Smlouva o zpracování osobních údajů

Tato DPA se uzavírá mezi Správcem a Zpracovatelem a je začleněna do Smlouvy a řídí se jejími podmínkami.

1. Definice

Jakýkoli pojem psaný s velkým počátečním písmenem, který není v této DPA definován, má význam uvedený ve Smlouvě.

2. Účely

2.1. Zpracovatel souhlasil, že bude Správci poskytovat Služby v souladu s podmínkami Smlouvy. Při poskytování Služeb bude Zpracovatel zpracovávat Údaje zákazníka jménem Správce. Údaje zákazníka mohou zahrnovat Osobní údaje. Zpracovatel bude takové Osobní údaje zpracovávat a chránit v souladu s podmínkami této DPA.

3. Rozsah

3.1. Při poskytování Služeb Správci podle podmínek Smlouvy bude Zpracovatel zpracovávat Osobní údaje pouze v rozsahu nezbytném k poskytování Služeb v souladu s podmínkami Smlouvy, této DPA a pokyny Správce zdokumentovanými ve Smlouvě a této DPA, ve znění pozdějších aktualizací.

3.2. Správce a Zpracovatel přijmou opatření, aby jakákoli fyzická osoba jednající z pověření Správce nebo Zpracovatele, která má přístup k Osobním údajům, tyto údaje nezpracovávala jinak než podle pokynů Správce, pokud to není vyžadováno Právními předpisy o ochraně osobních údajů.

4. Povinnosti Zpracovatele

4.1. Zpracovatel smí Osobní údaje shromažďovat, zpracovávat nebo používat pouze v rámci této DPA.

4.2. Zpracovatel potvrzuje, že bude Osobní údaje zpracovávat jménem Správce v souladu se zdokumentovanými pokyny Správce.

4.3. Zpracovatel bude Správce neprodleně informovat, pokud se podle názoru Zpracovatele některý z pokynů Správce týkajících se zpracování Osobních údajů dostává do rozporu s Právními předpisy o ochraně osobních údajů.

4.4. Zpracovatel zajistí, aby všichni zaměstnanci, zástupci, statutární orgány a dodavatelé, kteří se podílejí na nakládání s Osobními údaji: (i) byli seznámeni s důvěrnou povahou Osobních údajů a smluvně zavázáni zachovávat Osobní údaje v tajnosti; (ii) absolvovali odpovídající školení ohledně svých povinností jako zpracovatele; a (iii) byli vázáni podmínkami této DPA.

4.5. Zpracovatel zavede vhodná technická a organizační opatření k ochraně Osobních údajů s ohledem na stav techniky, náklady na zavedení a povahu, rozsah, kontext a účely zpracování, jakož i riziko různé pravděpodobnosti a závažnosti pro práva a svobody fyzických osob.

4.6. Zpracovatel zavede vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku, mimo jiné (podle potřeby): (i) pseudonymizaci a šifrování Osobních údajů; (ii) schopnost trvale zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; (iii) schopnost včas obnovit dostupnost a přístup k Osobním údajům v případě fyzického nebo technického incidentu; (iv) proces pravidelného testování, posuzování a vyhodnocování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování. Při posuzování odpovídající úrovně zabezpečení se zejména zohlední rizika vyplývající ze zpracování, zejména z náhodného nebo protiprávního zničení, ztráty, změny, neoprávněného zpřístupnění či přístupu k Osobním údajům, které jsou přenášeny, ukládány nebo jinak zpracovávány.

4.7. Technická a organizační opatření uvedená v Příloze B budou vždy dodržována jako minimální bezpečnostní standard. Správce bere na vědomí a souhlasí, že technická a organizační opatření podléhají vývoji a přezkumu a že Zpracovatel může použít alternativní vhodná opatření oproti těm, která jsou uvedena v přílohách této DPA, za předpokladu, že tato opatření jsou alespoň rovnocenná technickým a organizačním opatřením uvedeným v Příloze B a odpovídají povinnostem Zpracovatele podle článků 4.5 a 4.6 výše.

4.8. Správce bere na vědomí a souhlasí, že v průběhu poskytování Služeb Správci může být pro Zpracovatele nezbytné přistupovat k Osobním údajům za účelem řešení technických problémů nebo dotazů Správce a pro zajištění řádného fungování Služeb. Jakýkoli takový přístup Zpracovatele bude omezen na tyto účely.

4.9. S ohledem na povahu zpracování a informace dostupné Zpracovateli bude Zpracovatel Správci pomáhat tím, že bude mít nastavena vhodná technická a organizační opatření, v rozsahu, v jakém je to možné, pro splnění povinnosti Správce reagovat na žádosti o uplatnění práv Subjektu údajů a pro plnění povinností Správce v oblasti ochrany osobních údajů ve vztahu ke zpracování Osobních údajů.

4.10. Zpracovatel nesmí: (i) prodávat Osobní údaje; (ii) uchovávat, používat nebo zpřístupňovat Osobní údaje pro jiné obchodní účely než poskytování Služeb podle podmínek Smlouvy; ani (iii) uchovávat, používat nebo zpřístupňovat Osobní údaje mimo rámec podmínek Smlouvy.

5. Povinnosti Správce

5.1. Správce prohlašuje a zaručuje, že: (i) bude dodržovat tuto DPA a své povinnosti podle Právních předpisů o ochraně osobních údajů; (ii) získal veškerá potřebná povolení a souhlasy nezbytné k tomu, aby Zpracovatel, jeho Přidružené společnosti a Subzpracovatelé mohli vykonávat svá práva nebo plnit své povinnosti podle této DPA; a (iii) všechny Přidružené společnosti Správce, které využívají Služby, budou plnit povinnosti Správce uvedené v této DPA.

5.2. Správce zavede vhodná technická a organizační opatření k ochraně Osobních údajů s ohledem na stav techniky, náklady na zavedení a povahu, rozsah, kontext a účely zpracování, jakož i riziko různé pravděpodobnosti a závažnosti pro práva a svobody fyzických osob. Správce zavede vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku, mimo jiné (podle potřeby): (i) pseudonymizaci a šifrování Osobních údajů; (ii) schopnost trvale zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; (iii) schopnost včas obnovit dostupnost a přístup k Osobním údajům v případě fyzického nebo technického incidentu; (iv) proces pravidelného testování, posuzování a vyhodnocování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování. Při posuzování odpovídající úrovně zabezpečení se zejména zohlední rizika vyplývající ze zpracování, zejména z náhodného nebo protiprávního zničení, ztráty, změny, neoprávněného zpřístupnění či přístupu k Osobním údajům, které jsou přenášeny, ukládány nebo jinak zpracovávány.

5.3. Správce bere na vědomí a souhlasí, že některé pokyny Správce, včetně toho, že Zpracovatel bude pomáhat s audity, kontrolami, DPIA nebo poskytovat jakoukoli pomoc podle této DPA, mohou vést k dodatečným poplatkům. V takovém případě Zpracovatel Správci předem oznámí své poplatky za poskytnutí takové pomoci a bude oprávněn Správci účtovat své přiměřené náklady a výdaje spojené s poskytnutím takové pomoci, pokud není písemně dohodnuto jinak.

6. Subzpracovatelé

6.1. Správce bere na vědomí a souhlasí, že Zpracovatel může v souvislosti s poskytováním Služeb využívat Subzpracovatele.

6.2. Všichni Subzpracovatelé, kteří zpracovávají Osobní údaje při poskytování Služeb Správci, budou dodržovat povinnosti Zpracovatele uvedené v této DPA.

6.3. Správce opravňuje Zpracovatele k využívání Subzpracovatelů uvedených v seznamu Subzpracovatelů zveřejněném na: https://multiply.cloud/en/legal-resources/ pro zpracování Osobních údajů. Po dobu platnosti této DPA poskytne Zpracovatel Správci 30denní předchozí oznámení e-mailem o jakýchkoli změnách seznamu Subzpracovatelů před tím, než opravní jakéhokoli nového nebo náhradního Subzpracovatele ke zpracování Osobních údajů v souvislosti s poskytováním Služeb.

6.4. Správce může vznést námitku proti použití nového nebo náhradního Subzpracovatele tím, že o tom neprodleně písemně informuje Zpracovatele do patnácti (15) dnů od obdržení oznámení Zpracovatele. Pokud Správce vznese námitku proti novému nebo náhradnímu Subzpracovateli, může Správce ukončit Smlouvu ve vztahu k těm Službám, které Zpracovatel nemůže poskytovat bez použití nového nebo náhradního Subzpracovatele. Zpracovatel vrátí Správci veškeré předplacené poplatky pokrývající zbytek doby trvání Smlouvy po datu účinnosti ukončení ve vztahu k takto ukončeným Službám.

6.5. Všichni Subzpracovatelé, kteří zpracovávají Osobní údaje, budou dodržovat povinnosti Zpracovatele uvedené v této DPA. Zpracovatel před tím, než příslušný Subzpracovatel provede jakékoli zpracovatelské činnosti týkající se Osobních údajů: (i) uzavře s každým Subzpracovatelem písemnou smlouvu obsahující v podstatných rysech stejné povinnosti, jaké má Zpracovatel podle této DPA, vymahatelné Zpracovatelem; a (ii) zajistí, aby každý takový Subzpracovatel tyto povinnosti dodržoval.

6.6. Správce souhlasí, že Zpracovatel a jeho Subzpracovatelé mohou provádět Omezená předání Osobních údajů za účelem poskytování Služeb Správci v souladu se Smlouvou. Zpracovatel potvrzuje, že takoví Subzpracovatelé: (i) se nacházejí ve třetí zemi nebo na území, které EU Komise nebo příslušný Dozorový úřad (podle okolností) uznaly jako poskytující odpovídající úroveň ochrany; nebo (ii) uzavřeli se Zpracovatelem příslušné SCC; nebo (iii) mají zavedena jiná právně uznaná vhodná ochranná opatření.

7. Omezená předání

7.1. Strany souhlasí, že pokud mezi Správcem a Zpracovatelem nebo od Zpracovatele k Subzpracovateli dojde k předání Osobních údajů, které je Omezeným předáním, bude se na něj vztahovat příslušné SCC.

7.2. Strany souhlasí, že na Omezená předání z EHP se použijí EU SCC. EU SCC se považují za uzavřené (a začleněné do této DPA formou odkazu) a vyplněné následovně:

1. Použije se Modul dva (Správce → Zpracovatel), pokud je Zákazník Správcem Osobních údajů a Společnost Osobní údaje zpracovává;
2. Použije se Modul tři (Zpracovatel → Zpracovatel), pokud je Společnost Zpracovatelem Osobních údajů a Společnost využívá Subzpracovatele ke zpracování Osobních údajů;
3. Použije se Modul čtyři (Zpracovatel → Správce), pokud Společnost zpracovává Osobní údaje a Zákazník nepodléhá GDPR EU ani GDPR UK;
4. V článku 7 EU SCC se nepoužije volitelná docking clause;
5. V článku 9 EU SCC platí možnost 2 a lhůta pro oznámení změn Subzpracovatelů bude podle článku 6.3 této DPA;
6. V článku 11 EU SCC se nepoužije volitelné znění;
7. V článku 17 EU SCC platí možnost 1 a EU SCC se budou řídit irským právem;
8. V článku 18(b) EU SCC budou spory řešeny soudy Irska;
9. Příloha I EU SCC se považuje za vyplněnou informacemi uvedenými v Příloze A této DPA;
10. Příloha II EU SCC se považuje za vyplněnou informacemi uvedenými v Příloze B této DPA.

7.3. Strany souhlasí, že EU SCC ve znění upraveném v článku 7.2 výše budou dále upraveny tak, jak je uvedeno níže, pokud se na jakékoli Omezené předání vztahuje FADP:

Švýcarský federální komisař pro ochranu údajů a informace („FDPIC“) bude jediným Dozorovým úřadem pro Omezená předání výhradně podléhající FADP; Omezená předání podléhající současně FADP i GDPR EU budou řešena Dozorovým úřadem EU uvedeným v Příloze A této DPA; Pojem „členský stát“ nesmí být vykládán tak, aby vylučoval Subjekty údajů ve Švýcarsku z možnosti domáhat se svých práv v místě obvyklého bydliště (Švýcarsko) v souladu s článkem 18(c) EU SCC; Pokud Omezená předání podléhají výhradně FADP, veškeré odkazy na GDPR v EU SCC se považují za odkazy na FADP; Pokud Omezená předání podléhají současně FADP i GDPR EU, veškeré odkazy na GDPR v EU SCC se považují za odkazy na FADP v rozsahu, v jakém Omezená předání podléhají FADP; Swiss SCC rovněž chrání Osobní údaje právnických osob až do nabytí účinnosti revidovaného FADP. 7.4. Strany souhlasí, že na Omezená předání z UK se použijí UK SCC a UK SCC se považují za uzavřené (a začleněné do této DPA formou odkazu), jak je uvedeno v Příloze C této DPA.

7.5. Pokud je jakékoli ustanovení této DPA v přímém či nepřímém rozporu s některými SCC, přednost mají ustanovení příslušných SCC před podmínkami DPA.

8. Žádosti subjektů údajů o přístup

8.1. Správce může požadovat opravu, výmaz, blokaci a/nebo zpřístupnění Osobních údajů během trvání Smlouvy nebo po jejím ukončení. Správce bere na vědomí a souhlasí, že Zpracovatel žádost zpracuje v rozsahu, v jakém je to zákonné, a přiměřeně ji splní v souladu se svými standardními provozními postupy, pokud to bude možné.

8.2. Pokud Zpracovatel obdrží žádost od Subjektu údajů ve vztahu k Osobním údajům, odkáže Subjekt údajů na Správce, pokud mu to zákon nezakazuje. Správce uhradí Zpracovateli veškeré náklady vzniklé poskytnutím přiměřené pomoci při vyřizování žádosti Subjektu údajů. Pokud je Zpracovatel ze zákona povinen Subjektu údajů odpovědět, Správce bude se Zpracovatelem plně spolupracovat podle potřeby.

9. Audit

9.1. Zpracovatel zpřístupní Správci veškeré informace přiměřeně nezbytné k prokázání souladu se svými povinnostmi při zpracování a umožní a přispěje k auditům a kontrolám.

9.2. Jakýkoli audit provedený podle této DPA bude spočívat v přezkoumání nejnovějších zpráv, certifikátů a/nebo výňatků vypracovaných nezávislým auditorem vázaným povinností mlčenlivosti obdobnou té, která je uvedena ve Smlouvě. Pokud poskytnutí těchto dokumentů nebude podle rozumného názoru Správce dostačující, může Správce provést rozsáhlejší audit, který bude: (i) na náklady Správce; (ii) věcně omezen na záležitosti specifické pro Správce a předem dohodnuté; (iii) proveden během běžné pracovní doby Zpracovatele a po přiměřeném předchozím oznámení, které nesmí být kratší než 4 týdny, pokud nevznikl identifikovatelný podstatný problém; a (iv) proveden způsobem, který nenaruší každodenní provoz Zpracovatele.

9.3. Tento článek nemění ani neomezuje práva Správce na audit; jeho účelem je upřesnit postupy týkající se jakéhokoli auditu prováděného podle něj.

10. Porušení zabezpečení Osobních údajů

10.1. Zpracovatel oznámí Správci bez zbytečného odkladu poté, co se dozví (a v každém případě do 72 hodin od zjištění) o jakémkoli porušení zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému zpřístupnění či přístupu k jakýmkoli Osobním údajům („Porušení zabezpečení Osobních údajů“).

10.2. V případě Porušení zabezpečení Osobních údajů přijme Zpracovatel veškerá komerčně přiměřená opatření k zabezpečení Osobních údajů, k omezení dopadů jakéhokoli Porušení zabezpečení Osobních údajů a k pomoci Správci při plnění jeho povinností podle příslušných právních předpisů.

11. Soulad, spolupráce a reakce

11.1. Zpracovatel Správce neprodleně informuje o jakékoli žádosti nebo stížnosti týkající se zpracování Osobních údajů, která nepříznivě dopadá na Správce, pokud takové oznámení není zakázáno příslušným právem nebo relevantním soudním příkazem.

11.2. Zpracovatel může pořizovat kopie Osobních údajů a/nebo je uchovávat v souladu s jakýmkoli zákonným nebo regulačním požadavkem, mimo jiné včetně požadavků na uchovávání.

11.3. Zpracovatel bude Správci přiměřeně pomáhat při plnění povinnosti Správce provádět posouzení vlivu na ochranu osobních údajů (DPIA), s ohledem na povahu zpracování a informace dostupné Zpracovateli.

11.4. Správce oznámí Zpracovateli v přiměřené době jakékoli změny příslušných zákonů, kodexů či předpisů o ochraně osobních údajů, které mohou ovlivnit smluvní povinnosti Zpracovatele. Zpracovatel v přiměřené lhůtě zareaguje ohledně jakýchkoli změn, které je potřeba provést v podmínkách této DPA nebo v technických a organizačních opatřeních pro zachování souladu. Pokud Zpracovatel nebude schopen nezbytné změny zohlednit, může Správce ukončit tu část nebo ty části Služeb, které vedou k nesouladu. V rozsahu, v jakém ostatní poskytované části Služeb nejsou takovými změnami dotčeny, zůstane poskytování těchto Služeb beze změny.

11.5. Správce a Zpracovatel a případně jejich zástupci budou na požádání spolupracovat s Dozorovým úřadem při plnění svých příslušných povinností podle této DPA a Právních předpisů o ochraně osobních údajů.

12. Odpovědnost

12.1. Omezení odpovědnosti uvedená ve Smlouvě se vztahují na veškeré nároky uplatněné v souvislosti s porušením podmínek této DPA.

12.2. Strany souhlasí, že Zpracovatel odpovídá za jakékoli porušení této DPA způsobené jednáním či opomenutím nebo nedbalostí jeho Subzpracovatelů ve stejném rozsahu, v jakém by Zpracovatel odpovídal, pokud by služby každého Subzpracovatele poskytoval přímo podle podmínek DPA, s výhradou jakýchkoli omezení odpovědnosti uvedených ve Smlouvě.

12.3. Strany souhlasí, že Správce odpovídá za jakékoli porušení této DPA způsobené jednáním či opomenutím nebo nedbalostí jeho Přidružených společností, jako by takové jednání, opomenutí nebo nedbalost spáchal sám Správce.

12.4. Správce není oprávněn získat náhradu více než jednou za tutéž škodu.

13. Doba trvání a ukončení

13.1. Zpracovatel bude Osobní údaje zpracovávat pouze po dobu trvání DPA. Doba trvání této DPA začíná Dnem účinnosti Smlouvy a tato DPA se automaticky ukončí spolu s ukončením nebo uplynutím platnosti Smlouvy.

14. Výmaz a vrácení Osobních údajů

14.1. Zpracovatel podle volby Správce po obdržení písemné žádosti doručené do 30 dnů od ukončení poskytování Služeb Osobní údaje vymaže nebo vrátí Správci. Zpracovatel v každém případě vymaže všechny kopie Osobních údajů ve svých systémech do 1 roku od data účinnosti ukončení Smlouvy nebo deaktivace účtu Správce, pokud příslušné právní předpisy nebo regulace nevyžadují uchování Osobních údajů i po ukončení.

15. Obecná ustanovení

15.1. Tato DPA obsahuje úplnou dohodu stran ve vztahu k jejímu předmětu.

15.2. Pokud je některé ustanovení této DPA neplatné nebo se neplatným stane, právní účinky ostatních ustanovení tím nejsou dotčeny. Má se za to, že bylo sjednáno platné ustanovení, které se co nejvíce blíží obchodnímu záměru stran, a nahradí neplatné ustanovení. Totéž platí pro jakékoli opomenutí.

15.3. S výhradou jakéhokoli odlišného ustanovení SCC se tato DPA řídí právem Anglie a Walesu. Soudy v Anglii mají výlučnou pravomoc k řešení všech sporů vzniklých z této DPA.

15.4. Strany souhlasí, že tato DPA je začleněna do Smlouvy a řídí se jejími podmínkami.

Příloha A

Seznam stran, popis zpracování a předávání Osobních údajů, příslušný dozorový úřad

A. Seznam stran

Příloha B

Technická a organizační bezpečnostní opatření

(Včetně technických a organizačních opatření k zajištění bezpečnosti dat)

Níže je uveden popis technických a organizačních opatření zavedených Zpracovatelem (včetně případných relevantních certifikací) k zajištění odpovídající úrovně zabezpečení s ohledem na povahu, rozsah, kontext a účel zpracování a rizika pro práva a svobody fyzických osob.

Je-li to relevantní, tato Příloha B bude sloužit jako Příloha II ke SCC.

Příloha C

Dodatek k mezinárodnímu předávání údajů k standardním smluvním doložkám EU Komise

VERZE B1.0, v účinnosti od 21. března 2022

Tento Dodatek vydal Information Commissioner pro strany provádějící Omezená předání. Information Commissioner má za to, že tento Dodatek poskytuje Vhodná ochranná opatření pro Omezená předání, pokud je uzavřen jako právně závazná smlouva.

Část 1: Tabulky

Tabulka 1: Strany

Tabulka 2: Vybrané SCC, moduly a zvolené články

Tabulka 3: Informace v dodatku (Appendix Information)

„Appendix Information“ znamená informace, které musí být poskytnuty pro vybrané moduly, jak je stanoveno v dodatku (Appendix) schválených EU SCC (kromě stran), a které jsou pro tento Dodatek uvedeny v:

Tabulka 4: Ukončení tohoto Dodatku při změně schváleného Dodatku

Část 2: Povinná ustanovení

Uzavření tohoto Dodatku

1. Každá strana souhlasí, že bude vázána podmínkami uvedenými v tomto Dodatku, výměnou za to, že druhá strana rovněž souhlasí, že bude tímto Dodatkem vázána.
2. Ačkoli Příloha 1A a článek 7 schválených EU SCC vyžadují podpis stran, pro účely provádění Omezených předání mohou strany uzavřít tento Dodatek jakýmkoli způsobem, který jej učiní právně závazným pro strany a umožní subjektům údajů vymáhat svá práva uvedená v tomto Dodatku. Uzavření tohoto Dodatku má stejný účinek jako podpis schválených EU SCC a jakékoli jejich části.

Výklad tohoto Dodatku

3. Pokud tento Dodatek používá pojmy, které jsou definovány ve schválených EU SCC, mají tyto pojmy stejný význam jako ve schválených EU SCC. Dále mají následující pojmy tento význam:

 4. Tento Dodatek musí být vždy vykládán způsobem, který je v souladu s britskými právními předpisy o ochraně údajů, a tak, aby naplňoval povinnost stran poskytovat Vhodná ochranná opatření.

5. Pokud ustanovení zahrnutá v Dodatku EU SCC jakkoli mění schválené SCC způsobem, který není povolen podle schválených EU SCC nebo schváleného Dodatku, takové změny nebudou do tohoto Dodatku začleněny a nahradí je odpovídající ustanovení schválených EU SCC.

6. Pokud existuje jakýkoli rozpor nebo konflikt mezi britskými právními předpisy o ochraně údajů a tímto Dodatkem, použijí se britské právní předpisy o ochraně údajů.

7. Pokud je význam tohoto Dodatku nejasný nebo je možný více než jeden výklad, použije se ten výklad, který se nejvíce shoduje s britskými právními předpisy o ochraně údajů.

8. Jakékoli odkazy na právní předpisy (nebo konkrétní ustanovení právních předpisů) znamenají tyto právní předpisy (nebo konkrétní ustanovení) ve znění, které se může v čase měnit. To zahrnuje i situace, kdy byly tyto právní předpisy (nebo konkrétní ustanovení) po uzavření tohoto Dodatku konsolidovány, znovu přijaty a/nebo nahrazeny.

Hierarchie

9. Ačkoli článek 5 schválených EU SCC stanoví, že schválené EU SCC mají přednost před všemi souvisejícími dohodami mezi stranami, strany souhlasí, že pro Omezená předání bude mít přednost hierarchie uvedená v článku ‎10.

10. Pokud existuje jakýkoli rozpor nebo konflikt mezi schváleným Dodatkem a Dodatkem EU SCC (dle situace), schválený Dodatek má přednost před Dodatkem EU SCC, s výjimkou případů, kdy (a v rozsahu, v jakém) rozporné nebo konfliktní podmínky Dodatku EU SCC poskytují subjektům údajů vyšší ochranu; v takovém případě mají přednost tyto podmínky před schváleným Dodatkem.

11. Pokud tento Dodatek zahrnuje Dodatek EU SCC uzavřený k ochraně předání podléhajících obecnému nařízení o ochraně osobních údajů (EU) 2016/679, strany berou na vědomí, že nic v tomto Dodatku nemá dopad na tyto Dodatek EU SCC.

Začlenění a změny EU SCC

12. Tento Dodatek začleňuje Dodatek EU SCC, které jsou upraveny v rozsahu nezbytném tak, aby:

a. společně fungovaly pro předání údajů prováděná vývozcem údajů dovozci údajů v rozsahu, v jakém se na zpracování vývozce údajů při provádění tohoto předání vztahují britské právní předpisy o ochraně údajů, a aby poskytovaly Vhodná ochranná opatření pro tato předání;

b. články ‎9 až ‎11 měly přednost před článkem 5 (Hierarchie) Dodatku EU SCC; a

c. tento Dodatek (včetně Dodatku EU SCC, které jsou do něj začleněny) se (1) řídil právem Anglie a Walesu a (2) jakýkoli spor z něj vzniklý byl řešen soudy Anglie a Walesu, v obou případech, pokud strany výslovně nezvolily právo a/nebo soudy Skotska nebo Severního Irska.

13. Pokud strany nedohodly alternativní úpravy, které splňují požadavky článku ‎12, použijí se ustanovení článku ‎15.

14. Kromě úprav nezbytných ke splnění požadavků článku ‎12 nelze provádět žádné změny schválených EU SCC.

15. Následující úpravy Dodatku EU SCC (pro účely článku ‎12) se provádějí:

a. Odkazy na „doložky“ znamenají tento Dodatek, včetně Dodatku EU SCC;

b. V článku 2 se vypouštějí slova:

„and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679“;

c. Článek 6 (Popis předání) se nahrazuje tímto:

„Podrobnosti o předání/předáních a zejména kategorie předávaných osobních údajů a účel(y), pro které jsou předávány, jsou ty, které jsou uvedeny v Příloze I.B, pokud se na zpracování vývozce údajů při provádění tohoto předání vztahují britské právní předpisy o ochraně údajů.“;

d. Článek 8.7(i) Modulu 1 se nahrazuje tímto:

„jde o zemi, na kterou se vztahují předpisy o odpovídající ochraně podle článku 17A GDPR UK, které pokrývají další předání“;

e. Článek 8.8(i) Modulů 2 a 3 se nahrazuje tímto:

„další předání směřuje do země, na kterou se vztahují předpisy o odpovídající ochraně podle článku 17A GDPR UK, které pokrývají další předání;“

f. Odkazy na „Regulation (EU) 2016/679“, „Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“ a „that Regulation“ se všechny nahrazují výrazem „UK Data Protection Laws“. Odkazy na konkrétní článek(y) „Regulation (EU) 2016/679“ se nahrazují odpovídajícím článkem nebo ustanovením britských právních předpisů o ochraně údajů;

g. Odkazy na nařízení (EU) 2018/1725 se odstraňují;

h. Odkazy na „European Union“, „Union“, „EU“, „EU Member State“, „Member State“ a „EU or Member State“ se všechny nahrazují výrazem „UK“;

i. Odkaz na „Clause 12(c)(i)“ v článku 10(b)(i) Modulu 1 se nahrazuje odkazem „Clause 11(c)(i)“;

j. Článek 13(a) a část C Přílohy I se nepoužívají;

k. „competent supervisory authority“ a „supervisory authority“ se oba nahrazují výrazem „Information Commissioner“;

l. V článku 16(e) se pododstavec (i) nahrazuje tímto:

„Secretary of State vydá nařízení podle článku 17A Data Protection Act 2018, která se vztahují na předání osobních údajů, na něž se tyto doložky vztahují;“;

m. Článek 17 se nahrazuje tímto:

„Tyto doložky se řídí právem Anglie a Walesu.“;

n. Článek 18 se nahrazuje tímto:

„Jakýkoli spor vzniklý z těchto doložek bude řešen soudy Anglie a Walesu. Subjekt údajů může rovněž zahájit soudní řízení proti vývozci údajů a/nebo dovozci údajů u soudů kteréhokoli území v UK. Strany souhlasí, že se podřídí pravomoci těchto soudů.“; a

o. Poznámky pod čarou ve schválených EU SCC netvoří součást Dodatku, s výjimkou poznámek pod čarou 8, 9, 10 a 11.

Změny tohoto Dodatku

16. Strany se mohou dohodnout na změně článků 17 a/nebo 18 Dodatku EU SCC tak, aby odkazovaly na právo a/nebo soudy Skotska nebo Severního Irska.

17. Pokud si strany přejí změnit formát informací uvedených v Části 1: Tabulky schváleného Dodatku, mohou tak učinit písemnou dohodou o změně, za předpokladu, že změna nesníží Vhodná ochranná opatření.

18. ICO může čas od času vydat revidovaný schválený Dodatek, který:

a. provádí přiměřené a úměrné změny schváleného Dodatku, včetně opravy chyb ve schváleném Dodatku; a/nebo

b. odráží změny britských právních předpisů o ochraně údajů; Revidovaný schválený Dodatek stanoví datum zahájení, od kterého jsou změny schváleného Dodatku účinné, a zda strany musí přezkoumat tento Dodatek včetně informací v dodatku (Appendix Information). Tento Dodatek se automaticky mění, jak je uvedeno v revidovaném schváleném Dodatku, od uvedeného data.

19. Pokud ICO vydá revidovaný schválený Dodatek podle článku ‎18 a jakákoli strana vybraná v Tabulce 4 „Ukončení Dodatku při změně schváleného Dodatku“ bude v přímém důsledku změn ve schváleném Dodatku čelit podstatnému, nepřiměřenému a prokazatelnému nárůstu:

a. svých přímých nákladů na plnění povinností podle Dodatku; a/nebo

b. svého rizika podle Dodatku,

a v obou případech nejprve podnikla přiměřené kroky ke snížení těchto nákladů nebo rizik tak, aby nebyly podstatné a nepřiměřené, pak tato strana může tento Dodatek ukončit na konci přiměřené výpovědní lhůty poskytnutím písemného oznámení o této lhůtě druhé straně před datem zahájení účinnosti revidovaného schváleného Dodatku.

20. Strany nepotřebují souhlas žádné třetí strany k provádění změn tohoto Dodatku, avšak veškeré změny musí být provedeny v souladu s jeho podmínkami.