PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ČÁST A - PODMÍNKY PRO ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

1. ÚVODNÍ USTANOVENÍ

1.1 Obecné ustanovení. Daktela a Zákazník se na základě smlouvy o užívání Služby (dále také „Smlouva“) dohodli na poskytování služeb dle produktové specifikace, která tvoří přílohu Smlouvy. Tyto podmínky zpracování Osobních údajů (dále také „Zpracovatelské podmínky“) jsou přílohou B obchodních podmínek ke Smlouvě (dále také „Podmínky“). Slova s velkými počátečními písmeny mají stejný význam, jako je uveden v Podmínkách či ve Smlouvě nebo v kterékoliv jiné příloze uvedené v Podmínkách či Smlouvě, pokud není v těchto Zpracovatelských podmínkách uvedeno jinak.

1.2 Zpracování Osobních údajů jako zpracovatel. Vzhledem k tomu, že na základě poskytování Služeb, které si Zákazník objednal dle produktové specifikace, může docházet ke zpracování Osobních údajů ze strany Daktela pro Zákazníka, vystupuje Daktela vůči Zákazníkovi v pozici zpracovatele Osobních údajů. Nedílnou součástí Smlouvy jsou tak tyto Zpracovatelské podmínky ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále také

„GDPR“), a ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů.

1.3 Pověření ke zpracování Osobních údajů. Zákazník tímto pověřuje společnost Daktela zpracováním Osobních údajů subjektů údajů poskytovaných Zákazníkem v rámci poskytování Služeb, a to v rozsahu stanoveném těmito Zpracovatelskými podmínkami. Daktela bude zpracovávat Osobní údaje pro Zákazníka na základě jeho pokynů a v rozsahu nezbytném k řádnému plnění povinností Daktela vyplývajících ze Smlouvy.

1.4 Rozsah zpracování Osobních údajů. Rozsah zpracování Osobních údajů bude odpovídat Službám, které si Zákazník vybral v rámci produktové specifikace dle Smlouvy a v rámci přílohy ke Smlouvě „Typy zpracovávaných osobních údajů“.

1.5 Odpovědnost zákazníka. Zákazník je odpovědný za plnění všech povinností ve vztahu ke zpracování Osobních údajů, zejména za řádné informování subjektů údajů o zpracování Osobních údajů, získání souhlasu se zpracováním Osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.). Daktela bude při plnění těchto povinností Zákazníkovi nápomocná, ovšem žádným způsobem neodpovídá za správnost a legálnost činností prováděných Zákazníkem.

2. PŘEDMĚT ZPRACOVÁNÍ, KATEGORIE SUBJEKTŮ ÚDAJŮ A TYP OSOBNÍCH ÚDAJŮ

2.1 Předmět zpracování a typ Osobních údajů. Předmětem zpracování Osobních údajů budou Osobní údaje, které jsou uvedeny v příloze Smlouvy „Typy zpracovávaných osobních údajů“, ve které Zákazník určil, jaké Osobní údaje předá společnosti Daktela (v tomto dokumentu také „Osobní údaje“). V případě, že nedojde k faktickému předání Osobních údajů a pověření, není Daktela povinna jakkoliv předání těchto údajů vynucovat a je na Zákazníkovi, aby prokázal, že k předání Osobních údajů a pověření ke zpracování opravdu došlo.

2.2 Zvláštní kategorie Osobních údajů. Pokud Zákazník v příloze Smlouvy „Typy zpracovávaných osobních údajů“ uvede v bodě 10, že budou předány také zvláštní kategorie Osobních údajů ve smyslu čl. 9 GDPR, zavazuje se Zákazník, že má pro jejich zpracování příslušnou zákonnost a výjimku dle čl. 9 GDPR. Daktela není v žádném případě odpovědna za zajištění vyšší bezpečnosti ani plnění specifických povinností ve vztahu k těmto Osobním údajům.

2.3 Změna rozsahu zpracovávaných Osobních údajů. V případě, že se změní rozsah Osobních údajů, je Zákazník povinen zaslat e-mailem společnosti Daktela nově vyplněný a podepsaný dokument „Typy zpracovávaných osobních údajů“.

2.4 Kategorie subjektů údajů. Osobní údaje budou zpracovávány o subjektech údajů, jejichž kategorizace je uvedena v příloze Smlouvy „Typy zpracovávaných osobních údajů“. Osobní údaje dále mohou být zpracovávány také o dalších osobách, o kterých Zákazník předal společnosti Daktela Osobní údaje, a jejichž Osobní údaje byly zaznamenány, případně které budou předány, či jinak zpracovávány v souladu s poskytováním Služeb.

3. POVAHA A ÚČEL ZPRACOVÁNÍ

3.1 Povaha zpracování Osobních údajů. Daktela bude zpracovávat Osobní údaje automatizovaně s přispěním výpočetní techniky, a to elektronicky, přičemž zpracování bude spočívat v uložení Osobních údajů, jejich zálohování, nahlížení na Osobní údaje v rámci poskytování Služeb, propojování se systémy třetích stran na základě pokynů Zákazníka a v dalších činnostech, které svou povahou odpovídají poskytování Služeb.

3.2 Vztah k dalším předpisům. Zákazník prohlašuje, že nebude využívat Služby Daktela k zasílání obchodních sdělení, která jsou v rozporu s § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, ani k telemarketingovým sdělením, které jsou v rozporu se zákonem č. 127/2005 Sb., o elektronických komunikacích, případně k dalším činnostem, které jsou v rozporu s právními předpisy. Daktela je oprávněna odepřít poskytnutí Služby bez možnosti jakékoliv náhrady, pokud by docházelo k porušování těchto předpisů. V případě, že bude zahájena kontrola ze strany dozorových orgánů v těchto oblastech, zavazuje se Zákazník poskytovat Daktela veškerou nezbytnou součinnost. V případě, že bude udělena společnosti Daktela sankce či bude vůči Daktela uplatněna jakákoliv náhrada ze strany subjektů údajů či dalších subjektů v souvislosti s porušením povinností dle tohoto článku či jednotlivých právních předpisů, zavazuje se Zákazník nahradit veškerou vzniklou újmu, a to na písemnou výzvu ze strany Daktela.

3.3 Účel zpracování. Účel zpracování je zpřístupnění Služeb pro poskytnutí cloudového software kontaktního centra, umožnění využívání jednotlivých funkcionalit a zajištění dostupnosti software v rámci poskytovaných Služeb. Další účel zpracování může vyplývat z rozsahu poskytování Služeb dle uzavřené Smlouvy a Podmínek.

4. DOBA ZPRACOVÁNÍ

4.1 Délka zpracování Osobních údajů. Zpracování Osobních údajů bude probíhat po dobu účinnosti Smlouvy, případně po dobu, po kterou tak sdělí Zákazník společnosti Daktela, a to v souvislosti s plněním Smlouvy. Daktela se zavazuje, že bude plnit povinnosti stanovené předpisy na ochranu osobních údajů po celou dobu účinnosti Xxxxxxx, pokud ze Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.

4.2 Určení délky zpracování Osobních údajů. Zákazník výslovně potvrzuje, že dobu uchování všech Osobních údajů v rámci poskytování Služeb určuje sám, přičemž Daktela nezjišťuje dobu uložení, která je v souladu s právními předpisy a tuto ani neurčuje.

4.3 Provozní a lokalizační údaje. Daktela výslovně prohlašuje, že v případě, že poskytuje Služby v rozsahu zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů, bude v souladu s § 97 odst. 3, a to v rozsahu uvedeném v § 97 daného zákona, uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací.

5. DALŠÍ PRÁVA A POVINNOSTI DAKTELA

5.1 Souhrn povinností. Daktela je při zpracovávání Osobních údajů povinna:

a) zpracovávat Osobní údaje výlučně na základě doložených pokynů Zákazníka; pro vyloučení pochybností zpracovávání Osobních údajů v souladu s povinnostmi Daktela dohodnutými v rámci Smlouvy se považuje za prováděné v souladu s instrukcemi Zákazníka;

b) řídit se instrukcemi Zákazníka v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na společnost Daktela vztahuje; v takovém případě Daktela Zákazníka informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

c) zajišťovat, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

d) při zohlednění povahy zpracování, být Zákazníkovi nápomocna prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Zákazníkovi povinnosti reagovat na žádosti o výkon práv subjektů údajů;

e) být Zákazníkovi nápomocna, při zajišťování souladu s povinnostmi Zákazníka (i) zajistit úroveň zabezpečení zpracování, (ii) ohlašovat případy porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a případně též subjektům údajů, (iii) posuzovat vliv na ochranu Osobních údajů a (iv) realizovat předchozí konzultace s Úřadem pro ochranu osobních údajů, a to vše při zohlednění povahy zpracování a Osobních údajů, jež má Daktela k dispozici;

f) v souladu s rozhodnutím Zákazníka a v souladu s čl. 12.3. Podmínek všechny Osobní údaje vymazat po ukončení poskytování plnění dle Smlouvy, a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných Osobních údajů; Konkrétní pravidla nakládání s Osobními údaji po skončení Smlouvy, jsou uvedeny v čl. 5.2 Zpracovatelských podmínek;

g) umožnit Zákazníkovi či jím pověřené osobě kontrolu (včetně auditu či inspekce) dodržování těchto Zpracovatelských podmínek, zejména povinností pro zpracování Osobních údajů z nich vyplývajících, a k těmto kontrolám přispěje dle důvodných pokynů Zákazníka či kontrolující osoby; konkrétní pravidla auditů jsou uvedena v čl. 5.3 a 5.4 těchto Zpracovatelských podmínek; a

h) poskytnout Zákazníkovi veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené GDPR a dalšími předpisy na ochranu osobních údajů.

5.2 Ukončení spolupráce a export Osobních údajů. V případě, že dojde k ukončení Smlouvy, umožní Daktela Zákazníkovi export Osobních údajů ve formátu určeném Daktela, a to přímo prostřednictvím funkcionalit software, který Daktela poskytuje. Zákazník a Daktela se mohou dohodnout na poskytnutí dodatečných služeb v rozsahu zajištění exportu Osobních údajů ze strany Daktela. Taková služba však bude zpoplatněna

nad rámec poskytnutých plnění dle Smlouvy. Pokud nepožádá Zákazník o export Osobních údajů do 30 dnů ode dne skončení Smlouvy, budou veškeré Osobní údaje smazány.

5.3 Audity. Jakoukoliv žádost o audit je Zákazník povinen zaslat výhradně na e-mailovou adresu xxxxxxx@xxxxxxx.xxx. Po obdržení žádosti o audit se Daktela a Zákazník dopředu dohodnou na: (a) možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a (b) předpokládaném začátku, rozsahu a době trvání auditu. V případě, že k dohodě nedojde ani do 30 dnů ode dne odeslání žádosti, určí podmínky auditu Daktela.

5.4 Auditor. Daktela může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Zákazníkem, pokud není auditor podle názoru Daktela dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Daktela nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Zákazník povinnost pověřit jiného auditora, nebo provést audit sám.

5.5 Žádosti subjektů údajů. Daktela se zavazuje, v případě přijetí jakékoliv žádosti třetí osoby (při které Daktela vystupuje jako zpracovatel Osobních údajů), týkající se zpracování Osobních údajů, zejména žádosti subjektu údajů Zákazníka, týkající se výkonu jeho práv, Zákazníka neprodleně, nejpozději však do 14 dnů od přijetí, o takové skutečnosti informovat a poskytnout mu nezbytnou součinnost pro její vyřízení v souladu s GDPR.

5.6 Zapojení dalších zpracovatelů. Zákazník uděluje obecný souhlas se zapojením dalších zpracovatelů do zpracování Osobních údajů společnosti Daktela. V závislosti na druhu poskytovaných Služeb mohou být ze strany Daktela využíváni další zpracovatelé, jejichž výčet je dostupný na této webové adrese: xxx.xxxxxxx.xxx/xxxxx. Zákazník je povinen kontrolovat aktuálnost uvedených dalších zpracovatelů pod odkazem uvedeným výše.

5.7 Námitky proti dalším zpracovatelům. Daktela před zapojením dalšího zpracovatele písemně informuje Zákazníka o tomto zapojení (a to například odkazem na změnu výčtu dalších zpracovatelů dle čl. 5.6 Zpracovatelských podmínek na uvedené webové adrese), přičemž Zákazník může proti zapojení dalšího zpracovatele vznést námitky, a to do 14 dnů. Pokud se Zákazník ve lhůtě nevyjádří, zapojí Daktela tohoto dalšího zpracovatele. Pokud Zákazník námitku vznese, Daktela ji posoudí, a pokud ji shledá oprávněnou, dalšího zpracovatele nezapojí, případně může ukončit smluvní vztah se Zákazníkem, nebo neposkytne dílčí část Služby, na kterou je další zpracovatel navázán, přičemž se tím nedostává do prodlení ani do porušení jakékoliv povinnosti.

5.8 Závazek vůči dalším zpracovatelům. Pokud Daktela zapojí do zpracování Osobních údajů dalšího zpracovatele, musí se tento další zpracovatel smluvně zavázat k dodržování stejných povinností na ochranu Osobních údajů, jako jsou dohodnuty mezi Zákazníkem a Daktela, a to zejména k zavedení vhodných technických a organizačních opatření.

5.9 Náklady spojené s plněním Zpracovatelských podmínek. Není-li písemně mezi společností Daktela a Zákazníkem dohodnuto jinak, nese Daktela i Zákazník vlastní náklady spojené s plněním Zpracovatelských podmínek, vyřizováním jakékoliv žádosti Zákazníka, poskytováním součinnosti dle Zpracovatelských podmínek, či prováděním auditu, a to až do výše 0,5 MD. Pokud dojde k překročení této výše ze strany Daktela, je Daktela oprávněna vyúčtovat Zákazníkovi tyto další náklady, a to v sazbě uvedené v produktové specifikaci přiložené ke Smlouvě.

6. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

6.1 Závazek zabezpečit Osobní údaje. Daktela přijala a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.

6.2 Konkrétní opatření. Daktela přijala a udržuje zejména následující opatření k zajištění přiměřené úrovně zabezpečení:

a) pseudonymizace a šifrování Osobních údajů;

b) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb

zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;

c) schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

d) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

e) další opatření, která jsou uvedena v částí B Zpracovatelských podmínek.

6.3 Bezpečnostní incidenty. Pokud Daktela zjistí porušení zabezpečení Osobních údajů, ohlásí jej bez zbytečného odkladu Zákazníkovi, a to nejpozději do 48 hodin, přičemž Daktela vynaloží přiměřené úsilí k tomu, aby Zákazníkovi poskytla všechny informace, které k incidentu zná, zejména v rozsahu dle čl. 33 odst. 3 GDPR. Daktela bude reagovat na jakoukoliv žádost ze strany Zákazníka v případě poskytování součinnosti při porušení zabezpečení ve lhůtě uvedené v tomto čl. 6.3. Zpracovatelských podmínek.

6.4 Mlčenlivost po skončení Smlouvy. V případě ukončení Smlouvy nejsou Daktela, resp. zaměstnanci, popř. pověřené třetí osoby, které přišly do styku s Osobními údaji, zbaveni mlčenlivosti. Povinnost mlčenlivosti u nich v takovémto případě trvá i po ukončení účinnosti Smlouvy, bez ohledu na trvání poměru uvedených osob k Daktela.

6.5 Pokyny v rozporu s právními předpisy. V případě, že Zákazník udělí společnosti Daktela pokyn, nebo využije Služby takovým způsobem, že dojde k porušení povinností dle GDPR či dalších právních předpisů, přičemž Daktela na základě tohoto pokynu či využití Služeb bude sankcionována ze strany dozorového úřadu či jiného kontrolního orgánu, či bude povinna nahradit újmu subjektům údajů, zavazuje se Zákazník odškodnit Daktela a uhradit veškerou vzniklou újmu.

6.6 Limitace náhrady. V případě, že by Daktela byla povinna uhradit Zákazníkovi jakoukoliv náhradu, bude tato povinnost omezena výší uvedenou v čl. 11.2. Podmínek.