Zpracování osobních údajů společností STORMWARE s.r.o.
Příloha č. 1 Všeobecných obchodních podmínek společnosti STORMWARE s. r. o. Zpracovatelská smlouva
Zpracování osobních údajů společností STORMWARE s.r.o.
1. ÚVODNÍ USTANOVENÍ
1.2. Objednatel má dle čl. III odst. 2 písm. b) Všeobecných obchodních podmínek společnosti STORMWARE s.r.o. (dále jen „VOP“) právo na individuální služby, spočívající mj. v pokročilých službách zákaznické podpory, např. expertní servisní služby či vzdálená správa.
1.3. Vzhledem k tomu, že Objednatel v postavení správce v souvislosti s výkonem práv na individuální služby zpřístupňuje STORMWARE osobní údaje nebo jejich část a ty jsou za přesně vymezeným účelem a po omezenou dobu ukládány na serverech STORMWARE, má STORMWARE postavení zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení“).
1.4. Tato dohoda o zpracování osobních údajů je přílohou č. 1 VOP a dále bude označována pojmem „Příloha“.
2. PŘEDMĚT ZPRACOVÁNÍ
2.1.1. Vzdálená správa, která spočívá v připojení na server/počítač Objednatele za účelem konfigurace operačního systému serveru nebo počítače, kontroly nastavení či změny v Softwarovém produktu, kontroly nastavení či pomoci při problémech s ovládáním Softwarového produktu, instalace Softwarového produktu apod. Pro účely vzdálené správy je užíván software Team Viewer, případně nástroj „Remote desktop services“, který je součástí operačního systému Microsoft Windows Server. Uvedené nástroje umožňují pracovníkovi servisní podpory STORMWARE (dále jen „Servisní pracovník“) přístup na server/počítač Objednatele v reálném čase, přičemž dochází k záznamu činnosti Servisního pracovníka, v rámci kterého mohou být takto zaznamenány i osobní údaje, které byly viditelné na ploše koncového uživatele Objednatele (dále jen „Uživatel“), popř. osobní údaje nacházející se v jiných aplikacích, které Servisní pracovník otevřel nebo k nim měl přístup. Uživatel má možnost kdykoliv ukončit vzdálený přístup Servisního pracovníka.
2.1.2. Servisní služby, které vyžadují přístup k datům Objednatele. V tomto případě prostřednictvím servisní schránky zabezpečené způsobem dle čl. 7 (dále jen „Servisní schránka“), případně prostřednictvím softwaru Team Viewer (konzole „Přenos souborů“) zasílá Objednatel STORMWARE celou databázi provozovanou prostřednictvím Softwarového produktu.
2.2. Předmětem zpracování v případě Vzdálené správy (čl. 2.1.1) je nahlížení do osobních údajů Servisním pracovníkem, ukládání osobních údajů v rámci záznamu o činnosti Servisního pracovníka a provedení automatického výmazu záznamu s možnými osobními údaji po uplynutí doby uložení, k čemuž dochází v souvislosti s pořizováním záznamu činnosti Servisního pracovníka. Účelem zpracování je řešení Objednatelem ohlášených potíží při užívání Softwarového produktu a zajištění záznamu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou službou Vzdálené správy.
2.3. Předmětem zpracování v případě poskytování Servisních služeb (čl. 2.1.2) je uložení kopie databáze obsahující osobní údaje na server STORMWARE, nahlížení do osobních údajů, zpřístupnění přenosem (při zpětném zaslání databáze Objednateli) a provedení automatického výmazu databáze po uplynutí doby uložení, k čemuž dochází v souvislosti s poskytováním Servisních služeb. Účelem zpracování je provedení analýzy požadavku, jeho vyřešení a zajištění záznamu a důkazu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou Servisní službou.
2.4. Smluvní strany berou na vědomí, že STORMWARE bude mít v souvislosti s poskytováním individuálních služeb přístup k následujícím kategoriím osobních údajů, které bude na základě pokynu Objednatele po omezenou dobu zpracovávat:
2.4.1. osobní údaje identifikační, adresné (včetně e-mailové adresy a tel. nebo mobilního čísla),
2.4.2. popisné (včetně akademického titulu),
2.4.3. vybrané údaje finanční povahy (personální a mzdové údaje, čísla bankovních účtů, účetní doklady zahrnující osobní údaje).
2.5. Dotčenými osobami, jejichž osobní údaje budou zpracovávány STORMWARE, jsou zaměstnanci Objednatele a dále to mohou být třetí osoby vyskytující se v databázích Objednatele provozovaných prostřednictvím Softwarového produktu, přičemž tyto
Strana 1 (celkem 4)
databáze mohou obsahovat účetní doklady a osoby na nich uvedené a dále databáze kontaktních údajů zákazníků či dodavatelů Objednatele.
2.6. Objednatel bere na vědomí, že při využití nástrojů Servisní schránka nebo TeamViewer jsou využívány servery společnosti ZONER software a.s., IČ: 49437381, resp. TeamViewer GmbH, sídlem Jahnstr. 30 D-73037 Göppingen Německo, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.7. STORMWARE je oprávněn i bez předchozího písemného souhlasu Objednatele zapojit do zpracování osobních údajů dalšího zpracovatele. STORMWARE je však povinen zajistit, aby jakýkoli další zpracovatel, zapojený do zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto Přílohou, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 8 této Přílohy. O zapojení dalšího zpracovatele je STORMWARE povinen informovat bez zbytečného odkladu na svých internetových stránkách a sdělit jeho identifikační údaje, a to tak, aby měl Objednatel příležitost vyslovit vůči těmto změnám odůvodněné námitky.
2.8. Zpracování osobních údajů je vedlejším závazkem STORMWARE vyplývajícím ze smlouvy dle čl. 1.1 této Přílohy. Úplata za zpracování je proto zahrnuta v ceně za poskytování individuálních služeb, jak je uvedena v Ceníku, případně jak byla sjednána mezi Objednatelem a STORMWARE.
3. ZPRACOVÁNÍ NA POKYN OBJEDNATELE
3.1. STORMWARE je jako zpracovatel povinen zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele, který je v postavení správce.
3.2. STORMWARE poskytuje služby Vzdálené správy (čl. 2.1.1) a Servisní služby (čl. 2.1.2) na základě samostatné objednávky Objednatele učiněné:
3.2.1. prostřednictvím objednávkového formuláře na stránce xxxxx://xxx.xxxxxxxxx.xx/xx/xxxxx/xxxx.xxxx?xxxxxxx0. Odeslání objednávky je považováno za samostatný (ad hoc) pokyn ke zpracování osobních údajů, přičemž k samotnému poskytnutí individuálních služeb ze strany STORMWARE je zapotřebí další součinnosti Objednatele, např. aktivní povolení k užití nástroje TeamViewer pro účely Vzdálené správy, nebo odeslání databáze v rámci poskytnutí Servisní služby. Objednatel je v tomto případě povinen uvést své zákaznické ID, které mu udělil STORMWARE;
3.2.2. prostřednictvím e-mailu zaslaného na adresu xxxxxxx@xxxxxxxxx.xx nebo xxxxxx@xxxxxxxxx.xx, který bude mít podstatné náležitosti uvedené v čl. V. VOP, přičemž Objednatel je povinen odeslat e-mailovou objednávku z e-mailové adresy evidované společností STORMWARE;
3.2.3. prostřednictvím Servisního technika, který v rámci servisního zásahu prováděného u Objednatele nebo v rámci Vzdálené správy zjistí, že k odstranění vady bude nezbytné zaslání databáze prostřednictvím Servisní schránky.
3.3. STORMWARE není oprávněn provádět zpracování na základě pokynů udělených mu jinou formou, než jaká je sjednána v tomto článku Přílohy (zejména ústně nebo telefonicky). STORMWARE je povinen případné pokyny (objednávky) doložit, za tím účelem je povinen je archivovat. V případě pochybností na straně STORMWARE může požadovat po Objednateli potvrzení pokynu.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.2. STORMWARE si je vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Objednatelem.
5. MÍSTO ZPRACOVÁNÍ, ZÁKAZ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
5.1. Místem zpracování osobních údajů je Česká republika nebo jiný členský stát Evropské unie. STORMWARE není oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Objednatele předávat osobní údaje do třetích zemí nebo mezinárodní organizaci ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
5.2. Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Objednatele a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.
6. POVINNOST MLČENLIVOSTI
6.1. STORMWARE je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění souvisejících s užíváním Softwarového produktu, zejména mlčenlivost ohledně osobních údajů, které mu byly Objednatelem zpřístupněny nebo jinak poskytnuty v souvislosti s poskytováním individuálních služeb popsaných v čl. 2.1. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání smlouvy mezi STORMWARE a Objednatelem.
6.2. STORMWARE je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je neomezená.
7. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
7.1. STORMWARE je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této Přílohy i k rizikům pro práva a svobody fyzických osob.
7.2. STORMWARE tímto prohlašuje, že přijal vhodná technická opatření uvedená na svých internetových stránkách a dále zejména tato opatření:
7.2.1. Uživatel musí při provádění Vzdálené správy aktivním jednáním povolit přístup Servisního pracovníka prostřednictvím nástroje Team Viewer; Uživatel povoluje přístup Servisnímu pracovníkovi tak, že mu sdělí své zákaznické ID a heslo pro připojení. Uživatel po celou dobu trvání Vzdálené správy vidí v reálném čase, co Servisní pracovník na jeho zařízení dělá a může Servisnímu pracovníkovi kdykoliv přístup ukončit a spojení přerušit.
7.2.2. Zabezpečení Servisní schránky, mj. prostřednictvím uživatelského hesla a užívání protokolu HTTPS, který umožňuje zabezpečenou komunikaci prostřednictvím internetové sítě.
7.2.3. Servery dalšího zpracovatele, společnosti TeamViewer GmbH, jsou umístěny v datových centrech, která odpovídají požadavkům ISO 27001, a využívají násobně redundantní nosná spojení a redundantní zdroje napájení, za využití nejmodernějšího značkového hardwaru; všechny servery, na kterých jsou ukládána data při používání softwaru TeamViewer, jsou umístěny v Německu nebo v Rakousku.
7.3. STORMWARE tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Přílohy, zejména:
7.3.1. seznámil příslušné zaměstnance s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, důvěrných informací nebo obchodního tajemství Objednatele;
7.3.2. neposkytuje žádné neoprávněné osobě (i kdyby se jednalo o neoprávněnou osobu z řad vlastních zaměstnanců), přístup k osobním údajům a k prostředkům umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim nebo k on-line službám třetích osob používaných pro účely poskytování individuálních služeb ve smyslu této Přílohy);
7.3.3. omezuje skupiny Servisních pracovníků, kteří mají přístup k Servisní schránce, a zaznamenává veškeré přístupy do Servisní schránky;
7.4. STORMWARE užívá pro účely zasílání databáze provozované prostřednictvím Softwarového produktu Servisní schránku a neumožňuje svým zaměstnancům dohodnout s Objednatelem jiný způsob zasílání nebo zpřístupnění, např. prostřednictvím cloudových úložišť provozovaných třetími osobami (např. Google Drive). Pokud Objednatel přesto zvolí takový způsob zaslání/zpřístupnění své databáze, nenese za to STORMWARE jakoukoliv odpovědnost.
7.5. STORMWARE umožní Objednateli nebo jím pověřeným osobám kontrolu dodržování svých povinností dle tohoto článku.
8. SOUČINNOST STORMWARE, POVINNOST BÝT NÁPOMOCEN
8.1. STORMWARE je povinen poskytnout Objednateli veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů ze strany STORMWARE je v souladu s Nařízením a STORMWARE i Objednatel naplňují základní zásady a principy uvedené v Nařízení. STORMWARE je povinen umožnit audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem pověřeným Objednatelem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.
8.2. STORMWARE je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Objednatel mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Objednatel mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit ho subjektům údajů. Při výkonu této povinnosti je STORMWARE povinen reagovat bez zbytečného odkladu na pokyny a požadavky Objednatele.
8.3. Zjistí-li STORMWARE v souvislosti s poskytováním individuálních služeb Objednateli jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnost neprodleně, nejpozději však do 24 hodin, informovat Objednatele, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, která STORMWARE přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.
8.4. STORMWARE je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele jakožto správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Pokud bude Objednatel požadovat pomoc ve smyslu tohoto článku této Přílohy, provede STORMWARE tyto činnosti za přiměřenou úplatu, která bude vycházet z aktuálního ceníku zveřejněného na jeho internetových stránkách xxxxx://xxx.xxxxxxxxx.xx/xxxxxx/Xxxxx.xxx.
8.5. V případě ukončení individuálních služeb spojených se zpracováním osobních údajů je STORMWARE povinen postupovat v souladu s pokyny Objednatele a s čl. 4.1 této Přílohy. Nestanoví-li Objednatel ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení služeb spojených se zpracováním osobních údajů je STORMWARE povinen tyto vymazat ze všech datových úložišť.
Verze dokumentu: 1.0