Smlouva o zpracování osobních údajů

Smluvní strany

1. Předmět a účel smlouvy

Tato smlouva upravuje podmínky zpracování osobních údajů Zpracovatelem jménem Správce v souladu s čl. 28 nařízení (EU) 2016/679 (GDPR). Zpracovatel bude zpracovávat osobní údaje výhradně za účelem plnění hlavní smlouvy uzavřené mezi smluvními stranami (správa webu, hosting, provoz webové aplikace nebo jiná dohodnutá služba), a to pouze na základě zdokumentovaných pokynů Správce.

2. Rozsah a povaha zpracování

3. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

• zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Správce,
• zajistit, aby osoby s přístupem k osobním údajům byly vázány povinností mlčenlivosti,
• přijmout vhodná technická a organizační opatření dle čl. 32 GDPR k zajištění bezpečnosti zpracování,
• informovat Správce o zamýšlených změnách dílčích zpracovatelů nejméně 14 dní předem a umožnit mu vznést námitky (viz bod 5),
• poskytnout Správci součinnost při plnění jeho povinností dle čl. 32–36 GDPR (bezpečnost, hlášení incidentů, DPIA); součinnost nad rámec zákonných povinností nebo vyvolaná neodůvodněnými požadavky Správce může být zpoplatněna dle aktuálního ceníku hodinových sazeb,
• na konci poskytování služeb podle volby Správce všechny osobní údaje vymazat nebo vrátit a vymazat stávající kopie,
• poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR a umožnit kontroly nebo audity.

4. Bezpečnostní opatření

Zpracovatel přijal a udržuje zejména tato technická a organizační opatření:

• šifrování přenosu dat (TLS/HTTPS),
• omezení přístupu k osobním údajům na nejmenší nutný okruh osob,
• pravidelné zálohy s omezenou dobou uchování (viz SLA),
• aplikování bezpečnostních záplat bez zbytečného odkladu,
• přístupy chráněné silnou autentizací.

5. Dílčí zpracovatelé

Správce uděluje Zpracovateli obecné povolení k zapojení dalších dílčích zpracovatelů. Zpracovatel informuje Správce o veškerých zamýšlených změnách — přijetí nových nebo nahrazení stávajících dílčích zpracovatelů — nejméně 14 dní předem, čímž Správci umožní vyslovit námitky. Zpracovatel v současnosti využívá tyto kategorie dílčích zpracovatelů:

• poskytovatel serverové infrastruktury (datacenter v EU),
• Plausible Analytics (anonymizovaná analytika, servery v EU, bez osobních údajů).

Na dílčí zpracovatele jsou uloženy stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v této smlouvě.

6. Přenos osobních údajů mimo EHP

Zpracovatel nezpracovává osobní údaje mimo Evropský hospodářský prostor (EHP). V případě, že by k takovému přenosu mělo dojít, zavazuje se Zpracovatel zajistit předchozí souhlas Správce a odpovídající záruky dle čl. 44–49 GDPR.

7. Hlášení incidentů

V případě zjištění porušení zabezpečení osobních údajů Zpracovatel neprodleně — nejpozději do 48 hodin od zjištění — informuje Správce na jeho kontaktní e-mail. Zpráva obsahuje popis povahy incidentu, přibližný počet dotčených subjektů a přijatá nebo navrhovaná nápravná opatření.

8. Povinnosti Správce

Správce se zavazuje:

• poskytovat Zpracovateli jasné a zdokumentované pokyny ke zpracování,
• zajistit zákonný titul pro zpracování osobních údajů, které předává Zpracovateli,
• informovat subjekty údajů o zpracování v souladu s čl. 13–14 GDPR.

9. Odpovědnost

Zpracovatel odpovídá za škodu způsobenou zpracováním pouze tehdy, pokud nedodržel povinnosti GDPR vztahující se přímo na zpracovatele nebo pokud jednal mimo pokyny Správce nebo v rozporu s nimi. Celková odpovědnost Zpracovatele vůči Správci je omezena na výši poplatků uhrazených v posledních 12 měsících dle hlavní smlouvy.

10. Trvání a ukončení

Tato smlouva nabývá účinnosti podpisem oběma smluvními stranami a trvá po dobu trvání hlavní smlouvy. Ukončením hlavní smlouvy zaniká i tato smlouva. Po ukončení Zpracovatel na volbu Správce všechny osobní údaje vrátí nebo trvale vymaže, a to do 30 dnů od žádosti. Osobní údaje obsažené v zálohách budou vymazány v souladu s cyklem rotace záloh definovaným v SLA; do té doby jsou zálohy chráněny stejnými bezpečnostními opatřeními jako živá data.

Podpisy smluvních stran