ZPRACOVATELSKÁ SMLOUVA
ZPRACOVATELSKÁ SMLOUVA
Zpracování osobních údajů společností DIAMOND SOFTWARE s.r.o.
1. ÚVODNÍ USTANOVENÍ
1.1. Vlastník licence (dále jen „Objednatel“) uzavřel licenční nebo jinou smlouvu, na základě které užívá softwarový produkt vytvořený společností DIAMOND SOFTWARE s.r.o., IČ 04661346 (dále jen „DIAMOND“). Vztah mezi Objednatelem a DIAMOND se řídí uzavřenou smlouvou.
1.2. Objednatel má právo na individuální služby, spočívající mj. v pokročilých službách zákaznické podpory, např. servisní služby či vzdálená správa.
1.3. Vzhledem k tomu, že Objednatel v postavení správce v souvislosti s výkonem práv na individuální služby zpřístupňuje DIAMOND osobní údaje nebo jejich část a ty jsou za přesně vymezeným účelem a po omezenou dobu ukládány na serverech DIAMOND, má DIAMOND postavení zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení“).
2. PŘEDMĚT ZPRACOVÁNÍ
2.1. Předmět zpracování se liší v závislosti na druhu individuálních služeb poskytovaných Objednateli, kterými jsou:
2.1.1. Vzdálená správa, která spočívá v připojení na server/počítač Objednatele za účelem konfigurace operačního systému serveru nebo počítače, kontroly nastavení či změny v softwarovém produktu, kontroly nastavení či pomoc při problémech s ovládáním softwarového produktu, instalace softwarového produktu apod. Pro účely vzdálené správy je užíván software TeamViewer nebo UltraViewer nebo RDP služba operačního systému Microsoft. Uvedené nástroje umožňují pracovníkovi servisní podpory DIAMOND (dále jen „Servisní pracovník“) přístup na server/počítač Objednatele v reálném čase, přičemž dochází k záznamu činnosti servisního pracovníka, v rámci kterého mohou být takto zaznamenány i osobní údaje, které byly viditelné na ploše koncového uživatele Objednatele (dále jen „Uživatel“), popř. osobní údaje nacházejících se v jiných aplikacích, které servisní pracovník otevřel nebo k nim měl přístup.
2.1.2. Servisní služby, které vyžadují přístup k datům Objednatele. V tomto případě prostřednictvím softwaru Team Viewer nebo Ultra Viewer nebo RDP služba operačního systému Microsoft zasílá Objednatel DIAMOND celou databázi provozovanou prostřednictvím softwarového produktu.
2.2. Předmětem zpracování v případě Vzdálené správy (čl. 2.1.1) je nahlížení do osobních údajů servisním pracovníkem, ukládání osobních údajů v rámci záznamu o činnosti servisního pracovníka a provedení automatického výmazu záznamu s možnými osobními údaji po uplynutí doby uložení, k čemuž dochází v souvislosti s pořizováním záznamu činnosti servisního pracovníka. Účelem zpracování je řešení Objednatelem ohlášených potíží při užívání softwarového produktu a zajištění záznamu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou službou Vzdálené správy.
2.3. Předmětem zpracování v případě poskytování Servisních služeb (čl. 2.1.2) je uložení kopie databáze obsahující osobní údaje na server DIAMOND, nahlížení do osobních údajů, zpřístupnění přenosem (při zpětném zaslání databáze Objednateli) a provedení automatického výmazu databáze po uplynutí doby uložení, k čemuž dochází v souvislosti s
poskytováním Servisních služeb. Účelem zpracování je provedení analýzy požadavku, jeho vyřešení a zajištění záznamu a důkazu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou Servisní službou.
2.4. Smluvní strany berou na vědomí, že XXXXXXX bude mít v souvislosti s poskytováním individuálních služeb přístup k následujícím kategoriím osobních údajů, které bude na základě pokynu Objednatele po omezenou dobu zpracovávat:
2.4.1. osobní údaje identifikační, adresné (včetně e-mailové adresy a tel. nebo mobilního čísla),
2.4.2. popisné (včetně akademického titulu),
2.4.3. vybrané údaje finanční povahy (personální a mzdové údaje, čísla bankovních účtů, účetní doklady zahrnující osobní údaje).
2.5. Dotčenými osobami, jejichž osobní údaje budou zpracovávány DIAMOND, jsou zaměstnanci Objednatele a dále to mohou být třetí osoby vyskytující se v databázích Objednatele provozovaných prostřednictvím softwarového produktu, přičemž tyto databáze mohou obsahovat účetní doklady a osoby na nich uvedené a dále databáze kontaktních údajů zákazníků či dodavatelů Objednatele.
2.6. Objednatel bere na vědomí, že při využití nástrojů TeamViewer jsou využívány servery společnosti TeamViewer GmbH, sídlem Jahnstr. 30 D-73037 Göppingen Německo, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.7. Objednatel bere na vědomí, že při využití nástrojů RDP Microsoft nebo jiných Microsoft softwarových produktů jsou využívány servery společnosti Microsoft Corporation, sídlem Redmond, 980 52, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.8. Objednatel bere na vědomí, že při využití nástrojů TeamViewer jsou využívány servery společnosti DUCFABULOUS RESEARCH & DEVELOPMENT SCIENCE AND SOFTWARE MANUFACTURING LTD se sídlem 0/00 Xxxx Xxxx XX, Xxxx Xxxx xxxx, Xxx Xx Xxxxx Xxxxxxxx, Xxxxxxx, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.9. XXXXXXX je oprávněn i bez předchozího písemného souhlasu Objednatele zapojit do zpracování osobních údajů dalšího zpracovatele. XXXXXXX je však povinen zajistit, aby jakýkoli další zpracovatel, zapojený do zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto dohodou, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 8 této dohody. O zapojení dalšího zpracovatele je XXXXXXX povinen informovat bez zbytečného odkladu na svých internetových stránkách a sdělit jeho identifikační údaje, a to tak, aby měl Objednatel příležitost vyslovit vůči těmto změnám odůvodněné námitky.
2.10. Zpracování osobních údajů je vedlejším závazkem DIAMOND vyplývajícím ze smlouvy dle čl. 1.1 této smlouvy. Úplata za zpracování je proto zahrnuta v ceně za poskytování individuálních služeb, jak je uvedena v Ceníku, případně jak byla sjednána mezi Objednatelem a DIAMOND.
3. ZPRACOVÁNÍ NA POKYN OBJEDNATELE
3.1. XXXXXXX je jako zpracovatel povinen zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele, který je v postavení správce.
3.2. DIAMOND poskytuje služby Vzdálené správy (čl. 2.1.1) a Servisní služby (čl. 2.1.2) na základě samostatné objednávky Objednatele učiněné:
3.2.1. prostřednictvím objednávkového formuláře na stránce xxxx://xxx.xxxxxxxxxxxxxxx.xx/. Odeslání objednávky je považováno za samostatný pokyn ke zpracování osobních údajů, přičemž k samotnému poskytnutí individuálních služeb ze strany DIAMOND je zapotřebí další součinnosti Objednatele, např. aktivní povolení k užití nástroje TeamViewer nebo nástroje UltraViewer nebo nástroje RDP Microsoft pro účely Vzdálené správy, nebo odeslání databáze v rámci poskytnutí Servisní služby. Objednatel je v tomto případě povinen uvést své zákaznické ID, které mu udělil DIAMOND
3.2.2. prostřednictvím e-mailu zaslaného na adresu xxxx@xxxxxxxxxxxxxxx.xx nebo jakýkoli jiný email domény xxxxxxxxxxxxxxx.xx, který bude mít podstatné náležitosti pro splnění vzdálené podpory nebo servisní služby, přičemž Objednatel je povinen odeslat e-mailovou objednávku z e-mailové adresy evidované společností DIAMOND
3.2.3. prostřednictvím servisního technika, který v rámci servisního zásahu prováděného u Objednatele nebo v rámci vzdálené správy zjistí, že k odstranění vady bude nezbytné zaslání databáze prostřednictvím přenosu souboru TeamViewer nebo UltraViewer nebo Microsoft RDP.
3.3. XXXXXXX je oprávněn provádět zpracování na základě pokynů udělených mu i jinou formou, než jaká je sjednána v tomto článku smlouvy (zejména ústně nebo telefonicky). XXXXXXX není povinen případné pokyny (objednávky) doložit, za tím účelem není povinen je archivovat. V případě pochybností na straně DIAMOND může požadovat po Objednateli potvrzení pokynu.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení poskytování individuální služby spojené s jejich zpracováním.
4.2. XXXXXXX si je vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Objednatelem.
4.3. XXXXXXX je povinen po uplynutí lhůty uvedené v čl. 4.1 této smlouvy provést výmaz nebo vrácení všech osobních údajů Objednateli a dále provést výmaz veškerých existujících kopií, pokud právo Unie nebo členského státu EU nepožaduje uložení daných osobních údajů. Tím není dotčeno právo DIAMOND dle čl. 4.1 této smlouvy.
5. MÍSTO ZPRACOVÁNÍ, PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
5.1. Místem zpracování osobních údajů je Česká republika nebo jiný členský stát Evropské unie. XXXXXXX je oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Objednatele předávat osobní údaje do třetích zemí nebo mezinárodní organizaci a nebo provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
6. POVINNOST MLČENLIVOSTI
6.1. XXXXXXX je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění souvisejících s užíváním softwarového produktu, zejména mlčenlivost ohledně osobních údajů, které mu byly
Objednatelem zpřístupněny nebo jinak poskytnuty v souvislosti s poskytováním individuálních služeb popsaných v čl. 2.1. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání smlouvy mezi DIAMOND a Objednatelem.
6.2. XXXXXXX je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je neomezená.
7. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
7.1. XXXXXXX je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této smlouvy i k rizikům pro práva a svobody fyzických osob.
7.2. XXXXXXX tímto prohlašuje, že přijal vhodná technická opatření uvedená na svých internetových stránkách a dále zejména tato opatření:
7.2.1. Uživatel musí při provádění Vzdálené správy aktivním jednáním povolit přístup Servisního pracovníka prostřednictvím nástroje TeamViewer nebo nástroje ultraViewer nebo nástroje RDP Microsoft; Uživatel povoluje přístup Servisnímu pracovníkovi tak, že mu sdělí své zákaznické ID (přihlašovací jméno) a heslo pro připojení. Uživatel může Servisnímu pracovníkovi kdykoliv přístup ukončit a spojení přerušit.
7.3. XXXXXXX tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této smlouvy, zejména:
7.3.1. seznámil příslušné zaměstnance s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, důvěrných informací nebo obchodního tajemství Objednatele;
7.3.2. neposkytuje žádné neoprávněné osobě (i kdyby se jednalo o neoprávněnou osobu z řad vlastních zaměstnanců), přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim nebo k on-line službám třetích osob používaných pro účely poskytování individuálních služeb ve smyslu této smlouvy);
7.3.3. nepoužívá žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu Objednatele, a to stejnou formou, jakou lze udělit pokyn (čl. 3.2).
7.4. DIAMOND užívá pro účely zasílání databáze provozované prostřednictvím Softwarového produktu služby TeamViewer nebo služby UltraViewer nebo služby RDP Microsoft nebo emailové schránky a neumožňuje svým zaměstnancům dohodnout s Objednatelem jiný způsob zasílání nebo zpřístupnění, např. prostřednictvím cloudových úložišť provozovaných třetími osobami (např. Google Drive). Pokud Objednatel přesto zvolí takový způsob zaslání/zpřístupnění své databáze, nenese za to DIAMOND jakoukoliv odpovědnost.
7.5. DIAMOND umožní Objednateli nebo jím pověřeným osobám kontrolu dodržování svých povinností dle tohoto článku.
8. SOUČINNOST DIAMOND, POVINNOST BÝT NÁPOMOCEN
8.1. XXXXXXX je povinen poskytnout Objednateli veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů ze strany XXXXXXX je v souladu s Nařízením a DIAMOND i Objednatel naplňují základní zásady a principy uvedené v Nařízení. DIAMOND je povinen umožnit audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem pověřeným
Objednatelem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.
8.2. XXXXXXX je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Objednatel mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Objednatel mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit ho subjektům údajů. Při výkonu této povinnosti je DIAMOND povinen reagovat bez zbytečného odkladu na pokyny a požadavky Objednatele.
8.3. Zjistí-li DIAMOND v souvislosti s poskytováním individuálních služeb Objednateli jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnost neprodleně, nejpozději však do 24 hodin, informovat Objednatele, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, která XXXXXXX přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.
8.4. XXXXXXX je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele jakožto správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Pokud bude Objednatel požadovat pomoc ve smyslu tohoto článku této smlouvy, provede DIAMOND tyto činnosti za přiměřenou úplatu, která bude vycházet z cenové nabídky DIAMOND.
8.5. V případě ukončení individuálních služeb spojených se zpracováním osobních údajů je XXXXXXX povinen postupovat v souladu s pokyny Objednatele a s čl. 4.1 této smlouvy. Nestanoví-li Objednatel ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení služeb spojených se zpracováním osobních údajů je XXXXXXX povinen tyto vymazat ze všech datových úložišť.
Datum revize dokumentu: 20.5.2018