PŘÍLOHA Č. 1 K PODMÍNKÁM POSKYTOVÁNÍ SLUŽBY DATIVERY

(dále jen “Zpracovatelská smlouva”) uzavřená mezi:

  1. Vámi, kteří jste se rozhodli používat službu Dativery; 

(dále jen „Správce“ nebo “vy”) 

a

  1. Dativery s.r.o., IČO: 05574617, se sídlem Olešná 51, 338 24 Němčovice, zastoupená Ing. Petrem Ferschmannem, jednatelem, zapsaná v obchodním rejstříku vedeném Krajským soudem v Plzni sp. zn. C 33457, 

(dále jen „Zpracovatel“, “Dativery”, nebo “my”)

(Zpracovatel a Správce dále společně jako „Smluvní strany“ a jednotlivě „Smluvní strana“).

Pokud budete využívat službu Dativery (“Služba”), pak bude Dativery zpracovatelem Osobních údajů, které nám svěříte. Služba je poskytována na základě Podmínek poskytování služby Dativery (“Podmínky”). Uzavřením Smlouvy potvrzujete, že jste se seznámil a souhlasíte se Zpracovatelskou smlouvou, a je pro Vás právně závazná. Tato Zpracovatelská smlouva se vztahuje na všechny uživatele, kteří mají ke Službě přístup, nebo jej používají.

Přečtěte si prosím pečlivě tuto Zpracovatelskou smlouvu, která vymezuje podmínky zpracování Osobních údajů, za kterých je Služba poskytována. V případě dotazů, které se budou týkat zpracování Osobních údajů, nás můžete kdykoliv kontaktovat na privacy@dativery.com

Smluvní strany zpracovávají Osobní údaje v souvislosti s uzavřenou Smlouvou v souladu s právními předpisy, zejména v souladu s Nařízením Evropského parlamentu a rady (EU) 2016/679 (dále jen “GDPR”). Podle GDPR musí Smluvní strany písemně upravit pravidla zpracování, což provádějí v této Zpracovatelské smlouvě.

  1. ÚVOD A KRÁTKÝ PŘEHLED OBSAHU SMLOUVY
    1. Předmět a účel Zpracovatelské smlouvy. Uzavřením této Zpracovatelské smlouvy jako Správce pověřujete Zpracovatele, aby pro Vás prováděl zpracování Osobních údajů v souvislosti s poskytováním Služby. Cílem je zajištění ochrany Osobních údajů v rozsahu požadovaném právními předpisy. Rozsah zpracovávaných Osobních údajů naleznete v Příloze A této Zpracovatelské smlouvy.
    2. Služba Dativery. Služba Dativery spočívá zejména poskytování služeb Instalace, Programátorských prací, zprostředkování propojení mezi Aplikacemi Uživatele s Uživatelem zvolenými cílovými Aplikacemi (resp. přenosu dat mezi nimi), dále ve zobrazení a přenosu dat z veřejných zdrojů a specializovaných databází do cílových Aplikací, jak je blíže definována v Podmínkách. 
    3. Co znamená pozice Zpracovatele a Správce. Při užívání Služby nám předáváte Osobní údaje, jejichž jste Správcem, které následně na Váš pokyn a v rozsahu Vámi zvoleném zpracováváme. Při zpracování Osobních údajů jste v postavení Správce Osobních údajů podle článku 4 odst. 7 GDPR a Dativery je v postavení Zpracovatele dle článku 4 odst. 8 GDPR. 
    4. Písemná forma. Podle článku 28 GDPR Smluvní strany písemně upravují pravidla zpracování v této Zpracovatelské smlouvě. 
    5. Definice. Definice pojmů v Podmínkách budou převzaty ve stejném významu i do této Zpracovatelské smlouvy.
    6. Doba trvání Podmínek. Tato Zpracovatelská smlouva se uzavírá na dobu trvání Smlouvy podle Podmínek. 
    7. Okamžik uzavření a ukončení Zpracovatelské smlouvy. Zpracovatelská smlouva je uzavřena v okamžiku dokončení registrace za účelem užívání Služby (uzavření Smlouvy. Ukončit Zpracovatelskou smlouvu je možné za stejných podmínek jako ukončení využívání Služby podle Podmínek .
    8. Účinky ukončení. Ukončení této Zpracovatelské smlouvy má za následek zároveň ukončení smluvního vztahu v oblastech, kterých se tato Zpracovatelská smlouva týká, pokud se Smluvní strany nedohodnou jinak. Ukončením Podmínek  je ukončena i tato Zpracovatelská smlouva. Ukončením této Zpracovatelské smlouvy však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací.
  2. SPOLEČNÉ POVINNOSTI SPRÁVCE A ZPRACOVATELE
    1. Zákonnost zpracování. Správce a Zpracovatel se zavazují dodržovat předpisy upravující ochranu Osobních údajů.
    2. Součinnost. Správce a  Zpracovatel se zavazují si být navzájem v nezbytném a přiměřeném rozsahu nápomoci při plnění povinností při zpracování Osobních údajů, které vyplývají ze vzájemně uzavřených smluv a právních předpisů, a to zejména v souvislosti s reakcemi na výkon práv subjektů údajů, s bezpečnostními incidenty a také i s vypracováním posouzení vlivu a  s jednáním s dozorovými orgány. Smluvní strany se zavazují poskytnout nezbytné podklady pro vyřízení žádosti týkající se zpracování Osobních údajů podle Podmínek. Smluvní strana tyto podklady poskytne zbytečného odkladu, nejpozději však do 10 pracovních dnů od obdržení žádosti o poskytnutí součinnosti druhé Smluvní straně.
    3. Incident. Smluvní strana oznámí druhé straně, že se dozvěděla o porušení zabezpečení zabezpečení do 48 hodin od chvíle, kdy se o porušení dozví. Porušením je třeba chápat jakýkoliv případ porušení zabezpečení Osobních údajů,  které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění Osobních údajů, které jsou zpracovány na základě Smlouvy ve znění Podmínek.
  3. PRÁVA A POVINNOSTI ZPRACOVATELE 
    1. Omezení přístupu. Zpracovatel zajistí, aby byl přístup k Osobním údajům omezen pouze na (a) zaměstnance, kteří zpracovávají Osobní údaje v rámci pracovní náplně, a dále (b) osoby, které spolupracují se Zpracovatelem a v rámci spolupráce mohou pro něj zpracovávat Osobní údaje, a to v souladu s podmínkami této Zpracovatelské smlouvy a za účelem poskytnutí Služeb na základě Smlouvy ve znění Podmínek. Pokud se na tyto osoby nevztahuje zákonná povinnost mlčenlivosti, Zpracovatel zajistí jejich smluvní mlčenlivost.
    2. Závazek Zpracovatele týkající se přijatých opatření. Zpracovatel přijal a zavazuje se udržovat po celou dobu trvání této Zpracovatelské smlouvy vhodná technická a organizační opatření dle nařízení GDPR, které se na Zpracovatele vztahují. Přehled přijatých opatření naleznete v Příloze B této Zpracovatelské smlouvy.
    3. Závazek Zpracovatele. Zpracovatel se zavazuje:
      1. při zpracování osobních údajů dodržovat veškeré povinnosti vyplývající pro zpracovatele Osobních údajů z relevantních právních předpisů;
      2. zpracovávat Osobní údaje výlučně na základě pokynů Správce učiněných dle této Zpracovatelské smlouvy, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;
      3. oznámit bez zbytečného odkladu Správci případy, kdy je ze strany Úřadu pro ochranu Osobních údajů či jiného správního orgánu zahájena kontrola nebo jiné správní řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
      4. být Správci nápomocen při zajišťování souladu s povinnostmi Správce týkajících se zabezpečení Osobních údajů podle článku 32 až 36 GDPR při zohlednění povahy zpracování, které má Zpracovatel provádět; 
      5. umožnit Správci konání interních auditů, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověřil, a to za podmínky, že tyto budou Zpracovateli oznámeny jeden měsíc před jejich konáním; Zpracovatel může vznést námitky proti proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není nezávislý, je v soutěžním nebo obdobném postavení vůči Zpracovateli. Na základě Zpracovatelem vznesené námitky má Správce povinnost pověřit jiného auditora; 
      6. ohlásit Správci o každém porušení zabezpečení Osobních údajů, o kterém se dozví, a to bez zbytečného odkladu, nejpozději do 48 hodin od chvíle, kdy se o porušení zabezpečení dozví. Minimální rozsah tohoto oznámení je uvedený v článku 33 odst. 3 GDPR;
      7. vést evidenci veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení a plnění povinností Správce dle článku 33 až 34 GDPR;
      8. být Správci nápomocen při doložení procesů či dokumentů, které prokazují, že Správce dodržuje GDPR.
    4. Úhrada nákladů. Smluvní strany se dohodly, že Zpracovatel má vůči Správci nárok na náhradu přiměřených nákladů spojených s poskytnutím součinnosti. 
    5. Mlčenlivost Zpracovatele. Zpracovatel se zavazuje dodržovat povinnost mlčenlivosti o všech Osobních údajích předaných Správcem, a bude je udržovat v tajnosti, nezveřejní je, nepřístupní třetí osobě, a to ani jako celek, ani jejich části, ledaže má dojít k jejich předání na základě pokynu Správce, nebo pokud tak předpokládá právní předpis. 
    6. Obchodní tajemství. Všechny informace a dokumenty, které Zpracovatel Správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství Zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na zachování důvěrnosti podle této Zpracovatelské smlouvy. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.
    7. Zákonnost zpracování. Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy, této Zpracovatelské smlouvy nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.
    8. Zapojení zpracovatelé a zapojení nového zpracovatele. Zpracovatel dále zapojil do zpracování Osobních údajů poskytovatele Amazon Web Services, Inc. (AWS) a Hetzner (Hetzner), data u tohoto poskytovatele jsou uložena vždy v rámci EU. Pokud bude Zpracovatel zapojovat jiné zpracovatele, informuje o tom Správce před touto změnou prostřednictvím e-mailu nebo přímo v Dashboardu. V případě, že Správce nebude se zapojením nového zpracovatele souhlasit, může podat námitku, a to nejpozději do 5 od doručení oznámení Zpracovatele. Podání námitky, a tedy nezapojení nového (pod)zpracovatele, může mít za následek znemožnění užívání Služby.
    9. Programátoři a další specialisté Zpracovatele. Správce výslovně souhlasí se zapojením dalších zpracovatelů – programátorů a jiných specialistů Zpracovatele v pozici fyzických osob podnikajících, kteří poskytují Zpracovateli služby na základě smlouvy o spolupráci. 
    10. Povinnost Zpracovatele v případě ukončení spolupráce. Zpracovatel se zavazuje, že v případě ukončení poskytování Služeb vymaže veškeré Osobní údaje a na žádost Správce je vrátí, včetně veškerých kopií, pokud právo EU nebo České republiky nevyžaduje jejich uložení. V takovém případě budou ve lhůtě tří měsíců od doručení výzvy Správce vráceny prostřednictvím zabezpečeného úložiště, které Správce specifikuje ve své výzvě a zřídí k němu Zpracovateli přístup. Pokud po uplynutí tří let od ukončení spolupráce Správce nedá pokyn k předání Osobních údajů, upozorní jej Zpracovatel na možnost vrácení dat. Pokud Správce nedá do jednoho měsíce od upozornění pokyn na předání dat, budou Osobní údaje s ohledem na plnění svých právních povinností smazány.
  4. ZÁVĚREČNÁ USTANOVENÍ 
    1. Právní řád. Pro záležitosti zvláště neupravené v této Zpracovatelské smlouvě platí obecně závazné právní předpisy. Zpracovatelská smlouva se řídí a bude vykládána v souladu s právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Smluvní strany se dohodly, že obchodní zvyklosti nemají přednost před žádnými ustanoveními zákona, a to ani před ustanoveními zákona, jež nemají donucující účinky.
    2. Vyšší moc. Zpracovatel nenese odpovědnost za situace, kdy nemohl splnit svou povinnost vyplývající ze Zpracovatelské smlouvy z důvodu události označované jako vyšší moc (válka, nepokoje, terorismus, vzpory, stávky, požáry, epidemie či přírodní katastrofy).
    3. Komunikace Smluvních stran. Smluvní strany se dohodly, že jejich komunikace týkající se Zpracovatelské smlouvy (včetně oznámení bezpečnostního incidentu)  bude probíhat bude probíhat prostřednictvím e-mailových adres:
      1. Správce: e-mailová adresa, kterou se Správce registroval ke Službě;
      2. Zpracovatel: privacy@dativery.com;
    4. Zákaz postoupení. Žádná Smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této Zpracovatelské smlouvy nebo související s touto Zpracovatelskou smlouvou bez předchozího písemného souhlasu druhé Smluvní strany. 
    5. Aktualizace a změny. Zpracovatel si vyhrazuje právo tuto Zpracovatelskou smlouvu upravit nebo aktualizovat. Pokud provedeme změny, které mění práva a povinnosti ze Zpracovatelské smlouvy, budete o tom včas srozuměni prostřednictvím e-mailu, který Vám zašleme. Pokud budete využívat nadále Službu, souhlasíte s aktualizovaným zněním Zpracovatelské smlouvy. Pokud se změnami nebudete souhlasit, přestaňte prosím Službu využívat.
    6. Účinnost. Tato Zpracovatelská smlouva je účinná v tomto znění od 27.3.2023.
    7. Přílohy. Součástí Zpracovatelské smlouvy jsou tyto přílohy:
  • Příloha A: Povaha, rozsah, trvání a účel zpracování Osobních údajů,
  • Příloha B: Technická  a organizační opatření.

PŘÍLOHA A 

KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Povaha zpracování. Osobní údaje jsou zpracovávány automatizovaně prostřednictvím systémů Zpracovatele používaných Zpracovatelem pro poskytování Služby. 

Účel. Účelem zpracování je umožnit Správcům využívání Služby (plnění Smlouvy), zejména přenášením dat prostřednictvím zvoleného Scénáře integrace. 

Právní důvod zpracování. Právním důvodem pro zpracování Osobních údajů v rámci poskytování Služby je plnění Smlouvy (ve znění Podmínek).

Rozsah zpracování: V závislosti na tom, jak Správce využívá Službu (zejména volbou Scénáře integrace), mohou být v souvislosti s poskytováním Služby zpracovávány zejména tyto Osobní údaje:

  • Kontaktní údaje: Jméno, příjmení, e-mail, telefonní číslo, adresa, IČO, sídlo, číslo objednávky, číslo účtu;
  • Údaje na daňových dokladech: Kontaktní údaje, číslo objednávky, číslo účtu, číslo faktury; anebo
  • Případně další Osobní údaje přenášené zvoleným Scénářem integrace, zpracovávané výhradně na pokyn Správce. 

Zvláštní kategorie Osobních údajů. Správce se zavazuje, že Zpracovateli nezpřístupní žádné Osobní údaje, které spadají do zvláštní kategorie Osobních údajů ve smyslu článku 9 GDPR. Zvláštní kategorie Osobních údajů mohou být zpracovány pouze po výslovné předchozí dohodě se Zpracovatelem. Co jsou zvláštní kategorie Osobních údajů? Jsou to takové Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Subjekt údajů. Zpravidla se jedná o Osobní údaje zákazníků nebo klientů Správce, zaměstnanců Správce a jiných spolupracujících osob včetně dodavatelů, uživatelů webových stránek Správce, obchodních partnerů nebo jejich zaměstnanců či zástupců.

Doba zpracování. Osobní údaje jsou zpracovávány po dobu, po kterou jsou Smluvní strany vázány Smlouvou ve znění Podmínek, ledaže dohoda Smluvních stran nebo právní předpis nestanoví dobu delší.

PŘÍLOHA B

KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

Technická a organizační opatření. Bezpečnost je pro nás velmi důležitá a proto soustavně pracujeme na tom, aby byly Vaše Osobní údaje chráněny. Při volbě opatření bereme v úvahu rozsah zpracování, rizikovost zpracování nebo stav naší techniky. 

  • Pravidelné zálohujeme data; 
  • aktualizujeme antivirové softwarové systémy; 
  • šifrujeme data pomocí SSL/TLS („secure sockets layer / transport layer security“) pro veškeré předávání údajů;
  • používáme zabezpečený https protokol;
  • naše data na serverech jsou šifrována;
  • přístupová hesla do informačních systémů (kde budou Osobní údaje zpracovány) a oprávnění k přístupu jsou kontrolované na úrovni jednotlivců. 

Organizační opatření. Přijali jsme a zavazujeme se dodržovat následující opatření:

  • Naši zaměstnanci jsou zavázáni mlčenlivostí;
  • Naši zaměstnanci jsou řádně proškoleni a také dále pravidelně školeni ohledně GDPR a seznámeni s pravidly bezpečné práce na pracovních zařízeních;
  • V případě uchovávání API klíčů odstraňujeme autorizační údaje;
  • Přístupy do všech systémů včetně informačního systému jsou personalizovány a kryty bezpečnými hesly;
  • Hesla v provozním prostředí uchováváme na odděleném místě (Safe store), do nějž jsou evidovány logy, abychom mohli kontrolovat přístup zaměstnanců k jednotlivým Osobním údajům Uživatelů.