ZPRACOVATELSKÁ SMLOUVA
Zpracování osobních údajů společností eXmind s.r.o.
1. ÚVODNÍ USTANOVENÍ
1.1. Vlastník licence (dále jen „Objednatel“) uzavřel licenční nebo jinou smlouvu, na základě které užívá softwarový produkt vytvořený společností eXmind s.r.o., IČ 02659727 (dále jen „EXMIND“). Vztah mezi Objednatelem a EXMIND se řídí uzavřenou smlouvou.
1.2. Objednatel má právo na individuální služby, spočívající mj. v pokročilých službách zákaznické podpory, např. servisní služby či vzdálená správa.
1.3. Vzhledem k tomu, že Objednatel v postavení správce v souvislosti s výkonem práv na individuální služby zpřístupňuje EXMIND osobní údaje nebo jejich část a ty jsou za přesně vymezeným účelem a po omezenou dobu ukládány na serverech EXMIND, má EXMIND postavení zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení“).
2. PŘEDMĚT ZPRACOVÁNÍ
2.1. Předmět zpracování se liší v závislosti na druhu individuálních služeb poskytovaných Objednateli, kterými jsou:
2.1.1. Vzdálená správa, která spočívá v připojení na server/počítač Objednatele za účelem konfigurace operačního systému serveru nebo počítače, kontroly nastavení či změny v softwarovém produktu, kontroly nastavení či pomoc při problémech s ovládáním softwarového produktu, instalace softwarového produktu apod. Pro účely vzdálené správy je užíván software Team Viewer. Uvedené nástroje umožňují pracovníkovi servisní podpory EXMIND (dále jen „Servisní pracovník“) přístup na server/počítač Objednatele v reálném čase, přičemž dochází k záznamu činnosti servisního pracovníka, v rámci kterého
mohou být takto zaznamenány i osobní údaje, které byly viditelné na ploše koncového uživatele Objednatele (dále jen
„Uživatel“), popř. osobní údaje nacházejících se v jiných aplikacích, které servisní pracovník otevřel nebo k nim měl přístup.
2.1.2. Servisní služby, které vyžadují přístup k datům Objednatele. V tomto případě prostřednictvím softwaru Team Viewer (konzole „Přenos souborů“) zasílá Objednatel EXMIND celou databázi provozovanou prostřednictvím softwarového produktu.
2.2. Předmětem zpracování v případě Vzdálené správy (čl. 2.1.1) je nahlížení do osobních údajů servisním pracovníkem, ukládání osobních údajů v rámci záznamu o činnosti servisního pracovníka a provedení automatického výmazu záznamu s
možnými osobními údaji po uplynutí doby uložení, k čemuž dochází v souvislosti s pořizováním záznamu činnosti servisního pracovníka. Účelem zpracování je řešení Objednatelem ohlášených potíží při užívání softwarového produktu a zajištění záznamu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou službou Vzdálené správy.
2.3. Předmětem zpracování v případě poskytování Servisních služeb (čl. 2.1.2) je uložení kopie databáze obsahující osobní údaje na server EXMIND, nahlížení do osobních údajů, zpřístupnění přenosem (při zpětném zaslání databáze Objednateli) a provedení automatického výmazu databáze po uplynutí doby uložení, k čemuž dochází v souvislosti s poskytováním
Servisních služeb. Účelem zpracování je provedení analýzy požadavku, jeho vyřešení a zajištění záznamu a důkazu pro případ pozdějších reklamací nebo jiných nároků vznesených Objednatelem v souvislosti s poskytnutou Servisní službou.
2.4. Smluvní strany berou na vědomí, že EXMIND bude mít v souvislosti s poskytováním individuálních služeb přístup k následujícím kategoriím osobních údajů, které bude na základě pokynu Objednatele po omezenou dobu zpracovávat:
2.4.1. osobní údaje identifikační, adresné (včetně e-mailové adresy a tel. nebo mobilního čísla),
2.4.2. popisné (včetně akademického titulu),
2.4.3. vybrané údaje finanční povahy (personální a mzdové údaje, čísla bankovních účtů, účetní doklady zahrnující osobní údaje).
2.5. Dotčenými osobami, jejichž osobní údaje budou zpracovávány EXMIND, jsou zaměstnanci Objednatele a dále to mohou být třetí osoby vyskytující se v databázích Objednatele provozovaných prostřednictvím softwarového produktu, přičemž
tyto databáze mohou obsahovat účetní doklady a osoby na nich uvedené a dále databáze kontaktních údajů zákazníků či dodavatelů Objednatele.
2.6. Objednatel bere na vědomí, že při využití nástrojů TeamViewer jsou využívány servery společnosti TeamViewer GmbH, sídlem Jahnstr. 30 D-73037 Göppingen Německo, které jsou tímto zapojeny do zpracování osobních údajů jako tzv. další zpracovatelé.
2.7. EXMIND je oprávněn i bez předchozího písemného souhlasu Objednatele zapojit do zpracování osobních údajů dalšího zpracovatele. EXMIND je však povinen zajistit, aby jakýkoli další zpracovatel, zapojený do zpracování osobních údajů,
dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto dohodou, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 8 této dohody. O zapojení dalšího zpracovatele je EXMIND povinen informovat bez zbytečného odkladu na svých internetových stránkách a sdělit jeho identifikační údaje, a to tak, aby měl Objednatel příležitost vyslovit vůči těmto změnám odůvodněné námitky.
2.8. Zpracování osobních údajů je vedlejším závazkem EXMIND vyplývajícím ze smlouvy dle čl. 1.1 této smlouvy. Úplata za zpracování je proto zahrnuta v ceně za poskytování individuálních služeb, jak je uvedena v Ceníku, případně jak byla sjednána mezi Objednatelem a EXMIND.
3. ZPRACOVÁNÍ NA POKYN OBJEDNATELE
3.1. EXMIND je jako zpracovatel povinen zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele, který je v postavení správce.
3.2. EXMIND poskytuje služby Vzdálené správy (čl. 2.1.1) a Servisní služby (čl. 2.1.2) na základě samostatné objednávky Objednatele učiněné:
3.2.1. prostřednictvím objednávkového formuláře na stránce xxxx://xxx.xxxxxx.xx/xxxxxxx.xxx?xxxxxxxxxx- podpora Odeslání objednávky je považováno za samostatný pokyn ke zpracování osobních údajů, přičemž k samotnému poskytnutí individuálních služeb ze strany EXMIND je zapotřebí další součinnosti Objednatele, např. aktivní povolení k užití nástroje TeamViewer pro účely Vzdálené správy, nebo odeslání databáze v rámci poskytnutí Servisní služby. Objednatel je v tomto případě povinen uvést své zákaznické ID, které mu udělil EXMIND
3.2.2. prostřednictvím e-mailu zaslaného na adresu xxxxxx@xxxxxx.xx nebo xxxxxxx@xxxxxx.xx, který bude mít
podstatné náležitosti pro splnění vzdálené podpory nebo servisní služby, přičemž Objednatel je povinen odeslat e-mailovou objednávku z e-mailové adresy evidované společností EXMIND
3.2.3. prostřednictvím servisního technika, který v rámci servisního zásahu prováděného u Objednatele nebo v rámci vzdálené správy zjistí, že k odstranění vady bude nezbytné zaslání databáze prostřednictvím přenosu souboru TeamViewer.
3.3. EXMIND není oprávněn provádět zpracování na základě pokynů udělených mu jinou formou, než jaká je sjednána v
tomto článku smlouvy (zejména ústně nebo telefonicky). EXMIND je povinen případné pokyny (objednávky) doložit, za tím účelem je povinen je archivovat. V případě pochybností na straně EXMIND může požadovat po Objednateli potvrzení pokynu.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení poskytování individuální služby spojené s jejich zpracováním.
4.2. EXMIND si je vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Objednatelem.
4.3. EXMIND je povinen po uplynutí lhůty uvedené v čl. 4.1 této smlouvy provést výmaz nebo vrácení všech osobních údajů Objednateli a dále provést výmaz veškerých existujících kopií, pokud právo Unie nebo členského státu EU nepožaduje uložení daných osobních údajů. Tím není dotčeno právo EXMIND dle čl. 4.1 této smlouvy.
5. MÍSTO ZPRACOVÁNÍ, ZÁKAZ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
5.1. Místem zpracování osobních údajů je Česká republika nebo jiný členský stát Evropské unie. EXMIND není oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Objednatele předávat osobní údaje do třetích zemí nebo
mezinárodní organizaci ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
5.2. Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Objednatele a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.
6. POVINNOST MLČENLIVOSTI
6.1. EXMIND je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění souvisejících s užíváním softwarového produktu, zejména mlčenlivost ohledně osobních údajů, které mu byly Objednatelem zpřístupněny nebo jinak poskytnuty v souvislosti s poskytováním individuálních služeb popsaných v čl. 2.1. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání smlouvy mezi EXMIND a Objednatelem.
6.2. EXMIND je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je
neomezená.
7. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
7.1. EXMIND je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s
přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této smlouvy i k rizikům pro práva a svobody fyzických osob.
7.2. EXMIND tímto prohlašuje, že přijal vhodná technická opatření uvedená na svých internetových stránkách a dále zejména tato opatření:
7.2.1. Uživatel musí při provádění Vzdálené správy aktivním jednáním povolit přístup Servisního pracovníka prostřednictvím nástroje Team Viewer; Uživatel povoluje přístup Servisnímu pracovníkovi tak, že mu sdělí své zákaznické ID a heslo pro
připojení. Uživatel po celou dobu trvání Vzdálené správy vidí v reálném čase, co Servisní pracovník na jeho zařízení dělá a může Servisnímu pracovníkovi kdykoliv přístup ukončit a spojení přerušit.
7.2.2. Servery dalšího zpracovatele, společnosti TeamViewer GmbH, jsou umístěny v datových centrech, která odpovídají požadavkům ISO 27001, a využívají násobně redundantní nosná spojení a redundantní zdroje napájení, za využití nejmodernějšího značkového hardwaru; všechny servery, na kterých jsou ukládána data při používání softwaru TeamViewer, jsou umístěny v Německu nebo v Rakousku.
7.3. EXMIND tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této smlouvy, zejména:
7.3.1. seznámil příslušné zaměstnance s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, důvěrných informací nebo obchodního tajemství Objednatele;
7.3.2. neposkytuje žádné neoprávněné osobě (i kdyby se jednalo o neoprávněnou osobu z řad vlastních zaměstnanců), přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim nebo k on-line službám třetích osob používaných pro účely poskytování individuálních služeb ve smyslu této smlouvy);
7.3.3. nepoužívá žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu Objednatele, a to stejnou formou, jakou lze udělit pokyn (čl. 3.2).
7.4. EXMIND užívá pro účely zasílání databáze provozované prostřednictvím Softwarového produktu služby TeamVieweru nebo emailové schránky a neumožňuje svým zaměstnancům dohodnout s Objednatelem jiný způsob zasílání nebo
zpřístupnění, např. prostřednictvím cloudových úložišť provozovaných třetími osobami (např. Google Drive). Pokud Objednatel přesto zvolí takový způsob zaslání/zpřístupnění své databáze, nenese za to EXMIND jakoukoliv odpovědnost.
7.5. EXMIND umožní Objednateli nebo jím pověřeným osobám kontrolu dodržování svých povinností dle tohoto článku.
8. SOUČINNOST EXMIND, POVINNOST BÝT NÁPOMOCEN
8.1. EXMIND je povinen poskytnout Objednateli veškerou potřebnou součinnost v souvislosti s případnou kontrolou
prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů ze strany EXMIND je v souladu s Nařízením a EXMIND i Objednatel naplňují základní zásady a principy uvedené v Nařízení. EXMIND je povinen umožnit audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem pověřeným Objednatelem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.
8.2. EXMIND je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Objednatel mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Objednatel mohl
řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit ho subjektům údajů. Při výkonu této povinnosti je EXMIND povinen reagovat bez zbytečného odkladu na pokyny a požadavky Objednatele.
8.3. Zjistí-li EXMIND v souvislosti s poskytováním individuálních služeb Objednateli jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnost neprodleně, nejpozději však do 24 hodin, informovat Objednatele, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, která EXMIND přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.
8.4. EXMIND je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele jakožto správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Pokud bude Objednatel požadovat pomoc ve smyslu tohoto článku této smlouvy, provede EXMIND tyto činnosti za přiměřenou úplatu, která bude vycházet z cenové nabídky EXMIND.
8.5. V případě ukončení individuálních služeb spojených se zpracováním osobních údajů je EXMIND povinen postupovat v souladu s pokyny Objednatele a s čl. 4.1 této smlouvy. Nestanoví-li Objednatel ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení služeb spojených se zpracováním osobních údajů je EXMIND povinen tyto vymazat ze všech datových úložišť.
Datum revize dokumentu: 24. 5. 2018