Smlouva o zpracovávání osobních údajů

uzavřená podle ustanovení čl. 28 nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES (dále jen “Nařízení”), resp. podle ustanovení § 34 zákona č. 18/2018 Sb. o ochraně osobních údajů v platném znění (dále jen “Zákon”) mezi Provozovatelem a Zprostředkovatelem.

Tato Smlouva o zpracování osobních údajů je dodatkem a tvoří součást Smlouvy o poskytování služeb mezi společností Luigi’s Box (“Luigi’s Box” a “Zprostředkovatel”) a stranou označenou jako Zákazník (“Zákazník” nebo “Provozovatel”). Tento Smlouva stanovuje podmínky, které se vztahují na strany při zpracování osobních údajů v souvislosti s poskytováním Služeb.

1. PREAMBULE

1.1. Tato Smlouva o zpracování údajů (dále jen “Smlouva“) stanoví podmínky zpracování osobních údajů Zprostředkovatelem jménem Provozovatele při plnění povinností vyplývajících ze Smlouvy o poskytování služeb uzavřené mezi smluvními stranami (dále jen “Smlouva o službách“).

1.2. Předmětem Smlouvy je závazek Zprostředkovatele poskytovat Provozovateli služby spojené s digitálními marketingovými technologiemi, jejichž rozsah je dohodnutý ve Smlouvě o službách. Při poskytování těchto služeb může dojít ke zpracovávání osobních údajů fyzických osob na základě pokynu Provozovatele a závazek Provozovatele zaplatit za tyto služby Zprostředkovateli dohodnutou odměnu.

2. PŘEDMĚT SMLOUVY

2.1. Předmětem této Smlouvy je pověření Zprostředkovatele zpracováním osobních údajů fyzických osob jménem Provozovatele, a to výhradně v souvislosti s poskytováním služeb Zprostředkovatele, které jsou definovány ve Smlouvě o službách a / nebo v jednotlivých objednávkách Provozovatele.

2.2. Zprostředkovatel je oprávněn pro Provozovatele zpracovávat osobní údaje pouze v rozsahu, za podmínek a za účelem sjednaným s Provozovatelem a způsobem stanoveným dle Nařízení, Zákona a jiných obecně závazných právních předpisů (dále jen “Předpisy na ochranu osobních údajů“).

3. ÚČEL A ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

3.1. Účelem zpracování osobních údajů Zprostředkovatelem je řádné poskytování dohodnutých služeb v souladu se Smlouvou o službách a / nebo s jednotlivou objednávkou služeb (dále jen “Účel“).

3.2. Kategorie dotčených osob, kterých se týkají osobní údaje zpracovávané podle této Smlouvy, jsou uvedeny v Příloze č. 1 Smlouvy.

3.3. Předmět zpracovávání zahrnuje osobní údaje dotčených osob, které jsou nezbytné pro splnění Účelu a jejichž přesný rozsah závisí na charakteru poskytované služby v souladu se Smlouvou o službách (dále jen “Osobní údaje“); předmětem zpracování není zvláštní kategorie osobních údajů podle čl. 9 Nařízení. Typy osobních údajů jsou uvedeny v Příloze č. 1 Smlouvy.

3.4. Zprostředkovatel je oprávněn zpracovávat Osobní údaje pouze na stanovený Účel a provádět s Osobními údaji pro Provozovatele jen ty operace, které jsou nezbytné pro poskytování služeb v souladu se Smlouvou o službách nebo s jednotlivou objednávkou, a při zpracovávání Osobních údajů na stanovený Účel postupovat v souladu se zdokumentovanými pokyny a instrukcemi Provozovatele.

4. PRÁVA A POVINNOSTI PROVOZOVATELE

4.1. Provozovatel:

4.1.1. je povinen zpracovávat osobní údaje v souladu s Předpisy na ochranu osobních údajů;

4.1.2. je oprávněn pověřit Zprostředkovatele zpracováváním pouze takových Osobních údajů, které byly získány a zpracovávány ze strany Provozovatele v souladu s Předpisy na ochranu osobních údajů;

4.1.3. je oprávněn zadat Zprostředkovateli písemné (listinné nebo elektronicky) pokyny týkající se zpracování osobních údajů k dosažení Účelu. Takové pokyny jsou pro Zprostředkovatele závazné pod podmínkou, pokud provedení těchto pokynů vyžaduje poskytnutí služeb v souladu se Smlouvou o službách nebo jednotlivou objednávkou služeb nebo pokud si provedení těchto pokynů vyžádá vznik dodatečných nákladů na straně Zprostředkovatele v souvislosti s provedením těchto pokynů a Provozovatel současně uhradí všechny vzniklé náklady. Zprostředkovatel neprovede pokyny Provozovatele, které jsou v rozporu s jakýmkoliv ustanovením této Smlouvy nebo jsou v rozporu s Právními předpisy na ochranu osobních údajů;

4.1.4. má vždy odpovědnost za zpracování Osobních údajů. Pokud dotyčná osoba požádá o poskytnutí informace o zpracování osobních údajů, o opravu nebo výmaz osobních údajů, namítá zákonnost zpracování osobních údajů nebo jiným způsobem požádá o ukončení zpracování Osobních údajů, zablokování Osobních údajů, Provozovatel je povinen neprodleně dát písemný (listinný nebo elektronický) pokyn Zprostředkovateli, aby přijal nezbytná opatření;

5. PRÁVA A POVINNOSTI ZPROSTŘEDKOVATELE

5.1. Zprostředkovatel je povinen:

5.1.1. zpracovávat Osobní údaje pouze v souladu s písemnými (listinné nebo elektronické) pokyny Provozovatele, které směřují k naplnění Účelu a Smlouvy o službách; tyto pokyny jsou pro Zprostředkovatele závazné, pokud není ve Smlouvě uvedeno jinak;

5.1.2. nepoužívat Osobní údaje pro jiné účely než ty uvedené v této Smlouvě a Smlouvě o službách a bez předchozího písemného pokynu Provozovatele nesdružovat Osobní údaje s jinými osobními údaji, získanými, evidovanými nebo jinak manipulovanými Zprostředkovatelem, a to ani s cílem dosažení stejného účelu (např. přiřazení údajů z vlastních / veřejných databází apod.);

5.1.3. zpracovávat pouze takové Osobní údaje, které rozsahem a obsahem odpovídají určenému Účelu a jsou nezbytné pro jeho dosažení;

5.1.4. zpracovávat Osobní údaje v souladu se zavedenou dobrou praxí zpracování osobních údajů a převládajícími normami v oblasti správy informací a v souladu s Předpisy na ochranu osobních údajů;

5.1.5. pokud jménem Provozovatele získává Osobní údaje, poskytnout dotyčným osobám informace v souladu s čl. 13 a 14 Nařízení; pokud Provozovatel požaduje použití vlastních informačních materiálů za účelem splnění informační povinnosti, poskytne Zprostředkovateli tyto materiály bez zbytečného odkladu po uzavření této Smlouvy nebo po udělení pokynu k získávání Osobních údajů jeho jménem;

5.1.6. poskytnout Provozovateli součinnost při plnění jeho povinností ve vztahu k žádostem dotyčných osob a pomáhat Provozovateli zajistit plnění povinností podle čl. 32 až 36 Nařízení s přihlédnutím k povaze zpracovávání a informace dostupné Zprostředkovateli;

5.1.7. neprodleně informovat Provozovatele o každé žádosti nebo uplatnění práv dotyčné osoby a zároveň neprodleně odeslat příslušné podání dotyčné osoby a související dokumentaci Provozovateli;

5.1.8. v případě porušení ochrany osobních údajů, tj v případě porušení bezpečnostních opatření vedoucích k náhodnému či protiprávnímu zničení, ztrátě, změně, neoprávněnému zveřejnění či zpřístupnění Osobních údajů, je Zprostředkovatel povinen oznámit Provozovateli každý případ porušení ochrany Osobních údajů, a to bez zbytečného odkladu hned poté, jak se o porušení ochrany dozvěděl. Písemné oznámení podle tohoto bodu bude obsahovat popis povahy porušení ochrany Osobních údajů, kategorie a přibližný počet dotčených osob a dotčených záznamů o Osobních údajích, kterých se porušení týká, popis pravděpodobných následků porušení ochrany Osobních údajů a popis přijatých opatření k nápravě porušení ochrany Osobních údajů. Pokud není možné poskytnout všechny výše uvedené informace současně, mohou být tyto informace poskytnuty ve fázích bez dalšího zbytečného odkladu.

5.1.9. neprodleně informovat Provozovatele o kontrolách a opatřeních provedených dozorným orgánem vůči Zprostředkovateli, jakož i vedení civilního, trestního nebo správního řízení proti Zprostředkovateli, pokud se tyto týkají smluvního vztahu mezi Provozovatelem a Zprostředkovatelem a / nebo zpracovávání Osobních údajů podle Smlouvy;

5.1.10. pravidelně monitorovat interní procesy a technická a organizační opatření, aby bylo zajištěno, že zpracování v rámci rozsahu odpovědnosti Zprostředkovatele je v souladu s požadavky podle Předpisů na ochranu osobních údajů;

5.1.11. zpracovávat Osobní údaje výlučně jen po dobu trvání této Smlouvy.

5.2. Zprostředkovatel je oprávněn zpracovávat Osobní údaje i pro účely, které vyplývají ze zvláštních právních předpisů nebo takové zpracování vyžaduje příslušný soud nebo správní orgán. V případě, že soud nebo správní orgán nařídí Zprostředkovateli jakékoli opatření nebo operaci s Osobními údaji, Zprostředkovatel je bez zbytečného odkladu povinen informovat Provozovatele o doručení jakékoliv takové žádosti před tím, než na tuto žádost zareaguje nebo provede jiný úkon týkající se zpracovávaných Osobních údajů, nebo co nejdříve, jak to je možné rozumně očekávat, pokud je Zprostředkovatel povinen zajistit okamžitou odpověď příslušnému soudu nebo správnímu orgánu, s výjimkou případů, kdy by dané oznámení Provozovateli bylo v rozporu se zvláštními právními předpisy nebo s rozhodnutím soudu nebo správního orgánu.

6. BEZPEČNOST OSOBNÍCH ÚDAJŮ

6.1. Zprostředkovatel zajistí ochranu Osobních údajů prováděním a dokumentací bezpečnostních opatření v souladu s čl. 28 odst. 3 písm. c), a čl. 32 Nařízení ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Bezpečnostní opatření, která mají být přijata, musí zajistit ochranu Osobních údajů s úrovní bezpečnosti přiměřené riziku, které představuje zpracování pro práva dotčených osob a s ohledem na zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracování, a to s cílem zabránit náhodnému nebo nedovolenému zničení, ztrátě, neoprávněnému poskytnutí, zveřejnění Osobních údajů, neoprávněnému přístupu k nim nebo jakékoliv jiné neoprávněné zpracovatelské operaci.

6.2. Zprostředkovatel je povinen mít zaveden management rizik s ohledem na dotčené osoby ve smyslu Nařízení a i řízení rizik informační bezpečnosti vzhledem k technické prostředky v rámci kterých se zpracovávají Osobní údaje. Provozovatel má právo požádat o poskytnutí dokumentace o přijatých technických a organizačních opatřeních, a to nejpozději do 30 dnů od zaslání žádosti Provozovatele.

6.3. Zprostředkovatel, jeho zaměstnanci a jiné osoby, které přicházejí do styku s Osobními údaji prostřednictvím Zprostředkovatele, jsou povinni zachovávat o nich mlčenlivost; povinnost mlčenlivosti trvá i po ukončení zpracování Osobních údajů. Zprostředkovatel je oprávněn zpřístupnit Osobní údaje zaměstnancům nebo jiným osobám, se kterými má uzavřen právní vztah, jen na zajištění svých povinností při plnění Účelu a za podmínek stanovených v této Smlouvě.

6.4. V případě poskytnutí Osobních údajů zaměstnancům nebo jiným osobám, s nimiž má Zprostředkovatel uzavřený právní vztah, je Zprostředkovatel povinen tyto osoby poučit o povinnosti dodržet ustanovení tohoto článku Smlouvy a zavázat tyto osoby závazkům mlčenlivosti ve stejném rozsahu v jakém je zavázán Zprostředkovatel, přičemž tento závazek mlčenlivosti bude trvat i po skončení daného právního vztahu této osoby.

6.5. Zprostředkovatel nebude poskytovat Osobní údaje jakýmkoliv třetím osobám, s výjimkou, pokud je takové poskytnutí nezbytné pro

6.5.1. zaměstnance Zprostředkovatele,

6.5.2. subdodavatele podle čl. 8 Smlouvy,

6.5.3. třetí osoby, pokud je takové poskytnutí vyžadováno právním předpisům nebo pravomocným a vykonatelným rozhodnutím soudu nebo jiného orgánu veřejné moci Slovenské republiky.

7. DALŠÍ POVINNOSTI SMLUVNÍCH STRAN

7.1. Smluvní strany se zavazují poskytovat si navzájem součinnost potřebnou pro plnění ustanovení Smlouvy a zajištění souladu s Předpisy na ochranu osobních údajů.

7.2. Pokud v souvislosti s porušením povinnosti Provozovatele vyplývající ze Smlouvy a / nebo z Předpisů na ochranu osobních údajů vznikne Zprostředkovateli jakákoli škoda nebo jiná újma, je Provozovatel povinen Zprostředkovateli tuto škodu nebo jinou újmu nahradit v plné výši.

7.3. Pokud v souvislosti s porušením povinnosti Zprostředkovatele vyplývající ze Smlouvy a / nebo z Předpisů na ochranu osobních údajů vznikne jakákoli škoda nebo jiná újma, je Zprostředkovatel povinen Provozovateli tuto škodu nebo jinou újmu nahradit v plné výši.

8. SUBDODAVATELÉ

8.1. Provozovatel souhlasí s tím, aby Zprostředkovatel zapojil do provádění zpracovatelských činností, které vykonává pro Provozovatele v rámci poskytování služeb na základě Smlouvy o službách nebo na základě jednotlivé objednávky, další zprostředkovatele (dále jen “Subdodavatel”).

8.2. Zprostředkovatel je oprávněn zapojit Subdodavatele do provádění zpracovatelských činností podle bodu 8.1 Smlouvy za předpokladu, že s ním uzavře písemnou dohodu, která Subdodavateli uloží stejné povinnosti týkající se ochrany osobních údajů, jaké má Zprostředkovatel vůči Provozovateli podle této Smlouvy. Pokud Subdodavatel nesplní své povinnosti ve smyslu této Smlouvy týkající se ochrany osobních údajů, Zprostředkovatel je plně zodpovědný vůči Provozovateli za nesplnění těchto povinností Subdodavatele.

8.3. Jakékoliv změny v souvislosti s přidáním nebo nahrazením dalších Subdodavatelů oznámí Zprostředkovatel Provozovateli předem. Pokud Provozovatel písemně nevyjádří nesouhlas do 15 kalendářních dnů, poté co byl informován o dané změně, může Zprostředkovatel využívat nového Subdodavatele. Pokud Provozovatel vyjádřil ve stanovené lhůtě nesouhlas, Zprostředkovatel vynaloží přiměřené úsilí na změnu Subdodavatele. Pokud Zprostředkovatel nedokáže provést takové změny do 60 kalendářních dnů, Provozovatel ve lhůtě 30 dnů od informování o neprovedení změny Subdodavatele (nebo ode dne uplynutí lhůty pro informování o změně Subdodavatele, pokud Zprostředkovatel neinformoval Provozovatele o zabezpečení náhradního Subdodavatele), Provozovatel může skončit tuto Smlouvu písemnou výpovědí s výpovědní lhůtou jeden měsíc ode dne doručení výpovědi. Pokud Provozovatel neoznámí Zprostředkovateli ve stanovené lhůtě ukončení Smlouvy, má se za to, že s využíváním původně navrhovaného Subdodavatele souhlasí.

9. KONTROLNÍ PRAVOMOCI PROVOZOVATELE

9.1. Pokud o to Provozovatel požádá, Zprostředkovatel umožní Provozovateli nebo Provozovatelem pověřenému nezávislému auditorovi třetí strany výkon kontroly v systémech zpracování Osobních údajů; tato kontrola je omezena pouze na posouzení dodržování povinností podle této Smlouvy a za žádných okolností se nemůže vztahovat na přístup k jakýmkoli datům jiných zákazníků Zprostředkovatele. Termín výkonu kontroly musí být dohodnutý vždy předem, a to nejméně deset (10) pracovních dní před plánovaným výkonem kontroly.

9.2. Zprostředkovatel informuje Provozovatele, pokud se podle jeho názoru pokynem Provozovatele porušují Předpisy na ochranu osobních údajů. Pokud Provozovatel trvá na splnění pokynu, kterým se podle názoru Zprostředkovatele porušují Předpisy na ochranu osobních údajů, Zprostředkovatel si vyhrazuje právo takový pokyn neprovést, jakož i právo od Smlouvy odstoupit.

10. PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ

10.1. Smluvně sjednané zpracovávání Osobních údajů provádí Zprostředkovatel v některém členském státě Evropské unie nebo ve státě tvořícím Evropský hospodářský prostor.

10.2. Přenos Osobních údajů do státu, který se nachází na území jiného státu, než je stát uvedený v bodě 10.1 Smlouvy, se může uskutečnit pouze s předchozím písemným souhlasem Provozovatele a za splnění zvláštních podmínek stanovených v čl. 44 až 50 Nařízení.

11. DOBA ZPRACOVÁNÍ OSOBNÍCH DAT

11.1. Zprostředkovatel je oprávněn začít se zpracováním Osobních údajů ve smyslu Smlouvy nejdříve ode dne účinnosti této Smlouvy a také Smlouvy o službách a jeho oprávnění na zpracování trvá po celou dobu trvání této Smlouvy.

11.2. Tato Smlouva trvá nejdéle do skončení platnosti Smlouvy o službách.

12. VRÁCENÍ NEBO VYMAZÁNÍ OSOBNÍCH DAT

12.1. Po skončení platnosti Smlouvy, je Zprostředkovatel povinen vymazat nebo vrátit Provozovateli nebo třetí straně určené Provozovatelem všechny Osobní údaje na základě zvláštních pokynů Provozovatele. V případě, že Provozovatel požaduje vrácení Osobních údajů, je povinen Zprostředkovateli uhradit náklady, které mu v souvislosti s vrácením Osobních údajů vznikly.

12.2. Pokud Provozovatel neposkytne Zprostředkovateli žádné pokyny v souvislosti s výmazem nebo vrácením Osobních údajů do 15 kalendářních dnů od skončení platnosti Smlouvy Zprostředkovatel odešle Provozovateli písemnou výzvu, jejímž prostřednictvím Provozovatele požádá o zaslání pokynů na výmaz nebo vrácení Osobních údajů ve lhůtě 15 kalendářních dnů. Pokud Provozovatel neposkytne písemné pokyny v této dodatečné lhůtě a neuhradí vzniklé náklady v případě vrácení Osobních údajů, platí, že Zprostředkovatel je oprávněn vymazat všechny Osobní údaje.

12.3. Povinnost vrátit nebo vymazat Osobní údaje se nedotýká informací, které je Zprostředkovatel povinen uchovávat na základě obecně závazných právních předpisů i po skončení platnosti Smlouvy o službách a Smlouvy o zpracovávání osobních údajů.

12.4. Na žádost Provozovatele, Zprostředkovatel písemně potvrdí výmaz nebo vrácení Osobních údajů.

13. ZÁVĚREČNÁ USTANOVENÍ

13.1. Tato Smlouva nahrazuje všechny předchozí ujednání mezi Provozovatelem a Zprostředkovatelem týkající se ochrany osobních údajů.

13.2. Právní vztahy smluvních stran, které nejsou touto Smlouvou blíže upraveny, se řídí příslušnými ustanoveními Nařízení, Zákona a zákona č. 513/1991 Sb. Obchodního zákoníku ve znění pozdějších předpisů a dalšími příslušnými právními předpisy Slovenské republiky.

13.3. Smluvní strany prohlašují, že si Smlouvu před jejím uzavřením pozorně přečetly, jejímu obsahu porozuměli a na potvrzení toho, že Smlouva odpovídá jejich skutečné a svobodné vůli, že Smlouva nebyla uzavřena pod nátlakem nebo za nápadně nevýhodných podmínek.