1.11.6
Smlouva o zpracování osobních údajů dle GDPR – s účetní firmou – vzor
JUDr. Dušan Srp
NahoruSMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ S ÚČETNÍ FIRMOU
uzavřená v souladu s Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a dalšími závaznými právními předpisy mezi:
společností:
Obchodní firma: [………………………………………………………………………………………………]
Sídlem: [………………………………………………………………………………………………]
IČO: [………………………………………………………………………………………………]
DIČ: [………………………………………………………………………………………………]
zapsaná v obchodním rejstříku: [……………..………………………………………………………………………]
zastoupená: [………………………………………………………………………………………………]
DPO: [………………………………………………………………………………………………]
(dále jen „Správce”)
a
společností:
Obchodní firma: [………………………………………………………………………………………………]
Sídlem: [………………………………………………………………………………………………]
IČO: [………………………………………………………………………………………………]
DIČ: [………………………………………………………………………………………………]
zapsaná v obchodním rejstříku: [……………..………………………………………………………………………]
zastoupená: [………………………………………………………………………………………………]
DPO: [………………………………………………………………………………………………]
(dále jen „Zpracovatel”)
(Správce a Zpracovatel společně dále jen „Smluvní strany”.)
NahoruPREAMBULE
- Smluvní strany spolu uzavřely dne […………..] obchodní smlouvu o provádění účetních služeb, na jejímž základě Zpracovatel jako externí účetní firma provádí pro Správce jako svého klienta sjednané účetní služby (dále jen „Hlavní smlouva”). Při plnění předmětu Hlavní smlouvy dochází ke zpracování osobních údajů subjektů údajů Zpracovatelem pro Správce.
- Dne 25. května 2018 nabylo účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Obecné nařízení”). Dle čl. 28 Obecného nařízení je Správce povinen, pokud do zpracování zapojí Zpracovatele, se Zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů s obsahem daným dle Obecného nařízení.
- Smluvní strany jsou si vědomy a konstatují, že při výkonu činnosti Zpracovatele dle Hlavní smlouvy dochází ke zpracování osobních údajů (dále jen „Osobní údaje”) fyzických osob Zpracovatelem pro Správce (dále jen „Subjekty údajů”). Smluvní strany konstatují, že při zpracování Osobních údajů dle Hlavní smlouvy vystupuje Správce jako Správce Osobních údajů a Zpracovatel jako Zpracovatel Osobních údajů dle pravidel Obecného nařízení.
- Vzhledem k výše uvedenému uzavírají Smluvní strany tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva”) dle pravidel daných v Obecném nařízení. Tato Smlouva plně nahrazuje mezi Smluvními stranami dosud platné ujednání či smlouvu o zpracování osobních údajů týkající se zpracování Osobních údajů dle Hlavní smlouvy. V případě rozporu mezi ujednáními o ochraně a zpracování osobních údajů v Hlavní smlouvě a v této Smlouvě mají přednost ujednání daná v této Smlouvě.
- Pokud by Zpracovatel porušil tuto Smlouvu tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za Správce.
- Smluvní strany se dohodly, že odměna za zpracování Osobních údajů dle Smlouvy je plně zahrnuta v odměně za plnění poskytovaná dle Hlavní smlouvy. Nárok na odměnu či hrazení nákladů za zpracování dle Smlouvy Zpracovateli v žádném případě nevzniká.
NahoruČl. 1
PŘEDMĚT, ÚČEL A DOBA TRVÁNÍ SMLOUVY
- Tato Smlouva upravuje vztahy mezi Správcem a Zpracovatelem při zpracování Osobních údajů Zpracovatelem dle Hlavní smlouvy. Ve Smlouvě je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ Osobních údajů a kategorie Subjektů údajů, povinnosti a práva Správce a Zpracovatele, další opatření požadovaná dle Obecného nařízení pro smlouvy o zpracování Osobních údajů a dále taková opatření, práva a povinnosti, na kterých se Smluvní strany dohodly.
- Správce pověřuje Zpracovatele zpracováním Osobních údajů poskytnutých Správcem Zpracovateli za účelem a v rozsahu stanovenými v této Smlouvě a z důvodu provedení plnění Zpracovatele dle Hlavní smlouvy. Zpracovatel se zavazuje při zpracování Osobních údajů dodržovat podmínky stanovené touto Smlouvou.
- Tato Smlouva se uzavírá ode dne její účinnosti na dobu trvání Hlavní smlouvy.
- Zpracovatel potvrzuje a zaručuje se, že jakékoli zpracování Osobních údajů dle Smlouvy bude uskutečňováno výlučně na území Evropské unie nebo Evropského hospodářského prostoru. K jakémukoli předání Osobních údajů do třetí země mimo v předchozí větě vymezené území může dojít jen za předpokladu, že jsou splněny podmínky pro předání do třetí země stanovené Obecným nařízením a Zpracovatel Správce o předání do třetí země předem informoval a Správce s ním předem vyslovil písemně svůj souhlas.
NahoruČl. 2
OSOBNÍ ÚDAJE A SUBJEKTY ÚDAJŮ
- Při výkonu činnosti Zpracovatele dle Hlavní smlouvy dochází ke zpracování Osobních údajů Subjektů údajů. Osobními údaji se dle této Smlouvy rozumí:
- -
identifikační údaje (např. jméno, příjmení, RČ, datum narození),
- -
kontaktní údaje (např. adresa, e-mail, telefon),
- -
finanční údaje (např. výše mzdy, odměn),
- -
rodinné (např. údaje o manželovi, partnerovi, dětech),
- -
citlivé (např. zdravotní údaje, biometrické, členství v odborech),
- -
jiné: [….].
- Subjekty údajů se dle této Smlouvy rozumí fyzické osoby:
- -
v pracovněprávním vztahu ke Správci (včetně rodinných příslušníků a osob blízkých),
- -
členové orgánů Správce (včetně rodinných příslušníků a osob blízkých),
- -
dodavatelé a odběratelé Správce,
- -
obchodní partneři Správce,
- -
zástupci (zákonní či smluvní) spolupracujících právnických osob ,
- -
jiné: [….].
NahoruČl. 3
PRÁVA A POVINNOSTI SMLUVNÍCH STRAN
- Správce je odpovědný za to, že s Osobními údaji disponuje v souladu s platnými právními předpisy a na základě a v rozsahu právních důvodů dle Obecného nařízení. Správce provádí oznámení o zpracování osobních údajů Subjektům údajů. Pokud by zpracování bylo založeno na souhlasu Subjektu údajů a Subjekt údajů by souhlas se zpracováním odvolal, Správce informuje Zpracovatele bez odkladu a Zpracovatel ihned po oznámení příslušné Osobní údaje přestane zpracovávat a provede jejich výmaz.
- Zpracovatel užívá Osobní údaje a nakládá s nimi v souladu se Smlouvou a plněním dle Hlavní smlouvy, v souladu s pokyny Správce, a to za účelem stanoveným ve Smlouvě a Hlavní smlouvě.
- Zpracovatel zpracovává Osobní údaje na základě pokynů Správce. Pokyny mohou být uděleny písemně nebo e-mailem. Pokyny udělené ústně musí být doloženy písemně nebo e-mailem, jinak mají jen informativní charakter. Zpracovatel informuje bez odkladu Správce v případě, že podle jeho názoru určitý pokyn porušuje Obecné nařízení nebo jiné právní předpisy; Zpracovatel je oprávněn takovýto pokyn neprovést, přičemž Správce spolu s neprovedením pokynu informuje písemně o rozporu pokynu s Obecním nařízením nebo jinými právními předpisy; Zpracovatel není v tomto případě odpovědný Správci za případně vzniklou újmu.
- Zpracovatel provádí zpracování s Osobními údaji manuálně ve fyzické podobě, elektronicky, i automatizovaně.
- Zpracovatel je povinen zajistit, aby se osoby oprávněné zpracovávat Osobní údaje u Zpracovatele zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
- Zpracovatel je oprávněn zapojit dalšího zpracovatele (dále jen „Další zpracovatel”) jen za předpokladu, že k tomu získal předem písemné svolení Správce a že s Dalším zpracovatelem uzavře písemnou smlouvu, kterou mu uloží stejné povinnosti na ochranu osobních údajů, které jsou dány Zpracovateli dle Smlouvy, zejména zavede vhodná technická a organizační opatření, aby zpracování splňovalo povinnosti dle Obecného nařízení a Smlouvy.
- Zpracovatel je povinen přijmout při zpracování všechna opatření k zabezpečení Osobních údajů, jak je vyžaduje tato Smlouva a Obecné nařízení, a je Správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 Obecného nařízení (tj. při zabezpečení osobních údajů a posouzení vlivu na ochranu osobních údajů a předchozích konzultací), a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
- Zpracovatel je povinen zohlednit povahu zpracování, je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv Subjektu údajů (tj. práva Subjektu údajů při jejich informování a výkonu práv Subjektu údajů, právo Subjektu údajů požadovat od Správce přístup k osobním údajům týkajícím se Subjektu údajů, právo na opravu nebo výmaz údaje, právo na omezení zpracování, právo vznést námitku proti zpracování a právo na přenositelnost údajů a práva Subjektu údajů v rámci automatizovaného individuálního rozhodování). Pokud Subjekt údajů uplatní své výše uvedené právo u Zpracovatele, Zpracovatel bez odkladu předá žádost Subjektu údajů Správci nebo, pokud Zpracovatel sám, dle vhodnosti, vyřídí žádost Subjektu údajů (např. provede opravu údaje), Správce informuje o vyřízení žádosti Subjektu údajů; v pochybnostech při rozhodování o postupu při uplatnění práva Subjektu údajů si Zpracovatel vyžádá pokyn Správce.
- Zpracovatel je povinen v souladu dle rozhodnutí Správce po ukončení poskytování služeb spojených se zpracováním všechny osobní údaje buď vymazat, nebo vrátit Správci, a vymazat existující kopie, pokud právní předpisy nepožadují uložení daných Osobních údajů.
- Zpracovatel je povinen poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny…