Shortcuts

Místní zákony o ochraně osobních údajů, na které se vztahuje smlouva o zpracování osobních údajů

(Revize 7. březen 2024)


Tato smlouva o zpracování osobních údajů zákazníků společnosti IDEXX dostupná zde  (dále jen "smlouva o zpracování osobních údajů") a její příslušné přílohy ke smlouvě o zpracování osobních údajů (dále jen "Přílohy smlouvy o zpracování osobních údajů") upravují zpracování osobních údajů (dále jen "Osobní údaje zákazníka") společností IDEXX jménem zákazníka (dále jen "Zákazník") na základě smlouvy mezi společností IDEXX a zákazníkem (dále jen "Smlouva") za účelem poskytování Služeb společnosti IDEXX, pokud a nakolik i) se použije Evropské obecné nařízení o ochraně osobních údajů (EU/2016/679) (dále jen "GDPR"); nebo ii) se použijí jakékoli jiné právní předpisy o ochraně osobních údajů uvedené níže.


Evropský hospodářský prostor:
Nařízení Evropské unie a právní předpisy členských států EHP, jiné než GDPR, které vyžadují smlouvu upravující zpracování osobních údajů, která je totožná nebo v zásadě odpovídající požadavkům uvedeným v článku 28 GDPR.


Švýcarsko:
Švýcarský federální zákon o ochraně osobních údajů ze dne 19. června 1992; od 1. září 2023 jeho zcela revidované znění ze dne 25. září 2020 ("FADP"), ve znění pozdějších měnících nebo nahrazujících předpisů.

Pro účely oddílu 9 smlouvy o zpracování osobních údajů se pro předávání údajů do Neadekvátních zemí, na které se vztahuje FADP, ve znění pozdějších změn a úprav, použijí standardní smluvní doložky EU (“SCC EU”), a to následovně:

  1. příslušným dozorovým úřadem je švýcarský federální komisař pro ochranu údajů a informací (FDPIC) v souladu doložkou 13 a přílohouI.C SCC EU; a
  2. rozhodným právem v souladu s doložkou 17 SCC EU je švýcarské právo v případě, že se na předávání údajů vztahuje výlučně FADP; a
  3. pojem "členský stát" nesmí být vykládán tak, že vylučuje subjekty údajů ve Švýcarsku z možnosti žalovat o svá práva v místě jejich obvyklého bydliště (Švýcarsko) v souladu s doložkou 18 SCC EU; a
  4. odkazy na GDPRv SCC EU zahrnují rovněž odkaz na odpovídající ustanovení FADP (veznění pozdějších předpisů nebo v nahrazeném znění).


Brazílie:
Obecný zákon o ochraně osobních údajů v Brazílii, Lei Geral de Proteção de Dados Pessoais ("LGPD"). V zájmu jednoznačnosti jsou povinnosti společnosti IDEXX vůči Zákazníkovi podle smlouvy o zpracování osobních údajů pouze těmi výslovnými povinnostmi, které LGPD ukládá "zpracovateli údajů (operador)" ve prospěch "správce (controlador)" (včetně nového oddílu 3.5 níže), jak jsou "zpracovatel (operador)" a "správce (controlador)" definovány v LGPD:

  • 3.5 Každá strana je odpovědná za plnění svých příslušných povinností podle LGPD a Zákazník bude vydávat pouze takové pokyny ke zpracování, jak je uvedeno v oddílu 3 smlouvy o zpracování osobních údajů, které společnosti IDEXX umožní plnit její povinnosti podle LGPD. Pro účely oddílu 9 smlouvy o zpracování osobních údajů se na předávání do třetích zemí použijí standardní smluvní doložky EU podle GDPR.


Jihoafrická republika:
Jihoafrický zákon o ochraně osobních údajů č. 4 z roku 2013 ("POPIA"). V zájmu jednoznačnosti jsou povinnosti společnosti IDEXX vůči Zákazníkovi podle smlouvy o zpracování osobních údajů těmi výslovnými povinnostmi, které POPIA ukládá "provozovateli" (ekvivalent "zpracovatele") ve prospěch "odpovědné strany" (ekvivalent "správce"). Každá strana je odpovědná za plnění svých příslušných povinností podle POPIA. Pro účely oddílu 9 POPIA se na předávání do třetích zemí podle  GDPR použijí standardní smluvní doložky EU.
 

Spojené království:
Obecné nařízení o ochraně osobních údajů Spojeného království (začleněné do britského práva na základě zákona Evropské unie (vystoupení) z roku 2018), zákon Spojeného království o ochraně osobních údajů z roku 2018, oba ve znění Nařízení o ochraně osobních údajů, soukromí a elektronických komunikacích (změny atd.) (vystoupení z EU) z roku 2019, ve znění pozdějších změn. Pro účely oddílu 9 smlouvy o zpracování osobních údajů se v případě předávání údajů do zemí, které neposkytují odpovídající úroveň ochrany podle obecného nařízení Spojeného království o ochraně osobních údajů, bude postupovat následovně. Strany při předávání osobních údajů ze Spojeného království mohou použít standardní smluvní doložky EU s tím, že je doplní o "dodatek Spojeného království ke standardním smluvním doložkám EU" vydaným Úřadem komisaře pro informace podle čl. 119A odst. 1 zákona o ochraně osobních údajů z roku 2018 (dále jen "Dodatek Spojeného království"). Na předávání těchto osobních údajů se rovněž vztahují standardní smluvní doložky EU vyplněné podle oddílu 9 smlouvy o zpracování osobních údajů. Dodatek Spojeného království se považuje za uzavřený mezi společností IDEXX a Zákazníkem a standardní smluvní doložky EU se považují za změněné, jak je uvedeno v Dodatku Spojeného království, pokud jde o předávání takových osobních údajů.

Japonsko:
Japonský zákon o ochraně osobních údajů č. 57 z roku 2003 ("APPI"), v platném znění. Pro upřesnění je třeba uvést, že povinnosti společnosti IDEXX vůči Zákazníkovi podle smlouvy o zpracování osobních údajů jsou ty, které APPI vyžaduje, aby Zákazník jako "provozovatel podniku zpracovávajícího osobní údaje" svěřil zpracování Osobních údajů zákazníka společnosti IDEXX jako "pověřené osobě", jak jsou tyto pojmy používány v APPI.

Kalifornie:
Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018, ve znění kalifornského zákona o právech na ochranu soukromí, a veškeré související předpisy ("CCPA"). Povinnosti společnosti IDEXX vůči zákazníkovi podle smlouvy o zpracování osobních údajů jsou ty, které CCPA vyžaduje, aby měl "Podnik" (kterým je Zákazník a který je ekvivalentem "Správce" podle smlouvy o zpracování osobních údajů) vůči "Poskytovateli služeb" (kterým je společnost IDEXX a který je ekvivalentem "Poskytovatele služeb” podle smlouvy o zpracování osobních údajů), jak jsou tyto pojmy definovány v CCPA.  Kromě toho:

Pojmy "prodat" a "sdílet" mají význam, který jim dává CCPA.  Pojem "Osobní údaje" použitý ve smlouvě o zpracování osobních údajů se nahrazuje pojmem "Osobní informace". Pojem "Subjekt údajů" použitý ve smlouvě o zpracování osobních údajůse nahrazuje pojmem "spotřebitel". Pojem "Zvláštní kategorie osobních údajů" použitý ve smlouvě o zpracování osobních údajů se nahrazuje pojmem "Citlivé osobní informace". "Deidentifikovanými informacemi" se rozumí údaje, které nelze rozumně použít k odvození informací o identifikovaném nebo identifikovatelném spotřebiteli nebo zařízení spojeném s takovou osobou nebo k jejich jinému propojení.

Vkládá se nový oddíl 3.5, který zní:

  • 3.5.  Společnost IDEXX je povinna:
  1. neprodávat ani nesdílet Osobní informace;
  2. Osobní informace dále nekombinovat, neuchovávat, nepoužívat ani nezveřejňovat: (A) mimo přímý obchodní vztah mezi společností IDEXX a Zákazníkem; nebo (B) pro jiné účely než pro obchodní účely uvedené ve Smlouvě, ledaže CCPA dovoluje jinak;
  3. na pokyn Zákazníka přestat používat Citlivé osobní informace k jinému účelu než k poskytování Služeb, pokud Dodavatel skutečně ví, že Osobní informace jsou Citlivými osobními informacemi;
  4. zdržet se pokusů o opětovnou identifikaci jakýchkoli deidentifikovaných informací, které Zákazník sdělil společnosti IDEXX na základě Smlouvy;
  5. zdržet se vyhovění žádostem spotřebitelů o výmaz zaslaným přímo společnosti IDEXX v rozsahu, v jakém společnost IDEXX shromáždila, použila, zpracovala nebo uchovávala Osobní informace v roli Poskytovatele služeb Zákazníkovi;
  6. neprodleně informovat Zákazníka, pokud společnost IDEXX zjistí, že již nemůže plnit své povinnosti podle kalifornského zákona o ochraně údajů nebo podle tohoto oddílu; a
  7. zůstat odpovědná za vlastní porušení CCPA společností IDEXX.