uzavřená mezi těmito smluvními stranami: IČ: .................................................. DIČ: . ....................................................................
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená mezi těmito smluvními stranami:
1. Jméno / název firmy : ......................................................................................................
IČ: .................................................. DIČ: . ....................................................................
Sídlo / místo podnikání : ..................................................................................................
Zástupce: .........................................................................................................................
Podpis : ............................................................................
(dále jen „správce“)
a
2. Xxxxxxxxx.xxx, s.r.o. IČ: 03668681, DIČ: CZ03668681
Sídlo : Lidická 20, 602 00 Brno, Česká republika Zástupce: Xxxx Xxxxxxx, jednatel Podpis:
(dále jen „zpracovatel”)
Správce a zpracovatel se společně označují jako „smluvní strany“ a jednotlivě jako „smluvní strana“. Smluvní strany uzavírají smlouvu o zpracování údajů tohoto znění:
1. DEFINICE
1.1 Pro účely této smlouvy se rozumí:
1.1.1 smlouvou tato smlouva o zpracování osobních údajů a všechny související přílohy;
1.1.2 nařízením obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016), až nabude účinnosti;
1.1.3 subjektem údajů identifikovaná nebo identifikovatelná fyzická osoba, jíž se týkají osobní údaje;
1.1.4 osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu článku 4 nařízení, zejména veškeré informace, které správce zpřístupní zpracovateli za účelem zpracování;
1.1.5 zpracováním nebo zpracováním údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení ve smyslu článku 4 nařízení;
1.1.6 podmínkami podmínky poskytování služeb, které jsou k dispozici na webových stránkách zpracovatele xxx.xxxxxxxxx.xxx/xx/xxxxx a s nimiž správce souhlasil přistoupením ke službám či využitím služeb, k nimž se zaregistroval;
1.1.7 primární službou nevýhradní licence SaaS (software jako služba), kterou zpracovatel poskytl správci a která je popsána v podmínkách;
1.1.8 dobou uchovávání údajů doba, po kterou zpracovatel ukládá údaje správce, včetně osobních údajů. Doba uchovávání údajů závisí na primární službě zakoupené správcem, jak je blíže popsáno v podmínkách;
1.1.9 pokyny jakékoliv doložené pokyny ohledně povahy, rozsahu a způsobu zpracování údajů, které dá správce zpracovateli v souladu s podmínkami.
2. ZÁKLADNÍ INFORMACE A ÚČEL
2.1 Smluvní strany odsouhlasily ustanovení podmínek, kterým se řídí omezené, nevýhradní a časově omezené právo správce na využívání primární služby.
2.2 Zpracovatel v této souvislosti pro správce a v souladu s pokyny správce zpracovává osobní údaje a pro tento účel smluvní strany uzavřely tuto smlouvu v souladu s článkem 28 nařízení.
2.3 Účelem této smlouvy je zajistit, aby spolupráce zpracovatele a správce v oblasti zpracování osobních údajů subjektů údajů probíhala v souladu s nařízením.
3. JMENOVÁNÍ A POKYNY
3.1 Zpracovatel je správcem zmocněn k tomu, aby pro správce zpracovával osobní údaje, které správce zpracovateli zpřístupní, v souladu s podmínkami stanovenými v této smlouvě.
3.2 Zpracovatel smí osobní údaje zpracovávat pouze na základě pokynů, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na zpracovatele vztahuje. V takovém
případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
3.3 Všechny pokyny musí být v souladu s nařízením a jinými použitelnými právními předpisy a zpracovatel si vyhrazuje právo pokyn odmítnout, pokud není v souladu s nařízením nebo jiným použitelným právním předpisem nebo pokud podle jeho názoru porušuje nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů. V takovém případě může zpracovatel odložit splnění daného pokynu a neprodleně informuje správce.
3.4 Tato smlouva, včetně příloh, zavádí úplné a konečné pokyny ohledně zpracování osobních údajů pro účel stanovený v této smlouvě a v rozsahu stanoveném v této smlouvě a v souvislosti s primární službou.
3.5 Zpracovatel smí osobní údaje zpracovávat nad rámec pokynů v případech, kdy to vyžaduje právo EU nebo vnitrostátní právo, které se na zpracovatele vztahuje.
3.6 Pokud jsou osobní údaje zpracovávány nad rámec pokynů, zpracovatel správci oznámí důvod. Toto oznámení musí být podáno ještě před zpracováním a musí obsahovat odkaz na právní požadavky, které představují základ zpracování.
3.7 Oznámení by nemělo být podáno, pokud by bylo v rozporu s právem EU nebo vnitrostátním právem.
3.8 Správce touto smlouvou pověřuje zpracovatele zpracováním osobních údajů, které správce zpracovateli poskytne, v rozsahu nezbytném k poskytnutí primární služby nebo v jiném rozsahu, na kterém se smluvní strany písemně dohodnou později.
4. TRVÁNÍ
4.1 Tato smlouva platí, dokud (a) nebude ukončena smlouva o poskytování primární služby, nebo (b) nebude ukončena tato smlouva.
4.2 Bez ohledu na ukončení smlouvy se zpracovatelem zůstane i po jejím ukončení v platnosti článek 13 týkající se důvěrnosti a články 9, 10 a 11.
5. ZPRACOVÁNÍ ÚDAJŮ
5.1 Zpracovatel zpracovává osobní údaje pro správce výhradně pro účely poskytování primární služby v rozsahu a pro účely stanovené v příloze č. 1 této smlouvy.
5.2 Předmět a trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů jsou specifikovány v příloze č. 1 této smlouvy.
5.3 Osobní údaje EU data subjektů, které zpracovatel zpracovává pro správce, budou zpracovány výlučně v některém z členských států Evropské unie. Jedinou výjimkou jsou osobní údaje zpracovávané službou Mailchimp (The Rocket Science Group LLC) viz příloha č. 3. Jejich zpracování probíhá v USA a spadá pod EU-US Privacy Shield.
5.4 Všechny osobní údaje, které zpracovatel zpracovává pro správce, budou zpracovány za vhodných technických a organizačních bezpečnostních opatření, která jsou uvedena v bodě
6.1. této smlouvy.
5.5 Pokud subjekt údajů přímo u zpracovatele požádá o přístup, opravu, omezení, výmaz nebo přenositelnost svých osobních údajů nebo pokud subjekt údajů vznese námitku proti zpracování nebo uplatní právo nebýt předmětem automatizovaného individuálního rozhodování, zpracovatel tuto žádost neprodleně předá správci.
5.6 Zpracovatel nesmí žádné osobní údaje zpracovávané pro správce opravit, vymazat nebo omezit bez doloženého pokynu správce, nebo pokud nevypršela doba uchovávání údajů. Zpracovatel žádné osobní údaje zpracovávané pro správce neopraví, nevymaže nebo neomezí ani v případě, kdy byl daný pokyn vydán, pokud právo Unie nebo právo členského státu vyžadují uložení daných osobních údajů.
5.7 Osobní údaje zpřístupněné správcem pro účely zpracování dle této smlouvy zpracovatel nepoužije k jinému účelu, než je účel uvedený v příloze č. 1.
5.8 Zpracovatel tyto osobní údaje nezpřístupní třetím osobám, s výjimkou dílčích zpracovatelů schválených správcem, kteří jsou uvedeny v příloze č. 3 této smlouvy.
5.9 Zpracovatel nesmí bez povolení správce pořizovat kopie nebo duplikáty osobních údajů, které mu správce zpřístupnil, s výjimkou případů, kdy jsou tyto kopie nebo duplikáty součástí zálohování popsaného v podmínkách nebo kdy je požaduje nařízení nebo právo Unie či právo členského státu (tj. zákonná pravidla uchovávání).
5.10 Po ukončení poskytování primární služby, dokončení smluvního díla, jak je stanoveno v podmínkách a v této smlouvě, nebo na žádost správce (především na základě pokynu) zpracovatel vymaže všechny osobní údaje a existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů.
5.11 Zpracovatel osobní údaje nepředá do třetích zemí ani mezinárodním organizacím, pokud to není výslovně uvedeno v této smlouvě.
6. POVINNOSTI ZPRACOVATELE
6.1 Technická a organizační bezpečnostní opatření
6.1.1 Zpracovatel je povinen zavést technická a organizační opatření nezbytná k zajištění náležité úrovně zabezpečení. Tato opatření musí být zavedena s patřičným ohledem na stávající stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování a různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob. Při určování těchto opatření zpracovatel přihlédne ke kategorii osobních údajů popsané v příloze č. 1.
6.1.2 Zpracovatel již zavedl technická a organizační bezpečnostní opatření uvedená v příloze č. 2 této smlouvy.
6.1.3 Zpracovatel zavede vhodná technická a organizační opatření takovým způsobem, aby zpracování osobních údajů z jeho strany splňovalo požadavky platné předpisy týkající se osobních údajů.
6.1.4 Pokud zpracovatel zavede nová technická nebo organizační bezpečnostní opatření ve smyslu tohoto článku, zejména v souvislosti se zlepšováním a rozvojem primární služby, technickým pokrokem a rozvojem technických a organizačních bezpečnostních opatření, změnami v organizaci zpracovatele, změnami použitelných právních předpisů atd., specifikace obsažená v příloze č. 2 bude v případě potřeby aktualizována. Žádná změna technických nebo organizačních bezpečnostních opatření nesmí snížit úroveň těchto opatření stanovenou ke dni podpisu této smlouvy.
6.1.5 Smluvní strany souhlasí s tím, že poskytnuté záruky a všechna technická a organizační opatření k zajištění náležité úrovně zabezpečení osobních údajů, která jsou uvedena v příloze č. 2, jsou k datu uzavření této smlouvy odpovídající.
6.2 Podmínky týkající se zaměstnanců
6.2.1 Zpracovatel zajistí, aby se zaměstnanci, kteří pro něj zpracovávají osobní údaje, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
6.2.2 Zpracovatel zajistí, aby byl přístup k osobním údajům omezen na ty zaměstnance, kteří tento přístup potřebují ke zpracování osobních údajů za účelem splnění povinností zpracovatele vůči správci v souladu s podmínkami.
6.2.3 Zpracovatel zajistí, aby zaměstnanci, kteří pro něj zpracovávají osobní údaje, zpracovávali tyto údaje výhradně v souladu s pokyny.
6.3 Doložení dodržování povinností
6.3.1 Zpracovatel správci na základě písemné žádosti doloží, že:
a) plní své povinnost vyplývající z této smlouvy a z pokynů,
b) pokud jde o osobní údaje zpracovávané pro správce, dodržuje ustanovení nařízení.
6.3.2 Dokumentace zpracovatele musí být předložena v přiměřené lhůtě.
6.4 Záznamy o činnostech zpracování
6.4.1 Zpracovatel vede záznamy o zpracování osobních údajů.
6.4.2 Záznamy musí obsahovat tyto informace:
a) kategorie zpracování prováděného pro správce,
b) zaměstnanci zpracovatele, kteří zpracovávají osobní údaje,
c) informace o případných dílčích zpracovatelích, kteří zpracovávají osobní údaje,
d) obecný popis technických a organizačních opatření v souvislosti se zpracováním,
e) specifikace případných třetích zemí nebo mezinárodních organizací, jimž se osobní údaje předávají, a také doložení vhodných záruk,
f) kontaktní údaje kontaktní osoby nebo poradce pro zpracování údajů (pokud byl jmenován) zpracovatele nebo dílčího zpracovatele.
6.4.3 Zpracovatel tyto záznamy na požádání v přiměřené lhůtě poskytne správci nebo příslušnému dozorovému úřadu.
6.5 Porušení zabezpečení
6.5.1 Zpracovatel správci ohlásí každý případ porušení zabezpečení osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů, jež zpracovatel zpracovává pro správce (dále jen „porušení zabezpečení“).
6.5.2 Porušení zabezpečení musí být správci ohlášeno bez zbytečného prodlení.
6.5.3 Zpracovatel vede záznamy o všech případech porušení zabezpečení. Tyto záznamy musí dokládat minimálně následující:
a) faktické okolnosti porušení zabezpečení;
b) dopady porušení zabezpečení; a
c) přijatá nápravná opatření.
6.5.4 Na základě písemné žádosti musí být tyto záznamy poskytnuty správci nebo dozorovým úřadům.
6.6 Audity a inspekce
6.6.1 Zpracovatel umožňuje správci nebo jinému správcem pověřenému auditorovi provádět audity, včetně inspekcí, a podílí se na nich.
6.6.2 Audity nebo inspekce ze strany správce nebo správcem pověřeného auditora mohou být provedeny na základě předchozí konzultace se zpracovatelem. V rámci této konzultace musí být vzájemně dohodnuta doba trvání, rozsah, předmět a datum a čas příslušného auditu nebo inspekce.
6.6.3 Právo provést audit nebo inspekci stanovené v této smlouvě se nevztahuje na zařízení provozovaná dílčími zpracovateli, subdodavateli nebo třetími osobami, a to ani v případě, kdy jsou tato zařízení využívaná v souvislosti s poskytováním primární služby nebo zpracováním údajů.
6.6.4 Audity nebo inspekce ze strany správce nebo správcem pověřeného auditora mohou být provedeny jen za účelem ověření skutečnosti, že zpracovatel provádí zpracování údajů v souladu s touto smlouvou, nařízením nebo jinými použitelnými právními předpisy.
6.6.5 Všechny informace a dokumenty, které zpracovatel správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na zachování důvěrnosti uvedeným v článku 13. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.
6.7 Pomoc
6.7.1 Zpracovatel je správci v nezbytném a přiměřeném rozsahu nápomocen při plnění jeho povinností při zpracování osobních údajů, na které se vztahuje tato smlouva, a to i v souvislosti:
a) s reakcemi na výkon práv subjektů údajů, zejména práv subjektu údajů uvedených v kapitole III nařízení;
b) se zajištěním splnění povinností správce podle článků 32 až 36 nařízení, s přihlédnutím k povaze zpracování a informací, jež má zpracovatel k dispozici;
c) s případy porušení zabezpečení;
d) s posouzeními vlivu;
e) s předchozími konzultacemi s dozorovými úřady.
6.7.2 V této souvislosti zpracovatel získává informace, které mají být součástí ohlášení dozorovému úřadu, pokud je zpracovatel nejvhodnější osobou, která tak může učinit.
6.7.3 Zpracovatel má nárok na zaplacení času stráveného poskytováním pomoci a materiálu spotřebovaného při poskytování pomoci dle bodu 6.7.
6.7.4 Vhodná technická a organizační opatření, která zpracovatel zavedl, aby správci pomohl se splněním povinnosti reagovat na žádosti související s výkonem práv subjektu údajů (právo na přístup, právo na opravu, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a automatizované individuální rozhodování) stanovených v článcích 15 až 22 nařízení, jsou uvedena v příloze č. 2 této smlouvy.
7. POVINNOSTI SPRÁVCE
7.1 Zákonnost zpracování
7.1.1 Správce zajišťuje a zaručuje, aby po celou dobu trvání této smlouvy:
7.1.1.1 všechny osobní údaje, které správce zpřístupní zpracovateli ke zpracování a které se jakkoli týkají primární služby, byly shromážděny legálním a zákonným způsobem dle nařízení nebo jiného použitelného právního předpisu;
7.1.1.2 byl subjektem údajů udělen souhlas ke zpracování příslušných osobních údajů ze strany zpracovatele, aby byl tento souhlas dán svobodně a v souladu s článkem 7 nařízení a aby tento souhlas platil po celou dobu zpracování a aby jej subjekt údajů neodvolal;
7.1.1.3 platily ostatní podmínky zákonného zpracování podle článku 6 nařízení, pokud souhlas subjektu údajů nebyl dán;
7.1.1.4 nebyly zpracovateli zpřístupněny žádné osobní údaje, které spadají do zvláštní kategorie osobních údajů uvedené v článku 9 nařízení.
7.1.2 V případě, že kdykoli během zpracování údajů ze strany zpracovatele nebo během doby platnosti této smlouvy nebude splněna některá z podmínek uvedených v bodě 7.1.1., správce musí zpracovatele informovat, a to za daných okolností co možná nejdříve a bez zbytečného prodlení, pokud možno nejpozději do 72 hodin od okamžiku, kdy se o daném nedostatku dozví. Správce také musí tyto osobní údaj ze zpracování sám vyloučit (zejména vymazáním těchto osobních údajů z primární služby správce), a pokud to není možné, musí zpracovateli poskytnout veškerou pomoc potřebnou k vyloučení těchto osobních údajů ze zpracování.
7.2 Podmínky týkající se zaměstnanců a třetí osoby
7.2.1 Správce zajistí, aby se zaměstnanci, kteří pro něj zpracovávají osobní údaje a mají přístup k primární službě, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
7.2.2 Správce zajistí, aby se třetí osoby, které mají jeho jménem přístup k primární službě, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
7.2.3 Správce nese vůči zpracovateli plnou odpovědnost za plnění všech zaměstnanců nebo třetích osob, jimž poskytne přístup k primární službě.
7.3 Doložení dodržování povinností
7.3.1 Správce zpracovateli na základě písemné žádosti doloží, že:
a) plní své povinnost vyplývající z této smlouvy a z podmínek;
b) pokud jde o osobní údaje zpřístupněné zpracovateli, dodržuje ustanovení nařízení nebo jiných použitelných právních předpisů;
c) souhlas subjektu údajů je platný a byl dán ke zpracování příslušných osobních údajů ze strany zpracovatele, že tento souhlas byl dán svobodně a v souladu s článkem 7 nařízení.
7.3.2 Dokumentace správce musí být předložena v přiměřené lhůtě.
7.4 Porušení zabezpečení
7.4.1 Správce zpracovateli ohlásí každý případ porušení zabezpečení osobních údajů upravený v bodě 6.5.1.
7.4.2 Porušení zabezpečení musí být zpracovateli ohlášeno bez zbytečného prodlení.
7.4.3 Správce vede záznamy o všech případech porušení zabezpečení. Tyto záznamy musí dokládat minimálně následující:
d) faktické okolnosti porušení zabezpečení;
e) dopady porušení zabezpečení; a
f) přijatá nápravná opatření.
7.4.4 Na základě písemné žádosti musí být tyto záznamy poskytnuty zpracovateli nebo dozorovým úřadům.
7.5 Pomoc
7.5.1 Správce je zpracovateli v nezbytném a přiměřeném rozsahu nápomocen při plnění jeho povinností při zpracování osobních údajů, na které se vztahuje tato smlouva, a to i v souvislosti:
a) s reakcemi na výkon práv subjektů údajů, zejména práv subjektu údajů uvedených v kapitole III nařízení;
b) s případy porušení zabezpečení;
c) s posouzeními vlivu;
d) s předchozími konzultacemi s dozorovými úřady.
7.5.2 V této souvislosti správce získává informace, které mají být součástí ohlášení dozorovému úřadu, pokud je správce nejvhodnější osobou, která tak může učinit.
8. DÍLČÍ ZPRACOVATELÉ
8.1 Zpracovatel smí ke zpracování osobních údajů pro správce využít třetí osobu („dílčího zpracovatele) pouze tehdy, je-li tato třetí osoba uvedena v příloze č. 3 této smlouvy.
8.2 Zpracovatel a dílčí zpracovatel uzavřeli písemnou smlouvu, která dílčímu zpracovateli ukládá stejné povinnosti v oblasti ochrany údajů, jako jsou povinnosti zpracovatele (včetně povinností při provádění této smlouvy) uvedené v odst. 3 nařízení týkající se zpracování údajů, zajištění ochrany zpracovávaných osobních údajů a dodržení nařízení, zejména poskytnutí dostatečných záruk za zavedení vhodných technických a organizačních opatření takovým způsobem, aby zpracování splňovalo požadavky nařízení. Dílčí zpracovatel také jedná jen podle pokynů správce, jak je uvedeno ve smlouvě.
8.3 Zpracovatel si vyhrazuje právo změnit nebo přidat dílčí zpracovatele. Zpracovatel každý takový případ oznámí správci. Oznámení bude podáno minimálně 30 dnů před danou událostí. Pokud správce s novým dílčím zpracovatelem nesouhlasí, má právo s okamžitou účinností ukončit primární službu a má nárok na vrácení peněz za zbývající zaplacené období primární služby.
8.4 Veškerou komunikaci s dílčími zpracovateli vyřizuje zpracovatel, není-li výslovně sjednáno jinak.
8.5 Zpracovatel nese přímou odpovědnost za zpracování osobních údajů ze strany dílčího zpracovatele, jako kdyby zpracování prováděl sám zpracovatel.
9. POPLATKY A NÁKLADY
9.1 Smluvní strany mají pouze nárok na zaplacení poskytnuté primární služby v souladu s podmínkami, není-li v této smlouvě uvedeno jinak.
10. PORUŠENÍ
10.1 Úprava porušení obsažená v podmínkách poskytování primární služby se vztahuje i na tuto smlouvu, jako kdyby tato smlouva byla nedílnou součástí podmínek. Pokud porušení není v podmínkách poskytování primární služby upraveno, použijí se na tuto smlouvu všeobecné prostředky nápravy porušení stanovené v použitelných právních předpisech.
11. ODPOVĚDNOST A OMEZENÍ ODPOVĚDNOSTI
11.1 Smluvní strany nesou odpovědnost podle obecných pravidel použitelných právních předpisů, avšak s výhradou, že společnost Xxxxxxxxx.xxx, s.r.o. nese odpovědnost v rozsahu uvedeném v Podmínkách.
12. VYŠŠÍ MOC
12.1 Zpracovatel nenese odpovědnost za situace, které se obvykle označují jako vyšší moc, mimo jiné včetně války, nepokojů, terorismu, vzpoury, stávky, požáru a přírodních katastrof.
12.2 Vyšší moc může být uplatňována pouze po takový počet pracovních dnů, po který situace způsobená vyšší mocí trvá.
13. DŮVĚRNOST
13.1 Informace týkající se obsahu této smlouvy, související primární služby nebo obchodní činnosti druhé smluvní strany, které jsou při poskytnutí přijímající smluvní straně označeny jako důvěrné nebo které by měly být považovány za důvěrné vzhledem ke své povaze či z jiného důvodu, musí být považovány za informace důvěrné, jež vyžadují minimálně stejnou míru péče a rozvážnosti, jako vlastní důvěrné informace smluvní strany. Údaje, včetně osobních údajů, vždy představují důvěrné informace.
13.2 Povinnost zachovávat důvěrnost se však nevztahuje na informace, kterou jsou veřejně známé nebo se veřejně známými stanou, a to nikoli v důsledku porušení povinnosti smluvní strany k zachování důvěrnosti, ani na informace, které již přijímající smluvní strana má ve svém držení, aniž by byla vázána podobnou povinností k zachování důvěrnosti, ani na informace, jež přijímající smluvní strana nezávisle vypracuje.
14. UKONČENÍ
14.1 Ukončení s uvedením důvodu nebo kvůli porušení
14.1.1 Tuto smlouvu je možné ukončit jen v souladu s ustanoveními o ukončení obsaženými v podmínkách nebo v této smlouvě.
14.1.2 Ukončení této smlouvy je podmíněno současným ukončením a umožňuje současné ukončení těch částí podmínek, které se týkají zpracování osobních údajů dle této smlouvy.
14.2 Účinky ukončení
14.3 Oprávnění zpracovatele zpracovávat pro správce osobní údaje zaniká ukončením smlouvy z jakéhokoliv důvodu.
14.4 Po dobu až tří měsíců po ukončení této smlouvy smí zpracovatel pokračovat ve zpracování osobních údajů v rozsahu, který je nezbytný k přijetí požadovaných zákonných opatření. Zpracování ze strany zpracovatele se po tuto dobu považuje za zpracování v souladu s pokyny.
14.5 Zpracovatel je povinen vymazat všechny osobní údaje zpřístupněné správcem do 3 měsíců od ukončení smlouvy. Správce může požadovat přiměřené informace o výmazu.
14.6 Zpracovatel nikdy nezpracovává žádné osobní údaje, které správce sám nemá, protože všechny osobní údaje zpracovateli vždy předává správce.
15. ZÁVĚREČNÁ USTANOVENÍ
15.1 Úprava řešení sporů obsažená v podmínkách, včetně rozhodného práva a místní příslušnosti, se vztahuje i na tuto smlouvu, jako kdyby tato smlouva byla nedílnou součástí podmínek.
15.2 Fyzická osoba uzavírající a přijímající tuto smlouvu na webových stránkách zpracovatele xxx.xxxxxxxxx.xxx (dále jen „fyzická osoba“) tímto prohlašuje, že jedná jménem správce a je dle zákona oprávněna jednat jménem správce ve věcech této smlouvy. Pokud bude rozhodnuto o neplatnosti tohoto právního zmocnění fyzické osoby, potom je tato smlouva závazná pro danou fyzickou osobu a ta nese plnou odpovědnost za splnění všech povinností uvedených v této smlouvě.
15.3 Smluvní strany výslovně prohlašují, že jejich jednání učiněná za podmínek sjednaných v této smlouvě zakládají práva a povinnosti smluvních stran vedoucí ke vzniku právních vztahů mezi smluvními stranami, jež předpokládá tato smlouva. Smluvní strany také prohlašují, že všechna práva a povinnosti a sjednané záležitosti se považují za určité, přiměřené a schopné vyvolat právní účinky a dopady předpokládané touto smlouvou. Ustanovení obsažená v předchozích větách jsou platná i tehdy, pokud jednání smluvních stran nesplňují všechny náležitosti předpokládané závaznými právními předpisy. V takovém případě smluvní strany tyto náležitosti bez prodlení schválí a splní.
15.4 Žádná smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této smlouvy nebo související s touto smlouvou bez předchozího písemného souhlasu druhé smluvní strany.
15.5 Komunikace smluvních stran ohledně smlouvy (včetně ohlášení porušení zabezpečení) bude probíhat prostřednictvím následujících e-mailových adres:
a) Zpracovatel: xxx@xxxxxxxxx.xxx
b) Správce: e-mailová adresa použita pro registraci k primární službě
15.6 Xxxxxxxxx.xxx, s.r.o. si vyhrazuje právo upravit nebo aktualizovat tuto Smlouvu bez předchozího upozornění. Pokud budete k primární službě přistupovat nebo ji využívat i poté, co tyto revize vstoupí v účinnost, souhlasíte s tím, že jste touto upravenou smlouvou vázáni. Pokud s novou smlouvou nesouhlasíte, přestaňte okamžitě primární službu využívat. Platná verze Smlouvy je vždy k dispozici na xxx.xxxxxxxxx.xxx/xx/xxx.
PŘÍLOHA č. 1
POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
1. POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
1.1 Povaha zpracování: Osobní údaje jsou zpracovávány automatizovaně prostřednictvím skriptu zpracovatele, který správce vkládá na své webové stránky. Tento skript načítá chatovací okénko (chat box) na webových stránkách správce, kde je skript vložen. Chatovací okénko je součástí primární služby. Návštěvníci webové stránky správce mohou vyplnit v chatovacím okénku jejich osobní údaje za účelem kontaktování zákaznické podpory správce. Další osobní údaje mohou být zpracovávány na pozadí samotným skriptem. Správce může importovat další osobní údaje ke zpracování prostřednictvím rozhraní pro programování aplikaci (API) zpracovatele nebo pomocí integrací se službami třetích stran jako součásti primární služby.
1.2 Rozsah zpracování: V závislosti na tom, jak správce využívá primární službu, mohou být v souvislosti s poskytováním primární služby zpracovávány zejména tyto typy osobních údajů:
a) prohlédnuté stránky na webových stránkách správce a odkazující URL,
b) datum a čas návštěv webových stránek správce,
c) technické informace jako rozlišení obrazovky, operační systém, typ prohlížeče a typ zařízení,
d) geografické lokalizační údaje (země a město),
e) IP adresa,
f) křestní jméno a/nebo příjmení,
g) e-mailová adresa,
h) telefonní číslo,
i) další typy osobních údajů závisí na způsobu využívání primární služby ze strany správce.
1.3 Správce zpracovateli NEZPŘÍSTUPNÍ žádné osobní údaje, které spadají do zvláštní kategorie osobních údajů ve smyslu článku 9 nařízení. Správce zároveň nebude využívat Primární službu způsobem, který by vyžadoval od návštěvníků (Subjektů údajů), nebo motivoval návštěvníky k, vyplňování takovýchto osobních údajů. Příklady těchto typů údajů:
a) informace o rase a/nebo náboženském přesvědčení,
b) informace o sexuálním chování a/nebo sexuální orientaci,
c) citlivé zdravotní informace a/nebo informace o zdravotním stavu a nemocech,
d) citlivé informace, jako jsou hesla, čísla kreditních karet atd.
1.4 Kategorie zpracování registrovaných identifikovaných nebo identifikovatelných fyzických osob, na které se vztahuje tato smlouva:
a) návštěvníci webových stránek správce, u kterých se využívá primární služba.
1.5 Trvání zpracování: Všechny zpracované osobní údaje jsou automaticky mazány podle doby uchovávání údajů vyplývající ze zakoupené primární služby.
1.6 Účelem zpracování je umožnit správci:
a) poskytovat a zlepšit zákaznickou podporu pro návštěvníky jeho webových stránek
b) získávat zpětnou vazbu od návštěvníků o jeho produktech a službách
c) zlepšit uživatelskou zkušenost (user experience) na jeho webu
2. NÁSTROJE K OMEZENÍ ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A ZLEPŠENÍ OCHRANY SOUKROMÍ UŽIVATELŮ
2.1 Zpracovatel jako součást primární služby nabízí správci následující nástroje k omezení zpracování osobních údajů a zlepšení ochrany soukromí subjektů údajů. Všechny nástroje jsou blíže popsány na webových stránkách zpracovatele na adrese xxx.xxxxxxxxx.xxx.
a) Zpracovatel zobrazuje pro návštěvníky webových stránek správce oznámení o zpracování osobních údajů v rámci chatovacího okénka a umožňuje správci linkovat toto oznámení na jeho web, kde správce definuje jakým způsobem zpracovává osobní údaje návštěvníků v rámci primární služby.
b) Zpracovatel umožňuje správci nastavit dobu uchovávání osobních údajů v rámci primární služby. Správce si může dobu nastavit v jeho Smartsupp účtu na xxx.xxxxxxxxx.xxx -> Nastavení -> Obecné -> Obecné -> Délka chat historie.
c) Možnost deaktivovat sledování IP adres návštěvníků webových stránek správce. Funkce se nachází v účtu správce na adrese xxx.xxxxxxxxx.xxx -> Nastavení -> Obecné -> Obecné -> Zobrazovat IP adresy návštěvníků. Ve výchozím nastavení primární služby je sledování IP adres vypnuto.
TECHNICKÁ A ORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ
1. TECHNICKÁ A ORGANIZAČNÍ BEZPEČNOSTÍ OPATŘENÍ
1.1 Zpracovatel zavedl následující technická bezpečnostní opatření za účelem maximalizace ochrany osobních údajů:
a) šifrování SSL/TLS („secure sockets layer / transport layer security“) pro veškeré předávání údajů v rámci všech částí primární služby;
b) webové stránky a webový software zpracovatele běží na zabezpečeném https protokolu;
c) zpracovatel nabízí správci řadu nástrojů popsaných v bodě 2.1 přílohy č. 1 k omezení zpracování osobních údajů a zlepšení ochrany soukromí subjektů údajů;
d) všichni zaměstnanci zpracovatele, kteří mají přístup k osobním údajům, podepsali se zpracovatelem dohodu o mlčenlivosti;
e) zpracovatel jmenoval pověřence pro ochranu osobních údajů s cílem zajistit, aby osobní údaje byly chráněny. POOÚ může být kontaktován na adrese xxx@xxxxxxxxx.xxx;
1.2 Zpracovatel využívá servery a cloudovou infrastrukturu společnosti Amazon Web Services k ukládání osobních údajů (viz příloha č. 3 - Dílčí zpracovatelé).
1.3 Informace o zabezpečení Amazon Web Services:
a) Informace o zabezpečení Amazon Web Services: xxx.xxxxxx.xxx/xxxxxxxx
b) Informace o fyzickém zabezpečení datových center Amazon Web Services: xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxx/xxxxxxxx
c) Informace o dodržování nařízení GDPR ze strany Amazon Web Services: xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxx
1.4 Správce může spravovat a mazat osobní údaje na svém účtu používaném pro přístup k primární službě na webových stránkách xxx.xxxxxxxxx.xxx. To správci umožňuje plnit povinnosti spojené s žádostmi subjektů údajů o informace o osobních údajích nebo o vymazání osobních údajů.
DÍLČÍ ZPRACOVATELÉ
1. DÍLČÍ ZPRACOVATELÉ
1.1 Správce tímto souhlasí s tím, aby zpracovatel využíval ke zpracování osobních údajů následující dílčí zpracovatele:
a) Amazon Web Services EMEA SARL, 0 xxx Xxxxxxx, X-0000 Xxxxxxxxxx
b) CDN77, DataCamp Limited, 000 Xxxxxx Xxxxxx, Xxxxxx, Xxxxx Xxxxxxxx
c) Mailchimp, The Rocket Science Group LLC, 000 Xxxxx xx Xxxx Xxx XX, Xxxxx 0000, Xxxxxxx, XX 00000, XXX
1.2 Zpracovatel využívá službu CDN77 jako síť pro doručování obsahu (content delivery network), CDN77 je služba nutná pro efektivní fungování serverové infrastruktury Zpracovatele a provoz primární služby. CDN77 zpracovává výhradně IP adresy data subjektů a uchovává je po dobu 2 dní.
1.3 Zpracovatel využívá službu Mailchimp pro doručování transakčních e-mailových zpráv, které jsou nutné pro fungování primární služby. V rámci služby Mailchimp jsou zpracovávány pouze e- mailové adresy data subjektů a obsah transakčních e-mailových zpráv po dobu až 90 dní. Zpracování osobních údajů službou Mailchimp probíhá v USA a spadá pod EU-US Privacy Shield.
1.4 Správce souhlasí s tím, že zpracovatel používá standardní software Microsoft a Google (např. MS Office a Google Docs) a že vzhledem k této skutečnosti mohou osobní údaje pro správce zpracovávat společnosti Google a Microsoft.