Smlouva o zpracování dat

mezi

Zákazník v souladu s VOP jako Správce (dále jen "Správce),

a

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland jako zpracovatel údajů (dále jen "zpracovatel údajů, správce a zpracovatel údajů společně "strany").

Preambule

Správce pověřil zpracovatele údajů ve VOP (dále jen "hlavní smlouva") poskytováním služeb v nich uvedených. Součástí plnění smlouvy je zpracování osobních údajů. Pro zpracování osobních údajů platí zejména čl. 28 GDPR klade na takové pověřené zpracování zvláštní požadavky. Za účelem splnění těchto požadavků uzavírají smluvní strany tuto smlouvu o zpracování osobních údajů (dále jen "smlouva"), jejíž plnění není samostatně odměňováno, pokud to není výslovně dohodnuto.

§ 1 Definice

(1) Podle čl. 4 odst. 7 GDPR je správcem subjekt, který sám nebo společně s jinými správci určuje účely a prostředky zpracování osobních údajů.

(2) Podle čl. 4 odst. 8 GDPR je zpracovatelem údajů fyzická nebo právnická osoba, orgán, instituce nebo jiný subjekt, který zpracovává osobní údaje jménem správce.

(3) Podle čl. 4 odst. 1 GDPR se osobním údajem rozumí jakákoli informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

(4) Osobní údaje vyžadující zvláštní ochranu jsou osobní údaje podle čl. 9 GDPR odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství subjektů údajů v odborech, osobní údaje podle čl. 10 GDPR o odsouzení za trestné činy a trestné činy nebo o souvisejících bezpečnostních opatřeních, jakož i genetické údaje podle čl. 4 odst. 13 GDPR, biometrické údaje podle čl. 4 odst. 14 GDPR, zdravotní údaje podle čl. 4 odst. 15 GDPR a údaje o sexuálním životě nebo sexuální orientaci fyzické osoby.

(5) Podle čl. 4 odst. 2 GDPR je zpracováním jakákoli operace nebo soubor operací s osobními údaji, které jsou prováděny automatizovaně či nikoli, jako je shromažďování, zaznamenávání, uspořádávání, archivování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, sdělování přenosem, šíření nebo jiné zpřístupňování, seřazování či kombinování, omezování, výmaz nebo zničení.

(6) Podle čl. 4 odst. 21 GDPR je dozorovým úřadem nezávislý státní orgán zřízený členským státem podle článku 51 GDPR.

§ 2 Předmět smlouvy

(1) Zpracovatel údajů poskytuje pro správce služby uvedené v hlavní smlouvě. Zpracovatel přitom získává přístup k osobním údajům, které zpracovává pro Správce výhradně jménem Správce a v souladu s jeho pokyny. Rozsah a účel zpracování údajů Zpracovatelem údajů jsou uvedeny v Hlavní smlouvě a v případných souvisejících popisech služeb. Za posouzení přípustnosti zpracování údajů odpovídá Správce.

(2) Strany uzavírají tuto dohodu za účelem upřesnění vzájemných práv a povinností vyplývajících z právních předpisů o ochraně údajů. V případě pochybností mají ustanovení této dohody přednost před ustanoveními hlavní smlouvy.

(3) Ustanovení této smlouvy se vztahují na všechny činnosti související s Hlavní smlouvou, při nichž Zpracovatel údajů a jeho zaměstnanci nebo jím pověřené osoby přicházejí do styku s osobními údaji pocházejícími od Správce nebo shromažďovanými pro Správce.

(4) Doba platnosti této smlouvy se řídí dobou platnosti hlavní smlouvy, pokud z následujících ustanovení nevyplývají další povinnosti nebo práva na ukončení smlouvy.

§ 3 Právo na poučení

(1) Zpracovatel může shromažďovat, zpracovávat nebo používat údaje pouze v rámci hlavní smlouvy a v souladu s pokyny správce. Pokud je Zpracovatel údajů povinen provádět další zpracování podle právních předpisů Evropské unie nebo členských států, které se na něj vztahují, je povinen o těchto právních požadavcích informovat Správce před zpracováním.

(2) Pokyny správce jsou zpočátku stanoveny touto dohodou. Následně je může Správce měnit, doplňovat nebo nahrazovat v písemné nebo textové podobě individuálními pokyny (dále jen "Individuální pokyny"). Správce je oprávněn takové pokyny kdykoli vydat. To se týká i pokynů týkajících se opravy, výmazu a blokování údajů.

(3) Všechny vydané pokyny musí kontrolor zdokumentovat. Pokyny, které jdou nad rámec služby sjednané v hlavní smlouvě, se považují za žádost o změnu služby.

(4) Pokud se zpracovatel domnívá, že pokyn správce porušuje ustanovení o ochraně údajů, oznámí to správci bez zbytečného odkladu. Zpracovatel údajů je oprávněn pozastavit provádění příslušného pokynu, dokud jej Správce nepotvrdí nebo nezmění. Zpracovatel údajů může odmítnout provést zjevně protiprávní pokyn.

§ 4 Typy zpracovávaných údajů, skupina subjektů údajů, třetí země

(1) V rámci plnění Hlavní smlouvy má Zpracovatel údajů přístup k osobním údajům blíže specifikovaným v příloze 1..

(2) Skupina subjektů údajů, kterých se zpracování údajů týká, je uvedena v příloze 1..

(3) Předání osobních údajů do třetí země může proběhnout za podmínek čl. 44 a násl. GDPR.

§ 5 Ochranná opatření zpracovatele údajů

(1) Zpracovatel údajů je povinen dodržovat zákonná ustanovení o ochraně údajů a nezpřístupňovat informace získané z domény správce třetím osobám ani je nevystavovat jejich přístupu. Dokumenty a údaje musí být s ohledem na stav techniky zabezpečeny proti zpřístupnění neoprávněným osobám.

(2) Zpracovatel údajů uspořádá vnitřní organizaci v rámci své působnosti tak, aby splňovala zvláštní požadavky na ochranu údajů. Přijme technická a organizační opatření uvedená v příloze 2 k odpovídající ochraně údajů správce podle čl. 32 GDPR, která Správce uznává jako přiměřená. Zpracovatel údajů si vyhrazuje právo změnit přijatá bezpečnostní opatření a zároveň zajistit, aby nebyla snížena smluvně dohodnutá úroveň ochrany.

(3) Osobám, které se podílejí na zpracování údajů u zpracovatele, je zakázáno neoprávněně shromažďovat, zpracovávat nebo používat osobní údaje. Zpracovatel údajů zavazuje všechny osoby, které pověřil zpracováním a plněním této smlouvy (dále jen "zaměstnanci"), odpovídajícím způsobem (povinnost mlčenlivosti, čl. 28 odst. 3 písm. b GDPR) a zajistí dodržování této povinnosti s náležitou péčí.

(4) Zpracovatel údajů jmenoval pověřence pro ochranu osobních údajů. Pověřencem pro ochranu osobních údajů zpracovatele je heyData GmbH, Schützenstr. 5, 10117 Berlín, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Informační povinnosti zpracovatele údajů

(1) V případě narušení, podezření na porušení ochrany údajů nebo porušení smluvních povinností zpracovatele, podezření na bezpečnostní incidenty nebo jiné nesrovnalosti při zpracování osobních údajů zpracovatelem, jím zaměstnanými osobami v rámci smlouvy nebo třetími stranami, informuje zpracovatel bez zbytečného odkladu správce. Totéž platí pro audity zpracovatele údajů prováděné dozorovým úřadem pro ochranu osobních údajů. Oznámení o porušení zabezpečení osobních údajů musí obsahovat alespoň následující informace:

(a) popis povahy porušení zabezpečení osobních údajů, pokud možno včetně kategorií a počtu dotčených subjektů údajů, dotčených kategorií a počtu dotčených záznamů o osobních údajích;

(b) popis opatření přijatých nebo navržených zpracovatelem údajů k řešení porušení a případně opatření ke zmírnění jeho možných nepříznivých účinků;

(c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů.

(2) Zpracovatel údajů neprodleně přijme nezbytná opatření k zabezpečení údajů a ke zmírnění případných nepříznivých důsledků pro subjekty údajů, informuje o tom správce a vyžádá si další pokyny.

(3) Zpracovatel údajů je dále povinen kdykoli poskytnout správci informace, pokud jsou údaje správce dotčeny porušením podle odstavce 1.

(4) Zpracovatel údajů informuje správce o všech významných změnách bezpečnostních opatření podle čl. 5 odst. 2.

§ 7 Kontrolní práva správce

(1) Správce se může přesvědčit o technických a organizačních opatřeních zpracovatele údajů před zahájením zpracování údajů a poté pravidelně každý rok. Za tímto účelem může Správce například získat informace od Zpracovatele údajů, získat existující osvědčení od odborníků, certifikace nebo interní audity nebo po včasné koordinaci osobně zkontrolovat technická a organizační opatření Zpracovatele údajů v běžné pracovní době nebo je nechat zkontrolovat kompetentní třetí stranou za předpokladu, že tato třetí strana není se Zpracovatelem údajů v konkurenčním vztahu. Správce provádí kontroly pouze v nezbytném rozsahu a nesmí při nich nepřiměřeně narušovat činnost Zpracovatele údajů.

(2) Zpracovatel údajů se zavazuje poskytnout správci na jeho ústní nebo písemnou žádost v přiměřené lhůtě veškeré informace a důkazy potřebné k provedení kontroly technických a organizačních opatření zpracovatele údajů.

(3) Správce zdokumentuje výsledky kontroly a oznámí je zpracovateli údajů. V případě chyb nebo nesrovnalostí, které Správce zjistí zejména při kontrole výsledků kontroly, informuje Správce bez zbytečného odkladu Zpracovatele údajů. Pokud jsou při kontrole zjištěny skutečnosti, jejichž zamezení v budoucnu vyžaduje změnu nařízeného postupu, Správce o nezbytných změnách postupu neprodleně informuje Zpracovatele údajů.

§ 8 Využití poskytovatelů služeb

(1) Smluvně sjednané služby se provádějí za účasti poskytovatelů služeb uvedených v příloze 3 (dále jen "dílčí zpracovatelé). Správce uděluje Zpracovateli obecné zmocnění ve smyslu čl. 28 odst. 2 odst. 1 GDPR k zapojení dalších dílčích zpracovatelů v rámci svých smluvních závazků nebo k nahrazení již zapojených dílčích zpracovatelů.

(2) Zpracovatel údajů informuje správce před každou zamýšlenou změnou týkající se zapojení nebo nahrazení dílčího zpracovatele. Správce může vznést námitku proti zamýšlenému zapojení nebo nahrazení dílčího zpracovatele z důležitého důvodu podle zákona o ochraně osobních údajů.

(3) Námitka proti zamýšlenému zapojení nebo nahrazení dílčího zpracovatele musí být vznesena do dvou týdnů od obdržení informace o změně. Není-li námitka vznesena, považuje se zapojení nebo nahrazení za schválené. Pokud existuje závažný důvod podle zákona o ochraně osobních údajů a není možné smírné řešení mezi správcem a zpracovatelem, má správce zvláštní právo na ukončení ke konci měsíce následujícího po podání námitky.

(4) Při zapojení dílčích zpracovatelů je zpracovatel údajů povinen dodržovat ustanovení této dohody.

(5) Vztah dílčího zpracovatele ve smyslu těchto ustanovení neexistuje, pokud zpracovatel údajů pověřuje třetí osoby službami, které jsou považovány za čistě pomocné služby. Mezi ně patří například poštovní, dopravní a přepravní služby, úklidové služby, telekomunikační služby bez konkrétního odkazu na služby poskytované Zpracovatelem údajů Správci a strážní služby. Služby údržby a testování představují vztahy s dílčími zpracovateli, které vyžadují souhlas, pokud jsou poskytovány pro IT systémy, které jsou rovněž používány v souvislosti s poskytováním služeb pro správce.

§ 9 Žádosti a práva subjektů údajů

(1) Zpracovatel údajů podporuje správce vhodnými technickými a organizačními opatřeními při plnění povinností správce podle článků 12 až 22 a 32 až 36 GDPR.

(2) Pokud subjekt údajů uplatňuje práva, jako je právo na přístup, opravu nebo výmaz svých údajů, přímo vůči zpracovateli údajů, zpracovatel nereaguje samostatně, ale odkáže subjekt údajů na správce a vyčká jeho pokynů.

§ 10 Odpovědnost

(1) Ve vnitřním vztahu se zpracovatelem údajů odpovídá subjektu údajů za náhradu škody, která mu vznikla nepřípustným nebo nesprávným zpracováním údajů podle právních předpisů o ochraně údajů nebo použitím v rámci pověřeného zpracování, pouze správce.

(2) Zpracovatel údajů nese neomezenou odpovědnost za škodu, pokud je příčina škody založena na úmyslném nebo hrubě nedbalém porušení povinností ze strany zpracovatele údajů, jeho zákonného zástupce nebo zprostředkovatele.

(3) Zpracovatel údajů odpovídá za nedbalostní jednání pouze v případě porušení povinnosti, jejíž splnění je předpokladem řádného plnění smlouvy a na jejíž dodržení se správce pravidelně spoléhá a může spoléhat, avšak s omezením na průměrnou škodu typickou pro danou smlouvu. Ve všech ostatních ohledech je odpovědnost Zpracovatele - včetně odpovědnosti za jeho zástupce - vyloučena.

(4) Omezení odpovědnosti podle § 10 odst. 3 se nevztahuje na nároky na náhradu škody vzniklé v souvislosti s újmou na životě, zdraví nebo v souvislosti s převzetím záruky.

§ 11 Ukončení hlavní smlouvy

(1) Po ukončení hlavní smlouvy vrátí zpracovatel správci všechny dokumenty, údaje a nosiče dat, které mu byly poskytnuty, nebo je na žádost správce - pokud neexistuje povinnost uchovávat osobní údaje podle práva Unie nebo práva Spolkové republiky Německo - vymaže. To platí i pro veškeré zálohy údajů u Zpracovatele údajů. Zpracovatel údajů je povinen na požádání poskytnout zdokumentovaný důkaz o řádném vymazání všech údajů.

(2) Správce má právo vhodným způsobem kontrolovat úplné a smluvní vrácení nebo vymazání údajů u zpracovatele údajů.

(3) Zpracovatel údajů je povinen zachovávat mlčenlivost o údajích, o nichž se dozvěděl v souvislosti s Hlavní smlouvou, a to i po skončení platnosti Hlavní smlouvy. Tato smlouva zůstává v platnosti i po skončení Hlavní smlouvy, dokud má Zpracovatel údajů k dispozici osobní údaje, které mu předal Správce nebo které pro Správce shromáždil.

§ 12 Závěrečná ustanovení

(1) Pokud Zpracovatel údajů neprovádí podpůrné činnosti podle této Smlouvy výslovně bezplatně, může za to Správci účtovat přiměřený poplatek, ledaže by taková podpora byla přímo nezbytná v důsledku jeho vlastního jednání nebo opomenutí.

(2) Změny a dodatky této smlouvy musí být provedeny písemně. To platí i pro jakékoli zřeknutí se tohoto formálního požadavku. Přednost jednotlivých smluvních ujednání zůstává nedotčena.

(3) Pokud jednotlivá ustanovení této smlouvy jsou nebo se stanou zcela nebo částečně neplatnými nebo nevymahatelnými, nemá to vliv na platnost ostatních ustanovení.

(4) Tato smlouva se řídí německým právem.

Příloha 2 - Technická a organizační opatření zpracovatele údajů

1. Úvod

Tento dokument shrnuje technická a organizační opatření přijatá zpracovatelem ve smyslu čl. 32 odst. 1 GDPR. Jedná se o opatření přijatá Zpracovatelem za účelem ochrany osobních údajů. Účelem tohoto dokumentu je podpořit Správce při plnění jeho povinností týkajících se odpovědnosti podle čl. 5 odst. 2 GDPR.

2. Důvěrnost (čl. 32 odst. 1 písm. b GDPR)

2.1 Vstupní kontrola

Přístupu neoprávněných osob k systémům zpracování dat brání následující zavedená opatření:

• Práce z domova: nepovolané osoby nemají přístup do domů zaměstnanců.

• Práce v domácí kanceláři: pokyn zaměstnancům, aby pracovali pokud možno v oddělené kanceláři od obývacího pokoje.

2.2 Vstupní kontrola

Přístupu neoprávněných osob k systémům zpracování dat brání následující zavedená opatření:

• Ověřování pomocí uživatele a hesla

• Používání firewallů

• Používání správy mobilních zařízení

• Šifrování datových nosičů

• Automatické uzamčení pracovní plochy

• Správa oprávnění uživatelů

• Vytváření uživatelských profilů

• Centrální pravidla pro hesla

• Používání dvoufaktorového ověřování

• Zásady společnosti pro bezpečná hesla

• Obecný pokyn k ručnímu uzamčení pracovní plochy při opuštění pracovní stanice

2.3 Řízení přístupu

Následující zavedená opatření zajišťují, že neoprávněné osoby nemají přístup k osobním údajům:

• Zaznamenávání přístupu k aplikacím (zejména při zadávání, změně a mazání dat).

• Počet správců je co nejmenší.

• Správa uživatelských práv správci systému

• Pokyn zaměstnancům, že údaje budou vymazány pouze po konzultaci.

2.4 Kontrola oddělení

Následující opatření zajišťují, že osobní údaje shromážděné pro různé účely jsou zpracovávány odděleně:

• Fyzicky oddělené úložiště v oddělených systémech nebo na samostatných datových nosičích.

• Oddělení výrobního a testovacího systému

• Logické oddělení klientů (na straně softwaru)

• Definice práv k databázi

• Interní pokyn k anonymizaci/pseudonymizaci osobních údajů v případě zveřejnění nebo po uplynutí zákonné lhůty pro výmaz, je-li to možné.

3. Integrita (čl. 32 odst. 1 písm. b GDPR)

3.1 Řízení přenosu

Je zajištěno, aby osobní údaje nemohly být během přenosu nebo uchovávání na nosičích dat neoprávněně čteny, kopírovány, měněny nebo odstraňovány a aby bylo možné zkontrolovat, které osoby nebo orgány osobní údaje obdržely. K zajištění tohoto cíle byla zavedena následující opatření:

• Šifrování WLAN (WPA2 se silným heslem)

• Protokolování přístupů a vyhledávání

• Poskytování dat prostřednictvím šifrovaných připojení, jako je SFTP nebo HTTPS.

• Zákaz nahrávání firemních dat na externí servery

3.2 Řízení vstupů

Následující opatření zajišťují, že je možné zkontrolovat, kdo a kdy zpracovával osobní údaje v systémech zpracování údajů:

• Zaznamenávání zadávání, změn a mazání dat

• Ruční nebo automatická kontrola protokolů

• Sledovatelnost zadávání, úprav a mazání dat prostřednictvím jmen jednotlivých uživatelů (nikoli skupin uživatelů).

• Jasná odpovědnost za výmazy

legal.dpa.latest.annexes.2.3.2.text.6

4. Dostupnost a odolnost (čl. 32 odst. 1 písm. b GDPR)

Následující opatření zajišťují, že osobní údaje jsou chráněny proti náhodnému zničení nebo ztrátě a jsou klientovi vždy k dispozici:

• Hasicí přístroje v serverovnách

• Zařízení pro monitorování teploty a vlhkosti v serverovnách

• Klimatizace v serverovnách

• Ochranné zásuvkové lišty v serverovnách

• Zdroj nepřerušovaného napájení (UPS)

• Video dohled v serverovnách

• Poplachové hlášení pro neoprávněný přístup do serveroven

• Pravidelné zálohování

• Kontrola procesu zálohování

• Ukládání záloh dat na bezpečném místě mimo lokalitu.

• Pravidelné testy obnovy dat a zaznamenávání výsledků

• Žádné sociální zařízení v serverovně nebo nad ní

• Hosting (alespoň nejdůležitějších dat) u profesionálního hostera.

5. Postupy pravidelného přezkumu, posuzování a hodnocení (čl. 32 odst. 1 písm. d) GDPR; čl. 25 odst. 1 GDPR).

5.1 Správa ochrany údajů

Následující opatření mají zajistit, aby organizace splňovala základní požadavky zákona o ochraně osobních údajů:

• Použití platformy heyData pro správu ochrany dat

• Jmenování pověřence pro ochranu osobních údajů heyData

• Povinnost zaměstnanců zachovávat mlčenlivost o údajích

• Pravidelné školení zaměstnanců o ochraně osobních údajů

• Vedení přehledu o činnostech zpracování (čl. 30 GDPR)

5.2 Řízení reakce na incidenty

Následující opatření mají zajistit, aby v případě porušení ochrany údajů byly spuštěny procesy hlášení:

• Postup hlášení porušení ochrany údajů podle čl. 4 č. 12 GDPR dozorovým úřadům (čl. 33 GDPR).

• Postup oznamování případů porušení zabezpečení údajů v souladu s čl. 4 č. 12 GDPR subjektům údajů (čl. 34 GDPR).

• Zapojení pověřence pro ochranu osobních údajů do bezpečnostních incidentů a narušení bezpečnosti údajů

• Používání firewallů

5.3 Výchozí nastavení šetrná k ochraně osobních údajů (čl. 25 odst. 2 GDPR)

Následující opatření mají zajistit, aby v případě porušení ochrany údajů byly spuštěny procesy hlášení:

• Postup hlášení porušení ochrany údajů podle čl. 4 č. 12 GDPR dozorovým úřadům (čl. 33 GDPR).

• Postup oznamování případů porušení zabezpečení údajů v souladu s čl. 4 č. 12 GDPR subjektům údajů (čl. 34 GDPR).

5.4 Kontrola objednávek

Následující opatření zajišťují, že osobní údaje mohou být zpracovávány pouze v souladu s pokyny:

• Písemné pokyny dodavateli nebo pokyny v textové podobě (např. prostřednictvím smlouvy o zpracování údajů).

• Zajištění zničení údajů po dokončení objednávky, např. vyžádáním příslušných potvrzení.

• Potvrzení smluvních partnerů, že zavazují své vlastní zaměstnance k mlčenlivosti o údajích (obvykle ve smlouvě o zpracování údajů).

• Pečlivý výběr dodavatelů (zejména s ohledem na bezpečnost dat).

• Průběžná kontrola dodavatelů a jejich činností

• Zajištění zničení údajů po dokončení objednávky, např. vyžádáním příslušných potvrzení.

Verze 1.4, platná od 17. prosince 2024