1. Zpracování osobních údajů

1.1. ÚVODNÍ USTANOVENÍ

Společnost Cork Solutions s.r.o., se sídlem na adrese Pernerova 676/51, 186 00 Praha, identifikační číslo 060 19 137, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 274690 („Provozovatel“) poskytuje internetovou aplikaci Tabidoo („Tabidoo“), dostupnou na adrese app.tabidoo.cloud svému uživateli („Uživatel“), a to v souladu s všeobecnými obchodními podmínkami, dostupnými z adresy https://www.tabidoo.cloud/cs/obchodni-podminky („VOP“). Provozovatel a Uživatel se v tomto dokumentu také označují, jako „smluvní strany“.

1.2. ZPRACOVATELSKÁ SMLOUVA

Vzhledem k tomu, že při poskytování služby Tabidoo bude docházet ke zpracování osobních údajů Provozovatelem pro Zákazníka, uzavírají smluvní strany tuto zpracovatelskou smlouvu („Zpracovatelská smlouva“) ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“).

1.3. POVINNOST UZAVŘENÍ DODATKU

Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků předpisů na ochranu osobních údajů (tyto zahrnují například zákon č. 110/2019 Sb. o zpracování osobních údajů, ve znění pozdějších předpisů, a GDPR; dále jen „POOÚ“), upraví bez zbytečného odkladu po výzvě kterékoli smluvní strany tuto Zpracovatelskou smlouvu, zohledňující takové požadavky.

1.4. POVĚŘENÍ K ZPRACOVÁNÍ

Uživatel tímto pověřuje Provozovatele zpracováním osobních údajů subjektů údajů poskytovaných Uživatelem při poskytování služby Tabidoo. Provozovatel je povinen zpracovávat osobní údaje pro Uživatele na základě jeho pokynů a v rozsahu nezbytném k řádnému plnění povinností Provozovatele, vyplývajících z VOP

1.5. PROHLÁŠENÍ UŽIVATELE

Uživatel uzavřením Zpracovatelské smlouvy potvrzuje, že osobní údaje, které jsou předmětem zpracování, jsou přesné, byly shromážděny v souladu s POOÚ, jsou aktuálně Uživatelem zpracovávány v souladu s POOÚ a že Uživatel plní veškeré povinnosti správce dle POOÚ. Uživatel prohlašuje, že zpracování osobních údajů, kterým touto Zpracovatelskou smlouvou pověřuje Provozovatele, bylo před podpisem této Zpracovatelské smlouvy zaregistrováno Úřadem pro ochranu osobních údajů (dále jen „ÚOOÚ“), pokud se na příslušné zpracování tato povinnost vztahuje.

2. Předmět zpracování, kategorie subjektů údajů a typ osobních údajů

2.1. DEFINICE OSOBNÍCH ÚDAJŮ

Předmětem zpracování jsou osobní údaje subjektů údajů, které jsou Uživatelem Zpracovateli poskytovány při využívání služby Tabidoo, a případně další údaje poskytnuté třetími stranami z pokynu Uživatele (dále jen „osobní údaje“).

2.2. SUBJEKTY ÚDAJŮ

Subjekty údajů jsou subjekty o kterých Uživatel prostřednictvím služby Tabidoo zpracovává osobní údaje.

2.3. ODPOVĚDNOST UŽIVATELE

O rozsahu zpracování rozhoduje vždy výhradně Uživatel, který je současně odpovědný za zajištění souladu stanoveného rozsahu zpracování v souladu s POOÚ.

3. Povaha a účel zpracování

3.1. POVAHA ZPRACOVÁNÍ

Provozovatel bude zpracovávat osobní údaje automatizovaně s přispěním výpočetní techniky a zároveň může docházet k ručnímu zpracování dat.

3.2. ÚČEL ZPRACOVÁNÍ

Účel zpracování je poskytování služby Tabidoo.

3.3. LIMITACE ÚČELŮ

Provozovatel bere na vědomí, že není oprávněn využívat osobní údaje za jakýmkoli jiným účelem než stanoveným touto Zpracovatelskou smlouvu, tj. určovat účely a/nebo prostředky jejich zpracování a není oprávněn zpracovávat osobní údaje nad rámec vymezený v této Zpracovatelské smlouvě.

4. Doba zpracování

4.1. DOBA ZPRACOVÁNÍ

Zpracování osobních údajů bude probíhat po dobu poskytování služby Tabidoo ve smyslu VOP. Povinnosti Uživatele, týkající se ochrany osobních údajů, se Provozovatel zavazuje plnit po celou dobu poskytování služby Tabidoo, pokud z VOP nevyplývá, že mají trvat i po zániku její účinnosti.

5. Prohlášení Uživatele

5.1. PLNĚNÍ POVINNOSTÍ UŽIVATELEM

Uživatel, jako správce osobních údajů, uzavřením Zpracovatelské smlouvy prohlašuje, že ke dni uzavření Zpracovatelské smlouvy řádně plní všechny své povinnosti dle POOÚ, zejména:

5.1.1. ZÁKONNOST ZPRACOVÁNÍ

zpracovává osobní údaje za účelem, v rozsahu, prostředky a způsobem podle této přílohy zákonně, zejména obdržel a má k dispozici platný souhlas všech subjektů údajů se zpracováním jejich osobních údajů, pokud se na takovéto zpracování tato povinnost vztahuje;

5.1.2. PLNĚNÍ INFORMAČNÍ POVINNOSTI

informuje subjekty údajů o zpracování jejich osobních údajů, a to způsobem a v rozsahu stanoveném POOÚ;

5.1.3. VÝKON PRÁV SUBJEKTŮ

umožňuje subjektům údajů vykonávat jejich práva dle POOÚ;

5.1.4. LIKVIDACE ÚDAJŮ

likviduje osobní údaje, jakmile pomine účel, pro který byly zpracovány; a zavazuje se tyto povinnosti plnit po celou dobu poskytování služeb Tabidoo.

6. Povinnosti Provozovatele:

6.1. POVINNOSTI POSKYTOVATELE

Provozovatel je při zpracovávání osobních údajů povinen:

6.1.1. VÁZANOST POKYNY

zpracovávat osobní údaje výlučně na základě doložených pokynů Uživatele; pro vyloučení pochybností se zpracovávání osobních údajů v souladu s povinnostmi Provozovatele, dohodnutými v rámci Zpracovatelské smlouvy, se považuje za prováděné v souladu s instrukcemi Uživatele;

6.1.2. PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ

řídit se instrukcemi Uživatele v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Provozovatele vztahuje; v takovém případě Provozovatel Uživatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. Předání do třetích zemí je podmíněno splněním všech právních podmínek pro předávání do třetích zemí, zejména podmínek stanovených v čl. 44 až 50 GDPR.;

6.1.3. MLČENLIVOST

zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

6.1.4. TECHNICKÁ OPATŘENÍ A VÝKON PRÁV

při zohlednění povahy zpracování, být Uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při splnění Uživatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů;

6.1.5. SOUČINNOST PŘI PLNĚNÍ POVINNOSTÍ

být Uživateli nápomocen při zajišťování souladu s povinnostmi Uživatele (i) zajistit úroveň zabezpečení zpracování, (ii) ohlašovat případy porušení zabezpečení osobních údajů ÚOOÚ a případně též subjektům údajů, (iii) posuzovat vliv na ochranu osobních údajů a (iv) realizovat předchozí konzultace s ÚOOÚ, a to při zohlednění povahy zpracování a informací, jež má Provozovatel k dispozici;

6.1.6. SKARTACE A VRÁCENÍ ÚDAJŮ

v souladu s rozhodnutím Uživatele všechny osobní údaje buď vymazat, nebo vrátit Uživateli po ukončení poskytování plnění dle Smlouvy, a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů;

6.1.7. INFORMAČNÍ POVINNOST

poskytnout Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené POOÚ; a

6.1.8. AUDITY

umožnit audity a k těmto auditům přispívat; smluvní strany si sjednávají, že Uživatel může u Provozovatele provést audit zpracování nejvýše jednou za 2 kalendářní roky, a to u Uživatelem vybraného nezávislého auditora. Náklady na audit dle tohoto odstavce nese Uživatel.

6.2. POKYNY V ROZPORU S PRÁVNÍMI PŘEDPISY

Provozovatel neprodleně písemně informuje Uživatele, pokud je přesvědčen, že jsou pokyny vydané Uživatelem v rozporu s právními předpisy na ochranu osobních údajů.

6.3. MLČENLIVOST PO UKONČENÍ SMLOUVY

V případě ukončení poskytování služeb Tabidoo nejsou Provozovatel, resp. jeho zaměstnanci, popř. pověřené třetí osoby, které přišly do styku s osobními údaji, zbaveni mlčenlivosti. Povinnost mlčenlivosti u nich v takovémto případě trvá i po ukončení poskytování služeb Tabidoo, bez ohledu na trvání poměru uvedených osob k Provozovateli.

6.4. OHLÁŠENÍ PORUŠENÍ ZABEZPEČENÍ

Provozovatel musí neprodleně informovat Uživatele o jakémkoli porušení zabezpečení osobních údajů nebo o důvodném podezření na jakákoli jiná porušení zabezpečení osobních údajů, nejpozději však do 48 hodin od okamžiku, kdy se o porušení nebo o podezření na porušení zabezpečení osobních údajů dozví. Veškeré informace budou Zpracovatelem zároveň neprodleně ohlášeny telefonicky na číslo, dostupné z portálu Tabidoo. Výše uvedené platí především, nikoli však výlučně, v případech, kdy má Uživatel podle právních předpisů nebo POOÚ právní povinnost ohlásit porušení zabezpečení osobních údajů. V oznámení musí být uvedeny alespoň následující informace:

6.4.1.

datum porušení a datum zjištění porušení;

6.4.2.

povaha, příčina a důsledky porušení;

6.4.3.

kategorie subjektu údajů a přibližný počet subjektů (je-li znám);

6.4.4.

rozsah dotčených osobních údajů;

6.4.5.

popis přijatých opatření.

7. Zapojení dalších zpracovatelů

7.1. SCHVÁLENÍ SUBZPRACOVATELŮ

Uživatel tímto konkrétně souhlasí se zapojením těchto kategorií dalších zpracovatelů:

7.1.1.

poskytovatel hostingu;

7.1.2.

subdodavatelé IT služeb;

7.2. NOVÍ SUBZPRACOVATELÉ

V případě, že se Provozovatel k zpracování osobních údajů Uživatele rozhodne využít jiné kategorie dalších zpracovatelů, než ty vymezené v odst. 7.1 této přílohy, oznámí toto neprodleně Uživateli, nejpozději pak k okamžiku, kdy toto zpracování započne. Poskytovatel se zavazuje své subzpracovatele zavázat přinejmenším ve stejném rozsahu, jako v této Zpracovatelské smlouvě.

8. Zabezpečení osobních údajů

8.1. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

Provozovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

8.2. PŘÍKLADY OPATŘENÍ

Provozovatel přijal a udržuje zejména následující opatření k zajištění přiměřené úrovně zabezpečení, mimo jiné spočívající v následujícím:

8.2.1.

pseudonymizace a šifrování osobních údajů (je-li to možné);

8.2.2.

schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;

8.2.3.

schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;

8.2.4.

proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

8.2.5.

víceúrovňový firewall;

8.2.6.

antivirovou ochranu a kontrolu neoprávněných přístupů;

8.2.7.

šifrovaný přenos dat;

8.3. OZNÁMENÍ PORUŠENÍ ZABEZPEČENÍ

V případě, že Provozovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu Uživateli.

9. Závěrečná ustanovení

9.1. PLATNOST A ÚČINNOST ZPRACOVATELSKÉ SMLOUVY

Tato Zpracovatelská smlouva je platná a účinná od 1.9.2021.

9.2. POUŽITÍ VOP

V rozsahu neupraveném touto Zpracovatelskou smlouvou se vztah mezi Provozovatelem a Uživatelem řídí VOP.