3.1
Za účelem zachování mlčenlivosti o zpracování dle čl. 28 odst. 3 věta 2 písm. b, 29 a 32 odst. 4 GDPR je dodavatel povinen osoby zúčastněné na zpracování osobních údajů písemně zavázat.
3.2
Dodavatel je povinen uspořádat procesy a opatření, za které odpovídá, tak, aby splňovaly požadavky na ochranu osobních údajů a aby bylo zajištěno, že osobní údaje budou zpracovávány pouze v souladu s pokyny pro ochranu osobních údajů vydanými objednavatelem (zejména oddělením osobních údajů od údajů jiných objednavatelů dodavatele) a nebudou poskytnuty neoprávněným třetím osobám.
3.3
V rámci odpovědnosti, která mu byla smlouvou svěřena, je dodavatel povinen dodržovat bezpečnost zpracování údajů v souladu s čl. 28 odst. 3 písm. c, 32 GDPR, zejména v souvislosti s čl. 5 odst. 1 a 2 GDPR. Je povinen učinit příslušná technická a organizační opatření, která jsou nezbytná pro zajištění bezpečnosti dat a zajištění úrovně ochrany odpovídající riziku s ohledem na důvěrnost, integritu, dostupnost a odolnost systémů a služeb v souvislosti se zpracováním. Přitom je třeba vzít v úvahu současný stav techniky, náklady na provedení a způsob, rozsah, podmínky a účel zpracování a různé pravděpodobnosti výskytu a závažnosti rizika pro práva a svobody fyzických osob ve smyslu čl. 32 (1) GDPR. S výhradou dalších pokynů objednavatele k ochraně osobních údajů platí technická a organizační opatření uvedená v Příloze 2 této Dohody o zpracování údajů jako opatření ve smyslu článku 3.3 této dohody.
3.4
Dodavatel je povinen nezpracovávat žádné osobní údaje nad rámec toho, co je nezbytně nutné pro splnění povinností ze smlouvy (zejména je nesmí neoprávněně reprodukovat nebo postoupit třetím osobám).
3.5
Veškeré osobní údaje, které byly poskytnuty objednavatelem a byly dodatečně zpracované, musí dodavatel ve všech svých systémech (včetně všech kopií a také v archivačních a záložních souborech) neodvolatelně smazat nebo zničit v souladu s ustanoveními přílohy 2 této Dohody o zpracování údajů (dále jen „smazat“), jakmile již zpracování osobních údajů není nezbytné pro splnění účelu zpracování objednávky.
3.6
Smazání osobních údajů musí být dodavatelem zdokumentováno a na požádání písemně potvrzeno objednavateli. Tato povinnost výmazu se nevztahuje na osobní údaje, které mají být uchovávány z důvodu zákonné povinnosti uchovávat a/nebo ukládat údaje. Zpracování těchto osobních údajů musí být omezeno v souladu se zákonnými ustanoveními a musí být smazáno, jakmile vyprší doba uchovávání.
