SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ZÁKAZNÍKŮ SPOLEČNOSTI IDEXX

(Revize 18. května 2023)

Tato smlouva o zpracování osobních údajů ("smlouva o zpracování osobních údajů") a příslušné přílohy smlouvy o zpracování osobních údajů, které naleznete zde (každá z nich dále jen "Příloha smlouvy o zpracování osobních údajů"), upravují zpracování osobních údajů ("Osobní údaje zákazníka") společností IDEXX jménem zákazníka ("Zákazník"), na které se vztahuje obecné nařízení o ochraně osobních údajů 2016/679 ("GDPR") nebo jakýkoli jiný zde uvedený zákon o ochraně osobních údajů (společně dále jen "Zákony o ochraně osobních údajů") za účelem poskytování služeb ("Služby") podle smlouvy mezi společností IDEXX a zákazníkem ("Smlouva"). Pokud je v této smlouvě o zpracování osobních údajů odkazováno na společnost IDEXX, rozumí se tím společnost IDEXX B.V. nebo přidružená společnost společnosti IDEXX B.V., která uzavřela Smlouvu se Zákazníkem. Zákazník a společnost IDEXX budou společně označováni jako "Strany" nebo samostatně jako "Strana". Tato smlouva o zpracování osobních údajů a příslušná Příloha smlouvy o zpracování osobních údajů je začleněna do příslušné Smlouvy o příslušné Službě. V případě rozporu má Příloha smlouvy o zpracování osobních údajů přednost před smlouvou o zpracování osobních údajů, která má přednost před zbytkem Smlouvy, pokud není v této smlouvě o zpracování osobních údajů výslovně uvedeno jinak.

1 Definice

1.1 Všechny definice obsažené ve Smlouvě se vztahují i na tuto smlouvu o zpracování osobních údajů, pokud není v této smlouvě o zpracování osobních údajů uvedeno jinak. Pojmy s velkým počátečním písmenem, které jsou zde použity a nejsou definovány, mají význam, který je jim dán v příslušných zákonech o ochraně osobních údajů. Mimo to se na tuto smlouvu o zpracování osobních údajů vztahují následující definice:

1.2 Přidružená společnost: jakákoli osoba nebo subjekt, který ovládá, je ovládán nebo je pod společnou kontrolou jiné osoby nebo subjektu. Pro tyto účely se "kontrolou" rozumí (i) přímé nebo nepřímé držení pravomoci ovládat nebo řídit politiku subjektu, ať už prostřednictvím vlastnictví hlasovacích práv, na základě smlouvy nebo jinak, nebo (ii) přímé nebo nepřímé vlastnictví nejméně padesáti procent (50 %) hlasovacích práv nebo jiného vlastnického podílu subjektu, nebo v případě, že takový subjekt sídlí v zemi, kde taková úroveň vlastnictví není povolena, maximální procento vlastnictví v ní povolené;

1.3 Třetí země: jakákoli země, která neposkytuje odpovídající úroveň ochrany osobních údajů podle platných právních předpisů o ochraně osobních údajů;

1.4 Porušení zabezpečení osobních údajů: porušení zabezpečení vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k přenášeným, uloženým nebo jinak zpracovávaným Osobním údajům zákazníka.

2 Předmět této smlouvy o zpracování osobních údajů

2.1 V souvislosti se zpracováním Osobních údajů zákazníka pro příslušné Služby a platnou Smlouvou je společnost IDEXX v pozici zpracovatele a Zákazník v pozici správce. Zpracování osobních údajů, na které se vztahuje tato smlouva o zpracování osobních údajů , je popsáno v příslušných Přílohách smlouvy o zpracování osobních údajů.

2.2 Tato smlouva o zpracování osobních údajů doplňuje Smlouvu a ruší jakákoli (ústní a/nebo písemná) předchozí ujednání týkající se zpracování osobních údajů mezi Zákazníkem jako správce a společností IDEXX  jako zpracovatelem ve vztahu k osobním údajům, je-li to relevantní.

3 Zpracování osobních údajů

3.1 Společnost IDEXX se zavazuje v souvislosti se Službami dodržovat veškeré platné právní předpisy o ochraně osobních údajů, které se na ni jako na zpracovatele vztahují. Zákazník zaručuje, že zpracovává nebo bude zpracovávat Osobní údaje zákazníka v souladu s platnými právními předpisy. Zákazník je povinen na základě první žádosti společnosti IDEXX neprodleně poskytnout společnosti IDEXX veškeré relevantní požadované informace v písemné formě, která může mít i elektronickou podobu. Společnost IDEXX neodpovídá za dodržování povinností Zákazníka podle platných právních předpisů, zejména povinností Zákazníka vůči jeho vlastním zákazníkům nebo klientům, jako je povinnost Zákazníka informovat své zákazníky nebo klienty o příjemcích zpracování jejich osobních údajů. Společnost IDEXX neodpovídá za stanovení požadavků nebo zákonů či jiných právních předpisů vztahujících se na podnikání Zákazníka nebo za to, že Služba splňuje požadavky takových platných právních předpisů. Mezi Stranami platí, že Zákazník odpovídá za zákonnost zpracování Osobních údajů zákazníka. Zákazník nesmí používat Služby způsobem, který by porušoval platné právní předpisy o ochraně osobních údajů.

3.2 Příslušná Příloha smlouvy o zpracování osobních údajů pro danou Službu obsahuje seznam kategorií subjektů údajů, typů Osobních údajů zákazníka a případných zvláštních kategorií osobních údajů. Doba trvání zpracování odpovídá době trvání Služby, pokud není v Příloze smlouvy  o zpracování osobních údajůuvedeno jinak. Účelem a předmětem zpracování je poskytování Služby, jak je popsáno ve Smlouvě.

3.3 Společnost IDEXX zpracovává Osobní údaje zákazníka pouze jménem Zákazníka a v souladu s jeho zdokumentovanými pokyny, pokud příslušný zákon o ochraně osobních údajů nevyžaduje jinak. Rozsah pokynů Zákazníka pro zpracování Osobních údajů zákazníka je definován ve Smlouvě a případně v používání a konfiguraci funkcí Služby ze strany Zákazníka a jeho oprávněných uživatelů. Společnost IDEXX bude neprodleně informovat Zákazníka, pokud podle jejího názoru některý z pokynů Zákazníka porušuje příslušné právní předpisy o ochraně osobních údajů, a společnost IDEXX může pozastavit plnění takového pokynu, dokud jej Zákazník nezmění nebo nepotvrdí jeho zákonnost v dokumentované podobě.

3.4 Společnost IDEXX zajistí, aby se její zaměstnanci a další osoby podílející se na zpracování Osobních údajů zákazníka zavázali k mlčenlivosti v rozsahu, v jakém tyto osoby nejsou vázány příslušnou zákonnou povinností mlčenlivostí. Společnost IDEXX zajistí, aby tito zaměstnanci nebo jiné osoby, které zapojila, dodržovali všechny povinnosti stanovené v této smlouvě o zpracování osobních údajů  a ve Smlouvě. Společnost IDEXX zajistí, aby přístup společnosti IDEXX k Osobním údajům zákazníků byl omezen na ty zaměstnance a jiné osoby, které vykonávají Služby v souladu se Smlouvou.

4 Bezpečnostní opatření

4.1 Společnost IDEXX zavede vhodná technická a organizační bezpečnostní opatření, aby zajistila odpovídající úroveň bezpečnosti ve vztahu k osobním údajům. Technická a organizační bezpečnostní opatření, která má společnost IDEXX zavést, s přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování, jakož i k různě pravděpodobnému a různě závažnému riziku pro práva a svobody fyzických osob, jsou popsána v Technických a organizačních opatřeních, která jsou součástí Příloh smlouvy o zpracování osobních údajů. Společnost IDEXX může svá bezpečnostní opatření průběžně aktualizovat nebo upravit, pokud tyto aktualizace a úpravy nepovedou ke snížení celkové bezpečnosti Služeb.

5 Ohlašování případů Porušení zabezpečení osobních údajů

5.1 Povinnost společnosti IDEXX oznámit Zákazníkovi Porušení zabezpečení osobních údajů a přijmout opatření v souvislosti s Porušením zabezpečení osobních údajů neznamená uznání jakéhokoli pochybení nebo odpovědnosti ze strany společnosti IDEXX v souvislosti s tímto Porušením zabezpečení osobních údajů.

5.2 Jakmile se společnost IDEXX dozví o Porušení zabezpečení osobních údajů, o kterém dosud nebyl Zákazník informován, informuje o tom bez zbytečného odkladu Zákazníka způsobem, který určí společnost IDEXX. Společnost IDEXX informuje kontaktní osobu Zákazníka, kterou Zákazník uvedl v souvislosti se Službami. Zákazník odpovídá za to, že kontaktní údaje kontaktních osob Zákazníka sdělené společnosti IDEXX jsou aktuální. Pokud společnostIDEXX uvedenou kontaktní osobu (osoby) Zákazníka nezastihne včas, nese odpovědnost Zákazník.

5.3 Pokud se Zákazník sám dozví o Porušení zabezpečení osobních údajů významném pro poskytování Služeb ze strany společnosti IDEXX, je povinen o tom bez zbytečného odkladu informovat společnost IDEXX, včetně toho, jaká opatření Zákazník přijal nebo přijme.

5.4 Po zjištění Porušení zabezpečení osobních údajů ze strany společnosti IDEXX poskytne společnost IDEXX Zákazníkovi veškerou přiměřenou zpětnou vazbu o možném dopadu Porušení zabezpečení osobních údajů na Zákazníka a dotčené subjekty údajů. Tato zpětná vazba zahrnuje popis povahy a rozsahu Porušení zabezpečení osobních údajů, plánovaná a již přijatá opatření k řešení Porušení zabezpečení osobních údajů.

5.5 Na žádost Zákazníka poskytne společnost IDEXX rovněž přiměřeně potřebnou pomoc při sestavování příslušné dokumentace v souvislosti s Porušením zabezpečení osobních údajů. Zákazník však zůstává odpovědný za povinnost vést interní přehled o Porušeních zabezpečení osobních údajů, ke kterým došlo.

5.6 Zákazník odpovídá za informování příslušného státního orgánu a/nebo dotčených subjektů údajů o Porušení zabezpečení osobních údajů, pokud to vyžadují platné právní předpisy o ochraně osobních údajů. Pokud Zákazník požaduje, aby společnost IDEXX informovala o Porušení zabezpečení osobních údajů dotčený(é) subjekt(y) údajů a/nebo příslušný státní orgán, společnost IDEXX tak učiní až po obdržení písemného a úplného pokynu Zákazníka a schválení takového písemného pokynu ze strany společnosti IDEXX. Z toho pro společnost IDEXX nevyplývá žádná odpovědnost ani závazky v souvislosti s (oznámeným) Porušení zabezpečení osobních údajů.

6 Součinnost

6.1 S ohledem na povahu zpracování osobních údajů a informace, které mají Strany k dispozici, si Strany vzájemně poskytnou veškerou nezbytnou pomoc při plnění povinností, které Stranám vyplývají z platných právních předpisů o ochraně osobních údajů, zejména povinností týkajících se zabezpečení osobních údajů, povinností při oznamování porušení zabezpečení osobních údajů, informační povinnosti a provádění posouzení vlivu na ochranu osobních údajů, včetně předchozí konzultace s příslušným státním orgánem.

6.2 Zákazník podá písemnou žádost o jakoukoli součinnost uvedenou v této smlouvě o zpracování osobních údajů. Společnost IDEXX může Zákazníkovi za provedení takové pomoci nebo dodatečného pokynu účtovat poplatky; tyto poplatky budou přiměřené a budou uvedeny v cenové nabídce a písemně odsouhlaseny Stranami.

7 Práva Zákazníka na audit

7.1 Zákazník může na vlastní náklady a po předchozí konzultaci se společností IDEXX provést audit systému zpracování osobních údajů, který společnost IDEXX používá ke zpracování osobních údajů Zákazníka, aby prověřil, zda přiměřená technická a organizační bezpečnostní opatření, která byla přijata v souvislosti s osobními údaji zpracovávanými v kontextu této smlouvy o zpracování osobních údajů, jsou v souladu s opatřeními popsanými v oddílu 4 této smlouvy o zpracování osobních údajů.

7.2 Společnost IDEXX zpřístupní Zákazníkovi veškeré informace přiměřeně nezbytné k prokázání splnění povinností Zákazníka uzavřít smlouvu o zpracování osobních údajů v souladu s příslušnými požadavky v tomto ohledu podle platných právních předpisů o ochraně osobních údajů a umožní audity, včetně kontrol, prováděné Zákazníkem a  bude se na nich podílet. Po konzultaci se společností IDEXX může Zákazník pro výkon svých práv na audit angažovat třetí stranu (odborníka) za předpokladu, že tato třetí strana bude vázána odpovídajícím závazkem mlčenlivosti.

7.3 Provedení auditu Zákazníkem nebo jeho jménem nesmí mít vliv na podnikatelskou činnost společnosti IDEXX nebo některého z jejích dílčích zpracovatelů.

8. Dílčí zpracovatelé

8.1 Zákazník povoluje společnosti IDEXX zapojení dílčích zpracovatelů, kteří zpracovávají Osobní údaje zákazníka, mimo jiné včetně Přidružených společností společnosti IDEXX ("dílčí zpracovatelé"). Seznam aktuálních dílčích zpracovatelů, kteří jsou třetími stranami, je uveden zde a může být společností IDEXX průběžně aktualizován. Společnost IDEXX informuje Zákazníka způsobem, který určí společnost IDEXX, o všech zamýšlených změnách týkajících se přidání nebo nahrazení těchto dílčích zpracovatelů. Zákazník může vznést námitky proti jakémukoli novému dílčímu zpracovateli vypovězením Smlouvy na základě písemného oznámení zaslaného společnosti IDEXX, pokud Zákazník toto oznámení doručí společnosti IDEXX do 60 dnů od okamžiku, kdy společnost IDEXX informovala Zákazníka o zapojení dílčího zpracovatele. Toto právo na ukončení Smlouvy je jediným a výlučným opravným prostředkem Zákazníka, pokud Zákazník má námitky proti jakémukoli novému dílčímu zpracovateli.

8.2 Společnost IDEXX uzavře a bude vymáhat plnění písemné smlouvy o zpracování osobních údajů od svých dílčích zpracovatelů, která bude obsahovat v podstatě shodné ochranné povinnosti v oblasti ochrany soukromí a zabezpečení osobních údajů, jak jsou stanoveny v této smlouvě o zpracování osobních údajů. Společnost IDEXX odpovídá za plnění svých povinností podle Smlouvy, této smlouvy o zpracování osobních údajů a platných právních předpisů o ochraně osobních údajů.

9 Přeshraniční předávání osobních údajů

9.1 Osobní údaje zákazníka mohou být společností IDEXX nebo dílčími zpracovateli společnosti IDEXX předány do Třetí země.

9.2 V případě předání Osobních údajů zákazníka do Třetí země budou Strany spolupracovat, aby zajistily soulad s platnými právními předpisy o ochraně osobních údajů, jak je uvedeno v následujících ustanoveních.

9.3 Uzavřením Smlouvy Zákazník uzavírá Standardní smluvní doložky pro mezinárodní předávání (Prováděcí rozhodnutí Komise (EU) 2021/914 nebo jeho aktualizovaná verze či náhrada) ("standardní smluvní doložky"), vyplněné podle níže uvedeného článku 9.3.1, ledaže by byl pro příslušné předání Osobních údajů zákazníka v příslušném zde identifikovaném zákonu o ochraně osobních údajů prohlášen za použitelný jiný nástroj pro předávání osobních údajů, přičemž tento identifikovaný nástroj pro předávání osobních údajů se pak použije a upravuje předání Osobních údajů zákazníka do třetí země. V rozsahu stanoveném jinými právními předpisy o ochraně osobních údajů než GDPR se standardní smluvní doložky vztahují i na předávání Osobních údajů zákazníků, kteří se nenacházejí v EHP nebo Švýcarsku, entitě IDEXX, který se nachází v zemi, která nezajišťuje odpovídající úroveň ochrany.

9.3.1 Standardní smluvní doložky se použijí doplněné takto:
a ) Použije se modul 2 – předání od správce zpracovateli.
b ) V doložce 7 se použije volitelná doložka o přistoupení.
c ) V doložce 9 se použije možnost 2 a lhůta pro předběžné oznámení bude 14 dní.
d ) V doložce 11 se nepoužije volitelný jazyk.
e ) V doložce 17 se použije varianta 1 a použije se nizozemské právo.
f ) V doložce 18 písm. b) se spory řeší před nizozemskými soudy.
g ) Příloha I (A. Seznam smluvních stran, B. Popis předání, C. Příslušný dozorový úřad) standardních smluvních doložek se považuje za vyplněnou informacemi uvedenými v oddílu B Přílohy smlouvy o zpracování osobních údajů použitelné pro Služby.
h ) Příloha II (Technická a organizační opatření včetně technických a organizačních opatření k zajištění zabezpečení údajů) standardních smluvních doložek se považuje za vyplněnou informacemi uvedenými v oddílu B Přílohy smlouvy o zpracování osobních údajů platné pro Služby.
i ) Příloha III (Seznam dílčích zpracovatelů) se považuje za doplněnou o seznam dílčích zpracovatelů uvedený v oddílu 8.1 výše.

9.4 Společnost IDEXX uzavře s každým dílčím zpracovatelem umístěným ve Třetí zemi, jak je uvedeno v příslušné Příloze smlouvy o zpracování osobních údajů, modul 3 standardních smluvních doložek (Zpracovatel-zpracovatel), pokud to vyžadují příslušné právní předpisy o ochraně osobních údajů. Společnost IDEXX může předávat a uchovávat osobní údaje do a ve svých Přidružených společnostech ve Spojených státech amerických nebo v jiných zemích, kde se nacházejí její Přidružené společnosti. Taková předávání podléhají vnitropodnikové dohodě mezi Přidruženými společnostmi IDEXX, která zahrnuje příslušný modul tři (Zpracovatel-zpracovatel) standardních smluvních doložek.

9.5 Žádné ustanovení Smlouvy nebo této smlouvy o zpracování osobních údajů nelze vykládat tak, že má přednost před jakýmkoli protichůdným ustanovením standardních smluvních doložek. Zákazník potvrzuje, že měl možnost seznámit se se standardními smluvními doložkami a získat jejich kopii od společnosti IDEXX.

10 Žádosti subjektů údajů

Na základě oprávněné písemné žádosti Zákazníka poskytne společnost IDEXX přiměřenou pomoc, aby usnadnila Zákazníkovi splnění jeho povinností správce osobních údajů, pokud subjekt údajů uplatní některá ze svých práv podle platných právních předpisů o ochraně osobních údajů.

11 Obecné informace

11.1 Náklady: Náklady, které společnosti IDEXX mohou vzniknout při plnění jejích povinností podle této smlouvy o zpracování osobních údajů (například poskytování pomoci Zákazníkovi při reakci na žádosti subjektů údajů), mohou vést k tomu, že společnost IDEXX bude Zákazníkovi účtovat dodatečné náklady. V takovém případě bude společnost IDEXX Zákazníka o této skutečnosti informovat.

11.2 Odškodnění: Zákazník se zavazuje plně odškodnit společnost IDEXX za jakýkoli nárok třetí strany, včetně některého ze subjektů údajů, uplatněný vůči společnosti IDEXX v důsledku porušení platných právních předpisů, způsobené Zákazníkem nebo některým z jeho zaměstnanců či dodavatelů.

11.3 Doba platnosti a ukončení: Tato smlouva o zpracování osobních údajů nabývá platnosti dnem, kdy společnost IDEXX poprvé bude zpracovávatosobní údaje jménem Zákazníka při plnění Smlouvy. Tato smlouva o zpracování osobních údajů zůstává v platnosti po dobu trvání Smlouvy. V případě ukončení Smlouvy končí automaticky i tato smlouva o zpracování osobních údajů, a to bez nutnosti dalších právních úkonů. Pokud není společnost IDEXX podle platných právních předpisů povinna uchovávat osobní údaje, zajistí společnost IDEXX po ukončení této smlouvy o zpracování osobních údajů, aby osobní údaje byly vráceny nebo poskytnuty Zákazníkovi, nebo (ii) osobní údaje byly zničeny, a to na základě písemné žádosti Zákazníka, která může mít i elektronickou podobu. Veškeré závazky vyplývající z této smlouvy o zpracování osobních údajů, které mají ze své povahy účinky po ukončení Smlouvy, mimo jiné včetně tohoto oddílu smlouvy o zpracování osobních údajů, zůstávají v platnosti i po ukončení této smlouvy o zpracování osobních údajů.

11.4 Odchylky a změny: Odchylky od této smlouvy o zpracování osobních údajů a dodatky k ní jsou platné pouze tehdy, pokud byly výslovně dohodnuty písemně, a to i v elektronické podobě.

Zákazník je povinen neprodleně informovat společnost IDEXX o všech změnách, které jsou nebo by mohly být relevantní pro Smlouvu a zpracování osobních údajů.

Pokud je tato smlouva o zpracování osobních údajů přeložena do několika jazyků, považuje se pro účely výkladu nebo v případě rozporu či nesrovnalosti mezi různými překlady za rozhodující anglické znění.