Preambule

Zpracovatelská smlouva pro služby poskytované pod označením Arebo

Zpracovatel: XxxxxXxx, s.r.o. Valentova 1736

149 00 Praha 4

IČ: 28381611

zastoupená panem Xxxxxx Xxxxxxxx, jednatelem

Spisová značka: C 137548 vedená u Městského soudu v Praze

Správce: zákazník Zpracovatele, kterému Zpracovatel poskytuje služby v oblasti informačních technologií pod označením Arebo

Správce a Zpracovatel mohou být dále uváděni též jako „Smluvní strany“ nebo jednotlivě jako

„Smluvní strana“.

Preambule

1. Zpracovatel poskytuje Správci služby v oblasti informačních technologií pod označením Arebo (dále jen „Služby“).

2. Řádné plnění Služeb ve většině případů vyžaduje zpracování různých typů údajů (dále jen

„Údaje“) o zaměstnancích či spolupracovnících Správce, partnerech, zákaznících nebo

potenciálních zákaznících Správce a jejich zaměstnanců, spolupracovníků či partnerů (dále jen

„Subjekt údajů“) a tyto Údaje zahrnují i osobní údaje fyzických osob (dále jen „Osobní údaje“).

3. S ohledem na výše uvedené uzavírají Smluvní strany v režimu Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení

směrnice 95/46/ES (dále jen „Nařízení GDPR“), které se týká Osobních údajů, následující zpracovatelskou smlouvu (dále jen „Smlouva“).

Předmět Smlouvy

4. Předmětem Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Údajů, které Zpracovatel získá v souvislosti s poskytováním Služeb, nebo které si Správce

nebo Subjekt údajů uloží na nosiče informací ve vlastnictví nebo správě Zpracovatele.

Podmínky zpracování Údajů

5. Hlavním účelem zpracování Údajů je poskytování obchodní platformy Arebo Zpracovatelem Správci. Arebo je provozováno na serverech ve vlastnictví/pronájmu nebo částečném

pronájmu (tzv. webhosting) Zpracovatele a na těchto jsou uložena data zadaná do Areba.

Využívání služeb „Arebo“ ze strany Správce je ve smyslu odstavce a) bodu 3. článku 28 Nařízení GDPR pokynem Správce Zpracovateli, aby data zpracovával za účelem provozu Areba.

6. Doplňkovým účelem může být servisní zásah Zpracovatele. Při něm může Správce zpřístupnit nebo poskytnout některé Údaje Zpracovateli formou e-mailu, tabulky, kopie databáze, snímku obrazovky apod. Případně se místo přímého poskytnutí či zpřístupnění Údajů přihlásí zástupce Zpracovatele do systému Arebo provozovaného pro Správce. Výše uvedené se provede za účelem vyřešení technického problému, zlepšení systému, kontroly stavu systému, nasazení nové verze systému, analýzy požadavku Správce na změnu v systému apod. Některé servisní zásahy Zpracovatele (např. kontroly stavu systému, nasazení nové

verze systému) jsou prováděny v rámci poskytování Služeb a jako takové jsou tedy prováděny na základě obecného pokynu Správce k jejich provádění (viz bod 5 této Smlouvy).

7. Zpracovatel prohlašuje a Správce tímto potvrzuje, že v případě, že systém Arebo má dle pokynu Správce aktivovanou možnost zaznamenávání činnosti uživatelů softwarem nebo skriptem třetí strany (např. služba Google Analytics), Zpracovatel není zpracovatelem dat získaných nebo vytvořených tímto softwarem nebo skriptem třetí strany.

8. Zpracovávány mohou být následující kategorie Údajů:

a. Osobní údaje - např. jméno, příjmení, titul, pracovní pozice, telefon, e-mail, Skype přezdívka, adresa aj.

b. preference osoby (uživatele) nebo zákazníka - např. oddělovač desetinných míst, oddělovač tisíců, preferovaný jazyk, formát data, formát času, preferovaná doprava, preferovaná platba aj.

c. zákaznické údaje - např. IČ, DIČ, jméno firmy, adresa, telefon, e-mail, webová stránka, bankovní spojení, číslo smlouvy se zákazníkem a její platnost, doručovací adresy, pobočky aj.

d. obchodní údaje - např. prodávané produkty a informace o nich, informační leták o produktu, skladové zásoby, ceníky, slevové skupiny a sazby, datum a částka platby za objednávku, datum/čas odeslání objednávky, číslo objednávky, číslo faktury, číslo zásilky, výše objednávky, produkty v objednávce, zákaznické kódy produktů, kreditní rámec, přiřazení zákazníka k obchodnímu zástupci aj.

e. lokalizační údaje - např. GPS souřadnice místa doručení, GPS souřadnice zařízení přistupujícího k Arebu aj.

f. technické údaje - např. přihlašovací jméno, datum/čas přihlášení uživatele, jaké IP adresy byly použity pro přístup k Arebu, druh prohlížeče a operačního systému

použitého počítače/zařízení, akce provedené uživatelem, kódy pro ověření uživatele, zákazníka či přístupu z informačního/účetního systému zákazníka, seznam uživatelů s přístupem k zákaznickému účtu, přístupové logy, logy z procesu přenosu dat

z/do informačního/účetního systému, logy o odeslaných e-mailových zprávách aj.

g. nestrukturované textové údaje - např. poznámky uložené u objednávek aj.

h. obrázkové údaje - např. naskenovaná smlouva, naskenovaná objednávka, naskenovaný dodací list, naskenovaná faktura, naskenovaný list o přepravě aj., které mohou obsahovat texty s údaji z výše uvedených kategorií

9. Zpracovatel nezpracovává zvláštní kategorie údajů podle čl. 9 Nařízení GDPR. Zpracovatel výslovně upozorňuje Správce, že Xxxxx není schopno technicky zabránit situaci, kdy některý uživatel do něj uloží údaj spadající do zvláštní kategorie údajů - např. do pracovní pozice uvede „předseda odborové organizace“ a tím fakticky uloží informaci o svém členství

v odborech, která podle čl. 9 Nařízení GDPR spadá pod zvláštní kategorie údajů. Podobně

v případě, že je do systému uživatelem nahrán naskenovaný dokument, který obsahuje údaj

spadající podle čl. 9 Nařízení GDPR pod zvláštní kategorie údajů. V případě, že Správce nebo uživatel objeví, že se v Xxxxx uchovávají data spadající podle čl. 9 Nařízení GDPR pod zvláštní kategorie údajů, má buď možnost tyto údaje vymazat, nebo požádat Zpracovatele o jejich vymazání.

10. Zpracováním Údajů ve smyslu této Smlouvy se rozumí zejména jejich ukládání na nosiče informací (hlavně pevné disky serverů, na kterých je provozováno Arebo, a na zálohovací

média). V případě servisního zásahu Zpracovatele ve smyslu bodu 6 této Smlouvy jsou Údaje využity v nezbytné míře pro provedení zásahu.

11. Údaje budou zpracovány výhradně v Evropské unii.

12. Údaje budou zpracovány po dobu poskytování Služeb s tím, že ukončením poskytování Služeb bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají povinnosti

Zpracovatele týkající se bezpečnosti a ochrany Údajů až do okamžiku jejich úplné likvidace.

13. Smluvní strany se dohodly, že za zpracování Údajů podle této smlouvy náleží Zpracovateli odměna v následující výši:

a. V případě automatizovaného zpracování systémem Arebo je odměna 0 Kč

b. V případě manuálního zpracování (např. požadavek na zjištění informací, které nejsou v Arebu přímo přístupné; požadavek, který Arebo nepodporuje automaticky; zajištění spolupráce při auditu či inspekci týkající se zpracování Osobních údajů apod.) je odměna Zpracovatele ve stejné výši, jako při jiných požadavcích - např.

programování funkce, která není součástí standardní instalace.

Povinnosti Smluvních stran

14. Správce je při plnění této Smlouvy povinen:

a. zajistit, že Osobní údaje budou zpracovány vždy v souladu s Nařízením GDPR, že budou aktuální, přesné a pravdivé, jakož i to, že tyto Osobní údaje budou odpovídat stanovenému účelu zpracování;

b. přijmout vhodná opatření, aby poskytl Subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná Nařízením GDPR;

c. seznámil osoby, které mají přístup do Areba, nebo kterým bude v budoucnu udělen, (např. zaměstnanci Správce nebo jeho zákazníci) s tím, že je potřeba chránit

přihlašovací údaje do Areba.

15. Zpracovatel je při plnění této Smlouvy povinen:

a. nezapojit do zpracování Osobních údajů žádného dalšího zpracovatele bez

předchozího povolení Správce; Správce tímto zároveň dává Zpracovateli souhlas k uložení Údajů na serverech v datacentru poskytovatele webhostingu (aktuálně: WEDOS Internet, a.s., IČ 28115708, xxxxxxx.xxxxx.xxx - dále jen „Poskytovatel webhostingu“); Poskytovatel webhostingu se tím stává dalším zpracovatelem ve smyslu bodu 2. článku 28 Nařízení GDPR a s tímto Správce dává Zpracovateli svůj obecný souhlas; Poskytovatel webhostingu Údaje nezpracovává žádným jiným

způsobem, než že jsou uloženy na jeho serverech fyzicky umístěných v Evropské unii; Poskytovatel webhostingu prohlašuje: „Poskytovatel webhostingu nezasahuje obsahově, technicky nebo právně do dat, která mají Správce a Zpracovatel umístěny na jeho serverech. Poskytovatel webhostingu má se Správcem uzavřenu zpracovatelskou smlouvu a není smluvně a právně oprávněn jakkoliv obsahově nebo

technicky zasahovat do žádných dat (včetně dat a informací osobní povahy) Správce a Zpracovatele na serverech poskytovatele webhostingu.“;

b. zpracovávat Údaje pouze na základě této Smlouvy a doložených pokynů Správce;

c. zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv Subjektu údajů, jakož i pro splnění dalších povinností ve smyslu Nařízení GDPR;

d. zajistit, aby za stranu Zpracovatele využívaly systém Arebo pouze oprávněné osoby, které budou mít přístup pouze k Údajům odpovídajícím oprávnění těchto osob a zajistit mlčenlivost těchto osob;

e. zajistit, že jeho zaměstnanci a spolupracovníci budou zpracovávat Údaje pouze za podmínek a v rozsahu odpovídajícím této Smlouvě;

f. na žádost Správce kdykoliv umožnit provedení auditu či inspekce týkající se zpracování Osobních údajů;

g. po skončení této Smlouvy Údaje zlikvidovat (případně před likvidací předat ve formě databázového exportu Správci, pokud o to Správce požádá); likvidace dat ze zálohovacích médií proběhne automaticky tak, jak se zálohy periodicky přepisují novým stavem dat, který již (po likvidaci) nebude Údaje obsahovat;

h. dodržovat ty povinnosti článku 28 Nařízení GDPR, které se vztahují na Zpracovatele.

16. Smluvní strany jsou při plnění této Smlouvy povinny:

a. s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavést technická, organizační, personální a jiná vhodná opatření ve smyslu Nařízení GDPR (obzvláště ve smyslu článku 32), aby zajistily a byly schopny kdykoliv doložit, že zpracování Osobních údajů je prováděno v souladu s Nařízením GDPR tak, aby nemohlo dojít k neoprávněnému nebo nahodilému

přístupu k Osobním údajům a k datovým nosičům, které tyto údaje obsahují, k jejich neoprávněné změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému

neoprávněnému zpracování, jakož i k jinému zneužití, a tato opatření podle potřeby průběžně revidovat a aktualizovat;

b. v případě vzájemného předávání Osobních údajů zvolit vždy vhodný způsob jejich předání s ohledem na míru citlivosti předávaných Osobních údajů - od předání

prostým e-mailem na jedné straně až po zaslání CD poštou na dodejku s daty zašifrovanými silným klíčem;

c. vést a průběžně revidovat a aktualizovat záznamy o zpracování Osobních údajů ve smyslu Nařízení GDPR;

d. řádně a včas ohlašovat případná porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a spolupracovat s tímto úřadem v nezbytném rozsahu;

x. xxxxxxxx se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;

x. xxxxxxxxxx mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;

g. postupovat v souladu s dalšími požadavky Nařízení GDPR, zejména dodržovat obecné zásady zpracování Osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva Subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost.

Závěrečná ustanovení

17. Tato Xxxxxxx a právní poměry z ní vzešlé a s ní související se řídí Nařízením GDPR a právními předpisy České republiky.

18. Tato Smlouva nabývá platnosti a účinnosti:

a. pro stávající Správce (tj. zákazníky Zpracovatele) dne 25. 5. 2018

b. pro nové Správce (tj. budoucí zákazníky Zpracovatele) dnem začátku poskytování služeb v oblasti informačních technologií pod označením Arebo.

19. V případě, že Smluvní strany uzavřely individuálně upravenou zpracovatelskou smlouvu, tak ustanovení individuálně upravené zpracovatelské smlouvy mají přednost před ustanoveními této Smlouvy, případně individuálně upravená zpracovatelská smlouva může tuto Smlouvu nahrazovat v celém jejím rozsahu.

Xxxxx Xxxxxxx: 2018-05-22b