Podmínky zpracování a zabezpečení osobních údajů společnosti Bookassist
Podmínky zpracování a zabezpečení osobních údajů společnosti Bookassist
Tyto Podmínky zpracování a zabezpečení osobních údajů, včetně jejich příloh („Podmínky“), nabývají účinnosti a nahrazují předchozí sjednané podmínky zpracování a zabezpečení osobních údajů k datu jejich účinnosti. Tyto Podmínky doplňují všechny smlouvy („Smlouva“), v rámci kterých se společnost Automatic Netware Ltd T/A Bookassist, se sídlem na adrese 1st Floor South Block, Rockfield Central, Dublin D16 R6V0, Irsko, a její pobočky a dceřiné společnosti („Zpracovatel“) zavázaly poskytovat Klientovi („Správce“) služby zahrnující zpracovávání Osobních údajů. Zpracovatel a Klient jsou dále společně označováni jako „Smluvní strany“.
Datum účinnosti: 25. května 2018
Článek 1: Definice
„Údaje zákazníků Klienta“ jsou Osobní údaje, jejichž Správcem je Klient.
„Správcem“ se rozumí subjekt, který určuje účel a prostředky Zpracování osobních údajů, jak je definováno v článku 4 GDPR.
„Skupinou společností“ se rozumí všechny mateřské společnosti, dceřiné společnosti, pobočky a přidružené společnosti předmětného subjektu. Přidružené subjekty jsou omezeny na subjekty, které přímo nebo nepřímo vlastní nebo ovládají více než 50 % hlasovacích práv předmětného subjektu, a na přidružené společnosti, které vlastní nebo ovládá předmětný subjekt.
„Subjektem údajů“ se rozumí identifikovatelná nebo identifikovaná osoba, k níž se Osobní údaje vztahují.
„Zákonem o ochraně osobních údajů“ se rozumí všechny zákony a závazné předpisy Evropské unie (EU), Evropského hospodářského prostoru (EHP) a jejich členských států, Švýcarska a Spojeného království, které se vztahuj na Zpracování osobních údajů, včetně mj. GDPR.
„GDPR“ znamená Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016. dubna 95/46 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
„Osobními údaji“ se rozumí jakékoli údaje, které se týkají identifikované nebo identifikovatelné fyzické osoby v rozsahu, v jakém jsou tyto údaje chráněné jako Osobní údaje podle GDPR.
„Zpracováním“ se rozumí jakákoliv operace nebo soubor operací s Osobními Údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
„Zpracovatelem“ se rozumí jakýkoli subjekt, který zpracovává Osobní údaje jménem Správce.
„Standardními smluvními doložkami“ se rozumí smlouva podle rozhodnutí Evropské Komise (C(2010)593) ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích, které nezajišťují odpovídající úroveň ochrany údajů.
„Dílčím zpracovatelem“ se rozumí subjekty, které jsou na základě těchto Podmínek oprávněné zpracovávat Osobní údaje pro účely plnění Smlouvy ze strany Zpracovatele.
„Klientskou třetí stranou“ se rozumí jakýkoli subjekt, kterého Zpracovatel zapojí na žádost Klienta, ať už prostřednictvím dodatku nebo přímé komunikace, kdy Klient výslovně požaduje, aby Zpracovatel tomuto subjektu umožnil přístup k Osobním údajům.
Článek 2: Podmínky, účel a rozsah
(1) Zde uvedené Podmínky doplňují Smlouvy a jsou do ní řádně začleněny. Další podmínky, práva a povinnosti stanovené ve Smlouvě jsou i nadále v plné platnosti a účinnosti, pokud není ve Smlouvě výslovně uvedeno jinak. V případě jakéhokoli rozporu se Smlouvou mají tyto Podmínky přednost.
(2) Jakékoli předchozí odkazy na zákony o ochraně osobních údajů ve Xxxxxxx, která nabyla platnost před 25. květnem 2018, budou dále považovány za odkazy na GDPR.
(3) Účelem těchto Podmínek je poskytnout Smluvním stranám podrobné informace o příslušných povinnostech týkajících se Osobních údajů v souladu s GDPR, včetně mj. využívání a ochrany Osobních údajů spojených se zpracováváním Osobních údajů Zpracovatelem jménem Klienta.
(4) Tyto Podmínky se vztahují na všechny činnosti související se Smlouvou, kdy zaměstnanci a/nebo zástupci Zpracovatele zpracovávají Osobní údaje jménem Xxxxxxx.
(5) Kdykoli je vyžadován písemný souhlas nebo je uveden odkaz na písemnou formu nebo oznámení, elektronická komunikace je považována za dostačující.
(6) Anglické znění těchto Podmínek je závazné. Tyto Podmínky mohou být poskytovány v jiném než anglickém jazyce, avšak pouze pro informativní účely.
Článek 3: Doba a specifikace zpracování
(1) Zpracovatel zpracovává Osobní údaje v souladu se specifikacemi stanovenými ve Smlouvě po dobu uvedenou ve Smlouvě, a pokud není doba stanovena, do ukončení Smlouvy. Přehled specifikací Osobních údajů (typ Osobních údajů, povaha, účely a předměty zpracování údajů, kategorie subjektů údajů a podrobnosti o uchovávání) je uveden v PŘÍLOZE Č. 1.
(2) Tyto pokyny a specifikace zpracování lze měnit, upravovat nebo doplňovat pouze písemně.
Článek 4: Základ, na kterém Zpracovatel může zpracovávat Osobní údaje
Zpracovatel zpracovává Osobní údaje pouze na základě písemných pokynů Klienta, které jsou sjednány buď prostřednictvím Smlouvy, Dodatků, Dodatkových smluv, těchto Podmínek nebo prostřednictvím pokynů stanovených v budoucnosti v písemné formě a odsouhlasených oběmi Smluvními stranami.
Článek 5: Důvěrnost informací
Zpracovatel je povinen zajistit, že osoby, které zpracovávají Osobní údaje, jsou vázány mlčenlivostí.
Článek 6: Zabezpečení
Zpracovatel je povinen zajistit, aby byly zavedeny přiměřené kontroly, procesy a systémy, které zajišťují, že jsou Osobní údaje po celou dobu bezpečně uchovávány, a zajistit řádné využívání, uchovávání a údržbu Osobních údajů. Přehled těchto opatření je uveden v PŘÍLOZE Č. 2. Zpracovatel musí informovat Klienta v případě, že dojde ke změnám opatření uvedených v PŘÍLOZE Č. 2.
Článek 7: Přístup Dílčího zpracovatele k Osobním údajům
(1) V rámci zpracování jménem Xxxxxxx Xxxxxxxxxxx využívá Dílčí zpracovatele. Seznam stávající Dílčích zpracovatelů je uveden v PŘÍLOZE Č. 3. Klient tímto souhlasí s využitím Dílčích zpracovatelů
uvedených v PŘÍLOZE Č. 3. Pokud chce Zpracovatel nahradit některého ze stávajících Dílčích zpracovatelů nebo začít využívat nové Dílčí zpracovatele, potřebuje k tomu souhlas Klienta.
(2) Klient je oprávněn odepřít svůj souhlas pouze ze závažných důvodů souvisejících s GDPR. Tento souhlas není vyžadován, pokud je předání nezbytné na základě právních předpisů; v takových případech je Zpracovatel povinen informovat Klienta o tomto právním požadavku ještě před předáním, pokud zákon toto informování nezakazuje z důležitých důvodů veřejného zájmu.
(3) Zpracovatel uloží každému Dílčímu zpracovateli, kterému předává Osobní údaje, stejné povinnosti týkající se ochrany osobních údajů, jako jsou uvedeny v těchto Podmínkách. Zpracovatel je povinen zajistit, že je úroveň ochrany údajů a zabezpečení informací odpovídající.
(4) V případě, že se Osobní údaje v držení Zpracovatele stanou předmětem prohlídky a zabavení, příkazu k zabavení, konfiskace v průběhu konkurzního nebo insolvenčního řízení nebo podobné události nebo opatření prováděného třetí stranou, Zpracovatel je povinen informovat Xxxxxxx, pokud se to dotýká Údajů zákazníků Klienta.
Článek 8: Předávání Osobních údajů mimo EHP
(1) Pro účely plnění Smlouvy Klient opravňuje Zpracovatele předávat Osobní údaje mimo EHP kdekoli, kde působí Skupina společností Bookassist, její Dílčí zpracovatelé uvedení v Příloze č. 3 nebo Klientské třetí strany.
(2) Společnost Bookassist je povinna zajistit, že všechna předání podle článku 8 odst. 1 proběhnout buď
(i) do země, u které Evropská komise oficiálně potvrdila, že poskytuje odpovídající úroveň ochrany osobních údajů, nebo (ii) předání je zajištěno jinými mechanismy, jako např. Standardními smluvními doložkami nebo štítem EU–USA na ochranu soukromí.
(3) V situacích, na které se článek 8 odst. 1 nevztahuje, si společnost Bookassist před předáním Osobních údajů mimo EHP vyžádá souhlas Klienta. Tento souhlas není vyžadován, pokud je předání nezbytné na základě právních předpisů; v takových případech je Zpracovatel povinen informovat správce o tomto právním požadavku ještě před předáním, pokud zákon toto informování nezakazuje z důležitých důvodů veřejného zájmu.
Článek 9: Uchovávání údajů
Zpracovatel vymaže Údaje zákazníků Klienta v souladu s dobami uchovávání údajů stanovenými v Příloze č.
1. Zpracovatel vymaže všechny existující kopie Osobních údajů, pokud zákony EU nebo vnitrostátní zákony nevyžadují uchování těchto Osobních údajů.
Článek 10: Podpora při plnění povinností vyplývajících z GDPR a dodržování předpisů
(1) Zpracovatel poskytne Klientovi veškerou možnou podporu při plnění požadavků a nároků subjektů údajů, jak je podrobněji popsáno v kapitole III GDPR, a při plnění povinností vyjmenovaných v článcích 33–36 GDPR.
(2) Zpracovatel potvrzuje, že neprodleně informuje Xxxxxxx v případě, že pokyny předané Klientem dle názoru Zpracovatele porušují právní předpisy o ochraně osobních údajů.
(3) Zpracovatel potvrzuje, že bude neprodleně informovat Klienta o jakémkoli podezření na porušení zákona o ochraně osobních údajů nebo dalších nesrovnalostech vyplývajících z činností prováděných Klientem nebo Klientskou třetí stranou.
(4) Zpracovatel na žádost Klienta poskytne informace, které jsou nezbytné pro prokázání souladu s povinnostmi uloženými nařízením GDPR. V tomto ohledu Zpracovatel umožní audity, včetně inspekcí, prováděné Klientem nebo jiným auditorem, kterého Klient pověřil na náklady Klienta, a k těmto auditům přispěje. Tyto audity a inspekce proběhnou v běžných provozních hodinách na základě oznámení zaslaného s měsíčním předstihem a nebudou zasahovat do provozu Zpracovatele. Čas a úsilí Zpracovatele věnované těmto inspekcím nebude přesahovat jeden den za kalendářní rok, pokud není dohodnuto jinak.
(5) Klient je povinen neprodleně informovat Zpracovatele o jakékoli vadě nebo nesrovnalosti zjištěné v rámci pracovní činnosti Zpracovatele týkající se dodržování zákona o ochraně osobních údajů.
(6) Zpracovatel bezodkladně prošetří a napraví jakékoli porušení zabezpečení osobních údajů, nedodržování zákona o ochraně osobních údajů nebo jiné nesrovnalosti, kterých byl Zpracovatel informován nebo o kterých věděl.
(7) Zpracovatel si vyhrazuje právo kdykoli okamžitě ukončit zpracovávání údajů a předávání Osobních údajů bez pokuty, pokud se Zpracovatel dozví o problémech s ochranou osobních údajů, které by mohly ovlivnit obchodní činnosti nebo pověst Zpracovatele.
Článek 11: Dotazy subjektů údajů
Pokud subjekt údajů požaduje po Zpracovateli, aby opravil, vymazal nebo zpřístupnil jeho Osobní údaje, a Zpracovatel může na základě informací poskytnutých subjektem údajů spojit subjekt údajů s Klientem, Zpracovatel bez zbytečného odkladu předá požadavek subjektu údajů Klientovi. Za odpověď subjektu údajů odpovídá Klient. Je-li to možné, Zpracovatel poskytne Klientovi podporu při vyřizování žádosti subjektu údajů. Zpracovatel nenese žádnou odpovědnost v případě, že Klient subjektu údajů vůbec neodpoví nebo mu neodpoví správně nebo včas.
Článek 12: Řízení a povinnosti Klienta
(1) Klient bere na vědomí a souhlasí s tím, že bude po celou dobu vystupovat jako Správce a bude mít pod kontrolou všechny Osobní údaje.
(2) Jakožto Správce je Klient odpovědný za dodržování zákona o ochraně osobních údajů a je povinen zajistit, že zadávání zpracování Osobních údajů jménem Klienta Zpracovateli a požadavek, aby Zpracovatel využíval Klientskou třetí stranu, jsou zákonné.
(3) Zda je s jakoukoli Klientskou třetí stranou nutné uzavřít smlouvu o zpracování osobních údajů nebo podobnou smlouvu v souladu s článkem 28 GDPR, určuje Klient. Klient bere na vědomí, že žádná Klientská třetí strana není Dílčím zpracovatelem Zpracovatele.
Článek 13: Obecná ustanovení
(1) Klient a Zpracovatel nesou odpovědnost vůči subjektu údajů v souladu s článkem 82 GDPR a podléhají náhradám stanoveným v článku 82 GDPR.
(2) Pokud v souvislosti s předmětem těchto Podmínek vznikne jakýkoli spor, zvláště ve vztahu k přičtení odpovědnosti vyplývající z odst. 1 článku 13, bude vyřešen v souladu s ustanoveními Smlouvy týkající se řešení sporů.
(3) Pokud jakékoliv ustanovení těchto Podmínek je nebo se stane neplatným, platnost zbývajících ustanovení nebude nijak dotčena nebo oslabena. Neplatná ustanovení budou nahrazena platnými ustanoveními, která budou formulována tak, aby do značné míry dosáhla zamýšleného záměru.
(4) Klient bude informován o jakýchkoli nákladech vzniklých na základě těchto Podmínek, které pro Zpracovatele představují nepřiměřenou zátěž, a bude uzavřena dohoda o náhradě, která má být vyplacena Zpracovateli.
(5) Klient bude informován v případě, že Zpracovatel tyto Podmínky změní, a bude mít možnost proti těmto změnám vznést námitky.
PŘÍLOHA Č. 1
Specifikace údajů
Typ údajů | Povaha, účel a předmět zpracování údajů | Kategorie Subjektů údajů | Uchovávání údajů |
Podrobnosti o rezervaci zákazníka Klienta | V tomto případě se údaje zpracovávají pro potřeby rezervačního systému Bookassist, aby bylo možné provést rezervaci podle požadavků Klienta. Mezi osobní údaje získané během rezervace patří jméno a kontaktní údaje zákazníka, údaje o jeho kreditní kartě a podrobnosti o rezervaci, včetně čísla rezervace. | Osobní údaje zákazníka Klienta Během rezervace může zákazník v poli „Zvláštní požadavky“ uvést citlivé údaje. | Osobní údaje jsou anonymizovány 12 měsíců po datu odjezdu. Údaje o kreditní kartě jsou smazány nejpozději 1 měsíc po datu odjezdu dle rezervace. Číslo rezervace se uchovává na dobu neurčitou pro statistické účely. |
Podrobnosti o nákupu poukazu zákazníka Klienta | V tomto případě se údaje zpracovávají pro potřeby nákupu poukazů Bookassist podle požadavků Klienta. Mezi údaje o nákupu poukazu patří jméno a kontaktní údaje kupujícího, údaje o jeho kreditní kartě, jméno příjemce poukazu a případně také kontaktní údaje tohoto příjemce. | Osobní údaje zákazníka Klienta Je možné, avšak nepravděpodobné, že kupující v poli „Zpráva“ uvede citlivé údaje. | Osobní údaje jsou anonymizovány 12 měsíců po skončení platnosti poukazu. |
Přihlašovací údaje uživatele | V tomto případě se údaje zpracovávají pro účely správy přihlašování do extranetů společnosti Bookassist – Bookassist Hotel Administration a Bookassist Content Management System (CMS). | Osobní údaje zaměstnanců Klienta (nebo jiné osoby oprávněné Klientem) | Přihlašovací údaje uživatele jsou uchovávány po dobu 14 měsíců po uplynutí doby platnosti. |
Mezi zpracovávané údaje patří jméno, uživatelské jméno, heslo, e-mailová adresa, telefonní číslo, evidence všech přístupů a činností. | |||
Údaje zákazníka Klienta získané prostřednictvím webových stránek Klienta | V tomto případě se údaje zpracovávají pro účely poskytování a hostování webových stránek, formulářů nebo pop-up oken, jako je přihlášení k odběru newsletterů nebo jakákoli jiná podstránka, která návštěvníkům umožňuje zadat své kontaktní údaje, na webové stránce Klienta – to se vztahuje pouze na Klienty, kteří pro hostování a udržování své webové stránky používají službu Web Design společnosti Bookassist. | Osobní údaje zákazníka Klienta | Údaje získané prostřednictvím tohoto formuláře / této stránky jsou Klientovi předány pomocí e-mailu. Společnost Bookassist tyto údaje neukládá. |
Mezi zpracovávané údaje patří jméno a e-mailová adresa, případně další údaje požadované Klientem. |
PŘÍLOHA Č. 2
Bezpečnostní opatření
1. Umístění datového centra
Osobní údaje se ukládají a zpracovávají na serverech společnosti Bookassist ve spolehlivých datových centrech v Dublinu a Londýně řízených našimi hosting partnery AWS (Amazon Web Services) a Rackspace („Hosting partneři“):
AWS
xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxx/ xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxx/xxxxxxxx/
Rackspace
xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxxxxx
2. Fyzické zabezpečení datového centra
Naši Hosting partneři jsou kvalifikovaní v souladu s přísnými bezpečnostními standardy ISO/IEC 27001 a PCI DSS a poskytují postupy pro požadovaný přístup k datovým centrům, aby zabránili neoprávněnému přístupu k serverům Bookassist.
3. Zabezpečení sítě
V síti jsou segmentací vytvořeny různé vrstvy zabezpečení, soukromé a interní sítě jsou tak přístupné pouze zaměstnancům společnosti Bookassist a našem Hosting partnerům.
Firewalls monitorují a kontrolují přístup do sítě Bookassist na základě definovaných bezpečnostních pravidel.
Systém IDS (Intrusion Detection System) monitoruje síť a zabraňuje jakémukoli podezřelému nebo neoprávněnému síťovému provozu.
4. Zabezpečení přenosu dat
Pro přenos Osobních údajů v rámci otevřených veřejných sítí využívá společnost Bookassist silné šifrovací protokoly jako TLS/HTTP, aby zachovala bezpečnost komunikace.
5. Vzdálený přístup a přístup k aplikacím
Vzdálený přístup k serverům a aplikacím Bookassist podléhá přísným opatřením pro kontrolu přístupu, která brání neoprávněnému přístupu k Osobním údajům.
6. Zabezpečení OS serveru
Společnost Bookassist zavedla přísné postupy pro monitorování, skenování a opravu serverů, aby byly servery aktualizované.
Také aktivně monitoruje metriky serverů a protokolů, aby zaručila zabezpečení a správný výkon serverů a aplikací.
7. Uchovávání a zálohování údajů
Osobní údaje se uchovávají na databázových serverech na samostatných sítích a přístup k nim podléhá přísným pravidlům.
Bookassist dodržuje zásady zálohování, takže v případě selhání nebo nehody je údaje možné obnovit. Kopie údajů uchovává na různých zabezpečených místech poskytovaných našimi Hosting partnery.
8. Informace o kreditní kartě
Společnost Bookassist dodržuje standard PCI DSS.
PŘÍLOHA č. 3
Schválené Třetí strany využívané Zpracovatelem
Název společnosti | Stát | Adresa | Účel |
Amazon Web Services AWS | Irsko a USA | Burlington Road, Dublin 4, Ireland; a 000 Xxxxx Xxx Xxxxx, Xxxxxxx, XX 00000-0000, XXX. | Server hosting |
Rackspace | Spojené království | Hyde Park Hayes, 0 Xxxxxxxxxx Xx, Xxxxx XX0 0XX, XX | Server hosting |
Google Analytics | Irsko | Google Ireland, Barrow Street, Dublin 4. | Vykazování návštěvnosti webových stránek a převodů |
Figaro | Itálie | Via del Santuario, 95028 Valverde (CT), Italy | Software pro správu kanálů |
Clickatell | Spojené království | Bank House, 00 Xx Xxxxx Xxxx Xxxxxxxxxx Xxxxx, Xxxxxx XX00 0XX, XX | Zasílání SMS zpráv |
Atlassian (Jira) | USA | San Francisco, California, USA | Ticketing a vědomostní základna |
Socketlabs | USA | 00 Xxxxx Xxx #0000, Xxxxx, XX 00000 XXX | E-mailová brána |
Realex Payments (Global Payments) | Irsko | Xxx Xxxx Xxxxxxxx'x Quay, Dublin 2, Ireland | Platební řešení |
Google G Suite | Irsko | Google Ireland, Barrow Street, Dublin 4. | E-mail, komunikace a správa dokumentů |
Solve | Kanada | Norada Corporation, Calgary, Alberta, Canada | Systém pro řízení vztahů s Klienty |
Mailchimp | USA | 000 Xxxxx xx Xxxx Xxx XX, Xxxxxxx, Xxxxxxx, XXX | E-mailový marketing |
Questback | Norsko | Xxxxxxxxxxxx 00, 0000 Xxxx, Xxxxxx | Software pro on-line průzkum a získávání zpětné vazby |
Dropbox | Irsko | Dropbox International Unlimited, Upper Hatch St., Dublin 2 | Uchovávání údajů |
Backupify (Datto) | USA | 000 Xxxxxxx 0, Xxxxxxx, XX 00000, Xxxxxx Xxxxxx | Zálohování dat |
Docsend | USA | 000 Xxxxxxxxxx Xx, Xxx Xxxxxxxxx, XX 00000, XXX | Platforma pro zveřejňování |