1.1. Společnost Let It App s.r.o. (dále jen „Poskytovatel“), uzavřela s Objednatelem smlouvu o užívání systému Let It App (dále jen „Smlouva“, popř. „Smlouva o užívání Systému“), na základě které je Objednatel oprávněn užívat systém Let It App určený pro příjem a evidence objednávek zákazníků Objednatele (dále jen „Systém“).
1.2. Vzhledem k tomu, že Systém je umístěn na serveru Poskytovatele, na který jsou prostřednictvím lokálních aplikací Systému zasílána a ukládána data Objednatele, mimo jiné také osobní údaje zákazníků Objednatele (dále jen „Zákazník“), má Poskytovatel postavení zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení“). Objednatel je správcem osobních údajů vkládaných do Systému, ať už Objednatelem, nebo samotnými Zákazníky.
1.3. Vzhledem k tomu, že Objednatel je správcem osobních údajů vkládaných do Systému, tj. na servery Poskytovatele, a Poskytovatel je zpracovatelem těchto osobních údajů ve smyslu Nařízení, tvoří tento dokument přílohu č. 2 Smlouvy uzavřené mezi Objednatelem a Poskytovatelem. Vzhledem k tomu, že tato příloha č. 2 obsahuje obsahové náležitosti dle čl. 28 Nařízení, bude dále označován jako „Smlouva o zpracování“.
2.1. Předmět zpracování, povaha a účel zpracování, výčet operací zpracování
2.1.1 Předmětem zpracování je závazek Poskytovatele provádět zpracování osobních údajů na základě zdokumentovaného pokynu Objednatele.
2.1.2 Účelem zpracování je zejména splnění povinností Poskytovatele ze Smlouvy o zpřístupnění Systému, případně účel vyplývá z Objednatele.
2.1.3 V souvislosti s provozováním Systému zpravidla dochází k následujícím operacím zpracováním:
2.2. Kategorie subjektů údajů a kategorie zpracovávaných osobních údajů
2.2.1 Dotčenými osobami, jejichž osobní údaje jsou Poskytovatelem dočasně zpracovávány, jsou:
2.2.2 Objednatel bere na vědomí, že Poskytovatel bude po dobu trvání Smlouvy na základě pokynu Objednatele zpracovávat způsobem uvedeným v čl. 2.1.3 následující kategorie osobních údajů:
2.2.3 Sytém není určen ke zpracování a uchovávání citlivých osobních údajů, naplňujících znaky tzv. zvláštní kategorie osobních údajů ve smyslu čl. 9 Nařízení (údaje o sexuální orientaci, zdravotním stavu a další). Vzhledem k tomu, že Objednatel má možnost v rámci administrace Systému vytvářet a spravovat formuláře, nelze proto vyloučit, že budou prostřednictvím Sytému vloženy rovněž citlivé osobní údaje. Na tuto skutečnost však musí Objednatel Poskytovatele výslovně upozornit.
2.3. Způsob a místo zpracování, předávání osobních údajů do třetích zemí
2.3.1 Místem zpracování osobních údajů jsou primárně Česká republika nebo jiný členský stát Evropské unie. Poskytovatel není oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Objednatele předávat osobní údaje do třetích zemí nebo mezinárodní organizaci, ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
2.3.2 Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Objednatele a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země, stanovené v čl. 44 a násl. Nařízení.
2.4. Zapojení dalších zpracovatelů
2.4.1 Objednatel bere na vědomí a souhlasí s tím, že Systém je provozován na serverech umístěných v hostingovém centru společnosti ONEsolution s.r.o., IČ 27710335 a DIČ CZ27710335, která je dalším zpracovatelem ve smyslu čl. 28 odst. 2 Nařízení.
2.4.2 Poskytovatel je oprávněn zapojit do zpracování osobních údajů dalšího dodavatele hostingových, cloudových nebo jiných služeb jako dalšího zpracovatele, popř. nahradit společnost ONEsolution s.r.o. nebo kteréhokoliv dalšího zpracovatele jiným dodavatelem (zpracovatelem). O zapojení případného dalšího zpracovatele je Poskytovatel povinen informovat Objednatele prostřednictvím e-mailu zaslaného na adresu kontaktní osoby uvedené ve Specifikaci (příloha č. 1 Smlouvy o užívání Systému) s předstihem tak, aby mohl Objednatel vyslovit vůči těmto změnám námitky.
2.4.3 Poskytovatel je povinen zajistit, aby jakýkoli další zpracovatel, zapojený do zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto Smlouvou o zpracování, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 5.2 této Smlouvy o zpracování. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany osobních údajů, odpovídá za plnění povinností dotčeného dalšího zpracovatele i nadále Poskytovatel.
3.1. Ve smyslu čl. 28 odst. 3 písm. a) Nařízení je Poskytovatel jako zpracovatel povinen zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele, který je v postavení správce.
3.2. Tato Smlouva o zpracování je pokynem Objednatele ke zpracování osobních údajů, a to v rozsahu, jaký vyplývá z popisu plnění Poskytovatele uvedeného ve Smlouvě. Ke zpracování osobních údajů vložených do Systému Objednatelem, jeho Zákazníkem nebo třetí osobou proto není třeba žádných dalších pokynů Objednatele. Poskytovatel je však povinen dbát všech omezení, která jsou uvedena v této Smlouvě o zpracování.
3.3. Vedle zpracování v rozsahu dle čl. 3.2 této Smlouvy o zpracování může Poskytovatel zpracovávat osobní údaje na základě samostatného pokynu (žádosti) Objednatele v písemné formě, též elektronicky prostřednictvím e-mailu se zaručeným elektronickým podpisem nebo prostřednictvím datové schránky. Na základě takového samostatného pokynu (žádosti) může Objednatel požadovat zejména provedení bezpečného výmazu osobních údajů. Případný export nebo stažení dat či osobních údajů má možnost provést v rámci Systému kdykoliv a bez součinnosti Poskytovatele. Poskytovatel není oprávněn provádět zpracování na základě pokynů udělených mu jinou formou, než jaká je sjednána v tomto článku Smlouvy o zpracování. Poskytovatel je povinen případné samostatné pokyny (žádosti) archivovat.
3.4. Osobami oprávněnými dávat Poskytovateli pokyny jsou členové statutárního orgánu Objednatele a kontaktní osoby výslovně uvedené ve Smlouvě. Člen statutárního orgánu Objednatele může pověřit udělováním pokynů dle tohoto článku Smlouvy o zpracování i další osobu, toto je však povinen Poskytovateli písemně doložit.
4.1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení nebo zrušení Smlouvy o užívání Systému. Tato Smlouva o zpracování je přílohou č. 2 Smlouvy o užívání Systému a zanikne tak automaticky dnem zániku Smlouvy o užívání Systému.
4.2. Objednatel bere na vědomí, že v případě zániku Smlouvy o užívání Systému Poskytovatel v souladu s článkem 7.4.4 Obchodních podmínek užívání informačního systému Let It App (dále jen „Obchodní podmínky“) provede výmaz veškerých dat Objednatele včetně osobních údajů, bez možnosti jejich obnovení. Poskytovatel rovněž provede výmaz veškerých existujících kopií a záloh, pokud právo Unie nebo členského státu EU nepožaduje uložení daných osobních údajů, a to nejpozději do 6 měsíců od zániku Smlouvy o užívání Systému.
4.3. O výmazu osobních údajů vytvoří Poskytovatel záznam (potvrzení), který pošle na kontaktní e-mailovou adresu Objednatele.
4.4. Poskytovatel je si vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Objednatelem.
5.1. Mlčenlivost
5.1.1 Poskytovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance a jiné osoby oprávněné zpracovávat osobní údaje, s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů zpracovávaných prostřednictvím Systému. Poskytovatel seznámí zaměstnance také se skutečností, že tato povinnost mlčenlivosti je neomezená.
5.2. Technická a organizační opatření
5.2.1 Poskytovatel je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této Smlouvy o zpracování i k rizikům pro práva a svobody fyzických osob.
5.2.2 Poskytovatel tímto prohlašuje, že přijal vhodná technická opatření na ochranu osobních údajů, zejména:
5.2.3 Poskytovatel tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Smlouvy o zpracování, zejména:
6.1. Součinnost Poskytovatele
6.1.1 Poskytovatel je povinen poskytnout Objednateli potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů.
6.1.2 Poskytovatel je povinen umožnit audity, včetně inspekcí, prováděné Objednatelem, nebo jiným auditorem pověřeným Objednatelem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.
6.2. Povinnost být nápomocen
6.2.1 Poskytovatel je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, a to při zohlednění povahy zpracování a informací, jež má k dispozici. Poskytovatel je v této souvislosti povinen:
6.2.2 Zjistí-li Poskytovatel v souvislosti s provozováním Systému porušení zabezpečení osobních údajů, které má za následek vysoké riziko pro práva a svobody fyzických osob, např. neoprávněné zpracování, poškození, ztrátu či zničení osobních údajů, je povinen o této skutečnost bez zbytečného odkladu, pokud možno do 48 hodin od okamžiku, kdy se o něm dozvěděl, informovat Objednatele a je-li to možné, poskytnout mu informace v rozsahu dle čl. 33 odst. 3 Nařízení.
6.2.3 Poskytovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele (jako správce osobních údajů) reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Objednatel bere na vědomí, že Systém základní vyhledávání a export dat umožňuje, proto v případě žádosti Objednatele dle tohoto článku, provede Poskytovatel tyto činnosti za přiměřenou úplatu, která bude stanovena jako násobek hodinové sazby 1.500,-Kč bez DPH/hod a počtu Poskytovatelem skutečně vynaložených hodin na uvedené činnosti.
6.3. Odpovědnost smluvních stran
6.3.1 Poskytovatel odpovídá za škodu způsobenou porušením povinností stanovených touto Smlouvou o zpracování, popř. jednal-li nad rámec nebo v rozporu se zákonným pokynem Objednatele. Poskytovatel se však může zprostit odpovědnosti, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která vedla ke vzniku škody nebo jiné újmy, způsobené v souvislosti se zpracováváním osobních údajů.
6.3.2 Objednatel bere na vědomí, že je jako správce primárně a plně odpovědný za újmu, kterou způsobí zpracováním osobních údajů v rozporu s Nařízením nebo jinými právními předpisy. Poskytovatel není povinen ani oprávněn provádět kontrolu toho, zda Objednatel plní své povinnosti při zpracování osobních údajů, které má jako správce.
6.3.3 Objednatel je povinen naplňovat při zpracování osobních údajů zásady uvedené v čl. 6 Nařízení. Objednatel je mj. sám povinen zvážit, jaké osobní údaje bude prostřednictvím Systému zpracovávat a po jakou dobu tak, aby to bylo v souladu se zásadami „minimalizace údajů“ a „omezení uložení“. Objednatel je rovněž povinen informovat subjekty údajů o účelu, rozsahu, době zpracování i o zákonných důvodech zpracování jejich osobních údajů (zásada „zákonnosti, korektnosti a transparentnosti“ a zásada „účelového omezení“).
6.3.4 Objednatel je dále povinen aplikovat vlastní bezpečnostní zásady za účelem ochrany dat a osobních údajů, zejména zabránit fyzickému nezabezpečený přístupu k Systému, vyzrazení nebo uložení přístupových hesel uživatelů nebo volbě rizikového hesla pro přístup k uživatelskému účtu Objednatele (např. hesla typu „1234“, „2468“, která jsou krátká případně neobsahují kombinaci písmen, číslic a znaků). Poskytovatel neodpovídá za jakoukoliv vzniklou újmu nebo škody zapříčiněné porušením bezpečnostních zásad a povinností v oblasti organizačních a technických opatření na ochranu osobních údajů ze strany Objednatele.
6.3.5 Poskytovatel není povinen kontrolovat, zda Objednatel dodržuje při zpracování osobních údajů subjektů údajů prostřednictvím Systému povinnosti stanovené Nařízením, ani za Objednatele neplní informační povinnost vůči subjektům údajů.
6.3.6 Vznikne-li kterékoliv smluvní straně újma v důsledku zaviněného porušení povinnosti z této Smlouvy o zpracování druhou smluvní stranou, uplatní se ohledně náhrady takové újmy příslušná ujednání o náhradě újmy (škody) ve Smlouvě, resp. v Obchodních podmínkách zpřístupnění informačního systému Let It App, včetně ujednání o limitaci náhrady újmy (škody).
7.1. Tato Smlouva o zpracování se řídí českým právem.
7.2. Pokud Komise EU nebo dozorový úřad přijme ve smyslu čl. 28 odst. 7 nebo odst. 8 standardní smluvní doložky, provedou smluvní strany v případě potřeby úpravy této Smlouvy o zpracování.
7.3. Tato Smlouva o zpracování je vyhotovena v elektronické formě, tvoří však přílohu č. 2 Smlouvy o užívání Systému.
7.4. Poskytovatel je oprávněn způsobem uvedeným v čl. 2.4 zapojit další zpracovatele, případně jednostranně doplňovat a rozšiřovat technická a organizační opatření na ochranu osobních údajů (čl. 5.2) a zveřejňovat nové verze této Smlouvy o zpracování, aniž by byla nutná verifikace nebo uzavření dodatků ohledně těchto změn a doplnění.