Smlouva o pověření zpracováním osobních údajů
Smlouva o pověření zpracováním osobních údajů
uzavřená mezi:
Subjektem uvedeným v Základní smlouvě jako Objednavatel/Zákazník, nazývaným v další části této smlouvy jen „Správce“
a
Spolehlivé recenze s.r.o.
se sídlem: Xxxxxx Xxxx 000/00, Xxxxxxxxx Xxxx, 000 00 Xxxxxxx, Xxxxx xxxxxxxxx, zapsanou v obchodním rejstříku vedeném Krajským soudem v Ostravě pod sp. zn.: C 93444, IČO: 19626304, DIČ: CZ19626304, zastoupenou: Xxxxxx Xxxxxx Xxxx – Jednatel, v další části této smlouvy nazývanou jen „Zpracovatel“,
dále společně jen „Strany“.
Preambule
1. Strany uzavřely smlouvu o poskytování marketingových služeb spočívajících v získávání hodnocení od Zákazníků Správce, kterými jsou hodnoceny Správcem nabízené produkty/poskytované služby („Základní smlouva“), v souvislosti s jejímž plněním Správce pověří Zpracovatele zpracováním osobních údajů v rozsahu určeném Základní smlouvou.
2. Na základě této Smlouvy Strany stanoví podmínky pro vykonávání činností zpracování osobních údajů Zpracovatelem jménem Správce v souladu s ustanoveními nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen GDPR.
§ 1
Prohlášení stran
1. Správce prohlašuje, že je Správcem údajů uvedených v §5 Smlouvy ve smyslu ustanovení
GDPR.
2. Správce prohlašuje, že je oprávněn pověřit Zpracovatele ke zpracovávání osobních údajů uvedených v §5 Smlouvy a že získal veškeré zákonem vyžadované souhlasy od osob, jejichž údaje jsou zpracovávány, pro jejich předání Zpracovateli.
§ 2
Předmět Smlouvy
Za podmínek stanovených touto Smlouvou a Základní smlouvou Správce pověřuje Zpracovatele zpracováním (ve smyslu GDPR) níže uvedených osobních údajů (dále jen „Údaje“). Zpracovatel
má právo shromažďovat, zpracovávat a využívat kategorie osobních Údajů, uvedené v této Smlouvě a předané Správcem, výhradně pro účely popsané v této Smlouvě a Základní smlouvě a výhradně v souladu s pokyny obdrženými od Správce.
§ 3
Doba trvání
Smlouva je uzavřena na dobu trvání Základní smlouvy s výhradou lhůty pro odstranění údajů uvedených v § 13 odst. 2 této smlouvy.
§ 4
Účel zpracování údajů
Účel zpracování údajů vyplývá ze Základní smlouvy a spočívá zejména v povinnosti vykonávání marketingových služeb Zpracovatelem pro Správce, které jsou určené v Základní smlouvě, včetně získávání hodnocení a zkoumání úrovně spokojenosti Zákazníků Správce s kvalitou služeb a zboží, které Správce Zákazníkům poskytuje.
§ 5
Druh osobních údajů a kategorie osob
1. Zpracování bude zahrnovat osobní údaje Zákazníků Správce.
2. Zpracovatel bude zpracovávat následující typy osobních údajů Zákazníků Správce:
a) Identifikační údaje v rozsahu jména, příjmení, identifikátoru a data objednávky/realizace služby ze strany Správce,
b) Kontaktní údaje v rozsahu e-mailové adresy a/nebo telefonního čísla.
3. Správce nebude předávat Zpracovateli zvláštní kategorie osobních údajů, tj. osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filosofické přesvědčení, členství v odborových organizacích, genetické, biometrické a jiné údaje za účelem jednoznačné identifikace fyzické osoby, anebo údaje o zdravotním stavu, sexuální orientaci nebo sexuálním životě dotčené osoby.
§ 6
Podzpracování
1. Zpracovatel je oprávněn svěřit zpracování osobních údajů („podzpracování“) třetím subjektům prostřednictvím písemné podzpracovatelské smlouvy („Smlouva o podzpracování“), za podmínky předchozího schválení Podzpracovatele Správcem nebo v případě nevznesení námitky ze strany Správce.
2. Pro účely tohoto odstavce „podzpracováním“ se rozumí služby přímo související s poskytováním Zpracovatelských služeb a nikoliv doplňkové služby, které využívá Zpracovatel, jako jsou telekomunikační služby, poštovní/dopravní služby, technická podpora a uživatelská podpora nebo likvidace datových nosičů a další opatření zajišťující důvěrnost, dostupnost, integritu a odolnost hardwaru a softwaru systémů pro zpracování dat. Zpracovatel je však povinen v souladu se zákonem uzavřít příslušné
smlouvy a podniknout kontrolní opatření ke zajištění ochrany a bezpečnosti osobních údajů zpracovávaných jménem Správce, a to i v případě doplňkových služeb zadávaných externě.
3. Seznam Podzpracovatelů schválených Správcem tvoří Přílohu č. 1 k této Smlouvě a Správce tímto vyjadřuje souhlas s využíváním uvedených Podzpracovatelů.
4. Pověřit zpracováním údajů Podzpracovatele, který není na Seznamu schválených Podzpracovatelů, je možné za podmínky, že:
a) Zpracovatel o tom Správce písemně informoval s dostatečným předstihem a Správce s plánovanou změnou Podzpracovatele souhlasí;
b) Správce nevznese písemně do dne plánovaného předání osobních údajů novému Podzpracovateli námitky k takovému předání;
c) Poskytování služeb novým Podzpracovatelem probíhá na základě smlouvy v souladu s čl. 28 odst. 2–4 GDPR.
5. Při využívání podzpracování je Zpracovatel povinen zavázat Podzpracovatele k plnění všech povinností Zpracovatele vyplývajících z této Smlouvy o zpracování, s výjimkou těch, které se nevztahují na konkrétní podzpracovatelství z důvodu jeho povahy.
6. Další podzpracování, realizované pro Podzpracovatele, vyžaduje výslovný písemný souhlas Správce.
§ 7
Povinnosti Zpracovatele
Zpracovatel má následující povinnosti:
a) zpracovává osobní údaje výhradně na základě zdokumentovaných pokynů Správce a na základě povinností stanovených platnými právními předpisy,
b) zajišťuje, aby osoby oprávněné ke zpracování osobních údajů byly vázány povinností mlčenlivosti nebo aby podléhaly příslušné zákonné povinnosti mlčenlivosti,
c) přijímá veškerá opatření požadovaná podle čl. 32 GDPR,
d) dodržuje podmínky pro využívání služeb dalšího zpracovatele, jak je uvedeno v čl. 28 odst.
2 a 4 GDPR,
e) v rámci svých možností, prostřednictvím vhodných technických prostředků a organizačních opatření, pomáhá Správci při plnění povinnosti reagovat na žádosti subjektů údajů týkající se uplatňování jejich práv podle kapitoly III GDPR,
f) s ohledem na povahu zpracování a dostupné informace pomáhá Správci při plnění povinností stanovených v čl. 32-36 GDPR,
g) po ukončení poskytování služeb spojených se zpracováním, podle rozhodnutí Správce, vymaže nebo Správci vrátí veškeré osobní údaje a vymaže všechny jejich existující kopie, pokud právo Unie nebo právo členského státu uchování osobních údajů nevyžaduje,
h) poskytuje Správci veškeré informace nezbytné k prokázání splnění výše uvedených povinností a umožňuje Správci nebo jím pověřenému auditorovi vykonávání auditů za podmínek stanovených v §11 Smlouvy.
§ 8
Povinnosti Správce
Správce je povinen:
a) pověřovat Zpracovatele zpracováním údajů v rozsahu nezbytném pro plnění této Smlouvy a Základní Smlouvy.
b) spolupracovat se Zpracovatelem při plnění Smlouvy.
c) poskytovat Zpracovateli vysvětlení v případě pochybností o zákonnosti pokynů Správce a řádně a včas plnit své konkrétní povinnosti.
d) plnit vůči subjektům, jejichž Údaje předává Zpracovateli, informační povinnost v souladu s platnými právními předpisy, zejména s normami GDPR, pod hrozbou odpovědnosti za škody vůči Zpracovateli.
§ 9
Bezpečnost údajů
Zpracovatel potvrzuje a zavazuje se, že:
a) Zvážil vhodnost pseudonymizace a šifrování a používá tyto techniky v rozsahu potřebném k zajištění úrovně bezpečnosti údajů odpovídající stanovenému riziku porušení práv nebo svobod osob při jejich zpracování,
b) Má schopnost neustále zabezpečovat důvěrnost, integritu, dostupnost a odolnost svých systémů a služeb zpracování,
c) Má schopnost rychle obnovit dostupnost osobních údajů a přístup k nim v případě incidentů fyzické nebo technické povahy,
d) Pravidelně testuje, měří a vyhodnocuje účinnost technických a organizačních opatření zajišťujících bezpečnost zpracování.
§ 10
Oznámení o porušení ochrany osobních údajů
1. Zpracovatel informuje Správce o každém podezření na porušení ochrany údajů, a to nejpozději do 48 hodin od prvního oznámení takového porušení Zpracovateli. Umožňuje tím Správci účastnit se vyšetřovacích úkonů a okamžitě Správce informuje o jejich výsledcích, zejména či došlo nebo nedošlo k porušení.
2. Zpracovatel zasílá oznámení o zjištěném porušení spolu se všemi nezbytnými dokumenty týkajícími se porušení, aby Správci umožnil splnit povinnost oznámení dozorovému orgánu.
§ 11
Kontrola
1. Správce má právo, ve spolupráci se Zpracovatelem, vykonávat audity za účelem ověření, zda Zpracovatel používá technická a organizační opatření zajišťující odpovídající úroveň bezpečnosti zpracovávaných osobních údajů.
2. Správce je povinen informovat Zpracovatele o plánovaném auditu s alespoň jednoměsíčním předstihem.
3. Oznámení uvedené v odst. 2 musí mít písemnou formu. Strany připouštějí zaslání oznámení ve formě e-mailové zprávy.
4. Provedení auditu může být svěřeno auditorovi oprávněnému Správcem, který má příslušné znalosti v oblasti bezpečnosti osobních údajů.
5. Zpracovatel poskytne Správci nebo jím určenému auditorovi přístup k veškerým materiálům týkajícím se plnění požadavků stanovených v čl. 28 GDPR, zejména mu předá nezbytné informace, především důkazy potvrzující zavedení technických a organizačních opatření.
§ 12
Odpovědnost
1. Zpracovatel odpovídá za škody způsobené svým jednáním v souvislosti s nesplněním povinností, které GDPR přímo ukládá Zpracovateli, nebo pokud jednal mimo zákonné pokyny Správce nebo v rozporu s těmito pokyny.
2. Zpracovatel také odpovídá za škody způsobené použitím nebo nepoužitím vhodných bezpečnostních opatření.
3. Zpracovatel je rovněž odpovědný za Podzpracovatele, pokud tento nesplní své povinnosti v oblasti ochrany údajů.
§ 13
Odstranění údajů
1. Kopie a duplikáty osobních údajů zpracovávaných jménem Správce nebudou vytvářeny bez jeho vědomí. Tento závazek se nevztahuje na záložní kopie, pokud jsou a v rozsahu, v jakém jsou nezbytné k zajištění řádného zpracování údajů, ani na údaje požadované pro splnění zákonných požadavků na uchovávání.
2. Ve lhůtě 7 dnů od ukončení této Smlouvy nebo na žádost Správce dříve, Zpracovatel odstraní veškeré osobní údaje a veškeré jejich existující kopie, pokud platné právní předpisy nevyžadují, aby Zpracovatel tyto osobní údaje uchovával.
3. Správce je oprávněn požadovat od Zpracovatele předání dokumentů potvrzujících datum a způsob, jakým byly údaje odstraněny, a požadovat vydání kopií zpracovávaných osobních údajů do 3 dnů od ukončení této Smlouvy. V případě, že k odstranění údajů
dochází na základě žádosti podané Správcem před ukončením Smlouvy, musí být požadavky uvedené v předchozí větě podány současně s žádostí o odstranění údajů.
4. Údaje, které podle zásad Xxxxxxx tvoří výlučné vlastnictví Zpracovatele, nebudou po ukončení Smlouvy odstraněny, ale budou uchovávány v souladu s předpisy o ochraně údajů a bezpečnosti.
5. Zpracovatel je povinen uchovávat dokumenty prokazující zpracování údajů v souladu s platnými předpisy a touto Smlouvou během příslušného povinného období po ukončení Základní smlouvy a této Smlouvy. Zpracovatel může tyto dokumenty předat Správci.
§ 14
Závěrečná ustanovení
1. V případě rozporu mezi ustanoveními této Smlouvy o zpracování a Základní smlouvy mají přednost ustanovení Smlouvy o zpracování.
2. Smlouva byla vyhotovena ve dvou stejnopisech, z nichž každý má platnost originálu, po jednom pro každou ze Stran.
3. Smlouva podléhá právnímu režimu stanovenému Nařízením Evropského parlamentu a Radou (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a dalším předpisům českého práva.
4. Veškeré spory, které mohou vzniknout v souvislosti s plněním této Smlouvy, budou řešeny soudem příslušným podle sídla Zpracovatele.
5. Veškeré změny této Smlouvy vyžadují písemnou formu pod sankcí neplatnosti.
……………………………………………….... ………………………….……………………… Správce Zpracovatel
Příloha č. 1 – Seznam schválených Podzpracovatelů
Seznam schválených Podzpracovatelů
1. eKomi Holding GmbH, Xxxxxxxxxxxx 00, 00000 Xxxxxx, Německo, DIČ: DE 815890319, který využívá při poskytování služeb následující další podzpracovatele:
a) Twilio WeWork c/o Twilio, Xxxxxxxxxxxxxx - Xxxxxxxxxxx 0, 00000 Xxxxxx
b) Germany Mailjet GmbH Xxxxxxxxxxxxxxx 00, 00000 Xxxxxx, Xxxxxxx
c) The Rocket Science Group, LLC 000 Xxxxx xx Xxxx Xxx XX Xxxxx 0000, Xxxxxxx, XX 00000, XXX
d) Amazon Web Serwice data centers are in Germany and Ireland: Region EU (Irsko)
e) EC2 Availability Zones: 3 Commissioning: 2007 Region EU (Frankfurt) EC2 Availability Zones: 2 Commissioning: 2014
f) OVH GmbH St. Xxxxxxxx Xxx. 41-43, 66111 Saarbrücken, Německo
g) BankingCheck GmbH Xxxxxxxxxxxxxxxx 00, 00000 Xxxxxx, Xxxxxxx
2. Google Ireland Xxxxxx Xxxxx, Xxxxxx Xxxxxx, Xxxxxx 0, Xxxxx
3. HubSpot Ireland Limited HubSpot House, One Xxx Xxxx Xxxxxxxx'x Xxxx, Xxxxxx 0, Xxxxx