Zpracovatelská smlouva

Tato Smlouva uzavřená dle čl. 28 odst. 3 nařízení evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR") je nedílnou součástí všeobecných obchodních podmínek společnosti FaceUp Technology s.r.o., IČO: 061 42 630, se sídlem Údolní 567/33, Brno-město, 602 00 Brno, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 100325 (dále jen „Zpracovatel" anebo „Provozovatel"), která je autorem, vlastníkem a provozovatelem mobilní a webové aplikace „Nenech to být", poskytované prostřednictvím uživatelských rozhraní umístěných na internetové adrese www.admin.nntb.cz nebo www.upozorneni.nntb.cz (dále jen „Internetové stránky"), a/nebo mobilní aplikace FaceUp dostupné v obchodech Google Play a App Store (dále jen „Aplikace").

Tato Smlouva se nevztahuje na práva a povinnosti vzniklá v souvislosti s běžným procházením internetových stránek www.nntb.cz, kdy taková práva a povinnosti se řídí Podmínkami a pravidly užívání internetových stránek a  je jako součást VOP uzavírána za účelem ochrany osobních údajů při jejich zpracovávání Zpracovatelem výlučně v rámci poskytování Služeb Správci, a to v rozsahu práv a povinností, které pro její Smluvní strany při zpracování osobních údajů v rámci poskytování Služeb vyplývají z GDPR.

Zpracovatel poskytuje osobám, které pro účely využívání Služeb užívají Internetové stránky a/nebo Aplikaci – implementují toto řešení do vlastní struktury jako řešení hlášení nežádoucích situací, přijímání oznámení od třetích osob a/nebo vnitřního oznamovacího systému ochrany oznamovatelů, a kteří se zaregistrují prostřednictvím Internetových stránek a/nebo Aplikace (dále jen „Klient“ anebo „Správce“) služby, pomocí kterých Provozovatel zejména přijímá zprávy (oznámení) od třetích osob a následně je ukládá do Aplikace a tyto údaje zpřístupňuje Klientovi prostřednictvím profilu či zasláním v podobě zašifrovaného dokumentu, čímž Klient využívá Internetové stránky a/nebo Aplikaci Provozovatele k vyřizování a administraci zpráv (oznámení) a komunikaci s oznamovatelem, vč. případně i plnění povinností dle zákona o ochraně oznamovatelů nebo pokud je Klientem školské či jiné obdobné zařízení k prevenci a řešení šikany nebo jiného obdobného jednání (dále jen „Služby“).

Předmětem smluvního vztahu mezi Provozovatelem a Klientem je zejména závazek Provozovatele umožnit, aby osoby, které chtějí učinit oznámení prostřednictvím formuláře na Internetových stránkách a/nebo v Aplikaci (dále jen „Oznamovatel“), kterým informují Klienta o určitých skutečnostech – zpravidla nežádoucí povahy (dále jen „Oznámení“) s použitím přístupového kódu Klienta prostřednictvím formuláře na Internetových stránkách a/nebo Aplikace takové oznámení učinit mohli.

Řádné poskytování Služeb vyžaduje mimo jiné i zpracování osobních údajů osob působících v organizaci Správce, zejména zaměstnanců, členů orgánů, obchodních partnerů, oznamovatelů, kteří prostřednictvím Internetových stránek podají oznámení s použitím přístupového kódu Správce a případných dalších osob spolupracujících se Správcem;

Tato Smlouva vymezuje rozsah osobních údajů, které budou zpracovávány, účel, pro který budou zpracovávány, dobu, po kterou budou zpracovávány, práva a povinnosti Správce a Zpracovatele a audity a kontroly u Zpracovatele.

Zpracováním osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) v rozsahu nezbytném pro zajištění řádného poskytování Služeb.

V této Smlouvě jsou výrazy „správce", „subjekt údajů", „osobní údaje", „porušení zabezpečení osobních údajů", „zpracování" a „zpracovatel", jakož i výrazy od těchto odvozené nebo jim příbuzné, používány ve významu, jaký mají podle článku 4 GDPR.

Smluvní strany se dohodly, že zpracovávání osobních údajů na základě této Smlouvy bude bezplatné.

Rozsah zpracování osobních údajů

Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména osobní údaje těchto kategorií subjektů údajů v rámci Aplikace, Internetových stránek a/nebo vzájemné komunikace či dokumentace:

1. zaměstnanci Správce;
2. členové orgánů Správce;
3. obchodní partneři Správce; 
4. Oznamovatelé, kteří prostřednictvím Internetových stránek podají Oznámení s použitím přístupového kódu Správce;
5. uživatelé Internetových stránek;
6. administrátor Správce a uživatelé administrace Správce;
7. kontaktní osoby uvedené ve Smlouvě o poskytování služeb; a
8. případné další osoby spolupracující se Správcem.

Zpracovatel v souladu s touto Smlouvou bude zpracovávat zejména tyto osobní údaje, které pro, za či od Správce získal v souvislosti se svou činností, a které za tím účelem Zpracovateli předá či jinak zpřístupní:

1. identifikační údaje subjektů údajů (zejm. jméno, příjmení, je-li sděleno);
2. kontaktní údaje subjektů údajů (zejm. korespondenční adresa, e-mailová adresa, telefonní číslo, je-li sděleno);
3. informace sdělené v rámci Oznámení;
4. fakturační a platební údaje (zejm. číslo účtu a bankovní spojení);
5. údaje o výkonu činnosti subjektu údajů;
6. IP adresu subjektů údajů;
7. cookies;
8. údaje o podnikatelské činnosti; 
9. organizační jednotku nebo školu subjektů údajů; a
10. údaje ze vzájemné komunikace týkající se oznámení.

Účel a doba zpracování

Zpracovatel se zavazuje zpracovávat osobní údaje pouze v nezbytném rozsahu za účelem řádného poskytování svých Služeb a zajištění svých povinností při poskytování Služeb, což je zaručeno minimálním přístupem Zpracovatele k osobním údajům například pomocí šifrování. Jiný účel není Smluvními stranami sjednán ani povolen.

Osobní údaje budou zpracovány po dobu poskytování Služeb s tím, že ukončením poskytování Služeb bez dalšího zaniká i tato Smlouva. Ukončením této Smlouvy nezanikají povinnosti Zpracovatele týkající se bezpečnosti a ochrany osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárnímu předání jinému zpracovateli.

Zpracovatel se na písemný pokyn Správce zavazuje neprodleně po ukončení poskytování příslušných Služeb v souladu s rozhodnutím Správce všechny osobní údaje vrátit Správci nebo vymazat všechny jejich existující kopie, pokud právní předpis nestanoví jinak. Tento pokyn je povinen učinit Správce bez zbytečného odkladu, avšak nejpozději do třiceti (30) kalendářních dnů od zániku této Smlouvy. V případě že tak neučiní, je Zpracovatel oprávněn provést likvidaci osobních údajů, které mu byly poskytnuty na základě této Smlouvy Správcem, není-li mu známa právním předpisem vymezená překážka, a o provedené likvidaci Správce neprodleně poté informovat.

Práva a povinnosti Správce a Zpracovatele

Správce:

1. se zavazuje před sdělením či zpřístupněním osobních údajů Zpracovateli učinit takové kroky, které zajistí, že sdělením či zpřístupněním osobních údajů nedojde k porušení platných a účinných právních předpisů o ochraně soukromí a osobních údajů;
2. prohlašuje a zaručuje Zpracovateli, že veškeré osobní údaje, jejichž zpracování je předmětem Služeb a/nebo této Smlouvy získal a zpracovává v souladu s právními předpisy, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.

Zpracovatel se zavazuje:

1. ve vztahu ke zpracovávání zpracovávaných osobních údajů dodržovat platné a účinné právní předpisy o ochraně osobních údajů a soukromí, zejména, nikoli však výlučně, GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů;
2. zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje; 
3. zachovávat mlčenlivost ohledně všech osobních údajů, které mu budou poskytnuty či zpřístupněny Správcem, nebo se kterými se seznámí v souvislosti s poskytováním Služeb Správci, s výjimkou jejich předávání podzpracovatelům a poskytovatelům služeb Zpracovateli;
4. zajistit, aby se všichni jeho zaměstnanci, členové orgánů a jeho obchodní partneři s oprávněným přístupem ke zpracovávaným osobním údajům (nebo s oprávněním je zpracovávat) před vykonáním prvního úkonu v souvislosti s poskytováním Služeb zavázali dodržovat odpovídající podmínky mlčenlivosti nebo aby byli řádně seznámeni se svou zákonnou povinností mlčenlivosti, vztahuje-li se na ně;
5. vždy používat technická a organizační opatření na ochranu zpracovávaných osobních údajů před náhodným nebo protiprávním zničením, ztrátou, změnou, neoprávněným sdělením nebo přístupem k nim, která musejí být přiměřená různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jejichž údaje jsou zpracovávány, a s přihlédnutím k současnému stavu techniky, nákladům na jejich zavedení a povaze, rozsahu, kontextu a účelu zpracování, případně včetně opatření pro pseudonymizaci a šifrování zpracovávaných osobních údajů, schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti včas obnovit dostupnost zpracovávaných osobních údajů a přístup k nim v případě fyzických či technických incidentů a procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
6. poskytovat Správci takovou součinnost, pomoc a takové informace, jaké bude Správce přiměřeně požadovat a jaké je Zpracovatel přiměřeně schopen poskytovat, aby Správce mohl plnit své závazky z platných a účinných právních předpisů o ochraně osobních údajů a soukromí a spolupracovat s příslušnými úřady v souvislosti se zpracovávanými osobními údaji, případně včetně poskytování podpory Správci, pokud to bude relevantní s ohledem na povahu zpracování Zpracovatelem;
7. nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení se Zpracovatel zavazuje informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytnout tak Správci příležitost vyslovit vůči těmto změnám námitky. Výslovně povolenými zpracovateli a podzpracovateli jsou následující subjekty:
   1. Amazon Web Services, Inc. (nástroje pro infrastrukturu);
   2. Google LLC (nástroje pro analytiku);
   3. tawk.to, Inc. (nástroje pro zákaznickou podporu);
   4. Sentry, Inc. (nástroje pro chybový reporting);
   5. ECOMAIL.CZ, s.r.o (nástroje pro online marketing);
   6. případně další nově zapojení zpracovatelé a podzpracovatelé, které Zpracovatel písemně, včetně e-mailu, oznámí Správci, kdy vůči těmto novým zpracovatelům a podzpracovatelům má Správce právo vyslovit své námitky, kdy tyto námitky je Zpracovatel povinen zohlednit;
8. pověřovat zpracováním zpracovávaných osobních údajů jen další zpracovatele či podzpracovatele, kteří poskytují dostatečnou úroveň zabezpečení osobních údajů minimálně v rozsahu požadovaném platnými a účinnými právními předpisy o ochraně osobních údajů a soukromí;
9. neprodleně písemně a přiměřeně podrobně informovat Správce, jakmile se dozví nebo získá důvodné podezření, že došlo k porušení zabezpečení osobních údajů nebo jinému závažnému incidentu, který narušuje nebo odhaluje podstatnou slabinu v zabezpečení osobních údajů v době, kdy jsou v jeho držení nebo pod jeho kontrolou (dále „Incident týkající se zabezpečení osobních údajů");
10. v případě Incidentu týkajícího se zabezpečení osobních údajů:
    1. učinit veškeré přiměřené kroky ke zjištění a odstranění základní příčiny Incidentu týkajícího se zabezpečení osobních údajů a eliminovat tak nebo vyloučit riziko opakování a výskytu podobných Incidentů týkajících se zabezpečení osobních údajů;
    2. učinit kroky, které Správce může přiměřeně požadovat a Zpracovatel rozumně učinit, které Správci pomohou vyřešit nežádoucí důsledky Incidentu týkajícího se zabezpečení osobních údajů a zajistí dodržování závazků Správce z platných a účinných právních předpisů o ochraně osobních údajů a soukromí; a
    3. Správci neprodleně a pravidelně hlásit přijatá opatření a jejich výsledky;
11. sdělovat Správci veškeré informace, které Správce může přiměřeně požadovat; 
12. neprodleně písemně informovat Správce, pokud se bude domnívat, že dodržením pokynu Správce by mohlo dojít k porušení platných a účinných právních předpisů o ochraně osobních údajů a soukromí.

Audity a kontroly u Zpracovatele

Správce (nebo jím pověření auditoři) je oprávněn učinit po předchozí písemné žádosti, která musí být doručena Zpracovateli alespoň s měsíčním předstihem, přiměřené audity a/nebo kontroly nezbytné k ověření, zda Zpracovatel dodržuje tuto Smlouvu. Zpracovatel se zavazuje umožnit konání přiměřených auditů a kontrol a poskytovat při jejich provádění Správci veškerou nezbytnou součinnost.

Správce je povinen po dobu přítomnosti svých zaměstnanců či jím pověřených auditorů v prostorách Zpracovatele během takového auditu nebo takové kontroly zabránit (nebo pokud to nebude možné, alespoň minimalizovat) případné škody, újmu na zdraví nebo narušení prostor, vybavení, zaměstnanců a podnikání Zpracovatele.

Zpracovatel je oprávněn požadovat po Správci náhradu nutných nákladů spojených s prováděnými audity a kontrolami u Zpracovatele a současně i náhradu ztrátového času Zpracovatele a jeho zaměstnanců zúčastněných na auditu či kontrole, případně za prostoje v jejich práci způsobené auditem či kontrolou, a to v paušální hodnotě 1.500,- Kč / hodina / osoba.

Zpracovatel není povinen umožnit přístup do svých prostor pro účely takového auditu nebo takové kontroly:

1. fyzickým osobám, které nepředloží přiměřený doklad totožnosti a oprávnění;
2. mimo běžnou pracovní nebo provozní dobu v takových prostorách, pokud se nebude jednat o naléhavý audit nebo naléhavou kontrolu, o čemž je Správce povinen Zpracovatele informovat ještě před zahájením auditu nebo kontroly mimo běžnou pracovní nebo provozní dobu; nebo
3. v případě více než jednoho auditu nebo jedné kontroly za dva kalendářní roky.