Dohoda o zpracování zakázek podle čl. 28 odst. 3 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“)

Společnost NatureWebServices GmbH při poskytování služeb zákazníkům, kteří služby využívají jako podnikatelé, jedná jako zpracovatel údajů podle čl. 28 GDPR (dále jen „zpracovatel“). Podnikatelem ve smyslu těchto podmínek použití je fyzická nebo právnická osoba nebo společnost s právní subjektivitou, která při uzavření podmínek použití jedná v rámci své obchodní nebo samostatné výdělečné činnosti. Za zpracování údajů v tomto případě odpovídá zákazník, který služby využívá jako podnikatel (dále jen „zadavatel“). Smlouva o zpracování údajů podle čl. 28 odst. 3 GDPR je uzavřena mezi zpracovatelem a zadavatelem přijetím podmínek použití zadavatelem.

• Předmětem smlouvy o zpracování zakázky je zpracování přístupových údajů k webové a aplikační službě (e-mailová adresa), údajů zadaných dobrovolně v aplikaci (oslovení, jméno, příjmení) a obrázků a/nebo videí v souladu s podmínkami použití (dále jen „zpracování“).
• Tato smlouva o zpracování zakázky začíná přijetím podmínek použití a končí, jak je uvedeno v odstavci 10 Doba trvání smlouvy a výpověď uvedeno.
• Zpracování se provádí výhradně v členském státě Evropské unie nebo ve smluvním státě Dohody o Evropském hospodářském prostoru. Jakékoli přesunutí služby nebo jejích dílčích prací do třetí země vyžaduje předchozí souhlas zadavatele.
• Zhotovitel se zavazuje zpracovávat data a výsledky zpracování výhradně v rámci těchto podmínek použití. Pokud zhotovitel obdrží úřední příkaz k vydání dat zadavatele, je povinen – pokud to zákon umožňuje – o tom neprodleně informovat zadavatele a odkázat ho na příslušný úřad. Stejně tak zpracování údajů pro vlastní účely dodavatele vyžaduje písemný souhlas zadavatele.
• Za posouzení přípustnosti zpracování podle čl. 6 odst. 1 GDPR a za dodržování práv dotčených osob podle čl. 12 až 22 GDPR odpovídá výhradně zadavatel. Zhotovitel předá dotazy, pokud jsou zjevně určeny výhradně zadavateli, tomuto zadavateli.
• Povinnosti dodavatele
  • Zhotovitel potvrzuje, že je seznámen s příslušnými ustanoveními nařízení GDPR o ochraně osobních údajů, která se vztahují na zpracování zakázky.
  • Zhotovitel právně závazně prohlašuje, že všechny osoby pověřené zpracováním údajů zavázal před zahájením činnosti k mlčenlivosti nebo že tyto osoby podléhají přiměřené zákonné povinnosti mlčenlivosti. Zejména zůstává povinnost mlčenlivosti osob pověřených zpracováním údajů v platnosti i po skončení jejich činnosti a odchodu od zhotovitele.
  • Zhotovitel právně závazně prohlašuje, že přijal veškerá nezbytná opatření k zajištění bezpečnosti zpracování podle čl. 32 GDPR.
  • Zhotovitel zaručuje pro službu úroveň ochrany odpovídající riziku pro práva a svobody fyzických osob, kterých se zpracování týká. Za tímto účelem jsou zohledněny cíle ochrany uvedené v čl. 32 odst. 1 GDPR, jako je důvěrnost, integrita a dostupnost systémů a služeb, jakož i jejich odolnost s ohledem na povahu, rozsah, okolnosti a účel zpracování, a to tak, aby bylo riziko trvale omezeno vhodnými technickými a organizačními opatřeními.
  • Zhotovitel provádí při dané příležitosti, nejméně však jednou ročně, kontrolu, posouzení a hodnocení účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.
  • Zhotovitel přijme technická a organizační opatření, aby zadavatel mohl kdykoli ve lhůtách stanovených zákonem splnit práva dotčené osoby podle kapitoly III GDPR (informace, přístup, opravy a výmaz, přenositelnost údajů, námitky a automatizované rozhodování v jednotlivých případech) a poskytne zadavateli všechny potřebné informace prostřednictvím webových a aplikačních služeb. Pokud je příslušná žádost adresována dodavateli a ten zjistí, že žadatel jej mylně považuje za zadavatele zpracování údajů, které provádí, je dodavatel povinen žádost neprodleně předat zadavateli a informovat o tom žadatele.
  • Zhotovitel podporuje zadavatele při plnění povinností uvedených v článcích 32 až 36 GDPR (opatření na ochranu údajů, hlášení porušení ochrany osobních údajů dozorovému orgánu, informování osoby, jejíž osobní údaje byly porušeny, posouzení dopadu na ochranu osobních údajů, předchozí konzultace).
  • Při plnění práv dotčených osob podle článků 12 až 22 GDPR ze strany zadavatele, při vytváření seznamů zpracovatelských činností a při nezbytných následných posouzeních dopadu na ochranu osobních údajů ze strany zadavatele spolupracuje dodavatel v nezbytném rozsahu a podporuje zadavatele v přiměřené míře, pokud je to možné.
  • Zhotovitel informuje zadavatele o poruchách, porušeních ze strany zhotovitele nebo osob jím zaměstnaných, jakož i o porušeních předpisů o ochraně osobních údajů nebo ustanoveních uvedených v zakázce, a také o podezření na porušení ochrany osobních údajů nebo nesrovnalostech při zpracování osobních údajů. To platí i s ohledem na případné oznamovací a informační povinnosti zadavatele podle čl. 33 a čl. 34 GDPR. Zhotovitel v případě potřeby poskytne zadavateli přiměřenou podporu při plnění jeho povinností podle čl. 33 a 34 GDPR.
  • Zhotovitel vytvoří pro dané zpracování zakázky rejstřík zpracování podle čl. 30 GDPR.
  • Zadavateli je v souvislosti se zpracováním jím poskytnutých údajů přiznáno právo kdykoli nahlížet do zařízení pro zpracování údajů a kontrolovat je, a to i prostřednictvím jím pověřených třetích osob. Zhotovitel se zavazuje poskytnout zadavateli informace nezbytné ke kontrole dodržování povinností uvedených v této smlouvě.
  • Dodavatel nabízí zadavateli prostřednictvím webových a APP služeb možnost,
    • kdykoli stáhnout jednotlivé nebo všechny obrázky a/nebo videa a/nebo
    • smazat jednotlivé nebo všechny obrázky a/nebo videa na serveru dodavatele.

V souladu s čl. 28 odst. 3 písm. g) GDPR budou spolu s vymazáním přístupových údajů (e-mailová adresa) vymazány také údaje zadané v aplikaci na dobrovolné bázi (oslovení, jméno, příjmení) a obrázky a/nebo videa zadávané na dobrovolném základě do aplikace, budou všechny smazané osobní údaje smazány také u zadavatele a jeho subdodavatelů prostřednictvím webových a aplikačních služeb. Na záložních médiích budou údaje smazány po ukončení dalšího zálohovacího cyklu.

• Subdodavatelé zpracování osobních údajů
  • Zadavatel uděluje zpracovateli obecné oprávnění k tomu, aby k plnění smlouvy využil další subdodavatele ve smyslu čl. 28 GDPR. Přitom je třeba zajistit, aby subdodavatel přijal stejné povinnosti, které z této smlouvy vyplývají pro zpracovatele. Pokud subdodavatel nesplní své povinnosti v oblasti ochrany osobních údajů, nese dodavatel vůči zadavateli odpovědnost za dodržování povinností subdodavatele.
  • Zhotovitel sdělí zadavateli jméno a adresu, jakož i předpokládanou činnost subdodavatele na základě e-mailové žádosti (info@icuserver.com) Dodavatel zajistí, aby pečlivě vybíral subdodavatele zpracování osobních údajů, přičemž bude věnovat zvláštní pozornost vhodnosti technických a organizačních opatření, která tento subdodavatel přijal ve smyslu čl. 32 GDPR.