Tento DODATEK SMLOUVY O ZPRACOVÁNÍ DAT KONCOVÝM UŽIVATELEM (dále jen "Dodatek") je začleněn do Podmínek sdílení informací a připojen k Licenční smlouvě a Profilu a objednávkovému formuláři (společně dále jen "EULSA") mezi společností InterSystems (dále jen "InterSystems") a koncovým uživatelem (dále jen "koncový uživatel"), jak je uvedeno v EULSA. Společnost InterSystems a koncový uživatel jsou stranami tohoto dodatku (každý zvlášť "strana", společně "strany"). Na základě vzájemných závazků a slibů obsažených v tomto dodatku a dalších dobrých a cenných protiplnění, jejichž přijetí a dostatečnost strany tímto potvrzují, se strany dohodly takto:
Všechny pojmy s velkým počátečním písmenem použité v tomto dodatku a nedefinované jinde v tomto dodatku nebo v EULSA mají stejný význam jako tyto pojmy použité nebo definované v GDPR, jak je definováno níže. Podmínky tohoto Dodatku nahrazují veškeré protichůdné podmínky EULSA a jakékoli jiné podmínky týkající se ochrany údajů nebo zpracování informací.
Strany uznávají, že služby poskytované společností InterSystems podle EULSA nemají vést k tomu, že by společnost InterSystems vytvářela, přijímala, uchovávala, předávala, používala, zveřejňovala nebo jinak zpracovávala osobní údaje týkající se subjektu údajů v provozním kontextu, který představuje údaje koncového uživatele, jak je definován níže; protože však koncový uživatel může být za určitých okolností povinen dodržovat GDPR, jak je definováno níže, požaduje koncový uživatel, aby jeho poskytovatelé služeb, kteří mohou přijít do styku s údaji koncového uživatele, uzavřeli s koncovým uživatelem smlouvu o zpracování údajů, a společnost InterSystems je ochotna takovou smlouvu uzavřít v nepravděpodobném případě, že společnost InterSystems bude údaje koncového uživatele zpracovávat, aniž by připustila, že společnost InterSystems je obecně zpracovatelem koncového uživatele. Pokud jde o ostatní osobní údaje zpracovávané společností InterSystems, které nejsou údaji koncového uživatele ("údaje InterSystems"), strany se dohodly, že správcem údajů je společnost InterSystems a že strany nejsou společnými správci údajů InterSystems.
- Definice.
1.1. V tomto dodatku mají výrazy "osobní údaje", "správce", "zpracovatel", "zpracování" a "zpracovávat" význam, který jim přiřazuje obecné nařízení o ochraně osobních údajů, nařízení (EU) 2016/679.
1.2. Správce údajů. "Správce údajů" znamená, pokud je v tomto Dodatku použit odkaz na Koncového uživatele, a to i v případě, že je Koncový uživatel Zpracovatelem pro Správce s ohledem na zpracovávané osobní údaje.
1.3. Vlastník dat. "Vlastníkem údajů" se ve vztahu ke každé položce osobních údajů v údajích koncového uživatele rozumí koncový uživatel nebo, pokud je koncový uživatel zpracovatelem pro správce osobních údajů, tento správce.
1.4. Zpracovatel dat. "Zpracovatel údajů" má obecně stejný význam jako Zpracovatel podle GDPR a pokud (1) se InterSystems a Koncový uživatel vzájemně dohodnou, že InterSystems jedná v postavení Zpracovatele údajů Koncového uživatele, jak je definováno ve specifických a individuálních Pravidlech zapojení, a (2) InterSystems jinak nejedná v postavení poskytovatele služeb, dodavatele třetí strany Koncovému uživateli nebo Správce.
1.5. Právní předpisy o ochraně údajů. "Právní předpisy o ochraně údajů" znamenají GDPR a vnitrostátní prováděcí právní předpisy, švýcarský federální zákon o ochraně údajů (ve znění pozdějších předpisů a jejich případných změn), zákon o ochraně údajů Spojeného království (ve znění pozdějších předpisů a jejich případných změn) a zákony o ochraně údajů zemí EHP (ve znění pozdějších předpisů a jejich případných změn).
1.6. Údaje koncového uživatele. "Údaje koncového uživatele" znamenají jakékoli osobní údaje, u nichž koncový uživatel nebo, pokud je koncový uživatel zpracovatelem pro správce, správce výhradně určuje účely a prostředky zpracování těchto osobních údajů a které jsou poskytovány společností InterSystems nebo jejím jménem; za předpokladu, že údaje koncového uživatele nezahrnují žádné osobní údaje definované jako údaje InterSystems výše.
1.7. GDPR. "GDPR" znamená obecné nařízení o ochraně osobních údajů (nařízení (EU) 2016/679)
- Vlastnictví dat.
2.1. Údaje koncového uživatele, které zpracovatel údajů zpracovává jménem správce údajů, zůstávají vždy majetkem vlastníka údajů.
2.2. Pokud některá ze stran z jakéhokoli důvodu ukončí smlouvu EULSA, koncový uživatel rozhodne, zda budou jednotlivé položky údajů koncového uživatele v rozsahu, v jakém je zpracovatel údajů stále uchovává, vráceny koncovému uživateli, nebo vymazány. Veškeré zpracování Zpracovatelem údajů bude ukončeno s výjimkou zpracování vyžadovaného zákonem nebo zpracování, které je nezbytné pro ukončení EULSA.
2.3. Správce údajů může kdykoli požadovat, aby Zpracovatel údajů přestal zpracovávat údaje koncového uživatele a aby údaje koncového uživatele vymazal nebo je vrátil Správci údajů.
2.4. V případě, že Zpracovatel údajů zjistí, že vrácení nebo zničení Údajů koncového uživatele, jak je požadováno v tomto oddíle, je neproveditelné, Zpracovatel údajů rozšíří ochranu podle tohoto Dodatku na tyto Údaje koncového uživatele a omezí další zpracování těchto Údajů koncového uživatele na ty účely, které činí vrácení nebo zničení neproveditelným, a to po dobu, po kterou Zpracovatel údajů tyto Údaje koncového uživatele uchovává. - Povinnosti a činnosti zpracovatele údajů.
3.1. Zpracovatel údajů se zavazuje zpracovávat údaje koncového uživatele za dodržení takových technických a organizačních bezpečnostních opatření, která by v případě, že by zpracovatel údajů byl ve vztahu k těmto údajům správcem, splňovala požadavky článku 32 GDPR, Bezpečnost zpracování, tj. "S přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování, jakož i k různě pravděpodobnému a různě závažnému riziku pro práva a svobody fyzických osob správce a zpracovatel zavedou vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku" a přijmou přiměřené kroky k zajištění dodržování těchto opatření.
3.2. Zpracovatel údajů se zavazuje, že bude zpracovávat údaje koncového uživatele za dodržení takových technických a organizačních opatření, která by v případě, že by zpracovatel údajů byl ve vztahu k těmto údajům správcem, splňovala požadavky článku 32 GDPR, Bezpečnost zpracování. Zpracovatel údajů se zavazuje, že bude tyto údaje koncového uživatele zpracovávat pouze v souladu s pokyny koncového uživatele, které mu koncový uživatel čas od času písemně poskytne.
3.3. Zpracovatel údajů souhlasí s tím, že bude plnit všechny povinnosti uložené článkem 32 GDPR, jako by byl Zpracovatel údajů správcem těchto údajů koncového uživatele.
3.4. Zpracovatel údajů se zavazuje, že zajistí, aby všichni zaměstnanci, zástupci, dodavatelé a další osoby, které mají přístup k údajům koncového uživatele, byli upozorněni na to, že údaje jsou důvěrné a nesmějí být zpřístupněny nikomu, kdo ve vztahu k nim nemá vymahatelnou povinnost mlčenlivosti. Přístup k údajům koncových uživatelů musí mít pouze zaměstnanci apod., kteří mají provozní požadavek a jsou k tomu oprávněni (z hlediska logických, fyzických nebo jiných bezpečnostních opatření).
3.5. Přístup k údajům koncových uživatelů musí mít pouze zaměstnanci, kteří mají provozní požadavek. Pokud by chtěl Zpracovatel údajů uzavřít subdodavatelskou smlouvu na zpracování údajů koncového uživatele, musí jakémukoli subdodavateli uložit stejné smluvní povinnosti týkající se ochrany a zabezpečení údajů, jaké byly stanoveny v tomto dodatku.
3.6. Zpracovatel údajů souhlasí s tím, že bude správce údajů neprodleně informovat o jakémkoli narušení bezpečnosti týkajícím se údajů koncového uživatele v rámci své vlastní organizace nebo organizace jakéhokoli subdodavatele.
3.7. Zpracovatel údajů se zavazuje zajistit, aby všichni zaměstnanci, kteří se podílejí na zpracování údajů koncového uživatele, absolvovali příslušné školení o postupech ochrany údajů, identifikovat a uchovávat záznamy o školení, které tito zaměstnanci absolvovali, a o obsahu všech kurzů. Zpracovatel údajů zajistí, aby k údajům koncového uživatele neměli přístup žádní další zástupci nebo zaměstnanci zpracovatele údajů.
3.8. Data Processor agrees that the Controller’s Data shall not be transferred to a country or territory out with the European Economic Area without written approval of the End User unless (1) that country or territory ensures an adequate level of protection for the rights and freedoms of the data subjects in relation to the processing of personal data as determined by the appropriate data protection authority; (2) without any implied breach of this provision, where the Data Processor has entered into Standard Contractual Clauses, as approved by the European Commission, with regard to such transfer; or (3) the Data Processor has obligated itself to Binding Corporate Rules as approved or accepted by a relevant data protection authority; provided that End User may restrict such transfers under a specific and individual Rules of Engagement so long as the End User agrees that InterSystems shall not be in breach of its obligations under the EULSA, if InterSystems determines such transfer is necessary to provide the r
- Povinnosti koncového uživatele.
4.1. Koncový uživatel poskytne společnosti InterSystems údaje o koncovém uživateli pouze tehdy, pokud je to nezbytně nutné pro účely EULSA a v plném souladu s právními předpisy o ochraně údajů, a zavazuje se poskytnout pouze nezbytné minimum osobních údajů relevantních pro poskytovanou službu nebo podporu.
4.2. Koncový uživatel nesmí žádat ani požadovat, aby Zpracovatel údajů zpracovával údaje Koncového uživatele způsobem, kterým by Koncový uživatel nemohl postupovat jako Správce nebo Zpracovatel pro Správce; pokud se InterSystems domnívá, že některý z pokynů Koncového uživatele porušuje právní předpisy o ochraně údajů, neprodleně o tom písemně informuje Koncového uživatele a poskytne mu dostatečné informace k popisu námitky. Pokud koncový uživatel souhlasí se zjištěním společnosti InterSystems, že pokyny koncového uživatele porušují právní předpisy o ochraně údajů, pak koncový uživatel tuto skutečnost oznámí společnosti InterSystems a společnost InterSystems není povinna tento pokyn splnit a ani nebude považována za porušitele EULSA v případě, že takový pokyn nesplní. Pokud koncový uživatel nesouhlasí s tím, že společnost InterSystems zjistí, že pokyny koncového uživatele porušují právní předpisy o ochraně údajů, pak koncový uživatel poskytne písemné vysvětlení, proč je takový pokyn v souladu s právními předpisy o ochraně údajů, a společnost InterSystems se může při provádění pokynu koncového uživatele na takové vysvětlení spolehnout.
4.3. Koncový uživatel prohlašuje a zaručuje, že on (nebo v případě, že je Koncový uživatel Zpracovatelem údajů, příslušný Vlastník údajů) může Zpracovávat údaje Koncového uživatele způsobem, jakým je Zpracovatel údajů oprávněn zpracovávat osobní údaje podle tohoto Dodatku.
4.4. Koncový uživatel je odpovědný za to, že bude vždy používat administrativní, fyzická a technická ochranná opatření, aby zachoval a zajistil důvěrnost, soukromí a bezpečnost údajů koncového uživatele předávaných zpracovateli údajů v souladu se standardy a požadavky právních předpisů o ochraně údajů, a to až do okamžiku, kdy tyto údaje koncového uživatele obdrží zpracovatel údajů.
4.5. Zpracovatel údajů je povinen zajistit, aby údaje koncového uživatele byly vždy předány zpracovateli údajů. Koncový uživatel je povinen získat jakýkoli souhlas nebo oprávnění, které mohou být vyžadovány podle platných právních předpisů, aby Zpracovatel údajů mohl poskytovat své služby podle EULSA
- Různé.
5.1. Odkazy. Odkazem na znění GDPR v tomto dodatku se rozumí znění platné nebo změněné k příslušnému datu splnění požadavků.
5.2. Změny tohoto dodatku. Koncový uživatel souhlasí s tím, že společnost InterSystems může v dobré víře změnit tento dodatek nebo EULSA, pokud je to nezbytné pro dosažení souladu s jakýmikoli změnami v právních předpisech o ochraně údajů.
5.3. Přežití. Příslušná práva a povinnosti Zpracovatele údajů a Správce údajů zůstávají v platnosti i po ukončení smlouvy, dokud Zpracovatel údajů nebo Správce údajů zpracovává údaje koncového uživatele podle tohoto Dodatku nebo EULSA.
5.4. Výklad. Jakékoli nejasnosti v tomto dodatku se řeší tak, aby strany mohly dodržovat právní předpisy o ochraně údajů
- Práva a povinnosti vyplývající z tohoto dodatku doplňují a nenahrazují práva a povinnosti vyplývající mezi stranami z jakékoli jiné smlouvy nebo z obecného práva
- V případě porušení nebo domnělého porušení povinnosti mlčenlivosti ze strany jakékoli osoby, kterou má tato osoba vůči kterékoli smluvní straně v souvislosti s údaji koncového uživatele, k nimž tato osoba má nebo měla přístup v důsledku tohoto dodatku, se smluvní strana, které je tato povinnost uložena, zavazuje vynaložit veškeré úsilí k vymáhání dané povinnosti