(dále jen „Smlouva“)
Tato Smlouva uzavřená dle čl. 28 odst. 3 nařízení evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) je nedílnou součástí všeobecných obchodních podmínek společnosti FaceUp Technology s.r.o., IČO: 061 42 630, se sídlem Údolní 567/33, Brno-město, 602 00 Brno, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 100325 (dále jen „Zpracovatel“ nebo „Provozovatel“), která je autorem, vlastníkem a provozovatelem produktu, jehož prostřednictvím jsou zejména přijímány, ukládány a dále stanoveným způsobem zpracovávány zprávy (oznámení) od třetích osob (oznamovatelů) prostřednictvím formuláře umístěném na internetových stránkách (app.nntb.cz) a/nebo v aplikaci Zpracovatele (dostupné v Google Play a App Store) (dále jen „Produkt“).
Úvodní ustanovení
Tato Smlouva se nevztahuje na práva a povinnosti vzniklá v souvislosti s běžným procházením internetových stránek www.nntb.cz, kdy taková práva a povinnosti se řídí Podmínkami a pravidly užívání internetových stránek a je jako součást VOP uzavírána za účelem ochrany osobních údajů při jejich zpracovávání Zpracovatelem výlučně v rámci poskytování Produktu, a to v rozsahu práv a povinností, které pro její smluvní strany při zpracování osobních údajů v rámci poskytování Produktu vyplývají z GDPR.
Zpracovatel poskytuje osobám, které využívají Produkt jako nástroj řešení hlášení nežádoucích situací, přijímání oznámení od třetích osob a/nebo vnitřního oznamovacího systému ochrany oznamovatelů, a kteří se zaregistrují prostřednictvím internetových stránek a/nebo aplikace Zpracovatele (dále jen „Klient“ anebo „Správce“) komplexní řešení, pomocí kterého Provozovatel zejména přijímá zprávy (oznámení) od třetích osob a následně je ukládá, zpracovává a dále zpřístupňuje Klientovi prostřednictvím profilu či zasláním v podobě zašifrovaného dokumentu, čímž Klient využívá Produkt k vyřizování a administraci zpráv (oznámení) a komunikaci s oznamovatelem, vč. případně i plnění povinností dle zákona o ochraně oznamovatelů nebo pokud je Klientem školské či jiné obdobné zařízení k prevenci a řešení šikany nebo jiného obdobného jednání.
Předmětem smluvního vztahu mezi Provozovatelem a Klientem je zejména závazek Zpracovatele (jakožto provozovatele Produktu) umožnit, aby osoby, které chtějí učinit oznámení prostřednictvím formuláře na internetových stránkách a/nebo v aplikaci Zpracovatele (dále jen „Oznamovatel“), kterým informují Správce o určitých skutečnostech – zpravidla nežádoucí povahy (dále jen „Oznámení“) mohly takové Oznámení prostřednictvím internetových stránek a/nebo aplikace Zpracovatele učinit.
Při využívání Produktu dochází ke zpracovávání osobních údajů osob působících v organizaci Správce, zejména zaměstnanců, členů orgánů, obchodních partnerů, oznamovatelů, jakož i případně dalších osob spolupracujících se Správcem, kteří prostřednictvím internetových stránek a/nebo aplikace Zpracovatele podají Oznámení.
Tato Smlouva vymezuje rozsah osobních údajů, které budou bezplatně zpracovávány, účel, pro který budou zpracovávány, dobu, po kterou budou zpracovávány, práva a povinnosti Správce a Zpracovatele a audity a kontroly u Zpracovatele.
Zpracováním osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) v rozsahu nezbytném pro zajištění řádného poskytnutí Produktu.
V této Smlouvě jsou výrazy „správce“, „subjekt údajů“, „osobní údaje“, „porušení zabezpečení osobních údajů“, „zpracování“ a „zpracovatel“, jakož i výrazy od těchto odvozené nebo jim příbuzné, používány ve významu, jaký mají podle článku 4 GDPR.
Rozsah zpracování osobních údajů
Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména osobní údaje těchto kategorií subjektů údajů v rámci užívání internetových stránek a/nebo aplikace Provozovatele nebo vzájemné komunikace či dokumentace:
Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména tyto osobní údaje, které pro, za či od Správce získal v souvislosti se svou činností, a které za tím účelem Zpracovateli předá či jinak zpřístupní:
Účel a doba zpracování
Zpracovatel se zavazuje zpracovávat osobní údaje pouze v nezbytném rozsahu za účelem řádného poskytování Produktu a zajištění svých povinností při poskytování Produktu, což je zaručeno minimálním přístupem Zpracovatele k osobním údajům například pomocí šifrování. Jiný účel není sjednán ani povolen.
Osobní údaje budou zpracovány po dobu poskytování Produktu s tím, že ukončením poskytování Produktu bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají však povinnosti Zpracovatele týkající se bezpečnosti a ochrany osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárnímu předání jinému zpracovateli.
Zpracovatel se na písemný pokyn Správce zavazuje neprodleně po ukončení poskytování Produktu a/nebo při zániku této Smlouvy v souladu s rozhodnutím Správce všechny osobní údaje vrátit Správci nebo vymazat všechny jejich existující kopie, pokud právní předpis nestanoví jinak. Tento pokyn je povinen učinit Správce bez zbytečného odkladu, avšak nejpozději do třiceti (30) kalendářních dnů od zániku této Smlouvy. V případě, že tak neučiní, je Zpracovatel oprávněn provést likvidaci osobních údajů, které mu byly poskytnuty na základě této Smlouvy Správcem, není-li mu známa právním předpisem vymezená překážka, a o provedené likvidaci Správce neprodleně poté informovat.
Práva a povinnosti Správce a Zpracovatele
Správce:
(a) se zavazuje před sdělením či zpřístupněním osobních údajů Zpracovateli učinit takové kroky, které zajistí, že sdělením či zpřístupněním osobních údajů nedojde k porušení platných a účinných právních předpisů o ochraně soukromí a osobních údajů;
(b) prohlašuje a zaručuje Zpracovateli, že veškeré osobní údaje, jejichž zpracování je předmětem Produktu a/nebo této Smlouvy získal a zpracovává v souladu s právními předpisy, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.
Zpracovatel se zavazuje:
(a) ve vztahu ke zpracovávání zpracovávaných osobních údajů dodržovat platné a účinné právní předpisy o ochraně osobních údajů a soukromí, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů;
(b) zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje;
(c) zachovávat mlčenlivost ohledně všech osobních údajů, které mu budou poskytnuty či zpřístupněny Správcem, nebo se kterými se seznámí v souvislosti s poskytováním Produktu Správci, s výjimkou jejich předávání podzpracovatelům a poskytovatelům služeb Zpracovateli;
(d) zajistit, aby se všichni jeho zaměstnanci, členové orgánů a jeho obchodní partneři s oprávněným přístupem ke zpracovávaným osobním údajům (nebo s oprávněním je zpracovávat) před vykonáním prvního úkonu v souvislosti s poskytováním Produktu zavázali dodržovat odpovídající podmínky mlčenlivosti nebo aby byli řádně seznámeni se svou zákonnou povinností mlčenlivosti, vztahuje-li se na ně;
(e) vždy používat technická a organizační opatření na ochranu zpracovávaných osobních údajů před náhodným nebo protiprávním zničením, ztrátou, změnou, neoprávněným sdělením nebo přístupem k nim, která musejí být přiměřená různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jejichž údaje jsou zpracovávány, a s přihlédnutím k současnému stavu techniky, nákladům na jejich zavedení a povaze, rozsahu, kontextu a účelu zpracování, případně včetně opatření pro pseudonymizaci a šifrování zpracovávaných osobních údajů, schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti včas obnovit dostupnost zpracovávaných osobních údajů a přístup k nim v případě fyzických či technických incidentů a procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
(f) poskytovat Správci takovou součinnost, pomoc a takové informace, jaké bude Správce přiměřeně požadovat a jaké je Zpracovatel přiměřeně schopen poskytovat, aby Správce mohl plnit své závazky z platných a účinných právních předpisů o ochraně osobních údajů a soukromí a spolupracovat s příslušnými úřady v souvislosti se zpracovávanými osobními údaji, případně včetně poskytování podpory Správci, pokud to bude relevantní s ohledem na povahu zpracování Zpracovatelem;
(g) nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení se Zpracovatel zavazuje informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytnout tak Správci příležitost vyslovit vůči těmto změnám námitky. Výslovně povolenými zpracovateli a podzpracovateli jsou následující subjekty:
(h) pověřovat zpracováním zpracovávaných osobních údajů jen další zpracovatele či podzpracovatele, kteří poskytují dostatečnou úroveň zabezpečení osobních údajů minimálně v rozsahu požadovaném platnými a účinnými právními předpisy o ochraně osobních údajů a soukromí;
(i) neprodleně písemně a přiměřeně podrobně informovat Správce, jakmile se dozví nebo získá důvodné podezření, že došlo k porušení zabezpečení osobních údajů nebo jinému závažnému incidentu, který narušuje nebo odhaluje podstatnou slabinu v zabezpečení osobních údajů v době, kdy jsou v jeho držení nebo pod jeho kontrolou (dále „Incident týkající se zabezpečení osobních údajů“);
(j) v případě Incidentu týkajícího se zabezpečení osobních údajů:
(k) sdělovat Správci veškeré informace, které Správce může přiměřeně požadovat;
(l) neprodleně písemně informovat Správce, pokud se bude domnívat, že dodržením pokynu Správce by mohlo dojít k porušení platných a účinných právních předpisů o ochraně osobních údajů a soukromí.
Audity a kontroly u Zpracovatele
Správce (nebo jím pověření auditoři) je oprávněn učinit po předchozí písemné žádosti, která musí být doručena Zpracovateli alespoň s měsíčním předstihem, přiměřené audity a/nebo kontroly nezbytné k ověření, zda Zpracovatel dodržuje tuto Smlouvu. Zpracovatel se zavazuje umožnit konání přiměřených auditů a kontrol a poskytovat při jejich provádění Správci veškerou nezbytnou součinnost.
Správce je povinen po dobu přítomnosti svých zaměstnanců či jím pověřených auditorů v prostorách Zpracovatele během takového auditu nebo takové kontroly zabránit (nebo pokud to nebude možné, alespoň minimalizovat) případné škody, újmu na zdraví nebo narušení prostor, vybavení, zaměstnanců a podnikání Zpracovatele.
Zpracovatel je oprávněn požadovat po Správci náhradu nutných nákladů spojených s prováděnými audity a kontrolami u Zpracovatele a současně i náhradu ztrátového času Zpracovatele a jeho zaměstnanců zúčastněných na auditu či kontrole, případně za prostoje v jejich práci způsobené auditem či kontrolou, a to v paušální hodnotě 1.500,- Kč / hodina / osoba.
Zpracovatel není povinen umožnit přístup do svých prostor pro účely takového auditu nebo takové kontroly:
Závěrečná ustanovení
Tato Smlouva se uzavírá na dobu určitou, a to na dobu poskytování Produktu.