Podmínky zpracování osobních údajů

Platnost od: 25. 10. 2023

ZPRACOVATELSKÉ PODMÍNKY

Tyto zpracovatelské podmínky (dále také „Zpracovatelské podmínky“) upravují pravidla týkající se zpracování osobních údajů v souladu nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále také „GDPR“). Zpracovatelské podmínky jsou rozděleny na dvě části, přičemž část A slouží k seznámení Objednatele o tom, jak Dodavatel zpracovává osobní údaje jako správce osobních údajů a část B upravuje práva a povinnosti Dodavatele jako zpracovatele osobních údajů.

Pojmy s velkými písmeny mají stejný význam, jako pojmy uvedené ve Smlouvě či Podmínkách, pokud není v těchto Zpracovatelských podmínkách stanoveno jinak.

ČÁST A: SEZNÁMENÍ SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

1. Osobní údaje zpracováváné DODAVATELEM

Osobní údaje Dodavatel získává především prostřednictvím komunikace s Objednatelem, zejména prostřednictvím Webových stránek či e-mailové komunikace. Zpracovávané osobní údaje jsou zejména:

a) identifikační údaje, kontaktní údaje, fakturační údaje, údaje ze smluvního vztahu, údaje obsažené v komunikaci.

Dodavatel zpracovává osobní údaje jako správce osobních údajů pro níže uvedené účely zpracování, na základě zde uvedených právních základů, po omezenou dobu a jen ve zde popsaném rozsahu.

Poskytování Služby a souvisejících informací

Osobní údaje jsou Dodavatelem zpracovávány za účelem poskytnutí Služby. Součástí tohoto zpracování je využívání osobních údajů pro účely uzavření smlouvy a následné poskytnutí samotných Služeb, další smluvní komunikace a fakturace za poskytnuté Služby. V rámci tohoto účelu využívá Dodavatel osobní údaje Objednatele také pro účely předsmluvního vyjednávání, zjišťování podkladů apod.

Právním základem pro toto zpracování je plnění smlouvy mezi Objednatelem a Dodavatelem a nezbytnost učinit kroky před uzavřením smlouvy, nebo v případě, kdy subjekt údajů není přímo stranou Smlouvy, oprávněný zájem Dodavatele na plnění jakékoli uzavřené smlouvy.

Údaje jsou zpracovány před uzavřením smlouvy, dále po dobu existence smluvního vztahu vzniklého uzavřením smlouvy a po dobu nezbytnou pro plnění povinností z takové smlouvy a pro plnění povinností souvisejících s poskytováním Služeb.

Ochrana práv a právních nároků

Dodavatel zpracovává osobní údaje také za účelem ochrany svých práv a právních zájmů. Zejména v souvislosti s jednáním u soudních orgánů a jiných orgánů veřejné moci, případně v souvislosti s interním vyřízením nároků Objednatele.

Právním základem pro toto zpracování je oprávněný zájem Dodavatele na ochraně práv a právních nároků. Údaje jsou zpracovávány maximálně do uplynutí 10 let od ukončení uzavřené Smlouvy (popř. v případě zahájení sporu i déle), nebo po dobu 5 let od sběru osobních údajů, pokud k uzavření Smlouvy nedošlo.

Plnění právních povinností

Dodavatel zpracovává osobní údaje také pro splnění právních povinností, zejména v oblasti účetnictví a daní. Současně poskytuje součinnost státním orgánům, pokud k tomuto je povinen podle zákona. Právním základem pro toto zpracování je plnění právních povinností. Údaje jsou zpracovány po dobu stanovenou právními předpisy, například v oblasti daní až po dobu 10 let.

Zasílání obchodních sdělení

Osobní údaje může Dodavatel také využívat k tomu, aby na kontaktní e-mail Objednatele zasílal nabídky související se Službami Dodavatele. Jelikož Objednatel před získáním cenové nabídky a před objednáním Služeb předává kontaktní údaje, bude Dodavatel na tyto údaje zasílat obchodní sdělení za předpokladu, že Objednatel udělí souhlas k takovému zasílání.

Právním základem pro toto zpracování je souhlas Objednatele. Osobní údaje budou zpracovávány po dobu, dokud Objednatel zasílání obchodních sdělení neodmítne, což může učinit v každém jednotlivém e-mailu. Odmítnutí je považováno za odvolání souhlasu.

2.Sdílení osobních údajů

Výše uvedené osobní údaje zpracovává Dodavatel jako tzv. správce osobních údajů.

Do zpracování osobních údajů mohou být zapojeni následující příjemci:

· poskytovatelé systému, který zajišťuje rozesílku e-mailů a obchodních sdělení;

· společnost Google Ireland Limited, se sídlem Gordon House, Barrow Street, Dublin 4, Irsko;

· Pipedrive Inc, se sídlem 530 Fifth Avenue, Suite 802, New York, New York 10036, Spojené státy americké. Společnost je registrována v rámci Data Privacy Framework: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TSfxAAG&status=Active .

Pokud Dodavatel sdílí osobní údaje se správci a zpracovateli ve třetích zemích (mimo EHP), činí tak jen v případě, kdy je zde rozhodnutí Evropské komise, že určitá země mimo EHP zajišťuje dostatečnou úroveň ochrany údajů, včetně případů, kdy správci či zpracovatelé přijali dodatečná opatření ochrany údajů, například Závazná podniková pravidla (BCR) nebo Standardní smluvní doložky (SCC).

3.práva při zpracování a možnost jejich výkonu

Subjekt údajů má právo (i) požadovat přístup k osobním údajům; (ii) odvolat souhlas; (iii) požadovat opravu osobních údajů; (iv) požadovat výmaz osobních údajů; (v) požadovat omezení zpracování osobních údajů; (vi) požadovat přenositelnost osobních údajů; (vii) uplatnit námitku proti zpracování osobních údajů; nebo (viii) uplatnit stížnost u příslušného dozorového úřadu.

Ve všech otázkách souvisejících se zpracováním osobních údajů, ať už se jedná o otázku, výkon práv, zaslání stížnosti se může Objednatel obracet na adresu support@creaition.cz.

4.Právo podat stížnost

Vedle možnosti uplatnění práv u Dodavatele také může Objednatel podat stížnost u příslušného dozorového úřadu, kterým je Úřad pro ochranu osobních údajů sídlící na adrese Pplk. Sochora 27, 170 00 Praha 7.

ČÁST B – PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Tyto Zpracovatelské podmínky jsou přílohou Smlouvy, která byla uzavřena mezi Dodavatelem a Objednatelem.

1. Úvodní ustanovení

1.1 Na základě Smlouvy Dodavatel poskytuje Objednateli Službu, přičemž součástí Služby může být také zpracování osobních údajů, v rámci kterého Dodavatel vystupuje jako zpracovatel osobních údajů.

2. POVAHA A ÚČEL zpracování Osobních údajů

2.1 Dodavatel bude zpracovávat osobní údaje pouze v souladu s platnými právními předpisy a za účelem:

a) poskytování Služby pro Objednatele;

b) vyhodnocování výkonnosti a efektivity Služby;

c) rozvoje a optimalizace Služby;

d) jak je dále uvedeno v dalších písemných pokynech udělených Objednatelem a

e) pokud to Dodavateli ukládá právo EU či jiného členského státu.

2.2 Dodavatel bude pro účely poskytování Služby Objednateli zpracovávat osobní údaje, a to v elektronické formě, přičemž předmětem zpracování bude zajištění přenosu a strukturování osobních údajů, včetně technických dat souvisejících s osobními údaji.

3. Doba trvání zpracování Osobních údajů

3.1 Dodavatel bude osobní údaje zpracovávat po dobu trvání Smlouvy, nebo po dobu potřebnou pro poskytování Služby. Po ukončení Smlouvy provede Dodavatel plnou anonymizaci osobních údajů.

4. Druhy Osobních údajů

4.1 Předmětem zpracování podle těchto Zpracovatelských podmínek budou následující osobní údaje:

a) technické údaje (IP adresa, druh zařízení, lokalizace apod.);

b) další údaje v souvislosti s používáním Služby (sledování jakýchkoliv interakcí se Službou, sledování pohybu IP adresy na webových stránkách Objednatele, sledování konverze IP adresy k akci – nákupu, délky interakce s obsahem Služby a s webovými stránkami Objednatele, retence apod.);

c) další informace, které budou zpracovány v rámci poskytování Služby.

5. Kategorie Subjektů údajů

5.1 Osobní údaje se budou týkat těchto kategorií Subjektů údajů:

a) zákazníci Objednatele;

b) osoby, které předají své osobní údaje prostřednictvím webových stránek Objednatele;

c) pracovníci Objednatele;

d) další osoby, jejichž osobní údaje jsou obsaženy v informacích, které jsou přenášeny v rámci poskytování Služby.

6. Práva a povinnosti stran

6.1 Dodavatel prohlašuje a zavazuje se, že:

a) dozví-li se o porušení nebo hrozícím porušení zabezpečení osobních údajů, náhodném nebo protiprávním zničení, ztrátě, změně nebo neoprávněném poskytnutí či zpřístupnění zpracovávaných osobních údajů, neprodleně, nejpozději však do 72 (sedmdesáti dvou) hodin, písemně informuje Objednatele a co nejlépe popíše vzniklé či hrozící bezpečnostní riziko, přičemž Objednateli sdělí vhodná opatření pro zabránění nebo minimalizaci porušení zabezpečení Služby a přijme veškerá potřebná opatření pro minimalizaci škody;

b) osobní údaje budou zabezpečeny v souladu s čl. 7 těchto Zpracovatelských podmínek;

c) osobní údaje bude zpracovávat pouze v souladu s těmito Zpracovatelskými podmínkami, poskytovanou Službou nebo na základě jiných písemných pokynů Objednatele;

d) bude Objednateli nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů, při ohlašování porušení zabezpečení osobních údajů dozorovému úřadu nebo subjektu údajů, při posuzování vlivu na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem;

e) zajistí Objednateli prostřednictvím vhodných technických a organizačních opatření součinnost, nejpozději do 14 (čtrnácti) dnů od vznesení požadavku Objednatele, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů

f) poskytne Objednateli na jeho žádost neprodleně, nejpozději však do 14 (čtrnácti) dnů, veškerou součinnost nutnou k prokázání, že jsou osobní údaje organizačně a technicky zabezpečeny a poskytne veškerou součinnost v případech, kdy je u Objednatele zahájena kontrola dozorového orgánu.

6.2 Pokud Dodavatel při zpracovávání osobních údajů obdrží od subjektu údajů ve vztahu k osobním údajům jakoukoliv žádost, sdělí subjektu údajů, aby se s žádostí obrátil přímo na Objednatele. Objednatel je odpovědný za vyřízení takové žádosti. Dodavatel se zavazuje poskytnout Objednateli veškerou součinnost potřebnou pro vyřízení práva subjektů údajů.

6.3 Objednatel souhlasí s tím, aby Dodavatel do zpracování osobních údajů zapojil další zpracovatele. Pokud takto Dodavatel zapojí dalšího zpracovatele, zajistí, aby dodržoval stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v těchto Zpracovatelských podmínkách.

6.4 Objednatel souhlasí s tím, že Dodavatel do zpracování osobních údajů zapojuje tyto další zpracovatele:

· INTERNET CZ, a.s., IČO: 26043319, se sídlem Ktiš č.p. 2, 384 03 Ktiš;

· pracovníci Dodavatele, kteří s Dodavatelem spolupracují na základě smlouvy o spolupráci či jiné dohody;

6.5 Pokud by Dodavatel měl zapojit další zpracovatele, kteří nejsou uvedeni v těchto Zpracovatelských podmínkách, dopředu Objednatele informuje a umožní mu vznést proti tomuto zapojení námitky. Pokud námitky Objednatel nevznese ani do 14 (čtrnácti) dnů od oznámení o zapojení dalšího zpracovatele, zapojí Dodavatel dalšího zpracovatele do zpracování osobních údajů. V případě, že námitku Objednatel vznese, tuto Dodavatel vyhodnotí a v případě, že ji shledá jako důvodnou, dalšího zpracovatele nezapojí a v takovém případě je oprávněn ukončit poskytování Služby.

6.6 Dodavatel je povinen umožnit Objednateli či jím pověřené osobě kontrolu (včetně auditu či inspekce) dodržování těchto Zpracovatelských podmínek, zejména povinností pro zpracování osobních údajů z nich vyplývajících, a k těmto kontrolám přispěje dle důvodných pokynů Objednatele či kontrolující osoby.

6.7 Jakoukoliv žádost o audit je Objednatel povinen zaslat výhradně na e-mailovou adresu Dodavatele: support@creaition.cz. Po obdržení žádosti o audit se Dodavatel a Objednatel dopředu dohodnou na: (a) možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a (b) předpokládaném začátku a době trvání auditu. V případě, že k dohodě nedojde ani do 30 dnů ode dne odeslání žádosti, určí podmínky auditu Dodavatel.

6.8 Dodavatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Objednatelem, pokud není auditor podle názoru Dodavatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Dodavateli nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Objednatel povinnost pověřit jiného auditora, nebo provést audit sám.

6.9 Objednatel je v rámci auditu oprávněn provádět pouze kontrolu dat a dokumentů, které se týkají zpracování osobních údajů, které Dodavatel provádí přímo pro něj na základě Smlouvy. Objednatel souhlasí s tím, že rozsah dat a dokumentů, které auditu podléhají, z tohoto důvodu vždy určuje Dodavatel.

6.10 Objednatel je odpovědný za plnění všech povinností ve vztahu ke zpracování osobních údajů, zejména za řádné informování subjektů údajů o zpracování osobních údajů, získání souhlasu se zpracováním osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.).

7.Bezpečnost Osobních údajů

7.1 Dodavatel přijal níže uvedená opatření a zavazuje se je udržovat pro zajištění zabezpečení zpracování osobních údajů po celou dobu zpracování:

a) pseudonymizace a šifrování osobních údajů;

b) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;

c) schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;

d) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

8. Další ujednání

8.1 Dodavatel je oprávněn vyúčtovat Objednateli účelně vynaložené náklady spojené s vyřizováním jakékoliv žádosti a plněním jakékoliv povinnosti dle těchto Zpracovatelských podmínek.

8.2 Dodavatel neodpovídá za jakoukoliv škodu včetně ušlého zisku či jinou újmu způsobenou Objednateli v souvislosti s plněním povinností dle těchto Zpracovatelských podmínek, zejména takovou, která je nezávislá na vůli Dodavatele ani za takovou, která je způsobená jednáním Objednatele jako správcem či zpracovatelem osobních údajů.

8.3 V případě, že i tak bude Dodavatel povinen nahradit jakoukoliv způsobenou újmu (ať už majetkovou či nemajetkovou), je výše újmy limitována do výše 10.000 Kč.


[JH1]Povinnost pro Vás jako poskytovatele. Musíte poskytnout součinnost, pokud se například zákazník v e-shopu bude ptát, jak jsou data přenášena, zabezpečena apod., aby mohl e-shop vyřídit žádost subjektu údajů.

Jinými slovy, vy žádosti nevyřizujete, jen poskytujete součinnost, pokud je potřeba.