DOHODA O UJEDNÁNÍCH UPŘESŇUJÍCÍCH ODPOVĚDNOST VYPLÝVAJÍCÍ Z PRÁVNÍCH PŘEDPISŮ O OCHRANĚ OSOBNÍCH ÚDAJŮ
DOHODA O UJEDNÁNÍCH UPŘESŇUJÍCÍCH ODPOVĚDNOST VYPLÝVAJÍCÍ Z PRÁVNÍCH PŘEDPISŮ O OCHRANĚ OSOBNÍCH ÚDAJŮ
uzavřená dne 14. května 2018 ve Varšavě, mezi:
TUI Poland sp. z o.o., společností založenou a působící podle práva Polské republiky, se sídlem ve Varšavě (02-675) na xxxxx Xxxxxxx 00x, zapsanou v rejstříku podnikatelů Národního soudního rejstříku vedeného Okresním soudem pro hlavní město Varšavu ve Varšavě, XIII Hospodářské oddělení národního soudního rejstříku pod číslem 83435, mající DIČ: 000-000-00-00 A identifikační číslo IČ 639552348, základní kapitál ve výši 200 000,00 PLN (dvě stě tisíc zlotých), dále jen "Správce 1", zastoupenou:
Xxxxxxxx Xxxxxxxxx - Předsedou představenstva,
Xxxxxxxx Xxxxxxxx- Jednatelem a
TUI Poland Dystrybucja sp. z o.o., společností založenou a působící podle práva Polské republiky, se sídlem ve Varšavě (02-675) na xxxxx Xxxxxxx 00x, zapsanou v rejstříku podnikatelů Národního soudního rejstříku vedeného Okresním soudem pro hlavní město Varšavu ve Varšavě, XIII Hospodářské oddělení národního soudního rejstříku pod číslem 361999, mající DIČ: 521 -3574-503 a identifikační číslo IČ 142512402, základní kapitál 579 800,00 PLN (pět set sedmdesát devět tisíc osm set zlotých), dále jen „Správce 2", zastoupenou:
Xxxxxxxx Xxxxxxxxx - Předsedou představenstva,
Xxxxxx Xxxxxxxxxxx - Prokuristou
dále společně označovány jako „Správci" a každá jednotlivě jako „Správce".
1. DEFINICE
Pojmy použité v této smlouvě mají následující význam:
1) Subjekt údajů - osoba, jejíž osobní údaje Správci zpracovávají v rámci Společných činností zpracování;
2) Dohoda - tato dohoda o ujednáních upřesňujících odpovědnost vyplývající z právních předpisů o ochraně osobních údajů;
3) GDPR – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 v záležitosti ochrany osobních údajů fyzických osob ve spojitosti se zpracování osobních údajů a ve věci volného pohybu těchto údajů nebo zrušení směrnice 95/46WE (obecné nařízení o ochraně osobních údajů);
4) Systém CRM - IT systém používaný ke zpracování osobních údajů Subjektů údajů;
5) Společné činnosti zpracování - činnosti zpracování osobních údajů, pro které jsou Správce 1 a Správce 2 společnými správci ve smyslu článku 26 GDPR.
2. PŘEDMĚT DOHODY
2.1. Dohoda je uzavřena v souladu s ustanovením čl. 26 odst. 1 GDPR a stanoví příslušné povinnosti Správců, pokud jde o povinnosti související se zpracováním osobních údajů při Společných
činnostech zpracování podle GDPR.
2.2. Předmětem Společných činností zpracování je vedení databáze používané pro marketingové účely.
3. ROZSAH, ÚČEL A PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮET
Účele zpracování údajů
3.1. V rámci Společných činností zpracování se údaje zpracovávají pro marketingové účely.
Kategorie Subjektů údajů
3.2. V rámci Společných činností zpracování se zpracovávají údaje fyzických osob, které souhlasily se zasíláním marketingových informací od Správců.
Správce osobních údajů
3.3. Rozsah osobních údajů zpracovávaných v rámci Společných činností zpracování zahrnuje: jméno, adresu, e-mailovou adresu, telefonní číslo, údaje týkající se spolupráce se Správci údajů, včetně informací o dříve zakoupených výletech a souvisejících produktech a službách.
Právní základ pro zpracování údajů
3.4. Právním základem pro zpracování údajů v rámci Společných činností zpracování je souhlas Subjektů údajů.
4. ZPŮSOB SHROMAŽĎOVÁNÍ A ZPRACOVÁNÍ ÚDAJŮET
4.1. Osobní údaje v rámci Společných činností zpracování budou shromažďovány prostřednictvím formuláře na webových stránkách xxx.xx (zpravodaj), prostřednictvím formuláře na smlouvě o poskytnutí cestovních služeb, při rezervaci prostřednictvím webových stránek xxx.xxx.xx, telefonicky při rozhovoru s konzultantem a budou zpracovávány v systému CRM.
4.2. Přístup k osobním údajům Subjektů údajů prostřednictvím systému CRM mají zaměstnanci obou Správců. Systém CRM patří Správci 2 a je jím spravován. Správci mohou kopírovat osobní údaje Subjektů údajů do jiných systémů nebo na jiná média za předpokladu, že údaje budou z těchto jiných systémů nebo médií vymazány do 1 měsíce od data kopírování.
5. UPLATŇOVÁNÍ PRAVIDEL PRO ZPRACOVÁNÍ ÚDAJŮET
5.1. Žádný ze Správců nezpracovává údaje pro jiné účely než ty, které jsou uvedeny v odstavci 3.1.
5.2. Osobní údaje Subjektů údajů budou uchovávány až do odvolání jejich souhlasu se zpracováním. Po odvolání souhlasu Subjektem údajů se Správce 2 zavazuje osobní údaje ze systému CRM vymazat.
6. INFORMAČNÍ POVINNOST
6.1. Při shromažďování jeho osobních údajů bude Subjekt údajů informován o zpracování jeho osobních údajů s obsahem v souladu s článkem 13 zákona GDPR. Tato informace bude uvedena ve formulářích pro shromažďování údajů a bude k dispozici k poslechu při volání konzultantovi.
7. UPLATŇOVÁNÍ PRÁV SUBJEKTŮ ÚDAJŮ
7.1. Každý Správce se zavazuje zahrnout do systému CRM informace o příjemcích údajů, kterým Správce údaje zpřístupnil.
7.2. Správce 1 se zavazuje reagovat na žádosti Subjektů údajů v souvislosti s uplatňováním jejich práv podle článků 15, 16, 19 a 20 GDPR. Odpovědi na žádosti Subjektů údajů budou poskytovány v souladu se zásadami a ve lhůtách uvedených v článku 12 GDPR.
7.3. Pokud Subjekt údajů podal Správci 2 žádost v souvislosti s uplatněním svých práv podle článku 15, článku 16, článku 19 nebo článku 20 GDPR, předá Správce 2 tuto žádost Správci 1 do 3 dnů od jejího obdržení.
7.4. Správci se zavazují označit v systému CRM výmaz nebo opravu údajů Subjektu údajů a informovat o tom druhého Správce. Informace mohou být druhému Správci předávány automaticky prostřednictvím systému CRM.
7.5. Pokud některý ze Správců obdrží žádost od Subjektu údajů podle článku 17, článku 18 nebo článku 22 GDPR, Správce, který žádost obdržel, informuje druhého Správce neprodleně, nejpozději však do 1 dne od obdržení žádosti. Informace mohou být druhému Správci předávány automaticky prostřednictvím systému CRM. Po obdržení žádosti podle článku 17, článku 18 nebo článku 22 GDPR uzavřou Správci společná ujednání v souladu s odstavci 7.6 - 7.8.
7.6. Pokud Subjekt údajů požádá o výmaz svých osobních údajů podle článku 17 GDPR, Správci společně rozhodnou o výmazu údajů Subjektu údajů a určí obsah odpovědi pro Subjekt údajů. Rozhodnutí o vymazání či nevymazání údajů a o obsahu odpovědi musí být učiněno do 21 dnů od obdržení žádosti od Subjektu údajů.
7.7. Pokud Subjekt údajů požádá o omezení zpracování svých osobních údajů podle článku 18 GDPR, Správci společně rozhodnou o výmazu údajů Subjektu údajů a určí obsah odpovědi pro Subjekt údajů. Rozhodnutí o omezení nebo neomezení zpracování údajů a o obsahu odpovědi musí být učiněno do 21 dnů od obdržení žádosti od Subjektu údajů.
7.8. V případě, že Subjekt údajů podá žádost týkající se automatizovaného rozhodování, včetně žádosti o lidský zásah podle článku 22 GDPR, Správci v tomto ohledu společně rozhodnou a určí obsah odpovědi pro Subjekt údajů. Rozhodnutí o automatizovaném rozhodování, včetně žádosti o lidský zásah, a o obsahu odpovědi musí být učiněno do 21 dnů od obdržení žádosti od Subjektu údajů.
7.9. Pokud se žádost Subjektu údajů podle článku 17, článku 18 nebo článku 22 GDPR týká zpracování jeho údajů pouze jedním ze Správců, Správce, kterého se žádost týká, samostatně rozhodne o rozsahu žádosti a odpovědi pro Subjekt údajů. Správce, kterého se žádost týká, informuje druhého Správce o zaslané odpovědi, a to do 3 dnů od zaslání odpovědi Subjektu údajů.
7.10. V případě, že Subjekt údajů odvolá svůj souhlas se zpracováním osobních údajů, Správce, který obdrží prohlášení o odvolání souhlasu, neprodleně, nejpozději však do 1 dne od obdržení prohlášení, informuje druhého Správce. Správce, který obdrží prohlášení o odvolání souhlasu, vymaže ze systému CRM osobní údaje Subjektu údajů, jejichž zpracování je založeno na souhlasu Subjektu údajů.
8. KONTAKTNÍ MÍSTO PRO SUBJEKTY ÚDAJŮ
8.1. Správci stanoví kontaktní místa pro subjekty údajů: kontaktní formulář na webových stránkách xxx.xxxxxxxxxx-xxxxxxxxxxx.xxx.xx, e-mailová adresa xxxxxxxxxxxx@xxx.xx, poštovní adresa TUI Poland Sp. z o.o., 00-000 Xxxxxxxx, xx. Xxxxxxx 00x. Informace o kontaktních místech pro Subjekty údajů budou uvedeny v informační doložce a na webových stránkách xxx.xx. Správce 1 se zavazuje provozovat výše uvedená kontaktní místa, což nevylučuje právo Subjektu údajů
kontaktovat Správce 2.
8.2. Všechny žádosti Subjektů údajů podané prostřednictvím kontaktních míst jsou evidovány a viditelné pro oba Správce.
9. ROZSAH DOHODY ZPŘÍSTUPNĚNÝ SUBJEKTŮM ÚDAJŮ
V souladu s ustanovením čl. 26 odst. 2 GDPR se Subjektům údajů poskytne výpis z této dohody v rozsahu: úvodní část, bod 1, bod 2, bod 3, bod 5, bod 6, bod 7, bod 8 a bod 14.
10. POVINNOSTI V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ
10.1. Vzhledem k tomu, že Správce 2 v souladu s bodem 4.2 výše spravuje Systém CRM, zavazuje se Správce 2 uplatňovat technická a organizační opatření k zajištění odpovídající úrovně zabezpečení osobních údajů Subjektů údajů zpracovávaných v Systému CRM v souladu s článkem 32 GDPR. Správce 2 se zavazuje zavést do systému CRM zásady záměrné ochrany údajů a standardní ochrany údajů uvedené v článku 25 GDPR.
a) Správce 1 se zavazuje používat technická a organizační opatření výhradně pro používání systému CRM. Tato technická a organizační opatření zahrnují zejména řádnou autentizaci v systému CRM.
10.2. V případě kopírování údajů Subjektů údajů ze Systému CRM do jiných systémů nebo médií používaných Správci, jak je uvedeno v bodě 4.2, se každý Správce zavazuje zavést vhodná technická a organizační opatření pro své systémy a média v souladu s článkem 32 GDPR a uplatňovat zásady záměrné ochrany údajů a standardní ochrany údajů uvedené v článku 25 GDPR.
11. POVINNOSTI V SOUVISLOSTI SE SVĚŘENÍM ZPRACOVÁNÍET
11.1. Každý Správce může svěřit zpracování osobních údajů v rámci Společných činností zpracování zpracovateli.
11.2. Před svěřením zpracování osobních údajů uvedených v bodě 11.1 je Správce povinen informovat druhého Správce o záměru svěření zpracování. Správce, který hodlá svěřit zpracování, poskytne druhému Správci informace o zpracovateli, kterému hodlá svěřit zpracování (obchodní firmu a kontaktní údaje subdodavatele), a rovněž informace o povaze a době trvání svěření a o kategoriích osobních údajů, které budou svěřeny ke zpracování. Pokud druhý Správce do 7 dnů od obdržení výše uvedené informace nevznese námitku proti záměru svěřit zpracování určenému zpracovateli a v uvedeném rozsahu, může Správce svěřit zpracování osobních údajů.
11.3. Pokud dohodu o svěření uzavírá jeden ze Správců, musí být do dohody zahrnuta ustanovení, která umožní druhému Správci vykonávat v nezbytném rozsahu své pravomoci podle čl. 28 odst. 3 GDPR.
12. POVINNOSTI V SOUVISLOSTI S PŘEDÁVÁNÍM ÚDAJŮ DO TŘE TÍ ZEMĚ
12.1. Každý ze Správců může v rámci Společných činností zpracování předávat osobní údaje do třetí země.
12.2. Před předáním osobních údajů do třetí země podle odstavce 12.1 informuje Správce druhého Správce o záměru předat údaje do třetí země. Správce, který hodlá předat údaje do třetí země, poskytne druhému Správci informace o:
a) třetí zemi, do které se má předání uskutečnit,
b) právním základu pro předání údajů do třetí země v souladu s články 44-49 GDPR,
c) příjemci údajů ve třetí zemi (obchodní firma a kontaktní údaje příjemce),
d) povaze předání dat,
e) kategoriích osobních údajů, kterých by se předání týkalo.
Pokud druhý Správce do 7 dnů od obdržení výše uvedené informace nevznese námitku proti záměru předat údaje do třetí země, může Správce údaje do třetí země předat.
13. VEDENÍ REGISTRU ČINNOSTÍ ZPRACOVÁNÍET
Každý Správce se zavazuje zařadit Společné činnosti zpracování do registru činností zpracování, který bude vést v souladu s čl. 30 odst. 1 GDPR.
14. POVINNOSTI V SOUVISLOSTI S PORUŠENÍM OCHRANY ÚDAJŮ
14.1. Každý Správce oznámí druhému Správci případné porušení ochrany údajů Subjektů údajů. Oznámení musí být učiněno nejpozději 12 hodin poté, co se o možném porušení dozví.
14.2. Jakmile se Správci dozvědí o možném porušení ochrany osobních údajů Subjektů údajů, společně se dohodnou a přijmou opatření k nápravě porušení ochrany osobních údajů a určí kategorie a přibližný počet Subjektů údajů a kategorie a přibližný počet záznamů o osobních údajích, kterých se porušení týká. Správci rovněž společně určí: a) zda je pravděpodobné, že porušení povede k riziku porušení práv nebo svobod fyzických osob, jak je uvedeno v čl. 33 odst. 1 GDPR;
b) zda je pravděpodobné, že porušení ochrany osobních údajů povede k vysokému riziku újmy na právech nebo svobodách fyzických osob, jak je uvedeno v čl. 34 odst. 1 nařízení GDPR;
c) obsah oznámení o porušení dozorovému úřadu - pokud se má za to, že existuje riziko porušení práv nebo svobod fyzických osob;
d) obsah oznámení pro Subjekty údajů nebo veřejné sdělení - pokud se zjistí, že porušení ochrany údajů pravděpodobně povede k vysokému riziku újmy na právech nebo svobodách fyzických osob.
14.3. Pokud bylo zjištěno riziko uvedené v odst. 14.2 písm. a), zavazuje se Správce 1 v souladu s čl. 33 GDPR ohlásit dozorovému úřadu porušení ochrany osobních údajů týkající se Subjektů údajů, a to jménem obou Správců. Jakmile dojde k ohlášení porušení ochrany osobních údajů, které se týká Subjektů údajů, nejpozději však do jednoho dne od ohlášení, Správce 1 informuje Správce 2 o tom, že došlo k ohlášení, a poskytne Správci 2 kopii tohoto ohlášení. Pokud byly dozorovému úřadu předány další informace nebo dokumenty, zašle Správce 1 jejich kopie Správci 2.
14.4. Pokud bylo zjištěno riziko uvedené v odst. 14.2 písm. b), Správce 1 se zavazuje, že v souladu s článkem 34 GDPR oznámí subjektům údajů porušení ochrany jejich osobních údajů, a to jménem obou Správců. Jakmile je Subjektům údajů oznámeno porušení ochrany osobních údajů, které se jich týkají, a to nejpozději do 1 dne od oznámení, Správce 1 informuje Správce 2 o tom, že oznámení bylo učiněno, a poskytne Správci 2 kopii oznámení.
14.5. Na základě informací a zjištění uvedených v odstavcích 14.1 až 14.2 vede každý Správce vlastní evidenci případů porušení ochrany osobních údajů.
15. POVINNOSTI SOUVISEJÍCÍ S POSOUZENÍM DOPADŮ
15.1. Správci společně analyzují, zda je povinné provést posouzení dopadů na ochranu osobních údajů ve vztahu ke Společným činnostem zpracování podle článku 35 nařízení GDPR.
15.2. Pokud je v souladu s odstavcem 15.1 výše stanoveno, že posouzení dopadů je povinné, provedou jej Správci společně.
15.3. Každý Správce jmenuje tým, který provede posouzení vlivu na ochranu osobních údajů.
15.4. Po úvodním posouzení dopadů na ochranu osobních údajů se Správce 2 zavazuje k jeho pravidelné aktualizaci. Správce 2 oznámí výsledky každé aktualizace Správci 1 do 3 dnů od dokončení aktualizace.
15.5. V případě povinnosti předem konzultovat dozorový úřad podle článku 36 GDPR se Správce 1 zavazuje účastnit se těchto konzultací jménem obou Správců.
16. VZÁJEMNÁ VÝMĚNA INFORMACÍ
16.1. Správci se vzájemně informují o následujících situacích:
a) veškeré žádosti o zpřístupnění osobních údajů Subjektů údajů podané orgány veřejné moci před jejich zpřístupněním, pokud není zakázáno jinak;
b) zahájení kontroly ze strany dozorového úřadu v souvislosti se Společnými činnostmi zpracování, jakož i o jakémkoli správním rozhodnutí nebo příkazu vydaném vůči Správci v souvislosti s výše uvedeným;
c) správní, soudní nebo přípravná řízení zahájená nebo probíhající v souvislosti se Společnými činnostmi zpracování, jakož i veškerá rozhodnutí, příkazy nebo rozsudky vydané proti Správci v souvislosti s nimi;
d) veškeré další události a situace týkající se Společných činností zpracování, které by mohly ovlivnit operace nebo zákonnost operací druhého Správce.
16.2. Správci se zavazují vzájemně si sdělovat výše uvedené informace neprodleně, nejpozději však do 1 dne od, v daném pořadí:
a) data přijetí žádosti,
b) data zahájení kontroly nebo obdržení rozhodnutí či příkazu,
c) ode dne zahájení řízení nebo ode dne, kdy se o něm dozvěděl, nebo ode dne doručení rozhodnutí, příkazu nebo jiného rozhodnutí,
d) dne, kdy se dozví o jiné události nebo situaci.
17. ZÁVĚREČNÁ USTANOVENÍ
17.1. Tato dohoda vstupuje v platnost dnem podpisu a zůstává v platnosti po dobu zpracování v rámci Společných činností zpracování.
17.2. V případě ukončení Dohody se oba Správci stávají samostatnými správci osobních údajů Subjektů údajů. Správce, který má k dispozici osobní údaje Subjektů údajů v době ukončení Dohody, předá jejich kopii druhému Správci. Údaje musí být poskytnuty způsobem a ve formátu, který umožňuje jejich další zpracování a použití pro stejné účely, pro které byly zpracovány společně Správci.
17.3. Veškeré změny Dohody musí být provedeny v listinné podobě.
17.4. Dohoda byla vyhotovena ve dvou stejnopisech, z nichž každý Správce obdrží po jednom vyhotovení.
Jménem Správce 1
Jménem Správce 2