1. Zpracování osobních údajů
1.1. ÚVODNÍ USTANOVENÍ
Společnost Tabidoo s.r.o., se sídlem na adrese Pernerova 676/51, 186 00 Praha, identifikační číslo 060 19 137, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 274690 („Provozovatel“) poskytuje internetovou aplikaci Tabidoo („Tabidoo“), dostupnou na adrese app.tabidoo.cloud svému uživateli („Uživatel“), a to v souladu s všeobecnými obchodními podmínkami, dostupnými z adresy https://tabidoo.cloud/cs/terms-and-conditions („VOP“). Provozovatel a Uživatel se v tomto dokumentu také označují, jako „smluvní strany“.
1.2. ZPRACOVATELSKÁ SMLOUVA
Vzhledem k tomu, že při poskytování služby Tabidoo bude docházet ke zpracování osobních údajů Provozovatelem pro Zákazníka, uzavírají smluvní strany tuto zpracovatelskou smlouvu („Zpracovatelská smlouva“) ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“).
1.3. POVINNOST UZAVŘENÍ DODATKU
Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků předpisů na ochranu osobních údajů (tyto zahrnují například zákon č. 110/2019 Sb. o zpracování osobních údajů, ve znění pozdějších předpisů, a GDPR; dále jen „POOÚ“), upraví bez zbytečného odkladu po výzvě kterékoli smluvní strany tuto Zpracovatelskou smlouvu, zohledňující takové požadavky.
1.4. POVĚŘENÍ K ZPRACOVÁNÍ
Uživatel tímto pověřuje Provozovatele zpracováním osobních údajů subjektů údajů poskytovaných Uživatelem při poskytování služby Tabidoo. Provozovatel je povinen zpracovávat osobní údaje pro Uživatele na základě jeho pokynů a v rozsahu nezbytném k řádnému plnění povinností Provozovatele, vyplývajících z VOP
1.5. PROHLÁŠENÍ UŽIVATELE
Uživatel uzavřením Zpracovatelské smlouvy potvrzuje, že osobní údaje, které jsou předmětem zpracování, jsou přesné, byly shromážděny v souladu s POOÚ, jsou aktuálně Uživatelem zpracovávány v souladu s POOÚ a že Uživatel plní veškeré povinnosti správce dle POOÚ. Uživatel prohlašuje, že zpracování osobních údajů, kterým touto Zpracovatelskou smlouvou pověřuje Provozovatele, bylo před podpisem této Zpracovatelské smlouvy zaregistrováno Úřadem pro ochranu osobních údajů (dále jen „ÚOOÚ“), pokud se na příslušné zpracování tato povinnost vztahuje.
2. Předmět zpracování, kategorie subjektů údajů a typ osobních údajů
2.1. DEFINICE OSOBNÍCH ÚDAJŮ
Předmětem zpracování jsou osobní údaje subjektů údajů, které jsou Uživatelem Zpracovateli poskytovány při využívání služby Tabidoo, a případně další údaje poskytnuté třetími stranami z pokynu Uživatele (dále jen „osobní údaje“).
2.2. SUBJEKTY ÚDAJŮ
Subjekty údajů jsou subjekty o kterých Uživatel prostřednictvím služby Tabidoo zpracovává osobní údaje.
2.3. ODPOVĚDNOST UŽIVATELE
O rozsahu zpracování rozhoduje vždy výhradně Uživatel, který je současně odpovědný za zajištění souladu stanoveného rozsahu zpracování v souladu s POOÚ.
3. Povaha a účel zpracování
3.1. POVAHA ZPRACOVÁNÍ
Provozovatel bude zpracovávat osobní údaje automatizovaně s přispěním výpočetní techniky a zároveň může docházet k ručnímu zpracování dat.
3.2. ÚČEL ZPRACOVÁNÍ
Účel zpracování je poskytování služby Tabidoo.
3.3. LIMITACE ÚČELŮ
Provozovatel bere na vědomí, že není oprávněn využívat osobní údaje za jakýmkoli jiným účelem než stanoveným touto Zpracovatelskou smlouvu, tj. určovat účely a/nebo prostředky jejich zpracování a není oprávněn zpracovávat osobní údaje nad rámec vymezený v této Zpracovatelské smlouvě.
4. Doba zpracování
4.1. DOBA ZPRACOVÁNÍ
Zpracování osobních údajů bude probíhat po dobu poskytování služby Tabidoo ve smyslu VOP. Povinnosti Uživatele, týkající se ochrany osobních údajů, se Provozovatel zavazuje plnit po celou dobu poskytování služby Tabidoo, pokud z VOP nevyplývá, že mají trvat i po zániku její účinnosti.
5. Prohlášení Uživatele
5.1. PLNĚNÍ POVINNOSTÍ UŽIVATELEM
Uživatel, jako správce osobních údajů, uzavřením Zpracovatelské smlouvy prohlašuje, že ke dni uzavření Zpracovatelské smlouvy řádně plní všechny své povinnosti dle POOÚ, zejména:
5.1.1. ZÁKONNOST ZPRACOVÁNÍ
zpracovává osobní údaje za účelem, v rozsahu, prostředky a způsobem podle této přílohy zákonně, zejména obdržel a má k dispozici platný souhlas všech subjektů údajů se zpracováním jejich osobních údajů, pokud se na takovéto zpracování tato povinnost vztahuje;
5.1.2. PLNĚNÍ INFORMAČNÍ POVINNOSTI
informuje subjekty údajů o zpracování jejich osobních údajů, a to způsobem a v rozsahu stanoveném POOÚ;
5.1.3. VÝKON PRÁV SUBJEKTŮ
umožňuje subjektům údajů vykonávat jejich práva dle POOÚ;
5.1.4. LIKVIDACE ÚDAJŮ
likviduje osobní údaje, jakmile pomine účel, pro který byly zpracovány; a zavazuje se tyto povinnosti plnit po celou dobu poskytování služeb Tabidoo.
6. Povinnosti Provozovatele:
6.1. POVINNOSTI POSKYTOVATELE
Provozovatel je při zpracovávání osobních údajů povinen:
6.1.1. VÁZANOST POKYNY
zpracovávat osobní údaje výlučně na základě doložených pokynů Uživatele; pro vyloučení pochybností se zpracovávání osobních údajů v souladu s povinnostmi Provozovatele, dohodnutými v rámci Zpracovatelské smlouvy, se považuje za prováděné v souladu s instrukcemi Uživatele;
6.1.2. PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ
řídit se instrukcemi Uživatele v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Provozovatele vztahuje; v takovém případě Provozovatel Uživatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. Předání do třetích zemí je podmíněno splněním všech právních podmínek pro předávání do třetích zemí, zejména podmínek stanovených v čl. 44 až 50 GDPR.;
6.1.3. MLČENLIVOST
zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
6.1.4. TECHNICKÁ OPATŘENÍ A VÝKON PRÁV
při zohlednění povahy zpracování, být Uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při splnění Uživatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů;
6.1.5. SOUČINNOST PŘI PLNĚNÍ POVINNOSTÍ
být Uživateli nápomocen při zajišťování souladu s povinnostmi Uživatele (i) zajistit úroveň zabezpečení zpracování, (ii) ohlašovat případy porušení zabezpečení osobních údajů ÚOOÚ a případně též subjektům údajů, (iii) posuzovat vliv na ochranu osobních údajů a (iv) realizovat předchozí konzultace s ÚOOÚ, a to při zohlednění povahy zpracování a informací, jež má Provozovatel k dispozici;
6.1.6. SKARTACE A VRÁCENÍ ÚDAJŮ
v souladu s rozhodnutím Uživatele všechny osobní údaje buď vymazat, nebo vrátit Uživateli po ukončení poskytování plnění dle Smlouvy, a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů;
6.1.7. INFORMAČNÍ POVINNOST
poskytnout Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené POOÚ; a
6.1.8. AUDITY
umožnit audity a k těmto auditům přispívat; smluvní strany si sjednávají, že Uživatel může u Provozovatele provést audit zpracování nejvýše jednou za 2 kalendářní roky, a to u Uživatelem vybraného nezávislého auditora. Náklady na audit dle tohoto odstavce nese Uživatel.
6.2. POKYNY V ROZPORU S PRÁVNÍMI PŘEDPISY
Provozovatel neprodleně písemně informuje Uživatele, pokud je přesvědčen, že jsou pokyny vydané Uživatelem v rozporu s právními předpisy na ochranu osobních údajů.
6.3. MLČENLIVOST PO UKONČENÍ SMLOUVY
V případě ukončení poskytování služeb Tabidoo nejsou Provozovatel, resp. jeho zaměstnanci, popř. pověřené třetí osoby, které přišly do styku s osobními údaji, zbaveni mlčenlivosti. Povinnost mlčenlivosti u nich v takovémto případě trvá i po ukončení poskytování služeb Tabidoo, bez ohledu na trvání poměru uvedených osob k Provozovateli.
6.4. OHLÁŠENÍ PORUŠENÍ ZABEZPEČENÍ
Provozovatel musí neprodleně informovat Uživatele o jakémkoli porušení zabezpečení osobních údajů nebo o důvodném podezření na jakákoli jiná porušení zabezpečení osobních údajů, nejpozději však do 48 hodin od okamžiku, kdy se o porušení nebo o podezření na porušení zabezpečení osobních údajů dozví. Veškeré informace budou Zpracovatelem zároveň neprodleně ohlášeny telefonicky na číslo, dostupné z portálu Tabidoo. Výše uvedené platí především, nikoli však výlučně, v případech, kdy má Uživatel podle právních předpisů nebo POOÚ právní povinnost ohlásit porušení zabezpečení osobních údajů. V oznámení musí být uvedeny alespoň následující informace:
6.4.1.
datum porušení a datum zjištění porušení;
6.4.2.
povaha, příčina a důsledky porušení;
6.4.3.
kategorie subjektu údajů a přibližný počet subjektů (je-li znám);
6.4.4.
rozsah dotčených osobních údajů;
6.4.5.
popis přijatých opatření.
7. Zapojení dalších zpracovatelů
7.1. SCHVÁLENÍ SUBZPRACOVATELŮ
Uživatel tímto konkrétně souhlasí se zapojením těchto kategorií dalších zpracovatelů:
7.1.1.
poskytovatel hostingu;
7.1.1.1
vultr.com. (https://www.vultr.com) Pokud neni požadováno jinak, používají se datacentra v EU.
7.1.1.2
aws (https://aws.amazon.com). Pokud neni požadováno jinak, používají se datacentra v EU.
7.1.1.3
master.cz (https://master.cz). Pokud neni požadováno jinak.
7.1.2.
subdodavatelé IT služeb;
7.1.2.1.
Mailchimp. (https://mailchimp.com) Volitelně.
7.1.2.2.
Postmark. (https://postmarkapp.com) Volitelně.
7.1.2.3.
Backblaze. (https://www.backblaze.com) Pokud neni požadováno jinak, používají se datacentra v EU.
7.2. NOVÍ SUBZPRACOVATELÉ
V případě, že se Provozovatel k zpracování osobních údajů Uživatele rozhodne využít jiné kategorie dalších zpracovatelů, než ty vymezené v odst. 7.1 této přílohy, oznámí toto neprodleně Uživateli, nejpozději pak k okamžiku, kdy toto zpracování započne. Poskytovatel se zavazuje své subzpracovatele zavázat přinejmenším ve stejném rozsahu, jako v této Zpracovatelské smlouvě.
8. Zabezpečení osobních údajů
8.1. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
Provozovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
8.2. PŘÍKLADY OPATŘENÍ
Provozovatel přijal a udržuje zejména následující opatření k zajištění přiměřené úrovně zabezpečení, mimo jiné spočívající v následujícím:
8.2.1.
pseudonymizace a šifrování osobních údajů (je-li to možné);
8.2.2.
schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
8.2.3.
schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;
8.2.4.
proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
8.2.5.
víceúrovňový firewall;
8.2.6.
antivirovou ochranu a kontrolu neoprávněných přístupů;
8.2.7.
šifrovaný přenos dat;
8.3. OZNÁMENÍ PORUŠENÍ ZABEZPEČENÍ
V případě, že Provozovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu Uživateli.
9. Závěrečná ustanovení
9.1. PLATNOST A ÚČINNOST ZPRACOVATELSKÉ SMLOUVY
Tato Zpracovatelská smlouva je platná a účinná od 1.9.2021.
9.2. POUŽITÍ VOP
V rozsahu neupraveném touto Zpracovatelskou smlouvou se vztah mezi Provozovatelem a Uživatelem řídí VOP.