top of page

Zásady zpracování osobních údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(dále jen „Zpracovatelská smlouva“) (1) Vámi, kteří jste se rozhodli využívat platformu Dobrokruh (dále jen „Správce“ nebo “vy”) a (2) modern market s.r.o., se sídlem Sokolovská 694/98, Karlín, 186 00 Praha 8, IČO: 11975440, DIČ: CZ11975440 zapsaná v obchodním rejstříku u Městského soudu v Praze sp.zn.: C 357312, kterou zastupuje Petr Kocum, jednatel, (dále jen „Zpracovatel“, “Dobrokruh” nebo “my”), (Zpracovatel a Správce dále společně jako “Smluvní strany“ a jednotlivě “Smluvní strana“). Pokud budete využívat služeb platformy Dobrokruh (dále jen “Služba”), pak bude Dobrokruh zpracovatelem Osobních údajů, které nám svěříte. Služba je poskytována na základě Smlouvy o poskytování asistenčních služeb (“Smlouva”). Uzavřením Smlouvy potvrzujete, že jste se seznámil a souhlasíte se Zpracovatelskou smlouvou, a je pro Vás právně závazná. Přečtěte si prosím pečlivě tuto Zpracovatelskou smlouvu, která vymezuje podmínky zpracování Osobních údajů, za kterých je Služba poskytována. V případě dotazů, které se budou týkat zpracování Osobních údajů, nás můžete kdykoliv kontaktovat na ofce@dobrokruh.cz. Smluvní strany zpracovávají Osobní údaje v souvislosti s uzavřenou Smlouvou v souladu s právními předpisy, zejména v souladu s Nařízením Evropského parlamentu a rady (EU) 2016/679 (dále jen “GDPR”). Podle GDPR musí Smluvní strany písemně upravit pravidla zpracování, což provádějí v této Zpracovatelské smlouvě. 1. ÚVOD A KRÁTKÝ PŘEHLED OBSAHU SMLOUVY 1.1. Předmět a účel Zpracovatelské smlouvy. Uzavřením této Zpracovatelské smlouvy jako Správce pověřujete Zpracovatele, aby pro Vás prováděl zpracování Osobních údajů v souvislosti s poskytováním Služby. Cílem je zajištění ochrany Osobních údajů v rozsahu požadovaném právními předpisy. Rozsah zpracovávaných Osobních údajů naleznete v Příloze A této Zpracovatelské smlouvy. 1.2. Služba. Službou se rozumí platforma Dobrokruh, která umožňuje poskytování asistenčních služeb Vašim zaměstnancům, zejména ve formě propojení Vašich zaměstnanců s důvěryhodnými organizacemi, které poskytují pomoc v ůzných životních situacích, například terapeut, psycholog, sociální pracovník, nezisková organizace, spolek nebo iniciativa, nabízející žadatelům bezplatnou pomoc či poradenství, jak je blíže denováno ve Smlouvě. 1.3. Co znamená pozice Zpracovatele a Správce. Při užívání Služby nám předáváte Osobní údaje, jejichž jste Správcem, které následně na Váš pokyn a v rozsahu Vámi zvoleném zpracováváme. Při zpracování Osobních údajů jste v postavení správce Osobních údajů podle článku 4 odst. 7 GDPR a Dobrokruh je v postavení zpracovatele dle článku 4 odst. 8 GDPR. 1.4. Písemná forma. Podle článku 28 GDPR Smluvní strany písemně upravují pravidla zpracování v této Zpracovatelské smlouvě. 1 1.5. Denice. Denice pojmů ve Smlouvě budou převzaty ve stejném významu i do této Zpracovatelské smlouvy. 1.6. Doba trvání Smlouvy. Tato Zpracovatelská smlouva se uzavírá na dobu trvání Smlouvy. 1.7. Okamžik uzavření a ukončení Zpracovatelské smlouvy. Zpracovatelská smlouva je uzavřena v okamžiku podpisu Smlouvy a Zpracovatelské smlouvy oběma Smluvními stranami. Ukončit Zpracovatelskou smlouvu je možné za stejných podmínek jako ukončení využívání Služby podle Smlouvy. 1.8. Účinky ukončení. Ukončení této Zpracovatelské smlouvy má za následek zároveň ukončení smluvního vztahu v oblastech, kterých se tato Zpracovatelská smlouva týká, pokud se Smluvní strany nedohodnou jinak. Ukončením Smlouvy je ukončena i tato Zpracovatelská smlouva. Ukončením této Zpracovatelské smlouvy však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací. 2. SPOLEČNÉ POVINNOSTI SPRÁVCE A ZPRACOVATELE 2.1. Zákonnost zpracování. Správce a Zpracovatel se zavazují dodržovat předpisy upravující ochranu Osobních údajů. 2.2. Součinnost. Správce a Zpracovatel se zavazují si být navzájem v nezbytném a přiměřeném rozsahu nápomoci při plnění povinností při zpracování Osobních údajů, které vyplývají ze vzájemně uzavřených smluv a právních předpisů, a to zejména v souvislosti s reakcemi na výkon práv subjektů údajů, s bezpečnostními incidenty a také i s vypracováním posouzení vlivu a s jednáním s dozorovými orgány. Smluvní strany se zavazují poskytnout nezbytné podklady pro vyřízení žádosti týkající se zpracování Osobních údajů podle Smlouvy. Smluvní strana tyto podklady poskytne zbytečného odkladu, nejpozději však do 10 pracovních dnů od obdržení žádosti o poskytnutí součinnosti druhé Smluvní straně. 2.3. Incident. Smluvní strana oznámí druhé straně, že se dozvěděla o porušení zabezpečení zabezpečení do 48 hodin od chvíle, kdy se o porušení dozví. Porušením je třeba chápat jakýkoliv případ porušení zabezpečení Osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění Osobních údajů, které jsou zpracovány na základě Smlouvy. 3. PRÁVA A POVINNOSTI ZPRACOVATELE 3.1. Omezení přístupu. Zpracovatel zajistí, aby byl přístup k Osobním údajům omezen pouze na (a) zaměstnance, kteří zpracovávají Osobní údaje v rámci pracovní náplně, a dále (b) osoby, které spolupracují se Zpracovatelem a v rámci spolupráce mohou pro něj zpracovávat Osobní údaje, a to v souladu s podmínkami této Zpracovatelské smlouvy a za účelem poskytnutí Služeb na základě Smlouvy. Pokud se na tyto osoby nevztahuje zákonná povinnost mlčenlivosti, Zpracovatel zajistí jejich smluvní mlčenlivost. 3.2. Závazek Zpracovatele týkající se přijatých opatření. Zpracovatel přijal a zavazuje se udržovat po celou dobu trvání této Zpracovatelské smlouvy vhodná technická a organizační opatření dle nařízení GDPR, které se na Zpracovatele vztahují. Přehled přijatých opatření naleznete v Příloze B této Zpracovatelské smlouvy. 3.3. Závazek Zpracovatele. Zpracovatel se zavazuje: 3.3.1. při zpracování Osobních údajů dodržovat veškeré povinnosti vyplývající pro zpracovatele Osobních údajů z relevantních právních předpisů; 2 3.3.2. zpracovávat Osobní údaje výlučně na základě pokynů Správce učiněných dle této Zpracovatelské smlouvy, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci; 3.3.3. oznámit bez zbytečného odkladu Správci případy, kdy je ze strany Úřadu pro ochranu Osobních údajů či jiného správního orgánu zahájena kontrola nebo jiné správní řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení; 3.3.4. být Správci nápomocen při zajišťování souladu s povinnostmi Správce týkajících se zabezpečení Osobních údajů podle článku 32 až 36 GDPR při zohlednění povahy zpracování, které má Zpracovatel provádět; 3.3.5. umožnit Správci konání interních auditů, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověřil, a to za podmínky, že tyto budou Zpracovateli oznámeny jeden měsíc před jejich konáním; Zpracovatel může vznést námitky proti proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není nezávislý, je v soutěžním nebo obdobném postavení vůči Zpracovateli. Na základě Zpracovatelem vznesené námitky má Správce povinnost pověřit jiného auditora; 3.3.6. ohlásit Správci o každém porušení zabezpečení Osobních údajů, o kterém se dozví, a to bez zbytečného odkladu, nejpozději do 48 hodin od chvíle, kdy se o porušení zabezpečení dozví. Minimální rozsah tohoto oznámení je uvedený v článku 33 odst. 3 GDPR; 3.3.7. vést evidenci veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení a plnění povinností Správce dle článku 33 až 34 GDPR; 3.3.8. být Správci nápomocen při doložení procesů či dokumentů, které prokazují, že Správce dodržuje GDPR. 3.4. Úhrada nákladů. Smluvní strany se dohodly, že Zpracovatel má vůči Správci nárok na náhradu přiměřených nákladů spojených s poskytnutím součinnosti. 3.5. Mlčenlivost Zpracovatele. Zpracovatel se zavazuje dodržovat povinnost mlčenlivosti o všech Osobních údajích předaných Správcem, a bude je udržovat v tajnosti, nezveřejní je, nepřístupní třetí osobě, a to ani jako celek, ani jejich části, ledaže má dojít k jejich předání na základě pokynu Správce, nebo pokud tak předpokládá právní předpis. 3.6. Obchodní tajemství. Všechny informace a dokumenty, které Zpracovatel Správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství Zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na zachování důvěrnosti podle této Zpracovatelské smlouvy. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu. 3.7. Zákonnost zpracování. Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy, této Zpracovatelské smlouvy nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti. 3.8. Zapojení zpracovatelé a zapojení nového zpracovatele. Zpracovatel dále zapojil do zpracování Osobních údajů poskytovatele: 3 instanceof s.r.o., IČO: 03007260, se sídlem Čápkova 28/21, Veveří, 602 00 Brno, zapsaná v obchodním rejstříku, vedeným u Krajského soudu v Brně, sp. zn. C 83229; Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855, Luxembourg; Backblaze Inc., 201 Baldwin Ave., San Mateo, CA, 94401; ECOMAIL.CZ, s.r.o., IČO: 02762943, se sídlem Na Zderaze 1275/15, Nové Město, 12000 Praha 2, zapsaná v obchodním rejstříku, který vede Městský soud v Praze, sp. zn. C 223183; TOPefekt s.r.o., IČO 29444268, DIČ CZ29444268 se sídlem B. Němcové 767/13, 78701 Šumperk, zapsaná v obchodním rejstříku, který vede Krajský soud v Ostravě, sp. zn. C 53634. Pokud bude Zpracovatel zapojovat jiné zpracovatele, informuje o tom Správce před touto změnou prostřednictvím e-mailu nebo přímo v Aplikaci. V případě, že Správce nebude se zapojením nového zpracovatele souhlasit, může podat námitku, a to nejpozději do 5 dnů od doručení oznámení Zpracovatele. Podání námitky, a tedy nezapojení nového (pod)zpracovatele, může mít za následek znemožnění užívání Služby. 3.9. Programátoři a další specialisté Zpracovatele. Správce výslovně souhlasí se zapojením dalších zpracovatelů - programátorů a jiných specialistů Zpracovatele v pozici fyzických osob podnikajících, kteří poskytují Zpracovateli služby na základě smlouvy o spolupráci. 3.10. Povinnost Zpracovatele v případě ukončení spolupráce. Zpracovatel se zavazuje, že v případě ukončení poskytování Služeb vymaže veškeré Osobní údaje a na žádost Správce je vrátí, včetně veškerých kopií, pokud právo EU nebo České republiky nevyžaduje jejich uložení. V takovém případě budou ve lhůtě tří měsíců od doručení výzvy Správce vráceny prostřednictvím zabezpečeného úložiště, které Správce specikuje ve své výzvě a zřídí k němu Zpracovateli přístup. Pokud po uplynutí tří let od ukončení spolupráce Správce nedá pokyn k předání Osobních údajů, upozorní jej Zpracovatel na možnost vrácení dat. Pokud Správce nedá do jednoho měsíce od upozornění pokyn na předání dat, budou Osobní údaje s ohledem na plnění svých právních povinností smazány. 3.11. Vrácení dat. Správce může požádat Zpracovatele o zaslání zálohovaných dat dle Smlouvy, a to nejpozději do 2 měsíců od smazání Uživatelského účtu. Po uplynutí této lhůty jsou data Správce nenávratně smazána. 4. ZÁVĚREČNÁ USTANOVENÍ 4.1. Právní řád. Pro záležitosti zvláště neupravené v této Zpracovatelské smlouvě platí obecně závazné právní předpisy. Zpracovatelská smlouva se řídí a bude vykládána v souladu s právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Smluvní strany se dohodly, že obchodní zvyklosti nemají přednost před žádnými ustanoveními zákona, a to ani před ustanoveními zákona, jež nemají donucující účinky. 4.2. Vyšší moc. Zpracovatel nenese odpovědnost za situace, kdy nemohl splnit svou povinnost vyplývající ze Zpracovatelské smlouvy z důvodu události označované jako vyšší moc (válka, nepokoje, terorismus, vzpory, stávky, požáry, epidemie či přírodní katastrofy). 4.3. Komunikace Smluvních stran. Smluvní strany se dohodly, že jejich komunikace týkající se Zpracovatelské smlouvy (včetně oznámení bezpečnostního incidentu) bude probíhat bude probíhat prostřednictvím e-mailových adres: 4.3.1. Správce: e-mailová adresa, kterou se Správce registroval ke Službě; 4.3.2. Zpracovatel: ofce@dobrokruh.cz; 4 4.4. Zákaz postoupení. Žádná Smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této Zpracovatelské smlouvy nebo související s touto Zpracovatelskou smlouvou bez předchozího písemného souhlasu druhé Smluvní strany. 4.5. Aktualizace a změny. Zpracovatel si vyhrazuje právo tuto Zpracovatelskou smlouvu upravit nebo aktualizovat. Pokud provedeme změny, které mění práva a povinnosti ze Zpracovatelské smlouvy, budete o tom včas srozuměni prostřednictvím e-mailu, který Vám zašleme. Pokud budete využívat nadále Službu, souhlasíte s aktualizovaným zněním Zpracovatelské smlouvy. Pokud se změnami nebudete souhlasit, přestaňte prosím Službu využívat. 4.6. Účinnost. Tato Zpracovatelská smlouva je účinná okamžikem podpisu poslední Smluvní stranou. 4.7. Přílohy. Součástí Zpracovatelské smlouvy jsou tyto přílohy: ● Příloha A: Povaha, rozsah, trvání a účel zpracování Osobních údajů, ● Příloha B: Technická a organizační opatření. ● Příloha C: Seznam zpracovatelů 5 PŘÍLOHA A KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Jaká je povaha zpracování? Osobn daje jsou zpracovvny automatizovan systémy Zpracovatele používanými pro poskytování Služby. Jaký je účel zpracování? Účelem zpracovn je umonit Sprvci využívání Služby (plnění smlouvy). Jaký je právní důvod zpracování? Právním důvodem pro zpracování Osobních údajů v rámci poskytování Služby je plnění Smlouvy (ve znění Podmínek). Jaký je rozsah zpracovní? V zvislosti na tom, jak Sprvce vyuv Slubu, mohou bt v souvislosti s poskytovnm Sluby zpracovvny zejmna tyto Osobn daje: ➔ Kontaktní údaje: Jméno, příjmení, e-mail, telefonní číslo, adresa; ➔ Identikační údaje: IP adresa, cookie, aktivita uživatele na webu Zpracovatele, informace o využívaných funkcionalitách platformy Dobrokruh (např. návštěva konkrétních sekcí, stahování souborů); ➔ Údaje o vzájemné komunikaci: Záznamy e-mailové komunikace, SMS zpráv, telefonních hovorů nebo jiných formátů komunikace, obsah korespondence, dotazů Žadatelů; ➔ Případně další Osobní údaje zpracovávané výhradně na pokyn Správce, které Správce považuje za nezbytné pro naplnění účelu smlouvy či další údaje, které jsou k subjektům údajů přiřaditelné. Co jsou zvláštní kategorie Osobních údajů? Jsou to takové Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či lozockém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identikace fyzické osoby. Zpracováváme zvláštní kategorie Osobních údajů? Sprvce se zavazuje, že Zpracovateli nezpřístupní dn Osobn daje, kter spadaj do zvltn kategorie Osobnch daj ve smyslu lnku 9 GDPR. Zvláštní kategorie Osobních údajů mohou být zpracovány pouze po výslovné předchozí dohodě se Zpracovatelem. Kdo je subjektem údajů? Zpravidla se jedná o Osobní údaje zaměstnanců Správce a jejich rodinných příslušníků. Jak dlouho Osobní údaje zpracováváme? Osobní údaje jsou zpracovávány po dobu, po kterou jsou Smluvní strany vázány Smlouvou ve znění Podmínek, ledaže dohoda Smluvních stran nebo právní předpis nestanoví dobu delší. 6 PŘÍLOHA B KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ Jaká využíváme technická opatření? Bezpečnost je pro nás velmi důležitá a proto soustavně pracujeme na tom, aby byly Vaše Osobní údaje chráněny. Při volbě opatření bereme v úvahu rozsah zpracování, rizikovost zpracování nebo stav naší techniky. ● Využíváme unikátní a silná hesla pro přístupy do každé služby jednotlivě; ● Pravidelně zálohujeme data; ● Aktualizujeme antivirové softwarové systémy; ● Šifrujeme data pomocí SSL („secure sockets layer”) pro veker pedvn daj; ● Používáme zabezpečený https protokol; ● Naše data na serverech jsou šifrována; ● Technologii vyvíjíme s ohledem na ochranu osobních údajů (privacy by design); ● Přístupová hesla do informačních systémů (kde budou Osobní údaje zpracovány) a oprávnění k přístupu jsou kontrolované na úrovni jednotlivců. Jaká využíváme organizační opatření? Přijali jsme a zavazujeme se dodržovat následující opatření: ● Naši zaměstnanci a spolupracovníci jsou zavázáni mlčenlivostí; ● Naši zaměstnanci a spolupracovníci jsou řádně proškoleni ohledně GDPR a seznámeni s pravidly bezpečné práce na pracovních zařízeních; ● Naši zaměstnanci se řídí interní směrnicí, která upravuje organizační opatření ohledně ochrany osobních údajů; ● V případě uchovávání API klíčů odstraňujeme autorizační údaje; ● Přístupy do všech systémů včetně informačního systému jsou personalizovány a kryty bezpečnými hesly, zaměstnanci mají povinnost mít šifrované harddisky; ● Hesla v provozním prostředí uchováváme na odděleném místě (Safe store), do nějž jsou evidovány logy, abychom mohli kontrolovat přístup zaměstnanců k jednotlivým Osobním údajům Uživatelů. 7 PŘÍLOHA C KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SEZNAM ZPRACOVATELŮ Zpracovatel Adresa IČO/reg. číslo K čemu se využívá? Kde uchovává data? Předávání dat mimo EU (čl. 44 GDPR) a důvod zpracování Zpracování dat instanceof s.r.o. Čápkova 28/21, Veveří, 602 00 Brno 03007260 Webhosting EU Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU. Na základě zpracovatelské smlouvy Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg B 186284 databáze EU Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU. Na základě zpracovatelské smlouvy Backblaze Inc. 201 Baldwin Ave., San Mateo, CA, 94401 001-41026 objektová storage a Content Delivery Network EU Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU. Na základě zpracovatelské smlouvy ECOMAIL.CZ, s.r.o. Na Zderaze 1275/15, Nové Město, 12000 Praha 2 02762943 služby doručování emailů EU Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU. Na základě zpracovatelské smlouvy TOPefekt s.r.o. B. Němcové 767/13, 78701 Šumperk 29444268 SMS služby, SMS brána EU Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU. Na základě zpracovatelské smlouvy 8

bottom of page