Dohoda o zpracování osobních údajů

uzavřená dle čl. 28 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“)

I. Předmět a účel

1. Uživatel a Provozovatel spolupracují na základě smluvního vztahu, jehož je tato smlouva přílohou, v oblasti poskytování softwarových služeb (dále jen „poskytování služeb“).
2. V rámci této spolupráce dochází či může docházet k předání a zpracování osobních údajů, kdy účel jejich zpracování a finanční prostředky na takové zpracování určuje a poskytuje Uživatel, jako správce osobních údajů, a Provozovatel, jako zpracovatel osobních údajů, osobní údaje pro Uživatele dále zpracovává v mezích této smlouvy.
3. Tato příloha vymezuje práva a povinnosti smluvních stran při takovém zpracování osobních údajů.

II. Zpracování osobních údajů

1. Provozovatel je pro Uživatele oprávněn zpracovávat následující osobní údaje, se kterými se setká v rámci poskytování služeb, a to konkrétně:
   • jména a příjmení zákazníků Uživatele
   • kontaktní údaje zákazníků Uživatele
   • informace o poskytnutých službách zákazníkům Uživatele
   • další osobní údaje vložené Uživatelem na Hosting
   (dále jen „osobní údaje“).
2. Provozovatel osobní údaje zpracuje pouze za účelem poskytnutí Služby a po dobu trvání poskytování Služby.

III. Práva a povinnosti smluvních stran

1. Provozovatel aplikuje za účelem zabezpečení dat přiměřená a vhodná technická a organizační opatření, která jsou průběžně aktualizována. Technická opatření spočívají v nasazení technologií bránících neoprávněnému přístupu třetích osob k datům Uživatele, resp. uživatelů Uživatele. Organizační opatření jsou sadou pravidel chování zaměstnanců a jsou součástí vnitřních předpisů Provozovatele, který je z bezpečnostních důvodů považuje za důvěrné. Jsou-li servery Provozovatele umístěny v datovém centru provozovaném třetí osobou, dbá Provozovatel na to, aby byla technická a organizační opatření zavedena i u tohoto poskytovatele.
2. Provozovatel se zavazuje:
   1. dodržovat mlčenlivost ohledně údajů,
   2. zpracovávat údaje pouze v takové podobě, v jaké mu byly předány;
   3. zpracovávat pouze údaje za účelem vymezeným touto smlouvou a pouze v rozsahu nutném pro naplnění tohoto účelu;
   4. bezodkladně informovat Uživatele o bezpečnostním incidentu s potenciálním rizikem pro práva soukromí subjektů osobních údajů zpracovávány Provozovatelem
3. Provozovatel je povinen zajistit, aby zaměstnanci a jiné osoby Provozovatelem pověřené ke zpracování osobních údajů tyto zpracovávaly jen v rozsahu a za účelem dle této smlouvy.
4. Provozovatel se zavazuje dodržovat při zpracovávání osobních údajů na základě této smlouvy povinnosti stanovené Nařízením a dalšími obecně závaznými právními předpisy k této činnosti se vztahujícími.
5. Provozovatel se zavazuje na výzvu Uživatele opravit, aktualizovat, smazat nebo přemístit osobní údaj dle pokynu Uživatele bez zbytečného odkladu od takové výzvy, pokud je to možné.
6. V případě, že uplatnění práv subjektů údajů bude shledáno Uživatelem jako oprávněné, zavazuje se Provozovatel odstranit neprodleně od písemné výzvy Uživatele závadný stav. Za písemnou se považuje rovněž e-mailová komunikace smluvních stran.
7. Uživatel souhlasí, že Provozovatel je oprávněn pověřit zpracováním osobních údajů dalšího zpracovatele bez dodatečného výslovného konkrétního povolení Uživatele (dále jen „podzpracovatel“). Provozovatel informuje Uživatele o veškerých podzpracovatelích, které zamýšlí pověřit zpracováním osobních údajů a poskytne tak Uživatelovi příležitost vyslovit vůči přijetí těchto podzpracovatelů námitky. Nevyjádří-li Uživatel své námitky vůči podzpracovatelům do tří pracovních dnů, je Provozovatel tohoto podzpracovatele oprávněn zpracováním osobních údajů pověřit.
8. Pokud Provozovatel zapojí podzpracovatele, musí mu být uloženy na základě smlouvy stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v této smlouvě a v Nařízení. Neplní-li uvedený podzpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Uživatelovi za plnění povinností dotčeného podzpracovatele Provozovatel. V případě vznesení námitky Uživatele jsou obě smluvní strany oprávněny odstoupit od této smlouvy a dalšího plnění.
9. Ke dni uzavření smlouvy má Provozovatel následující podzpracovatele:
   1) VSHosting s.r.o., Sodomkova 1579/5, 102 00 Praha 15 – poskytovatel serverhostingu
10. Provozovatel se zavazuje poskytnout Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené touto smlouvou nebo Nařízením týkající se osobních údajů a umožnit Uživateli nebo třetí straně, která bude vůči Provozovatel zavázána mlčenlivostí, audit v přiměřeném rozsahu.

IV. Ukončení smlouvy

1. V případě jakéhokoliv ukončení smlouvy či ukončení zpracování osobních údajů je Provozovatel povinen bezodkladně provést likvidaci osobních údajů, které mu byly poskytnuty na základě této smlouvy, nedohodne-li se s Uživatelem jinak.

V. Mlčenlivost

1. Provozovatel se zavazuje zachovávat mlčenlivost o bezpečnostních opatřeních přijatých k zabezpečení ochrany osobních údajů, o zpracovávaných osobních údajích, zejména je nesmí zveřejňovat, šířit, či předávat dalším osobám mimo osoby v zaměstnaneckém poměru s Provozovatelem nebo jiným oprávněným osobám, jež jsou zpracováním osobních údajů pověřeny. Provozovatel je povinen zajistit, aby také jeho zaměstnanci a jiné oprávněné osoby dodržovali tento závazek mlčenlivosti. Tato povinnost Provozovatele trvá i po skončení tohoto smluvního vztahu.

VI. Odpovědnost

1. Poruší-li Provozovatel jeho povinnosti založené touto smlouvou nebo Nařízením, odpovídá za škodu vzniklou v důsledku takového porušení.
2. Provozovatel odpovídá i za škodu způsobenou porušením této smlouvy zaměstnanci Provozovatele.
3. Provozovatel neodpovídá za to, že osobní údaje předané Uživatelem nejsou shromážděny na základě řádných právních titulů, pro řádně stanovené účely a po řádnou dobu zpracování v souladu s Nařízením.