Příloha č. 2 – Podmínky zpracování osobních údajů
1. ÚVODNÍ USTANOVENÍ
1.1.
Tento dokument je Přílohou Všeobecných obchodních podmínek služby SmartEmailing (VOP) a upravuje právní vztahy, které se týkají zpracování osobních údajů (dále jen „Podmínky“).
1.2.
Pojmy v těchto Podmínkách, které začínají na velké písmeno, mají stejný význam jako definice uvedené ve VOP, pokud není výslovně stanoveno jinak.
2. DEFINICE
2.1.
Dalším zpracovatelem je myšlena osoba určená dle čl. 9 Podmínek.
2.2.
Důvěrnými informacemi jsou myšleny veškeré skutečnosti obchodního, know-how, technického, průmyslového, projektového, produkčního, distribučního, investičního, finančního, účetního, daňového, právního, smluvního, administrativního, marketingového, pracovněprávního, manažerského nebo strategického charakteru související se Správcem nebo Zpracovatelem, popřípadě jejich zákazníků, které nejsou běžně dostupné v obchodních kruzích a se kterými se druhá Smluvní strana seznámí v rámci plnění Smlouvy, a to bez ohledu na to, zda takové skutečnosti tvoří předmět obchodního tajemství. Pro vyloučení pochybností Důvěrné informace nezahrnují informace, které byly nade všechny pochybnosti známy ještě před jejich zpřístupněním ze strany Poskytovatele informací, případně které byly veřejně známy ještě před jejich zpřístupněním, nebo byly Poskytovatelem informací označeny za nedůvěrné, nebo jsou výsledkem postupu, při kterém k nim Příjemce informací dospěje nezávisle na Poskytovateli informací a je tuto skutečnost schopný prokázat.
2.3.
GDPR je myšleno Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2.4.
Podmínkami je myšlen tento dokument jako příloha VOP.
2.5.
Poskytovatelem informací je myšlena ta Smluvní strana, která druhé Smluvní straně zpřístupňuje Důvěrné informace.
2.6.
Příjemcem informací je myšlena ta Smluvní strana, které jsou zpřístupněny druhou Smluvní stranou Důvěrné informace.
2.7.
Správcem je myšlen Zákazník, a to i v případě, kdy je Zákazník sám zpracovatelem a Poskytovatel jeho dalším zpracovatelem.
2.8.
Zpracovatelem je myšlen Poskytovatel, a to i v případě, kdy je Zákazník zpracovatelem a Poskytovatel jeho dalším zpracovatelem.
3. MLČENLIVOST
3.1.
Smluvní strany se dohody na závazku chránit Důvěrné informace druhé Smluvní strany ve stejném rozsahu, jako by se jednalo o jejich vlastní Důvěrné informace.
3.2.
Pro vyloučení pochybností platí, že za Důvěrné informace se považují taktéž osobní údaje a veškeré otázky spojené se zpracováním osobních údajů na základě Smlouvy.
3.3.
Příjemce informací se zavazuje s Důvěrnými informacemi nakládat tak, aby nedošlo k jejich úniku či zneužití. Příjemce informací se zavazuje vyvinout nejvyšší možné úsilí, jaké po něm lze rozumně požadovat, k zachování důvěrnosti Důvěrných informací a ochraně Důvěrných informací proti jakémukoliv zpřístupnění třetí osobě, jež by bylo v rozporu s těmito Podmínkami.
3.4.
Příjemce informací se zavazuje zpřístupnit Důvěrné informace dalším osobám (včetně svých subdodavatelů) pouze na základě souhlasu Poskytovatele informací. To neplatí v případě Dalších zpracovatelů zapojených do zpracování dle těchto Podmínek.
3.5.
Příjemce informací se zavazuje, že:
3.5.1. použije všechny Důvěrné informace výhradně pro účely spolupráce mezi Stranami a nikoliv pro účely jiné;
3.5.2. Důvěrné informace jiným subjektům nesdělí, nezpřístupní, ani nevyužije pro sebe nebo pro jinou osobu, není-li takové nakládání realizací práv a povinností v rámci spolupráce mezi Stranami;
3.5.3. nepoužije žádnou Důvěrnou informaci pro vlastní finanční či jiný prospěch nebo pro jakýkoliv prospěch jakékoliv třetí osoby s výjimkou použití Důvěrných informací pro realizaci spolupráce mezi Stranami.
4. OBECNÉ PARAMETRY ZPRACOVÁNÍ
4.1.
Předmětem zpracování dle těchto Podmínek je zpracování osobních údajů v rámci plnění Smlouvy, spočívající v uchování databáze subjektů údajů a zajištění rozesílky e-mailů a SMS zpráv, včetně souvisejícího zpracování.
4.2.
Doba trvání zpracování je stanovena na dobu trvání Smlouvy.
4.3.
Účelem zpracování je:
4.3.1. technické zajištění fungování Služby, zejména odesílání e-mailů, včetně souvisejících analytických služeb jako je odvozování údajů z chování zákazníků;
4.3.2. kontrola přesnosti osobních údajů pro potřeby ověřování neexistujících e-mailových adres;
4.3.3. technická a administrativní podpora (kontrola nastavení funkcí, diagnostika ohlášeného problému, kontrola tarifu, kontrola počtu objednávek apod.);
4.3.4. zásah programátora (pro potřeby úpravy dat v účtu na přání Uživatele, opravy technických chyb apod.);
4.3.5. technický zásahu skriptem pro plnění funkcí Služby.
4.4.
Mezi typy zpracovávaných osobních údajů patří identifikační údaje (např. jméno, příjmení), Kontaktní údaje (např. e-mailová adresa, telefon), Adresní údaje (např. fakturační adresa), Osobní údaje získané v rámci funkčnosti Aplikace (např. IP adresa, pohlaví dle křestního jména, chování příjemce e-mailu, zařízení a prohlížeč využívaný příjemcem e-mailu, webtracking – pokud si jej pod účtem aktivujete). V případě, že Správce zvažuje nahrání jiných typů osobních údajů v rámci Služby, zavazuje se o tom nejprve informovat Zpracovatele, přičemž Smluvní strany se v takovém případě dohodnou na vhodném postupu.
4.5.
Kategoriemi subjektů údajů jsou zákazníci Správce, potenciální zákazníci Správce, odběratelé obchodních sdělení, obchodní partneři a dodavatelé Správce, návštěvníci internetových stránek Správce.
5. POVINNOSTI SPRÁVCE
5.1.
Správce se zavazuje a prohlašuje, že:
5.1.1. v rámci Služby bude zpracovávat pouze aktuální a přesné údaje;
5.1.2. osobní údaje zpracovávané v rámci Služeb budou získané v souladu s GDPR a další legislativou, která dopadá na oblast ochrany soukromí, a to po poskytnutí odpovídajících informací v souladu s čl. 13 GDPR a získání právního titulu dle čl. 6 GDPR;
5.1.3. při používání Služby neporušuje Antispamová pravidla.
5.2.
Pro vyloučení pochybností platí, že v případě porušení odst. 5.1 Podmínek se dané ustanovení považuje za upozornění na nevhodný pokyn ze strany Zpracovatele v souladu s alineou čl. 28 odst. 3 GDPR.
6. DOLOŽENÉ POKYNY SPRÁVCE
6.1.
Zpracovatel se zavazuje zpracovávat osobní údaje pouze na základě doložitelných pokynů Správce, ukládaných Zpracovateli postupem uvedeným v tomto čl. 6 Podmínek.
6.2.
Správce bude ukládat doložitelné pokyny následujícím způsobem:
6.2.1. s přihlédnutím k tomu, že Služba je samoobslužná ze strany Správce, uděluje Správce Zpracovateli uzavřením Smlouvy pokyn ke zpracování osobních údajů prostřednictvím Služby;
6.2.2. ostatní pokyny se Správce zavazuje ukládat Zpracovateli prostřednictvím e-mailu či Uživatelského rozhraní.
6.3.
Mimo doložitelné pokyny je Zpracovatel oprávněn osobní údaje zpracovávat pouze v případě, kdy mu takové zpracování ukládá zákon České republiky či právo Evropské unie, přičemž o takovém zpracování je povinen Zpracovatel Správce písemně informovat a pokud je to k přihlédnutím k povinnostem Zpracovatele možné, takové zpracování se Správcem projednat.
7. PŘIJETÍ BEZPEČNOSTNÍCH OPATŘENÍ
7.1.
Zpracovatel se zavazuje přijmout taková technická a organizační opatření, aby nedošlo k porušení zásady integrity a důvěrnosti a aby předešel bezpečnostním incidentům.
7.2.
Za účelem dodržení zásady důvěrnosti a integrity Zpracovatel implementoval následující opatření:
7.2.1. schopnost zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systému by default a by design;
7.2.2. provádění pravidelného zálohování za účelem obnovy dostupnosti v případě incidentu;
7.2.3. provádění pravidelného testování bezpečnostních mechanismů a opatření, která mají na starosti monitoring a zabezpečení zpracování;
7.2.4. používání šifrování včetně SSL certifikátu pro zajištění důvěrnosti komunikace mezi Správcem a systémem Zpracovatele;
7.2.5. pravidelné provádění penetračních testů aplikace a infrastruktury;
7.2.6. logování přístupů k datovým úložištím s výslovnou autorizací Zpracovatele;
7.2.7. logování přístupů k databázím Správce, včetně přístupů zástupců Zpracovatele;
7.2.8. zajištění bezpečnosti přístupů k databázím, včetně ochrany proti brute force útokům;
7.2.9. další technická a organizační opatření, která odpovídají best practice.
8. HLÁŠENÍ BEZPEČNOSTNÍCH INCIDENTŮ
8.1.
Zpracovatel se zavazuje monitorovat bezpečnost svěřených osobních údajů a vyvinout nezbytné úsilí k tomu, aby odhalil případné porušení zásady důvěrnosti a integrity, přičemž v případě zjištění bezpečnostního incidentu se zavazuje o tom informovat Správce.
8.2.
Oznámení o bezpečnostním incidentu bude obsahovat informace nezbytné k tomu, aby Správce mohl přijmout odpovídající opatření ve vztahu k dozorovému orgánu a subjektům údajů.
8.3.
Oznámení o bezpečnostním incidentu odešle Zpracovatel Správci bez zbytečného odkladu poté, co se o bezpečnostním incidentu dozví, nejpozději však do 36 hodin od zjištění bezpečnostního incidentu.
9. ZAPOJENÍ DALŠÍHO ZPRACOVATELE
9.1.
Uzavřením Smlouvy uděluje Správce Zpracovateli obecný předchozí souhlas se zapojením Dalšího zpracovatele, a to za podmínky, že:
9.1.1. Další zpracovatel poskytne Zpracovateli vhodné a dostatečné záruky dodržování pravidel ochrany osobních údajů v souladu s touto Smlouvou;
9.1.2. Správce je oprávněn namítnout zapojení Dalšího zpracovatele postupem uvedeným v odst. 9.2.2. Podmínek.
9.2.
Zapojení Dalšího zpracovatele do zpracování bude probíhat následujícím způsobem:
9.2.1. Zpracovatel zašle Správci e-mail s informací o uvažovaném zapojení Dalšího zpracovatele do zpracování, včetně uvedení identifikačních údajů Dalšího zpracovatele a důvodu jeho zapojení;
9.2.2. Správce je oprávněn do 5 pracovních dní po doručení oznámení dle odst. 9.2.1 Podmínek vyjadřit své odůvodněné námitky, ve kterých uvede vážné důvody nesouhlasu se zapojením Dalšího zpracovatele. Pro vyloučení pochybností platí, že prostý nesouhlas se nepovažuje za vážné důvody pro nezapojení Dalšího zpracovatele.
9.3.
V případě, že Správce nezašle Zpracovateli své odůvodněné námitky dle odst. 9.2.2 Podmínek, popřípadě pokud uplyne stanovená lhůta pro zaslání odůvodněných námitek, popřípadě pokud Zpracovatel vyhodnotí námitky jako neodůvodněné, je tímto okamžikem Zpracovatel oprávněn provést uvažovanou změnu.
9.4.
V případě zapojení Dalšího zpracovatele se Zpracovatel zavazuje takové osoby zavázat takovými povinnostmi, které má Zpracovatel vůči Správci, a které jsou nejbližší významu jednotlivých práv a povinností uvedených v těchto Podmínkách.
9.5.
Pro vyloučení pochybností platí, že Zpracovatel je oprávněn zapojit do zpracování Další zpracovatele, kteří byli uvedeni v tomto seznam na adrese https://www.smartemailing.cz/sznmsbzprcvtlprhnck/ před uzavřením Smlouvy.
10. NÁPOMOC PŘI VÝKONU PRÁV
10.1
Pakliže nebude v tomto čl. 10 stanoveno jinak, Správce nepověřuje Zpracovatele povinností reagovat a umožňovat výkon práv subjektů údajů.
10.2
Zpracovatel se zavazuje být Správci nápomocen s vyřizováním žádostí o výkon práv subjektů údajů následujícím způsobem:
10.2.1. v případě, že subjekt údajů uplatní po Správci právo na přístup, právo získat kopii zpracovávaných údajů, právo na opravu, právo na výmaz, právo na omezení zpracování, právo na přenositelnost, právo odvolat souhlas, právo vznést námitku proti zpracování pro účely přímého marketingu, právo vznést námitku pro zpracování na základě oprávněného zájmu, může Správce vyhovět těmto žádostem bez další součinnosti Zpracovatele prostřednictvím funkcí, které jsou součástí Služby, a které toto umožňují;
10.2.2. v případě, že subjekt údajů uplatní svůj nesouhlas se zasíláním obchodních sdělení prostřednictvím odhlašovacího odkazu, je Zpracovatel povinen toto právo umožnit, přičemž v rámci Služby o tom provede jen záznam;
10.2.3. v případě, že Zpracovatel obdrží jinou žádost o výkon práv, než která je uvedena v odst. 10.2.2 Podmínek, zavazuje se tuto žádost bez zbytečného odkladu předat Správci.
11. NÁPOMOC PŘI ZAJIŠŤOVÁNÍ SOULADU
11.1.
Zpracovatel se zavazuje poskytnout součinnost Správci při plnění jeho povinností, a to prostřednictvím poskytování informací, které si Správce vyžádá.
11.2.
V případě, že bude pro splnění svých povinností Správce vyžadovat jinou nápomoc, než prostřednictvím sdělení informací technického rázu, zejména právní stanoviska, právní rady či informace, které nemá Zpracovatel k dispozici, zavazuje se Správce uhradit Zpracovateli vynaložené náklady spojené s žádostí Správce.
11.3.
Správce se zavazuje zaslat Zpracovateli jeho žádost e-mailem na adresu určenou podle VOP a Podmínek, v níž uvede rozsah informací či podobu nápomoci, kterou od Zpracovatele vyžaduje.
11.4.
Zpracovatel se zavazuje do 15 dnů od doručení žádosti podle odst. 11.3 Podmínek zaslat Správci odpověď, do kdy splní Správcovu žádost, a v případě žádosti dle odst. 11.2 Podmínek předběžný výpočet nákladů.
12. POSTUP PO UKONČENÍ ZPRACOVÁNÍ
12.1.
Pakliže dojde k ukončení Smlouvy, zavazuje se Zpracovatel umožnit výmaz osobních údajů následujícím způsobem, a to v souladu s rozhodnutím Správce:
12.1.1. Správce je oprávněn stáhnout si kopie osobních údajů a výmaz osobních údajů v rámci systémů Zpracovatele vlastním postupem v souladu s funkcionalitou Služby, a to do 30 dní od ukončení Smlouvy;
12.1.2. v případě, že Správce nebude postupovat dle odst. 12.1.1 Podmínek, je Zpracovatel oprávněn po marném uplynutí lhůty vytvořit kopii osobních údajů uložených u Zpracovatele, a tu vhodným způsobem předat Správci a osobní údaje ve svých systémech vymazat;
12.1.3. v případě, že není možné postupovat dle odst. 12.1.2 Podmínek a Zpracovatel má za to, že Správce má všechny osobní údaje k dispozici, je oprávněn kopii osobních údajů rovnou vymazat.
13. POSKYTNUTÍ INFORMACÍ A AUDIT
13.1.
Zpracovatel se zavazuje poskytnout Správci nezbytnou součinnost k tomu, aby doložil, že splňuje všechny povinnosti dle GDPR a dle těchto Podmínek, to vše postupem uvedeným v tomto čl. 13 Podmínek.
13.2.
Správce si před uzavřením Smlouvy ověřil, že Zpracovatel splňuje všechny povinnosti dle GDPR a poskytuje k tomu dostatečné záruky.
13.3.
Správce je oprávněn vyžadovat od Zpracovatele poskytnutí informací a provedení auditu podle následujících pravidel:
13.3.1. Správce zašle Zpracovateli žádost na e-mail určený dle Smlouvy a VOP s uvedením rozsahu informací, které chce objasnit;
13.3.2. Zpracovatel se zavazuje Správci zaslat vyžádané informace bez zbytečného odkladu, nejpozději do 15 dnů od obdržení žádosti dle odst. 13.3.1 Podmínek;
13.3.3. v případě, že Správci nebudou postačovat informace poskytnuté dle odst. 13.3.2 Podmínek, zašle Zpracovateli informaci o tom, že požaduje u Zpracovatele provést audit, a navrhne termín provedení auditu, který nebude v době kratší než 15 dnů od doručení této žádosti;
13.3.4. Zpracovatel po obdržení přípisu podle odst. 13.3.3 Podmínek potvrdí Správci termín auditu, popř. navrhne jiný termín, který nebude od navrženého termínu s odstupem delším než 10 pracovních dní;
13.3.5. Správce provede audit u Zpracovatele v dohodnutém termínu, a to v souladu s odst. 13.4 Podmínek.
13.4.
Správce je oprávněn provést audit vždy jednou za kalendářní rok, popř. pokaždé, když dojde k hrubému porušení povinností stanovených Zpracovateli GDPR nebo těchto Podmínek, popř. pokud se na tom Smluvní strany dohodnou.
13.5.
V rámci auditu bude Správce v místě určeném Zpracovatelem ověřovat, zda Zpracovatel plní řádně své povinnosti dle GDPR a těchto Podmínek, přičemž Zpracovatel se zavazuje zajistit v daném termínupřítomnost jím pověřené osoby, která bude připravena předkládat Správci nezbytné doklady a informace. Zpracovatel není povinen zpřístupňovat databáze atd., pokud by tím mělo dojít k závazkům ohledně ochrany osobních údajů nebo důvěrných údajů třetích osob.
13.6.
Správce i Zpracovatel nesou náklady spojené s provedením auditu každý sám s výjimkou případů, kdy byl audit proveden na základě domnělého porušení povinností Zpracovatele, které se při auditu neprokážou, v takovém případě má Zpracovatel nárok na úhradu přiměřených nákladů.
13.7.
Pro vyloučení pochybností může Správce pověřit provedením auditu i třetí osobu. Správce se zavazuje zaslat v přiměřeném předstihu kontaktní a identifikační údaje pověřené osoby a zaváže ji mlčenlivostí, jakou je sám vázán.
13.8.
Pro vyloučení pochybností je Zpracovatel oprávněn odmítnout poskytnout součinnost dle tohoto článku 13 těchto Podmínek v případě, že se jedná o zjevně šikanózní či neodůvodněnou žádost.
14. ODMĚNA ZPRACOVATELE
14.1.
Pokud není v těchto Podmínkách uvedeno či pokud nevyplývá z VOP jinak, nenáleží Smluvním stranám za plnění těchto Podmínek dodatečná odměna či náhrada nákladů.
15. ZÁVĚREČNÁ USTANOVENÍ
15.1.
Ustanovení těchto podmínek lze měnit stejným způsobem, jako by se měnily VOP.