v souladu s čl. 28 odst. 3 GDPR (dále jako „Pravidla”)
Zveřejněno dne: 14.února 2024
Účinné od: 14.února 2024
Tato Pravidla upravují práva a povinnosti Stran při zpracování Osobních údajů, které zpracovává Poskytovatel v souvislosti s poskytováním Služby Kanceláři na základě Smlouvy.
1.1. Není-li v těchto Pravidlech výslovně ujednáno jinak, pojmy uvedené s velkými počátečními písmeny jsou v těchto Pravidlech použity stejně jako pojmy v Podmínkách služby Evala.
1.2. Termíny subjekt údajů, porušení zabezpečení Osobních údajů, zpracování a dozorový úřad mají stejný význam jako v GDPR.
2.1. Poskytovatel se zavazuje zpracovávat Osobní údaje pro Kancelář výlučně na základě doložených pokynů Kanceláře, pokud mu toto zpracování již neukládá právo Evropské unie nebo právo členského státu, které se na Poskytovatele vztahuje.
2.2. Za doložené pokyny Kanceláře se považuje zejména Smlouva, a dále konfigurace a používání Služby ze strany Uživatelů Kanceláře.
2.3. Pokud je Kancelář ve skutečnosti zpracovatelem všech nebo některých Osobních údajů ve smyslu GDPR, zaručuje v takovém případě Poskytovateli, že jeho pokyny a jednání ve vztahu k Osobním údajům, včetně pověření Poskytovatele jako dalšího zpracovatele těchto Osobních údajů, byly písemně odsouhlaseny příslušným správcem.
3.1. Zpracování Osobních údajů podle těchto Pravidel bude prováděno do doby výmazu všech Osobních údajů podle tohoto článku.
3.2. Po skončení Smlouvy nebo ve lhůtě určené Smlouvou, bez ohledu na způsob nebo důvod jejího skončení, Poskytovatel provede výmaz Osobních údajů, s výjimkou těch Osobních údajů nebo jejich kopií, jejichž uložení u Poskytovatele jako zpracovatele požaduje právo Evropské unie nebo členského státu, které se vztahuje na Poskytovatele.
4.1. Poskytovatel bude Osobní údaje zpracovávat způsoby v souladu se Smlouvou a Pravidly, a to výlučně za účelem zpřístupnění Služby, zajištění hladkého provozu Služby a ověřování dodržování Smlouvy, v rozsahu sjednaném ve Smlouvě, nedohodnou-li se Strany jinak. Předmětem zpracování mohou být následující činnosti:
Obsahem činnosti je zaznamenání, uspořádání, strukturování, uložení, vyhledání, použití, zpřístupnění přenosem, výmaz a zničení (a) údajů, které Kancelář nebo Uživatelé Služby sami poskytnou Poskytovateli při založení Kancelářského nebo Uživatelského účtu a k řešení problémů a (b) údajů, které Kancelář zpracovává v rámci Služby.
Účelem zpracování je, zpřístupnění Služby a zajištění odstranění všech problémů a hladkého chodu Služby.
Obsahem činnosti je vytvoření, uložení, výmaz a zničení aplikačních a databázových záloh Služby.
Účelem zpracování je, zajištění záloh Služby, včetně dat Kanceláře, pro pravidelné zálohování Služby nebo případ katastrofy nebo rozsáhlého kybernetického incidentu postihujících Službu.
Obsahem činnosti je Zaznamenání, uspořádání, strukturování, uložení, vyhledání a použití přihlašovacích údajů Kanceláře či Uživatele a jeho identifikačních a kontaktních údajů (včetně údajích o zařízení, ze kterého je Služba užívána).
Účelem zpracování je ověřování, zda nedochází ke zneužití přihlašovacích údajů nebo obcházení omezení Služby dle Smlouvy.
5.1. Poskytovatel bude zpracovávat Osobní údaje, které shromažďuje Kancelář či Uživatel Služby v rámci své činnosti (včetně údajů o dodavatelích či zaměstnancích Kanceláře), a které Kancelář či Uživatel Služby zpřístupní Poskytovateli v rámci používání Služby. Takovými Osobními údaji mohou být zejména identifikační a kontaktní údaje subjektů údajů (například jméno, příjmení, bydliště, datum narození, e mailová adresa, telefonní číslo), přihlašovací údaje, pracovní pozice, fakturační údaje, údaje o mzdách a odměnách, údaje o zdravotním a rodinném stavu, údaje z výpisu z trestního rejstříku, údaje z evidence exekucí či insolvencí a jiné Osobní údaje zejména spojené s účetními podklady, které Kancelář či Uživatel při používání Služby zpřístupní Poskytovateli ve Službě.
5.2. Osobními údaji, které bude Poskytovatel zpracovávat dle předchozího odstavce, mohou být zejména Osobní údaje:
5.3. Poskytovatel pro Kancelář může zpracovávat také zvláštní kategorie Osobních údajů ve smyslu čl. 9 GDPR nebo Osobní údaje týkajících se trestných činů ve smyslu čl. 10 GDPR.
5.4. Kancelář tímto výslovně prohlašuje a vůči Poskytovateli se zavazuje, že v souvislosti se zpracováním zvláštních osobních údajů podle čl. 9 GDPR disponuje souhlasem subjektu údajů, nebo je zpracování takových údajů s ohledem na zaměření Služby nezbytné pro účely plnění povinností a výkon zvláštních práv Kanceláře v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany ve smyslu čl. 9 odst. 2 písm. b) GDPR a v souladu s obecně závaznými právními předpisy. Kancelář nebude do Služby nahrávat ani v rámci Služby užívat jakékoli zvláštní osobní údaje podle čl. 9 GDPR, k jejichž zpracování neudělil subjekt údajů souhlas nebo není jejich užití nezbytné pro účely podle tohoto odstavce.
5.5. Kancelář tímto výslovně prohlašuje a vůči Poskytovateli se zavazuje že v souvislosti se zpracováním zvláštních osobních údajů podle čl. 10 GDPR je zpracování takových údajů s ohledem na zaměření Služby nezbytné pro účely plnění povinností a výkon zvláštních práv Kanceláře v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany a v souladu s obecně závaznými právními předpisy. Kancelář nebude do Služby nahrávat ani v rámci Služby užívat jakékoli zvláštní osobní údaje podle čl. 10 GDPR, jejichž zpracování není nezbytné pro účely podle tohoto odstavce.
6.1. Kancelář je výlučně odpovědná za:
6.2. Kancelář je výlučně odpovědná za seznámení se s těmito Pravidly a vyhodnocení přijatých bezpečnostních opatření a závazků Poskytovatele s ohledem na potřeby Kanceláře, zejména ve vztahu k bezpečnostním povinnostem Kanceláře podle obecně závazných právních předpisů.
6.3. Kancelář před uzavřením Smlouvy a přijetím těchto Pravidel důkladně prověřila a vyhodnotila bezpečností opatření zavedená a udržovaná Poskytovatelem s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Uzavřením Smlouvy Kancelář potvrzuje Poskytovateli, že bezpečnostní opatření zavedená a udržovaná Poskytovatelem zajišťují dostatečnou úroveň ochrany Osobních údajů s ohledem na hrozící rizika.
6.4. Pokud Poskytovatel při zpracovávání Osobních údajů obdrží od subjektu údajů jakoukoliv žádost, sdělí Poskytovatel subjektu údajů, aby se s žádostí obrátil přímo na Kancelář. Kancelář je odpovědná za vyřízení takové žádosti.
6.5. Za účelem ochrany Osobních údajů se Poskytovatel zavazuje, že po dobu zpracování Osobních údajů podle těchto Pravidel:
6.6. Poskytovatel nese odpovědnost za porušení těchto Pravidel všemi osobami, které pověřil zpracováním Osobních údajů (například zaměstnanci, jinými osobami v obdobném postavení vůči Poskytovateli nebo dodavateli Poskytovatele), a všemi dalšími zpracovateli, které do zpracování Osobních údajů zapojil.
7.1. Poskytovatel bude implementovat a udržovat vhodná technická a organizační opatření pro ochranu Osobních údajů před náhodným nebo nezákonným zničením, ztrátou, změnou, neoprávněným zveřejněním nebo přístupem k Osobním údajům přenášeným, uloženým nebo jinak zpracovávaným. Tato opatření budou stanovena v rámci bezpečnostní politiky Poskytovatele.
7.2. Bezpečnostní opatření budou vždy reflektovat a budou v souladu s požadavky příslušných právních předpisů na Poskytovatele a Službu, zejména požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů.
7.3. S ohledem na změny právních předpisů, vývoj stavu techniky a pokyny Národního úřadu pro kybernetickou a informační bezpečnost, vládního a národního CERT může Poskytovatel kdykoliv a bez upozornění aktualizovat své bezpečnostní politiky a přijatá bezpečnostní opatření tak, aby odpovídaly právním předpisům a dobré praxi. Nikdy však nedojde ke snížení úrovně bezpečnosti, aniž by Poskytovatel Kancelář včas dopředu upozornil.
7.4. Konkrétní seznam a popis bezpečnostních opatření je Kanceláři kdykoliv k dispozici u Poskytovatele. Kancelář si tyto informace může kdykoliv vyžádat prostřednictvím písemné žádosti. Poskytovatel bude informace poskytovat pouze v elektronické podobě. Poskytovatel žádosti vyhoví a informace Kanceláři poskytne do 2 měsíců poté, co se Strany dohodnou na úhradě nutných a účelných nákladů Poskytovatele, spojených s vyřízením žádosti.
7.5. Jakékoliv informace o bezpečnostních opatřeních Poskytovatele a Služby jsou důvěrnými informacemi Poskytovatele. Kancelář na sebe přebírá odpovědnost za škodu způsobenou Poskytovateli nebo třetím stranám v důsledku jejich neoprávněného zveřejnění nebo zpřístupnění třetím osobám.
8.1. Pokud požadavky Kanceláře na audit nebo inspekci (dále společně jako „audit“) v souladu s právními předpisy na poli ochrany osobních údajů nelze přiměřeně splnit prostřednictvím auditních zpráv, dokumentace nebo informací o dodržování předpisů, které Poskytovatel obecně zpřístupňuje svým zákazníkům, bude Poskytovatel neprodleně reagovat na dodatečné pokyny Kanceláře k provedení auditu a umožní mu provedení auditu v souladu s pravidly tohoto článku.
8.2. Před zahájením auditu se Strany vzájemně dohodnou na rozsahu, termínu, délce trvání, požadavcích na kontrolu a důkazy a poplatcích za audit. Nutnost dohody podle první věty tohoto odstavce neopravňuje Poskytovatele nepřiměřeně zdržovat provedení auditu.
8.3. Poskytovatel v rozsahu potřebném pro provedení auditu zpřístupní vlastní systémy, zařízení a podpůrnou dokumentaci relevantní pro zpracování Osobních údajů (to se týká také prostředků jeho přidružených společností a jím zapojených dalších zpracovatelů). Audit provede nezávislá akreditovaná auditorská společnost třetí strany v běžné pracovní době, po písemném oznámení Poskytovateli učiněném s dostatečným časovým předstihem a při dodržení přiměřených postupů pro zachování důvěrnosti a bezpečnosti informací. Kancelář ani auditor nebudou mít přístup k žádným údajům od jiných zákazníků Poskytovatele ani k systémům nebo zařízením Poskytovatele, které se nepodílejí na zpracování Osobních údajů.
8.4. Kancelář bude nést veškeré náklady a poplatky spojené s auditem, včetně veškerých přiměřených nákladů a poplatků za čas, který na audit vynaloží Poskytovatel, a to nad rámec sazeb za služby Poskytovatele. Pokud zpráva o auditu vytvořená jako výsledek zákaznického auditu obsahuje jakékoli zjištění podstatného nesouladu, Kancelář poskytne takovou zprávu o auditu Poskytovateli a Poskytovatel neprodleně odstraní jakýkoli podstatný nesoulad.
8.5. Žádné ujednání tohoto článku Pravidel nemění ani neupravuje podmínky GDPR a nemá vliv na práva dozorového úřadu ani subjektu údajů podle předpisů o ochraně osobních údajů.
9.1. Poskytovatel je oprávněn zapojit do zpracování Osobních údajů další zpracovatele, nevysloví-li proti jejich zapojení Kancelář písemně odůvodněné námitky.
9.2. Poskytovatel informuje Kancelář o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení nejméně 1 měsíc před plánovanou změnou. Po tuto dobu má Kancelář právo vyslovit vůči změně námitky. Nevysloví-li Kancelář námitky, má se za to, že se změnou souhlasí.
9.3. Pokud Kancelář vznese námitky proti zapojení nového dalšího zpracovatele, je oprávněna ukončit Smlouvu bez sankcí a poplatků, a to zrušením svého Kancelářského účtu před uplynutím doby pro podání námitek (postup podle čl. 22 Podmínek). Kancelář může současně Poskytovateli předložit důvody námitek, aby Poskytovatel mohl takového nového dalšího zpracovatele posoudit.
9.4. Poskytovatel se zavazuje vést vždy aktuální seznam dalších zpracovatelů v elektronické podobě a na žádost Kanceláře jej Kanceláři elektronickou formou poskytnout.
9.5. V případě zapojení dalšího zpracovatele do zpracování Osobních údajů v souladu s těmito Pravidly Poskytovatel zajistí, aby další zpracovatel dodržoval při zpracování Osobních údajů tyto Pravidla.
10.1. Poskytovatel má povinnost zachovávat mlčenlivost o Osobních údajích, které zpracovává pro Kancelář. Dodržení povinnosti mlčenlivosti znamená nesdělit ani nezpřístupnit Osobní údaje třetí osobě, s výjimkou dalšího zpracovatele, proti jehož zapojení nevyjádřila Kancelář námitky, a nepoužít Osobní údaje k jinému než sjednanému účelu.
11.1. Vznese-li třetí osoba, včetně orgánu veřejné moci, vůči Poskytovateli jakýkoli nárok v souvislosti s porušením těchto Pravidel Kanceláří, zavazuje se Kancelář vést mimosoudní jednání s třetí osobou a bránit Poskytovatele v případných soudních, rozhodčích či jiných řízeních, to vše na své náklady; to neplatí, pokud je nárok vznesený třetí osobou zjevně neopodstatněný. Bude-li Poskytovatel povinen v důsledku Kanceláří schváleného smíru nebo pravomocného rozhodnutí soudu či jiného orgánu zaplatit komukoliv jakoukoliv náhradu nebo sankci v důsledku porušení Pravidel Kanceláří, zavazuje se Kancelář Poskytovateli tuto náhradu a sankci zaplatit. Za náhradu nebo sankci se v tomto případě považují mimo jiné náhrada škody, ušlého zisku, vydání bezdůvodného obohacení, peněžité přiměřené zadostiučinění, peněžitý trest, pokuta či penále.
12.1. Pravidla byla sepsána v českém jazyce. Veškeré povinnosti Stran, vyplývající z těchto Pravidel, budou plněny v českém jazyce.