PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
1. Úvodní informace
1.1. Veškeré pojmy s velkým počátečním písmenem obsažené v těchto Podmínkách o zpracování osobních údajů (dále jen „Podmínky“), které jsou zároveň definované ve Smlouvě o poskytování systému Cargotic (dále jen „Smlouva“) mají stejný význam, jaký jim dává Smlouva.
1.2. Tyto Podmínky jsou zpracovány v souladu se Zákonem o zpracování osobních údajů a s GDPR.
1.3. Poskytovatel bude v souvislosti s poskytnutím Systému Objednateli nakládat s osobními údaji Objednatele, resp. jeho zaměstnanců, dispečerů Objednatele, odesílatelů a příjemců objednávek a řidičů zajišťujících převoz objednávek, přičemž bude docházet ke zpracování osobních údajů ve smyslu zákona č. 110/2019, o zpracování osobních údajů (dále jen „Zákon o zpracování osobních údajů“) a Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“). Poskytovatel bude ve vztahu ke zpracování osobních údajů vystupovat jako zpracovatel (dále jen „Zpracovatel“). Objednatel bude vystupovat jako správce (dále jen „Správce“).
2. Předmět Podmínek
2.1. Předmětem Podmínek je stanovení práv a povinností Správce a Zpracovatele souvisejících se zpracováním osobních údajů, a to za podmínek uvedených dále v těchto Podmínkách.
2.2. Zpracovatel se zavazuje pro Správce zpracovávat osobní údaje v rozsahu, za účely, po dobu a způsoby uvedenými v článku 3 těchto Podmínek, a to v souladu s doloženými pokyny Správce vydanými v souladu s odst. 3.4 těchto Podmínek.
3. Zpracování osobních údajů
3.1. Zpracovatel se zavazuje na základě těchto Podmínek zpracovávat následující kategorie a typy osobních údajů týkající se následujících kategorií subjektů údajů (dále jen „Osobní údaje“):
Typ osobních údajů | Kategorie osobních údajů | Kategorie subjektů údajů, ke kterým se osobní údaje vztahují |
Ostatní (nikoliv zvláštní kategorie osobních údajů) | identifikační údaje kontaktní údaje přihlašovací údaje | Správce, popř. zástupce Správce |
Ostatní (nikoliv zvláštní kategorie osobních údajů) | identifikační údaje kontaktní údaje přihlašovací údaje | Zaměstnanci Správce |
Ostatní (nikoliv zvláštní kategorie osobních údajů) | Identifikační údaje Kontaktní údaje | Zákazníci Správce, popř. zástupci či zaměstnanci zákazníků Správce |
Adresní údaje | ||
Údaje o poloze | ||
Informace o objednané službě, uzavřené smlouvě a plnění smlouvy | ||
Ostatní (nikoliv zvláštní | Identifikační údaje | Partneři Správce, zejména dopravci a |
kategorie osobních údajů) | Kontaktní údaje | jejich zástupci |
Adresní údaje | ||
Údaje o poloze | ||
Informace o objednané | ||
službě, uzavřené smlouvě a | ||
plnění smlouvy |
3.2. Zpracování Osobních údajů Zpracovatele bude mít povahu shromažďování, zaznamenávání, ukládání na nosiče informací, třídění, předávání a uchovávání, jakož i další povahu nezbytnou k plnění předmětu Smlouvy, a to automatizovaně a případně i manuálně tak, aby tato činnost odpovídala těmto účelům zpracování Osobních údajů
3.2.1. zpřístupnění Systému Objednateli, včetně vedení a správy uživatelského účtu Objednatele, popř. jeho zástupců a dalších zaměstnanců;
3.2.2. vedení objednávek, včetně zajištění komunikace a souvisejících funkcí, které jsou spojeny s vyřízením objednávek a fakturace;
3.2.3. vytváření statistik a souvisejících přehledů.
3.3. Zpracovatel bude zpracovávat Osobní údaje po dobu účinnosti Smlouvy.
3.4. Zpracovatel bude zpracovávat Osobní údaje dle těchto Podmínek pouze na základě pokynu dle těchto Podmínek a Smlouvy.
3.5. Zpracovatel se zavazuje zpracovávat Osobní údaje i v souladu s dalšími doloženými pokyny Správce, které může Správce Zpracovateli udělit v souladu se Smlouvou a které Správce Zpracovateli udělí v průběhu trvání Smlouvy, a to e-mailem.
3.6. Zpracovatel se zavazuje informovat Správce, v případě, že podle jeho názoru určitý pokyn Správce porušuje GDPR nebo jiné předpisy Evropské unie či jiného členského státu.
4. Mlčenlivost
4.1. Pro vyloučení pochybností se ve vztahu ke zpracování osobních údajů zavazuje Zpracovatel zachovávat mlčenlivost o zpracování osobních údajů a souvisejících okolnostech, a to v souladu s čl. 11 Smlouvy.
4.2. Zpracovatel se zavazuje ve vztahu k Důvěrným informacím zavázat mlčenlivostí všechny své zaměstnance, popřípadě třetí osoby, které zpracovávají Osobní údaje na základě smlouvy se Zpracovatelem, ve stejném rozsahu, jako je zavázán on sám, a to i po skončení pracovněprávního nebo smluvní vztahu mezi příslušnou osobou a Zpracovatelem. Zpracovatel odpovídá za porušení povinnosti mlčenlivosti těchto osob, jako by se porušení této povinnosti dopustil on sám.
5. Zabezpečení Osobních údajů
5.1. Zpracovatel se zavazuje přijmout vhodná opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů; a které odpovídají rizikům.
5.2. Zpracovatel se zavazuje s přihlédnutím k okolnostem učinit zejména následující ochranná opatření:
5.2.1. Osobní údaje uchovávané v elektronické podobě chránit před neoprávněným přístupem pomocí vytvoření přístupových práv a kontroly přístupu do sítě včetně technologie firewallů, jak hardwarových, tak i softwarových komponent, technologie detekce síťových průniků, pseudonymizace a šifrovací technologie, vybrané podle jejich vhodnosti;
5.2.2. Pravidelné zálohování dat včetně zajištění potřebného software a hardware pro provádění bezpečnostních záloh;
5.2.3. Určit pověřené fyzické osoby ke zpracování Osobních údajů, přičemž pouze tyto osoby budou oprávněny k přístupu a zpracování Osobních údajů v souladu s ustanoveními těchto Podmínek;
5.2.4. Zajistit pořízení elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zobrazeny, zaznamenány nebo jinak zpracovány;
5.2.5. Přijmout případně další technická opatření, která jsou obecně uznávána jako vhodná bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.
5.3. Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany Osobních údajů v souladu se Zákonem o zpracování osobních údajů a jinými právními předpisy, zejména GDPR, a udržovat takovou dokumentaci aktuální. Zpracovatel se zavazuje zpřístupnit dokumentaci
technických a organizačních opatření Správci nejpozději do 10 pracovních dní od doručení žádosti Správce.
6. Zapojení dalšího zpracovatele
6.1. Správce bere na vědomí a souhlasí s tím, že Zpracovatel zapojí do zpracování Osobních údajů podle těchto Podmínek i další zpracovatele ve smyslu čl. 28 odst. 2 GDPR, a to za splnění podmínek stanovených v tomto článku 6. Zpracovatel se zavazuje informovat Správce o veškerých dalších zpracovatelích, které zamýšlí zapojit do zpracování Osobních údajů, případně o nahrazení již zapojených dalších zpracovatelů. Správce je oprávněn vyslovit vůči zapojení či změně dalšího zpracovatele odůvodněné námitky, a to do 5 (pěti) pracovních dní ode dne doručení příslušného oznámení Zpracovatele týkajícího se zapojení či změny dalšího zpracovatele.
6.2. Zpracovatel hodlá do zpracování zapojit Osobních údajů následující další zpracovatele:
6.2.1. [Google cloud - poskytovatel cloudových služeb]
6.3. Zpracovatel se zavazuje zavázat Dalšího zpracovatele stejnými povinnostmi, jakými je Zpracovatel na základě těchto Podmínek vázán sám.
6.4. Zpracovatel odpovídá za zpracování Osobních údajů, které svěřil Dalšímu zpracovateli, v plném rozsahu. Zpracovatel odpovídá za porušení povinností dle těchto Podmínek nebo dle právního řádu při zpracování Osobních údajů Dalším zpracovatelem, jako by se porušení příslušné povinnosti dopustil od sám.
7. Součinnost a audit
7.1. Zpracovatel se zavazuje poskytovat Správci součinnost v rozsahu nezbytném k zajištění souladu zpracování Osobních údajů dle těchto Podmínek s právním řádem. V rámci této součinnosti se zavazuje Zpracovatel zejména (nikoliv však pouze):
7.1.1. bez zbytečného odkladu přijmout technická nebo organizační opatření v rozsahu nezbytném k prevenci nebo nápravě porušení těchto Podmínek nebo právních předpisů upravujících ochranu osobních údajů;
7.1.2. být nápomocen Správci při zavádění a udržování vhodných technických a organizačních opatření zpracování Osobních údajů v souvislosti s plněním těchto Podmínek;
7.1.3. bez zbytečného odkladu hlásit Správci každé porušení zabezpečení Osobních údajů nebo jiný bezpečnostní incident, který by se mohl dotknout zpracování Osobních údajů dle těchto Podmínek nebo práv a právem chráněných zájmů subjektů Osobních údajů;
7.1.4. být nápomocen Správci při posuzování vlivu na zpracování Osobních údajů dle těchto Podmínek, popř. při předchozích konzultacích s dozorovým úřadem;
7.1.5. bez zbytečného odkladu poskytnout Správci veškeré podklady a informace nezbytné k doložení toho, že zpracování Osobních údajů dle těchto Podmínek probíhá v souladu s právním řádem;
7.1.6. v souladu s právní řádem bez zbytečného odkladu informovat Správce o žádosti subjektu Osobních údajů, který uplatnil své právo, jež mu právní řád přiznává (právo na přístup, opravu, výmaz apod.) u Zpracovatele a předat Správci veškeré informace související s touto žádostí.
7.2. Správce má právo provést u Zpracovatele audit souladu zpracování Osobních údajů s právním řádem a audit zabezpečení Osobních údajů (dále jen souhrnně „Audit“), a to prostřednictvím sebe nebo pověřené třetí osoby. Zpracovatel se zavazuje poskytnout Správci nebo Správcem pověřené třetí osobě veškerou součinnost nezbytnou k provedení Auditu, zejm. poskytnout dokumentaci technických a organizačních opatření zpracování Osobních údajů a jiné interní předpisy týkající se zpracování Osobních údajů, na nezbytně nutnou dobu zpřístupnit své elektronické a informační systémy v rozsahu nezbytném k provedení Auditu. Správce se zavazuje provést Audit tak, aby bylo fungování Zpracovatele narušeno pouze v nezbytné míře.
7.3. Správce má právo provést Audit vždy jednou za rok trvání Smlouvy.
7.4. V případě, že má Správce v úmyslu uskutečnit u Zpracovatele Audit, je povinen o tom Zpracovatele informovat nejpozději 30 dní před termínem zamýšleného Auditu. Smluvní strany se dohodly, že Zpracovatel má právo navrhnout jiný vhodný termín, ne však později než 14 dní od termínu navrhovaného Správcem. Zpracovatel má povinnost tuto skutečnost Správci oznámit do 3 pracovních dnů ode dne doručení oznámení Správce o provedení Auditu. V případě, že Správce nebude s takto navrženým termínem souhlasit, termín Auditu bude stanoven na desátý pracovní den následující po původním Správcem navrženém termínu Auditu.
7.5. Zpracovatel se zavazuje bez zbytečného odkladu přijmout technická a organizační opatření k nápravě pochybení nebo bezpečnostních rizik zjištěných Auditem v rozsahu nezbytném k zajištění nápravy.
7.6. Zpracovatel se zavazuje, že Správce bude oprávněn provést Audit u Dalšího zpracovatele v rozsahu a za podmínek dle odst. 7.2. až 7.5. těchto Podmínek.
8. Ostatní povinnosti Zpracovatele
8.1. Zpracovatel se zavazuje plnit povinnosti zpracovatele stanovené Zákonem o zpracování osobních údajů, GDPR a těmito Podmínkami, a to zejména:
8.1.1. dodržovat prostředky a způsoby zpracování Osobních údajů stanovené těmito Podmínkami;
8.1.2. zpracovat pouze přesné Osobní údaje, které byly získány v souladu se Zákonem o zpracování osobních údajů a GDPR, a je-li to nezbytné, Osobní údaje aktualizovat; zpracovává-li Zpracovatel nepřesné Osobní údaje, je povinen bez zbytečného odkladu provést přiměřená opatření, zejména zpracování blokovat, Osobní údaje opravit nebo doplnit, nebo není-li to možné, nepřesné Osobní údaje zlikvidovat;
8.1.3. shromažďovat Osobní údaje odpovídající účelu zpracování a pouze v rozsahu nezbytném pro naplnění tohoto účelu;
8.1.4. zpracovávat Osobní údaje pouze v souladu s účelem, k němuž byly shromážděny;
8.1.5. uchovávat Osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování;
8.1.6. nesdružovat Osobní údaje, které byly získány k rozdílným účelům;
8.1.7. zpracovávat Osobní údaje tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů;
8.1.8. přijmout bezpečnostní opatření stanovená těmito Podmínkami;
8.1.9. provést likvidaci Osobních údajů na základě pokynu Správce nebo na základě žádosti subjektu Osobních údajů; a
8.1.10. nepředávat Osobní údaje třetím osobám bez pověření Správce.
9. Ukončení zpracování Osobních údajů
9.1. Zpracovatelský vztah vyplývající z těchto Podmínek trvá do ukončení Smlouvy za podmínek Smlouvou stanovených.
9.2. V případě ukončení Smlouvy se Zpracovatel zavazuje všechny Osobní údaje předat Správci a vymazat existující kopie, pokud mu zákon neukládá takové existující kopie zachovat.
9.3. Zpracovatel se zavazuje zachovávat mlčenlivost dle čl. 4. těchto Podmínek a zajistit zabezpečení Osobních údajů, pokud tyto Osobní údaje nezlikviduje, i po ukončení Smlouvy.
10. Závěrečná ustanovení
10.1. Tyto Podmínky jsou nedílnou součástí Smlouvy.
10.2. Pokud vyjde najevo, že některé z ustanovení těchto Podmínek je nebo se stalo neplatným, v rozporu s vůlí Objednatele nebo Poskytovatele neúčinným nebo neaplikovatelným nebo že taková neplatnost, neúčinnost nebo neaplikovatelnost neodvratně nastane (zejména v důsledku změny příslušných právních předpisů),
nemá to vliv na platnost, účinnost nebo aplikovatelnost ostatních ustanovení těchto Podmínek.