Zpracování osobních údajů společností Schindler Systems, s.r.o.
Příloha č. 1 Všeobecných obchodních podmínek společnosti Schindler Systems, s.r.o. pro aplikaci xXxxxxxxx.xxx
Zpracování osobních údajů společností Schindler Systems, s.r.o.
1. ÚVODNÍ USTANOVENÍ
1.1.
Uživatel aplikace xXxxxxxxx.xxx (dále jen „Objednatel“) uzavřel smlouvu, na základě, které užívá Softwarový produkt vytvořený společností Schindler Systems, s.r.o., IČ 27902510 (dále jen „SCHINDLER SYSTEMS, S.R.O.“). Vztah mezi Objednatelem a SCHINDLER SYSTEMS, S.R.O. se řídí uzavřenou smlouvou.
1.2.
Objednatel má právo na individuální služby, spočívající mj. v pokročilých službách zákaznické podpory, např. expertní servisní služby či vzdálená správa. Tyto služby jsou poskytovány pouze a jenom na základě telefonické či písemné žádosti Objednatele, a to pouze uživatelem aplikace xXxxxxxxx.xxx, který je veden jako správce Objednatelova eIntranetu.
1.3.
Vzhledem k tomu, že Objednatel v postavení správce v souvislosti s výkonem práv na individuální služby zpřístupňuje SCHINDLER SYSTEMS, S.R.O. osobní údaje nebo jejich část a ty jsou za přesně vymezeným účelem a po omezenou dobu ukládány na serverech SCHINDLER SYSTEMS, S.R.O., má SCHINDLER SYSTEMS, S.R.O. postavení zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení“).
1.4.
Tato dohoda o zpracování osobních údajů je přílohou č. 1 VOP a dále bude označována pojmem „Příloha“.
2. PŘEDMĚT ZPRACOVÁNÍ
2.1.
Předmět zpracování se liší v závislosti na druhu individuální služby poskytované Objednateli, kterými jsou:
2.1.1.
Vzdálená správa, která spočívá v připojení na počítač Objednatele za účelem pomoci při problémech s ovládáním Softwarového produktu, instalace Softwarového produktu apod. Pro účely vzdálené správy je užíván software Team Viewer, případně nástroj Vzdálená plocha (Remote desktop Services). Uvedené nástroje umožňují pracovníkovi servisní podpory SCHINDLER SYSTEMS, S.R.O. (dále jen „Servisní pracovník“) přístup na počítač Objednatele v reálném čase, přičemž Servisní pracovník může vidět osobní údaje, které byly viditelné na ploše koncového uživatele Objednatele (dále jen „Uživatel“), popř. osobních údajů nacházejících se v jiných aplikacích, které Servisní pracovník otevřel nebo k nim měl přístup. Uživatel má možnost kdykoliv ukončit vzdálený přístup Servisního pracovníka.
2.1.2.
Servisní služby, které vyžadují přístup k datům Objednatele. V tomto případě prostřednictvím servisního přístupu, zabezpečeného přístupu, případně prostřednictvím softwaru Team Viewer (konzole „Přenos souborů“) zasílá Objednatel SCHINDLER SYSTEMS, S.R.O. celou databázi provozovanou prostřednictvím Softwarového produktu či k nim umožní přístup.
2.2.
Předmětem zpracování v případě Vzdálené správy (čl. 2.1.1) je nahlížení do osobních údajů Servisním pracovníkem. Účelem zpracování je řešení Objednatelem ohlášených potíží při užívání Softwarového produktu nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou službou Vzdálené správy.
Předmětem zpracování v případě poskytování Servisních služeb (čl. 2.1.2) je uložení kopie databáze obsahující osobní údaje na server SCHINDLER SYSTEMS, S.R.O., nahlížení do osobních údajů, zpřístupnění přenosem (při zpětném zaslání databáze Objednateli) a provedení automatického výmazu databáze po uplynutí doby uložení, k čemuž dochází v souvislosti s poskytováním Servisních služeb. Účelem zpracování je provedení analýzy požadavku, jeho vyřešení a zajištění záznamu a důkazu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou Servisní službou.
2.4.
Smluvní strany berou na vědomí, že SCHINDLER SYSTEMS, S.R.O. bude mít v souvislosti s poskytováním individuálních služeb přístup a na základě pokynu Objednatele bude po omezenou dobu zpracovávat následující kategorie osobních údajů:
2.4.1. osobní údaje identifikační, adresné (včetně e-mailové adresy a tel. nebo mobilního čísla),
2.4.2. popisné (včetně akademického titulu),
2.4.3. vybrané údaje finanční povahy (personální a mzdové údaje, čísla bankovních účtů, účetní doklady zahrnující osobní údaje).
2.5.
Dotčenými osobami, jejichž osobní údaje budou zpracovávány SCHINDLER SYSTEMS, S.R.O., jsou zaměstnanci Objednatele.
2.6.
Objednatel bere na vědomí, že při využití nástrojů Servisní přístup nebo TeamViewer jsou využívány servery společnosti SCHINDLER SYSTEMS, s.r.o., resp. TeamViewer GmbH, sídlem Jahnstr. 30 D-73037 Göppingen Německo, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.7
Zpracování osobních údajů je vedlejším závazkem SCHINDLER SYSTEMS, S.R.O. vyplývajícím ze smlouvy dle čl. 1.1 této Přílohy. Úplata za zpracování je proto zahrnuta v ceně za poskytování individuálních služeb, jak je uvedena v Ceníku, případně jak byla sjednána mezi Objednatelem a SCHINDLER SYSTEMS, S.R.O..
3. ZPRACOVÁNÍ NA POKYN OBJEDNATELE
3.1.
SCHINDLER SYSTEMS, S.R.O. je jako zpracovatel povinen zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele, který je v postavení správce.
3.2.
SCHINDLER SYSTEMS, S.R.O. poskytuje služby Vzdálené správy (čl. 2.1.1) a Servisní služby (čl. 2.1.2) na základě samostatné objednávky Objednatele učiněné telefonicky nebo písemně.
3.3.
SCHINDLER SYSTEMS, S.R.O. není oprávněn provádět zpracování na základě pokynů udělených mu jinou formou, než jaká je sjednána v tomto článku Přílohy (zejména ústně nebo telefonicky). SCHINDLER SYSTEMS, S.R.O. je povinen případné pokyny (objednávky) doložit, za tím účelem je povinen je archivovat. V případě pochybností na straně SCHINDLER SYSTEMS, S.R.O. může být požadováno po Objednateli potvrzení pokynu.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.1.
Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení poskytování individuální služby spojené s jejich zpracováním. Individuální služba spojená se zpracováním osobních údajů trvá i po provedení prvotního zásahu SCHINDLER SYSTEMS, S.R.O., a to za účelem otestování a prověření funkcionality Softwarového produktu, jehož se individuální služba týkala, a vyřízení případných následných reklamací Objednatele, na které poskytuje SCHINDLER SYSTEMS, S.R.O. záruku po dobu 6 měsíců od provedení zásahu. Neobdrží-li SCHINDLER SYSTEMS, S.R.O. jiný pokyn, jsou záznamy o Vzdálené správě, popř. databáze zaslaná Objednatelem, uloženy po dobu nikoliv delší než 6 měsíců od poskytnutí příslušné služby.
SCHINDLER SYSTEMS, S.R.O. je si vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Objednatelem.
4.3.
SCHINDLER SYSTEMS, S.R.O. je povinen po uplynutí lhůty uvedené v čl. 4.1 této Přílohy provést výmaz nebo vrácení všech osobních údajů Objednateli a dále provést výmaz veškerých existujících kopií, pokud právo Unie nebo členského státu EU nepožaduje uložení daných osobních údajů. Tím není dotčeno právo SCHINDLER SYSTEMS, S.R.O. dle čl. 4.1 této Přílohy.
5. MÍSTO ZPRACOVÁNÍ, ZÁKAZ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
5.1.
Místem zpracování osobních údajů je Česká republika nebo jiný členský stát Evropské unie. SCHINDLER SYSTEMS, S.R.O. není oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Objednatele předávat osobní údaje do třetích zemí nebo mezinárodní organizaci ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
5.2.
Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Objednatele a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.
6. POVINNOST MLČENLIVOSTI
6.1.
SCHINDLER SYSTEMS, S.R.O. je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění souvisejícího s užíváním Softwarového produktu, zejména mlčenlivost ohledně osobních údajů, které mu byly Objednatelem zpřístupněny nebo jinak poskytnuty v souvislosti s poskytováním individuálních služeb popsaných v čl. 2.1. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání smlouvy mezi SCHINDLER SYSTEMS, S.R.O. a Objednatelem.
6.2.
SCHINDLER SYSTEMS, S.R.O. je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je neomezená.
7. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
7.1.
SCHINDLER SYSTEMS, S.R.O. je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této Přílohy i k rizikům pro práva a svobody fyzických osob.
7.2.
SCHINDLER SYSTEMS, S.R.O. tímto prohlašuje, že přijal vhodná technická opatření uvedená na jeho internetových stránkách a dále zejména tato opatření:
7.2.1.
Uživatel musí při provádění Vzdálené správy aktivním jednáním povolit přístup Servisního pracovníka prostřednictvím nástroje Team Viewer; Uživatel povoluje přístup Servisnímu pracovníkovi tak, že mu sdělí své zákaznické ID a heslo pro připojení. Uživatel po celou dobu trvání Vzdálené správy vidí v reálném čase, co Servisní pracovník na jeho zařízení dělá a může Servisnímu pracovníkovi kdykoliv přístup ukončit a spojení přerušit.
7.2.2.
Zabezpečení Servisního přístupu, mj. prostřednictvím uživatelského hesla a užívání protokolu HTTPS, který umožňuje zabezpečenou komunikaci prostřednictvím internetové sítě.
7.2.3.
Servery dalšího zpracovatele, společnosti TeamViewer GmbH, jsou umístěny v datových centrech, která odpovídají požadavkům ISO 27001, a využívají násobně redundantní nosná spojení a redundantní zdroje napájení, za využití nejmodernějšího značkového hardwaru; všechny servery, na kterých jsou ukládána data při používání softwaru TeamViewer, jsou umístěny v Německu nebo v Rakousku.
SCHINDLER SYSTEMS, S.R.O. tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Přílohy, zejména:
7.3.1. Seznámil příslušné zaměstnance s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, důvěrných informací nebo obchodního tajemství Objednatele.
7.3.2. Neposkytuje žádné neoprávněné osobě (i kdyby se jednalo o neoprávněnou osobu z řad vlastních zaměstnanců), přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim nebo k on-line službám třetích osob používaných pro účely poskytování individuálních služeb ve smyslu této Přílohy).
7.3.3. Omezuje skupiny Servisních pracovníků, kteří mají přístup k servisnímu přístupu, a zaznamenává veškeré přístupy do servisního přístupu.
7.3.4. Nepoužívá žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu Objednatele, a to stejnou formou, jakou lze udělit pokyn (čl. 3.2).
7.4.
SCHINDLER SYSTEMS, S.R.O. užívá pro účely zasílání databáze provozované prostřednictvím Softwarového produktu servisní přístup a neumožňuje svým zaměstnancům dohodnout s Objednatelem jiný způsob zasílání nebo zpřístupnění, např. prostřednictvím cloudových úložišť provozovaných třetími osobami (např. Google Drive). Pokud Objednatel přesto zvolí takový způsob zaslání/zpřístupnění své databáze, nenese za to SCHINDLER SYSTEMS, S.R.O. jakoukoliv odpovědnost.
7.5.
SCHINDLER SYSTEMS, S.R.O. umožní Objednateli nebo jím pověřeným osobám kontrolu dodržování jeho povinností dle tohoto článku.
8. SOUČINNOST SCHINDLER SYSTEMS, S.R.O., POVINNOST BÝT NÁPOMOCEN
8.1.
SCHINDLER SYSTEMS, S.R.O. je povinen poskytnout Objednateli veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů ze strany SCHINDLER SYSTEMS, S.R.O. je v souladu s Nařízením a SCHINDLER SYSTEMS, S.R.O. i Objednatel naplňují základní zásady a principy uvedené v Nařízení.
8.2.
SCHINDLER SYSTEMS, S.R.O. je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Objednatel mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Objednatel mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit je subjektům údajů. Při výkonu této povinnosti je SCHINDLER SYSTEMS, S.R.O. povinen reagovat bez zbytečného odkladu na pokyny a požadavky Objednatele.
8.3.
Zjistí-li SCHINDLER SYSTEMS, S.R.O. v souvislosti s poskytováním individuálních služeb Objednateli jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnost neprodleně, nejpozději však do 24 hodin, informovat Objednatele, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které SCHINDLER SYSTEMS, S.R.O. přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.
8.4.
SCHINDLER SYSTEMS, S.R.O. je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele jakožto správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Pokud bude Objednatel požadovat pomoc ve smyslu tohoto článku této Přílohy, provede SCHINDLER SYSTEMS, S.R.O. tyto činnosti za přiměřenou úplatu, která bude vycházet z aktuálního ceníku zveřejněného na jeho internetových stránkách xxxxx://xxx.xxxxxxxxx.xxx/xx/xxxxx.
8.5.
V případě ukončení individuálních služeb spojených se zpracováním osobních údajů je SCHINDLER SYSTEMS, S.R.O. povinen postupovat v souladu s pokyny Objednatele a s čl. 4.1 této Přílohy. Nestanoví-li Objednatel ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení služeb spojených se zpracováním osobních údajů je SCHINDLER SYSTEMS, S.R.O. povinen tyto vymazat ze všech datových úložišť.