Zpracovatelská smlouva – smlouva o zpracování osobních údajů Číslo: ……………………… – revize ………...
Zpracovatelská smlouva – smlouva o zpracování osobních údajů Číslo: ……………………… – revize ………...
uzavřená mezi:
Zákazníkem ...…………………………………………………………………………………………
se sídlem: ……………………………………………, město: ……..………………...., PSČ ………
IČ: …………….. e-mail: ………………………….……..………… telefon: .………………………
zastoupená ……………………………………………………………………
(dále jen „Správce“)
a
WEDOS Internet, a.s.
se sídlem Xxxxxxxxxx 0000, Xxxxxxx xxx Xxxxxxx, PSČ 373 41, IČ: 28115708,
společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Českých Budějovicích, oddíl B, vložka 1886,
zastoupená Xxxxxxx Xxxxxxx, předsedou představenstva (dále jen „WEDOS Internet, a.s.“)
a dalšími společnostmi ze skupiny WEDOS. Dalšími společnostmi patřícími do skupiny WEDOS se mají na mysli všechny obchodní společnosti s obdobnou akcionářskou strukturou, případně jiné obchodní společnosti WEDOS patřící do majetkově propojené skupiny s WEDOS Internet, a.s., a to včetně dceřiných nebo sesterských společností. Jelikož výčet těchto společností se v čase může měnit, tak jsou deklarovány pouze takto obecně. Seznam konkrétních společností je vždy uveden v aktuální podobě na internetových stránkách WEDOS spolu s dalšími smluvními podmínkami.
(dále jen „WEDOS“)
Zpracovatelem Osobních údajů je některá z firem skupiny WEDOS. O konkrétním právním vztahu konkrétní společnosti vůči Správci rozhoduje skutečnost, kdo vystavil daňový doklad k poskytnutým službám poskytnutých Správci. Zpracovatelem je pro tento konkrétní případ společnost, která vystavila Správci daňový doklad. Pokud nedošlo k fakturaci, tak je Zpracovatelem výše uvedená mateřská společnost WEDOS Internet, a.s.
(dále jen „Zpracovatel“)
(dále společně jen „Smluvní strany“)
I.
Úvodní ustanovení
1. Smluvní strany uzavřely dne ………... smlouvu, na základě níž se WEDOS zavázal poskytovat Správci služby spočívající v poskytování služeb hostingu a cloudových služeb (nebo jiných služeb obdobné povahy), v rozsahu, v jakém WEDOS nabízí svým zákazníkům, a to pro službu číslo: (dále jen „Služba“ nebo „Služby“), a
to v souladu s dokumenty - Všeobecné smluvní podmínky služeb WEDOS - základní a společná ustanovení pro všechny služby, Smluvní podmínky doménových služeb WEDOS, Smluvní podmínky hostingových a cloudových služeb WEDOS (všechny dokumenty jsou k dispozici v aktuální verzi na internetových stránkách WEDOS).
2. Řádné poskytování Služby vyžaduje mimo jiné i zpracování osobních údajů zákazníků, třetích osob a zaměstnanců Správce (dále jen „Osobní údaje“), které pro Správce bude provádět Zpracovatel. Rozsah zpracování Zpracovatelem je přesně definován v této Smlouvě.
3. S ohledem na výše uvedené Smluvní strany uzavírají v režimu Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen „Nařízení“) a ve spojení se zákonem o zpracování osobních údajů následující smlouvu o zpracování osobních údajů (dále jen „Smlouva“).
4. WEDOS není zpracovatelem žádných osobních údajů (pro) Správce, vyjma přesně vyjmenovaných situací v této Smlouvě. Z hlediska právního je WEDOS ve vztahu zpracovatele vůči zákazníkům WEDOS, kteří využívají hostingové a cloudové služby WEDOS, protože data jsou ukládána na serverech WEDOS.
5. WEDOS však nikdy nezasahuje jakkoliv (s výjimkou technických zásahů nutných pro provoz Služby), zejména obsahově a technicky do dat, která mají zákazníci WEDOS umístěna na serverech (nebo jiných technických zařízeních obdobné povahy – dále jen
„Servery“) u WEDOS.
6. WEDOS jako Zpracovatel se svými zákazníky uzavírá pro každou službu samostatnou Zpracovatelskou smlouvu a není smluvně a právně oprávněn jakkoliv obsahově nebo technicky zasahovat do žádných dat (včetně dat a informací osobní povahy) svých zákazníků na serverech WEDOS.
7. Ustanovení této Smlouvy se obdobně aplikují na právní vztah mezi WEDOS a zákazníkem při vytvoření, správě a používání zákaznického účtu v zákaznické administraci služeb WEDOS, a to v případě, kdy má zákazník (ve smyslu této Smlouvy Správce) v zákaznické administraci WEDOS uložené nebo zpřístupněné jakékoliv Osobní údaje třetích osob (jejichž služby administruje v administraci WEDOS nebo na serverech WEDOS). Změny nastavení Služeb a (Osobních) údajů v zákaznické administraci si zákazníci provádějí sami po přihlášení do zákaznické administrace, případně je provede WEDOS, a to na základě požadavků zadaných autorizovaně ze zákaznické administrace.
II.
Předmět Smlouvy
1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů, které Zpracovatel získá v souvislosti s poskytováním svých Služeb Správci. Jedná se o Osobní údaje, které Správce ukládá nebo má uložené, na serverech Zpracovatele, a to v souladu se Službou, kterou Zpracovatel poskytuje Správci.
III.
Podmínky zpracování Osobních údajů
1. Účelem zpracování Osobních údajů je poskytnutí hostingových a cloudových služeb Správci v souladu se smlouvou o poskytování Služeb a s obecně závaznými právními předpisy.
2. Osobní údaje budou zpracovány v rozsahu:
• ukládání dat „patřících“ Správci a zpracovávaných Správcem na serverech Zpracovatele,
• zálohování dat „patřících“ Správci a zpracovávaných Správcem na serverech Zpracovatele, přičemž zálohování je Zpracovatelem prováděno v souladu s nastavením jednotlivých služeb uvedených ve Smluvních podmínkách hostingových a cloudových služeb, případně na produktové stránce služby,
• obnova dat ze zálohy v případě dat „patřících“ Správci a zpracovávaných Správcem na serverech Zpracovatele.
Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou standardně Zvláštní kategorie osobních údajů (tzv. zvláštní a citlivé) údaje ve smyslu Nařízení. Předmětem zpracování jsou tyto Zvláštní kategorie osobních údajů, tedy zvláštní a citlivé údaje, tj. takové údaje, které například vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, případně genetické a biometrické údaje (jež jsou zpracovávány za účelem jedinečné identifikace fyzické osoby), je předmětem zpracování na základě této Smlouvy jen v případě, že Správce dodržuje a splňuje všechny zvýšené nároky na zabezpečení a zvýšené nároky na správu a zpracování těchto zvláštních a citlivých údajů v souladu s Nařízením, případně dalšími souvisejícími právními předpisy. WEDOS není oprávněn a technicky schopen posuzovat, zda se jedná o data patřící do Zvláštní kategorie osobních údajů.
3. Zpracováním Osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich ukládání na serverech a datových úložištích (ukládání na nosiče informací) Zpracovatele a provozní manipulace související s provozem těchto serverů a datových úložišť Zpracovatele. Zpracovatel není oprávněn zasahovat do ukládaných dat, ovlivňovat shromažďování a proces shromažďování těchto dat, nezasahuje do obsahu nebo používání těchto dat, nezasahuje do třídění nebo kombinování, blokování, anonymizace, mazání a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) těchto dat. Zpracovatel nikdy nezasahuje do ukládaných dat. Vše ze strany Zpracovatele probíhá jen v rozsahu nezbytném pro zajištění řádného poskytování Služeb. V rámci oprávněného zájmu k řádnému zajištění poskytovaných služeb je Zpracovatel výjimečně oprávněn skenovat ukládaná data (a to skutečně jen pro technické zajištění provozu Služby), například z důvodu kontroly antivirem (či obdobným programem), opravy práv k souborům nebo instalací různých softwarů a redakčních systémů. V žádném případě Zpracovatel nemá právo tato data dále analyzovat a zpracovávat nebo do obsahu těchto dat jakkoliv zasahovat.
4. Osobní údaje budou zpracovány po dobu poskytování Služeb s tím, že ukončením smlouvy o poskytování Služeb bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají povinnosti Zpracovatele týkající se bezpečnosti a ochrany Osobních údajů až do okamžiku jejich úplné likvidace.
5. Smluvní strany se dohodly, že zpracování Osobních údajů na základě této Smlouvy bude bezplatné a je součástí poskytované Služby, přičemž Zpracovatel nemá nárok na náhradu nákladů spojených s plněním této Smlouvy. Tím není dotčen nárok Zpracovatele na odměnu za poskytování Služeb.
IV.
Povinnosti Správce
1. Správce je při plnění této Smlouvy povinen:
a) zajistit, že Osobní údaje budou zpracovány vždy v souladu s Nařízením a zákonem o
zpracování osobních údajů platným v České republice (dále jen „Zákon o zpracování osobních údajů“), že tyto údaje budou aktuální, přesné a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování;
b) přijmout vhodná opatření, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná Nařízením a zákonem o zpracování osobních údajů;
c) při ukončení využívání Služby smazat všechna data a jejich kopie, včetně jakýchkoliv Osobních údajů uložených na serverech Zpracovatele.
V.
Povinnosti Zpracovatele
1. Zpracovatel je při plnění této Smlouvy povinen:
a) nezapojit do zpracování Osobních údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce, s výjimkou společností patřících do skupiny WEDOS;
b) zcela výjimečně zpracovávat Osobní údaje, a to vždy pouze na základě písemně doložených (případně ze zákaznické administrace autorizovaně zadaných) pokynů Správce, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci; Zpracovatel je oprávněn odmítnout provedení pokynů Správce v případě, že zpracování Osobních údajů je nad rámec poskytované služby;
c) zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve smyslu Nařízení; Zpracovatel není komukoliv oprávněn poskytovat jakékoliv informace a Osobní údaje, náhledy dat a exporty dat a podklady z dat Správce. Zpracovatel do dat Správce nezasahuje;
d) na žádost Správce kdykoliv umožnit provedení auditu či inspekce týkající se zpracování Osobních údajů, přičemž tento krok bude zpoplatněn podle hodinové sazby dle aktuálního ceníku Zpracovatele;
e) maximální doba trvání zpracování a doba uchování Osobních údajů je totožná s dobou platnosti Smlouvy o službě. Po uplynutí této doby budou Osobní údaje zlikvidovány v souladu s touto Smlouvou;
f) Osobní údaje je možné zpracovávat pouze na pracovištích Zpracovatele nebo jeho dodavatelů (subdodavatelů, poddodavatelů), a to zejména na území Evropské unie. Zpracovatel je povinen zpracovávat Osobní údaje v souladu s právními předpisy, zejména se Zákonem o ochraně osobních údajů;
g) po skončení této Smlouvy smazat všechna data a Osobní údaje zpracované po dobu poskytování Služeb (s výjimkou situací, kde je Zpracovatel povinen data uchovat podle zákona nebo na základě zvláštních žádostí státních orgánů). Zpracovatel je povinen bezodkladně, nejpozději však do 30 dnů od ukončení služby, data zlikvidovat a ze serverů smazat. Osobní údaje nejsou automaticky mazány z již provedených záloh. Zálohy jsou periodicky mazány v souladu s nastavením jednotlivých služeb. Tímto periodickým mazáním záloh dochází k automatickému následnému smazání Osobních údajů ze
všech zařízení Zpracovatele (a to nejpozději 180 dní od pořízení příslušné zálohy);
h) Zpracovatel žádným způsobem neodpovídá za bezpečnost a ochranu dat, která souvisí s organizační, personální nebo technickou úrovní nebo činností Správce. Zpracovatel neodpovídá za bezpečnost zvoleného technického řešení (například volbu operačního systému nebo redakčního systému).
VI.
Vzájemné povinnosti Smluvních stran
1. Smluvní strany jsou při plnění této Smlouvy povinny:
a) zavést technická, organizační, personální a jiná vhodná opatření ve smyslu Nařízení, aby zajistily a byly schopny kdykoliv doložit, že zpracování Osobních údajů je prováděno v souladu s Nařízením a zákonem o zpracování osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům a k datovým nosičům, které tyto údaje obsahují, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití, a tato opatření podle potřeby průběžně revidovat a aktualizovat;
b) vést a průběžně revidovat a aktualizovat záznamy o zpracování Osobních údajů ve smyslu Nařízení;
c) řádně a včas ohlašovat případná porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a spolupracovat s tímto úřadem v nezbytném rozsahu;
d) navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
e) zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
f) postupovat v souladu s dalšími požadavky Nařízení a zákona o zpracování osobních údajů, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost.
VII.
Technické a organizační zabezpečení ochrany osobních údajů
1. Zpracovatel se zavazuje, že technicky (v souladu s obecně známými znalostmi a povědomím) a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití, a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti zpracovatele Osobních údajů, vyplývající z právních předpisů, včetně evropských právních předpisů a ISO norem, pokud na zpracování osobních údajů dopadají.
2. Zpracovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Zpracovatele v rámci jeho systému řízení bezpečnosti informací, který je v souladu s bezpečnostními požadavky dle ČSN EN ISO/IEC 27001, ČSN ISO/IEC 27017,
ČSN EN ISO/IEC 27018.
3. Zpracovatel se zavazuje, že zpracovávání údajů bude zabezpečeno zejména následujícím způsobem:
a) k Osobním údajům budou mít přístup pouze oprávněné osoby Zpracovatele, které budou mít Zpracovatelem stanoveny podmínky a rozsah zpracování údajů, a každá taková osoba bude přistupovat k Osobním údajům pod svým jednoznačným identifikátorem;
b) Osobní údaje budou zpracovávány v prostorách Zpracovatele, do nichž budou mít přístup pouze oprávněné osoby Zpracovatele nebo jeho dodavatelé (subdodavatelé, poddodavatelé);
c) oprávněné osoby Zpracovatele, které zpracovávají Osobní údaje podle této Smlouvy, jsou povinny zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení.
VIII.
Další povinnosti
1. V případě zjištění narušení zabezpečení ochrany zpracovávaných Osobních údajů, neoprávněného nebo nahodilého přístupu k Osobním údajům, zničení či ztráty, neoprávněného přenosu, nebo jiného neoprávněného zpracování nebo zneužití, je Zpracovatel povinen bezodkladně informovat Správce a je povinen bezodkladně přijmout opatření k odstranění závadného stavu. O přijatých opatřeních je Zpracovatel povinen bezodkladně písemně nebo e-mailem nebo prostřednictvím SMS informovat Správce.
2. Po ukončení této Smlouvy provede Zpracovatel:
- vymazání všech dat ze serverů Zpracovatele, s výjimkou záloh;
- mazání dat ze záloh probíhá periodicky v souladu s technickým nastavením zálohování Zpracovatele (v souladu s bodem V. odstavec g) této Smlouvy).
3. Všechna osobní data a Osobní údaje jsou nebo mohou být pravidelně zálohovány (a to v rozsahu, který je v souladu s nastavením parametrů jednotlivých služeb). V provedených zálohách (souborech, snapshotech apod.) WEDOS do obsahu dat nezasahuje a nic v těchto zálohách nemaže (a to ani v případě výslovné žádosti Správce nebo jakékoliv třetí osoby, bez ohledu na to, zda mazání je nebo není technicky možné). V případě obnovy dat ze zálohy není WEDOS právně a smluvně oprávněn a technicky schopen udělat kroky, aby zajistil, že Osobní data byla v souladu s aktuálním stavem před zálohou, a proto je povinností Správce obnovená data upravit tak, aby Osobní údaje byly v souladu s povinnostmi Správce vůči subjektům těchto Osobních údajů či jiných dotčených třetích osob.
4. V případě, že (například) dojde k poškození některých technických zařízení, a tím k poškození některých Osobních údajů, je WEDOS oprávněn obnovit všechna potřebná data ze zálohy, která je k tomuto určena. WEDOS se zavazuje, že nejpozději do 15 dnů od obnovení dat bude informovat Správce. Správce bude informován e-mailem, který je aktuálně veden v nastavení Služby. WEDOS provede obnovu dat z příslušné zálohy, a to k datu příslušné zálohy. Správce je povinen z obnovených dat vymazat (případně jinak odstranit), nebo anonymizovat všechna data (Osobní údaje), která tam již nemají být dostupná.
IX.
Závěrečná ustanovení
1. Tato Xxxxxxx a právní poměry z ní vzešlé a s ní související se řídí Nařízením a právními předpisy České republiky, zejména pak ustanoveními zákona o zpracování osobních údajů.
2. Tato Smlouva nabývá platnosti a účinnosti okamžikem podpisu poslední ze Smluvních stran, případně elektronickou akceptací Správcem na webových stránkách WEDOS (například formou stažení této Smlouvy ve formátu PDF).
3. Tuto Smlouvu lze měnit, doplňovat nebo zrušit pouze písemně, nikoliv ovšem prostřednictvím elektronických zpráv bez kvalifikovaného elektronického podpisu ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (eIDAS). Výpovědní lhůta pro vypovězení (ukončení) této smlouvy odpovídá výpovědní lhůtě Služby.
4. Změny nebo doplňky této Smlouvy včetně jejích příloh musejí být vyhotoveny písemně formou dodatku, datovány a podepsány oběma smluvními stranami s podpisy smluvních stran na jedné listině, ledaže Smlouva v konkrétních případech stanoví jinak. V případě, že dojde ke změně nastavení služby nebo změně jakýchkoliv kontaktních údajů, změně oprávněných osob, tak Zpracovatel vystaví dodatek ke Smlouvě, kde budou uvedeny nové údaje a číslo smlouvy bude číslováno tak, že za dosavadní číslo se přidá číslo revize (za pomlčkou).
5. Odchylně od ustanovení § 573, č. 89/2012 Sb., Občanský zákoník, Smluvní strany pro účely doručování výslovně sjednávají, že dokument odeslaný doporučenou zásilkou nebo zásilkou na doručenku nebo jiným obdobným způsobem prostřednictvím držitele poštovní licence na adresu Smluvní strany uvedenou v této Smlouvě, na adresu sídla zapsanou v obchodním rejstříku nebo na jinou písemně sdělenou adresu pro doručování je doručen 3. (třetí) den následující po předání takové zásilky k přepravě, ledaže bude prokázán dřívější den doručení. Tato fikce doručení se za splnění podmínek uvedených v tomto ustanovení uplatní též v případě, že se zásilka z jakéhokoliv důvodu vrátí zpět odesílateli jako nedoručená nebo nedoručitelná, a to včetně důvodu, že byla adresátem nepřevzata, odmítnuta nebo nevyzvednuta po uložení, anebo že se adresát v místě nezdržuje. Tím není dotčena možnost doručení dokumentů jinými prostředky.
6. Tato Smlouva se vyhotovuje elektronicky ve formátu PDF, přičemž dokument je elektronicky podepsán důvěryhodným elektronických certifikátem. Smlouva je vždy ke stažení v zákaznické administraci WEDOS v aktuálním znění. Smlouva se nevystavuje v papírové podobě.
7. Smluvní strany prohlašují, že si návrh této Xxxxxxx pozorně a pečlivě přečetly, že dobře rozumí jeho obsahu a že ten odpovídá jejich skutečné vůli, na důkaz čehož připojují své podpisy a uzavírají tuto Smlouvu.
V ……………………………. dne ……………………………..
Správce: Zpracovatel:
……………………………………….. …………………………………..
……………………………………….. WEDOS Internet, a.s.
……………………………………….. Xxxxx Xxxxx