Zmluva o spracúvaní osobných údajov

Rozsah a úlohy zmluvných strán

Táto Zmluva o spracúvaní osobných údajov („DPA“) tvorí súčasť zmluvy medzi zákazníkom („Prevádzkovateľ“) a spoločnosťou Alpha Analytics s.r.o. („Sprostredkovateľ“) o používaní služieb Carsdata.com („Služby“). Upravuje spracúvanie osobných údajov, ktoré Sprostredkovateľ vykonáva v mene Prevádzkovateľa, a uplatňuje sa vždy, keď takéto spracúvanie podlieha nariadeniu (EÚ) 2016/679 („GDPR“).

Prevádzkovateľ určuje účely a prostriedky spracúvania osobných údajov a zodpovedá za zákonnosť tohto spracúvania. Sprostredkovateľ spracúva osobné údaje len v mene Prevádzkovateľa a na základe jeho zdokumentovaných pokynov. Ak Sprostredkovateľ určuje účely a prostriedky spracúvania pre svoje vlastné činnosti, koná ako prevádzkovateľ a toto spracúvanie sa riadi Zásadami ochrany osobných údajov, a nie touto DPA.

V prípade akéhokoľvek rozporu medzi touto DPA a ostatnou časťou zmluvy medzi zmluvnými stranami vo vzťahu k spracúvaniu osobných údajov má prednosť táto DPA.

Vymedzenie pojmov

Pojmy ako „osobné údaje“, „spracúvanie“, „prevádzkovateľ“, „sprostredkovateľ“, „subsprostredkovateľ“, „dotknutá osoba“, „porušenie ochrany osobných údajov“ a „dozorný orgán“ majú význam, ktorý im je priradený v GDPR. „Platné právne predpisy o ochrane osobných údajov“ znamenajú GDPR a akékoľvek ďalšie právne predpisy o ochrane osobných údajov alebo súkromia uplatniteľné na spracúvanie osobných údajov podľa zmluvy.

Predmet, trvanie, povaha a účel spracúvania

Predmetom spracúvania je poskytovanie Služieb. Sprostredkovateľ spracúva osobné údaje počas trvania zmluvy a tak dlho po jej skončení, ako je potrebné na splnenie jeho zákonných povinností alebo ako je inak stanovené v tejto DPA.

Povahou a účelom spracúvania je prevádzka a poskytovanie Služieb Prevádzkovateľovi vrátane hostingu, ukladania, analýzy a technických operácií nevyhnutných na sprístupnenie Služieb. Sprostredkovateľ spracúva kategórie osobných údajov a dotknutých osôb, ktoré Prevádzkovateľ predloží Službám alebo sprístupní ich prostredníctvom – typicky identifikačné a kontaktné údaje zástupcov Prevádzkovateľa a oprávnených používateľov, ako aj akékoľvek osobné údaje obsiahnuté v záznamoch, ktoré sa Prevádzkovateľ rozhodne spracúvať prostredníctvom Služieb.

Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

• spracúvať osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa, a to aj pokiaľ ide o prenosy osobných údajov do tretej krajiny, pokiaľ to nevyžaduje zákon – v takom prípade Sprostredkovateľ informuje Prevádzkovateľa o tejto zákonnej požiadavke pred spracúvaním, pokiaľ zákon takúto informáciu nezakazuje zo závažných dôvodov verejného záujmu;
• okamžite informovať Prevádzkovateľa, ak podľa jeho názoru pokyn porušuje platné právne predpisy o ochrane osobných údajov;
• zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti alebo aby sa na ne vzťahovala primeraná zákonná povinnosť mlčanlivosti;
• zaviesť a udržiavať technické a organizačné bezpečnostné opatrenia opísané v tejto DPA;
• rešpektovať podmienky pre zapojenie subsprostredkovateľov stanovené v tejto DPA;
• pomáhať Prevádzkovateľovi, s prihliadnutím na povahu spracúvania, pri vybavovaní žiadostí dotknutých osôb uplatňujúcich svoje práva;
• pomáhať Prevádzkovateľovi pri zabezpečovaní plnenia jeho povinností týkajúcich sa bezpečnosti spracúvania, oznamovania porušení, posúdení vplyvu na ochranu osobných údajov a predchádzajúcich konzultácií, s prihliadnutím na povahu spracúvania a informácie dostupné Sprostredkovateľovi;
• podľa voľby Prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje po skončení poskytovania Služieb a vymazať existujúce kópie, pokiaľ uchovávanie nevyžaduje zákon;
• sprístupniť Prevádzkovateľovi informácie potrebné na preukázanie plnenia povinností sprostredkovateľa a umožniť audity a prispievať k nim, ako je stanovené v tejto DPA.

Povinnosti Prevádzkovateľa

Prevádzkovateľ zodpovedá za zabezpečenie toho, aby mal platný právny základ na spracúvanie osobných údajov prostredníctvom Služieb, aby poskytol akékoľvek oznámenia a získal akékoľvek súhlasy požadované od dotknutých osôb a aby jeho pokyny Sprostredkovateľovi boli v súlade s platnými právnymi predpismi o ochrane osobných údajov. Prevádzkovateľ nesmie prostredníctvom Služieb predkladať žiadne osobné údaje, ktoré nie je oprávnený spracúvať.

Mlčanlivosť

Sprostredkovateľ zaobchádza so všetkými osobnými údajmi ako s dôvernými a zabezpečuje, aby bol prístup obmedzený na tých zamestnancov, ktorí ho potrebujú na poskytovanie Služieb. Títo zamestnanci sú viazaní písomnými povinnosťami mlčanlivosti a absolvujú primerané školenia o ochrane osobných údajov a bezpečnosti.

Bezpečnosť spracúvania

S prihliadnutím na stav techniky, náklady na vykonanie a povahu, rozsah, kontext a účely spracúvania, ako aj na riziko pre práva a slobody dotknutých osôb, zavádza Sprostredkovateľ primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku v súlade s článkom 32 GDPR. Tieto opatrenia sú opísané v Prehľade bezpečnosti a zahŕňajú podľa potreby šifrovanie osobných údajov, schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania, schopnosť včas obnoviť dostupnosť a prístup po incidente a postup pravidelného testovania a hodnotenia účinnosti týchto opatrení.

Subsprostredkovatelia

Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné oprávnenie zapojiť subsprostredkovateľov na podporu poskytovania Služieb (napríklad poskytovateľov cloudovej infraštruktúry a úložiska). Sprostredkovateľ vedie aktuálny zoznam subsprostredkovateľov a informuje Prevádzkovateľa o akýchkoľvek zamýšľaných zmenách týkajúcich sa pridania alebo nahradenia subsprostredkovateľov, čím dáva Prevádzkovateľovi možnosť namietať z primeraných dôvodov týkajúcich sa ochrany osobných údajov.

Sprostredkovateľ ukladá každému subsprostredkovateľovi prostredníctvom zmluvy povinnosti v oblasti ochrany osobných údajov, ktoré nie sú menej ochranné ako tie, ktoré sú stanovené v tejto DPA, a zostáva v plnom rozsahu zodpovedný Prevádzkovateľovi za plnenie povinností každého subsprostredkovateľa.

Pomoc pri uplatňovaní práv dotknutých osôb

S prihliadnutím na povahu spracúvania pomáha Sprostredkovateľ Prevádzkovateľovi primeranými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa vybaviť žiadosti dotknutých osôb uplatňujúcich svoje práva na prístup, opravu, vymazanie, obmedzenie, prenosnosť a namietanie. Ak Sprostredkovateľ prijme žiadosť priamo od dotknutej osoby, bez zbytočného odkladu túto žiadosť postúpi Prevádzkovateľovi a sám na ňu neodpovie, pokiaľ ho na to Prevádzkovateľ nepoverí.

Oznamovanie porušenia ochrany osobných údajov

Sprostredkovateľ oznámi Prevádzkovateľovi bez zbytočného odkladu po tom, čo sa dozvie o porušení ochrany osobných údajov týkajúcom sa osobných údajov spracúvaných v mene Prevádzkovateľa. Oznámenie obsahuje v dostupnom rozsahu opis povahy porušenia, pravdepodobné následky, prijaté alebo navrhované opatrenia na jeho riešenie a kontaktné miesto pre ďalšie informácie. Sprostredkovateľ pomáha Prevádzkovateľovi pri plnení jeho vlastných povinností oznamovania porušenia a informovania dozorných orgánov a dotknutých osôb.

Posúdenia vplyvu na ochranu osobných údajov

Sprostredkovateľ poskytuje Prevádzkovateľovi primeranú pomoc pri akýchkoľvek posúdeniach vplyvu na ochranu osobných údajov a predchádzajúcich konzultáciách s dozornými orgánmi, ktoré Prevádzkovateľ odôvodnene považuje za požadované podľa článkov 35 alebo 36 GDPR, a to v každom prípade výlučne vo vzťahu k spracúvaniu osobných údajov Sprostredkovateľom v mene Prevádzkovateľa a s prihliadnutím na informácie dostupné Sprostredkovateľovi.

Medzinárodné prenosy údajov

Sprostredkovateľ spracúva a ukladá osobné údaje predovšetkým v rámci Európskej únie / Európskeho hospodárskeho priestoru. Sprostredkovateľ neprenáša osobné údaje do krajiny mimo EHP, na ktorú sa nevzťahuje rozhodnutie o primeranosti, pokiaľ nezaviedol primeraný mechanizmus prenosu uznaný podľa GDPR, ako sú napríklad štandardné zmluvné doložky Európskej komisie, spolu s akýmikoľvek doplnkovými opatreniami potrebnými na zabezpečenie primeranej úrovne ochrany.

Audity a kontroly

Sprostredkovateľ sprístupňuje Prevádzkovateľovi informácie odôvodnene potrebné na preukázanie plnenia tejto DPA a umožňuje audity vrátane kontrol vykonávaných Prevádzkovateľom alebo audítorom ním povereným a prispieva k nim. Audity sa vykonávajú na základe primeraného predchádzajúceho oznámenia, počas bežných pracovných hodín, najviac raz za rok (s výnimkou prípadov, keď to vyžaduje dozorný orgán alebo po porušení ochrany osobných údajov), a spôsobom, ktorý nenarúša prevádzku Sprostredkovateľa ani neohrozuje dôvernosť údajov iných zákazníkov. Sprostredkovateľ môže žiadosti o audit uspokojiť poskytnutím relevantných audítorských správ alebo certifikácií tretích strán, ak sú dostupné.

Vrátenie a vymazanie údajov

Po ukončení alebo uplynutí platnosti Služieb Sprostredkovateľ podľa voľby Prevádzkovateľa vymaže alebo vráti všetky osobné údaje spracúvané v mene Prevádzkovateľa a vymaže existujúce kópie, pokiaľ platné právne predpisy nevyžadujú pokračujúce uchovávanie. Štandardné systémové zálohy sa vymazávajú v súlade so zdokumentovaným retenčným cyklom Sprostredkovateľa.

Zodpovednosť, trvanie a rozhodné právo

Zodpovednosť každej zmluvnej strany podľa tejto DPA podlieha obmedzeniam a vylúčeniam zodpovednosti stanoveným v zmluve medzi zmluvnými stranami. Táto DPA nadobúda účinnosť dňom účinnosti zmluvy a zostáva v platnosti tak dlho, ako Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa. Táto DPA sa riadi právom Českej republiky, pokiaľ zmluva medzi zmluvnými stranami neurčuje inak, a bez toho, aby boli dotknuté kogentné ustanovenia GDPR.

Ak chcete požiadať o protipodpísanú kópiu tejto DPA alebo prediskutovať konkrétne dojednania o ochrane osobných údajov, kontaktujte nás na info@carsdata.com.