Pravidla zpracování osobních údajů

v souladu s čl. 28 odst. 3 GDPR (dále jako „Pravidla”)

Zveřejněno dne: 14.února 2024
Účinné od: 14.února 2024

Tato Pravidla upravují práva a povinnosti Stran při zpracování Osobních údajů, které zpracovává Poskytovatel v souvislosti s poskytováním Služby Zákazníkovi na základě Smlouvy.

1. Výklad pojmů

1.1. Není-li v těchto Pravidlech výslovně ujednáno jinak, pojmy uvedené s velkými počátečními písmeny jsou v těchto Pravidlech použity stejně jako pojmy v Podmínkách.

1.2. Termíny subjekt údajů, porušení zabezpečení Osobních údajů, zpracování a dozorový úřad mají stejný význam jako v GDPR.

2. Postavení a pokyny při zpracování Osobních údajů

2.1. Poskytovatel se zavazuje zpracovávat Osobní údaje pro Zákazníka výlučně na základě doložených pokynů Zákazníka, pokud mu toto zpracování již neukládá právo Evropské unie nebo právo členského státu, které se na Poskytovatele vztahuje.

2.2. Za doložené pokyny Zákazníka se považuje zejména Smlouva, a dále konfigurace a používání Služby ze strany Uživatelů.

2.3. Pokud je Zákazník ve skutečnosti zpracovatelem všech nebo některých Osobních údajů ve smyslu GDPR, zaručuje v takovém případě Poskytovateli, že jeho pokyny a jednání ve vztahu k Osobním údajům, včetně pověření Poskytovatele jako dalšího zpracovatele těchto Osobních údajů, byly písemně odsouhlaseny příslušným správcem.

3. Doba zpracování Osobních údajů

3.1. Zpracování Osobních údajů podle těchto Pravidel bude prováděno do doby výmazu všech Osobních údajů podle tohoto článku.

3.2. Po skončení Smlouvy nebo ve lhůtě určené Smlouvou, bez ohledu na způsob nebo důvod jejího skončení, Poskytovatel provede výmaz Osobních údajů, s výjimkou těch Osobních údajů nebo jejich kopií, jejichž uložení u Poskytovatele jako zpracovatele požaduje právo Evropské unie nebo členského státu, které se vztahuje na Poskytovatele.

4. Povaha a účel zpracování Osobních údajů

4.1. Poskytovatel bude Osobní údaje zpracovávat způsoby v souladu se Smlouvou a Pravidly, a to výlučně za účelem zpřístupnění Služby, zajištění hladkého provozu Služby a ověřování dodržování Smlouvy, v rozsahu sjednaném ve Smlouvě, nedohodnou-li se Strany jinak. Předmětem zpracování mohou být následující činnosti:

a) Zpřístupnění a technická podpora Služby

Obsahem činnosti je zaznamenání, uspořádání, strukturování, uložení, vyhledání, použití, zpřístupnění přenosem, výmaz a zničení (a) údajů, které Zákazník nebo Uživatelé Služby sami poskytnou Poskytovateli při založení Zákaznického nebo Uživatelského účtu a k řešení problémů a (b) údajů, které Zákazník zpracovává v rámci Služby.

Účelem zpracování je, zpřístupnění Služby a zajištění odstranění všech problémů a hladkého chodu Služby.

b) Zálohování Služby

Obsahem činnosti je vytvoření, uložení, výmaz a zničení aplikačních a databázových záloh Služby.

Účelem zpracování je, zajištění záloh Služby, včetně Uživatelských dat, pro pravidelné zálohování Služby nebo případ katastrofy nebo rozsáhlého kybernetického incidentu postihujících Službu.

c) Ověřování zneužití přihlašovacích údajů a porušení Podmínek Služby

Obsahem činnosti je Zaznamenání, uspořádání, strukturování, uložení, vyhledání a použití přihlašovacích údajů Zákazníka či Uživatele a jeho identifikačních a kontaktních údajů (včetně údajích o zařízení, ze kterého je Služba užívána).

Účelem zpracování je ověřování, zda nedochází ke zneužití přihlašovacích údajů nebo obcházení omezení Služby dle Smlouvy.

5. Typy Osobních údajů a kategorie subjektů údajů

5.1. Poskytovatel bude zpracovávat Osobní údaje, které shromažďuje Zákazník či Uživatel Služby v rámci své činnosti (včetně údajů o dodavatelích či zaměstnancích Zákazníka), a které Zákazník či Uživatel Služby zpřístupní Poskytovateli v rámci používání Služby. Takovými Osobními údaji mohou být zejména identifikační a kontaktní údaje subjektů údajů (například jméno, příjmení, bydliště, datum narození, e mailová adresa, telefonní číslo), přihlašovací údaje, pracovní pozice, fakturační údaje, údaje o mzdách a odměnách, údaje o zdravotním a rodinném stavu, údaje z výpisu z trestního rejstříku, údaje z evidence exekucí či insolvencí a jiné Osobní údaje zejména spojené s účetními podklady, které Zákazník či Uživatel při používání Služby zpřístupní Poskytovateli ve Službě.

5.2. Osobními údaji, které bude Poskytovatel zpracovávat dle předchozího odstavce, mohou být zejména Osobní údaje:

1. Zákazníka a Uživatelů Služby,
2. subjektů, jejichž Osobní údaje Zákazník zpřístupnil ve Službě (např. Osobní údaje zaměstnanců Zákazníka, jeho klientů nebo obchodních partnerů apod.).

5.3. Poskytovatel pro Zákazníka může zpracovávat také zvláštní kategorie Osobních údajů ve smyslu čl. 9 GDPR nebo Osobní údaje týkajících se trestných činů ve smyslu čl. 10 GDPR.

5.4. Zákazník tímto výslovně prohlašuje a vůči Poskytovateli se zavazuje, že v souvislosti se zpracováním zvláštních osobních údajů podle čl. 9 GDPR disponuje souhlasem subjektu údajů, nebo je zpracování takových údajů s ohledem na zaměření Služby nezbytné pro účely plnění povinností a výkon zvláštních práv Zákazníka v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany ve smyslu čl. 9 odst. 2 písm. b) GDPR a v souladu s obecně závaznými právními předpisy. Zákazník nebude do Služby nahrávat ani v rámci Služby užívat jakékoli zvláštní osobní údaje podle čl. 9 GDPR, k jejichž zpracování neudělil subjekt údajů souhlas nebo není jejich užití nezbytné pro účely podle tohoto odstavce.

5.5. Zákazník tímto výslovně prohlašuje a vůči Poskytovateli se zavazuje že v souvislosti se zpracováním zvláštních osobních údajů podle čl. 10 GDPR je zpracování takových údajů s ohledem na zaměření Služby nezbytné pro účely plnění povinností a výkon zvláštních práv Zákazníka v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany a v souladu s obecně závaznými právními předpisy. Zákazník nebude do Služby nahrávat ani v rámci Služby užívat jakékoli zvláštní osobní údaje podle čl. 10 GDPR, jejichž zpracování není nezbytné pro účely podle tohoto odstavce.

6. Práva a povinnosti Stran

6.1. Zákazník je výlučně odpovědný za:

1. informování subjektů údajů o zpracování Osobních údajů, získání souhlasu subjektu údajů se zpracováním Osobních údajů, pokud je zapotřebí, a za vyřizování žádostí subjektů údajů týkajících se výkonu jejich práv podle čl. 15–21 GDPR,
2. plnění všech oznamovacích povinností vůči dozorovému úřadu v souvislosti se zpracováním Osobních údajů, zejména za ohlašování případů porušení zabezpečení Osobních údajů a oznamování případů porušení zabezpečení Osobních údajů subjektu údajů.

6.2. Zákazník je výlučně odpovědný za seznámení se s těmito Pravidly a vyhodnocení přijatých bezpečnostních opatření a závazků Poskytovatele s ohledem na potřeby Zákazníka, zejména ve vztahu k bezpečnostním povinnostem Zákazníka podle obecně závazných právních předpisů.

6.3. Zákazník před uzavřením Smlouvy a přijetím těchto Pravidel důkladně prověřil a vyhodnotil bezpečností opatření zavedená a udržovaná Poskytovatelem s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Uzavřením Smlouvy Zákazník potvrzuje Poskytovateli, že bezpečnostní opatření zavedená a udržovaná Poskytovatelem zajišťují dostatečnou úroveň ochrany Osobních údajů s ohledem na hrozící rizika.

6.4. Pokud Poskytovatel při zpracovávání Osobních údajů obdrží od subjektu údajů jakoukoliv žádost, sdělí Poskytovatel subjektu údajů, aby se s žádostí obrátil přímo na Zákazníka. Zákazník je odpovědný za vyřízení takové žádosti.

6.5. Za účelem ochrany Osobních údajů se Poskytovatel zavazuje, že po dobu zpracování Osobních údajů podle těchto Pravidel:

1. přijme a bude udržovat sjednaná technická a organizační opatření v čl. 7,
2. podnikne odpovídající kroky k zajištění dodržování bezpečnostních opatření svými zaměstnanci, jinými spolupracovníky nebo dodavateli v rozsahu odpovídajícím jejich činnostem, včetně zajištění, že se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahuje zákonná povinnost mlčenlivosti,
3. v rozsahu přiměřeném povaze zpracování a informacím, které bude mít k dispozici, bude Poskytovatel nápomocný Zákazníkovi při zajišťování vhodných technických a organizačních opatření k zabezpečení Osobních údajů, při ohlašování porušení zabezpečení Osobních údajů dozorovému úřadu, při oznamování případů porušení zabezpečení Osobních údajů subjektu údajů, při posouzení vlivu na ochranu Osobních údajů a při předchozích konzultacích s dozorovým úřadem,
4. poskytne Zákazníkovi nezbytné informace, které lze po Poskytovateli spravedlivě požadovat pro splnění povinnosti Zákazníka reagovat na žádosti o výkon práv subjektů údajů podle obecně závazných právních předpisů, vztahujících se k ochraně Osobních údajů,
5. poskytne Zákazníkovi veškeré informace potřebné k doložení toho, že byly splněny povinnosti Poskytovatele stanovené v čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Zákazníkem nebo jiným auditorem, kterého Zákazník pověřil, a k těmto auditům přispěje, a to za podmínek dle čl. 8.

6.6. Poskytovatel nese odpovědnost za porušení těchto Pravidel všemi osobami, které pověřil zpracováním Osobních údajů (například zaměstnanci, jinými osobami v obdobném postavení vůči Poskytovateli nebo dodavateli Poskytovatele), a všemi dalšími zpracovateli, které do zpracování Osobních údajů zapojil.

7. Bezpečnostní opatření

7.1. Poskytovatel bude implementovat a udržovat vhodná technická a organizační opatření pro ochranu Osobních údajů před náhodným nebo nezákonným zničením, ztrátou, změnou, neoprávněným zveřejněním nebo přístupem k Osobním údajům přenášeným, uloženým nebo jinak zpracovávaným. Tato opatření budou stanovena v rámci bezpečnostní politiky Poskytovatele.

7.2. Bezpečnostní opatření budou vždy reflektovat a budou v souladu s požadavky příslušných právních předpisů na Poskytovatele a Službu, zejména požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů.

7.3. S ohledem na změny právních předpisů, vývoj stavu techniky a pokyny Národního úřadu pro kybernetickou a informační bezpečnost, vládního a národního CERT může Poskytovatel kdykoliv a bez upozornění aktualizovat své bezpečnostní politiky a přijatá bezpečnostní opatření tak, aby odpovídaly právním předpisům a dobré praxi. Nikdy však nedojde ke snížení úrovně bezpečnosti, aniž by Poskytovatel Zákazníka včas dopředu upozornil.

7.4. Konkrétní seznam a popis bezpečnostních opatření je Zákazníkovi kdykoliv k dispozici u Poskytovatele. Zákazník si tyto informace může kdykoliv vyžádat prostřednictvím písemné žádosti. Poskytovatel bude informace poskytovat pouze v elektronické podobě. Poskytovatel žádosti vyhoví a informace Zákazníkovi poskytne do 2 měsíců poté, co se Strany dohodnou na úhradě nutných a účelných nákladů Poskytovatele, spojených s vyřízením žádosti.

7.5. Jakékoliv informace o bezpečnostních opatřeních Poskytovatele a Služby jsou důvěrnými informacemi Poskytovatele. Zákazník na sebe přebírá odpovědnost za škodu způsobenou Poskytovateli nebo třetím stranám v důsledku jejich neoprávněného zveřejnění nebo zpřístupnění třetím osobám.

8. Pravidla provádění auditů a inspekcí

8.1. Pokud požadavky Zákazníka na audit nebo inspekci (dále společně jako „audit“) v souladu s právními předpisy na poli ochrany osobních údajů nelze přiměřeně splnit prostřednictvím auditních zpráv, dokumentace nebo informací o dodržování předpisů, které Poskytovatel obecně zpřístupňuje svým zákazníkům, bude Poskytovatel neprodleně reagovat na dodatečné pokyny Zákazníka k provedení auditu a umožní mu provedení auditu v souladu s pravidly tohoto článku.

8.2. Před zahájením auditu se Strany vzájemně dohodnou na rozsahu, termínu, délce trvání, požadavcích na kontrolu a důkazy a poplatcích za audit. Nutnost dohody podle první věty tohoto odstavce neopravňuje Poskytovatele nepřiměřeně zdržovat provedení auditu.

8.3. Poskytovatel v rozsahu potřebném pro provedení auditu zpřístupní vlastní systémy, zařízení a podpůrnou dokumentaci relevantní pro zpracování Osobních údajů (to se týká také prostředků jeho přidružených společností a jím zapojených dalších zpracovatelů). Audit provede nezávislá akreditovaná auditorská společnost třetí strany v běžné pracovní době, po písemném oznámení Poskytovateli učiněném s dostatečným časovým předstihem a při dodržení přiměřených postupů pro zachování důvěrnosti a bezpečnosti informací. Zákazník ani auditor nebudou mít přístup k žádným údajům od jiných zákazníků Poskytovatele ani k systémům nebo zařízením Poskytovatele, které se nepodílejí na zpracování Osobních údajů.

8.4. Zákazník bude nést veškeré náklady a poplatky spojené s auditem, včetně veškerých přiměřených nákladů a poplatků za čas, který na audit vynaloží Poskytovatel, a to nad rámec sazeb za služby Poskytovatele. Pokud zpráva o auditu vytvořená jako výsledek zákaznického auditu obsahuje jakékoli zjištění podstatného nesouladu, Zákazník poskytne takovou zprávu o auditu Poskytovateli a Poskytovatel neprodleně odstraní jakýkoli podstatný nesoulad.

8.5. Žádné ujednání tohoto článku Pravidel nemění ani neupravuje podmínky GDPR a nemá vliv na práva dozorového úřadu ani subjektu údajů podle předpisů o ochraně osobních údajů.

9. Další zpracovatelé

9.1. Poskytovatel je oprávněn zapojit do zpracování Osobních údajů další zpracovatele, nevysloví-li proti jejich zapojení Zákazník písemně odůvodněné námitky.

9.2. Poskytovatel informuje Zákazníka o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení nejméně 1 měsíc před plánovanou změnou. Po tuto dobu má Zákazník právo vyslovit vůči změně námitky. Nevysloví-li Zákazník námitky, má se za to, že se změnou souhlasí.

9.3. Pokud Zákazník vznese námitky proti zapojení nového dalšího zpracovatele, je oprávněn ukončit Smlouvu bez sankcí a poplatků, a to zrušením svého Zákaznického účtu před uplynutím doby pro podání námitek (postup podle čl. 20 Podmínek). Zákazník může současně Poskytovateli předložit důvody námitek, aby Poskytovatel mohl takového nového dalšího zpracovatele posoudit.

9.4. Poskytovatel se zavazuje vést vždy aktuální seznam dalších zpracovatelů v elektronické podobě a na žádost Zákazníka jej Zákazníkovi elektronickou formou poskytnout.

9.5. V případě zapojení dalšího zpracovatele do zpracování Osobních údajů v souladu s těmito Pravidly Poskytovatel zajistí, aby další zpracovatel dodržoval při zpracování Osobních údajů tyto Pravidla.

10. Zachování důvěrnosti informací

10.1. Poskytovatel má povinnost zachovávat mlčenlivost o Osobních údajích, které zpracovává pro Zákazníka. Dodržení povinnosti mlčenlivosti znamená nesdělit ani nezpřístupnit Osobní údaje třetí osobě, s výjimkou dalšího zpracovatele, proti jehož zapojení nevyjádřil Zákazník námitky, a nepoužít Osobní údaje k jinému než sjednanému účelu.

11. Závazek odškodnění

11.1. Vznese-li třetí osoba, včetně orgánu veřejné moci, vůči Poskytovateli jakýkoli nárok v souvislosti s porušením těchto Pravidel Zákazníkem, zavazuje se Zákazník vést mimosoudní jednání s třetí osobou a bránit Poskytovatele v případných soudních, rozhodčích či jiných řízeních, to vše na své náklady; to neplatí, pokud je nárok vznesený třetí osobou zjevně neopodstatněný. Bude-li Poskytovatel povinen v důsledku Zákazníkem schváleného smíru nebo pravomocného rozhodnutí soudu či jiného orgánu zaplatit komukoliv jakoukoliv náhradu nebo sankci v důsledku porušení Pravidel Zákazníkem, zavazuje se Zákazník Poskytovateli tuto náhradu a sankci zaplatit. Za náhradu nebo sankci se v tomto případě považují mimo jiné náhrada škody, ušlého zisku, vydání bezdůvodného obohacení, peněžité přiměřené zadostiučinění, peněžitý trest, pokuta či penále.

12. Závěrečná ujednání

12.1. Pravidla byla sepsána v českém jazyce. Veškeré povinnosti Stran, vyplývající z těchto Pravidel, budou plněny v českém jazyce.