SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ
I. Oblast působnosti
1.Obsah tohoto dokumentu představuje Smlouvu o zpracování údajů (dále jen „SZÚ“) uzavřenou mezi vámi a společností IceWarp. Tato SZÚ upravuje zpracování osobních údajů prováděné pro vás (jako Správce) společností IceWarp (jako Zpracovatelem) v rámci produktů a služeb na základě smlouvy uzavřené mezi vámi a společností IceWarp, která upravuje používání cloudových služeb společnosti IceWarp, včetně souvisejících desktopových a mobilních aplikací, poskytování cloudových mikroslužeb, včetně služeb Dokumenty, Konference a Nahrávky, jakož i poskytování odborných služeb, jako je služba Migrace. Aktualizovaný seznam produktů a služeb, ve vztahu k nimž společnost IceWarp jedná jako Zpracovatel a na něž se vztahuje tato SZÚ, je součástí Zásad ochrany osobních údajů .
2. Pojmem „Platné právní předpisy o ochraně osobních údajů“ se rozumí i) nařízení EU 2016/679 týkající se zpracování Osobních údajů (dále jen „nařízení GDPR“) od data jeho platnosti a ii) jakékoli jiné právní předpisy týkající se zpracování Osobních údajů (dále společně jen „Platné právní předpisy o ochraně osobních údajů“) platné v době trvání této SZÚ.
3. Pojmy uvozené velkým písmenem, které jsou v této SZÚ použity, ale nejsou zde vymezeny, mají význam stanovený v nařízení GDPR.
4. Každá ze smluvních stran je povinna dodržovat příslušné povinnosti vyplývající z Platných právních předpisů o ochraně osobních údajů, které se vztahují na plnění této SZÚ ve vztahu k jejich níže uvedené úloze.
5. Působnost této SZÚ je vyloučena, pokud se jak dceřiná společnost IceWarp, tak zákazník nacházejí mimo Evropskou unii nebo jiný členský stát Evropského hospodářského prostoru, který přijal pravidla podle nařízení GDPR; to neplatí v případě, že i) činnosti zpracování souvisí s vaší nabídkou produktů či služeb zákazníkům v Evropské unii (nebo v zemi EHP), nebo ii) slouží ke sledování chování subjektů údajů v Evropské unii (nebo v zemi EHP).
II. Pověření
1. Tímto pověřujete společnosti IceWarp, aby zpracovávala Osobní údaje vašich zaměstnanců a dodavatelů, zákazníků a jakýchkoli dalších osob (dále jen „Subjekty údajů), které jste společnosti IceWarp poskytli v rámci jejích produktů a služeb. Vy jednáte jako Správce a společnost IceWarp (jako Zpracovatel) je povinna zpracovávat Osobní údaje pouze vaším jménem. Společnost IceWarp zpracovává Osobní údaje v rozsahu nezbytném pro řádné plnění svých povinností vyplývajících z této SZÚ a smlouvy o poskytování produktů a služeb.
III. Předmět zpracování, kategorie Subjektů údajů a typy Osobních údajů
1. Předmětem zpracování jsou osobní údaje Subjektů údajů, které jste poskytli společnosti IceWarp nebo které jí byly poskytnuty vaším jménem v rámci využívání jejích produktů a služeb, zejména identifikační a kontaktní údaje, zprávy a údaje o užívání produktů a služeb (dále jen „Osobní údaje“). Přesný rozsah Osobních údajů zpracovávaných v souvislosti s jednotlivými produkty a službami je popsán v Zásadách ochrany osobních údajů .
IV. Povaha a účel zpracování
1. Společnost IceWarp zpracovává Osobní údaje automaticky pomocí statistických a analytických metod podporovaných výpočetní technikou. Příležitostně mohou být Osobní údaje zpracovávány také manuálně.
2. Účel zpracování Osobních údajů je vymezen účelem výše vymezených produktů a služeb, které jsou poskytovány na základě příslušné smlouvy.
V. Doba, po kterou jsou údaje zpracovávány
1. Zpracování osobních údajů probíhá po dobu trvání smlouvy. Povinnosti společnosti IceWarp týkající se ochrany Osobních údajů budou dodrženy po celou dobu trvání smlouvy, ledaže by ustanovení smlouvy měla platit i po skončení doby trvání smlouvy.
VI. Prohlášení a záruky
1. Prohlašujete a zaručujete, že k datu uzavření této Smlouvy byly řádně splněny povinnosti, které vám ukládají Platné právní předpisy o ochraně osobních údajů, zejména:
a. Osobní údaje zpracováváte zákonným způsobem a za účelem, v rozsahu, způsoby a postupy uvedenými v této smlouvě,
b. o zpracování Osobních údajů informujte Subjekty údajů způsobem a v rozsahu stanovených Platnými právními předpisy o ochraně osobních údajů,
c. umožňujete Subjektům údajů uplatňovat jejich práva podle Platných právních předpisů o ochraně osobních údajů,
d. dodržujete svou povinnost informovat o zpracování Osobních údajů Úřad pro ochranu osobních údajů, pokud se na vás taková povinnost vztahuje,
e. ve chvíli, kdy Osobní údaje přestanou být nezbytné k účelu, pro který je zpracováváte, přestáváte Osobní údaje zpracovávat,
f. dodržujete veškeré své zbývající povinnosti vyplývající z Platných právních předpisů o ochraně osobních údajů,
g. a zavazujete se dodržovat výše uvedené povinnosti po celou dobu trvání smlouvy.
VII. Povinnosti společnosti IceWarp
1. Společnost IceWarp je povinna:
a. zpracovávat Osobní údaje podle vašich přísných a jasných písemných pokynů a výhradně pro účely, které výslovně písemně schválíte. Pro vyloučení pochybností se má za to, že zpracování Osobních údajů na základě plnění smlouvy a této SZÚ probíhá v souladu s vašimi pokyny,
b. zajistit, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo dodržovaly příslušnou zákonnou povinnost mlčenlivosti,
c. nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného souhlasu, který je uveden níže v této SZÚ,
d. být vám s přihlédnutím k povaze zpracování nápomocna prostřednictvím vhodných technických a organizačních opatření, a pokud je to nezbytné pro splnění vaší povinnosti, reagovat na žádosti o výkon práv Subjektů údajů,
e. spolupracovat s vámi, abyste mohli posoudit a doložit soulad zpracování Osobních údajů prováděného v důsledku této SZÚ,
f. pomáhat vám – s přihlédnutím k povaze zpracování a dostupným informacím od vás – při plnění vašich povinností spočívajících v:
• zajišťování příslušné úrovně bezpečnosti zpracování,
• oznamování případů porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a v nezbytných případech Subjektům údajů,
• provádění posouzení vlivu na ochranu Osobních údajů a
• konzultování Úřadu pro ochranu osobních údajů před zpracováním,
g. informovat vás o žádostech a/nebo o stížnostech Subjektů údajů, které společnost IceWarp případně obdrží v souvislosti se zpracováním Osobních údajů,
h. řídit se vašimi pokyny ve věcech předávání Osobních údajů do třetích zemí / mezinárodním organizacím. Je-li dodržování pokynů zakázáno právem EU nebo členského státu, které se na společnost IceWarp vztahuje, bude vás společnost IceWarp o takovém právním požadavku před zpracováním informovat, ledaže by dané právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu, a
i. umožnit provádění auditů a podílet se na nich; smluvní strany se dohodly, že společnost IceWarp bude provádět audity z vlastní iniciativy jednou za dva kalendářní roky s vybraným nezávislým auditorem; v případě žádosti o další audit se smluvní strany dohodnou na jeho rozsahu a ceně.
2. Plnění odstavců VII.1.d až VII.1.g bude propláceno podle ceníku společnosti IceWarp. Pokud příslušná činnost není v ceníku uvedena, stanoví výši úhrady společnost IceWarp na vaši žádost.
VIII. Zapojení jiných zpracovatelů a předávání do třetích zemí
1. Tímto výslovně souhlasíte se zapojením jiných zpracovatelů, v nichž společnost IceWarp vlastní (přímo či nepřímo) většinový podíl nebo kteří jsou členy koncernu IceWarp. Společnost IceWarp je dále oprávněna v souladu s vaším písemným pověřením, které tímto udělujete, zapojit do zpracování Osobních údajů jiné zpracovatele nebo stávající zpracovatele nahradit novými zpracovateli. Aktuální seznam dalších zpracovatelů je uveden v Zásadách ochrany osobních údajů . Společnost IceWarp se vás zavazuje informovat o jakýchkoli zamýšlených změnách týkajících se zapojení jiných zpracovatelů nebo výměny zpracovatelů a poskytnout vám možnost vznést proti těmto změnám námitku. Společnost IceWarp zveřejní zamýšlené změny týkající se zapojení jiných zpracovatelů nebo výměny zpracovatelů ve svých Zásadách ochrany osobních údajů , a to nejméně 1 měsíc před zamýšleným účinkem takových změn nebo takové výměny; informační povinnost vůči vám je tímto splněna.
2. V každém případě bude společnost IceWarp od svých pracovníků a subdodavatelů vyžadovat, aby dodržovali Platné právní předpisy o ochraně osobních údajů se stejnými povinnostmi, jaké jsou vymezeny v této smlouvě, a s přísnějším závazkem mlčenlivosti.
3. Pokud se společnost IceWarp hodlá spoléhat na třetí osoby, které se nacházejí v zemích mimo Evropskou unii nebo jiný členský stát Evropského hospodářského prostoru, který přijal pravidla podle nařízení GDPR, učiní tak pouze v případě, že Evropská komise rozhodla, že určitá země mimo EU/EHP zajišťuje odpovídající úroveň ochrany, včetně případů, kdy zpracovatelé či správci přijali vhodná ochranná opatření, například Závazná podniková pravidla (BCR) nebo Standardní smluvní doložky (SCC). Své preference týkající se předávání údajů můžete vyjádřit pomocí příslušných možností pro ukládání údajů na webových stránkách společnosti IceWarp. Společnost IceWarp vás bude informovat o jakékoli změně země, kterou jste si k ukládání svých údajů zvolili, abyste se proti jakékoli takové změně místa ukládání údajů mohli bránit.
IX. Zabezpečení osobních údajů
1. Společnost IceWarp zavedla a udržuje technická a organizační opatření, aby zabránila neoprávněnému nebo náhodnému přístupu k Osobním údajům, jejich změně, zničení nebo ztrátě, neoprávněným přenosům nebo jinému neoprávněnému zpracování Osobních údajů nebo jinému zneužití osobních údajů.
2. Společnost IceWarp zavedla a udržuje zejména taková technická opatření, aby zajistila přiměřenou úroveň zabezpečení v souladu s riziky, která vyplývají z konkrétního zpracování osobních údajů, včetně:
a. pseudonymizace a šifrování Osobních údajů,
b. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – tato opatření a jejich správné dodržování jsou předmětem pravidelných kontrol,
c. schopnosti obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
d. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
e. protokolů o provedeném výmazu Osobních údajů,
f. víceúrovňového firewallu,
g. antivirové ochrany proti malwaru, ransomwaru a spywaru,
h. monitorování neoprávněného přístupu,
i. šifrovaného předávání údajů,
j. omezení přístupu k Osobním údajům výhradně na oprávněné pracovníky,
k. uchovávání serverů s osobními údaji v datových centrech v uzamčených prostorách a
l. ukládání záloh na odlišném místě, přenosu a ukládání Osobních údajů pouze v zašifrované podobě a přístupu k Osobním údajům pouze pro oprávněné pracovníky.
3. V případě, že bude mít společnost IceWarp důvodné podezření, že došlo k jakémukoli potenciálnímu nebo skutečnému neoprávněnému či protiprávnímu přístupu k Osobním údajům nebo k jejich možnému či skutečnému užití nebo zpřístupnění, upozorní vás na tuto skutečnost bez zbytečného odkladu poté, co se o takovém porušení zabezpečení Osobních údajů dozví.
X. Závěrečná ustanovení
1. Na závěr se uvádí, že při ukončení nebo zániku SZÚ ukončí společnost IceWarp veškeré zpracování Osobních údajů a vrátí a/nebo vymaže Osobní údaje v souladu s plánem podpory při ukončení poskytování služeb uvedeným ve smlouvě, ledaže by uchovávání Osobních údajů vyžadovaly platné právní předpisy. Pokud není definován plán podpory při ukončení poskytování služeb, vymaže nebo vrátí společnost IceWarp veškeré Osobní údaje podle vaší volby do 30 dnů od ukončení nebo uplynutí doby platnosti smlouvy.
2. Smluvní strany tímto sjednávají, že pokud vznikne společnosti IceWarp škoda (včetně újmy na majetku i nemajetkové újmy) z důvodu porušení vašich povinností podle Platných právních předpisů o ochraně osobních údajů nebo této SZÚ, nahradíte společnosti IceWarp tuto škodu v plném rozsahu. Náhrada škody zahrnuje zejména i) náhradu škody (včetně peněžité i nemajetkové újmy), která vznikla Subjektům údajů, jak vyplývá z Platných právních předpisů o ochraně osobních údajů, a ii) náhradu pokut uložených společnosti IceWarp úřadem pro ochranu osobních údajů nebo jiným orgánem.
3. Společnost IceWarp není povinna nahradit škodu, která vznikne podstatně nepřesným, neúplným nebo jinak nesprávným pokynem, který od vás obdržela, ačkoli vás na chybnost takového pokynu předem upozornila.
4. Smluvní strany se výslovně dohodly, že jelikož tato SZÚ upravuje výhradně aspekty zpracování údajů, které pro vás společnost IceWarp zajišťuje v rámci produktů a služeb na základě smlouvy uzavřené mezi vámi a společností IceWarp, je odpovědnost společnosti IceWarp za jakoukoli škodu způsobenou porušením jejích povinností podle SZÚ a Platných právních předpisů o ochraně osobních údajů, včetně pokut, které vám případně uloží úřad pro ochranu osobních údajů či jiný orgán, omezena celkovou odpovědností společnosti IceWarp za škodu uvedenou ve smlouvě o poskytování produktů a služeb společnosti IceWarp, na niž se vztahuje tato SZÚ, a započítává se do celkové odpovědnosti, přičemž žádné ustanovení této SZÚ nezvyšuje celkovou odpovědnost společnosti IceWarp za škodu podle takové smlouvy.