Zpracovatelská smlouva

(dále jen „Smlouva“)

Tato Smlouva uzavřená dle čl. 28 odst. 3 nařízení evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) je nedílnou součástí všeobecných obchodních podmínek společnosti FaceUp Technology s.r.o., IČO: 061 42 630, se sídlem Údolní 567/33, Brno-město, 602 00 Brno, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 100325 (dále jen „Zpracovatel“ nebo „Provozovatel“), která je autorem, vlastníkem a provozovatelem produktu, jehož prostřednictvím jsou zejména přijímány, ukládány a dále stanoveným způsobem zpracovávány zprávy (oznámení) od třetích osob (oznamovatelů) prostřednictvím formuláře umístěném na internetových stránkách (app.nntb.cz) a/nebo v aplikaci Zpracovatele (dostupné v Google Play a App Store) (dále jen „Produkt“).

Úvodní ustanovení

Tato Smlouva se nevztahuje na práva a povinnosti vzniklá v souvislosti s běžným procházením internetových stránek www.nntb.cz, kdy taková práva a povinnosti se řídí Podmínkami a pravidly užívání internetových stránek a  je jako součást VOP uzavírána za účelem ochrany osobních údajů při jejich zpracovávání Zpracovatelem výlučně v rámci poskytování Produktu, a to v rozsahu práv a povinností, které pro její smluvní strany při zpracování osobních údajů v rámci poskytování Produktu vyplývají z GDPR.

Zpracovatel poskytuje osobám, které využívají Produkt jako nástroj řešení hlášení nežádoucích situací, přijímání oznámení od třetích osob a/nebo vnitřního oznamovacího systému ochrany oznamovatelů, a kteří se zaregistrují prostřednictvím internetových stránek a/nebo aplikace Zpracovatele (dále jen „Klient“ anebo „Správce“) komplexní řešení, pomocí kterého Provozovatel zejména přijímá zprávy (oznámení) od třetích osob a následně je ukládá, zpracovává a dále zpřístupňuje Klientovi prostřednictvím profilu či zasláním v podobě zašifrovaného dokumentu, čímž Klient využívá Produkt k vyřizování a administraci zpráv (oznámení) a komunikaci s oznamovatelem, vč. případně i plnění povinností dle zákona o ochraně oznamovatelů nebo pokud je Klientem školské či jiné obdobné zařízení k prevenci a řešení šikany nebo jiného obdobného jednání.

Předmětem smluvního vztahu mezi Provozovatelem a Klientem je zejména závazek Zpracovatele (jakožto provozovatele Produktu) umožnit, aby osoby, které chtějí učinit oznámení prostřednictvím formuláře na internetových stránkách a/nebo v aplikaci Zpracovatele (dále jen „Oznamovatel“), kterým informují Správce o určitých skutečnostech – zpravidla nežádoucí povahy (dále jen „Oznámení“) mohly takové Oznámení prostřednictvím internetových stránek a/nebo aplikace Zpracovatele učinit.

Při využívání Produktu dochází ke zpracovávání osobních údajů osob působících v organizaci Správce, zejména zaměstnanců, členů orgánů, obchodních partnerů, oznamovatelů, jakož i případně dalších osob spolupracujících se Správcem, kteří prostřednictvím internetových stránek a/nebo aplikace Zpracovatele podají Oznámení.

Tato Smlouva vymezuje rozsah osobních údajů, které budou bezplatně zpracovávány, účel, pro který budou zpracovávány, dobu, po kterou budou zpracovávány, práva a povinnosti Správce a Zpracovatele a audity a kontroly u Zpracovatele.

Zpracováním osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) v rozsahu nezbytném pro zajištění řádného poskytnutí Produktu.

V této Smlouvě jsou výrazy „správce“, „subjekt údajů“, „osobní údaje“, „porušení zabezpečení osobních údajů“, „zpracování“ a „zpracovatel“, jakož i výrazy od těchto odvozené nebo jim příbuzné, používány ve významu, jaký mají podle článku 4 GDPR.

Rozsah zpracování osobních údajů

Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména osobní údaje těchto kategorií subjektů údajů v rámci užívání internetových stránek a/nebo aplikace Provozovatele nebo vzájemné komunikace či dokumentace:

1. zaměstnanci Správce;
2. členové orgánů Správce;
3. obchodní partneři Správce; 
4. Oznamovatelé, kteří podají Oznámení;
5. uživatelé internetových stránek a/nebo aplikace Zpracovatele;
6. administrátor a uživatelé administrace (admin.nntb.cz) Správce;
7. kontaktní osoby uvedené ve smlouvě o poskytování Produktu; a
8. případné další osoby spolupracující se Správcem.

Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména tyto osobní údaje, které pro, za či od Správce získal v souvislosti se svou činností, a které za tím účelem Zpracovateli předá či jinak zpřístupní: 

1. identifikační údaje subjektů údajů (zejm. jméno, příjmení, je-li sděleno);
2. kontaktní údaje subjektů údajů (zejm. korespondenční adresa, e-mailová adresa, telefonní číslo, je-li sděleno);
3. informace sdělené v rámci Oznámení;
4. fakturační a platební údaje (zejm. číslo účtu a bankovní spojení);
5. údaje o výkonu činnosti subjektu údajů;
6. IP adresu subjektů údajů;
7. cookies;
8. údaje o podnikatelské činnosti; 
9. organizační jednotku nebo školu subjektů údajů; a
10. údaje ze vzájemné komunikace týkající se oznámení.

Účel a doba zpracování

Zpracovatel se zavazuje zpracovávat osobní údaje pouze v nezbytném rozsahu za účelem řádného poskytování Produktu a zajištění svých povinností při poskytování Produktu, což je zaručeno minimálním přístupem Zpracovatele k osobním údajům například pomocí šifrování. Jiný účel není sjednán ani povolen.

Osobní údaje budou zpracovány po dobu poskytování Produktu s tím, že ukončením poskytování Produktu bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají však povinnosti Zpracovatele týkající se bezpečnosti a ochrany osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárnímu předání jinému zpracovateli.

Zpracovatel se na písemný pokyn Správce zavazuje neprodleně po ukončení poskytování Produktu a/nebo při zániku této Smlouvy v souladu s rozhodnutím Správce všechny osobní údaje vrátit Správci nebo vymazat všechny jejich existující kopie, pokud právní předpis nestanoví jinak. Tento pokyn je povinen učinit Správce bez zbytečného odkladu, avšak nejpozději do třiceti (30) kalendářních dnů od zániku této Smlouvy. V případě, že tak neučiní, je Zpracovatel oprávněn provést likvidaci osobních údajů, které mu byly poskytnuty na základě této Smlouvy Správcem, není-li mu známa právním předpisem vymezená překážka, a o provedené likvidaci Správce neprodleně poté informovat.

Práva a povinnosti Správce a Zpracovatele 

Správce:

(a) se zavazuje před sdělením či zpřístupněním osobních údajů Zpracovateli učinit takové kroky, které zajistí, že sdělením či zpřístupněním osobních údajů nedojde k porušení platných a účinných právních předpisů o ochraně soukromí a osobních údajů;

(b) prohlašuje a zaručuje Zpracovateli, že veškeré osobní údaje, jejichž zpracování je předmětem Produktu a/nebo této Smlouvy získal a zpracovává v souladu s právními předpisy, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.

Zpracovatel se zavazuje:

(a) ve vztahu ke zpracovávání zpracovávaných osobních údajů dodržovat platné a účinné právní předpisy o ochraně osobních údajů a soukromí, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů;

(b) zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje; 

(c) zachovávat mlčenlivost ohledně všech osobních údajů, které mu budou poskytnuty či zpřístupněny Správcem, nebo se kterými se seznámí v souvislosti s poskytováním Produktu Správci, s výjimkou jejich předávání podzpracovatelům a poskytovatelům služeb Zpracovateli;

(d) zajistit, aby se všichni jeho zaměstnanci, členové orgánů a jeho obchodní partneři s oprávněným přístupem ke zpracovávaným osobním údajům (nebo s oprávněním je zpracovávat) před vykonáním prvního úkonu v souvislosti s poskytováním Produktu zavázali dodržovat odpovídající podmínky mlčenlivosti nebo aby byli řádně seznámeni se svou zákonnou povinností mlčenlivosti, vztahuje-li se na ně;

(e) vždy používat technická a organizační opatření na ochranu zpracovávaných osobních údajů před náhodným nebo protiprávním zničením, ztrátou, změnou, neoprávněným sdělením nebo přístupem k nim, která musejí být přiměřená různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jejichž údaje jsou zpracovávány, a s přihlédnutím k současnému stavu techniky, nákladům na jejich zavedení a povaze, rozsahu, kontextu a účelu zpracování, případně včetně opatření pro pseudonymizaci a šifrování zpracovávaných osobních údajů, schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti včas obnovit dostupnost zpracovávaných osobních údajů a přístup k nim v případě fyzických či technických incidentů a procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

(f) poskytovat Správci takovou součinnost, pomoc a takové informace, jaké bude Správce přiměřeně požadovat a jaké je Zpracovatel přiměřeně schopen poskytovat, aby Správce mohl plnit své závazky z platných a účinných právních předpisů o ochraně osobních údajů a soukromí a spolupracovat s příslušnými úřady v souvislosti se zpracovávanými osobními údaji, případně včetně poskytování podpory Správci, pokud to bude relevantní s ohledem na povahu zpracování Zpracovatelem;

(g) nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení se Zpracovatel zavazuje informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytnout tak Správci příležitost vyslovit vůči těmto změnám námitky. Výslovně povolenými zpracovateli a podzpracovateli jsou následující subjekty:

1. Amazon Web Services, Inc. (nástroje pro infrastrukturu – cloudové úložiště dat);
2. Sentry, Inc. (nástroje pro chybový reporting);
3. ECOMAIL.CZ, s.r.o (nástroje pro online marketing);
4. HubSpot (CRM)
5. Vonage Holdings Corp. (nástroj pro hot-line telefonní linku);
6. Product Fruits (asistenční nástroj); 
7. Chargebee (systém na zpracování plateb, fakturace, platební brána); a
8. případně další nově zapojení zpracovatelé a podzpracovatelé, které písemně, včetně e-mailu, oznámíme Správci, kdy vůči těmto novým zpracovatelům a podzpracovatelům má Správce právo vyslovit své námitky, kdy tyto námitky jsme povinni zohlednit.

(h) pověřovat zpracováním zpracovávaných osobních údajů jen další zpracovatele či podzpracovatele, kteří poskytují dostatečnou úroveň zabezpečení osobních údajů minimálně v rozsahu požadovaném platnými a účinnými právními předpisy o ochraně osobních údajů a soukromí;

(i) neprodleně písemně a přiměřeně podrobně informovat Správce, jakmile se dozví nebo získá důvodné podezření, že došlo k porušení zabezpečení osobních údajů nebo jinému závažnému incidentu, který narušuje nebo odhaluje podstatnou slabinu v zabezpečení osobních údajů v době, kdy jsou v jeho držení nebo pod jeho kontrolou (dále „Incident týkající se zabezpečení osobních údajů“);

(j) v případě Incidentu týkajícího se zabezpečení osobních údajů:

1. učinit veškeré přiměřené kroky ke zjištění a odstranění základní příčiny Incidentu týkajícího se zabezpečení osobních údajů a eliminovat tak nebo vyloučit riziko opakování a výskytu podobných Incidentů týkajících se zabezpečení osobních údajů;
2. učinit kroky, které Správce může přiměřeně požadovat a Zpracovatel rozumně učinit, které Správci pomohou vyřešit nežádoucí důsledky Incidentu týkajícího se zabezpečení osobních údajů a zajistí dodržování závazků Správce z platných a účinných právních předpisů o ochraně osobních údajů a soukromí; a
3. Správci neprodleně a pravidelně hlásit přijatá opatření a jejich výsledky;

(k) sdělovat Správci veškeré informace, které Správce může přiměřeně požadovat; 

(l) neprodleně písemně informovat Správce, pokud se bude domnívat, že dodržením pokynu Správce by mohlo dojít k porušení platných a účinných právních předpisů o ochraně osobních údajů a soukromí. 

Audity a kontroly u Zpracovatele

Správce (nebo jím pověření auditoři) je oprávněn učinit po předchozí písemné žádosti, která musí být doručena Zpracovateli alespoň s měsíčním předstihem, přiměřené audity a/nebo kontroly nezbytné k ověření, zda Zpracovatel dodržuje tuto Smlouvu. Zpracovatel se zavazuje umožnit konání přiměřených auditů a kontrol a poskytovat při jejich provádění Správci veškerou nezbytnou součinnost.

Správce je povinen po dobu přítomnosti svých zaměstnanců či jím pověřených auditorů v prostorách Zpracovatele během takového auditu nebo takové kontroly zabránit (nebo pokud to nebude možné, alespoň minimalizovat) případné škody, újmu na zdraví nebo narušení prostor, vybavení, zaměstnanců a podnikání Zpracovatele.

Zpracovatel je oprávněn požadovat po Správci náhradu nutných nákladů spojených s prováděnými audity a kontrolami u Zpracovatele a současně i náhradu ztrátového času Zpracovatele a jeho zaměstnanců zúčastněných na auditu či kontrole, případně za prostoje v jejich práci způsobené auditem či kontrolou, a to v paušální hodnotě 1.500,- Kč / hodina / osoba.

Zpracovatel není povinen umožnit přístup do svých prostor pro účely takového auditu nebo takové kontroly:

1. fyzickým osobám, které nepředloží přiměřený doklad totožnosti a oprávnění;
2. mimo běžnou pracovní nebo provozní dobu v takových prostorách, pokud se nebude jednat o naléhavý audit nebo naléhavou kontrolu, o čemž je Správce povinen Zpracovatele informovat ještě před zahájením auditu nebo kontroly mimo běžnou pracovní nebo provozní dobu; nebo
3. v případě více než jednoho auditu nebo jedné kontroly za dva kalendářní roky.

Závěrečná ustanovení

Tato Smlouva se uzavírá na dobu určitou, a to na dobu poskytování Produktu.