Dohoda o spracovaní objednávok podľa čl. 28 ods. 3 Všeobecného nariadenia o ochrane údajov (ďalej len „GDPR“)

Spoločnosť NatureWebServices GmbH pri poskytovaní služieb zákazníkom, ktorí služby využívajú ako podnikatelia, koná ako spracovateľ údajov podľa čl. 28 GDPR (ďalej len „zmluvný partner“). Podnikateľom v zmysle týchto podmienok používania je fyzická alebo právnická osoba alebo spoločnosť s právnou subjektivitou, ktorá pri uzatváraní podmienok používania koná v rámci výkonu svojej obchodnej alebo samostatnej profesijnej činnosti. Zodpovednou osobou za spracovanie údajov je v tomto prípade zákazník, ktorý služby využíva ako podnikateľ (ďalej len „objednávateľ“). Dohoda o spracovaní údajov podľa čl. 28 ods. 3 GDPR sa uzatvára medzi spracovateľom a objednávateľom prijatím podmienok používania zo strany objednávateľa.

• Predmetom dohody o spracovaní údajov je spracovanie prístupových údajov k webovej službe a službe APP (e-mailová adresa), údajov zadaných dobrovoľne v aplikácii (oslovenie, meno, priezvisko) a obrázkov a/alebo videí v súlade s podmienkami používania (ďalej len „spracovateľská činnosť“).
• Táto dohoda o spracovaní objednávok nadobúda platnosť prijatím podmienok používania a končí podľa odseku 10 Doba trvania zmluvy a jej vypovedanie uvedené.
• Spracovanie sa vykonáva výlučne v členskom štáte Európskej únie alebo v zmluvnom štáte Dohody o Európskom hospodárskom priestore. Akékoľvek presunutie služby alebo jej častí do tretej krajiny podlieha predchádzajúcemu súhlasu objednávateľa.
• Zhotoviteľ sa zaväzuje spracovávať údaje a výsledky spracovania výlučne v rámci týchto podmienok používania. Ak zhotoviteľ dostane úradnú žiadosť o vydanie údajov objednávateľa, je povinný – pokiaľ to zákon dovoľuje – o tom bezodkladne informovať objednávateľa a odkazať ho na príslušný orgán. Rovnako aj spracovanie údajov na vlastné účely zmluvného partnera vyžaduje písomný súhlas objednávateľa.
• Za posúdenie prípustnosti spracúvania podľa čl. 6 ods. 1 GDPR, ako aj za dodržiavanie práv dotknutých osôb podľa článkov 12 až 22 GDPR zodpovedá výlučne objednávateľ. Dodávateľ postúpi objednávateľovi všetky žiadosti, ktoré sú zreteľne adresované výlučne objednávateľovi.
• Povinnosti dodávateľa
  • Zhotoviteľ potvrdzuje, že je oboznámený s príslušnými predpismi o ochrane osobných údajov podľa GDPR, ktoré sa týkajú spracovania objednávok.
  • Zhotoviteľ právne záväzne vyhlasuje, že všetky osoby poverené spracovaním údajov zaviazal pred začatím činnosti k mlčanlivosti alebo že tieto osoby podliehajú primeranej zákonnej povinnosti mlčanlivosti. Povinnosť mlčanlivosti osôb poverených spracovaním údajov zostáva v platnosti aj po ukončení ich činnosti a odchode od zhotoviteľa.
  • Zhotoviteľ právne záväzne vyhlasuje, že prijal všetky potrebné opatrenia na zabezpečenie bezpečnosti spracúvania podľa článku 32 GDPR.
  • Zhotoviteľ zaručuje pre službu úroveň ochrany primeranú riziku pre práva a slobody fyzických osôb, ktorých sa spracovanie týka. Na tento účel sa zohľadňujú ciele ochrany uvedené v článku 32 ods. 1 GDPR, ako je dôvernosť, integrita a dostupnosť systémov a služieb, ako aj ich odolnosť vo vzťahu k druhu, rozsahu, okolnostiam a účelu spracúvania tak, aby sa prostredníctvom vhodných technických a organizačných nápravných opatrení trvalo obmedzilo riziko.
  • Zhotoviteľ vykonáva pri danej príležitosti, minimálne však raz ročne, kontrolu, posúdenie a hodnotenie účinnosti technických a organizačných opatrení na zabezpečenie bezpečnosti spracovania.
  • Zhotoviteľ prijme technické a organizačné opatrenia, aby objednávateľ mohol kedykoľvek v rámci zákonných lehôt splniť práva dotknutej osoby podľa kapitoly III GDPR (informácie, prístup, opravy a vymazanie, prenosnosť údajov, námietky, ako aj automatizované rozhodovanie v jednotlivých prípadoch) a poskytne objednávateľovi všetky potrebné informácie prostredníctvom webových a APP služieb. Ak je príslušná žiadosť adresovaná dodávateľovi a ten zistí, že žiadateľ ho omylom považuje za objednávateľa spracúvania údajov, ktoré prevádzkuje, dodávateľ je povinný žiadosť bezodkladne postúpiť objednávateľovi a informovať o tom žiadateľa.
  • Zhotoviteľ pomáha objednávateľovi pri plnení povinností uvedených v článkoch 32 až 36 GDPR (opatrenia na ochranu údajov, oznamovanie porušení ochrany osobných údajov dozornému orgánu, informovanie dotknutej osoby o porušení ochrany osobných údajov, posúdenie vplyvu na ochranu údajov, predchádzajúca konzultácia).
  • Pri plnení práv dotknutých osôb podľa článkov 12 až 22 GDPR zo strany objednávateľa, pri vytváraní zoznamov spracovateľských činností, ako aj pri nevyhnutných následných hodnoteniach ochrany údajov zo strany objednávateľa dodávateľ spolupracuje v potrebnom rozsahu a podporuje objednávateľa v primeranej miere a spôsobom, ktorý je primeraný.
  • Zhotoviteľ informuje objednávateľa o poruchách, porušeniach zo strany zhotoviteľa alebo osôb zamestnaných u neho, ako aj o porušeniach ustanovení o ochrane osobných údajov alebo ustanovení uvedených v objednávke, ako aj o podozreniach z porušenia ochrany osobných údajov alebo nezrovnalostiach pri spracúvaní osobných údajov. To platí aj s ohľadom na prípadné oznamovacie a informačné povinnosti objednávateľa podľa čl. 33 a čl. 34 GDPR. Zhotoviteľ v prípade potreby primeraným spôsobom podporuje objednávateľa pri plnení jeho povinností podľa čl. 33 a 34 GDPR.
  • Zhotoviteľ vytvorí pre dané spracovanie objednávky zoznam spracovania podľa článku 30 GDPR.
  • Zadávateľ má právo kedykoľvek nahliadnuť do údajov, ktoré poskytol, a kontrolovať ich, a to aj prostredníctvom tretích osôb, ktoré poveril, v zariadeniach na spracovanie údajov. Dodávateľ sa zaväzuje poskytnúť zadávateľovi informácie, ktoré sú potrebné na kontrolu dodržiavania povinností uvedených v tejto dohode.
  • Zhotoviteľ ponúka objednávateľovi prostredníctvom webových a APP služieb možnosť,
    • kedykoľvek stiahnuť jednotlivé alebo všetky obrázky a/alebo videá a/alebo
    • vymazať jednotlivé alebo všetky obrázky a/alebo videá na serveri dodávateľa.

V súlade s článkom 28 ods. 3 písm. g) GDPR sa spolu s vymazaním prístupových údajov (e-mailová adresa) na dobrovoľnej báze v aplikácii zadávajú aj ďalšie údaje (oslovenie, krstné meno, priezvisko) a obrázky a/alebo videá, ktoré zadal objednávateľ prostredníctvom webových a aplikačných služieb, sa všetky vymazané osobné údaje vymažú aj u dodávateľa a jeho subdodávateľov. Po ukončení nasledujúceho zálohovacieho cyklu sa údaje zo záložných kópií vymažú.

• Subdodávatelia
  • Zadávateľ udeľuje dodávateľovi všeobecné povolenie na použitie ďalších subdodávateľov v zmysle článku 28 GDPR na plnenie zmluvy. Pri tom je potrebné zabezpečiť, aby subdodávateľ prevzal rovnaké povinnosti, ktoré vyplývajú z tejto zmluvy pre dodávateľa. Ak subdodávateľ nespĺňa svoje povinnosti v oblasti ochrany údajov, dodávateľ zodpovedá objednávateľovi za dodržiavanie povinností subdodávateľa.
  • Zhotoviteľ oznámi objednávateľovi meno a adresu, ako aj plánovanú činnosť subdodávateľa na základe e-mailovej žiadosti (info@icuserver.com) Dodávateľ dbá na to, aby starostlivo vyberal subdodávateľov so zreteľom na vhodnosť technických a organizačných opatrení, ktoré títo prijali v zmysle článku 32 GDPR.