Dodatek všeobecných obchodních podmínek ve vztahu k GDPR
dodatek je platný od 5.4.2018
Dodatek všeobecných obchodních podmínek ve vztahu k GDPR
ZPRACOVATELSKÁ SMLOUVA
Dodatek upravuje smluvní vztahy mezi poskytovatelem služby a odběratelem vzhledem k NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR).
Vymezení základních pojmů
GDPR (General Data Protection Regulation) – nařízení Evropského parlamentu a rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
DPO (Data Protection Officer) – pověřenec pro ochranu osobních údajů poskytovatele.
Subjekt dat (Data subject) – fyzická osoba nepodnikatel.
Správce dat (Data controller) – fyzická osoba podnikatel, nebo právnická osoba.
Zpracovatel dat (Data processor) – poskytovatel služby v případě, kdy odběratelem dat je správce dat.
Technologie poskytovatele – technická infrastruktura, která je nezbytná pro poskytování služeb odběrateli.
HW (hardware) - veškeré fyzicky existující technické vybavení sítě, počítače nebo serveru.
SW (software) - sada všech počítačových programů používaných v počítači nebo na serveru.
Smluvní strany
Poskytovatel služby Libor Xxxxx Xxxxxxxxx 0000/0
700 30 Ostrava – Hrabůvka
IČ: 70311919 DIČ: CZ7901045581
zastoupena Ing. Liborem Xxxxxxx, Ph.D. (dále jen „poskytovatel“)
DPO poskytovatele – Xxx. Xxxxxx Xxx
Odběratel služby
Odběratelem v souvislosti s tímto dodatkem obchodních podmínek je fyzická osoba, právnická osoba nebo fyzická osoba podnikatel, která provedla objednání služby prostřednictvím www stránek xxx.xxxxxxxxxxxx.xx nebo elektronickou poštou na adrese xxxx@xxxxxxxxxxxx.xx a jedná se o subjekt dat, který je v přímém vztahu s poskytovatelem služby jako správcem dat, nebo se jedná o fyzickou osobu podnikatele/právnickou osobu jako správce dat ve vztahu k poskytovateli jako zpracovateli dat.
Článek I.
Fyzické uložení a umístění dat
1. Fyzické uložení dat v elektronické nebo papírové podobě
Poskytovatel ukládá data o subjektu dat v roli správce dat a data odběratele jako správce dat v roli zpracovatele dat v následujících lokalitách:
DC MI BRNO - umístění primárních technologií a primárních záloh, uložení dat výhradně v elektronické podobě
Datacentrum společnosti Master Internet, s.r.o, - Cejl 20, 602 00 Brno, Česká Republika IČ: 26277557, DIČ: CZ26277557
Zapsaná v obch. rejstříku u Krajského soudu v Brně, oddíl C, vložka č. 41160
DC MI PRAHA - umístění sekundárních technologií a sekundárních záloh, uložení dat výhradně v elektronické podobě
Datacentrum společnosti Master Internet, s.r.o, - Xxxxxxxx 00, 000 00 Xxxxx 00, Xxxxx Republika
IČ: 26277557, DIČ: CZ26277557
Zapsaná v obch. rejstříku u Krajského soudu v Brně, oddíl C, vložka č. 41160
MSIC Ostrava - kancelářské prostory a umístění terciálních záloh, uložení dat v elektronické a papírové podobě
Moravskoslezské inovační centrum Ostrava, a.s.
Technologická 372/2 708 00 Ostrava-Pustkovec, Česká Republika
Článek II. Ochrana osobních údajů
1. Rozsah zpracování osobních údajů
Poskytovatel přistupuje ke zpracování osobních údajů odběratelů vždy odpovědně tak, aby bylo účelné a maximálně bezpečné. Poskytovatel zpracovává osobní údaje výhradně za účelem poskytování objednaných služeb odběrateli a za účelem informování o změnách v rámci těchto služeb.
Poskytovatel zpracovává následující osobní údaje:
• identifikační a adresní údaje
◦ akademický titul
◦ jméno
◦ příjmení
◦ korespondenční adresa
◦ fakturační adresa
• elektronické kontaktní údaje
◦ telefon (pevný nebo mobilní)
◦ e-mailová adresa
• jiné elektronické údaje
◦ IP adresa
◦ cookies
2. Rozsah zpracování citlivých údajů
Poskytovatel neukládá a nezpracovává žádné údaje, které spadají do kategorie citlivých údajů dle GDPR.
3. Poskytování osobních údajů
Poskytovatel zpracovává osobní údaje výhradně z důvodu poskytování služeb objednaných odběratelem. Osobní údaje dále nijak neposkytuje třetím subjektům vyjma situací, kdy je poskytnutí těchto údajů vyžadováno zákonem.
4. Doba zpracování dat a právo na zapomenutí
Zpracování osobních údajů probíhá automaticky nebo manuálně po dobu trvání poskytování služby objednané odběratelem. V případě, že dojde k ukončení služby, provede poskytovatel smazání nebo anonymizaci zpracovávaných dat po uplynutí doby dvaceti čtyř měsíců.
5. Ochrana osobních údajů subjektu dat
Provozovatel vynakládá maximální úsilí k ochraně osobních, provozních a lokalizačních údajů subjektu dat tak, aby tyto údaje nebylo možné zcizit nebo zneužít třetí osobou.
6. Ochrana dat uložených správcem dat na technologiích zpracovatele dat
Provozovatel jakožto zpracovatel dat ve vztahu ke správci dat prohlašuje, že veškeré
technologie využívané pro zpracování a uložení dat správcem dat jsou ve výhradním vlastnictví provozovatele. Provozovatel vynakládá maximální úsilí k ochraně dat správce dat. K technologiím provozovatele mají přístup výhradně proškolení zaměstnanci provozovatele a vybraní zaměstnanci datacentra, kde jsou technologie provozovatele umístěny. Odběratel v roli správce dat bere na vědomí, že provozovatel v roli zpracovatele dat provádí fyzickou a SW ochranu dat v rozsahu poskytovaných služeb. Provozovatel neručí za únik dat, který vznikne v souvislosti s chybou v aplikacích používaných odběratelem nebo v souvislosti s činností zaměstnance nebo subdodavatele odběratele.
7. Zabezpečení dat subjektu dat ve vztahu ke správci dat a zabezpečení dat správce dat ve vztahu ke zpracovateli dat
Provozovatel jak v roli správce dat, tak i v roli zpracovatele dat vynakládá maximální úsilí k ochraně dat subjektu dat (v roli správce dat) nebo správce dat (v roli zpracovatele dat).
• Zabezpečení dat z pohledu síťového provozu - v rámci poskytovaných služeb používá provozovatel dvoustupňovou DDoS a IDS/IPS ochranu. První stupeň ochrany je realizován prostředky provozovatele datacentra na síťové úrovni. Druhý stupeň ochrany je provozován přímo poskytovatelem a to na úrovni síťové (DDoS) a aplikační (IDS/IPS). Odběratel bere na vědomí, že IDS/IPS ochrana nemůže odfiltrovat všechny dostupné hrozby. IDS/IPS ochrana je schopna filtrovat již známé typy hrozeb a některé hrozby určené na základě heuristické analýzy síťového a aplikačního provozu. Odběratel je povinen zajišťovat pravidelnou aktualizaci jím používaných webových aplikací a vynakládat maximální úsilí k zabezpečení svých dat.
• Zabezpečení z pohledu zaměstnanců provozovatele - zaměstnanci provozovatele jsou povinni absolvovat pravidelná bezpečnostní školení, kde jsou informováni o způsobu využití svých bezpečnostních oprávnění. Bezpečnostní oprávnění jednotlivých zaměstnanců jsou v pravidelných intervalech revidovávána a upravována tak, aby odpovídala rozsahu pracovní náplně zaměstnance.
• Zabezpečení dat z pohledu technologií provozovatele - nedílnou součásti služeb poskytovaných provozovatelem je pravidelná aktualizace a údržba veškerého SW vyjma služeb, které si odběratel spravuje zcela samostatně. Veškeré technologie provozovatele jsou podrobovány pravidelným bezpečnostním auditům.
............................................... ...............................................
poskytovatel odběratele