Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů
Níže uvedeného dne, měsíce a roku následující smluvní strany:
Společnost: eDO finance, a.s.
se sídlem: Xx Xxxxxxxx 000/00, Xxxxx, Xxxxx 4 140 00 IČ: 24783421
zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl B, vložka 23291
zastoupena: Ing. Xxxxxxxx Xxxxxxxx, předseda představenstva a Bc. Nelou Exnerovou, DiS., na základě plné moci (dále jen „Správce“)
a
Společnost/jméno a příjmení:
se sídlem/s trvalým bydlištěm:
IČ/RČ:
zapsaná v obchodním rejstříku vedeném soudem v , sp. zn.
zastoupena:
(dále jen „Zpracovatel“)
(Správce a Zpracovatel budou v této Smlouvě označovány jednotlivě jako „Smluvní strana“ a společně jako „Smluvní strany“) uzavřely, ve smyslu ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů tuto
Smlouvu o zpracování osobních údajů
(dále jen „Smlouva“)
Preambule
Zpracovatel na základě smluvních vztahů uzavřených se Správcem, poskytuje Správci v rámci svého předmětu podnikání
služby, při jejichž poskytování dochází ke zpracování osobních údajů. Správce touto Smlouvou pověřuje, ve smyslu článku č. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), Zpracovatele, aby pro něj v souvislosti s poskytováním služeb dle jeho požadavků zpracovával Osobní údaje Subjektů údajů získané Správcem a jím předané Zpracovateli ke zpracování dle pokynů Správce.
SMLUVNÍ STRANY SE DOHODLY NA NÁSLEDUJÍCÍM:
1. Pojmy
1.1. Nařízení
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů); a ostatní právní předpisy upravující zpracování Osobních údajů.
1.2. Subjekt údajů
fyzická osoba (včetně osob samostatně výdělečně činných), k níž se Osobní údaje vztahují a jejíž Osobní údaje budou na základě této Smlouvy zpracovávány Zpracovatelem.
IDD-2020-03
1.3. Osobní údaje
veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické,
fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby, které budou na základě této Smlouvy zpracovávány Zpracovatelem.
eDO finance, a.s., IČ: 24783421,
Xx Xxxxxxxx 000/00, Xxxxx, 000 00 Xxxxx 0
e-mail: xxxx@xxxxxxxxxx.xx xxx.xxxxxxxxxx.xx
1.4. Zpracování Osobních údajů
jakákoliv operace nebo soubor operací s Osobními údaji nebo soubory Osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné
zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; v souladu s Nařízením a za podmínek stanovených touto Smlouvou.
2. Předmět smlouvy
2.1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů ve
smyslu této Smlouvy a Nařízení, a to po dobu trvání této Smlouvy a v souladu s Nařízením. Předmět této Smlouvy vychází ze smlouvy (smluv) o poskytování služeb již uzavřených mezi Správcem a Zpracovatelem, které jsou uvedeny v Příloze č. 1 této Smlouvy, a dále smluv v budoucnu uzavíraných.
2.2. Zpracovatel se zavazuje zpracovávat pro Správce (v souladu s jeho pokyny) Osobní údaje Subjektů údajů, a to v
rámci poskytování služeb dle smluvních vztahů, které uzavřel se Správcem, dle Nařízení a v rozsahu a za podmínek stanovených touto Smlouvou; a zajistit Osobním údajům dostatečnou ochranu.
2.3. Cena za zpracování Osobních údajů je zahrnuta v ceně služeb poskytovaných Zpracovatelem Správci.
3. Rozsah zpracování
3.1. Rozsah zpracování
3.1.1. Zpracovatel je na základě této Smlouvy povinen zpracovávat pouze Osobní údaje přímo související s předmětem Zpracovatelem poskytovaných služeb, a to zejména v rozsahu uvedeném v článku 3.2 této smlouvy.
3.1.2. Dle dohody Smluvních stran se tato Smlouva vztahuje na Osobní údaje získané Zpracovatelem od Správce v
souvislosti s výkonem činností, které se bezprostředně vážou k předmětu služeb poskytovaných Zpracovatelem. Povaha a účel zpracování Osobních údajů jsou popsány v předmětných smlouvách.
3.2. Kategorie Osobních údajů a Subjektů údajů
Zpracovatel na základě této Smlouvy zpracovává zejména:
• identifikační a kontaktní údaje zaměstnanců, obchodních zástupců, pracovníků obchodních zástupců, členů orgánů, zákazníků, potenciálních zákazníků a jiných zpracovatelů Správce;
• informace o finanční situaci, osobních poměrech, znalostech a zkušenostech, finančních cílech, požadavcích a potřebách zákazníků a potenciálních zákazníků Správce;
• informace potřebné pro účely identifikace a kontroly zákazníků Správce ve smyslu zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů;
• informace o odborné způsobilosti a důvěryhodnosti potenciálních a stávajících obchodních zástupců a
pracovníků obchodních zástupců Správce;
• informace o nabízených službách potenciálním zákazníkům Správce;
• informace o nabízených a poskytovaných službách zákazníkům Správce;
• informace o pracovní činnosti zaměstnanců, obchodních zástupců, pracovníků obchodních zástupců a členů orgánů Správce;
• informace o zdravotním stavu zákazníků v případě sjednávání životního pojištění.
3.3. Místo poskytování služeb
Smluvně dohodnuté zpracování dat a Osobních údajů bude prováděno výlučně v České republice. Každý převod dat a Osobních údajů mimo Českou republiku vyžaduje předchozí souhlas Správce a nastane pouze v případě splnění
zvláštních podmínek Nařízení.
IDD-2020-03
4. Další závazky smluvních stran
4.1. Smluvní strany se zavazují dodržovat povinnosti při zpracování Osobních údajů v rozsahu stanoveném Nařízením a poskytovat si vzájemnou součinnost při plnění požadavků Nařízení.
4.2. Zpracovatel je povinen před uzavřením Smlouvy a vždy při změně podstatných okolností zajistit technická a
organizační opatření odpovídající úrovně v souladu s Nařízením a při uzavření Smlouvy deklarovat jejich provedení v Příloze č. 2 této Smlouvy.
4.3. Smluvní strany jsou povinny zavázat povinností mlčenlivosti všechny své zaměstnance nebo jiné fyzické osoby, které v rámci plnění svých pracovních povinností přijdou do styku s Osobními údaji ve smyslu této Smlouvy. Povinnost mlčenlivosti trvá i po skončení smlouvy po dobu neurčitou bez ohledu na ujednání o dalších závazcích
mlčenlivosti. Každá osoba nakládající s Osobními údaji Správce (stejně tak osoba jednající z pověření Správce i Zpracovatele) je povinna dodržovat mlčenlivost a pravidla na ochranu soukromí ve všech oblastech včetně oblasti telekomunikací a elektronických komunikací.
4.4. Zpracovatel je povinen zpracovávat pouze přesné Osobní údaje tak, jak je získá od Správce nebo Subjektu údajů pro Správce, v souladu s Nařízením; pouze Osobní údaje odpovídající stanovenému účelu a v rozsahu nezbytném pro naplnění tohoto účelu a předmětu této Smlouvy; zpracovávat Osobní údaje v souladu s účelem, ke kterému byly
shromážděny a ke kterému mu byly předány; zpracovávat Osobní údaje pouze otevřeně; je vyloučeno
shromažďovat Osobní údaje pod záminkou jiného účelu nebo jiné činnosti, nesdružovat Osobní údaje, které byly získány k rozdílným účelům, uchovávat Osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování.
4.5. Zpracovatel není oprávněn předávat údaje třetím osobám s výjimkou výslovného požadavku Správce.
4.6. Správce zpravidla vydává pokyny Zpracovateli písemně i elektronicky prostřednictvím e-mailu mezi odpovědnými osobami uvedenými v článku 8. této Smlouvy. Zpracovatel je povinen okamžitě informovat Správce, pokud se
domnívá, že pokyn porušuje Nařízení nebo předpisy na ochranu dat a Osobních údajů. Zpracovatel je však povinen
podle takového pokynu Správce postupovat.
4.7. Zpracovatel je povinen včas oznámit Správci všechny skutečnosti, které by mohly bránit řádnému a včasnému poskytování předmětu plnění dle této Smlouvy; v případě, že Zpracovatel zjistí, že Správce porušuje povinnosti
uložené správci dle Nařízení, je povinen Správce na to neprodleně upozornit a ukončit zpracování Osobních údajů, se kterými je Zpracovatel oprávněn disponovat. Pokud tak neučiní, odpovídá za škodu, která Subjektům údajů, jejichž Osobní údaje jsou zpracovávány, v souvislosti s takovým porušením povinnosti Zpracovatele vznikla,
společně a nerozdílně spolu se Správcem.
4.8. V případě, že Správce zjistí, že Osobní údaje zpracovávané Zpracovatelem nejsou úplné, pravdivé, nebo aktuální, je povinen tyto údaje neprodleně aktualizovat a požádat Zpracovatele o zničení neúplných, nepravdivých, nebo neaktuálních údajů a o případnou aktualizaci či doplnění Osobních údajů.
4.9. V případě, že dojde k podstatné změně v rozsahu zpracovávaných Osobních údajů, Smluvní strany se zavazují uzavřít dodatek k této Smlouvě.
4.10.Dojde-li z jakéhokoliv důvodu (např. z důvodu legislativních změn) k nutnosti změny znění této Smlouvy,
zavazují se Smluvní strany vzájemně se o nutnosti takových změn informovat a nejpozději ve lhůtě třiceti (30) dnů od předání informací dle tohoto odstavce zahájit jednání o změně této Smlouvy.
5. ZÁRUKY ZPRACOVATELE O TECHNICKÉM A ORGANIZAČNÍM ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
5.1. Technická a organizační opatření
Zpracovatel je povinen zajistit technické a organizační zabezpečení ochrany Osobních údajů a přijmout taková
opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům ze strany osob, které nejsou oprávněny se s nimi seznamovat nebo jakkoliv s nimi nakládat, k jejich kopírování, změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. Zpracovatel je povinen přijmout taková opatření v oblasti bezpečnosti údajů, která zaručují úroveň ochrany odpovídající
rizikům z hlediska důvěrnosti, integrity, dostupnosti a odolnosti systémů. Dále musí být zohledněn současný stav techniky, náklady na realizaci, povaha, rozsah a účely zpracování Osobních údajů, stejně jako pravděpodobnost výskytu rizika a jeho závažnost pro práva a svobody fyzických osob ve smyslu Nařízení.
IDD-2020-03
5.2. Technické řešení archivace listinné formy dat
5.2.1. Zpracovatel je povinen archivovat podklady Správce v souvislosti se zpracováním Osobních údajů, a to minimálně ve lhůtách určených Nařízením a příslušnými právními předpisy. Na vyžádání Správce je Zpracovatel povinen Správci nebo Správcem pověřené osobě tyto listiny předložit ve lhůtě stanovené Správcem, přičemž taková lhůta nesmí být kratší než dva (2) pracovní dny ode dne, kdy si Správce jejich předložení u Zpracovatele vyžádá. Administrátorský přístup k těmto datům mohou mít pouze určení
zaměstnanci Zpracovatele a smluvní partneři Zpracovatele (pokud k tomu dal Správce písemný souhlas). Zabezpečení prostor určených pro archivaci dat a Osobních údajů musí být v souladu s Nařízením a obecně závaznými právními předpisy.
5.2.2. Osobní údaje v listinné podobě se Zpracovatel zavazuje uchovávat minimálně v uzamykatelné skříni v
administrativní budově Zpracovatele.
5.2.3. Zpracovatel je povinen pravidelně sledovat vnitřní procesy a technické a organizační opatření, aby zajistil,
že zpracování Osobních údajů v rozsahu jeho odpovědnosti je v souladu s požadavky Nařízení.
5.3. Oprava, omezení a likvidace dat a listinných dokumentů
5.3.1. Zpracovatel nesmí opravit, vymazat nebo omezit zpracování dat a Osobních údajů Správce z vlastního
rozhodnutí – smí tak učinit pouze na základě doloženého pokynu ze strany Správce, a to bez zbytečného
odkladu. Pokud se Subjekt údajů obrátí s žádostí o opravu, vymazání nebo omezení zpracování dat přímo na
Zpracovatele, postoupí Zpracovatel neprodleně tuto žádost Správci.
5.3.2. Zpracovatel nesmí bez vědomí Správce vytvářet kopie nebo duplikáty dat a dokumentů.
5.3.3. Nejpozději ke dni ukončení každé jednotlivé smlouvy o poskytování služeb nebo na žádost Správce vrátí Zpracovatel nebo předá třetí osobě, kterou určí Správce, veškeré obdržené dokumenty a data s touto Smlouvou související, nebo je se souhlasem Správce zlikviduje v souladu s ustanoveními o ochraně Osobních údajů, pokud v konkrétním případě nestanoví platná právní úprava jinak. Záznam o likvidaci (v nezbytných případech též možný formou prohlášení) bude Správci předložen do dvou (2) dnů od provedení jejich likvidace.
5.3.4. Poté, co dojde k předání všech Osobních údajů Správci nebo pověřené třetí osobě, bude Zpracovatel povinen
– s výjimkou případů, kdy je povinen podle platné právní úpravy k archivaci dat – zničit veškeré Osobní údaje vedené na svých přístrojích, počítačích a paměťových médiích, včetně jakýchkoliv záložních dokumentů, a to ihned poté, kdy Správce převezme od Zpracovatele veškeré Osobní údaje, zkontroluje obsah a technický
stav převzatých dokumentů, a dá Zpracovateli k tomu výslovný pokyn.
5.3.5. Smluvní strany se mohou dohodnout, že i po ukončení smlouvy o poskytování služeb, bude Zpracovatel archivovat dokumentaci související se zpracováním Osobních údajů poskytnutých Správcem, v souladu se skartačními lhůtami dle Skartačního řádu Správce.
6. Kontrolní / dozorová činnost, součinnost / odpovědnost
6.1. Zpracovatel se zavazuje poskytnout Správci součinnost nutnou pro plnění povinností stanovených Správci Nařízením, správními orgány, jakož i jinou součinnost nutnou v souvislosti s dozorovou a kontrolní činností správních orgánů. Stane-li se činnost Správce předmětem kontroly ze strany dozorového orgánu nebo stane-li se Správce účastníkem správního, občanskoprávního, trestního a jiného řízení, je Zpracovatel povinen vynaložit veškeré úsilí, které po něm lze spravedlivě požadovat, a poskytnout součinnost Správci.
6.2. Zpracovatel je povinen neprodleně informovat Správce o každém šetření, opatření nebo kontrole dozorového orgánu.
6.3. Zpracovatel se zavazuje zajistit v případě důvodných pochybností Správce na základě písemné výzvy Správce nezávislou kontrolu technického a organizačního zabezpečení ochrany Osobních údajů shromážděných a
zpracovávaných podle této Smlouvy a výsledky kontroly poskytnout Správci bez zbytečného odkladu. Kontrolu musí provést osoba odborně způsobilá v oblasti ochrany osobních údajů, s níž Zpracovatel uzavře smlouvu o provedení auditu (do doby stanovení podmínek odbornosti osoba prokazatelně znalá dané oblasti).
6.4. Zpracovatel se dále zavazuje umožnit a poskytnout součinnost Správci nebo třetí osobě, kterou pověří Správce, při provedení kontroly technického a organizačního zabezpečení ochrany Osobních údajů shromážděných a
zpracovávaných podle této Smlouvy, a dále kontroly plnění povinností vyplývajících z této Smlouvy, a to ve lhůtě dvou (2) pracovních dnů ode dne, kdy jej Správce o provedení kontroly písemně nebo elektronicky požádá, pokud se Smluvní strany nedohodnou jinak. Kontrola provedená podle tohoto odstavce nenahrazuje povinnost sjednanou v článku 6.1 této Smlouvy.
7. Subdodavatelské vztahy
7.1. Zpracovatel může pověřit dalšího smluvního zpracovatele (dále jen „Subzpracovatel“) pouze po předchozím písemném souhlasu Správce. Pro udělení souhlasu je nezbytné, aby Zpracovatel doložil Přílohu č. 2 této Smlouvy zpracovanou Subzpracovatelem, dokládající řádné zajištění technických a organizačních opatření. V případě, že Správce neudělí souhlas pro předání (zpracování) Osobních údajů, není Zpracovatel oprávněn předat Osobní údaje poskytnuté Správcem Subzpracovateli.
IDD-2020-03
7.2. Subzpracovatel musí dodržovat stejné podmínky a požadavky na zajištění technických a organizačních opatření jako
Zpracovatelem. Za dodržení výše uvedeného zajištění technických a organizačních opatření Subzpracovatele v rámci zajištění služeb souvisejících s touto Smlouvou, stejně tak za dodržení všech smluvních ujednání této Smlouvy Subzpracovatelem odpovídá Zpracovatel, který předá Subzpracovateli veškeré nezbytné informace, podklady a pokyny k řádnému plnění této Smlouvy.
8. Odpovědné osoby
8.1. Osoba odpovědná na straně Správce
Jménem Správce bude jednat v rozsahu této Smlouvy níže uvedená odpovědná osoba. Tato odpovědná osoba je také oprávněna udělovat Zpracovateli pokyny dle této Smlouvy.
Xxxxxx Xxxxxx, výkonný ředitel, xxxxxxx@xxxxxxxxxx.xx
8.2. Osoba odpovědná na straně Zpracovatele
Jménem Zpracovatele bude v rozsahu této Smlouvy jednat níže uvedená odpovědná osoba. Tato odpovědná osoba je na straně Zpracovatele povinna také zajišťovat řádné plnění této Smlouvy a plnění požadavků dle pokynů
Správce udělených v souladu s touto Smlouvou.
Příjmení, jméno, pracovní zařazení, telefon, e-mail.
Smluvní strany jsou povinny se vzájemně bez zbytečného odkladu písemně informovat o změnách týkajících se odpovědných osob pověřených dle tohoto článku.
9. Trvání smlouvy
9.1. Smluvní strany uzavírají tuto Smlouvu na dobu neurčitou. Smlouva nabývá platnosti a účinnosti dnem podpisu
zástupci obou Smluvních stran. Smluvní strany se dohodly, že veškeré dříve uzavřené smlouvy mezi nimi, které mají stejný nebo obdobný předmět jako tato Smlouva, se ke dni účinnosti této Smlouvy považují za ukončené.
9.2. Tuto Smlouvu může kterákoliv ze Smluvních stran ukončit písemnou výpovědí s účinky výpovědi k poslednímu dni třetího (3.) kalendářního měsíce následujícího po měsíci, ve kterém byla výpověď druhé Smluvní straně doručena na adresu uvedenou v záhlaví této Smlouvy (pokud dotčená Smluvní strana v průběhu trvání této Smlouvy písemně neoznámila odesílající Smluvní straně doručovací adresu jinou), a to i bez udání důvodu. Tato smlouva je ukončena také ukončením poslední ze smluv uvedených v Příloze č. 1 této Smlouvy.
10. Závěrečná ujednání
10.1. Tato Smlouva je vyhotovena ve dvou (2) stejnopisech v českém jazyce, z nichž každá Smluvní strana obdrží po jednom vyhotovení.
10.2.Změny této Smlouvy lze provádět pouze formou písemných vzestupně číslovaných dodatků. V případě
změn učiněných na základě článku 4.2 a článku 8. této Smlouvy se dodatek neuzavírá, tyto změny však musí být provedeny také písemně a vzájemně potvrzeny.
10.3.Pokud by se z jakéhokoli důvodu jakékoli ujednání této Smlouvy stalo neplatným nebo nevykonatelným
nebo z jeho obsahu nevyplývá, že neplatné nebo nevykonatelné ujednání nelze oddělit od ostatního obsahu Smlouvy, neplatnost nebo nevykonatelnost takového ujednání nebude mít vliv na platnost a účinnost zbývajících ujednání této Smlouvy. Pokud se jakékoli ujednání této Smlouvy stane neplatným nebo nevykonatelným, zahájí Smluvní strany jednání za účelem nové úpravy vzájemných práv a povinností tak, aby byl zachován původní záměr Smlouvy, a to ve lhůtě do třiceti (30) dnů ode dne vyrozumění Smluvní strany o neplatnosti či nevykonatelnosti ujednání.
10.4. Tato Smlouva se řídí právním řádem České republiky. Veškeré spory mezi Smluvními stranami vznikající z této Smlouvy nebo v souvislosti s ní budou vyřešeny v řízení před obecnými soudy Českérepubliky.
10.5. Seznam příloh
Příloha č. 1 – Seznam smluv vztahujících se k této Smlouvě Příloha č. 2 – Technická a organizační opatření Zpracovatele
NA DŮKAZ TOHO, že Smluvní strany s obsahem této Smlouvy souhlasí, rozumí ji a zavazují se k jejímu plnění, připojují zástupci Smluvních stran své podpisy a prohlašují, že tato Xxxxxxx byla uzavřena podle jejich svobodné a vážné vůle.
IDD-2020-03
V dne V dne
Za Správce: Za Zpracovatele:
Příloha č. 1 – Seznam smluv vztahujících se k této Smlouvě
Smlouva o obchodním zastoupení uzavřena dne nebo
Doporučitelská smlouva uzavřenadne
(vyberte pouze jednu možnost)
Příloha č. 2 – Technická a organizační opatření Zpracovatele
I. Organizační opatření
Dodržování povinností stanovených vnitřními předpisy Správce
Průběžná vnitřní kontrola Správce dodržování povinností Zpracovatele stanovených právními a vnitřními předpisy Správce
II. Bezpečnostní opatření
a. Fyzická bezpečnost
• Uzamykatelné provozní prostory Zpracovatele
• Uzamykatelné skříně v provozních prostorách Zpracovatele
b. IT
• Firewall v PC Zpracovatele, prostřednictvím kterých jsou zpracovávány osobní údaje
• jmenné přihlášení Zpracovatele do informačního systému Správce
• bezpečnostní a auditní logy v informačním systému Správce