Smlouva o zpracování dat

Tento dokument je derivátem Společné tištěné standardní podmínky DPA (verze 1.0) a byly provedeny následující změny:

1. Rozhodné právo a vybrané soudy byl zahrnut jako sekce níže s Governing State identifikované výše.
2. Vztah poskytovatele služeb byla zařazena jako sekce níže.

1. Poskytovatel jako zpracovatel

V situacích, kdy Zákazník je správcem osobních údajů zákazníků, Poskytovatel bude považován za zpracovatele, který zpracovává osobní údaje jménem Zákazník.

2. Poskytovatel jako dílčí zpracovatel

V situacích, kdy Zákazník je zpracovatelem osobních údajů zákazníků, Poskytovatel bude považován za dílčího zpracovatele osobních údajů zákazníka.

1. Podrobnosti o zpracování

Příloha I(B) na titulní straně popisuje předmět, povahu, účel a dobu trvání tohoto Zpracování, jakož i Kategorie osobních údajů shromážděné a Kategorie subjektů údajů.

2. Pokyny pro zpracování

Zákazník instruuje Poskytovatel ke zpracování osobních údajů zákazníka: (a) k poskytování a údržbě služby; b), jak může být dále upřesněno prostřednictvím zákazníka používání Služby; c) jak je zdokumentováno v Dohoda; a (d) jak je zdokumentováno v jakýchkoli jiných písemných pokynech poskytnutých společností Zákazník a potvrzeno Poskytovatel o zpracování osobních údajů zákazníků podle této DPA. Poskytovatel bude dodržovat tyto pokyny, pokud to nezakazují platné zákony. Poskytovatel bude ihned informovat Zákazník pokud nemůže postupovat podle pokynů pro zpracování. Zákazník vydal a bude dávat pouze pokyny, které jsou v souladu s platnými zákony.

3. Zpracování Poskytovatelem

Poskytovatel bude zpracovávat osobní údaje zákazníka pouze v souladu s touto DPA, včetně podrobností na titulní stránce. Li Poskytovatel aktualizuje Službu tak, aby aktualizovala stávající nebo zahrnovala nové produkty, funkce nebo funkce, Poskytovatel může změnit Kategorie subjektů údajů, Kategorie osobních údajů, Údaje zvláštní kategorie, Omezení dat nebo ochranná opatření zvláštní kategorie, Frekvence přenosu, Povaha a účel zpracování, a Doba zpracování podle potřeby, aby odrážely aktualizace oznámením Zákazník aktualizací a změn.

4. Zákaznické zpracování

Kde Zákazník je procesor a Poskytovatel je subprocesor, Zákazník bude dodržovat všechny platné zákony, které se na ně vztahují zákazníka Zpracování osobních údajů zákazníka. zákazníka bude obdobně vyžadovat souhlas se svým Správcem Zákazník dodržovat všechny platné zákony, které se na ně vztahují Zákazník jako procesor. navíc Zákazník bude splňovat požadavky na dílčího zpracovatele v zákazníka dohodě s jeho Správcem.

5. Souhlas se zpracováním

Zákazník dodržela a bude i nadále dodržovat všechny platné zákony na ochranu údajů týkající se poskytování osobních údajů zákazníků společnosti Poskytovatel a/nebo služby, včetně veškerého zveřejnění, získání všech souhlasů, poskytnutí adekvátního výběru a implementace příslušných záruk vyžadovaných platnými zákony na ochranu údajů.

6. Dílčí zpracovatelé

A. Poskytovatel neposkytne, nepřenese ani nepředá žádné osobní údaje zákazníka dílčímu zpracovateli, ledaže by Zákazník schválila dílčího zpracovatele. Aktuální seznam Schválení dílčí zpracovatelé zahrnuje totožnost dílčích zpracovatelů, zemi jejich umístění a jejich předpokládané úkoly zpracování. Poskytovatel bude informovat Zákazník alespoň 10 pracovních dnů předem a písemně o jakýchkoli zamýšlených změnách Schválení dílčí zpracovatelé zda přidáním nebo výměnou Subprocesora, což umožňuje Zákazník mít dostatek času vznést námitku proti změnám před tím Poskytovatel začne používat nový subprocesor(y). Poskytovatel dá Zákazník informace potřebné k tomu, aby to umožnilo Zákazník uplatnit své právo vznést námitku proti změně Schválení dílčí zpracovatelé. Zákazník má 30 dnů po oznámení změny Schválení dílčí zpracovatelé namítat, jinak Zákazník bude považováno za přijetí změn. Li Zákazník vznést námitku proti změně do 30 dnů od oznámení, Zákazník a Poskytovatel bude v dobré víře spolupracovat na vyřešení zákazníka námitka nebo obava.

b. Při zapojení subprocesora, Poskytovatel bude mít s dílčím zpracovatelem uzavřenou písemnou smlouvu, která zajistí, že dílčí zpracovatel bude mít přístup k osobním údajům zákazníka a bude je používat pouze (i) v rozsahu potřebném k plnění závazků, které jsou s ním smluvně uzavřeny, a (ii) v souladu s podmínkami Dohoda.

C. Pokud se GDPR vztahuje na Zpracování osobních údajů zákazníků, (i) povinnosti ochrany údajů popsané v tomto DPA (jak je uvedeno v čl. 28 odst. 3 GDPR, je-li to relevantní) jsou uloženy také Subzpracovateli, a (ii) ) poskytovatele dohoda s dílčím zpracovatelem bude zahrnovat tyto povinnosti, včetně podrobností o tom, jak Poskytovatel a jeho Subzpracovatel bude koordinovat reakce na dotazy nebo požadavky týkající se Zpracování osobních údajů zákazníka. navíc Poskytovatel bude sdílet, at zákazníka požádat o kopii svých smluv (včetně jakýchkoli dodatků) se svými dílčími zpracovateli. V rozsahu nezbytném pro ochranu obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, Poskytovatel může před sdílením kopie upravit text své smlouvy se svým dílčím zpracovatelem.

d. Poskytovatel zůstává plně odpovědná za všechny závazky subdodavatelské subdodavatelům, včetně jednání a opomenutí jejích dílčích zpracovatelů při Zpracování osobních údajů zákazníků. Poskytovatel oznámí Zákazníkovi jakékoli selhání jeho dílčích zpracovatelů při plnění podstatné povinnosti týkající se osobních údajů zákazníka podle smlouvy mezi nimi Poskytovatel a Subzpracovatel.

1. Autorizace

Zákazník souhlasí s tím Poskytovatel může přenášet osobní údaje zákazníka mimo EHP, Spojené království nebo jiné relevantní geografické území, jak je nezbytné k poskytování služby. Li Poskytovatel předává osobní údaje zákazníků na území, pro které Evropská komise nebo jiný příslušný dozorový úřad nevydal rozhodnutí o přiměřenosti, Poskytovatel zavede vhodná ochranná opatření pro přenos osobních údajů zákazníka na toto území v souladu s platnými zákony na ochranu údajů.

2. Převody z EHP

Zákazník a Poskytovatel souhlasíte s tím, že pokud GDPR chrání přenos Osobních údajů zákazníka, přenos je od Zákazník z EHP do Poskytovatel mimo EHP a převod se neřídí rozhodnutím o přiměřenosti přijatým Evropskou komisí, poté uzavřením této DPA, Zákazník a Poskytovatel má se za to, že podepsali SCC EHP a jejich přílohy, které jsou začleněny formou odkazu. Jakýkoli takový převod se provádí v souladu se SCC EHP, které jsou dokončeny takto:

A. Modul 2 (z řadiče na procesor) SCC EHP platí, když Zákazník je Kontrolor a Poskytovatel zpracovává osobní údaje zákazníků pro Zákazník jako procesor.

b. Modul tři (od zpracovatele k dílčímu zpracovateli) SCC EHP se použije, když Zákazník je procesor a Poskytovatel je Zpracovává osobní údaje zákazníků jménem Zákazník jako Subzpracovatel.

C. Pro každý modul platí následující (pokud je to možné):

1. Nepoužije se volitelná dokovací doložka v kapitole 7;

2. V článku 9 se použije možnost 2 (obecné písemné oprávnění) a minimální lhůta pro předchozí oznámení změn dílčího zpracovatele je 10 pracovních dnů;

3. V článku 11 se nepoužije volitelný jazyk;

4. Všechny hranaté závorky v kapitole 13 jsou odstraněny;

5. V článku 17 (Možnost 1) se SCC EHP budou řídit zákony České republiky Řídící členský stát;

6. V článku 18(b) budou spory řešeny u soudů Řídící členský stát; a

7. Titulní strana tohoto DPA obsahuje informace požadované v příloze I, příloze II a příloze III SCC EHP.

3. Převody ze Spojeného království

Zákazník a Poskytovatel souhlasíte s tím, že pokud GDPR ve Spojeném království chrání přenos osobních údajů zákazníků, přenos je od Zákazník ze Spojeného království do Poskytovatel mimo Spojené království a převod se neřídí rozhodnutím o přiměřenosti učiněným ministrem zahraničí Spojeného království, poté uzavřením této DPA, Zákazník a Poskytovatel má se za to, že podepsali britský dodatek a jeho přílohy, které jsou začleněny formou odkazu. Jakýkoli takový převod se provádí podle dodatku Spojeného království, který je dokončen takto:

A. Oddíl 3.2 tohoto DPA obsahuje informace požadované v tabulce 2 dodatku Spojeného království.

b. Tabulka 4 Dodatku pro Spojené království je upravena takto: Žádná ze stran nesmí ukončit Dodatek pro Spojené království, jak je uvedeno v části 19 Dodatku pro Spojené království; v rozsahu, v jakém ICO vydá revidovaný schválený dodatek podle oddílu ‎18 dodatku pro Spojené království, budou strany v dobré víře pracovat na odpovídající revizi tohoto DPA.

C. Titulní strana obsahuje informace požadované přílohou 1A, přílohou 1B, přílohou II a přílohou III dodatku Spojeného království.

4. Jiné mezinárodní převody

V případě předávání osobních údajů, kde se na mezinárodní povahu předávání vztahuje švýcarské právo (a nikoli právo v žádném členském státě EHP nebo Spojeném království), jsou odkazy na GDPR v článku 4 SCC EHP v rozsahu vyžadovaném zákonem, pozměněno tak, aby odkazovalo na švýcarský federální zákon o ochraně údajů nebo jeho nástupce, a pojem dozorčí orgán bude zahrnovat švýcarského federálního komisaře pro ochranu údajů a informací.

1. Jakmile se dozvíte o jakémkoli bezpečnostním incidentu, Poskytovatel bude: a) informovat Zákazník bez zbytečného odkladu, pokud je to možné, nejpozději však do 72 hodin poté, co se o Bezpečnostním incidentu dozvěděl; (b) poskytovat včasné informace o Bezpečnostním incidentu, jakmile se o něm dozví nebo jak je odůvodněně požadováno Zákazník; a (c) urychleně podniknout přiměřené kroky k zadržení a vyšetření Bezpečnostního incidentu. poskytovatele oznámení nebo odpověď na bezpečnostní incident, jak to vyžaduje tento DPA, nebude vykládáno jako potvrzení ze strany Poskytovatel jakékoli zavinění nebo odpovědnosti za Bezpečnostní incident.

1. Práva auditu

Poskytovatel dá Zákazník veškeré informace přiměřeně nezbytné k prokázání souladu s tímto DPA a Poskytovatel umožní provádět audity a přispívat k nim, včetně kontrol prováděných Zákazník, posoudit poskytovatele dodržování této DPA. Nicméně, Poskytovatel může omezit přístup k datům nebo informacím, pokud zákazníka přístup k informacím by to negativně ovlivnilo poskytovatele práva duševního vlastnictví, povinnosti zachovávat mlčenlivost nebo jiné povinnosti podle platných zákonů. Zákazník bere na vědomí a souhlasí s tím, že svá práva na audit podle tohoto DPA a veškerá práva na audit udělená platnými zákony na ochranu údajů uplatní pouze tím, že Poskytovatel dodržovat níže uvedené požadavky na podávání zpráv a náležitou péči. Poskytovatel bude uchovávat záznamy o souladu s tímto DPA po dobu 3 let po skončení DPA.

2. Bezpečnostní zprávy

Zákazník to uznává Poskytovatel je pravidelně kontrolován podle standardů definovaných v Pravidla bezpečnosti nezávislými auditory třetích stran. Na písemnou žádost, Poskytovatel dá Zákazníkna důvěrném základě souhrnnou kopii své v té době aktuální zprávy tak, aby Zákazník může ověřit poskytovatele dodržování norem definovaných v Pravidla bezpečnosti.

3. Bezpečnostní due diligence

Kromě Zprávy Poskytovatel bude reagovat na přiměřené žádosti o informace ze strany Zákazník potvrdit poskytovatele dodržování tohoto DPA, včetně odpovědí na informační bezpečnost, due diligence a auditní dotazníky, nebo poskytnutím dalších informací o svém programu informační bezpečnosti. Všechny takové žádosti musí být písemné a musí být zaslány společnosti Kontakt pro zabezpečení poskytovatele a lze jej provádět pouze jednou ročně.

1. Reakce na dotazy

Li Poskytovatel obdrží jakýkoli dotaz nebo požadavek od kohokoli jiného ohledně zpracování osobních údajů zákazníka, Poskytovatel oznámí Zákazník o žádosti a Poskytovatel nebude na žádost reagovat bez zákazníka předchozí souhlas. Příklady těchto druhů dotazů a žádostí zahrnují soudní nebo správní nebo regulační nařízení týkající se osobních údajů zákazníka v případě oznámení Zákazník není zakázáno platnými právními předpisy ani žádostí subjektu údajů. Pokud to platné právo umožňuje, Poskytovatel bude následovat zákazníka přiměřené pokyny k těmto žádostem, včetně poskytování aktualizací stavu a dalších informací, které si rozumně vyžádá Zákazník. Pokud subjekt údajů podá platnou žádost podle platných zákonů o ochraně údajů o smazání nebo odhlášení zákazníka poskytnutí osobních údajů zákazníka Poskytovatel, Poskytovatel pomůže Zákazník při plnění požadavku podle platného zákona o ochraně osobních údajů. Poskytovatel bude spolupracovat a poskytovat přiměřenou pomoc Zákazník, na zákazníka náklady, při jakékoli právní odpovědi nebo jiném procesním úkonu, který podnikne Zákazník v reakci na žádost třetí strany o poskytovatele Zpracování osobních údajů zákazníků podle této DPA.

2. DPIA a DTIA

Pokud to vyžadují platné zákony na ochranu údajů, Poskytovatel rozumně pomůže Zákazník při provádění jakýchkoli nařízených posouzení vlivu na ochranu údajů nebo posouzení vlivu přenosu údajů a konzultací s příslušnými orgány pro ochranu údajů s přihlédnutím k povaze zpracování a osobních údajů zákazníků.

1. Vymazání zákazníkem

Poskytovatel umožní Zákazník vymazat osobní údaje zákazníka způsobem, který je v souladu s funkčností služeb. Poskytovatel splní tento pokyn, jakmile to bude rozumně proveditelné, s výjimkou případů, kdy je další uchovávání osobních údajů zákazníka vyžadováno příslušným zákonem.

2. Smazání při vypršení platnosti DPA

A. Po vypršení platnosti DPA Poskytovatel vrátí nebo vymaže osobní údaje zákazníka na zákazníka pokyny, pokud není další uchovávání osobních údajů zákazníka vyžadováno nebo povoleno platným zákonem. Pokud je vrácení nebo zničení neproveditelné nebo zakázané platnými zákony, Poskytovatel vynaloží přiměřené úsilí, aby zabránil dalšímu zpracování osobních údajů zákazníka, a bude i nadále chránit osobní údaje zákazníka, které zůstávají v jeho držení, opatrování nebo kontrole. Například mohou vyžadovat platné zákony Poskytovatel pokračovat v hostování nebo zpracování osobních údajů zákazníků.

b. Li Zákazník a Poskytovatel vstoupili do SCC EHP nebo dodatku Spojeného království jako součást této DPA, Poskytovatel bude jen dávat Zákazník potvrzení o vymazání osobních údajů popsané v článku 8.1(d) a článku 8.5 SCC EHP, pokud Zákazník žádá o jeden.

1. Omezení odpovědnosti a zřeknutí se škod

V maximálním rozsahu povoleném příslušnými zákony na ochranu údajů bude celková kumulativní odpovědnost každé strany vůči druhé straně vyplývající z této DPA nebo související s touto DPA podléhat zřeknutí se, vyloučení a omezení odpovědnosti uvedených v Dohoda.

2. Nároky spřízněných stran

Jakékoli nároky vznesené proti Poskytovatel nebo její přidružené společnosti vyplývající z této DPA nebo související s touto DPA mohou být podány pouze společností Zákazník subjekt, který je stranou Dohoda.

3. Výjimky

1. Tento DPA neomezuje žádnou odpovědnost vůči jednotlivci za práva jednotlivce na ochranu údajů podle platných zákonů na ochranu údajů. Kromě toho tento DPA neomezuje žádnou odpovědnost mezi stranami za porušení SCC EHP nebo Dodatku pro Spojené království.

1. Tato DPA tvoří součást smlouvy a doplňuje ji. Pokud mezi tímto DPA existuje jakýkoli nesoulad, Dohoda, nebo kteroukoli z jejich částí, část uvedená výše bude mít kontrolu nad částí uvedenou později pro daný rozpor: (1) SCC EHP nebo dodatek Spojeného království, (2) tento DPA a poté (3) Dohoda.

Tento DPA začne, když Poskytovatel a Zákazník souhlasit s titulní stránkou DPA a podepsat nebo elektronicky přijmout Dohoda a bude pokračovat až do Dohoda vyprší nebo je ukončen. Nicméně, Poskytovatel a Zákazník bude každý nadále podléhat povinnostem uvedeným v této DPA a platným zákonům o ochraně údajů, dokud Zákazník přestane předávat osobní údaje zákazníka Poskytovatel a Poskytovatel přestane zpracovávat osobní údaje zákazníka.

Bez ohledu na rozhodné právo nebo podobná ustanovení Dohoda, všechny výklady a spory o této DPA se budou řídit zákony České republiky řídící stát bez ohledu na jeho kolizní ustanovení. Kromě toho a bez ohledu na výběr fóra, jurisdikci nebo podobná ustanovení této smlouvy Dohodastrany souhlasí s tím, že zahájí jakoukoli právní žalobu, žalobu nebo řízení týkající se této DPA, a každá strana se neodvolatelně podřizuje výlučné jurisdikci soudů řídící stát.

V rozsahu kalifornského zákona o ochraně soukromí spotřebitelů, Cal. Civ. Platí zákon § 1798.100 a násl. („CCPA“), strany to berou na vědomí a souhlasí s tím Poskytovatel je poskytovatelem služeb a získává osobní údaje od Zákazník poskytovat Službu, jak bylo dohodnuto v Dohoda, která představuje podnikatelský účel. Poskytovatel nebude prodávat žádné poskytnuté osobní údaje Zákazník pod Dohoda. navíc Poskytovatel nebude uchovávat, používat ani zveřejňovat žádné osobní údaje poskytnuté společností Zákazník pod Dohoda kromě případů, kdy je to nutné pro poskytování Služby Zákazník, jak je uvedeno v Dohodanebo jak to dovolují příslušné zákony na ochranu údajů. Poskytovatel potvrzuje, že rozumí omezením tohoto odstavce.

1. "Aplikovatelné zákony" znamená zákony, pravidla, nařízení, soudní příkazy a další závazné požadavky příslušného vládního orgánu, které se vztahují na stranu nebo jimiž se řídí.

2. "Platné zákony na ochranu údajů" znamená Platné zákony, které upravují, jak může Služba zpracovávat nebo používat osobní údaje jednotlivce, osobní údaje, osobně identifikovatelné údaje nebo jiný podobný výraz.

3. "Ovladač" bude mít význam uvedený v příslušných zákonech o ochraně údajů pro společnost, která určuje účel a rozsah Zpracování osobních údajů.

4. "Titulní strana" znamená dokument podepsaný nebo elektronicky přijatý stranami, který zahrnuje tyto standardní podmínky DPA a identifikuje Poskytovatel, Zákazníka předmět a podrobnosti zpracování údajů.

5. "Osobní údaje zákazníka" znamená Osobní údaje, které Zákazník nahraje nebo poskytne Poskytovatel jako součást Služby a která se řídí touto DPA.

6. "DPA" znamená tyto standardní podmínky DPA, mezi nimi titulní strana Poskytovatel a Zákazníka zásady a dokumenty uvedené na titulní stránce nebo k ní připojené.

7. "SCC EHP" se rozumí standardní smluvní doložky připojené k prováděcímu rozhodnutí Evropské komise 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Evropské rady (EU) 2016/679 .

8. "Evropský hospodářský prostor" nebo "EEA" znamená členské státy Evropské unie, Norsko, Island a Lichtenštejnsko.

9. "GDPR" znamená nařízení Evropské unie 2016/679, jak je implementováno místními zákony v příslušné členské zemi EHP.

10. "Osobní data" bude mít význam uvedený v příslušných zákonech o ochraně osobních údajů pro osobní informace, osobní údaje nebo jiný podobný výraz.

11. "Zpracovává se" nebo "Proces" bude mít význam uvedený v příslušných zákonech o ochraně údajů pro jakékoli použití nebo provádění počítačových operací s osobními údaji, včetně automatických metod.

12. "Procesor" bude mít význam uvedený v příslušných zákonech o ochraně údajů pro společnost, která zpracovává osobní údaje jménem správce.

13. "Zpráva" znamená auditní zprávy zpracované jinou společností podle standardů definovaných v Bezpečnostní politice jménem Poskytovatele.

14. "Omezený převod" znamená (a) tam, kde se použije GDPR, předání osobních údajů z EHP do země mimo EHP, které nepodléhá rozhodnutí Evropské komise o přiměřenosti; a (b) tam, kde platí GDPR Spojeného království, přenos osobních údajů ze Spojeného království do jakékoli jiné země, na kterou se nevztahují předpisy o přiměřenosti přijaté podle oddílu 17A zákona o ochraně údajů Spojeného království z roku 2018.

15. "Bezpečnostní incident" znamená porušení ochrany osobních údajů, jak je definováno v článku 4 GDPR.

16. "Servis" znamená produkt a/nebo služby popsané v Dohoda.

17. "Údaje zvláštní kategorie" bude mít význam uvedený v článku 9 GDPR.

18. "Podprocesor" bude mít význam uvedený v příslušných zákonech o ochraně údajů pro společnost, která se souhlasem a přijetím správce pomáhá zpracovateli při zpracování osobních údajů jménem správce.

19. "UK GDPR" znamená nařízení Evropské unie 2016/679, jak je implementováno oddílem 3 zákona Spojeného království o Evropské unii (vystoupení) z roku 2018 ve Spojeném království.

20. "Dodatek pro Spojené království" znamená mezinárodní dodatek pro přenos dat k SCC EHP vydaný komisařem pro informace pro strany provádějící omezené přenosy podle S119A(1) zákona o ochraně dat z roku 2018.

Tento dokument je derivátem Společné tištěné standardní podmínky DPA (verze 1.0) a je licencován pod CC BY 4.0.