Zpracovatelská smlouva

Tato zpracovatelská smlouva (dále jen „DPA“) upravuje podmínky zpracování osobních údajů mezi těmito stranami:

1. Smluvní strany

Správce

Klient, který využívá služby Poskytovatele a v rámci těchto služeb určuje účely a prostředky zpracování osobních údajů.

(dále jen „Správce“)

a

Zpracovatel

(dále jen „Zpracovatel“)

Správce a Zpracovatel dále společně také jako „Strany“.

2. Úvodní ustanovení

1. Tato DPA se použije v případech, kdy Zpracovatel pro Správce v rámci poskytování služeb zpracovává osobní údaje jménem Správce.
2. Tato DPA je uzavírána v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
3. Tato DPA doplňuje smlouvu, objednávku, cenovou nabídku, obchodní podmínky nebo jiný smluvní dokument uzavřený mezi Stranami (dále jen „Hlavní smlouva“).
4. V případě rozporu mezi touto DPA a Hlavní smlouvou má ve vztahu ke zpracování osobních údajů přednost tato DPA.

3. Předmět zpracování

1. Zpracovatel zpracovává osobní údaje pro Správce pouze v rozsahu nezbytném pro poskytování sjednaných služeb.
2. Typicky může jít zejména o tyto služby:
   • vývoj a provoz webových stránek,
   • hosting a technická správa webu,
   • formuláře a poptávkové systémy,
   • rezervační systémy,
   • CRM a zákaznické administrace,
   • chatboty a komunikační asistenty,
   • marketingové automatizace,
   • integrační a notifikační workflow,
   • technická podpora, monitoring, zálohování a bezpečnost.
3. Zpracování probíhá pouze po dobu trvání Hlavní smlouvy a po dobu nezbytně nutnou k ukončení služby, exportu dat, splnění právních povinností nebo ochraně oprávněných zájmů Zpracovatele.

4. Povaha a účel zpracování

1. Povaha zpracování může zahrnovat zejména:
   • shromažďování,
   • ukládání,
   • organizování,
   • strukturování,
   • zpřístupnění oprávněným osobám,
   • používání,
   • přenos,
   • zálohování,
   • výmaz,
   • a další operace nezbytné pro technický provoz služby.
2. Účelem zpracování je zejména:
   • umožnění provozu služby pro Správce,
   • technická správa a údržba,
   • zajištění funkčnosti formulářů, rezervací, chatbotů a databází,
   • evidence a správa klientských dat,
   • bezpečnost, monitoring, logování a diagnostika,
   • automatizace komunikace a procesů,
   • poskytování podpory a odstraňování chyb.
3. Zpracovatel nezpracovává osobní údaje pro vlastní účely, s výjimkou případů, kdy mu takové zpracování ukládá právní předpis nebo kdy je to nezbytné pro ochranu jeho právních nároků, bezpečnost systémů nebo splnění povinností podle GDPR.

5. Typy osobních údajů

V závislosti na konkrétní službě mohou být zpracovávány zejména tyto kategorie osobních údajů:

• identifikační údaje (jméno, příjmení),
• kontaktní údaje (e-mail, telefon),
• rezervační a objednávkové údaje,
• obsah zpráv, poznámek a komunikace,
• údaje o uživatelských účtech,
• technické údaje a logy,
• IP adresa,
• metadata související s používáním služby,
• případně další údaje, které do systému vloží Správce nebo subjekt údajů.

Zpracovatel není oprávněn vyžadovat od Správce zvláštní kategorie osobních údajů, pokud to není výslovně sjednáno a právně ošetřeno.

6. Kategorie subjektů údajů

Subjekty údajů mohou být zejména:

• zákazníci Správce,
• obchodní partneři Správce,
• návštěvníci webu Správce,
• osoby vyplňující formuláře,
• osoby provádějící rezervace,
• uživatelé chatbotu nebo jiného asistenta,
• zaměstnanci nebo spolupracovníci Správce,
• další osoby, jejichž údaje Správce do systému vloží.

7. Pokyny Správce

1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně pokynů vyplývajících z Hlavní smlouvy, této DPA a běžného provozního nastavení služby.
2. Za pokyn Správce se považuje zejména:
   • objednání konkrétní služby,
   • konfigurace formuláře, chatbotu, CRM nebo rezervačního systému,
   • zadání integrační logiky,
   • obsah uložený nebo importovaný Správcem,
   • provozní zadání předané e-mailem, v administraci nebo jiným prokazatelným způsobem.
3. Pokud se Zpracovatel domnívá, že určitý pokyn porušuje GDPR nebo jiný právní předpis na ochranu osobních údajů, upozorní na tuto skutečnost Správce bez zbytečného odkladu.

8. Povinnosti Zpracovatele

Zpracovatel se zavazuje, že:

1. bude zpracovávat osobní údaje jen na základě pokynů Správce,
2. zajistí, aby osoby oprávněné ke zpracování byly zavázány mlčenlivostí,
3. přijme přiměřená technická a organizační opatření k zabezpečení osobních údajů,
4. bude Správci nápomocen při plnění jeho povinností podle GDPR v rozsahu přiměřeném povaze služby,
5. po skončení zpracování umožní výmaz nebo vrácení osobních údajů dle podmínek této DPA,
6. poskytne Správci informace potřebné k doložení souladu s čl. 28 GDPR,
7. nebude osobní údaje využívat pro vlastní marketing, profilování nebo jiné vlastní obchodní účely.

9. Technická a organizační opatření

1. Zpracovatel přijímá přiměřená technická a organizační opatření odpovídající povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob.
2. Tato opatření mohou zahrnovat zejména:
   • šifrování přenosu dat,
   • řízení přístupových oprávnění,
   • autentizaci a správu přístupů,
   • používání silných hesel a hashování hesel,
   • logování přístupů a provozních událostí,
   • pravidelné aktualizace software a záplatování,
   • zálohování a obnovu dat,
   • oddělení prostředí a rolí,
   • omezení přístupu pouze na osoby, které to potřebují,
   • opatření proti neoprávněnému nebo náhodnému zničení, ztrátě či změně dat.
3. Správce bere na vědomí, že žádný systém připojený k internetu nemůže garantovat absolutní bezpečnost.

10. Dílčí zpracovatelé

1. Správce souhlasí s tím, že Zpracovatel může pro plnění svých povinností využít další zpracovatele (subprocesory), pokud zajistí odpovídající úroveň ochrany osobních údajů.
2. Správce tímto uděluje obecné povolení k využití dílčích zpracovatelů uvedených v této DPA nebo běžně využívaných v rámci poskytované služby.
3. Typicky může jít zejména o tyto dílčí zpracovatele:

4. Zpracovatel zajistí, aby každý dílčí zpracovatel byl vázán smluvními povinnostmi ochrany osobních údajů alespoň v rozsahu odpovídajícím této DPA.
5. Pokud Zpracovatel zamýšlí zapojit nového dílčího zpracovatele, který může mít podstatný dopad na ochranu osobních údajů, poskytne Správci na vyžádání přiměřenou informaci.

11. Předávání osobních údajů mimo EU / EHP

1. Zpracovatel se snaží využívat infrastrukturu a nastavení služeb primárně v EU / EHP, pokud je to rozumně možné.
2. Pokud v rámci poskytování služby dochází k předání osobních údajů mimo EU / EHP, zajistí Zpracovatel odpovídající právní mechanismus, zejména:
   • rozhodnutí o odpovídající ochraně,
   • standardní smluvní doložky Evropské komise,
   • nebo jiný přípustný nástroj podle GDPR.
3. Správce bere na vědomí, že některé cloudové, e-mailové nebo AI služby mohou zahrnovat mezinárodní přenosy dat.

12. AI funkce

1. Pokud je součástí služby chatbot, AI asistent nebo jiná AI funkce, mohou být textové vstupy a související metadata zpracovávány za účelem poskytování této funkce.
2. Zpracovatel se zavazuje, že bude v přiměřené míře usilovat o:
   • minimalizaci osobních údajů ve vstupech,
   • omezení přímých identifikátorů, je-li to technicky možné,
   • transparentnost vůči Správci ohledně použitých AI nástrojů.
3. Správce odpovídá za to, že do AI workflow nebude bez odpovídajícího právního základu a bez nezbytnosti vkládat zvláštní kategorie osobních údajů nebo jiné vysoce citlivé údaje, pokud to nebylo se Zpracovatelem výslovně dohodnuto.
4. Zpracovatel neodpovídá za věcnou správnost AI výstupů, pokud není výslovně sjednána lidská kontrola nebo odborná validace.

13. Pomoc Správci

1. Zpracovatel poskytne Správci přiměřenou součinnost při:
   • vyřizování žádostí subjektů údajů,
   • posouzení dopadu na ochranu osobních údajů, je-li to relevantní,
   • řešení bezpečnostních incidentů,
   • plnění informačních povinností vůči subjektům údajů,
   • doložení základních informací o zabezpečení a subprocesorech.
2. Tato součinnost je poskytována v rozsahu přiměřeném povaze služby, technickým možnostem a míře zapojení Zpracovatele.
3. Pokud půjde o činnost nad běžný rámec podpory, může být přiměřeně zpoplatněna podle aktuální hodinové sazby Zpracovatele, není-li sjednáno jinak.

14. Bezpečnostní incidenty

1. Pokud Zpracovatel zjistí porušení zabezpečení osobních údajů týkající se dat zpracovávaných pro Správce, oznámí tuto skutečnost Správci bez zbytečného odkladu.
2. Oznámení bude obsahovat přiměřeně dostupné informace, zejména:
   • popis povahy incidentu,
   • kategorie dotčených údajů,
   • pravděpodobné důsledky,
   • přijatá nebo navržená nápravná opatření.
3. Zpracovatel neodpovídá za incident způsobený:
   • chybným pokynem Správce,
   • zásahem Správce nebo jeho dodavatele,
   • kompromitací přístupů na straně Správce,
   • okolností, které nemohl rozumně ovlivnit.

15. Audit a doložení souladu

1. Zpracovatel poskytne Správci na přiměřenou žádost informace potřebné k doložení souladu s povinnostmi podle čl. 28 GDPR.
2. Právo auditu se vykonává tak, aby nepřiměřeně nezasáhlo do provozu Zpracovatele, bezpečnosti jeho systémů ani práv dalších klientů.
3. Není-li dáno podezření na závažné porušení povinností, postačí zpravidla:
   • písemné potvrzení,
   • odpověď na dotazník,
   • sdělení o technických a organizačních opatřeních,
   • informace o subprocesorech.
4. Fyzický nebo detailní audit na místě je možný pouze po předchozí dohodě, v přiměřeném rozsahu, za zachování mlčenlivosti a případně za úhradu nákladů.

16. Doba trvání zpracování a ukončení

1. Tato DPA trvá po dobu, po kterou Zpracovatel zpracovává osobní údaje pro Správce.
2. Po ukončení Hlavní smlouvy Zpracovatel:
   • umožní Správci export dat v běžně použitelném formátu, pokud to povaha služby dovoluje,
   • a následně údaje vymaže nebo anonymizuje, pokud právní předpis nebo oprávněný důvod nevyžaduje jejich další uchování.
3. Standardní lhůta pro export dat činí 30 dnů od ukončení služby, není-li výslovně sjednáno jinak.
4. Po uplynutí této lhůty může Zpracovatel osobní údaje odstranit z aktivních systémů, záloh a úložišť v rámci běžného retenčního cyklu.
5. Zpracovatel je oprávněn uchovat omezený rozsah údajů, pokud je to nutné:
   • ke splnění právní povinnosti,
   • pro vedení účetní a daňové evidence,
   • pro obranu právních nároků,
   • nebo pro evidenci bezpečnostních incidentů.

17. Odpovědnost

1. Každá Strana odpovídá za porušení povinností, které jí ukládá GDPR nebo tato DPA, v rozsahu stanoveném právními předpisy.
2. Zpracovatel neodpovídá za soulad zpracování s právem na straně Správce, zejména pokud:
   • Správce nemá odpovídající právní titul,
   • neposkytl subjektům údajů potřebné informace,
   • shromažďuje nepřiměřené údaje,
   • nebo Zpracovateli udělí nezákonný pokyn.
3. Odpovědnost Zpracovatele se dále řídí Hlavní smlouvou a obchodními podmínkami, není-li to v rozporu s kogentním právem.

18. Mlčenlivost

1. Zpracovatel se zavazuje zachovávat mlčenlivost o osobních údajích i o okolnostech jejich zpracování.
2. Povinnost mlčenlivosti trvá i po skončení této DPA.
3. Povinnost mlčenlivosti se nevztahuje na případy, kdy zveřejnění nebo zpřístupnění ukládá právní předpis nebo pravomocné rozhodnutí orgánu veřejné moci.

19. Závěrečná ustanovení

1. Tato DPA tvoří součást smluvního rámce mezi Správcem a Zpracovatelem.
2. Tato DPA může být uzavřena:
   • podpisem obou stran,
   • elektronickým odsouhlasením,
   • přijetím v administraci,
   • nebo akceptací nabídky či objednávky, která na tuto DPA odkazuje.
3. Právní vztahy neupravené touto DPA se řídí GDPR, právním řádem České republiky a Hlavní smlouvou.
4. Pokud se některé ustanovení této DPA ukáže jako neplatné nebo nevymahatelné, nemá to vliv na platnost ostatních ustanovení.
5. Aktuální verze této DPA může být zveřejněna na webu mujagent.cz nebo připojena ke smluvní dokumentaci.