Skip to Content
Go back
BAS-IP / DODATEK O ZPRACOVÁNÍ ÚDAJŮ

Poslední aktualizace: [10.12.2025]

Tento dodatek k zpracování dat (dále jen ‚DPA‚) je uzavřen mezi vámi (dále jen ‚Klient‚, ‚vy‚, ‚vaš‘) a společností BAS-IP DISTRIBUTION LTD (dále jen ‚Společnost‚, ‚BAS-IP‚, ‚my‚, ‚my‚ nebo ‚naše‚), dále pouze jednotlivě jako ‚Strana‚ nebo společně jako ‚Večírky. Tato DPA doplňuje Podmínky a ustanovení (dále jen ‚Dohoda‚), uzavřené mezi stranami.

Tato DPA upravuje zpracování osobních údajů, které klient poskytuje BAS-IP v souvislosti s používáním produktů a služeb BAS-IP (společně s ‚Službami‘), stejně jako jakýchkoli osobních údajů, které BAS-IP získá během poskytování služeb pro klienta.

Pokud není v této DPA definováno jinak, všechny velkými písmeny použité v této DPA budou mít významy uvedené v dohodě. Tato DPA zůstává v platnosti až do ukončení dohody mezi vámi a námi, která upravuje vaše využívání služeb. V případě jakéhokoli konfliktu mezi touto DPA a Dohodou mají přednost ustanovení této DPA ve vztahu ke zpracování osobních údajů.

1. Definice

Pro účely této DPA se uplatňují následující definice:

Klientská data“ znamenají jakákoli osobní data, která klient nahrává, přenáší nebo jinak poskytuje BAS-IP v souvislosti se službami, stejně jako jakákoli osobní data, která BAS-IP zpracovává během poskytování služeb.

Zákony o ochraně osobních údajů“ znamenají všechny platné zákony a předpisy týkající se zpracování údajů klientů, včetně těch Evropské unie, Evropského hospodářského prostoru a jeho členských států, Spojeného království, například:

  • Obecné nařízení EU o ochraně osobních údajů (EU GDPR);
  • britské Obecné nařízení o ochraně osobních údajů (UK GDPR);
  • zákon o ochraně osobních údajů z roku 2018;
  • zákon Data (Use and Access) Act 2025 (DUAA);
  • jakékoli další platné zákony a předpisy o ochraně osobních údajů, v rozsahu vztahujícím se na strany a na zpracovatelské činnosti podle této DPA – jakékoli další platné zákony a předpisy.

Mechanismus přenosu dat“ znamená jakýkoli právně uznávaný mechanismus, nástroj nebo rámec, který umožňuje přenos klientských dat z jedné jurisdikce do druhé v souladu s platnými zákony o ochraně osobních údajů, včetně, mimo jiné, standardních smluvních doložek EU a britského dodatku.

Soudní rady EU“ znamená standardní smluvní klauzule EU pro převod klientských dat třetím zemím podle nařízení (EU) 2016/679 Evropského parlamentu a Rady schválených prováděcím rozhodnutím Evropské komise (EU) 2021/914 ze dne 4. června 2021, jak je aktuálně stanoveno na https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Obecné nařízení o ochraně osobních údajů (GDPR)“ znamená nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu těchto údajů a rušení směrnice 95/46/ES.

Mezinárodní přenos dat“ znamená jakýkoli přenos klientských dat ze země, kde jsou data shromažďována, do země mimo tuto jurisdikci, kde příslušné zákony o ochraně osobních údajů vyžadují vhodná opatření pro takový přenos.

Veřejný orgán“ znamená vládní agenturu nebo orgán činný v trestním řízení, včetně soudních orgánů.

Citlivá klientská data“ znamenají údaje o klientech odhalující rasový nebo etnický původ, politické názory, náboženské či filozofické přesvědčení, členství v odborech, genetická data nebo biometrická data za účelem jedinečné identifikace fyzické osoby, údaje týkající se zdraví, sexuálního života či sexuální orientace dané osoby, nebo údaje týkající se trestních odsouzení a trestných činů.

Služby“ znamenají služby poskytované společností klientovi.

Dozorčí orgán“ znamená nezávislý veřejný orgán odpovědný za monitorování uplatňování legislativy o ochraně osobních údajů.

Technická a organizační bezpečnostní opatření“ znamenají opatření zaměřená na ochranu osobních údajů před neúmyslným zničením nebo neúmyslnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos dat přes síť, a proti všem ostatním nezákonným formám zpracování.

UK GDPR“ znamená zachovanou verzi Obecného nařízení EU o ochraně osobních údajů, protože je součástí britského práva, spolu s jakýmikoli změnami provedenými zákonem o ochraně osobních údajů z roku 2018 a dalšími platnými britskými zákony upravujícími zpracování osobních údajů.

Dodatek Spojeného království“ znamená dodatek k mezinárodnímu přenosu dat ke standardním smluvním doložkám EU, který vydal Komisař pro informace pro strany provádějící omezené převody ve smyslu britských zákonů o ochraně osobních údajů, jak je aktuálně stanoveno v https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

Controller„, „processor„, „sub-processor„, „subjekt datových údajů„, „osobní údaje“ a „zpracování“ mají významy uvedené v zákonech o ochraně osobních údajů.

2. Role a odpovědnosti

Pokud BAS-IP zpracovává data klientů vaším jménem v souvislosti se službami, potvrzujete a souhlasíte, že pokud jde o zpracování dat klientů, jste správcem nebo zpracovatelem a my jsme zpracovatel nebo podprocesor (jak je definováno zákony o ochraně osobních údajů) jednající vaším jménem. Popis takového zpracování je uveden v příloze 1 této DPA. Toto DPA se vztahuje na zavedené role a neplatí pro situace, kdy jednáme jako správci v souladu s Zásadami ochrany osobních údajů BAS-IP.

Pokud je klient zpracovatelem, klient zaručuje BAS-IP, že pokyny a kroky klienta týkající se osobních údajů, včetně jmenování BAS-IP jako podprocesora a tam, kde je to relevantní, uzavření EU SCC nebo jakýchkoli jiných dodatků podle oddílu 9 této DPA (včetně případů, kdy mohou být změněny v oddílu 9 níže), byly (a budou,  po dobu trvání této DPA zůstávají autorizovány příslušným třetím stranovým kontrolorem.

3. Pokyny

Strany se shodují, že tato DPA a příslušná Smlouva představují kompletní a konečné dokumentované pokyny klienta týkající se zpracování klientských údajů (dále jen ‚Pokyny‚), kde klient jedná jako controller nebo zpracovatel a BAS-IP působí jako zpracovatel nebo podprocesor podle zákonů o ochraně osobních údajů.

Jakékoli další nebo alternativní pokyny musí být stranami písemně schváleny a musí být v souladu s touto DPA a Dohodou.

4. Popis zpracování

Zpracování klientských dat jménem klienta v souvislosti se službami je popsáno v příloze 1 této DPA. Vyhrazujeme si právo čas od času aktualizovat popis zpracování, aby odrážel novou funkcionalitu, která je součástí služeb.

5. Povinnosti klienta

5.1. Povinnosti kontrolora

V rámci DPA, když klient jedná jako controller, je klient odpovědný za dodržování všech požadavků, které se na klienta jako controllera vztahují podle zákonů o ochraně osobních údajů.

Při jednání jako kontrolor musíte:

(a) udržovat přesnost, kvalitu, důvěrnost a bezpečnost klientských dat;

(b) dodržovat a plnit své povinnosti podle zákonů o ochraně osobních údajů, včetně práv subjektů údajů, bezpečnosti dat a důvěrnosti, a zajistit, abyste měli vhodný právní základ pro zpracování osobních údajů;

(c) poskytovat BAS-IP pouze klientská data, která byla zákonně získána, a zajistit, že tato data jsou dostatečná, relevantní a přiměřená zamýšleným účelům;

(d) zajistit, že vaše pokyny pro BAS-IP týkající se zpracování klientských dat jsou v souladu se zákony o ochraně osobních údajů, včetně principů minimalizace dat, omezení účelu a omezení úložiště.

5.2. Povinnosti zpracovatele

V rámci DPA, když klient jedná jako zpracovatel, je odpovědný za splnění všech požadavků, které se na klienta vztahují jako na zpracovatele podle zákonů o ochraně osobních údajů.

Když jednáte jako Procesor, musíte:

(a) poskytovat BAS-IP pouze instrukce zpracování, které přesně odrážejí zdokumentované pokyny příslušného řadiče;

(b) poskytovat BAS-IP pouze klientská data, která byla zákonně získána od příslušného kontrolora a která jsou dostatečná, relevantní a omezená na to, co je nezbytné pro povolené účely;

(c) udržovat transparentnost vůči příslušnému kontroloru ohledně zapojení BAS-IP a jakýchkoli subprocesorů;

(d) splňovat všechny povinnosti podle platných zákonů o ochraně osobních údajů ve vaší funkci zpracovatele;

(e) zajistí, že váš personál nebo jakákoli třetí strana přistupující ke klientským údajům bude dodržovat tuto DPA a Dohodu.

6. Povinnosti BAS-IP

6.1. Obecné povinnosti

Když BAS-IP funguje jako procesor/subprocesor, musíme:

(a) zpracovávat klientská data podle vašich pokynů a výhradně pro stanovené účely;

(b) vás informovat, pokud podle rozumného názoru BAS-IP:

(i) vaše pokyny porušují nebo mohou porušovat platné zákony o ochraně osobních údajů; nebo

(ii) BAS-IP není schopen splnit vaše pokyny;

(c) zavádět a udržovat vhodná technická a organizační opatření k zajištění důvěrnosti klientských dat;

(d) dodržovat všechny platné zákony o ochraně osobních údajů, včetně povinností týkajících se práv subjektů údajů, bezpečnosti dat a důvěrnosti;

(e) zajistit, prostřednictvím písemných smluv nebo jiných právně závazných prostředků, že jakýkoli podzpracovatel pověřený zpracováním klientských dat jménem BAS-IP je podléhán ekvivalentním povinnostem ochrany osobních údajů, jak je stanoveno v této DPA a Dohodě;

(f) vést přesné záznamy o všech zpracovatelských aktivitách prováděných vaším jménem podle této DPA a poskytovat vám tyto záznamy na žádost;

(g) bez zbytečného zdržení vás upozornit, pokud BAS-IP zjistí, že jakákoli klientská data poskytnutá vámi jsou nepřesná, neúplná nebo zastaralá;

(g) uplatňovat vhodná a nezbytná opatření nebo omezení při zpracování citlivých údajů klientů, jak to vyžadují zákony o ochraně osobních údajů nebo pokyny;

(h) poskytnout vám všechny informace rozumně nezbytné k prokázání souladu BAS-IP s jeho povinnostmi podle platných zákonů o ochraně osobních údajů.

6.2. Oznámení klientovi

Po zjištění informací vás budeme informovat o jakékoli právně závazné žádosti veřejného orgánu o zveřejnění údajů klientů, pokud nám zákon jinak nezakazuje informovat klienta například o zachování důvěrnosti vyšetřování veřejným orgánem. Budeme vás informovat, pokud se BAS-IP dozví o jakémkoli oznámení, dotazu nebo vyšetřování ze strany dozorčího orgánu ohledně zpracování klientských dat podle této DPA provedeného mezi vámi a námi.

6.3. Důvěrnost

Nebudeme přistupovat, používat ani zveřejňovat žádná data o klientech žádné třetí straně, kromě případů nepotřebných k udržení nebo poskytování služeb nebo k dodržení smluvních a právních závazků či závazného příkazu veřejného subjektu (například předvolání nebo soudní příkaz).

Zajistíme, že každý zaměstnanec/dodavatel, kterému zmocníme přístup k Klientským údajům naším jménem, bude podléhat odpovídajícím důvěrnostem, smluvním nebo zákonným povinnostem ve vztahu ke Klientským datům.

6.4. Bezpečnostní opatření

Budeme zavádět a udržovat vhodná technická a organizační opatření k ochraně klientských dat před jakýmikoli úniky dat, jako je skutečné nebo podezřelé náhodné či nezákonné zničení, ztráta, změna, neoprávněné zveřejnění nebo přístup ke klientským datům přenášeným, uloženým nebo jinak zpracovaným (dále jen „bezpečnostní incidenty„) v souladu s našimi bezpečnostními standardy uvedenými v příloze 2 této DPA.

Uznáváte, že bezpečnostní opatření podléhají technickému pokroku, takže můžeme podle našeho uvážení upravovat nebo aktualizovat Přílohu 2 této DPA, za předpokladu, že taková úprava nebo aktualizace nezpůsobí podstatné zhoršení bezpečnostních opatření nabízených Přílohou 2 této DPA.

6.5. Bezpečnostní incident

Po zjištění bezpečnostního incidentu budeme:

  • informovat vás bez zbytečného zdržení poté, co se dozvíme, že se o bezpečnostním incidentu dozvíme;
  • poskytovat včasné informace týkající se bezpečnostního incidentu (typ osobních údajů, kategorie a potenciální počet dotčených osob nebo záznamů), jakmile se to stane známým nebo jak je to oprávněně vyžadováno vámi; a
  • Neprodleně podnikněte rozumná opatření k omezení a vyšetření jakéhokoli bezpečnostního incidentu, abyste mohli informovat příslušné orgány a/nebo dotčené subjekty o bezpečnostním incidentu.

Naše oznámení nebo reakce na bezpečnostní incident nesmí být vykládáno jako uznání jakékoli viny nebo odpovědnosti týkající se bezpečnostního incidentu.

6.6. Vrácení nebo smazání klientských dat

Po ukončení nebo vypršení smlouvy uzavřené mezi vámi a námi smažeme nebo vrátíme veškerá klientská data, která máme v držení nebo pod kontrolou. Tento požadavek se nevztahuje v rozsahu, v jakém nám příslušný zákon nebo příslušné smluvní povinnosti ukládají uchovávat některé nebo všechny údaje o klientech.

6.7. Přiměřená pomoc

Souhlasíme s poskytnutím přiměřené pomoci klientovi v ohledu:

(a) jakýkoli požadavek od subjektu údajů týkající se přístupu k nebo opravě, vymazání, omezení, přenosnosti, blokování nebo mazání klientských dat, které zpracováváme jménem klienta. V případě, že nám subjekt údajů pošle takovou žádost přímo, platí oddíl 7 této DPA;

(b) vyšetřování bezpečnostních incidentů a sdělování potřebných oznámení týkajících se těchto bezpečnostních incidentů, s výhradou oddílu 6.5 této DPA;

(c) přípravu posouzení dopadů na ochranu osobních údajů („DPIA„) a v případě potřeby konzultaci klienta s dozorčím orgánem podle článků 35 a 36 GDPR.

6.8 Audit a certifikace

6.8.1 Audit dozorčích orgánů

Pokud dozorčí orgán vyžaduje audit našich zařízení pro zpracování dat, která používáme ke zpracování klientských dat k ověření nebo monitorování souladu klienta se zákony o ochraně osobních údajů, budeme s auditem spolupracovat. Klient je odpovědný za všechny náklady a poplatky spojené s takovým auditem, včetně všech přiměřených nákladů a poplatků za veškerý čas, který na takový audit věnujeme, kromě sazeb za služby poskytnuté námi.

6.8.2 Audity

Klient může před zahájením zpracování a v pravidelných intervalech následně auditovat technická a organizační opatření, která jsme přijali. Pokud je klient kontrolorem osobních údajů zpracovávaných námi jménem, na základě rozumné a včasné dohody předem, během běžné pracovní doby a bez přerušení našich obchodních operací, můžeme klientovi poskytnout všechny informace nezbytné k prokázání souladu s jeho povinnostmi stanovenými v článku 28 GDPR a umožnit a přispívat k auditům,  včetně inspekcí prováděných klientem nebo jiným auditorem pověřeným klientem ve vztahu k takovému zpracování.

Na písemnou žádost klienta a v přiměřené lhůtě poskytneme klientovi všechny informace nezbytné pro takový audit, pokud jsou tyto informace v naší kontrole a nejsme vyloučeni z jejich zveřejnění platnými zákony, povinností mlčenlivosti nebo jakoukoli jinou povinností vůči třetí straně.

7. Žádosti o subjekty osobních údajů

V případě, že nás osoba kontaktuje ohledně výkonu svých práv podle zákonů o ochraně osobních údajů (zejména žádostí o přístup, opravu nebo smazání údajů klientů), vynaložíme veškeré rozumné úsilí, abychom takové žádosti předali vám. Pokud jsme zákonně povinni na takovou žádost reagovat, ihned vás o tom informujeme a poskytneme vám kopii žádosti, pokud nám to zákon nezakazuje.

8. Subprocesory

BAS-IP má obecné písemné povolení od klienta pro zapojení subprocesorů z dohodnutého seznamu. BAS-IP souhlasí, že klienta informuje o jakýchkoli zamýšlených změnách v tomto seznamu týkajících se přidání nebo výměny subprocesorů nejméně 10 dní před zapojením daného podprocesoru, čímž klientovi dává možnost vznést námitku proti takovým změnám. BAS-IP poskytne klientovi informace nezbytné k tomu, aby mohl uplatnit právo na námitku.

Pokud se vztahuje oddíl 9 tohoto DPA, postup zapojení podzprostředkovatelů se řídí příslušnými ustanoveními článku 9 této DPA. V takovém případě mají přednost ustanovení § 9.

Dohodnutý seznam podprocesorů je uveden v příloze 3 této DPA.

9. Přenosy klientských dat

9.1. Obecné

Uznáváte a souhlasíte, že používání služeb BAS-IP může zahrnovat přenos klientských dat do jiných jurisdikcí, v souladu s platnými zákony o ochraně osobních údajů.

Pokud takové převody vyžadují odpovídající ochranná opatření, použijí příslušné mechanismy přenosu dat, jako jsou EU SCC a britský dodatek. Tyto mechanismy přenosu dat jsou začleněny do této DPA a tvoří její nedílnou součást, jak je dále popsáno v oddílech 9.2. a 9,3.

V případě jakéhokoli konfliktu mezi ustanoveními této DPA a příslušnými mechanismy přenosu dat mají přednost ustanovení příslušného mechanismu přenosu dat pouze do rozsahu takového konfliktu.

9.2. Převody podle GDPR

Pokud zpracování klientských dat vaším jménem v souvislosti se službami představuje „převod“ podle GDPR, platí standardní smluvní ustanovení.

Když jste správce a my jsme zpracovatelé, platí modul dva SCC EU, a když jste zpracovatel a my jsme subprocesor, platí modul tři SCC EU.

Pro účely SCC EU je BAS-IP „Dovozcem dat“ a vy jste „Exportérem dat“.

Příslušná ustanovení obsažená v Nejvyšších soudních radách EU jsou začleněna prostřednictvím odkazu a jsou nedílnou součástí této DPA. Ustanovení a přílohy Nejvyšších soudních komisí EU se považují za vyplněné následovně:

(i) v článku 7 se nevztahuje na dobrovolnou doložku o odpojení;

(ii) v článku 9, možnost 2 (Obecné písemné povolení) se uplatňuje. Pro účely článku 9(a) je lhůta pro informování exportéra dat 10 dní;

(iii) v článku 11 se nevztahuje na volitelnou ustanovení;

(iv) v článku 13 se vztahuje konkrétní možnost v závislosti na konkrétním případě;

(v) v článku 17 se uplatňuje možnost 1. Vrchní komise EU budou řízeny právem Spolkové republiky Německo;

(vi) v odstavci 18(b) spory řeší soudy Spolkové republiky Německo;

(vii) Příloha I Nejvyšších soudních komisí EU je považována za vyplněnou s informacemi uvedenými v příloze 1 této DPA;

(viii) Příloha II Nejvyšších soudních komisí EU je považována za vyplněnou informacemi uvedenými v příloze 2 této DPA.

9.3. Převody podle britského rámce ochrany osobních údajů

Pokud zpracování klientských údajů vaším jménem v souvislosti se službami představuje „omezený převod“ podle britských zákonů o ochraně osobních údajů, platí britský dodatek.

Pokud jste kontrolor a BAS-IP je procesor, platí modul dva z EU SCC, a pokud jste zpracovatel a my jsme subprocesor, platí modul tři EU SCC, jak je vyplněno v odstavci 9.2. této DPA.

Pro účely britského dodatku je BAS-IP „importér“ a vy jste „exportér“.

Příslušná ustanovení obsažená v britském dodatku jsou začleněna na základě odkazu a jsou nedílnou součástí této DPA. Tabulky v britském dodatku se považují za vyplněné následovně:

(i) Tabulka 1 v části 1 je považována za vyplněnou s informacemi uvedenými v příloze 1 této DPA, oficiální registrační číslo dovozce je 328138502 a oficiální registrační číslo exportéra je uvedeno v účtu klienta, pokud existuje;

(ii) Tabulka 2 v části 1 je považována za vyplněnou podle informací uvedených v odstavci 9.2. této DPA;

(iii) Tabulka 3 v části 1 je považována za vyplněnou informacemi uvedenými v přílohách 1, 2 a 3 této DPA;

(iv) v tabulce 4 části 1 nesmí žádná ze stran ukončit tento dodatek podle ustanovení 19 britského dodatku.

PŘÍLOHA 1 – POPIS ZPRACOVÁNÍ

SEZNAM STRAN

Klient (Data Exporter)

Jméno: Vy, ‚klient‘

Adresa: relevantní informace jsou obsaženy v účtu klienta.

Jméno, pozice a kontaktní údaje kontaktní osoby: relevantní informace jsou obsaženy v účtu klienta.

Činnosti relevantní k datům přenášeným podle těchto ustanovení: poskytování služeb.

Podpis a datum: Strany se dohodly, že uzavření dohody vývozcem dat bude považováno za realizaci této DPA jak dovozcem dat, tak vývozcem dat. Datum registrace účtu na platformě se považuje za datum podepsání této DPA.

Role: řadič nebo procesor

BAS-IP DISTRIBUTION LTD (Data Importer)

Název: BAS-IP DISTRIBUTION LTD

Adresa: Crown House 27 Old Gloucester Street, Londýn, Anglie

Jméno, pozice a kontaktní údaje kontaktní osoby: [prosím, vložte jméno, pozici a kontaktní údaje, např. e-mail]

Činnosti relevantní k datům přenášeným podle těchto ustanovení: poskytování služeb.

Podpis a datum: Strany se dohodly, že uzavření dohody vývozcem dat bude považováno za realizaci této DPA jak dovozcem dat, tak vývozcem dat. Datum registrace účtu na platformě se považuje za datum podepsání této DPA.

Role: procesor nebo subprocesor

POPIS PŘEVODU

  1. Kategorie údajů, jejichž osobní údaje jsou přenášeny:
  • Klientův zákazník;
  • další subjekty údajů, jejichž osobní údaje jsou přenášeny během služeb poskytovaných společností klientovi.
  • Kategorie přenášených osobních údajů:
  • osobní údaje týkající se zákazníků klienta;
  • další osobní údaje, které mohou být během služeb poskytovaných společností klientovi převedeny.
  • Přenášená citlivá data (pokud je to relevantní) a aplikovaná omezení nebo ochranná opatření, která plně zohledňují povahu dat a související rizika:

Dovozce dat může získat přístup k citlivým údajům pouze tehdy, pokud jsou tato citlivá data poskytnuta klientem, a pouze v rozsahu nezbytném pro výkon služeb. V takových případech dovozce dat implementuje technická a organizační opatření uvedená v příloze 2 spolu s dalšími vhodnými a nezbytnými zárukami nebo omezeními, přičemž bere v úvahu povahu citlivých dat a rizika spojená s jejich zpracováním, v souladu s platnými zákony a předpisy.

  • Frekvence přenosu:

Osobní údaje jsou předávány průběžně.

  • Povaha zpracování:

Zpracování osobních dat zahrnuje následující: sběr, zaznamenání, organizaci, strukturování, uložení, adaptaci nebo úpravu, vyhledávání, konzultace, zarovnání nebo kombinaci, omezení, vymazání nebo zničení.

  • Účel(y) přenosu dat a dalšího zpracování:

Účelem zpracování dat podle těchto ustanovení je poskytování služeb pro exportéra dat dovozcem podle dohody uzavřené mezi dovozcem dat a vývozcem dat.

  • Období, po které budou osobní údaje uchovávány, nebo pokud to není možné, kritéria použitá k určení této doby:

Osobní údaje budou uchovávány po dobu trvání této dohody o ochraně totožnosti mezi dovozcem dat a vývozcem dat, pokud není písemně dohodnuto jinak nebo pokud dovozce dat není podle platného zákona vyžadován uchovávat některé či všechny převedené osobní údaje.

  • Pro přenosy do (pod)procesorů také specifikujte předmět, povahu a délku zpracování:

Téma: Výkon služeb

Příroda: Sběr, záznam, organizace, strukturování, skladování, adaptace nebo změna, vyhledání, konzultace, zarovnání nebo kombinace, omezení, vymazání nebo zničení.

Délka: výkon služeb pro dovozce dat ze strany (sub)procesora podle smlouvy o službě uzavřené mezi dovozcem dat a (podprocesorem).

PŘÍSLUŠNÝ DOZORČÍ ORGÁN

V souladu s článkem 13 je příslušný dozorčí orgán podle těchto ustanovení určen podle toho, která verze článku 13(a) se vztahuje na exportéra dat.

PŘÍLOHA 2 – TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ PRO ZAJIŠTĚNÍ BEZPEČNOSTI DAT

Popis technických a organizačních opatření zavedených dovozcem dat (importéry) k zajištění odpovídající úrovně bezpečnosti, s ohledem na povahu, rozsah, kontext a účel zpracování a rizika pro práva a svobody fyzických osob:

  • Data Importer se zavazuje zachovávat důvěrnost, integritu, dostupnost a odolnost všech osobních údajů během svých zpracovatelských aktivit a zajistit, že osobní údaje jsou chráněny před ztrátou a zničením prostřednictvím zavádění vhodných interních politik, postupů a dalších vhodných opatření.
  • Data Importer poskytuje přístup k osobním údajům výhradně na základě potřeby vědět a taková data jsou přístupná pouze oprávněným osobám.
  • Data Importer zavedl řízení přístupu a seznamy přístupu založené na rolích, aby vynucoval přísné oddělení přístupových práv uživatelů.
  • Postupy informační bezpečnosti Data Importer podléhají pravidelným přezkumům.
  • Data Importer využívá spolehlivé poskytovatele služeb a monitoruje, jaká technická a organizační opatření mají zavedená, aby zajistil ochranu osobních údajů za všech okolností.
  • Data Importer zavedl opatření navržená k ochraně důvěrnosti a integrity osobních údajů během přenosu dat.
  • Data Importer zavedl technická a organizační opatření navržená k omezení bezpečnostních incidentů a prevenci dalšího ztracení a poškození dat.

PŘÍLOHA 3 – SUBPROCESORY

Regulátor povolil použití následujících subprocesorů:

Subprocesor 1

Název: Hetzner Online GmbH / Hetzner Finland Oy

Adresa: Industriestr. 25, 91710 Gunzenhausen, Německo / Huurrekuja 10, 04360 Tuusula (Helsinky / Tuusula), Finsko

Jméno, pozice a kontaktní údaje osoby: [email protected] 

Popis zpracování: hostování dat na serverech společnosti Hetzner Online GmbH / Hetzner Finland Oy

Subprocesor 2

Název: DigitalOcean, LLC

Adresa: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Spojené státy

Jméno, pozice a kontaktní údaje osoby: [email protected] 

Popis zpracování: hostování dat na serverech společnosti DigitalOcean, LLC