SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PŘÍLOHA Č. 1 K PODMÍNKÁM POSKYTOVÁNÍ SLUŽBY SMARTSUPP

(dále jen „Zpracovatelská smlouva”) uzavřená mezi:

A. Vámi, kteří jste se rozhodli používat službu Smartsupp; (dále jen „Správce“ nebo „vy”)

a

B. Xxxxxxxxx.xxx, s.r.o., IČO: 036 68 681, se sídlem Xxxxxxxx 00, 000 00 Xxxx, zastoupená Xxxxxxxxxx Xxxxxxxx, jednatelem, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně sp. zn. C 86206 , (dále jen „Zpracovatel“ nebo

„my”)

(Zpracovatel a Správce dále společně jako „Smluvní strany“ a jednotlivě „Smluvní strana“).

Pokud budete využívat službu Smartsupp („Služba”), pak bude Smartsupp zpracovatelem osobních údajů, které mu svěříte. Služba je poskytována na základě Podmínek poskytování služby Smartsupp („Podmínky”). Odsouhlasením Xxxxxxxx a uzavřením smlouvy mezi námi potvrzujete, že jste se seznámil a souhlasíte se Zpracovatelskou smlouvou, a je pro Vás právně závazná. Tato Zpracovatelská smlouva se vztahuje na všechny uživatele, kteří mají ke Službě přístup, nebo jej používají.

Přečtěte si prosím pečlivě tuto Zpracovatelskou smlouvu, která vymezuje podmínky zpracování osobních údajů, za kterých je Služba poskytována. V případě dotazů, které se budou týkat zpracování osobních údajů, nás můžete kdykoliv kontaktovat na xxx@xxxxxxxxx.xxx. Na této e-mailové adrese můžete také kontaktovat našeho pověřence pro ochranu osobních údajů, kterým je Xxx. Xxxxx Xxxxxxxx.

Smluvní strany zpracovávají osobní údaje v souvislosti s uzavřenou smlouvou podle Xxxxxxxx v souladu s právními předpisy, zejména v souladu s Nařízením Evropského parlamentu a rady (EU) 2016/679 (dále jen „GDPR”). Podle GDPR musí Smluvní strany písemně upravit pravidla zpracování, což provádějí v této Zpracovatelské smlouvě.

1. ÚVOD A KRÁTKÝ PŘEHLED OBSAHU PODMÍNEK

1.1. Shrnutí. Pokud chcete používat Služba a dokončíte registraci, získáváme od vás automaticky osobní údaje, které pro vás jako Zpracovatel zpracováváme. Dodržujeme mlčenlivost a dbáme na bezpečnost osobních údajů.

1.2. Předmět a účel Zpracovatelské smlouvy. Uzavřením této Zpracovatelské smlouvy jako Správce pověřujete Zpracovatele, aby pro vás prováděl zpracování osobních údajů v souvislosti s plněním služby. Cílem je zajištění ochrany osobních údajů v rozsahu požadovaném právními předpisy. Podrobnější úprava povahy, rozsahu, účelu a trvání zpracování Osobních údajů je uvedena v Příloze A této Zpracovatelské smlouvy.

1.3. Služba Smartsupp. Primární funkcionalitou služby je zajištění komunikace s návštěvníky vašich webových stránek v reálném čase. Služba Smartsupp je blíže definována v Podmínkách.

1.4. Co znamená pozice zpracovatele a správce. Při užívání Služby předáváte jako Správce osobní údaje společnosti Smartsupp, která je následně na váš pokyn a v rozsahu Vámi zvoleném zpracovává jako Zpracovatel. Proto jste při zpracování v postavení Správce osobních údajů dle čl. 4 odst. 7 GDPR, zatímco Smartsupp je v postavení Zpracovatele dle čl. 4 odst. 8 GDPR.

1.5. Písemná forma. Podle článku 28 GDPR musí Smluvní strany písemně upravit pravidla zpracování, a to v této Zpracovatelské smlouvě.

1.6. Deffinice. Definice pojmů v Podmínkách budou převzaty ve stejném významu i do této Zpracovatelské smlouvy.

1.7. Doba trvání Smlouvy. Tato Zpracovatelská smlouva se uzavírá na dobu trvání poskytování Služby dle Podmínek.

1.8. Okamžik uzavření a ukončení Zpracovatelské smlouvy. Zpracovatelská smlouva je uzavřena v okamžiku dokončení registrace za účelem užívání Služby. Ukončit Zpracovatelskou smlouvu je možné za stejných podmínek, jako v případě ukončení smlouvy ve znění Podmínek.

1.9. Účinky ukončení. Ukončení této Zpracovatelské smlouvy má za následek zároveň ukončení smluvního vztahu v oblastech, kterých se tato Zpracovatelská smlouva týká, pokud se Smluvní strany nedohodnou jinak. Současně ukončením smluvního vztahu, který se řídí Podmínkami, je ukončena i tato Zpracovatelská smlouva. Ukončením této Zpracovatelské smlouvy však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací.

2. SPOLEČNÉ POVINNOSTI SPRÁVCE A ZPRACOVATELE

2.1. Zákonnost zpracování. Správce a Zpracovatel se zavazují dbát na dodržování předpisů upravujících ochranu osobních údajů, včetně předpisů s nimi souvisejících (například zákon č. 127/2005 Sb., o elektronických komunikacích upravující zpracování pomocí cookies a jiných trackovacích technologií).

2.2. Zvláštní kategorie Osobních údajů. Správce se zavazuje, že bez předchozího písemného souhlasu Zpracovatele, nezpřístupní žádné Osobní údaje, které spadají do Zvláštní kategorie Osobních údajů ve smyslu článku 9 GDPR. Zvláštní kategorie osobních údajů mohou být zpracovány pouze po výslovné dohodě se Zpracovatelem. Správce se zavazuje, že nebude využívat Službu primárně způsobem, který by vyžadoval od návštěvníků (Subjektů údajů) nebo motivoval návštěvníky k vyplňování takovýchto Osobních údajů.

2.3. Součinnost. Správce a Zpracovatel se zavazují si být navzájem v nezbytném a přiměřeném rozsahu nápomoci při plnění jejich povinností při zpracování osobních údajů, které vyplývají ze vzájemně uzavřených smluv a právních předpisů, a to zejména v souvislosti s reakcemi na výkon práv subjektů údajů, s bezpečnostními incidenty, jakož i s vypracováním posouzení vlivu a s jednáním s dozorovými orgány. Smluvní strany se zavazují poskytnout nezbytné podklady pro vyřízení žádosti týkající se zpracování dle Podmínek Smluvní strana tyto podklady poskytne zbytečného odkladu druhé Smluvní straně.

2.4. Incident. Smluvní strana oznámí druhé straně, že se dozvěděla o porušení zabezpečení zabezpečení do 48 hodin od chvíle, kdy se o porušení dozví. Porušením se myslí jakýkoliv případ porušení zabezpečení osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů, které jsou zpracovány na základě uzavřené smlouvy ve znění Podmínek.

3. PRÁVA A POVINNOSTI ZPRACOVATELE

3.1. Omezení přístupu. Zpracovatel zajistí, aby byl přístup k osobním údajům omezen pouze na (a) zaměstnance, kteří zpracovávají osobní údaje v rámci pracovní náplně, a dále (b) osoby, které spolupracují se Zpracovatelem a v rámci spolupráce mohou pro něj zpracovávat osobní údaje, a to v souladu s podmínkami této Zpracovatelské

smlouvy a za účelem poskytnutí Služeb podle Xxxxxxxx. Pokud se na tyto osoby nevztahuje zákonná povinnost mlčenlivosti, Zpracovatel zajistí jejich smluvní mlčenlivost.

3.2. Mlčenlivost Zpracovatele. Zpracovatel se zavazuje dodržovat povinnost mlčenlivosti o všech osobních údajích předaných Správcem, a bude je udržovat v tajnosti, nezveřejní je, nepřístupní třetí osobě, a to ani jako celek, ani jejich části, ledaže má dojít k jejich předání na základě pokynu Správce, nebo pokud tak předpokládá právní předpis.

3.3. Závazek Zpracovatele týkající se přijatých opatření. Zpracovatel přijal a zavazuje se udržovat po celou dobu trvání této Zpracovatelské smlouvy vhodná technická a organizační opatření dle nařízení GDPR, které se na Zpracovatele vztahují. Další zpracovatelé (podzpracovatelé) se na základě smlouvy se Zpracovatelem zavazují k dodržování stejných povinnosti na ochranu údajů, jaké jsou uvedeny ve Zpracovatelské smlouvě, a to zejména v oblasti poskytnutí dostatečných záruk, aby zpracování splňovalo požadavky dle GDPR. Přehled přijatých opatření naleznete v Příloze C této Zpracovatelské smlouvy.

3.4. Zpracovatel se zavazuje:

3.4.1. při zpracování Osobních údajů dodržovat veškeré povinnosti vyplývající pro Zpracovatele osobních údajů z relevantních právních předpisů;

3.4.2. zpracovávat Osobní údaje výlučně na základě pokynů Správce učiněných dle této Zpracovatelské smlouvy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci;

3.4.3. oznámit bez zbytečného odkladu Správci případy, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu zahájena kontrola nebo jiné správní řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;

3.4.4. být Správci nápomocen při zajišťování souladu s povinnostmi Správce týkajících se zabezpečení osobních údajů dle čl. 32 až 36 GDPR při zohlednění povahy zpracování, které má Zpracovatel provádět;

3.4.5. ohlásit Správci o každém porušení zabezpečení Osobních údajů, o kterém se dozví, a to bez zbytečného odkladu, nejpozději do 48 hodin od chvíle, kdy se o porušení zabezpečení dozví. Minimální rozsah tohoto oznámení je uvedený v čl. 33 odst. 3 GDPR;

3.4.6. vést evidenci veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení a plnění povinností Správce dle čl. 33 až 34 GDPR;

3.4.7. být Správci nápomocen při doložení procesů či dokumentů, které prokazují, že Správce dodržuje GDPR.

3.5. Úhrada nákladů. Smluvní strany se dohodly, že Zpracovatel má vůči Správci nárok na náhradu přiměřených nákladů spojených s poskytnutím součinnosti.

3.6. Obchodní tajemství. Všechny informace a dokumenty, které Zpracovatel Správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství Zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na

zachování důvěrnosti podle této Zpracovatelské smlouvy. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.

3.7. Zákonnost zpracování. Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti smlouvy ve znění Podmínek, pokud z Podmínek, této Zpracovatelské smlouvy nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.

3.8. Oznámení o zapojení nového zpracovatele. Pokud bude Zpracovatel zapojovat jiné zpracovatele než kteří jsou uvedení v Příloze B této Zpracovatelské smlouvy, informuje o tom Správce před touto změnou. V případě, že Správce nebude se zapojením nového zpracovatele souhlasit, může podat námitku, a to nejpozději do pěti (5) dnů od doručení oznámení Zpracovatele. Podání námitky, a tedy nezapojení nového (pod)zpracovatele, může mít za následek znemožnění užívání Služby.

3.9. Povinnost Zpracovatele v případě ukončení spolupráce. Zpracovatel se zavazuje, že v případě ukončení poskytování Služeb vymaže veškeré osobní údaje a na žádost Správce je vrátí, pokud právo EU nebo České republiky nevyžaduje jejich uložení. V takovém případě budou ve lhůtě pěti měsíců od doručení výzvy Správce vráceny prostřednictvím zabezpečeného úložiště, které Správce specifikuje ve své výzvě a zřídí k němu Zpracovateli přístup. Pokud po uplynutí tří let od ukončení spolupráce Správce nedá pokyn k předání osobních údajů, upozorní jej Zpracovatel na možnost vrácení dat. Pokud Správce nedá do jednoho měsíce od upozornění pokyn na předání dat, budou Osobní údaje s ohledem na plnění svých právních povinností smazány.

4. ZÁVĚREČNÁ USTANOVENÍ

4.1. Právní řád. Pro záležitosti zvláště neupravené v této Zpracovatelské smlouvě platí obecně závazné právní předpisy. Zpracovatelská smlouva se řídí a bude vykládána v souladu s právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Smluvní strany se dohodly, že obchodní zvyklosti nemají přednost před žádnými ustanoveními zákona, a to ani před ustanoveními zákona, jež nemají donucující účinky.

4.2. Vyšší moc. Zpracovatel nenese odpovědnost za situace, kdy nemohl splnit svou povinnost vyplývající ze Zpracovatelské smlouvy z důvodu události označované jako vyšší moc (válka, nepokoje, terorismus, vzpory, stávky, požáry, epidemie či přírodní katastrofy).

4.3. Komunikace Smluvních stran. Smluvní strany se dohodly, že jejich komunikace týkající se Zpracovatelské smlouvy (včetně oznámení bezpečnostního incidentu) bude probíhat bude probíhat prostřednictvím e-mailových adres:

4.3.1. Správce: e-mailová adresa, kterou se Správce registroval k Službě;

4.3.2. Zpracovatel: xxx@xxxxxxxxx.xxx.

4.4. Zákaz postoupení. Žádná Smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této Zpracovatelské smlouvy nebo související s touto Zpracovatelskou smlouvou bez předchozího písemného souhlasu druhé Smluvní strany.

4.5. Aktualizace a změny. Zpracovatel si vyhrazuje právo tuto Zpracovatelskou smlouvu upravit nebo aktualizovat. Pokud provedeme změny, které mění práva a povinnosti ze Zpracovatelské smlouvy, budete o tom včas srozuměni prostřednictvím e-mailu, našich webových stránek nebo prostřednictvím Vašeho Uživatelského účtu. Pokud s úpravami nesouhlasíte, přestaňte prosím Službu využívat. Využíváním Služby poté, co nová verze Zpracovatelské smlouvy vstoupí v

účinnost, souhlasíte s jejím zněním. Aktuální verzi Zpracovatelské smlouvy najdete na xxx.xxxxxxxxx.xxx/xx/xxx.

4.6. Přílohy Zpracovatelské smlouvy. Nedílnou součástí této Zpracovatelské smlouvy jsou tyto přílohy:

Příloha A: Povaha, rozsah, trvání a účel zpracování Osobních údajů Příloha B: Seznam zpracovatelů

Příloha C: Technická a organizační opatření

PŘÍLOHA A Zpracovatelské smlouvy

POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

1. Povaha zpracování. Osobní údaje jsou zpracovávány automatizovaně prostřednictvím skriptu Zpracovatele, který Správce vkládá na své webové stránky. Tento skript načítá chatovací okénko (chat box) na webových stránkách Správce, kde je skript vložen. Chatovací okénko je součástí primární Služby. Návštěvníci webové stránky Správce mohou vyplnit v chatovacím okénku jejich osobní údaje za účelem kontaktování zákaznické podpory Správce. Další osobní údaje mohou být zpracovávány na pozadí samotným skriptem. Správce může importovat další osobní údaje ke zpracování prostřednictvím rozhraní pro programování aplikaci (API) Zpracovatele nebo pomocí integrací se službami třetích stran jako součásti primární Služby.

2. Titul zpracování. Právním důvodem pro zpracování Osobních údajů v rámci poskytování Služby je plnění smlouvy (Podmínek).

3. Rozsah zpracování: V závislosti na tom, jak Správce využívá primární Službu, mohou být v souvislosti s poskytováním primární služby zpracovávány zejména tyto typy osobních údajů:

4. Kontaktní údaje:

● Xxxxx, příjmení, e-mailová adresa, telefonní číslo, popř. kontakt na účet sociální sítě.

5. Podrobnosti o návštěvě Vaší webové stránky:

● URL navštívených webových stránek, datum a čas návštěvy webových stránek, technické informace (rozlišení obrazovky, typ zařízení, typ prohlížeče, operační systém apod.), IP adresa, geografické lokalizační údaje (země a město, ze kterého si daný uživatel prohlédl Vaše webové stránky).

6. Zvláštní kategorie osobních údajů. Jsou to takové Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

7. Subjekt údajů. Zpravidla se jedná o osobní údaje zákazníků Správce, uživatelů webových stránek Správce, obchodních partnerů a jejich zaměstnanců či zástupců nebo se může jednat o zaměstnance Správce.

8. Doba zpracování. Osobní údaje jsou zpracovávány po dobu, kdy jsou Smluvní strany vázání Podmínkami, ledaže jiná smlouva nebo právní předpis nestanoví dobu delší (včetně např. lhůty pro výmaz dat po skončení smlouvy nebo mlčenlivost).

9. Účel. Účelem zpracování je umožnit Správci:

9.1. poskytovat a zlepšit zákaznickou podporu pro návštěvníky jeho webových stránek;

9.2. získávat zpětnou vazbu od návštěvníků o jeho produktech a službách;

9.3. zlepšit uživatelskou zkušenost (user experience) na jeho webu.

10. Nástroje k omezení zpracování. Zpracovatel jako součást primární Služby nabízí Správci následující nástroje k omezení zpracování osobních údajů a zlepšení ochrany soukromí subjektů údajů. Všechny nástroje jsou blíže popsány na adrese xxx.xxxxxxxxx.xxx.

11. Oznámení v Chat Boxu. Zpracovatel zobrazuje pro návštěvníky webových stránek Správce oznámení o zpracování osobních údajů v rámci chatovacího okénka a umožňuje správci linkovat toto oznámení na jeho web, kde Správce definuje, jakým způsobem zpracovává osobní údaje návštěvníků v rámci primární Služby.

12. Nastavení doby zpracování. Zpracovatel umožňuje Správci nastavit dobu uchovávání osobních údajů v rámci primární Služby. Správce si může dobu nastavit v jeho Smartsupp účtu po přihlášení na xxx.xxxxxxxxx.xxx -> sekce Nastavení.

13. Netrackování IP adres. Správce může deaktivovat sledování IP adres jeho návštěvníků. v Lze nastavit ve Smartsupp účtu po přihlášení na xxx.xxxxxxxxx.xxx -> sekce Nastavení. Ve výchozím nastavení primární služby je sledování IP adres vypnuto.

PŘÍLOHA B Zpracovatelské smlouvy SEZNAM ZPRACOVATELŮ

Další zpracovatelé. Osobní údaje, které na základě Zpracovatelské smlouvy získáme, nezpřístupníme třetí osobě. Výjimku tvoří zpracovatelé, kteří jsou uvedeni níže, a s jejichž zapojením Správce souhlasí:

● Amazon Web Services (AWS) - Slouží k zajištění datové infrastruktury pro fungování Služby. Zpracovávány mohou být údaje dle části 2 této Zpracovatelské smlouvy. Data jsou uloženy v EU, konkrétně v německém datovém centru.

● Mailgun - Využíván pro doručování e-mailových zpráv, což je nezbytné pro fungování Služby. Zpracovávány jsou e-mailové adresy, jméno a příjmení, obsah zpráv. Data jsou uloženy v EU.

● OpenAI Ireland Ltd. (ChatGPT) – Slouží k implementaci umělé inteligence (AI) do chatbota a dalších funkcí, které mohou používat AI. Uživatel bude vždy před spuštěním upozorněn na zapojení AI. Údaje by mohly být uloženy mimo EU, v takovém případě je úroveň ochrany podle GDPR zachována prostřednictvím Standardních smluvních doložek (přijatých komisí EU dne 4. června 2021) nebo rozhodnutím o přiměřenosti vydaným Evropskou komisí podle článku 45 GDPR.

PŘÍLOHA C Zpracovatelské smlouvy TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

Technická a organizační opatření. Bezpečnost je pro nás velmi důležitá a proto soustavně pracujeme na tom, aby byla vaše data chráněna. Při volbě opatření bereme v úvahu rozsah zpracování, rizikovost zpracování nebo stav naší techniky.

● Pravidelně zálohujeme data;

● aktualizujeme antivirové softwarové systémy;

● šifrujeme data pomocí SSL/TLS („secure sockets layer / transport layer security“) pro veškeré předávání údajů;

● používáme zabezpečený https protokol;

● naše data včetně Osobních údajů na serverech jsou šifrována;

● přístupová hesla do informačních systémů, kde budou Osobní údaje zpracovány a oprávnění k přístupu kontrolované na úrovni jednotlivců.

Organizační opatření. Přijali jsme a zavazujeme se udržovat následující opatření:

● Naši zaměstnanci jsou zavázáni mlčenlivostí;

● naši zaměstnanci jsou řádně proškoleni a také dále pravidelně školeni ohledně GDPR a seznámeni s pravidly bezpečné práce na pracovních zařízeních;

● přístupy do všech systémů včetně informačního systému jsou personalizovány a kryty bezpečnými hesly;

● jmenovali jsme pověřence pro ochranu osobních údajů, Xxx. Xxxxx Xxxxxxxxx, kterou můžete kontaktovat na xxx@xxxxxxxxx.xxx;

● informační systém eviduje logy, abychom mohli kontrolovat přístup zaměstnanců k jednotlivým Osobním údajům Uživatelů.

AWS. Zpracovatel využívá servery a cloudovou infrastrukturu společnosti Amazon Web Services k ukládání osobních údajů. Více o bezpečnosti této služby se dozvíte na tomto odkazu: xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xx-xxxx-xxxxxxxxxx/

● Informace o zabezpečení Amazon Web Services

● Informace o fyzickém zabezpečení datových center Amazon Web Services

● Informace o dodržování nařízení GDPR ze strany Amazon Web Services