INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(dále jen „Informační doložka“)
dle čl. 13 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále též jako „GDPR“) poskytnutásprávcem:
Správce:
Tereza Sládková IČO:05429579
se sídlem Keltská 36,Praha 4 Točná,143 00
V souvislosti s uzavřenímkupní smlouvy(dále jen „Smlouva“)mezi Vámi jako zákazníkem, jste-li fyzická osoba (dále jen „Subjekt údajů“), aSprávcem jako druhou smluvní stranou Vás Správceinformuje ve smyslu čl. 13 GDPR o zpracování osobních údajů, ke kterému dojde v souvislosti s uzavřením Smlouvy:
(společně dále jen „Osobní údaje“).
PŘI VYPLNĚNÍ KONTAKTNÍHO FORMULÁŘE
(společně dále jen „Osobní údaje“).
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ NA ZÁKLADĚ SOUHLASU
K ODBĚRU NEWSLETTERU
(dále jen „Osobní údaje“).
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ NA ZÁKLADĚ SOUHLASU
PŘI VYPLNĚNÍ A PUBLIKACI RECENZE ZBOŽÍ ZE STRANY ZÁKAZNÍKA JAKO SUBJEKTU ÚDAJŮ
(společně dále jen „Osobní údaje“).
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ NA ZÁKLADĚ SOUHLASU
PŘI ZALOŽENÍ UŽIVATELSKÉHO ÚČTU
(společně dále jen „Osobní údaje“).
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená níže uvedeného dne, měsíce a roku dle ustanovení čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále též jako „GDPR“) mezi následujícími účastníky (dále jen „Smlouva“):
Správce:
Tereza Sládková, IČO: 05429579
se sídlem 5.května 1154/45, 140 00 Praha 4
(dále jen „správce osobních údajů“ nebo „správce“)
a
Zpracovatel:
Jirsa & Záruba s.r.o. , IČO: 05348633
se sídlem Husinecká 903/10, Žižkov, 130 00 Praha 3
zapsána v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl C, vložka 262281
(dále jen „zpracovatel osobních údajů“ nebo „zpracovatel“)
(správce a zpracovatel dále společně označeni také jen jako „smluvní strany“ či „strany“)
1. Preambule
1.1. Smluvní strany uzavřely smlouvu o poskytování služeb č. 5010000573 (dále též „Hlavní smlouva“), na základě které zpracovatel poskytuje správci služby související s provozem e-shopu carpfood.cz a/nebo dalších webových aplikací ve sjednaném rozsahu a/nebo služby související s poskytnutím webového prostoru (dále jen „Služba“) prostřednictvím systému www.jzshop.cz a dalších technických prostředků provozovaných zpracovatelem (dále jen „Informační systém“).
1.2. Smluvní strany jsou srozuměny s tím, že v souvislosti s plněním Hlavní smlouvy dochází v určitých případech na základě smluvního pověření správce i ke zpracování osobních údajů ze strany zpracovatele ve smyslu článku 4 odst. 2) a článku 28 GDPR.
1.3. Za účelem splnění požadavků dle článků 28 a 29 GDPR uzavírají smluvní strany tuto Smlouvu.
1.4. Tato Smlouva stanoví vzájemná práva a povinnosti smluvních stran tak, aby veškeré další zpracování osobních údajů ze strany zpracovatele v souvislosti s plněním Hlavní smlouvy splňovalo příslušné požadavky GDPR a aby byla zajištěna účinná ochrana zpracovávaných osobních údajů, jakož i ochrana práv dotčených subjektů údajů. Smluvní strany výslovně a společně prohlašují a potvrzují, že zpracovatel pověřený správcem je v tomto směru osobou poskytující dostatečné záruky provedení potřebných technických a organizačních opatření k ochraně zpracovávaných osobních údajů.
2. Vymezení pojmů
2.1. Pojmem „osobní údaj“ zpracovávaným v souvislosti s provozem Informačního systému se pro účely této Smlouvy rozumí osobní údaje ve smyslu GDPR týkající se subjektů údajů, které byly správcem získány za jím stanoveným účelem a k nimž má zpracovatel ze smluvního pověření správce dle této Smlouvy přístup a v souvislosti s plněním Hlavní smlouvy je zpracovává, přičemž se jedná zejména, nikoliv však výlučně, o následující kategorie osobních údajů:
- adresní a identifikační údaje;
- zvláštní kategorie údajů;
- popisné údaje;
- údaje o jiné osobě.
Kategorie a typy zpracovávaných osobních údajů určuje výhradně správce nastavením Služby ve webové administraci Informačního systému a/nebo zpřístupněním osobních údajů v Informačním systému. S ohledem na rozsah Služby může docházet ke zpracování jakýchkoli kategorií a typů osobních údajů. Rovněž není vyloučeno zpracování zvláštních kategorií osobních údajů s ohledem na rozsah poskytované Služby.
2.2. Pojmem „subjekt údajů“ se pro účely této Smlouvy rozumí fyzické osoby, jejichž osobní údaje jsou zpracovávány v Informačním systému , přičemž se jedná zejména, nikoliv však výlučně, o následující subjekty údajů:
- dodavatelé a jiní obchodní partneři;
- zaměstnanci;
- členové orgánů, společníci;
- dlužníci nebo další fyzické osoby v jakémkoli právním vztahu se správcem, ke zpracování jejichž osobních údajů má správce právní důvod či oprávněný zájem.
2.3. Pojmem „zpracování osobních údajů“ se pro účely této Smlouvy rozumí jakákoli operace nebo soubor operací s osobními údaji, které jsou prováděny výlučně za účelem uvedeným v této Smlouvě, v nezbytně nutném rozsahu, v přímé souvislosti s poskytováním plnění dle Hlavní smlouvy, a které budou zpracovateli zpřístupněny správcem osobních údajů nebo jeho jménem v souvislosti s provozem Informačního systému.
2.4. Pojmem „dozorový úřad“ se pro účely této Smlouvy rozumí orgán zřízený v České republice za účelem správního dozoru nad dodržováním povinností dle GDPR a vnitrostátních adaptačních předpisů, kterým je Úřad pro ochranu osobních údajů.
3. Předmět Smlouvy
3.1. Předmětem této Smlouvy je úprava vzájemných práv a povinností smluvních stran při zpracování osobních údajů ze strany zpracovatele v souvislosti s plněním Hlavní smlouvy, a to v souladu s platnými právními předpisy, zejména s GDPR, jakož i s ustanoveními této Smlouvy a individuálními pokyny správce.
3.2. Předmětem dalšího zpracování dle této Smlouvy jsou osobní údaje subjektů údajů, které jsou zpracovány v Informačním systému, a to po dobu stanovenou níže v této Smlouvě.
3.3. Zpracovatel, z pověření správce, osobní údaje zpracovává elektronickými prostředky, automatizovaně i neautomatizovaně a s ohledem na komplexní správu databáze osobních údajů vedenou pro správce všemi dostupnými operacemi, které umožňuje Informační systém, jako je například shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
3.4. Správce se touto Smlouvou za účelem realizace spolupráce dle Hlavní smlouvy se zpracovatelem zavazuje předávat mu v Informačním systému pouze osobní údaje subjektů údajů, které spravuje na základě jejich řádného souhlasu nebo na základě jiného právního titulu uvedeného v odst. 5.3 této Smlouvy, a zpracovatel se zavazuje zpracovávat tyto osobní údaje za podmínek stanovených v této Smlouvě a v souladu s obecně závaznými právními předpisy, zejména GDPR.
3.5. Správce touto Smlouvou pověřuje zpracovatele na základě a v souvislosti s Hlavní smlouvou k dalšímu zpracování osobních údajů subjektů údajů za podmínek a požadavků, které stanoví ustanovení této Smlouvy, platné právní předpisy, jakož i příslušné pokyny správce.
3.6. Zpracovatel je oprávněn využít pro zpracování osobních údajů jakéhokoliv dalšího zpracovatele bez povolení správce (dále jen „ další zpracovatelé“). Zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, které je zpracovatel oprávněn činit jednostranně, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky, které je zpracovatel povinen zvážit. Zpracovatel informuje správce o těchto dalších zpracovatelích v době uzavření Smlouvy:
a) Společnost ServerZone s.r.o. (správa hardware a webhosting), sídlem Skuteckého 1705/3a, 163 00 Praha, ČR
3.7. Správce bere na vědomí, že Informační systém bude zpracovatelem provozován na serveru v sídle a/nebo provozovně zpracovatele a/nebo na serveru umístěném v datacentru v sídle a/nebo provozovně kteréhokoliv z dalších zpracovatelů.
4. Povinnosti zpracovatele spojené se zpracováním osobních údajů
4.1. Zpracovatel bude při plnění svých povinností dle této Smlouvy dodržovat požadavky stanovené pro zpracovatele osobních údajů platnými právními předpisy, zejména GDPR, a dále postupovat zejména v souladu ustanoveními této Smlouvy, jakož i s pokyny správce. Správce bere na vědomí, že zpracovatel zpracovává osobní údaje na základě doložených pokynů správce udělených mu zejména prostřednictvím Informačního systému.
4.2. Zpracovatel se zavazuje zpracovávat osobní údaje subjektů údajů výlučně na základě této Smlouvy za účelem stanoveným správcem a v rozsahu nezbytném pro naplnění tohoto účelu. Nad rámec této Smlouvy je zpracovatel oprávněn zpracovávat osobní údaje výlučně na základě doložených pokynů správce. Zpracovatel je zároveň oprávněn a povinen správce informovat v případě, že podle názoru zpracovatele pokyny správce odporují obecně závazným právním předpisům. V tomto směru zpracovatel poskytuje správci potřebnou součinnost za účelem efektivního zajištění všech zákonných i smluvních povinností při zpracování osobních údajů, a je správci nápomocen prostřednictvím vhodných technických a organizačních opatření.
4.3. Zpracovatel je povinen při plnění této Smlouvy důsledně dodržovat všechna technická a organizační opatření stanovená touto Smlouvou s cílem chránit osobní údaje před náhodným nebo neoprávněným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, a to obzvláště v případech, kdy je se zpracováním spojen přenos osobních údajů prostřednictvím elektronické sítě. Zpracovatel přijal a zajišťuje následující opatření k zajištění potřebné úrovně zabezpečení:
4.3.1. pořizování záznamů, které umožní určit a ověřit, kdy a kým byly osobní údaje zaznamenány nebo jinak zpracovány;
4.3.2. šifrování přenosu dat;
4.3.3. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, vzhledem k zavedeným technickým opatřením a jejich pravidelnou kontrolu
4.3.4. schopnost obnovit dostupnost osobních údajů;
4.3.5. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených opatření pro zajištění bezpečnosti zpracování;
4.3.6. schopnost zajištění ochrany integrity komunikačních sítí;
4.3.7. antivirovou ochranu a kontrolu neoprávněných přístupů;
4.3.8. zabezpečený přenos dat, který umožňuje jednoznačnou identifikaci příjemce prostřednictvím odpovídajících nástrojů;
4.3.9. zajištění fyzické bezpečnosti zpracovávaných a uchovávaných osobních údajů;
4.3.10. zálohování dat, které je prováděno do alespoň jedné (1) nezávislé lokality, kde jsou osobní údaje uchovávány v zabezpečené podobě.
4.4. Zpracovatel je povinen chránit osobní údaje před všemi neoprávněnými formami zpracování, a to včetně přijetí potřebných opatření k zajištění spolehlivosti a mlčenlivosti svých zaměstnanců, kteří mají přístup k údajům, a k zajištění toho, aby tito zaměstnanci byli podrobně seznámeni s povinnostmi zpracovatele dle této Smlouvy a dle platných právních předpisů, zejména GDPR. Tato opatření je zpracovatel povinen přijmout s ohledem na stav technologického vývoje, přičemž by tato opatření měla zajišťovat úroveň zabezpečení odpovídající škodě, která by mohla vzniknout v důsledku neoprávněného či protiprávního zpracování nebo náhodné ztráty, zničení či jiného poškození osobních údajů.
4.5. Zpracovatel je povinnen vést záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
4.5.1. jméno/obchodní firmu a kontaktní údaje zpracovatele a správce, a jejich případné zástupce a/nebo pověřence pro ochranu osobních údajů;
4.5.2. kategorie zpracování prováděného pro správce;
4.5.3. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace a případného doložení vhodných záruk;
4.5.4. obecný popis technických a organizačních bezpečnostních opatření.
4.6. Zpracovatel je povinen poskytovat správci součinnost při ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici a zavazuje se na požádání tohoto dozorového úřadu s ním spolupracovat a/nebo mu poskytnout záznamy o činnostech zpracování. Dále se zavazuje poskytnout správci veškeré informace potřebné doložení toho, že byly splněny jeho zákonné povinnosti jakožto zpracovatele osobních údajů vyplývající z platné a účinné právní úpravy ochrany osobních údajů, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
4.7. Zpracovatel je povinen zabránit přístupu k předaným osobním údajům ze strany jakékoli třetí strany a nepředávat tyto osobní údaje do třetí země mimo území Evropské unie/ EHP s výjimkou případů, kdy se tak děje na základě: (i) výslovného pokyny správce, nebo (ii) kdy je toto zpřístupnění či zveřejnění vyžadováno na základě zákonné či regulatorní povinnosti, přičemž zpracovatel (nezakazuje-li to právní či jiný předpis) na tuto povinnost správce s přiměřeným předstihem upozornil a umožnil mu se k tomuto vyjádřit.
4.8. Zpracovatel je povinen zpracovávat osobní údaje pouze po dobu nezbytnou k plnění Hlavní smlouvy, resp. po dobu, po kterou je zpracovatel oprávněn osobní údaje zpracovávat na základě nastavení Služby správcem ve webové administraci Informačního systému, nejdéle však po dobu trvání této Smlouvy. Dobu zpracování každého osobního údaje či kategorie osobních údajů určuje výhradně správce, a to zejména nastavením Služby ve webové administraci Informačního systému, přičemž zpracovatel nepřijímá jakoukoli odpovědnost za takové nastavení Služby správcem. Po uplynutí doby zpracování zpracovatel vydá správci na jeho písemnou žádost veškeré osobní údaje zpracovávané na základě této Smlouvy a v souladu s platnou a účinnou právní úpravou ochrany osobních údajů vymaže či zničí všechny kopie a duplicitní záznamy, které obsahují předané osobní údaje, s výjimkou případů, kdy je uložení osobních údajů vyžadované obecně závaznými právními předpisy České republiky nebo právem nebo EU.
4.9. Zpracovatel bude předané osobní údaje zpracovávat elektronickými prostředky (automatizovaně i neautomatizovaně), a v souvislosti s tím poskytuje správci tyto záruky o technickém a organizačním zabezpečení ochrany předaných osobních údajů:
4.9.1. zpracování osobních údajů bude probíhat výhradně na zabezpečných serverech, které jsou technicky zabezpečeny proti vloupání, krádeži a nebezpečí požáru a/nebo zabezpečných nosičích dat;
4.9.2. zpracování osobních údajů bude prováděno výhradně prostřednictvím oprávněných zaměstnanců nebo pracovníků zpracovatele nebo dalšího zpracovatele vázaných povinností mlčenlivosti, kteří mají přístup k osobním údajům v Informačním systému pouze v rozsahu odpovídajícím oprávnění těchto osob, a to na základě unikátního uživatelského oprávnění zřízeného výlučně pro tyto osoby;
4.9.3. zpracování osobních údajů v elektronické formě bude probíhat výhradně na moderní výpočetní technice, u které systém přístupových kódů, hesel a dalších technických opatření zamezuje neoprávněnému vstupu třetích osob, jakož i neoprávněným přenosům či jinému zneužití zpracovávaných osobních údajů;
4.9.4. zpracování osobních údajů bude prováděno v náležitě zabezpečených objektech a místnostech;
4.9.5. konkrétní technická a organizační opatření k ochraně osobních údajů při elektronickém zpracování stanoví odst. 4.3 této Smlouvy.
4.10. Zpracovatel je povinen nahradit správci prokázanou škodu a výdaje (včetně soudních výloh) v souvislosti s jeho oprávněným nárokem uplatněným v důsledku porušení (i)
ujednání této Smlouvy nebo (ii) platné a účinné právní úpravy ochrany osobních údajů, představované zejména GDPR ze strany zpracovatele.
4.11. Jestliže zpracovatel zjistí porušení povinností správce stanovených platnou a účinnou právní úpravou ochrany osobních údajů, představovanou zejména GDPR, upozorní na tuto skutečnost správce a současně je oprávněn ukončit takové zpracování osobních údajů.
4.12. Zpracovatel je povinen po zjištění jakékoli nesrovnalosti, nejasnosti, technické závady nebo jiné události o tom neprodleně informovat správce a navrhnout mu vhodné technické nebo organizační opatření.
5. Povinnosti správce spojené se zpracováním osobních údajů a jeho odpovědnost
5.1. Správce zpřístupní zpracovateli prostřednictvím Informačního systému osobní údaje, a to výhradně v rozsahu a za účelem dle této Smlouvy.
5.2. Správce zpřístupní zpracovateli osobní údaje v Informačním systému a v této souvislosti prohlašuje, že tyto údaje jsou pravdivé a přesné. Dále se správce zavazuje poskytovat zpracovateli potřebnou další součinnost při ověřování, zda jsou předané údaje pravdivé a přesné. Zpracovatel neodpovídá za pravdivost a přesnost osobních údajů předaných správcem.
5.3. Účelem zpracování osobních údajů ze strany správce jsou zejména:
- plnění obchodní smlouvy;
- interní administrativní účely správce;
- plnění povinností vyplývajících z daňových a jiných právních předpisů;
- statistické, analytické, marketingové a reklamní účely.
Zpracovatel není oprávněn určovat ani povinen ověřovat účel zpracování osobních údajů, a tudíž nepřijímá jakoukoli odpovědnost za stanovení účelu zpracování osobních údajů správcem.
5.4. Právními tituly zpracování osobních údajů ze strany správce jsou zejména:
- plnění právních povinností správce;
- plnění smlouvy;
- oprávněný zájem správce;
- souhlas subjektu údajů se zpracováním osobních údajů.
Zpracovatel není oprávněn určovat ani povinen ověřovat oprávněnost právních titulů zpracování osobních údajů, a tudíž nepřijímá jakoukoli odpovědnost za oprávněnost zpracování osobních údajů správcem.
5.5. Správce se zavazuje neprodleně zpracovateli oznámit všechny změny týkající se předaných osobních údajů.
5.6. Správce bere na vědomí, že zpřístupněním/předáním osobních údajů ke zpracování se nezbavuje povinností stanovených platnou a účinnou právní úpravou ochrany osobních údajů, zejména GDPR.
5.7. Správce se zavazuje zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s platnou a účinnou úpravou ochrany osobních údajů a tato opatření pravidelně minimálně jednou za rok revidovat a aktualizovat. Dále se správce zavazuje zajistit záměrnou a standartní ochranu osobních údajů, zabezpečit zpracování osobních údajů a toto řádně zdokumentovat a vést záznamy o činnostech zpracování osobních údajů za něž odpovídá a které obsahují:
5.7.1. jméno/obchodní firmu a kontaktní údaje správce a jeho případného zástupce a/nebo pověřence pro ochranu osobních údajů;
5.7.2. účel zpracování;
5.7.3. popis kategorií subjektů údajů a kategorií osobních údajů;
5.7.4. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
5.7.5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace a případného doložení vhodných záruk;
5.7.6. plánované lhůty pro výmaz osobních údajů;
5.7.7. obecný popis technických a organizačních bezpečnostních opatření.
6. Závěrečná ujednání
6.1. Tato Smlouva nabývá platnosti a ú