PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
ve smyslu článku 28 obecného nařízení o ochraně osobních údajů (EU) 2016/679 („Podmínky“)
(A) Společnost ORBIT s.r.o., se sídlem Xxxxxxxx 0000/0x, Xxxxxx, 000 00 Xxxxx 3, IČO: 166 28 110, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 156620 („ORBIT“) vydává tyto Podmínky, které tvoří nedílnou součást Smlouvy o poskytování služeb.
(B) Služby poskytované společností ORBIT zahrnují aktivity, při kterých dochází ke zpracování osobních ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“).
(C) Na základě článku 28 GDPR je správce povinen uzavřít se zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, přičemž tyto Podmínky plní právě účel zmíněné písemné smlouvy o zpracování osobních údajů.
1. DEFINICE
1.1 Slova a výrazy s velkým počátečním písmenem mají následující význam pro účely těchto Podmínek:
„Občanský zákoník“ | zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů; |
„Objednatel“ | osoba, která se společností ORBIT uzavřela Smlouvu o poskytování služeb, která výslovně odkazuje na tyto Podmínky a činí je – Podmínky – tak nedílnou součástí příslušné smlouvy, resp. Obchodních podmínek služby Discover365; |
„Osobní údaje“ | jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu, která podléhá ochraně ve smyslu článku 4 bodu 1) GDPR; |
„Správce“ | Objednatel; |
„Subjekt údajů“ | fyzická osoba, které se osobní údaje týkají; v kontextu těchto Podmínek se jedná o uživatele služby Discover365; |
„Smlouva o poskytování služeb“ | Smlouva o poskytování služeb vč. Obchodních podmínek služby Discover365; |
„Strany“ | společnost ORBIT a Objednatel; |
„Zpracovatel“ | společnost ORBIT s.r.o., IČO: 166 28 110; |
„Zákon o zpracování osobních údajů“ | zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů. |
2. PŘEDMĚT
2.1 Podmínky upravují vztahy mezi Stranami, zejména pak vymezují účel, pro který budou Osobní údaje zpracovávány, možnosti, jakými může být s poskytnutými Osobními údaji nakládáno, a záruky obou Stran zajišťující náležité plnění některých povinností vyplývajících z GDPR a použitelných právních předpisů na ochranu Osobních údajů včetně zajištění technického a organizačního zabezpečení Osobních údajů.
3. ÚČEL, ROZSAH A DOBA UCHOVÁNÍ
3.1 Zpracovatel bude ve smyslu článku 4 bodu 2) GDPR pro Správce zpracovávat osobních údaje v rámci plnění povinností Zpracovatele vyplývajících ze Smlouvy o poskytování služeb.
3.2 Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Smlouvy o poskytování služeb, a to zejména v souvislosti s poskytovanou službou Discover365.
3.3 Zpracovatel bude dle těchto Podmínek zpracovávat Osobní údaje Subjektů údajů v rozsahu jméno, příjmení, telefon, e-mailová adresa, pracovní pozice, popřípadě jakékoliv další údaje, které Správce či Subjekt údajů sám poskytne.
3.4 Na základě těchto Podmínek ani Smlouvy o poskytování služeb zpravidla nejsou zpracovávány zvláštní kategorie osobních údajů ve smyslu článku 9 GDPR.
3.5 V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími (i) z GDPR, (ii) ze Zákona o zpracování osobních údajů a (iii) z těchto Podmínek.
3.6 Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání Smlouvy o poskytování služeb, nevyplývá-li ze
zvláštních právních předpisů jinak.
4. PRÁVA A POVINNOSTI ZPRACOVATELE
4.1 Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení GDPR či Zákona o zpracování osobních údajů.
4.2 Pokud by Zpracovatel zjistil, že Správce porušuje povinnosti vyplývající pro něj z GDPR, je ve smyslu článku 28 odst. 3 druhého
pododstavce GDPR povinen neprodleně Správce o této skutečnosti informovat.
4.3 Zpracovatel je povinen řídit se při zpracování Osobních údajů pokyny Správce. Pokyny musí být udělovány v souladu s těmito Podmínkami a rozumí se jimi zejména pokyny k aktualizaci, výmazu, změně nebo jinému nakládání s Osobními údaji, nikoli však pokyny rozšiřující technicko-organizační opatření nad rámec těchto Podmínek. Zpracovatel upozorní Správce na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.
4.4 Zpracovatel je povinen dbát, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.
4.5 Jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů podle článku 17 GDPR, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci.
4.6 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu se zákonem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom informovat Správce.
4.7 Zpracovatel informuje Správce o případu ztráty či úniku Osobních údajů („Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu. Zpracovatel je i po poskytnutí informace Správci nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.
4.8 Informace dle předešlého článku těchto Podmínek obsahuje přinejmenším:
(a) popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;
(b) popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;
(c) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
4.9 Zpracovatel se zavazuje umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje. Správce bere na vědomí, že (i) prováděním auditu nemohou být dotčeny oprávněné zájmy třetích osob (např. jiných správců) či subjektů údajů, zejména pokud jde o zajištění důvěrnosti osobních údajů a (ii) náklady Zpracovatele na provádění auditu budou předmětem zvláštní dohody o hrazení těchto nákladů Správcem.
4.10 Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost
Osobních údajů; pokud tyto povinnosti mohou být plněny prostřednictvím funkcionality služby Discover365, Správce nebude vyžadovat neodůvodněnou součinnost Zpracovatele.
5. ZÁRUKY O TECHNICKÉM A ORGANIZAČNÍM ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
5.1 Zpracovatel se zavazuje, že ve smyslu článku 32 GDPR přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření zabezpečení ochrany Osobních údajů způsobem uvedeným v GDPR či v jiných závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
5.2 Zpracovatel se zavazuje přijmout zejména následující organizační a technická opatření:
(a) aniž by byl dotčen článek 5.3 těchto Podmínek, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení GDPR či Podmínek;
(b) nesvěří zpracování Osobních údajů jakékoliv třetí osobě bez předchozího písemného souhlasu Správce, tím není vyloučen článek 5.3 a 5.4;
(c) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených zaměstnanců Zpracovatele;
(d) bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
(e) písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;
(f) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel a bude Osobní údaje pravidelně zálohovat;
(g) zajistí dálkový přenos Osobních údajů, buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, zejména prostřednictvím protokolu umožňujícího zabezpečenou komunikaci v počítačové síti. S přihlédnutím k povaze, rozsahu, kontextu a různě závažným rizikům mohou být některé osobní údaje posílány e-mailem;
(h) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to dle parametrů sjednaných pro danou službu v souladu se Smlouvou o poskytování služeb;
(i) zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a
(j) při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.
5.3 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel prostřednictvím webových stránek a dále e-mailem, zaslaným na e-mailovou adresu Správce v souladu s článkem 8.1 těchto Podmínek, informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Aktuální seznam Dalších zpracovatelů je přístupný na xxxxx://xxx.xxxxx.xx/xx-xxxxxxx.
5.5 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s GDPR a jinými právními předpisy.
6. PRÁVA A POVINNOSTI STRAN
6.1 Strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizaci Smlouvy o poskytování služeb v souladu s těmito Podmínkami, a to zejména v případě jednání s dozorovým úřadem nebo s jinými veřejnoprávními orgány.
6.2 V souladu se zásadou transparentnosti se Správce zavazuje vůči Subjektům údajů plnit informační povinnost v rozsahu dle článku 13 GDPR, zejména o účelech zpracování a právech Subjektu údajů.
6.3 Zpracovatel pro účely informování Subjektů údajů vyhotovil Zásady zpracování osobních údajů, které obsahují mimo jiné základní informace o zpracovávaných údajích (i) Objednatele, resp. osob oprávněných jednat jménem objednatele a (ii) uživatele služby Discover365 a které jsou dostupné xxxxx://xxx.xxxxx.xx/xx-xxxxxxx.
7. ODPOVĚDNOST
7.1 Pro vyloučení všech pochybností Strany uvádějí, že každá Strana nese odpovědnost za plnění svých vlastních povinností vyplývajících z právních předpisů, které se na ni vztahují, včetně povinností vyplývajících z GDPR a z těchto Podmínek. Každá Strana nese vlastní odpovědnost za škodu způsobenou pokutou udělenou příslušným dozorovým úřadem nebo způsobenou nároky třetích stran vůči této Straně, pokud byla tato újma způsobena porušením výlučně vlastních povinností této Strany. V případě, že druhá Strana nezavinila uložení pokuty nebo nároky třetích stran porušením své povinnosti dle těchto Podmínek, není odpovědná za újmu způsobenou pokutou uloženou příslušným úřadem jedné Straně nebo způsobenou nároky třetích stran vůči jedné Straně.
8. KOMUNIKACE STRAN
8.1 Veškerá oznámení včetně splnění informační povinnosti dle článku 4.7 a 4.8 Podmínek se považují za řádně doručená, pokud jsou
sdělena na e-mailovou adresu uvedenou ve Smlouvě o poskytování služeb.
9. ZÁVĚREČNÁ USTANOVENÍ
9.1 Podmínky tvoří nedílnou součást Smlouvy o poskytování služeb, tedy nabývají platnosti a účinnosti ke dni podpisu/uzavření Smlouvy o poskytování služeb a zanikají současně se Smlouvou o poskytování služeb. V případě, že Xxxxxx uzavřely nebo v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, uplatní se tyto Podmínky ve stejném rozsahu.
9.2 Ustanovení těchto Podmínek, která dle své povahy mají trvat i po zániku účinnosti Smlouvy o poskytování služeb či těchto Podmínek přetrvávají. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení Smlouvy o poskytování služeb.
9.3 Strany se dohodly, že za zpracování Osobních údajů dle těchto Podmínek nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Xxxxxxx o poskytování služeb.
9.4 Právní vztahy, závazky, práva a povinnosti vyplývající z těchto Podmínek, jakož i dodatky k ní a její výklad, se budou řídit GDPR,
Občanským zákoníkem a dalšími obecně závaznými právními předpisy České republiky.
9.5 Bude-li kterékoli ustanovení těchto Podmínek shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z těchto Podmínek a ostatní ustanovení Podmínek budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu těchto Podmínek. Strany v takovém případě uzavřou takové dodatky, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
9.6 Společnost ORBIT si vyhrazuje jednostrannou změnu těchto Podmínek. O každé takové změně informuje Objednatele dva (2) týdny před nabytím účinnosti této změny. Pokud Objednatel nesouhlasí se změněnými podmínkami, má možnost z tohoto důvodu jednostranně vypovědět Smlouvu o poskytování služeb. Uvedené platí obdobně také pro oznámení učiněné dle článku 5.3 těchto Podmínek. Smlouva o poskytování služeb bude v takovém případě ukončena ke dni nabytí účinnosti nových podmínek dotčených změnou nebo ke dni doručení nesouhlasu Objednatele, podle toho, co nastane později.
9.7 Podmínky zpracování osobních údajů jsou platné a účinné od 1. 3. 2022.