Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Smluvní údaje
2 Kontrola a uzavření

Smlouva o zpracování osobních údajů


Smluvní údaje klienta
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Dohoda o zpracování osobních údajů v souladu s čl. 28 odst. 3 obecného nařízení o ochraně osobních údajů (GDPR).



mezi správcem údajů:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Klient –

a zpracovatelem údajů:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
– Zhotovitel –

Preambule


Tato dohoda upřesňuje povinnosti smluvních stran týkající se ochrany osobních údajů, které vyplývají ze zpracování údajů popsaného v této dohodě a v dodatku A. To se vztahuje na veškeré činnosti, které souvisejí s poskytnutou službou, a u kterých zaměstnanci zhotovitele nebo třetí osoby zmocněné zhotovitelem mohou přijít do styku s osobními údaji klienta. Jednotlivé dohody v této dohodě o zpracování osobních údajů mají přednost před všeobecnými obchodními podmínkami (VOP) zhotovitele.


§ 1 Definice


(1) Osobní údaje
V souladu s GDPR čl. 4 odst. 1 jsou osobními údaji považovány veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen ”subjekt údajů”); identifikovatelná osoba je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména pomocí určitého identifikátoru, jako je např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků, které vyjadřují fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo společenskou identitu této fyzické osoby.

(2) Zpracovatel údajů
V souladu s GDPR čl. 4 odst. 8 je zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce údajů

(3) Pokyny
Pokyny obvykle vyjadřují písemné nařízení klienta zaměřené na ochranné zacházení (např. uložení, pseudonymizace, výmaz, vydání) zhotovitele s osobními údaji. Tyto pokyny vydává klient a mohou být pozměněny, doplněny nebo nahrazeny (individuální pokyny). Pokyny klienta musí být vydány písenmně nebo přes e-mail.

§ 2 Předmět, trvání a specifikace zpracování objednávky
Předmět a doba trvání objednávky, jakož i druh a účel zpracování vyplývají z této smlouvy. Zejména informace o údajích v dodatku A jsou součástí zpracování údajů.

Tato smlouva je platná až do zrušení. Odvolání musí být písemné.

§ 3 Rozsah a odpovědnost
Zhotovitel zpracovává osobní údaje jménem klienta. Patří zde činnosti uvedené v této smlouvě. V rámci této smlouvy má klient výhradní odpovědnost za dodržování ustanovení zákona o ochraně osobních údajů, zejména za zákonnost přenosu dat zhotoviteli, tak jako zákonnost zpracování údajů (dále jen „správce údajů“ v souladu s GDPR čl. 4 odst.7).

§ 4 Povinnosti zhotovitele
(1) Zhotovitel smí zpracovávat data subjektů údajů pouze v rozsahu zakázky a pokynů klienta, pokud nenastane výjimečný případ v souladu s GDPR čl. 28 odst. 3 a). Zhotovitel neprodleně informuje klienta, pokud je toho názoru, že pokyn porušuje platné zákony. Zhotovitel může pozastavit provádění pokynů, dokud je klient nepotvrdí nebo nezmění.

(2) Zhotovitel navrhne vnitřní organizaci v rámci své odpovědnosti tak, aby splňovala zvláštní požadavky na ochranu údajů. Učiní technická a organizační opatření k adekvátní ochraně údajů klienta, která splňují požadavky obecného nařízení o ochraně údajů (GDPR čl. 32). Zhotovitel přijme technická a organizační opatření k zajištění dlouhodobé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb v souvislosti se zpracováním. Klient je seznámen s těmito technickými a organizačními opatřeními a je zodpovědný za to, že je zajištěna odpovídající úroveň ochrany před riziky spojenými se zpracovávaním údajů.
Zhotovitel si vyhrazuje právo změnit přijaté bezpečnostní opatření, musí však být zajištěno, že neklesnou pod již dohodnutou úroveň ochrany.

(3) Zhotovitel v dohodnutém rozsahu podporuje klienta v rámci svých možností při plnění žádostí a nároků subjektů údajů v souladu s GDPR kap. III, tak jako při plnění povinností uvedených v GDPR čl. 33 - 36.

(4) Zhotovitel zaručuje, že zaměstnanci podílející se na zpracování údajů klienta a další osoby pracující pro zhotovitele mají zakázáno zpracovávat údaje mimo pokyny. Dodavatel dále zaručuje, že osoby oprávněné zpracovávat osobní údaje se zavázaly zachovat důvěrnost nebo podléhají příslušné zákonné povinnosti mlčenlivosti. Povinnost důvernosti a mlčenlivosti zůstává nadále platná i po ukončení objednávky.

(5) Zhotovitel je povinen okamžitě informovat klienta, pokud zjistí, že došlo k porušení ochrany osobních údajů klienta.

Zhotovitel přijme nezbytná opatření k zajištění údajů a zmírnění možných nepříznivých důsledků pro subjekty údajů a neprodleně je konzultuje s klientem.

(6) Zhotovitel zajistí pro klienta kontaktní osobu, která zodpoví veškeré dotazy v rámci tohoto prohlášení o ochraně údajů.

(7) Zhotovitel zajistí splnění své povinnosti v souladu s GDPR čl. 32 odst. 1 písm. d, tedy stanovit postup pro pravidelné přezkoumání účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.

(8) Zhotovitel opraví nebo vymaže dohodnuté údaje, pokud o to klient zažádá a pokud je to obsaženo v pokynech. Není-li v souladu s ochranou údajů nebo odpovídající omezení zpracování dat možné, provede zhotovitel zničení nosičů dat a dalších materiálů v souladu s ochranou údajů na základě individuálního nařízení ze strany klienta, nebo vrátí tyto nosiče údajů klientovi, pokud již toto nebylo dohodnuto.
Ve zvláštních případech, které určí klient, budou uložení, příp. předání, odškodnění a ochranná opatření dohodnuty zvlášť.

(9) Data, nosiče, tak jako všechny ostatní materiály musí být na konci objednávky na žádost klienta odevzdány nebo smazány.

(10) V případě nároku klienta na náhradu újmy subjektem údajů, s ohledem na případné nároky v souladu s GDPR čl. 82, se zhotovitel zavazuje podporovat klienta při obhajobě nároku v rozsahu jeho možností.

§ 5 Povinnosti klienta
(1) Klient je povinen neprodleně a v plném rozsahu informovat zhotovitele, pokud zjistí chyby nebo nesrovnalosti ve výsledné objednávce v souladu s nařízením o ochraně osobních údajů.

(2) V případě nároku klienta na náhradu újmy subjektem údajů, s ohledem na případné nároky v souladu s GDPR čl. 82, platí §4 ods. 10 odpovídajícím způsobem.

(3) Klient zajistí pro zhotovitele kontaktní osobu, která zodpoví veškeré dotazy v rámci tohoto prohlášení o ochraně údajů.

§ 6 Požadavky od subjektů údajů
Pokud se subjekt údajů obrátí na zhotovitele s žádostí na opravu, vymazání nebo na informace, odkáže zhotovitel subjekt údajů na klienta, a to za předpokladu, že podle údajů uvedených subjektem údajů je přiřazení ke klientovi možné. Zhotovitel zašle neprodleně žádost subjektu údajů klientovi. Zhotovitel je povinen podporovat klienta v rozsahu svých možností a na základě pokynu v dohodnutém rozsahu. Zhotovitel neručí za to, pokud klient neodpoví na žádost subjektu údajů, neodpoví správně nebo neodpoví včas.

§ 7 Možnosti důkazu
(1) Zhotovitel musí klientovi prokázat, že splnil povinnosti stanovené v této dohodě vhodnými prostředky.

(2) Jsou-li v jednotlivých případech vyžadovány kontroly klienta nebo auditora pověřeného klientem, musí být provedeny v běžných provozních hodinách, aniž by došlo k narušení provozu po oznámení této skutečnosti, s přihlédnutím k době nutné k realizaci. Zhotovitel může předem provést oznámení o době nutné k realizaci, předem podepsat prohlášení o mlčenlivosti s ohledem na údaje ostatních zákazníků, tak jako zavést technické a organizační opatření. Pokud existuje konkurenční vztah mezi zhotovitelem a auditorem pověřeným klientem, má zhotovitel právo vznést námitku.
Dodavatel si může účtovat poplatek za asistenci při provádění inspekce. Náklady na inspekci jsou obvykle omezeny na jeden den v kalendářním roce pro zhotovitele.


(3) Pokud inspekci provádí úřad pro ochranu osobních údajů nebo jiný svrchovaný dozorový orgán zhotovitele, platí odstavec 2 přiměřeným způsobem. Není nutné podepsat dohodu o mlčenlivosti, pokud tento dozorový orgán podléhá profesní nebo právní mlčenlivosti, v němž je porušení trestné podle trestního zákona.

§ 8 Subdodavatel (další zhotovitelé)
(1) Využití subdodavatelů jako dodatečných zpracovatelů je přípustné pouze tehdy, pokud klient předem souhlasil.

(2) Vztah mezi subdodavateli vyžadující schválení existuje v tom případě, pokud zhotovitel pověří další dodavatele, aby vykonávali veškerou službu nebo její část dohodnutou ve smlouvě. Dodavatel uzavře s těmito třetími stranami dohody v rozsahu nezbytném pro zajištění vhodných opatření na ochranu údajů a bezpečnosti informací.
Dohodnuté služby nebo částečné služby popsané níže jsou prováděny těmito subdodavateli:

Jméno a adresa subdodavatele
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlín
Datové centrum v regionu AWS Frankfurt, Německo (datové centrum)

Popis dílčích služeb
-korekce obrazu
-úprava dat pro tisk
-ukládání dat

Před jmenováním dalších subdodavatelů nebo před nahrazením uvedených subdodavatelů musí zhotovitel získat od klienta souhlas, který nelze odmítnout bez oprávněného důvodu na základě zákona o ochraně údajů.

(3)Pokud zhotovitel zadá objednávky subdodavatelům, je zhotovitel zodpovědný za převedení povinností týkající se ochrany údajů podle této dohody na subdodavatele.

§ 9 Povinnost informovat, klauzule písemné formy, volba práva
(1) Pokud by údaje klienta byly ohroženy z důvodu zabavení nebo konfiskace, insolvenčního řízení nebo vyrovnacího řízení nebo jiných událostí nebo z důvodu opatření třetích stran, musí zhotovitel neprodleně informovat klienta. Zhotovitel neprodleně informuje všechny odpovědné osoby o tom, že svrchovanost a vlastnictví těchto údajů spadá výhradně na klienta jako "správce údajů" ve smyslu obecného nařízení o ochraně údajů.

(2) Změny a doplnění této přílohy a všech jejích částí - včetně veškerých záruk zhotovitele - vyžadují písemnou dohodu, která může být vyhotovena i v elektronické formě (textový formát), a s výslovným upozorněním, že tyto podmínky byly změněny nebo doplněny. To platí i pro případ vzdání se tohoto formálního požadavku.

(3) V případě jakýchkoliv rozporů mají ustanovení této dohody o ochraně údajů přednost před ustanoveními smlouvy. Pokud jsou jednotlivé části této přílohy neplatné, nemá to vliv na platnost zbývající části přílohy.

(4) Platí německé právo.

§ 10 Ručení a odpovědnost za škody
Klient a zhotovitel ručí vůči subjektům údajů v souladu s ustanoveními v GDPR čl. 82.

§ 11 Salvátorská klauzule, soudní přílušnost, Použitelnost
(1) V případě, že jsou některá ustanovení této dohody neplatná nebo nejsou příp. nebudou nevymahatelná , neovlivní to zbývající ustanovení této dohody. Strany se dohodly, že nahradí neplatné nebo nevymahatelné ustanovení platnými a vymahatelnými ustanoveními, které se nejvíce blíží ekonomickému cíli zúčastněných stran. Totéž platí v případě mezery v právu.

(2) Změny a doplnění této dohody a všech jejích částí - včetně záruk zhotovitele -vyžadují písemnou dohodu nebo dohodu v textové formě (elektronický formát), a s výslovným upozorněním, že se jedná o změnu nebo doplnění této dohody. To platí i pro případ vzdání se tohoto formálního požadavku.

(3) Tento překlad je určen pouze pro informativní účely a není právně závazný. Původní ustanovení jsou obsažena v originální německé verzi.

(4) Je dohodnuto, že místem soudní příslušnosti je Siegen.

16.07.2026, [[Ort]]
podepsán [[Name]]

16.07.2026, Siegen
podepsán Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (vedení společnosti, Saal Digital Fotoservice GmbH)

[Tato smlouva je platná bez podpisu.]
Apendix A: Podrobnosti k procesu objednávky
1. Typ dat
2. Druh a účel zpracování údajů
3. Kategorie zainteresovaných osob
Apendix B: Technická a organizační opatření
Opatření Cíl ochrany Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Signatáři

Signatáři 1

Zpět