Zpracovatelská smlouva
Tyto podmínky upravují vzájemná práva a povinnosti při zpracování osobních údajů evidovaných osob Nabyvatele (dále jen osobní údaje), ke kterým Poskytovatel získal přístup v rámci plnění smlouvy.
Poskytovatel je ve vztahu k osobním údajům evidovaných osob Nabyvatele zpracovatelem dle čl. 28 GDPR. Nabyvatel je správcem těchto údajů.
Poskytovatel se zavazuje pro Nabyvatele zpracovávat osobní údaje v rozsahu a za účelem stanovenými níže. Prostředky zpracování budou automatizované. Poskytovatel bude v rámci zpracování osobní údaje shromažďovat, ukládat na nosiče informací, uchovávat, blokovat a likvidovat. Poskytovatel není oprávněn osobní údaje zpracovávat v rozporu nebo nad rámec stanovený těmito podmínkami.
Poskytovatel se zavazuje pro Nabyvatele zpracovávat osobní údaje v tomto rozsahu - běžné osobní údaje, zvláštní kategorie údajů podle čl. 9 GDPR, které Nabyvatel získal v souvislosti s vlastní obchodní činností.
Poskytovatel se zavazuje pro Nabyvatele zpracovávat osobní údaje za účelem poskytování Služby formou smluvních podmínek.
Osobní údaje je možné zpracovávat pouze na pracovištích Poskytovatele nebo jeho subdodavatelů, a to na území Evropské unie.
Poskytovatel se zavazuje pro Nabyvatele zpracovávat osobní údaje evidovaných Nabyvatele, to vše po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi Poskytovatelem a Nabyvatele a z uplatňování nároků z těchto smluvních vztahů (po dobu 15 let od ukončení smluvního vztahu).
Nabyvatel uděluje povolení se zapojením subdodavatelů jakožto dalších zpracovatelů podle čl. 28 odst. 2 GDPR. Nabyvatel dále uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů, Poskytovatel však musí Nabyvatele písemně (vč. elektronické zprávy) informovat o všech zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení. Poskytovatel musí uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v těchto podmínkách.
Poskytovatel se zavazuje, že zpracovávání osobních údajů bude zabezpečeno zejména následujícím způsobem:
- Osobní údaje jsou zpracovávány v souladu s právními předpisy a na základě pokynů Nabyvatele, tj. pro výkon veškerých činností potřebných pro poskytování služeb Poskytovatele.
- Poskytovatel se zavazuje, že technicky a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti zpracovatele osobních údajů, vyplývající z právních předpisů.
- Přijatá technická a organizační opatření odpovídají míře rizika. Poskytovatel pomocí nich zajišťuje neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, a včas obnovuje dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů.
- Poskytovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Poskytovatele.
- K osobním údajům budou mít přístup pouze oprávněné osoby Poskytovatele a subdodavatelů dle těchto podmínek, které budou mít Poskytovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem.
- Oprávněné osoby Poskytovatele, které zpracovávají osobní údaje podle těchto podmínek, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Poskytovatel zajistí jejich prokazatelné zavázání k této povinnosti. Poskytovatel zajistí, že tato povinnost pro Poskytovatele i oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Poskytovateli.
- Poskytovatel bude Nabyvateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Nabyvateli povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v GDPR; stejně tak při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici.
- Po ukončení poskytování plnění, které je spojeno se zpracováním, dle těchto podmínek, je Poskytovatel povinen všechny osobní údaje vymazat, nebo je vrátit Nabyvateli, pokud nemá povinnost uložit osobní údaje na základě zvláštního zákona.
Nabyvatel se zavazuje neprodleně ohlašovat všechny jemu známé skutečnosti, které by mohly nepříznivě ovlivnit řádné a včasné plnění závazků vyplývajících z těchto podmínek na a poskytnout Poskytovateli součinnost nezbytnou pro plnění těchto podmínek.