Zpracovatelská smlouva (Data Processing Agreement) – Cleenly
Tato zpracovatelská smlouva (dále jen „smlouva“ nebo „DPA“) upravuje zpracování osobních údajů podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
Tato smlouva je nedílnou součástí smluvního vztahu mezi zákazníkem služby Cleenly (dále jen „správce“) a poskytovatelem služby Cleenly (dále jen „zpracovatel“) vzniklého přijetím Obchodních podmínek služby.
Uzavřením smlouvy o užívání služby Cleenly dochází zároveň k uzavření této zpracovatelské smlouvy.
1. Předmět smlouvy a role stran
1.1 Smluvní strany
Zpracovatel:
Matouš Hrubý
IČO: 23350431
Sídlo: Černokostelecká 2197/51, 100 00 Praha – Strašnice
E-mail: info@cleenly.cz
Správce:
Zákazník služby Cleenly (fyzická osoba podnikající nebo právnická osoba, která službu používá).
1.2 Role při zpracování údajů
Správce určuje účel a prostředky zpracování osobních údajů.
Zpracovatel poskytuje správci cloudovou softwarovou službu Cleenly a v rámci toho zpracovává osobní údaje jménem správce.
Zpracovatel nezpracovává osobní údaje pro vlastní účely a používá je výhradně k poskytování služby.
1.3 Předmět zpracování
Předmětem zpracování jsou osobní údaje, které správce vloží do systému Cleenly nebo které vzniknou při používání služby, zejména za účelem:
evidence zaměstnanců,
plánování práce,
evidence provedených úklidů,
komunikace se zákazníky správce,
dokumentace provedení služby.
1.4 Povaha a účel zpracování
Zpracování spočívá zejména v:
ukládání dat,
organizaci a strukturování,
zpřístupnění oprávněným uživatelům,
přenosu mezi zařízeními uživatelů,
zálohování,
technickém zabezpečení a údržbě systému.
Zpracování probíhá automatizovanými prostředky prostřednictvím cloudové aplikace.
1.5 Doba trvání zpracování
Zpracování osobních údajů probíhá po dobu trvání smluvního vztahu mezi správcem a zpracovatelem a následně po dobu nezbytnou pro zálohování a bezpečné odstranění dat podle obchodních podmínek.
2. Kategorie osobních údajů a subjektů údajů
2.1 Subjekty údajů
Zpracování se může týkat následujících kategorií fyzických osob (subjektů údajů):
zaměstnanci správce,
spolupracovníci nebo pracovníci na základě smluvního vztahu se správcem,
zákazníci správce nebo jejich kontaktní osoby,
další osoby, jejichž údaje správce do systému vloží v souvislosti s poskytováním svých služeb.
2.2 Kategorie osobních údajů
Zpracování může zahrnovat zejména následující kategorie osobních údajů:
Identifikační údaje
jméno a příjmení,
pracovní zařazení nebo role.
Kontaktní údaje
e-mailová adresa,
telefonní číslo,
adresa objektu nebo pracoviště.
Provozní a pracovní údaje
přiřazení k zakázkám,
termíny práce,
docházka,
stav splnění úkolů,
interní poznámky správce.
Technické a lokalizační údaje
čas zahájení a ukončení práce,
záznam o přihlášení do systému,
přibližná poloha zařízení zaznamenaná při zahájení a ukončení úklidu.
Multimediální obsah
fotografie nahrané uživateli v rámci dokumentace služby,
textové zprávy nebo stížnosti vložené do systému.
Zpracovatel nezpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (např. údaje o zdravotním stavu, biometrické údaje apod.), pokud je správce do systému vědomě nevloží. Správce je povinen takové údaje do systému neukládat, pokud k tomu nemá odpovídající právní důvod.
2.3 Rozsah zpracování
Zpracovatel zpracovává osobní údaje pouze v rozsahu, v jakém je správce vloží do systému nebo jak je nezbytné pro technické fungování služby (např. systémové logy, zabezpečení a zálohování).
3. Povinnosti zpracovatele
Zpracovatel se zavazuje zpracovávat osobní údaje pouze za podmínek stanovených touto smlouvou a právními předpisy o ochraně osobních údajů.
3.1 Zpracování podle pokynů správce
Zpracovatel zpracovává osobní údaje výhradně na základě doložených pokynů správce a pouze v rozsahu nezbytném pro poskytování služby Cleenly.
Za pokyn správce se považuje zejména:
používání služby správcem,
nastavení funkcí systému,
a správa údajů prováděná uživateli správce.
Zpracovatel není povinen provádět pokyny, které by byly v rozporu s právními předpisy. V takovém případě správce bezodkladně informuje.
3.2 Mlčenlivost
Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti nebo zákonnou povinností zachovávat důvěrnost.
Přístup k osobním údajům mají pouze osoby, které jej nezbytně potřebují pro provoz, údržbu nebo zabezpečení služby.
3.3 Zabezpečení údajů
Zpracovatel přijme vhodná technická a organizační opatření k zabezpečení osobních údajů podle čl. 32 GDPR tak, aby byla zajištěna odpovídající úroveň ochrany vzhledem k rizikům zpracování.
Opatření zahrnují zejména:
ochranu přenosu dat šifrováním,
řízení přístupových oprávnění,
ochranu proti neoprávněnému přístupu,
zálohování a obnovu dat,
monitorování bezpečnosti systému.
3.4 Další zpracovatelé (subzpracovatelé)
Zpracovatel je oprávněn zapojit do zpracování další zpracovatele (subzpracovatele), pokud jsou nezbytní pro poskytování služby (např. hosting, e-mailové služby nebo infrastruktura).
Zpracovatel odpovídá za to, že každý subzpracovatel:
poskytuje dostatečné záruky ochrany osobních údajů,
je smluvně zavázán k ochraně osobních údajů,
plní povinnosti podle čl. 28 GDPR.
Aktuální seznam subzpracovatelů je uveden v zásadách ochrany osobních údajů nebo na webu poskytovatele.
3.5 Pomoc správci
Zpracovatel poskytne správci přiměřenou součinnost při plnění povinností podle GDPR, zejména při:
vyřizování žádostí subjektů údajů,
zajištění bezpečnosti zpracování,
posuzování vlivu na ochranu osobních údajů (DPIA), pokud je vyžadováno.
3.6 Oznámení porušení zabezpečení
Pokud zpracovatel zjistí porušení zabezpečení osobních údajů, které by mohlo vést k neoprávněnému přístupu, ztrátě nebo zničení osobních údajů, oznámí tuto skutečnost správci bez zbytečného odkladu po jejím zjištění a poskytne mu dostupné informace potřebné k splnění jeho zákonných povinností.
4. Povinnosti správce
Správce odpovídá za to, že osobní údaje byly získány a jsou zpracovávány v souladu s právními předpisy o ochraně osobních údajů.
4.1 Zákonnost zpracování
Správce se zavazuje, že:
má právní důvod pro zpracování osobních údajů,
plní informační povinnost vůči subjektům údajů,
zpracovává osobní údaje pouze v nezbytném rozsahu,
a ukládá do systému pouze údaje, které je oprávněn zpracovávat.
4.2 Pokyny zpracovateli
Správce je povinen poskytovat zpracovateli pouze takové pokyny, které jsou v souladu s právními předpisy.
Správce bere na vědomí, že samotné používání služby, její konfigurace a ukládání dat do systému představuje pokyn ke zpracování osobních údajů.
4.3 Informování subjektů údajů
Správce je odpovědný za to, že:
informoval své zaměstnance, spolupracovníky a klienty o zpracování jejich osobních údajů,
má oprávnění evidovat jejich pracovní činnost nebo zakázky,
a splnil všechny povinnosti správce podle GDPR.
4.4 Zvláštní kategorie údajů
Správce se zavazuje neukládat do systému zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu, biometrické údaje, údaje o trestné činnosti), pokud k tomu nemá odpovídající právní důvod a pokud to není nezbytné.
Zpracovatel nenese odpovědnost za uložení takových údajů správcem.
4.5 Bezpečnost přístupů
Správce odpovídá za správu uživatelských účtů ve své organizaci, zejména za:
přidělování oprávnění,
odebírání přístupů bývalým zaměstnancům,
ochranu přístupových údajů.
Zpracovatel neodpovídá za neoprávněný přístup způsobený nedostatečnou správou uživatelských účtů na straně správce.
5. Doba zpracování a výmaz osobních údajů
5.1 Doba zpracování
Zpracovatel zpracovává osobní údaje po dobu trvání smluvního vztahu mezi správcem a zpracovatelem, tj. po dobu používání služby Cleenly správcem.
Po dobu trvání služby jsou údaje správcem kdykoliv přístupné prostřednictvím uživatelského účtu.
5.2 Ukončení zpracování
Po ukončení smluvního vztahu zpracovatel:
znepřístupní osobní údaje uložené v systému,
umožní správci po přiměřenou dobu export dat, pokud to funkce služby umožňují,
následně zahájí proces jejich odstranění.
5.3 Výmaz údajů
Po uplynutí přiměřené doby od ukončení služby budou osobní údaje trvale vymazány z aktivních systémů zpracovatele.
Údaje mohou být po omezenou dobu uchovány v zabezpečených zálohách za účelem obnovy systému. Maximální doba uchování v zálohách je 3 měsíce, po jejímž uplynutí jsou data automaticky a nevratně odstraněna.
5.4 Povinné uchování
Ustanovení o výmazu se nevztahuje na údaje, které je zpracovatel povinen uchovávat na základě právních předpisů (např. účetní doklady nebo fakturační údaje).
5.5 Forma výmazu
Výmaz osobních údajů znamená jejich odstranění z databází a úložišť tak, aby nebylo možné jednotlivé osoby identifikovat nebo data obnovit běžnými prostředky.
6. Závěrečná ustanovení
6.1 Prokázání souladu
Zpracovatel na žádost správce poskytne informace nezbytné k doložení toho, že byly splněny povinnosti stanovené touto smlouvou a čl. 28 GDPR.
S ohledem na povahu služby jsou audity prováděny především formou poskytnutí dokumentace, popisu bezpečnostních opatření nebo jiných přiměřených prostředků. Individuální fyzické audity v prostorách zpracovatele lze požadovat pouze po předchozí dohodě a za podmínky, že tím nebude ohrožena bezpečnost ostatních zákazníků nebo provoz služby.
6.2 Přenos osobních údajů mimo EU
Pokud při poskytování služby dochází k přenosu osobních údajů do zemí mimo Evropský hospodářský prostor, zpracovatel zajistí odpovídající úroveň ochrany prostřednictvím vhodných záruk podle GDPR, zejména standardních smluvních doložek schválených Evropskou komisí nebo jiného právního mechanismu umožňujícího takový přenos.
6.3 Přednost smluv
V případě rozporu mezi touto zpracovatelskou smlouvou a obchodními podmínkami služby Cleenly mají ustanovení této zpracovatelské smlouvy přednost v otázkách ochrany osobních údajů.
6.4 Změny smlouvy
Zpracovatel je oprávněn tuto smlouvu přiměřeně měnit zejména z důvodu:
změny právních předpisů,
požadavků dozorových orgánů,
změny poskytované služby nebo technologií.
O změně bude správce informován prostřednictvím webu nebo e-mailu. Pokud správce se změnou nesouhlasí, může službu přestat používat a ukončit smluvní vztah.
6.5 Účinnost
Tato zpracovatelská smlouva nabývá účinnosti dnem zahájení používání služby Cleenly správcem.
Začněte ještě dnes - Bez nutnosti karty
Vyzkoušejte bez rizika
Registrujte se během 2 minut. Žádné závazky. Plný přístup k funkcím.