Smlouva o zpracování osobních údajů

Tato smlouva o zpracování osobních údajů („Smlouva“) je součástí obchodních podmínek a použije se v rozsahu, v němž Seviranta — obchodní název společnosti 1Star BV, Zonnehorst 5, 7207 BT Zutphen, KvK 65195876 („Zpracovatel“) — zpracovává osobní údaje z pověření Zákazníka („Správce“) v rámci placené služby. Pojmy mají význam podle obecného nařízení o ochraně osobních údajů („GDPR“).

1. Předmět, povaha a doba trvání

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování sjednané služby: testování a průběžného monitoringu webu (webů) Zákazníka z hlediska přístupnosti, uchovávání souvisejících Zpráv/Spisu a správy účtu a fakturace. Smlouva trvá po dobu, po kterou Zpracovatel zpracovává osobní údaje pro Zákazníka.

2. Kategorie osobních údajů a subjekty údajů

• Údaje: údaje o účtu a kontaktní údaje (jméno, e-mailová adresa, název firmy), fakturační údaje (fakturační adresa, DIČ) a údaje o používání/předplatném. Skenované webové stránky jsou veřejné a jsou výhradně technicky testovány na přístupnost.
• Subjekty údajů: kontaktní osoby a uživatelé Zákazníka.
• Zvláštní kategorie osobních údajů se nezpracovávají.

3. Pokyny

Zpracovatel zpracovává osobní údaje výhradně na základě písemných pokynů Zákazníka — včetně této Smlouvy a používání služby — ledaže právní povinnost stanoví jinak. Má-li Zpracovatel za to, že pokyn porušuje GDPR, oznámí to.

4. Důvěrnost

Zpracovatel zajistí, aby osoby zpracovávající osobní údaje byly vázány mlčenlivostí.

5. Zabezpečení

Zpracovatel přijímá vhodná technická a organizační opatření (čl. 32 GDPR), mimo jiné šifrování při přenosu (TLS), šifrované ukládání hesel, přístup na základě nezbytnosti (least privilege), řízení přístupu na úrovni řádků v databázi a zpracování přednostně v EU.

6. Dílčí zpracovatelé

Zákazník uděluje obecný souhlas se zapojením dílčích zpracovatelů. Zpracovatel ukládá každému dílčímu zpracovateli přinejmenším stejné povinnosti jako v této Smlouvě a vybírá primárně partnery s ukládáním dat v EU. Funkčně jde mimo jiné o: partnera pro databázi/autentizaci/úložiště, infrastrukturu pro skenování a monitoring, hosting webu, platebního poskytovatele, poskytovatele transakčních e-mailů a partnera pro infrastrukturu/zabezpečení.

Aktuální seznam konkrétních dílčích zpracovatelů (s názvem, funkcí a lokalitou) je Zákazníkovi k dispozici na vyžádání. O zamýšlené změně dílčích zpracovatelů Zpracovatel Zákazníka předem informuje, aby mohl vznést námitku.

7. Součinnost

Zpracovatel poskytuje Zákazníkovi s přihlédnutím k povaze zpracování přiměřenou součinnost při vyřizování žádostí subjektů údajů (přístup, oprava, výmaz atd.) a při plnění povinností podle čl. 32–36 GDPR (zabezpečení, porušení zabezpečení údajů, posouzení vlivu na ochranu osobních údajů).

8. Porušení zabezpečení údajů

Zpracovatel informuje Zákazníka bez zbytečného odkladu poté, co se dozví o porušení zabezpečení osobních údajů, včetně dostupných relevantních informací, aby Zákazník mohl splnit svou ohlašovací povinnost.

9. Vrácení a výmaz

Po ukončení Zpracovatel osobní údaje podle volby Zákazníka vymaže nebo vrátí, s výjimkou údajů, které Zpracovatel musí uchovávat ze zákona (například faktury podle daňové archivační povinnosti). Zákazník si může Spis před ukončením sám exportovat.

10. Audity

Zpracovatel poskytne Zákazníkovi informace nezbytné k doložení souladu s touto Smlouvou a umožní přiměřené audity, po předchozí domluvě a při zachování důvěrnosti a kontinuity služby.

11. Předávání mimo EHP

Zpracovává-li dílčí zpracovatel údaje mimo Evropský hospodářský prostor, děje se tak s vhodnými zárukami, jak vyžaduje GDPR (například standardní smluvní doložky Evropské komise).

12. Použitelné právní předpisy o ochraně údajů (mezinárodní režimy)

Tato Smlouva je vypracována s GDPR jako nejvyšším standardem. V rozsahu, v němž se na zpracování vztahují jiné právní předpisy o ochraně údajů, platí ustanovení této Smlouvy mutatis mutandis i podle těchto předpisů — včetně UK GDPR (Spojené království), švýcarského zákona (nFADP) a použitelných zákonů jednotlivých států USA (jako CCPA/CPRA). Pro mezinárodní předávání platí příslušné uznané mechanismy, jsou-li použitelné: standardní smluvní doložky EU (SCC), UK International Data Transfer Addendum (IDTA) a švýcarský dodatek. Zpracovatel přednostně využívá ukládání dat v EU.

13. Kalifornie (CCPA/CPRA)

V rozsahu, v němž Zpracovatel zpracovává osobní údaje spadající pod California Consumer Privacy Act (CCPA) ve znění CPRA, jedná Zpracovatel jako „service provider“. Zpracovatel: (a) tyto údaje neprodává ani nesdílí (žádný „sale“ ani „share“ ve smyslu CCPA); (b) zpracovává je výhradně pro obchodní účely popsané v této Smlouvě, nikoli pro vlastní komerční účely; (c) neuchovává je, nepoužívá ani nezpřístupňuje mimo přímý obchodní vztah se Zákazníkem; a (d) poskytuje Zákazníkovi přiměřenou součinnost při žádostech subjektů údajů podle CCPA.

14. Závěrečná ustanovení

V případě rozporu mezi touto Smlouvou a obchodními podmínkami má, pokud jde o zpracování osobních údajů, přednost tato Smlouva. Tato Smlouva se řídí nizozemským právem. Máte dotazy nebo chcete podepsaný výtisk? info@seviranta.com.