Smlouva o zpracování osobních údajů

uzavřená dle zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů a dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

(tato smlouva dále označena též jako „Smlouva“)

1.             Smluvní strany a jejich postavení

Správce - je společnost, nebo soukromá osoba, která využívá mobilní aplikaci a přidružené služby na základě licenční smlouvy (dále jen „Správce“).

1.1.         Zpracovatel

Název/Jméno:

AppElis.com, a.s., odštěpný závod

Sídlo:

Purkyňova 649/127, Medlánky, 612 00 Brno

IČO:

247 83 226

Údaj o zápisu do veřejného rejstříku:

Obchodní společnost zapsaná v obchodním rejstříku pod. sp. zn. A 26389 vedenou u Krajského soudu v Brně.

Zástupce – osoba oprávněná k právnímu jednání za účastníka Smlouvy:

Ing. Tomáš Króner, vedoucí odštěpného závodu.

(dále jen „Zpracovatel“)

(Správce a Zpracovatel dále společně též „Smluvní strany“)

1.2.         Smluvní strany prohlašují, že mají veškerá práva a způsobilost k tomu, aby plnily závazky vyplývající z této Smlouvy, a že neexistují žádné právní překážky, které by bránily či omezovaly plnění jejich závazků, a že uzavřením Smlouvy nedojde k porušení žádného právního předpisu.

1.3.         Vzhledem k tomu, že Zpracovatel poskytuje na základě licenční smlouvy (dále jen „Licenční smlouva“) Správci služby spočívající ve v provozování Aplikace, technickou podporu, poskytnutí prostoru na uložení dat a v této souvislosti bude Zpracovatel nakládat s osobními údaji uživateli mobilní aplikace jako zpracovatel, přičemž bude docházet ke zpracování osobních údajů ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen „Zákon o ochraně osobních údajů“), a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), uzavírají Smluvní strany v souladu s  ustanoveními § 6 Zákona o ochraně osobních údajů a čl. 28 odst. 3 a 9 GDPR tuto Smlouvu.

2.             Předmět Smlouvy

2.1.         Předmětem Smlouvy je stanovení práv a povinností Smluvních stran souvisejících se zpracováním osobních údajů, a to za podmínek uvedených dále v této Smlouvě.

2.2.         Zpracovatel se zavazuje pro Správce zpracovávat osobní údaje v rozsahu, za účely, po dobu a způsoby uvedenými v článku 3 této Smlouvy, a to v souladu s doloženými pokyny Správce vydanými v souladu s odst. 3.5 této Smlouvy.

3.             Zpracování osobních údajů

3.1.         Zpracovatel se zavazuje na základě této Smlouvy zpracovávat následující kategorie a typy osobních údajů týkající se následujících kategorií subjektů údajů (dále jen „Osobní údaje“):

Typ osobních údajů[KH1] 

Kategorie osobních údajů[KH2] 

Kategorie subjektů údajů, ke kterým se osobní údaje vztahují[KH3] 

Obecné kategorie osobních údajů bez zvláštních kategorií

- identifikační údaje,

- adresní údaje

- údaje o historii nákupů

- platební a fakturační údaje

uživatelé mobilní aplikace Správce, popřípadě zákazníci Správce

3.2.         Na základě této Smlouvy bude Zpracovatel zpracovávat Osobní údaje pouze za účelem provozu mobilní aplikace, včetně servisu, nákupu a placení prostřednictvím aplikace

Pro vyloučení pochybností se Zpracovatel zavazuje pro Správce nezpracovávat jakékoliv osobní údaje pro jiný účel, než který je stanovený v tomto odst. 3.2. Smlouvy.

3.3.         Zpracování Osobních údajů Zpracovatele bude mít následující povahu:

3.3.1.    shromažďování;

3.3.2.    ukládání na nosiče informací;

3.3.3.    třídění;

3.3.4.    předávání a uchovávání;

3.3.5.    strukturování;

3.3.6.    uložení; a

3.3.7.    zpřístupnění a další operace, které souvisí s plněním Licenční smlouvy;

a to automatizovaně a případně i manuálně tak, aby tato činnost odpovídala účelu zpracování Osobních údajů podle odst. 3.2. této Smlouvy.

3.4.         Zpracovatel se zavazuje zpracovávat Osobní údaje po dobu účinnosti této Smlouvy, nejdéle však po dobu účinnosti Licenční smlouvy.

3.5.         Zpracovatel se zavazuje zpracovávat Osobní údaje dle této Smlouvy pouze na základě pokynu dle Licenční smlouvy.

3.6.         Zpracovatel se zavazuje zpracovávat Osobní údaje i v souladu s dalšími doloženými pokyny Správce, které může Správce Zpracovateli udělit v souladu s Licenční smlouvou a které Správce Zpracovateli udělí v průběhu trvání této Smlouvy, a to prostřednictvím e-mailu a následného dodatku k Licenční smlouvě.

3.7.         Zpracovatel se zavazuje informovat Správce, v případě, že podle jeho názoru určitý pokyn Správce porušuje GDPR nebo jiné předpisy Evropské unie či jiného členského státu.

4.             Mlčenlivost

4.1.         Zpracovatel se touto Smlouvou zavazuje zachovávat mlčenlivost o veškerých skutečnostech souvisejících s plněním této Smlouvy, zejména o Osobních údajích a o jejich zpracování, vč. bezpečnostních opatření přijatých v rámci tohoto zpracování (dále jen „Důvěrné informace“).

4.2.         Zpracovatel se zavazuje ve vztahu k Důvěrným informacím zavázat mlčenlivostí všechny své zaměstnance, popřípadě třetí osoby, které zpracovávají Osobní údaje na základě smlouvy se Zpracovatelem, ve stejném rozsahu, jako je zavázán on sám, a to i po skončení pracovněprávního nebo smluvní vztahu mezi příslušnou osobou a Zpracovatelem. Zpracovatel odpovídá za porušení povinnosti mlčenlivosti těchto osob, jako by se porušení této povinnosti dopustil on sám.

5.             Zabezpečení Osobních údajů

5.1.         Zpracovatel se zavazuje přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.

5.2.         Zpracovatel se zavazuje učinit zejména následující ochranná opatření:[KH4] 

5.2.1.    Osobní údaje uchovávané v elektronické podobě chránit před neoprávněným přístupem pomocí vytvoření přístupových práv a kontroly přístupu do sítě včetně technologie firewallů, jak hardwarových, tak i softwarových komponent, technologie detekce síťových průniků a šifrovací technologie, vybrané podle jejich vhodnosti;

5.2.2.    Zajistit ochranu, udržování a monitorování zabezpečení a integrity sítě Zpracovatele;

5.2.3.    Pravidelné zálohování dat včetně zajištění potřebného software a hardware pro provádění bezpečnostních záloh;

5.2.4.    Určit pověřené fyzické osoby ke zpracování Osobních údajů, přičemž pouze tyto osoby budou oprávněny k přístupu a zpracování Osobních údajů v souladu s ustanoveními této Smlouvy;

5.2.5.    případně další technická opatření, která jsou obecně uznávána jako vhodná bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.

5.3.         Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany Osobních údajů v souladu se Zákonem o ochraně osobních údajů a jinými právními předpisy, zejména GDPR, a udržovat takovou dokumentaci aktuální. Zpracovatel se zavazuje zpřístupnit dokumentaci technických a organizačních opatření Správci nejpozději do 10 pracovních dní od doručení žádosti Správce.

6.             Zapojení dalšího zpracovatele

6.1.         Správce bere na vědomí a souhlasí s tím, že Zpracovatel zapojí do zpracování Osobních údajů podle této Smlouvy i další zpracovatele ve smyslu čl. 28 odst. 2 GDPR, a to za splnění podmínek stanovených v tomto článku 6. Zpracovatel se zavazuje informovat Správce o veškerých dalších zpracovatelích, které zamýšlí zapojit do zpracování Osobních údajů dle této Smlouvy případně o nahrazení již zapojených dalších zpracovatelů. Správce je oprávněn vyslovit vůči zapojení či změně dalšího zpracovatele odůvodněné námitky, a to do 5 (pěti) pracovních dní ode dne doručení příslušného oznámení Zpracovatele týkajícího se zapojení či změny dalšího zpracovatele.

6.2.         Zpracovatel se zavazuje zavázat Dalšího zpracovatele stejnými povinnostmi, jakými je Zpracovatel touto Smlouvou vázán sám.

6.3.         Zpracovatel odpovídá za zpracování Osobních údajů, které svěřil Dalšímu zpracovateli, v plném rozsahu. Zpracovatel odpovídá za porušení povinností dle této Smlouvy nebo dle právního řádu při zpracování Osobních údajů Dalším zpracovatelem, jako by se porušení příslušné povinnosti dopustil od sám.

7.             Součinnost a audit[KH5] 

7.1.         Zpracovatel se zavazuje poskytovat Správci součinnost v rozsahu nezbytném k zajištění souladu zpracování Osobních údajů dle této Smlouvy s právním řádem. V rámci této součinnosti se zavazuje Zpracovatel zejména (nikoliv však pouze):

7.1.1.    bez zbytečného odkladu přijmout technická nebo organizační opatření v rozsahu nezbytném k prevenci nebo nápravě porušení této Smlouvy nebo právních předpisů upravujících ochranu osobních údajů;

7.1.2.    být nápomocen Správci při zavádění a udržování vhodných technických a organizačních opatření zpracování Osobních údajů v souvislosti s plněním této Smlouvy;

7.1.3.    bez zbytečného odkladu hlásit Správci každé porušení zabezpečení Osobních údajů nebo jiný bezpečnostní incident, který by se mohl dotknout zpracování Osobních údajů dle této Smlouvy nebo práv a právem chráněných zájmů subjektů Osobních údajů;

7.1.4.    být nápomocen Správci při posuzování vlivu na zpracování Osobních údajů dle této Smlouvy na ochranu osobních údajů, popř. při předchozích konzultacích s dozorovým úřadem;

7.1.5.    bez zbytečného odkladu poskytnout Správci veškeré podklady a informace nezbytné k doložení toho, že zpracování Osobních údajů dle této Smlouvy probíhá v souladu s právním řádem;

7.1.6.    v souladu s právní řádem bez zbytečného odkladu vyhovět řádně a včas žádosti subjektu Osobních údajů, který uplatnil své právo, jež mu právní řád přiznává (právo na přístup, opravu, výmaz apod.), u Správce nebo Zpracovatele.

7.2.         Správce má právo provést u Zpracovatele audit souladu zpracování Osobních údajů s právním řádem a audit zabezpečení Osobních údajů (dále jen souhrnně „Audit“), a to prostřednictvím sebe nebo pověřené třetí osoby. Zpracovatel se zavazuje poskytnout Správci nebo Správcem pověřené třetí osobě veškerou součinnost nezbytnou k provedení Auditu, zejm. poskytnout dokumentaci technických a organizačních opatření zpracování Osobních údajů a jiné interní předpisy týkající se zpracování Osobních údajů, na nezbytně nutnou dobu zpřístupnit své elektronické a informační systémy v rozsahu nezbytném k provedení Auditu. Správce se zavazuje provést Audit tak, aby bylo fungování Zpracovatele narušeno pouze v nezbytné míře.

7.3.         Správce má právo provést Audit vždy jednou za 6 měsíců trvání této Smlouvy a dále pokaždé, když dojde k porušení povinností dle této Smlouvy nebo povinností, které pro zpracování osobních údajů ukládá právní řád, Zpracovatelem nebo Dalším zpracovatelem.

7.4.         V případě, že má Správce v úmyslu uskutečnit u Zpracovatele Audit, je povinen o tom Zpracovatele informovat nejpozději 14 dní před termínem zamýšleného Auditu. Smluvní strany se dohodly, že Zpracovatel má právo navrhnout jiný vhodný termín, ne však později než 14 dní od termínu navrhovaného Správcem. V případě, že Správce nebude s takto navrženým termínem souhlasit, termín Auditu bude stanoven na desátý pracovní den v kalendářním měsíci následujícím po měsíci, ve kterém bylo oznámení Správce o Auditu doručeno Zpracovateli. V případě, že Zpracovatel na návrh Správce nezareaguje do 5 pracovních dní od obdržení či nenavrhne do této doby jiný termín, platí termín navrhovaný Správcem podle první věty tohoto odstavce.

7.5.         Zpracovatel se zavazuje bez zbytečného odkladu přijmout technická a organizační opatření k nápravě pochybení nebo bezpečnostních rizik zjištěných Auditem v rozsahu nezbytném k zajištění nápravy.

7.6.         Zpracovatel se zavazuje, že Správce bude oprávněn provést Audit u Dalšího zpracovatele v rozsahu a za podmínek dle odst. 7.2. až 7.5. této Smlouvy.

8.             Ostatní povinnosti Zpracovatele

8.1.         Zpracovatel se zavazuje plnit povinnosti zpracovatele stanovené Zákonem o ochraně osobních údajů, GDPR a touto Smlouvou, a to zejména:

8.1.1.    dodržovat prostředky a způsoby zpracování Osobních údajů stanovené touto Smlouvou;

8.1.2.    zpracovat pouze přesné Osobní údaje, které byly získány v souladu se Zákonem o ochraně osobních údajů a GDPR, a je-li to nezbytné, Osobní údaje aktualizovat; zpracovává-li Zpracovatel nepřesné Osobní údaje, je povinen bez zbytečného odkladu provést přiměřená opatření, zejména zpracování blokovat, Osobní údaje opravit nebo doplnit, nebo není-li to možné, nepřesné Osobní údaje zlikvidovat;

8.1.3.    shromažďovat Osobní údaje odpovídající účelu zpracování a pouze v rozsahu nezbytném pro naplnění tohoto účelu;

8.1.4.    zpracovávat Osobní údaje pouze v souladu s účelem, k němuž byly shromážděny;

8.1.5.    uchovávat Osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování;

8.1.6.    nesdružovat Osobní údaje, které byly získány k rozdílným účelům;

8.1.7.    zpracovávat Osobní údaje tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů;

8.1.8.    přijmout bezpečnostní opatření stanovená touto Smlouvou;

8.1.9.    provést likvidaci Osobních údajů na základě pokynu Správce nebo na základě žádosti subjektu Osobních údajů; a

8.1.10. nepředávat Osobní údaje třetím osobám bez pověření Správce.

9.             Ukončení Smlouvy

9.1.         Smlouva je sjednána na dobu určitou, a to od nabytí její účinnosti do ukončení Licenční smlouvy z jakéhokoli důvodu.

9.2.         V případě ukončení této Smlouvy dle odst. 9.1. této Smlouvy se Zpracovatel zavazuje všechny Osobní údaje předat Správci prostřednictvím uživatelského rozhraní Správce, kde má Správce možnost stáhnout si kopii Osobních údajů a vymazat existující kopie, pokud mu zákon neukládá takové existující kopie zachovat.[KH6] 

9.3.         Zpracovatel se zavazuje zachovávat mlčenlivost dle čl. 4. této Smlouvy a zajistit zabezpečení Osobních údajů, pokud tyto Osobní údaje nezlikviduje, i po ukončení závazku z této Smlouvy.

10.          Závěrečná ustanovení

10.1.      Smluvní strany výslovně vylučují použití ustanovení § 1740 odst. 3 (přijetí nabídky s dodatkem nebo odchylkou) a § 1798 až 1800 (smlouvy uzavírané adhezním způsobem) zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů.

10.2.      Tato Smlouva nabývá platnosti a účinnosti dnem jejího uzavření.

10.3.      Smlouva nebo právní vztah z ní vzniklý mohou být měněny dohodou Smluvních stran pouze v písemné formě; podpisy Smluvních stran musí být na jedné listině. Jednostranné právní jednání, kterým se mění nebo zaniká tato Smlouva nebo právní vztah z ní vzniklý jinak než splněním závazků ze Smlouvy, musí být učiněno ve formě předpokládané právním řádem, alespoň však v prosté písemné formě.

10.4.      Pokud vyjde najevo, že některé ustanovení této Smlouvy je nebo se stalo neplatným, v rozporu s vůlí Smluvních stran neúčinným nebo neaplikovatelným nebo že taková neplatnost, neúčinnost nebo neaplikovatelnost neodvratně nastane (zejména v důsledku změny příslušných právních předpisů), nemá to vliv na platnost, účinnost nebo aplikovatelnost ostatních ustanovení této Smlouvy. Smluvní strany se v uvedených případech zavazují k poskytnutí si vzájemné součinnosti a k učinění příslušných právních jednání za účelem nahrazení neplatného, neúčinného nebo neaplikovatelného ustanovení ustanovením jiným tak, aby byl zachován a naplněn účel této Smlouvy.

10.5.      Smluvní strany se dohodly, že rozhodným právem pro tuto Smlouvu nebo právní vztahy, které vznikly v souvislosti s touto Smlouvou (včetně závazků k náhradě újmy vzniklé porušením povinností dle této Smlouvy nebo k vydání bezdůvodného obohacení), je právní řád České republiky (s výjimkou kolizních norem mezinárodního práva soukromého).

10.6.      K rozhodování sporů týkajících se závazků z této Smlouvy nebo týkajících se právních vztahů, které vznikly v souvislosti s touto Smlouvou (včetně závazků k náhradě újmy vzniklé porušením povinností dle této Smlouvy nebo k vydání bezdůvodného obohacení), jsou pravomocné soudy České republiky. Pravomoc jiných soudů se nepřipouští.

10.7.      Tato Smlouva se vyhotovuje Zvolte předložku. Zadejte text. stejnopisech. Smluvní strany si stejnopisy smlouvy rozdělí následujícím způsobem:

Zadejte text.

Zadejte počet vyhotovení, případně formu podpisu.

Zadejte text.

Zadejte počet vyhotovení, případně formu podpisu.

[KH7] 

V Zadejte text. dne Zadejte datum.

V Zadejte text. dne Zadejte datum.

 

 

 

 

za Zadejte text., Správce

Zadejte text.

za AppElis.com, a.s., odštěpný závod., Zpracovatele

Zadejte text.

 

 

 

 

 [KH1]Instrukce k vyplnění:

Zde doplňte pouze informaci, zda se jedná o:

-        zvláštní kategorie osobních údajů; nebo

-        ostatní kategorie osobních údajů (nikoliv zvláštní kategorie osobních údajů).

 

Zvláštními kategoriemi osobních údajů (čl. 9 GDPR):

-        údaje o etnickém či rasovém původu (pozn.: fotografie není obecně považována za údaj o etnickém či rasovém původu, pokud tento údaj specificky není dále zpracováván);

-        údaje o politických názorech;

-        údaje o náboženském vyznání či filozofickém přesvědčení;

-        údaje o členství v odborech;

-        genetické a biometrické údaje (pozn.: fotografie není obecně považována za genetický či biometrický údaj, pokud tento údaj není dále specificky zpracováván);

-        údaje o zdravotním stavu;

-        údaje o sexuálním životě a sexuální orientaci.

 

Ostatními kategoriemi osobních údajů jsou všechny ostatní.

 [KH2]Instrukce k vyplnění:

Zde uveďte konkrétní osobní údaje, které mají být Zpracovatelem zpracovávány. Osobním údajem je obecně cokoliv, co vypovídá o fyzické osobě, která je určena konkrétně nebo kterou lze určit ve spojení s jinými informacemi, které jsou zpracovávány společně s předmětnými osobními údaji.

 

Příklady kategorií osobních údajů:

-        identifikační údaje (jméno, příjmení, datum narození, bydliště);

-        kontaktní údaje (emailová adresa, telefonní číslo, korespondenční adresa);

-        údaje o nákupech na e-shopu Správce;

-        behaviorální údaje o užívání webu Správce;

-        pohledávky za subjektem údajů (dluhy subjektu údajů);

-        číslo bot, číslo oblečení;

-        váha, výška, věk;

-        diagnóza a jiné údaje o zdravotním stavu;

-        invalidita (oblast zdravotního postižení, stupeň invalidity);

-        údaje o příjmu zaměstnance (zejm. mzda a benefity);

-        údaje o slevách na dani a o daňových zvýhodněních;

-        údaje o zdravotní pojišťovně;

-        fotografie.

 [KH3]Instrukce k vyplnění:

Zde uveďte fyzické osoby (resp. jejich kategorie), ke kterým jsou zpracovávány osobní údaje uvedené v příslušném řádku tabulky. Pokud je kategorií subjektů údajů více, roztřiďte je do řádku podle toho, jaké kategorie osobních údajů o nich zpracováváte (kategorie osobních údajů se mohou opakovat).

 

Příklady kategorií subjektů údajů:

-        zákazníci Správce;

-        potenciální zákazníci Správce;

-        zaměstnanci Správce;

-        rodinní příslušníci zaměstnanců Správce a jiné osoby, které podléhají daňovým slevám v rámci vedení daňové agendy ve vztahu k zaměstnancům Správce;

-        účastníci marketingové soutěže „XY“;

-        účastníci marketingového průzkumu „XY“;

-        dlužníci Správce.

 [KH4]Instrukce k vyplnění

V tomto případě prosíme o uvedení základních ochranných opatření, které v rámci zpracování máte implementována.

 

V textu naleznete příklady.

 [KH5]Pozn.: Jedná se o úpravu předpokládanou v GDPR, v intencích proběhlého jednání prosíme o kontrolu, zda Vám to takto vyhovuje.

 [KH6]Pozn.: Prosíme o doplnění či úpravu do souladu s Vámi zamýšlenou praxí.

 [KH7]Pozn.: V případě, že tato smlouva bude součástí VOP, lze tuto část vynechat.