchozí písemnou dohodu mezi stranami.

2.3 Sub-zpracování. Zákazník poskytuje DDFU obecné oprávnění k zapojení Sub-zpracovatelů. Sub-zpracovatelé mohou zahrnovat: (i) globální pobočky DDFU existující od času k času (a jejich dodavatele); a/nebo (ii) jakékoli subdodavatele, které DDFU zapojuje v souvislosti s poskytováním určitých činností Zpracování.

DDFU informuje Zákazníka nejméně 14 dnů před tím, než DDFU jmenuje nového nebo náhradního Sub-zpracovatele, aby Zákazník měl možnost rozumně vznést námitky proti změnám.

2.4 Právo subjektů údajů na informace. Je odpovědností Zákazníka (nebo strany vystupující jako Správce) informovat dotčené subjekty údajů o účelech a právním základu, pro které budou jejich osobní údaje zpracovávány, v okamžiku sběru osobních údajů.

2.5 Výkon práv subjektů údajů. S přihlédnutím k povaze Zpracování DDFU pomůže Zákazníkovi v rozsahu možném a přiměřeném pro splnění povinnosti Zákazníka podle legislativy o ochraně údajů reagovat na žádosti o výkon práv subjektu údajů: přístup, oprava, výmaz a námitka, omezení Zpracování, přenositelnost údajů, nebýt předmětem rozhodnutí založeného výhradně na automatizovaném Zpracování.

2.6 Oznámení o porušení osobních údajů. DDFU neprodleně po zjištění oznámí Zákazníkovi porušení osobních údajů e-mailem na e-mailovou adresu Zákazníka vedenou u DDFU, spolu s jakoukoli nezbytnou dokumentací umožňující Zákazníkovi v případě potřeby oznámit toto porušení subjektu údajů a/nebo příslušnému dozorovému úřadu.

2.7 Pomoc DDFU Zákazníkovi při plnění povinností Zákazníka podle legislativy o ochraně údajů. Na žádost Zákazníka a v rozsahu vyžadovaném legislativou o ochraně údajů DDFU s přihlédnutím k povaze Zpracování a informacím dostupným DDFU poskytne přiměřenou pomoc Zákazníkovi při provádění posouzení dopadu na ochranu údajů nebo v případě potřeby Zákazníka předchozí konzultace s dozorovým úřadem.

2.8 Bezpečnostní opatření. S přihlédnutím ke stavu techniky, nákladům na implementaci a povaze, rozsahu, kontextu a účelům Zpracování i riziku různé pravděpodobnosti a závažnosti pro práva a svobody fyzických osob jsou Zákazník i DDFU odpovědní za implementaci přiměřených technických a organizačních opatření zajišťujících úroveň bezpečnosti odpovídající riziku.

DDFU souhlasí s implementací technických a organizačních opatření v souvislosti se Službami.

Zákazník je odpovědný za implementaci a udržování ochrany soukromí a bezpečnostních opatření pro komponenty, které Zákazník nebo jakákoli pobočka Zákazníka poskytuje nebo kontroluje. Zákazník uplatní zásadu minimalizace údajů a omezí přístup DDFU k systémům nebo osobním údajům pouze na to, co je nezbytné pro výkon Služeb.

2.9 Vrácení nebo zničení údajů. Kde DDFU uložilo osobní údaje jako součást Služeb: na konci Služeb na písemný pokyn Zákazníka může DDFU (i) nabídnout službu vrácení údajů nebo (ii) po přiměřené době uchovávání údajů osobní údaje smazat, pokud příslušný zákon nevyžaduje další uchovávání osobních údajů.

2.10 Pověřenec pro ochranu údajů. DDFU jmenovalo pověřence pro ochranu údajů v souladu s legislativou o ochraně údajů. Lze je kontaktovat e-mailem na legal@ddfu.eu.

2.11 Kontroly a audity. Na písemnou žádost Zákazníka DDFU v rozsahu dostupnosti poskytne kopii nejnovější auditní zprávy Service Organization Control (SOC) a/nebo jiných auditních zpráv třetích stran nebo informace prokázající, že činnosti Zpracování DDFU vztahující se k osobním údajům jsou v souladu s jeho povinnostmi podle tohoto DPA.

Zákazník může požádat o důkazy příslušných politik DDFU a dalších souvisejících dokumentů pro ověření, že DDFU plní své povinnosti podle tohoto DPA.

Zákazník může provést kontrolu v prostorách DDFU buď sám, nebo prostřednictvím nezávislého auditora třetí strany (ne včetně konkurenta DDFU), pokud informace podle oddílů 2.11.2 a 2.11.3 neprokáží soulad DDFU s jeho povinnostmi podle tohoto DPA nebo pokud takovou kontrolu formálně vyžaduje dozorový úřad.

2.12 Informace Zákazníka a související omezení. Pokyny Zákazníka týkající se Zpracování osobních údajů musí být poskytnuty písemně řádně podepsané oprávněným zástupcem Zákazníka. Zákazník je odpovědný za zajištění všech nezbytných souhlasů a oznámení a potvrzuje, že je oprávněn zákonně převést osobní údaje na DDFU.

3. Mezinárodní převody

Osobní údaje mohou být Zpracovávány v EHP, Spojeném království a Švýcarsku (každá „Určená země“) a v zemích mimo Určenou zemi („Jiné země“) DDFU nebo jeho Sub-zpracovateli. Převod do Jiných zemí bude v souladu s legislativou o ochraně údajů (v rozsahu, v jakém se vztahuje).

Strany budou mít zaveden mechanismus převodu v souvislosti s jakýmkoli omezeným převodem. V případě omezeného převodu z EHP, kde jsou osobní údaje převáděny od Zákazníka jako vývozce údajů vystupujícího jako Správce nebo Zpracovatel (podle případu), na DDFU jako dovozce údajů vystupujícího jako Zpracovatel, strany jako součást tohoto DPA splní standardní smluvní doložky EU Správce ke Zpracovateli, kde Zákazník vystupuje jako Správce, a standardní smluvní doložky EU Zpracovatele ke Zpracovateli, kde Zákazník vystupuje jako Zpracovatel.

4. Obecná ustanovení

4.1 Podepsání tohoto DPA. Na žádost Zákazníka DDFU a Zákazník podepíší toto DPA v jednom nebo více vyhotoveních, z nichž každé se považuje za originál a všechna dohromady tvoří jeden a tentýž dokument.

4.2. Strany souhlasí, že s ohledem na období ode dne a po dni účinnosti tohoto DPA mezi stranami toto DPA nahradí a převáží jakýkoli stávající dodatek ke zpracování údajů, přílohu, exhibit nebo standardní smluvní doložky, které Zákazník a DDFU mohly dříve uzavřít v souvislosti se Službami.

5. Pro partnerské smlouvy

Pokud Hlavní smlouva souvisí s dalším prodejem nebo poskytováním Služeb partnerem v rámci partnerského programu DDFU nebo partnerské smlouvy („Partner“), přičemž DDFU vystupuje jako sub-zpracovatel Partnera podle tohoto uspořádání bez přímého smluvního vztahu k přímým a nepřímým zákazníkům Partnera, kteří jsou oprávněni Služby užívat, jako je Koncový uživatel, nebo v případě Partnera, který je MSP, Příjemce (dále „Používající strany“), platí následující ustanovení:

Všechny odkazy na „Zákazníka“ v tomto DPA znamenají Partnera. Partner zajistí implementaci a udržování ochrany soukromí a bezpečnostních opatření pro komponenty, které Partner nebo jakékoli Používající strany (včetně poboček kterékoliv z nich) poskytuje nebo kontroluje.

Kontakt

Pro dotazy k tomuto Dodatku ke zpracování údajů kontaktujte DDFU na legal@ddfu.eu nebo poštou na: DDFU, Jan Skopový, Částkova 689/74, 326 00 Plzeň, Česká republika, EU.