PŘÍLOHA Č. 1 VŠEOBECNÝCH OBCHODNÍCH PODMÍNEK

PŘÍLOHA Č. 1 VŠEOBECNÝCH OBCHODNÍCH PODMÍNEK

Smlouva o zpracování osobních údajů

uzavřená v souladu s ust. čl. 28 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen

„Nařízení“) a ust. § 34 odst. 2 zákona č. 110/2019 sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „Zákon“).

Ve vztazích založených na základě smlouvy o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb, jejíž součástí jsou všeobecné podmínky, jejichž přílohu č. 1 tvoří tato zpracovatelská smlouva, vystupuje poskytovatel, společnost IT STUDIO, s.r.o., mimo jiného v postavení zpracovatele osobních údajů (dále jen „Zpracovatel“) ve vztahu k objednateli, který figuruje v postavení správce osobních údajů (dále jen „Správce“). S ohledem na existenci zákonné povinnosti výše uvedené, ukládající správci a zpracovateli upravit vzájemný rozsah práv a povinností smluvně, uzavírají smluvní strany tuto zpracovatelskou smlouvu:

1. Předmět a účel Smlouvy

1.1. Zpracovatel poskytuje na základě za tím účelem zvlášť uzavřené smlouvy o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb do užívání Správci software pro provoz internetového obchodu (dále jen „EasyShop“) a s tím související služby. Při užívání EasyShop dochází ze strany Správce ke shromažďování a dalšímu zpracování osobních údajů koncových klientů Správce a návštěvníků internetového obchodu (třetích stran), které jsou uchovávány v databázi vlastněné a spravované Zpracovatelem, uchovávané na datových úložištích ve vlastnictví Zpracovatele, nebo třetí strany kterou si za tím účelem Zpracovatel zvolil či zvolí (dále jen „Databáze“), kdy účel jejich zpracování a finanční prostředky na takové zpracování určuje a poskytuje Správce a Zpracovatel osobní údaje pro Správce dále zpracovává v mezích této smlouvy o zpracování osobních údajů.

1.2. Tato Xxxxxxx vymezuje práva a povinnosti Xxxxx při takovém zpracování osobních údajů.

2. Zpracování osobních údajů

2.1. Zpracovatel je pro Správce oprávněn a povinen zpracovávat veškeré osobní údaje koncových klientů Správce a návštěvníků internetového obchodu, které správce prostřednictvím EasyShop shromáždí a uchovává v databázi spravované Zpracovatelem a uchovávané na datových úložištích ve vlastnictví zpracovatele nebo třetí strany kterou si za tím účelem Zpracovatel zvolil či zvolí. Jmenovitě pak osobní údaje:

a) identifikační (sloužící pro identifikaci osoby);

b) komunikační (sloužící pro komunikaci s danou osobou);

c) údaje vztahující se k obchodnímu vztahu, včetně údajů platebních a fakturačních (údaje o realizovaných obchodech, platbách, včetně údajů vztahujících se k platebnímu styku);

d) údaje o chování koncových zákazníků při návštěvě webových stránek (cookies);

e) další údaje, které si Správce získává přímo od koncových zákazníků pro potřeby své obchodní činnosti, zpravidla na základě udělení souhlasu se zpracováním těchto údajů, in eventum na základě oprávněného zájmu Správce (údaje obsažené v zákaznických profilech, ankety, preference, aj.).

2.2. Ke zpřístupnění osobních údajů Zpracovateli ze strany Správce dochází

a) v případě, že je Správce získává osobní údaje prostřednictvím EasyShop, okamžikem jejich faktického uložení do Databáze;

b) v případě, že Správce osobní údaje předává Zpracovateli v podobě datového souboru, jejich doručením na e-mail uvedený v záhlaví této smlouvy (za zajištění bezpečnosti přenosu prostřednictvím e-mailu odpovídá Správce), okamžikem stažení ze Správcem zvoleného úložiště dat (za volbu úložiště dat a zajištění bezpečnosti přenosu dat prostřednictvím úložiště dat odpovídá Správce) nebo

fyzickým předáním datového nosiče obsahujícího předmětný datový soubor oproti podpisu předávacího protokolu;

c) v případě, že je Správce získává exportem z databáze Správce, okamžikem, kdy správce umožní Zpracovateli přístup do své databáze a Zpracovatel se do databáze Správce přihlásí prostřednictvím svého zařízení (za zabezpečení přenosu dat mezi databází Správce a Zpracovatele odpovídá Zpracovatel).

O jednorázových importech dat, postupem dle ust. čl. 2.2. písm. b) a c) této Smlouvy bude vždy vyhotoven předávací protokol, jehož přílohu bude tvořit datový soubor obsahující veškerá předávaná data. Tento soubor bude Zpracovatel oprávněn uchovat po dobu trvání účinnosti této Smlouvy za účelem prokázání rozsahu a stavu předaných dat ze strany Správce.

2.3. Zpracovatel osobní údaje zpracovává pouze za účelem realizace obchodní a marketingové činnosti Správce v souvislosti s provozem EasyShop a plnění souvisejících zákonných povinností, jakož i v souvislosti s jejich správou a uchováním.

2.4. Správce je oprávněn rozšířit účel zpracování v souladu se zákonem, kdy pokyn k dalšímu zpracování lze Zpracovateli sdělit pouze písemnou formou. Za písemnou formu se pro účely této Smlouvy považuje rovněž e-mailová komunikace Smluvních stran adresovaná na e-mailovou adresu Zpracovatele stanovenou ve smlouvě o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb.

3. Práva a povinnosti Smluvních stran

3.1. Zpracovatel je oprávněn a povinen zpracovávat osobní údaje, které pro Správce zpracovává, pouze na základě doložených pokynů Správce, včetně jejich předání do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, který se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

3.2. Zpracovatel se zavazuje přijmout technická, organizační a jiná opatření, jež zamezí neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě či jinému neoprávněnému nakládání s osobními údaji. Zpracovatel se zavazuje zejména:

a) používat zabezpečený přístup do PC, kdy přístupy do PC budou známy pouze Zpracovateli;

b) umožnit Správci zabezpečený přístup k datům uloženým v Databázi prostřednictvím uživatelského rozhraní v rámci EasyShop, a zejména pak jejich opravu, úpravu, doplnění či odstranění;

c) používat zabezpečený přístup do Databáze, přístupy je povinen Zpracovatel zadávat tak, aby nebyly zobrazeny, neukládaly se, nebyly zpřístupněny třetí osobě;

d) pro zpracování užívat software a služby, které splňují standardní požadavky na bezpečnost dat a splňují normy stanovené Evropskou unií;

e) bez předchozího souhlasu Správce netvořit kopie Databáze, pokud vytvoření kopie nebude písemně schváleno Správcem nebo neplyne z této Smlouvy, nebo ze smlouvy o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb, uvedené v ust čl. 1., odst. 1.1. této Smlouvy; Tímto ustanovením není dotčeno právo a povinnost Zpracovatele vytvářet datovou zálohu Databáze za účelem zajištění bezpečnosti uchování dat.

f) užívat vhodné prostředky zabezpečení, např. šifrování či jiné vhodné a potřebné prostředky vždy v závislosti na konkrétním jednání a datech;

g) neumožnit přístup k údajům třetím osobám, pokud tento přístup nebude písemně schválen Správcem nebo neplyne z této Smlouvy, nebo ze smlouvy o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb, uvedené v ust čl. 1., odst. 1.1. této Smlouvy;

h) dodržovat mlčenlivost ohledně osobních údajů, které pro Správce Zpracovává.

3.3. Zpracovatel se zavazuje taktéž:

a) zpracovávat Osobní údaje pouze v takové podobě, v jaké mu byly zpřístupněny Správcem;

b) zpracovávat pouze Osobní údaje za účelem vymezeným touto Smlouvou a pouze v rozsahu nutném pro naplnění tohoto účelu;

c) nesdružovat Osobní údaje, které byly získány k rozdílným účelům;

d) uchovávat Osobní údaje pouze po dobu, která je uvedena v informační povinnosti nebo v souhlase koncového uživatele.

3.4. Zpracovatel je povinen pro Správce uchovávat nejméně po dobu trvání této smlouvy záznamy o udělených souhlasech koncových zákazníků Správce se zpracováním osobních údajů, získaných prostřednictvím EasyShop. Zpracovatel je povinen tyto záznamy o udělených souhlasech zpřístupnit Správci prostřednictvím uživatelského rozhraní EasyShop. Zpracovatel neodpovídá za nastavení EasyShop ze strany Správce a nenese proto odpovědnost ani za právní aspekty související s udělením těchto souhlasů, ani za splnění informační povinnosti Správce o zpracování osobních údajů vůči subjektům osobních údajů.

3.5. Zpracovatel je povinen zajistit, aby zaměstnanci a jiné osoby Zpracovatelem pověřené ke zpracování osobních údajů tyto zpracovávaly jen v rozsahu a za účelem dle této Smlouvy a dle Nařízení a Zákona.

3.6. Zpracovatel se zavazuje uzavřít pojištění pro případ vzniku škody z této Smlouvy a po dobu jejího trvání jej udržovat.

3.7. Zpracovatel se zavazuje umožnit Správci přístup k datům v Databázi prostřednictvím uživatelského rozhraní EasyShop a patřičná oprávnění pro nakládání s daty tak, aby mohl Správce bez omezení číst, opravit, aktualizovat, smazat nebo přemístit libovolný osobní údaj, který je v Databázi uložen. Na náklady Správce může Zpracovatel tyto operace provést sám, a to dle doložených pokynů Správce, bez zbytečného odkladu poté, kdy jej k tomu Správce vyzve.

3.8. V případě, že námitka subjektu údajů dle čl. 21 odst. 1 Nařízení ve vztahu ke zpracování osobních údajů, ke kterému Správce pověřil Zpracovatele, bude shledána Správcem za oprávněnou, zavazuje se Zpracovatel odstranit závadný stav, neprodleně poté, kdy se o oprávněnosti námitky dozví. Správce je povinen bez zbytečného odkladu vyrozumět Zpracovatele o přijetí námitky a způsobu jejího vyřízení.

3.9. Zpracovatel je povinen při plnění povinností ze Smlouvy postupovat s odbornou péčí, řídit se pokyny Správce a jednat v souladu se zájmy Správce. Pokud Zpracovatel zjistí, že Správce porušuje povinnosti Správce uložené Nařízením, je povinen tuto skutečnost neprodleně Správci oznámit.

3.10. Správce je povinen nejméně 14 dní předem sdělit Zpracovateli informaci o tom, že má v úmyslu zpracovávat zvláštní kategorie osobních údajů vymezené v ust. čl. 9 odst. 1 Nařízení (tj. údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby) za účelem přijetí případných zvláštních opatření na straně Zpracovatele pro zvláštní zajištění zabezpečení těchto údajů. V případě porušení této povinnosti ze strany Správce Zpracovatel neodpovídá za škodu způsobené zničení, ztrátu, změnu, neoprávněné poskytnutí nebo zpřístupnění těchto údajů v případě že ve vztahu k nim dodržel standardní míru Zabezpečení, definovanou touto Smlouvou.

4. Trvání Smlouvy

4.1. Tato Smlouva je účinná po dobu účinnosti smlouvy, uvedené v čl. 1.1. této Smlouvy, na jejímž základě Správce užívá EasyShop.

4.2. V případě ukončení účinnosti této Smlouvy či ukončení zpracování osobních údajů rozhodnutím ze strany Správce je Správce povinen Zpracovateli ve lhůtě 14 dnů písemně sdělit, zda žádá vydání kopie všech zpracovávaných osobních údajů, nebo žádá jejich výmaz. Zpracovatel je povinen na písemnou žádost Správce, učiněnou dle předešlé věty, ve lhůtě sedmi dnů vyhotovit kompletní kopii veškerých uchovávaných osobních údajů, které pro Správce zpracovává, a tuto správci předat oproti potvrzení předávacího protokolu. Po uplynutí 30 dnů od ukončení účinnosti této Smlouvy nebo ukončení zpracování osobních údajů rozhodnutím ze strany Správce a po eventuálním předání kopie všech zpracovávaných osobních údajů je Zpracovatel povinen provést výmaz osobních údajů, které mu byly poskytnuty na základě této Smlouvy, a které uchovává v

Databázi, jakož i všech jejich kopií, a to i v případech kdy Správce ve stanovené lhůtě nepožádá o vydání jejich kopie.

5. Mlčenlivost

5.1. Zpracovatel se zavazuje zachovávat mlčenlivost o zpracovávaných osobních údajích, zejména je nesmí zveřejňovat, šířit, či předávat dalším osobám mimo osoby v zaměstnaneckém poměru se Zpracovatelem nebo jiným oprávněným osobám, jež jsou zpracováním osobních údajů pověřeny v souladu s touto Smlouvou, Nařízením a Zákonem. Zpracovatel je povinen zajistit, aby také jeho zaměstnanci a jiné oprávněné osoby dodržovali závazek mlčenlivosti dle bodu 5. Smlouvy. Tato povinnost Zpracovatele trvá i po skončení tohoto smluvního vztahu.

5.2. Správce souhlasí v souladu s ust. čl. 28 odst. 2. Nařízení, aby Zpracovatel zapojil do zpracování osobních údajů i další zpracovatele. V případě že Zpracovatel bude mít v úmyslu do zpracování zapojit dalšího zpracovatele, nebo jej nahradit, zavazuje se Správce Zpracovatele písemně informovat o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů, nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky, které může Správce uplatnit u Zpracovatele ve lhůtě 5 pracovních dnů. Nesdělí-li Správce Zpracovateli námitky v uvedené lhůtě, má se za to, že se zapojením dalšího zpracovatele nebo s jeho nahrazením souhlasí. V případě vyslovení námitek Správce nového zpracovatele nezapojí nebo stávajícího nenahradí dříve, nežli k tomu obdrží výslovný písemný souhlas ze strany Správce. V případě, že nedojde k vypořádání námitek do 30 dnů od jejich sdělení dohodou Smluvních stran, mají obě Smluvní strany právo vypovědět smlouvu o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb uvedenou v ust. čl. 1. odst 1.1 této Smlouvy za podmínek stanovených v ust. čl. 3.13 všeobecných obchodních podmínek. Zánikem smlouvy o zhotovení EasyShop a poskytování EasyShop a souvisejících služeb zaniká i tato Smlouva.

5.3. Zpracovatel je dále povinen zachovávat mlčenlivost o bezpečnostních opatřeních přijatých k zabezpečení ochrany osobních údajů, a to i po skončení tohoto smluvního vztahu.

6. Odpovědnost

6.1. Poruší-li Zpracovatel jeho povinnosti založené Xxxxxxxx nebo Nařízením, odpovídá za veškerou škodu vzniklou v důsledku takového porušení. Rozsah povinnosti se vztahuje i na škodu způsobenou třetím osobám a sankce uložené veřejnoprávním orgánem v důsledku porušení Nařízení nebo jiného předpisu upravujícího ochranu Osobních údajů.

6.2. Zpracovatel sám neshromažďuje osobní údaje pro Správce, neodpovídá proto za plnění informační povinnosti Správce vůči subjektům údajů založené dle ust. čl. 12., 13. a 14. Nařízení ani za postup Správce při získávání souhlasu se zpracováním osobních údajů v případě, je-li souhlas pro zpracování osobních údajů vyžadován Nařízením, nebo Zákonem.

6.3. Zpracovatel odpovídá i za škodu způsobenou porušením Smlouvy zaměstnanci Zpracovatele nebo dalšími zpracovateli, které Zpracovatel do zpracování zapojí.

7. Závěrečná ustanovení

7.1. Jakákoliv změna nebo dodatek této Smlouvy musí být písemný a podepsaný oběma Smluvními stranami.

7.2. Neplatnost nebo nesrozumitelnost některého z ustanovení Smlouvy nemá vliv na platnost ostatních ustanovení Smlouvy.

7.3. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizace této Smlouvy, a to zejména v případě jednání s Úřadem na ochranu osobních údajů nebo s jinými veřejnoprávními orgány.

7.4. V případě, že bude smluvní vztah založený Smlouvou obsahovat mezinárodní prvek, si strany sjednávají, že tato Xxxxxxx se řídí českým právem.

7.5. V případě vzniku sporů si z této Smlouvy si Smluvní strany sjednávají, že veškeré spory budou příslušné řešit české soudy.