Smlouva o zpracování osobních údajů

Níže naleznete smlouvu DPA mezi vámi a společností SuperSaaS, kterou mohou kvůli nadcházejícímu GDPR potřebovat zákazníci se sídlem v EU. Pokud jste přihlášeni jako administrátor, budou v níže uvedených polích předvyplněny údaje z vašeho účtu. Upozorňujeme, že tento dokument je ve fázi konceptu a do doby, kdy nařízení GDPR vstoupí v účinnost, se může jeho obsah změnit.


Smlouva o zprostředkovaném zpracování osobních údajů: smlouva mezi Správcem a Zpracovatelem

Verze: 1.0


mezi

a

[Jméno]
[Adresa]

SuperSaaS B.V.
Keizersgracht 639
1077 KR Amsterdam
Nizozemsko

Dále jen jako Správce

Dále jen jako Zpracovatel


1 Úvod, rozsah plnění, definice

  1. Tato smlouva stanovuje práva a povinnosti Správce a Zpracovatele (dále jen Strany) v souvislosti se zpracováním osobních údajů jménem Správce.
  2. Tato smlouva se vztahuje na veškeré činnosti zaměstnanců nebo subdodavatelů Zpracovatele, které pověřil zpracováním osobních údajů Správce.
  3. Pojmy použité v této smlouvě se chápou v souladu s jejich příslušnými definicemi v obecném nařízení o ochraně údajů EU (GDPR). Mimoto mohou být prohlášení učiněna jinou formou za předpokladu, že je zaručeno vhodné ověření.

2 Rozsah a trvání zpracování údajů

2.1 Rozsah

Zpracovatel provede následující procesy:

Poskytne webovou službu, která koncovým uživatelům Správce umožní on-line vytváření rezervací. Poskytne webovou službu, která Správci umožní spravovat tyto rezervace a nashromážděná data koncových uživatelů.

2.2 Trvání

Zpracovávání začíná dne [Datum vytvoření účtu] a bude prováděno po dobu neurčitou, dokud Správce neodstraní svůj účet SuperSaaS.

3 Povaha a účel shromažďování, zpracování a využívání údajů

3.1 Povaha a účel zpracování údajů

Zpracování dat se skládá z následujících činností: shromažďování, třídění, ukládání, přenos, omezení a mazání údajů

Údaje jsou zpracovávány pro následující účel: Umožnění koncovým uživatelům Správce on-line vytváření rezervací.

3.2 Druh údajů

Zpracovávány jsou následující údaje:

3.3 Kategorie dotčených osob

Zpracováním údajů jsou dotčeny následující subjekty údajů:

4 Povinnosti Zpracovatele

  1. Zpracovatel osobní údaje zpracovává pouze smluvně dohodnutým způsobem nebo podle pokynů Správce, s výjimkou případů, kdy je Zpracovatel ze zákona povinen provádět konkrétní zpracování údajů. Pokud je Zpracovatel takovými povinnostmi vázán, je Zpracovatel povinen před zpracováním údajů informovat Správce, s výjimkou případů, kdy by takové oznámení bylo nezákonné. Zpracovatel také údaje poskytnuté pro zpracování nepoužije pro jakýkoliv jiný účel, obzvláště svůj vlastní.
  2. Zpracovatel potvrzuje, že si je vědom příslušných právních předpisů o ochraně údajů. Musí dodržovat zásady správného zpracování údajů.
  3. Zpracovatel je při zpracovávání údajů povinen zachovávat přísnou důvěrnost.
  4. Osoby, které by mohly mít jménem Správce ke zpracovávaným údajům přístup, musí být písemně vázány k zachování důvěrnosti, pokud je k tomu již nezavazuje jiná písemná dohoda.
  5. Zpracovatel zajistí, aby osoby, které zaměstnává a které zpracovávají údaje, byly informovány o příslušných předpisech týkajících se ochrany údajů, jakož i o této smlouvě ještě předtím, než začnou údaje zpracovávat. Je třeba pravidelně provádět odpovídající školení a senzitizační opatření. Zpracovatel zajistí, aby osoby pověřené zpracováváním údajů byly náležitě poučeny a průběžně kontrolovány na dodržování požadavků na ochranu údajů.
  6. V souvislosti se zprostředkovaným zpracováním dat musí Zpracovatel být Správci nápomocen při návrhu a aktualizaci seznamu operací zpracování a při vytváření posouzení ochrany údajů. Správci musí být na vyžádání poskytnuty a okamžitě zpřístupněny veškeré požadované údaje a dokumentace.
  7. Pokud by Správce podléhal kontrole dozorových úřadů či jiných subjektů nebo pokud by dotčené osoby vůči Správci uplatňovaly jakákoli práva, je Zpracovatel povinen v požadovaném rozsahu být Správci nápomocen, pokud jsou dotčeny údaje zpracovávané jménem Správce.
  8. Informace může Zpracovatel poskytovat třetím stranám pouze s předchozím souhlasem Správce. Dotazy zaslané přímo Zpracovateli budou okamžitě předány Správci.
  9. Je-li Zpracovatel ze zákona povinen tak učinit, jmenuje profesionální a spolehlivou osobu jako autorizovaného pověřence pro ochranu osobních údajů. Musí být zajištěno, že tento pověřenec nemá žádné střety zájmů. V případě jakýchkoliv pochybností může Správce kontaktovat pověřence pro ochranu osobních údajů přímo. Zpracovatel poté Správci neprodleně předá kontaktní údaje pověřence pro ochranu osobních údajů, nebo sdělí důvod, proč není pověřenec pro ochranu osobních údajů jmenován. Zpracovatel bude neprodleně informovat Správce o jakýchkoliv změnách stavu pověřence pro ochranu osobních údajů a o jakýchkoliv změnách v jeho úkolech v rámci společnosti.
  10. Jakékoliv zpracování údajů může být prováděno pouze v EU nebo EHS. Jakákoliv změna týkající se třetí země se může uskutečnit se souhlasem Správce a za podmínek stanovených v kapitole V nařízení GDPR a této smlouvy.

5 Technická a organizační opatření

  1. Opatření na ochranu údajů mohou být upravena v souladu s neustálým technickým a organizačním vývojem, a to pokud bylo v dostatečné míře splněno sjednané minimum. Zpracovatel neprodleně provede změny potřebné pro účely zajištění zabezpečení údajů. Správce musí být o všech změnách okamžitě informován. Jakékoliv významné změny musí být Stranami sjednány.
  2. Pokud by bezpečnostní opatření přijatá Zpracovatelem nebyla dostatečná nebo by přestala být dostatečná, musí Zpracovatel neprodleně informovat Správce.
  3. Bez vědomí Správce nebudou vytvářeny kopie nebo duplikáty. Výjimkou jsou jakékoliv technicky nezbytné dočasné duplikáty, za předpokladu, že je vyloučen jakýkoliv nepříznivý dopad na sjednanou úroveň ochrany údajů.
  4. Pokud jsou údaje zpracovávány v soukromém objektu, Zpracovatel zajistí zachování dostatečné úrovně ochrany údajů a zabezpečení údajů a dále zajistí, aby bylo v soukromém objektu bez omezení možné uplatnit práva Správce na dozor tak, jak jsou sjednána v této smlouvě.
  5. Vyhrazená datová média, která pocházejí od Správce nebo která jsou použita pro Zpracovatele, musí být speciálně označena a jsou předmětem průběžné správy. Musí být po celou dobu správně uchovávána a nesmí být přístupná neoprávněným osobám. Jakákoliv odstranění a vrácení musí být zdokumentována.

6 Ustanovení o opravách, mazání a blokování údajů

  1. V rozsahu údajů zpracovávaných jménem Správce může Zpracovatel opravit, vymazat nebo zablokovat údaje pouze v souladu se smluvním ujednáním nebo na základě instrukcí Správce.
  2. Zpracovatel vyhoví příslušným pokynům obdrženým od Správce vždy, a to i po ukončení této smlouvy.

7 Subdodávky

  1. Subdodavatelé mohou být jmenováni pouze v jednotlivých případech a s písemným souhlasem Správce.
  2. Souhlas je možný, pouze pokud subdodavatel podléhá smluvnímu minimu povinností týkajících se ochrany údajů, které jsou srovnatelné s povinnostmi stanovenými v této smlouvě. Správce na požádání zkontroluje příslušné smlouvy mezi Zpracovatelem a subdodavatelem.
  3. Práva Správce musí být rovněž účinně uplatnitelná vůči subdodavateli. Správce musí mít zejména právo provádět kontroly nebo nechat provádět kontroly třetími stranami v rozsahu uvedeném zde.
  4. Odpovědnosti Správce a subdodavatele musí být jednoznačně rozlišeny.
  5. Jakékoliv další subdodávky prováděné subdodavatelem nejsou povoleny.
  6. Zpracovatel zvolí subdodavatele zejména na základě zvážení vhodnosti technických a organizačních opatření přijatých subdodavatelem.
  7. Jakýkoli přenos dat zpracovávaných jménem Správce subdodavateli je povolen pouze poté, co Zpracovatel předloží přesvědčivou dokumentaci toho, že subdodavatel v plném rozsahu plní své povinnosti.
  8. Určení subdodavatelů, kteří zpracovávají údaje jménem Správce a kteří nesídlí a nepůsobí výhradně v rámci EU nebo EHS, je možné pouze v souladu s podmínkami uvedenými v kapitole 4 (10) této smlouvy. Toto je zejména přípustné pouze tehdy, pokud subdodavatel přijme vhodná opatření na ochranu údajů. Zpracovatel informuje Správce o konkrétních zárukách ochrany dat poskytnutých subdodavatelem a o tom, jak je lze prokázat.
  9. Zpracovatel musí pravidelně kontrolovat, zda subdodavatel plní své povinnosti, nejméně však každých 12 měsíců. Kontrola a její výsledky musí být zdokumentovány tak, aby byly srozumitelné kvalifikované třetí straně. Dokumentace musí být Správci předána bez vyžádání.
  10. Pokud subdodavatel nesplní své povinnosti týkající se ochrany údajů, Zpracovatel za to bude Správci odpovědný.
  11. Subdodavatelstvím se pro účely této smlouvy chápou pouze ty služby, které se přímo týkají poskytování primární služby. Nejsou jím doplňkové služby, jako je doprava, údržba a čištění, ani používání telekomunikačních nebo uživatelských služeb. Povinnost Zpracovatele zajistit, aby v těchto případech byla zajištěna řádná ochrana údajů a zabezpečení údajů, zůstává nedotčena.

8 Práva a povinnosti Správce

  1. Za posouzení přípustnosti požadovaného zpracování a práv dotčených stran odpovídá výhradně Správce.
  2. Správce zdokumentuje všechny objednávky, dílčí objednávky nebo pokyny. V naléhavých případech lze pokyny vydat verbálně. Tyto pokyny Správce okamžitě potvrdí a zdokumentuje.
  3. Správce neprodleně Zpracovatele upozorní, pokud nalezne chyby nebo nesrovnalosti při kontrole výsledků zpracování.
  4. Správce je oprávněn jmenovat nezávislého auditora třetí strany, který má požadovanou odbornou kvalifikaci, je vázán povinností zachovat důvěrnost a je pro Zpracovatele přiměřeně přijatelný, a to za účelem kontroly, zda Zpracovatel dodržuje tuto Smlouvu o zpracování osobních údajů a platnou vyžadovanou legislativu týkající se ochrany údajů. Tímto se ověří pravdivost a úplnost prohlášení, která Zpracovatel předkládá v rámci této Smlouvy o zpracování osobních údajů. Právo Správce na audit musí podléhat předchozímu písemnému oznámení Zpracovateli nejméně 4 týdny před takovým auditem. Správce nese veškeré náklady spojené s auditem.
  5. Kontroly v prostorách Zpracovatele musí být prováděny bez jakýchkoli zbytečných narušení chodu jeho podnikání. Není-li uvedeno jinak z naléhavých důvodů, které musí Správce zdokumentovat, jsou kontroly prováděny po přiměřeném předchozím oznámení a během pracovní doby Zpracovatele, a ne častěji než jednou za 12 měsíců. Pokud Zpracovatel předloží důkazy o správné implementaci sjednaných povinností týkajících se ochrany údajů, omezí se jakékoliv kontroly pouze na vzorky.

9 Oznamovací povinnosti

  1. Zpracovatel neprodleně oznámí Správci jakékoliv porušení zabezpečení osobních údajů. Oznámen musí být i jakýkoli oprávněně podezřelý případ. Oznámení musí být doručeno na jednu ze známých adres Správce do 24 hodin od okamžiku, kdy Zpracovatel zjistí, že k příslušné události došlo. Toto oznámení musí obsahovat alespoň následující informace:
    1. Popis typu porušení ochrany osobních údajů a, pokud je to možné, pak i kategorie a přibližný počet dotčených osob, jakož i příslušné kategorie a přibližný počet souborů s osobními údaji;
    2. Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa pro získání dalších informací;
    3. Popis pravděpodobných důsledků porušení ochrany osobních údajů;
    4. Popis opatření přijatých nebo navržených Zpracovatelem za účelem nápravy porušení ochrany osobních údajů a, kde je to možné, také opatření ke zmírnění možných nepříznivých dopadů.
  2. Správce musí být rovněž neprodleně informován o jakýchkoli významných překážkách při plnění tohoto úkolu, jakož i o porušení právních ustanovení o ochraně údajů nebo ustanovení této smlouvy Zpracovatelem nebo osobou, kterou zaměstnává.
  3. Zpracovatel neprodleně informuje Správce o jakýchkoliv kontrolách nebo opatřeních prováděných orgány dohledu nebo dalšími třetími stranami, pokud se zprostředkovaného zpracování údajů týkají.
  4. Zpracovatel zajistí, aby byl Správce v těchto povinnostech v nezbytném rozsahu podporován v souladu s čl. 33 a čl. 34 nařízení GDPR.

10 Pokyny

  1. Správce si vyhrazuje plné právo vydávat pokyny týkající se zpracovávání dat jeho jménem.
  2. Zpracovatel neprodleně uvědomí Správce, pokud by dle jeho názoru pokyn vydaný Správcem porušil zákonné požadavky. Zpracovatel má právo zdržet se provedení příslušných pokynů, dokud nejsou potvrzeny nebo změněny odpovědnou stranou jménem Správce.
  3. Správce musí vydané pokyny i jejich implementaci dokumentovat.

11 Ukončení zprostředkovaného zpracovávání

  1. Při ukončení smluvního vztahu nebo kdykoli na žádost Správce musí Zpracovatel údaje zpracovávané jako součást zadání buď zničit, nebo je předat Správci, a to v závislosti na rozhodnutí Správce. Zničeny musí být i jakékoliv existující kopie údajů. Údaje musí být zničeny způsobem, který znemožňuje obnovení nebo znovuvytvoření zbývajících informací i při vyvinutí značného úsilí.
  2. Zpracovatel je povinen neprodleně zajistit navrácení údajů od subdodavatelů nebo vymazání údajů u subdodavatelů.
  3. Jakoukoliv dokumentaci, která slouží jako důkaz o řádném zpracování údajů, uchová Zpracovatel dle příslušných lhůt pro uchovávání, včetně zákonné lhůty po skončení platnosti smlouvy. Jakmile smluvní závazky Zpracovatele skončí, může příslušnou dokumentaci předložit Správci.

12 Odměna

Odměna pro Zpracovatele je jednoznačně stanovena v Podmínkách užití. V této smlouvě není stanovena samostatná odměna nebo náhrada.

13 Odpovědnost

  1. Správce odpovídá za náhradu škody komukoliv za škody způsobené jakoukoliv neoprávněnou stranou nebo za nesprávné zpracování údajů v rámci této smlouvy.
  2. Správce nese důkazní břemeno ohledně prokázání, že je škoda důsledkem okolností, za které odpovídá Zpracovatel, pokud byly příslušné údaje zpracovány podle této smlouvy. Pokud tento důkaz není předložen, pak Správce, pokud je k tomu vyzván, Zpracovatele zprostí veškerých nároků, které byly vůči němu uplatněny v souvislosti se zpracováním údajů.
  3. Zpracovatel je vůči Správci odpovědný za jakékoli škody zaviněné Zpracovatelem, jeho zaměstnanci, jeho subdodavateli nebo agenturou jednající na základě smlouvy v souvislosti s poskytnutím požadované smluvní služby.
  4. Odpovědnost Zpracovatele je omezena částkou, kterou Správce zaplatil Zpracovateli během dvou let předcházejících události, která odpovědnost způsobila.
  5. Ustanovení 13 (2) a 13 (3) nejsou uplatněna, pokud škoda vznikla v důsledku správné realizace požadované služby nebo pokynu poskytnutého Správcem.

14 Právo na mimořádné ukončení

  1. Správce může tuto smlouvu kdykoli bez předchozího upozornění ukončit („mimořádné ukončení“), pokud na straně Zpracovatele dojde k závažnému porušení předpisů pro ochranu osobních údajů nebo ustanovení této smlouvy, pokud Zpracovatel nemůže provést nebo neprovede zákonné pokyny klienta nebo pokud Zpracovatel v rozporu s touto smlouvou odmítne akceptovat práva na dohled Správce.
  2. Závažným porušením se myslí zejména, pokud Zpracovatel podstatnou měrou nesplnil nebo nedokázal splnit povinnosti stanovené v této smlouvě, zejména týkající se technických a organizačních opatření.
  3. Při nevýznamném porušení Správce poskytne Zpracovateli přiměřenou dobu k nápravě situace. Pokud nedojde k náležité nápravě situace, má Správce nárok na mimořádné ukončení dle zde uvedených podmínek.

15 Různé

  1. Obě strany jsou povinny zacházet důvěrně se všemi informacemi o obchodním tajemství a o opatřeních týkajících se zabezpečení údajů, které druhá strana získala v rámci smluvního vztahu, a to i po skončení smlouvy. Pokud existují pochybnosti o tom, zda informace podléhají důvěrnosti, musí s nimi být zacházeno důvěrně, dokud není obdržen písemný souhlas druhé strany.
  2. V případě, že je majetek Zpracovatele ohrožen opatřeními třetích stran (např. zabavením nebo konfiskací), insolvenčním nebo vyrovnávacím řízením nebo jinými událostmi, Zpracovatel na tyto skutečnosti neprodleně upozorní Správce.
  3. Pokud jsou některé části této smlouvy neplatné, nemá toto vliv na platnost zbývajících částí smlouvy.
  4. V případě rozdílu v překladu mezi českou a anglickou verzí platí anglická viz Data Processing Agreement