SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

uzavřená podle čl. 28 GDPR

Red Square, s.r.o.

IČO: 29046645

se sídlem Xxxxx 000/0, Xxxxxxxx, 000 00 Xxxxx 00

zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp.zn. C 162569 (dále jako „Správce“)

a

Tesco Franchise Stores ČR s.r.o.

IČO: 04621611,

se sídlem Vršovická 1527/68b, Xxxxxxxx, 000 00 Xxxxx 00

zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp.zn. C 250934 (dále jako „Zpracovatel“)

(Správce a Zpracovatel dále společně jako „Smluvní strany“ nebo jednotlivě jako „Smluvní strana“)

uzavřeli níže uvedeného dne, měsíce a roku tuto smlouvu o zpracování osobních údajů (dále jen

„Smlouva o zpracování“)

1. ÚVODNÍ USTANOVENÍ

1.1 Správce v rámci své podnikatelské činnosti provozuje systém distribuce zboží, nakupovaného třetími osobami (zákazníky) v e-shopech na Internetu (dále jen

„Zákazníci“), kdy Zákazníci si vyzvedávají zboží na výdejních místech zajištěných Správcem. Zpracovatel provozuje maloobchodní síť prodejen potravin a smíšeného zboží pod názvem Žabka (dále jen „Prodejny“). Správce a Zpracovatel uzavřeli dne 22.11.2010 smlouvu o spolupráci, na jejímž základě si Zákazníci vyzvedávají zboží v Prodejnách (dále jen „Smlouva“). Jedná se o službu nazvanou „Žabka point“.

1.2 Nedílnou součástí plnění Smlouvy je zpracování osobních údajů Zákazníků (dále jen

„Osobní údaje“) ve smyslu obecného nařízení o ochraně osobních údajů1 (dále jen

„GDPR“).

1.3 Za účelem ochrany Osobních údajů při jejich zpracovávání Zpracovatelem Smluvní strany uzavírají tuto Smlouvu o zpracování v souladu s čl. 28 GDPR.

2. PŘEDMĚT SMLOUVY O ZPRACOVÁNÍ

2.1 Správce pověřuje Zpracovatele, aby pro něj a v souladu s jeho pokyny prováděl zpracování Osobních údajů v souvislosti s plněním Smlouvy, a to a za podmínek stanovených v této Smlouvě o zpracování.

1 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (Úř. věst. L 119, 4. 5. 2016).

2.2 Specifikace zpracování Osobních údajů je uvedena v Příloze č. 1 této Smlouvy o zpracování.

2.3 Osobní údaje zpracovávané podle Xxxxxxx bude Zpracovatel zpracovávat pouze v rozsahu nezbytném pro plnění svých povinností dle Smlouvy a svých zákonných povinností, a to pouze po dobu trvání Smlouvy a podle pokynů Správce, pokud nevyplývá z této Smlouvy o zpracování nebo příslušných právních předpisů jinak.

3. PRÁVA A POVINNOSTI SMLUVNÍCH STRAN

3.1 Zpracovatel se zavazuje při zpracování Osobních údajů dodržovat veškeré povinnosti vyplývající pro zpracovatele osobních údajů z relevantních právních předpisů, zejména pak z GDPR, a zohlednit povahu zpracování Osobních údajů při plnění svých povinností dle příslušných právních předpisů.

3.2 Zpracovatel nesmí zpracovávat Osobní údaje subjektů údajů získané za účelem plnění Smlouvy pro své vlastní účely, pokud mu takové zpracování neukládají příslušné právní předpisy; v takovém případě Zpracovatel informuje Správce o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

3.3 Zpracovatel je dále povinen:

(a) být Správci nápomocen při zajišťování souladu s povinnostmi Správce zajistit odpovídající úroveň zabezpečení zpracování Osobních údajů dle čl. 32 GDPR při zohlednění povahy zpracování a informací, které má Zpracovatel k dispozici;

(b) poskytovat Správci veškerou součinnost při analýze rizik zpracování Osobních údajů a provádění posouzení vlivu zpracování na ochranu osobních údajů dle čl. 35 GDPR (včetně poskytnutí veškerých požadovaných podkladových materiálů a vlastních odborných vyjádření a hodnocení rizik zpracování Osobních údajů) nebo při předchozí konzultaci s dozorovým úřadem dle čl. 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;

(c) poskytnout Správci veškeré informace a dokumenty potřebné k doložení toho, že byly splněny povinnosti stanovené v této Smlouvě o zpracování, a umožnit kontroly zpracování Osobních údajů (včetně fyzické kontroly zařízení a prostor, kde jsou Osobní údaje zpracovávány) prováděné Správcem nebo jinou jím pověřenou osobou po předchozím oznámení v běžné pracovní době a k těmto kontrolám poskytnout veškerou součinnost;

(d) poskytnout Správci nezbytnou součinnost při komunikaci s příslušným dozorovým orgánem a dle pokynů Správce spolupracovat při přípravě odpovědí dozorovému úřadu ohledně činností zpracování prováděných Zpracovatelem;

(e) vést evidence veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení Osobních údajů a plnění oznamovacích povinností Správce dle čl. 33 až 34 GDPR.

3.4 V souvislosti se zpracováním Osobních údajů vede Zpracovatel v souladu s čl. 30 GDPR záznamy o činnostech zpracování, a to písemnou či elektronickou formou, o všech kategoriích činností zpracování prováděných pro Správce. Zpracovatel se na základě

písemné výzvy Správce zavazuje Správci vedené záznamy o zpracování předložit k nahlédnutí a k pořízení kopií.

4. INFORMAČNÍ POVINNOST ZPRACOVATELE

4.1 Zpracovatel je povinen oznámit okamžitě Správci případy, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného dozorového či správního orgánu zahájena kontrola nebo jiné správní řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení.

4.2 Zpracovatel je dále povinen bezodkladně, a to nejpozději do 48 hodin, informovat Správce:

(a) o jakékoli žádosti o zpřístupnění či informace týkající se Osobních údajů ze strany subjektů údajů, správních orgánů nebo třetích osob;

(b) v případě, je-li Zpracovatel povinen podle příslušných právních předpisů zpracovávat osobní údaje nad rámec pokynů Správce.

4.3 Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů nebo jeho hrozby, a to nejpozději do 24 hodin od okamžiku, kdy se o vzniku porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví, a to alespoň v rozsahu požadovaném čl. 33 odst. 3 GDPR.

4.4 Pokud Zpracovatel zjistí nebo se důvodně domnívá, že pokyny Správce porušují nebo mohou porušovat příslušné právní předpisy o ochraně osobních údajů, je povinen jej na to neprodleně upozornit.

5. ŽÁDOSTI SUBJEKTŮ ÚDAJŮ

5.1 Zpracovatel je povinen informovat Správce bezodkladně, a to nejpozději do 48 hodin, o všech stížnostech nebo žádostech o výkon práv obdržených přímo od subjektů údajů týkajících se Osobních údajů (např. pokud jde o uplatnění a výkon práva na přístup a informace, opravu, vymazání, omezení zpracování, přenositelnost údajů, námitky proti zpracování údajů, automatizované rozhodování atd.).

5.2 Zpracovatel je povinen být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření a poskytovat veškerou potřebnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektů údajů.

5.3 Zpracovatel nesmí samostatně, bez předem uděleného pokynu Správce, reagovat a odpovídat na žádosti o výkon práv, stížnosti nebo jiné podněty obdržené od subjektu údajů v souvislosti se zpracováním Osobních údajů pro Správce.

6. OPATŘENÍ K OCHRANĚ OSOBNÍCH ÚDAJŮ

6.1 Zpracovatel se zavazuje přijmout a zdokumentovat veškerá odpovídající technická a organizační opatření k zabezpečení zpracování Osobních údajů v souladu s čl. 32 GDPR, a to minimálně opatření v rozsahu uvedeném v Příloze č. 2. Zpracovatel je povinen splnění těchto povinností zdokumentovat a na vyžádání předložit příslušnou dokumentaci Správci.

6.2 Zpracovatel zajišťuje, kontroluje a odpovídá zejména za:

(a) plnění pokynů pro zpracování Osobních údajů pověřenými osobami, které mají bezprostřední přístup k Osobním údajům a zabránění neoprávněným osobám přistupovat k Osobním údajům a k prostředkům pro jejich zpracování;

(b) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících Osobní údaje;

(c) funkčnost a účinnost zavedených opatření k zajištění bezpečnosti Osobních údajů, která budou pravidelně, minimálně 1x ročně v potřebném rozsahu kontrolována, a to formou auditní a revizní činnosti v oblasti opatření a dokumentace; a

(d) plnění dalších organizačně-technických opatření k zabezpečení zpracování Osobních údajů požadovaných dle této Smlouvy o zpracování a příslušných právních předpisů.

6.3 Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy, této Smlouvy o zpracování nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.

6.4 Zpracovatel se zavazuje na základě výsledků vlastního testování zabezpečení, odůvodněných požadavků Správce, v případě hrozícího nebo existujícího Porušení zabezpečení Osobních údajů nebo na základě požadavku či upozornění příslušného dozorového nebo jiného správního úřadu, v přiměřené lhůtě poskytnout další záruky za účelem technického a organizačního zabezpečení zpracování Osobních údajů a prokázání splnění požadavků GDPR tak, aby byla zajištěna odpovídající ochrana práv subjektů údajů.

7. VYUŽÍTÍ DALŠÍCH ZPRACOVATELŮ

7.1 Zpracovatel je oprávněn zapojit do zpracování Osobních údajů další zpracovatele (subdodavatele), pouze pokud budou splňovat povinnosti a záruky na ochranu a zabezpečení Osobních údajů stanovené v této Smlouvě o zpracování.

7.2 Zapojení dalšího zpracovatele je podmíněno předchozím písemným souhlasem Správce, a to s výjimkou dalších zpracovatelů uvedených v Příloze č. 1.

7.3 Zpracovatel se zavazuje se schváleným dalším zpracovatelem uzavřít smlouvu zajištující dodržování práv a povinností stanovených touto Smlouvou o zpracování a Smlouvou, zvláště pak povinnosti mlčenlivosti a zajištění bezpečnosti Osobních údajů a poskytnutí dostatečných záruk pro zavedení stejných technických a organizačních opatření dalším zpracovatelem. Jakékoliv předávání Osobních údajů do třetí země mimo státy EU/EHP je možné pouze s předchozím písemným schválením Správce a při zajištění dostatečných záruk v souladu s GDPR.

8. ODMĚNA ZA SLUŽBY ZPRACOVATELE

8.1 Smluvní strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy o zpracování nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Smlouvy.

8.2 Bude-li Zpracovatel povinen zavést na základě této Smlouvy o zpracování opatření týkající se zpracování Osobních údajů, zavazuje se Správce uhradit Zpracovateli náklady, které Zpracovateli v této souvislosti vzniknou.

9. KONTAKTNÍ OSOBY PRO ÚČELY ZPRACOVÁNÍ

9.1 Kontaktní osoby pro účely zpracování Osobních údajů a související komunikaci včetně informování o žádostech subjektů údajů a oznamování bezpečnostních incidentů jsou uvedeny v Příloze č. 1 této Smlouvy o zpracování.

9.2 Smluvní strana je povinna oznámit změnu kontaktní osoby druhé Smluvní straně písemně, a to alespoň 1 týden předem.

10. ODPOVĚDNOST ZPRACOVATELE

10.1 V případě, že Zpracovatel zpracuje Osobní údaje nad rámec vymezený Smlouvou/doloženými pokyny Správce, považuje se ve vztahu k takovému zpracování za správce.

10.2 Zapojením dalšího zpracovatele v souladu s čl. 6 této Smlouvy o zpracování nebude dotčena odpovědnost Zpracovatele za plnění povinností dle této Smlouvy o zpracování.

11. ÚČINNOST A UKONČENÍ SMLOUVY O ZPRACOVÁNÍ

11.1 Tato Smlouva o zpracování je platná a účinná dnem jejího podpisu Smluvními stranami. Účinnost této Smlouvy o zpracování skončí automaticky s ukončením Smlouvy.

11.2 Kterákoli ze Smluvních stran je oprávněna ukončit Smlouvu o zpracování výpovědí s výpovědní dobou 15 dnů, která začíná běžet v den následující po dni doručení výpovědi druhé Smluvní straně, a to z následujícího důvodu:

(a) Smluvní strana se dopustí závažného nebo opakovaného porušení této Smlouvy o zpracování nebo ustanovení právních předpisů na ochranu osobních údajů a takové porušení neodstraní ani do 15 dnů od písemné výzvy k nápravě.

11.3 Ukončení této Smlouvy o zpracování má za následek zároveň ukončení smluvního vztahu založeného Smlouvou, pokud se Smluvní strany nedohodnou jinak. Ukončením této Smlouvy o zpracování však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací.

11.4 Na základě písemného pokynu Správce je v případě ukončení Smlouvy Zpracovatel povinen vrátit Správci veškeré Osobní údaje, tj. předat Správci na jeho žádost protokolárně veškeré hmotné nosiče obsahující Osobní údaje a Osobní údaje v elektronické podobě a následně zajistit likvidaci a výmaz kopií Osobních údajů v elektronické či jiné podobě v jeho dispozici, nebo zajistit likvidaci a výmaz veškerých Osobních údajů v dispozici Zpracovatele.

11.5 Likvidace a výmaz Osobních údajů u Zpracovatele musí být zajištěna tak, že bude vyloučena pozdější rekonstrukce zlikvidovaných/vymazaných Osobních údajů. Záznam o vymazání/likvidaci Osobních údajů bude předložen Správci na vyžádání.

11.6 Zpracovatel je oprávněn ponechat si kopie Osobních údajů (resp. hmotných nebo elektronických nosičů Osobních údajů) pouze v případě, pokud příslušné právní předpisy požadují jejich uložení u Zpracovatele. V takovém případě je povinen Správce neprodleně

informovat včetně specifikace uložených Osobních údajů, doby a právního důvodu jejich uložení.

12. ZÁVĚREČNÁ USTANOVENÍ

12.1 Tato Smlouva o zpracování byla uzavřena v souladu s českým právem a řídí se platnými právními předpisy České republiky a také GDPR.

12.2 Tato Smlouva o zpracování nahrazuje veškerá předchozí smluvní ujednání o zpracování Osobních údajů uzavřená za účinnosti zákona č. 101/2000 Sb., na ochranu osobních údajů, ve znění pozdějších předpisů.

12.3 Veškeré změny a doplnění této Smlouvy o zpracování vyžadují písemnou formu.

12.4 Tato Smlouva o zpracování byla vyhotovena a podepsána ve dvou vyhotoveních, přičemž každá Smluvní strana obdrží jedno vyhotovení této Smlouvy o zpracování.

PŘÍLOHA Č. 1: SPECIFIKACE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

1. POVAHA A ÚČEL ZPRACOVÁNÍ

(a) Vyzvedávání zásilek na Žabka pointu

2. KATEGORIE SUBJEKTŮ ÚDAJŮ

(a) Zákazníci

3. KATEGORIE OSOBNÍCH ÚDAJŮ

(a) Základní identifikační údaje a kontaktní údaje: jméno, příjmení, telefonní číslo,

(b) číslo zásilky k vyzvednutí.

4. DALŠÍ ZPRACOVATELÉ

Franchisanti, tj. osoby, které na základě smlouvy o franchisingové spolupráci, uzavřené se Zpracovatelem, provozují jako samostatní podnikatelé jednotlivé Prodejny.

5. PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ

Nebude docházet k předávání či ukládání osobních údajů mimo EU/EHP.