Zmluva o spracovaní osobných údajov

Nižšie nájdete zmluvu DPA medzi vami a spoločnosťou SuperSaaS, ktorú môžu kvôli nadchádzajúcemu GDPR potrebovať zákazníci so sídlom v EÚ. Ak ste prihlásení ako administrátor, budú v nižšie uvedených poliach predvyplnené údaje z vášho účtu. Upozorňujeme, že tento dokument je vo fáze konceptu a do doby, kedy nariadenie GDPR nadobudne účinnosť, sa môže jeho obsah zmeniť.


Zmluva o sprostredkovanom spracovaní osobných údajov: zmluva mezdi Správcom a Spracovateľom

Verzia: 1.0


medzi

a

[Meno]
[Adresa]

SuperSaaS B.V.
Keizersgracht 639
1077 KR Amsterdam
Holandsko

Ďalej len ako Správca

Ďalej len ako Spracovateľ


1 Úvod, rozsah plnenia, definície

  1. Táto zmluva ustanovuje práva a povinnosti Správcu a Spracovateľa (ďalej len Strany) v súvislosti so spracovaním osobných údajov v mene Správcu.
  2. Táto zmluva sa vzťahuje na všetky činnosti zamestnancov alebo subdodávateľov Spracovateľa, ktoré poveril spracovaním osobných údajov Správca.
  3. Pojmy použité v tejto zmluve sa chápu v súlade s ich príslušnými definíciami vo všeobecnom nariadení o ochrane údajov EÚ (GDPR). Okrem toho môžu byť vyhlásenia robené inou formou za predpokladu, že je zaručené vhodné overenie.

2 Rozsah a trvanie spracovania údajov

2.1 Rozsah

Spracovateľ vykoná nasledujúce procesy:

Poskytne webovú službu, ktorá koncovým používateľom Správcu umožní on-line vytváranie rezervácií. Poskytne webovú službu, ktorá Správcovi umožní spravovať tieto rezervácie a nahromadené dáta koncových používateľov.

2.2 Trvanie

Spracovávanie začína dňa [Dátum vytvorenia účtu] a bude vykonávané po dobu neurčitú, kým Správca neodstráni svoj účet SuperSaaS.

3 Povaha a účel zhromažďovania, spracovania a využívania údajov

3.1 Povaha a účel spracovania údajov

Spracovanie dát sa skladá z nasledujúcich činností: zhromažďovanie, triedenie, ukladanie, prenos, obmedzenie a mazanie údajov

Údaje sú spracovávané pre nasledujúci účel: Umožnenie koncovým používateľom Správcu on-line vytváranie rezervácií.

3.2 Druh údajov

Spracovávané sú nasledujúce údaje:

3.3 Kategórie dotknutých osôb

Spracovaním údajov sú dotknuté nasledujúce subjekty údajov:

4 Povinnosti Spracovateľa

  1. Spracovateľ osobné údaje spracúva len zmluvne dohodnutým spôsobom alebo podľa pokynov Správcu, s výnimkou prípadov, keď je spracovateľ zo zákona povinný vykonávať konkrétne spracovania údajov. Ak je Spracovateľ takými povinnosťami viazaný, je Spracovateľ povinný pred spracovaním údajov informovať Správcu, s výnimkou prípadov, keď by takéto oznámenie bolo nezákonné. Spracovateľ tiež údaje poskytnuté pre spracovanie nepoužije pre akýkoľvek iný účel, obzvlášť svoj vlastný.
  2. Spracovateľ potvrdzuje, že si je vedomý príslušných právnych predpisov o ochrane údajov. Musí dodržiavať zásady správneho spracovania údajov.
  3. Spracovateľ je pri spracovávaní údajov povinný zachovávať prísnu dôvernosť.
  4. Osoby, ktoré by mohli mať od Správcu k spracovávaným údajom prístup, musia byť písomne viazané mlčanlivosťou, ak je na to už nezaväzuje iná písomná dohoda.
  5. Spracovateľ zabezpečí, aby osoby, ktoré zamestnáva a ktoré spracúvajú údaje, boli informované o príslušných predpisoch týkajúcich sa ochrany údajov, ako aj o tejto zmluve ešte predtým, než začnú údaje spracovávať. Je potrebné pravidelne vykonávať primerané školenia a opatrenia. Spracovateľ zabezpečí, aby osoby poverené spracovaním údajov boli náležite poučené a priebežne kontrolované na dodržiavanie požiadaviek na ochranu údajov.
  6. V súvislosti so sprostredkovaným spracovaním dát musí Spracovateľ byť Správcovi nápomocný pri návrhu a aktualizácii zoznamu operácií spracovania a pri vytváraní posúdení ochrany údajov. Správcovi musí byť na požiadanie poskytnuté a okamžite sprístupnené všetky požadované údaje a dokumentácie.
  7. Ak by Správca podliehal kontrole dozorných úradov alebo iných orgánov, alebo ak by dotknuté osoby voči Správcovi uplatňovali akékoľvek práva, je Spracovateľ povinný v požadovanom rozsahu byť Správcovi nápomocný, ak sú dotknuté údaje spracovávané menom Správcu.
  8. Informácie môže Spracovateľ poskytovať tretím stranám len s predchádzajúcim súhlasom Správcu. Otázky zaslané priamo Spracovateľovi budú okamžite odovzdané Správcovi.
  9. Ak je Spracovateľ zo zákona povinný tak urobiť, vymenuje profesionálnu a spoľahlivú osobu ako autorizovaného poverenca pre ochranu osobných údajov. Musí byť zabezpečené, že táto poverená osoba nemá žiadne konflikty záujmov. V prípade akýchkoľvek pochybností môže Správca kontaktovať poverenú osobu pre ochranu osobných údajov priamo. Spracovateľ potom Správcovi bezodkladne zašle kontaktné údaje poverenej osoby pre ochranu osobných údajov alebo oznámi dôvod, prečo nie je poverená osoba pre ochranu osobných údajov menovaná. Spracovateľ bude neodkladne informovať Správcu o akýchkoľvek zmenách stavu poverenej osoby pre ochranu osobných údajov a o akýchkoľvek zmenách v jej úlohách v rámci spoločnosti.
  10. Akékoľvek spracovanie údajov sa môže vykonávať len v EÚ alebo EHS. Akákoľvek zmena týkajúca sa tretej krajiny sa môže uskutočniť so súhlasom Správcu a za podmienok stanovených v kapitole V nariadenia GDPR a tejto zmluvy.

5 Technické a organizačné opatrenia

  1. Opatrenia na ochranu údajov môžu byť upravené v súlade s neustálym technickým a organizačným vývojom, a to ak bolo v dostatočnej miere splnené dohodnuté minimum. Spracovateľ bezodkladne vykoná zmeny potrebné pre účely zaistenia bezpečnosti údajov. Správca musí byť o všetkých zmenách okamžite informovaný. Akékoľvek významné zmeny musia byť Stranami dojednané.
  2. Ak by bezpečnostné opatrenia prijaté Spracovateľom neboli dostatočné, alebo by prestali byť dostatočné, musí Spracovateľ bezodkladne informovať Správcu.
  3. Bez vedomia Správcu nebudú vytvárané kópie alebo duplikáty. Výnimkou sú akékoľvek technicky nevyhnutné dočasné duplikáty, za predpokladu, že je vylúčený akýkoľvek nepriaznivý vplyv na dohodnutú úroveň ochrany údajov.
  4. Ak sú údaje spracovávané v súkromnom objekte, Spracovateľ zabezpečí zachovanie dostatočnej úrovne ochrany údajov a bezpečnosti údajov a ďalej zabezpečí, aby bolo v súkromnom objekte bez obmedzenia možné uplatniť práva Správcu na dozor tak, ako sú dohodnuté v tejto zmluve.
  5. Vyhradené dátové médiá, ktoré pochádzajú od Správcu alebo ktoré sú použité pre Spracovateľa, musia byť špeciálne označené a sú predmetom priebežnej správy. Musia byť po celý čas správne uchovávané a nesmú byť prístupné neoprávneným osobám. Akákoľvek odstránenie a vrátenie musí byť zdokumentované.

6 Ustanovenie o opravách, mazanie a blokovanie údajov

  1. V rozsahu údajov spracovaných menom Správcu môže Spracovateľ opraviť, vymazať alebo zablokovať údaje len v súlade so zmluvnou dohodou alebo na základe inštrukcií Správcu.
  2. Spracovateľ vyhovie príslušným pokynom získaným od Správcu vždy, a to aj po ukončení tejto zmluvy.

7 Subdodávky

  1. Subdodávatelia môžu byť vymenovaní len v jednotlivých prípadoch a s písomným súhlasom Správcu.
  2. Súhlas je možný, iba ak subdodávateľ podlieha zmluvnému minimu povinností ochrany údajov, ktoré sú porovnateľné s povinnosťami stanovenými v tejto zmluve. Správca na požiadanie skontroluje príslušné zmluvy medzi Spracovateľom a subdodávateľom.
  3. Práva Správcu musia byť tiež účinne uplatniteľné voči subdodávateľovi. Správca musí mať najmä právo vykonávať kontroly alebo nechať vykonávať kontroly tretími stranami v rozsahu uvedenom tu.
  4. Zodpovednosti Správcu a subdodávateľa musia byť jednoznačne rozlíšené.
  5. Akékoľvek ďalšie subdodávky vykonávané subdodávateľom nie sú povolené.
  6. Spracovateľ zvolí subdodávateľa najmä na základe zváženia vhodnosti technických a organizačných opatrení prijatých subdodávateľom.
  7. Akýkoľvek prenos dát spracúvaných menom Správcu subdodávateľmi je povolený len po tom, ako Spracovateľ predloží presvedčivú dokumentáciu toho, že subdodávateľ v plnom rozsahu plní svoje povinnosti.
  8. Určenie subdodávateľov, ktorí spracovávajú údaje v mene Správcu a ktorí nesídlia a nepôsobia výhradne v rámci EÚ alebo EHS, je možné len v súlade s podmienkami uvedenými v kapitole 4 (10) tejto zmluvy. Toto je najmä prípustné len vtedy, ak subdodávateľ prijme primerané opatrenia na ochranu údajov. Spracovateľ informuje Správcu o konkrétnych zárukách ochrany dát poskytnutých subdodávateľom a o tom, ako ich je možné preukázať.
  9. Spracovateľ musí pravidelne kontrolovať, či subdodávateľ plní svoje povinnosti avšak minimálne každých 12 mesiacov. Kontrola a jej výsledky sa dokumentujú tak, aby boli zrozumiteľné kvalifikovanej tretej strane. Dokumentácia musí byť Správcovi odovzdaná bez vyžiadania.
  10. Ak subdodávateľ nesplní svoje povinnosti týkajúce sa ochrany údajov, Spracovateľ bude za to Správcovi zodpovedný.
  11. Subdodávateľstvom sa na účely tejto zmluvy chápu iba tie služby, ktoré sa priamo týkajú poskytovania primárnej služby. Nie sú ním doplnkové služby, ako je doprava, údržba a čistenie, ani používanie telekomunikačných alebo používateľských služieb. Povinnosť Spracovateľa je zabezpečiť, aby v týchto prípadoch bola zabezpečená riadna ochrana údajov a bezpečnosť údajov zostane nedotknutá.

8 Práva a povinnosti Správcu

  1. Za posúdenie prípustnosti požadovaného spracovania a práv dotknutých strán zodpovedá výhradne Správca.
  2. Správca zdokumentuje všetky objednávky, čiastkové objednávky alebo pokyny. V naliehavých prípadoch možno pokyny vydať verbálne. Tieto pokyny Správca okamžite potvrdí a zdokumentuje.
  3. Správca bezodkladne Spracovateľa upozorní, ak nájde chyby alebo nezrovnalosti pri kontrole výsledkov spracovania.
  4. Správca je oprávnený vymenovať nezávislého audítora tretej strany, ktorý má požadovanú odbornú kvalifikáciu, je viazaný povinnosťou zachovať dôvernosť a je pre Spracovateľa primerane prijateľný, a to za účelom kontroly, či Spracovateľ dodržiava túto Zmluvu o spracovaní osobných údajov a platnú vyžadovanú legislatívu týkajúcu sa ochrany údajov. Týmto sa overí pravdivosť a úplnosť vyhlásenia, ktoré Spracovateľ predkladá v rámci tejto Zmluvy o spracovaní osobných údajov. Právo Správcu na audit musí podliehať predchádzajúcemu písomnému oznámeniu Spracovateľovi najmenej 4 týždne pred takýmto auditom. Správca znáša všetky náklady spojené s auditom.
  5. Kontroly v priestoroch Spracovateľa musia byť vykonávané bez akýchkoľvek zbytočných narušení chodu jeho podnikania. Ak nie je uvedené inak z naliehavých dôvodov, ktoré musí Správca zdokumentovať, sú kontroly vykonávané po primeranom predchádzajúcom oznámení a počas pracovnej doby Spracovateľa, a nie častejšie ako raz za 12 mesiacov. Ak Spracovateľ predloží dôkazy o správnej implementácii dojednaných povinností ochrany údajov, obmedzia sa akékoľvej kontroly len na vzorky.

9 Oznamovacie povinnosti

  1. Spracovateľ bezodkladne oznámi Správcovi akékoľvek porušenie zabezpečenia osobných údajov. Oznámený musí byť aj akýkoľvek oprávnene podozrivý prípad. Oznámenie musí byť doručené na jednu zo známych adries Správcu do 24 hodín od okamihu, keď Spracovateľ zistí, že k príslušnej udalosti došlo. Toto oznámenie obsahuje aspoň tieto informácie:
    1. Opis typu porušeniu ochrany osobných údajov a, ak je to možné, potom aj kategórie a približný počet dotknutých osôb, ako aj príslušné kategórie a približný počet súborov s osobnými údajmi;
    2. Meno a kontaktné údaje poverenca pre ochranu osobných údajov alebo iného kontaktného miesta pre získanie ďalších informácií;
    3. Opis pravdepodobných dôsledkôv porušenia ochrany osobných údajov;
    4. Opis opatrení prijatých alebo navrhnutých Spracovateľom s cieľom napraviť porušenie ochrany osobných údajov a, kde je to možné, tiež opatrenia na zníženie nepriaznivých účinkov.
  2. Správca musí byť taktiež bezodkladne informovaný o akýchkoľvek významných prekážkach pri plnení tejto úlohy, ako aj o porušení právnych ustanovení o ochrane údajov alebo ustanovení tejto zmluvy Spracovateľom alebo osobou, ktorú zamestnáva.
  3. Spracovateľ bezodkladne informuje Správcu o akýchkoľvek kontrolách alebo opatreniach vykonaných orgánom dohľadu alebo inými tretími stranami, pokiaľ sa sprostredkovaného spracovania údajov týkajú.
  4. Spracovateľ zabezpečí, aby bol Správca v týchto povinnostiach v nevyhnutnom rozsahu podporovaný v súlade s čl. 33 a čl. 34 nariadenia GDPR.

10 Pokyny

  1. Správca si vyhradzuje plné právo vydávať pokyny týkajúce sa spracovania dát v jeho mene.
  2. Spracovateľ okamžite informuje Správcu, ak by podľa jeho názoru pokyn vydaný Správcom porušil zákonné požiadavky. Spracovateľ má právo zdržať sa vykonania príslušných pokynov, kým nie sú potvrdené alebo zmenené zodpovednou stranou menom Správcu.
  3. Správca musí vydané pokyny aj ich implementáciu dokumentovať.

11 Ukončenie sprostredkovaného spracovávania

  1. Pri ukončení zmluvného vzťahu alebo kedykoľvek na požiadanie Správcu musí Spracovateľ údaje spracovávané ako súčasť zadania buď zničiť, alebo ich odovzdať Správcovi, a to v závislosti od rozhodnutia Správcu. Zničené musia byť i akékoľvek existujúce kópie údajov. Údaje musia byť zničené spôsobom, ktorý znemožňuje obnovenie alebo znovuvytvorenie zostávajúcich informácií aj pri vyvinutí značného úsilia.
  2. Spracovateľ je povinný bezodkladne zabezpečiť vrátenie údajov od subdodávateľov alebo výmaz u subdodávateľov.
  3. Akúkoľvek dokumentáciu, ktorá slúži ako dôkaz o riadnom spracovaní údajov, uchová Spracovateľ podľa príslušných lehôt pre uchovávanie, vrátane zákonnej lehoty po skončení platnosti zmluvy. Akonáhle zmluvné záväzky Spracovateľa skončia, môže príslušnú dokumentáciu predložiť Správcovi.

12 Odmena

Odmena pre Spracovateľa je jednoznačne stanovená v Podmienkach použitia. V tejto zmluve nie je stanovená samostatná odmena alebo náhrada.

13 Zodpovednosť

  1. Správca zodpovedá za náhradu škody komukoľvek za škody spôsobené akoukoľvek neoprávnenou stranou alebo za nesprávne spracovanie údajov v rámci tejto zmluvy.
  2. Správca nesie dôkazné bremeno o preukázaní, že je škoda dôsledkom okolností, za ktoré zodpovedá Spracovateľ, ak boli dané údaje spracované podľa tejto zmluvy. Pokiaľ tento dôkaz nie je predložený, potom Správca, ak je k tomu vyzvaný, Spracovateľa zbaví všetkých nárokov, ktoré boli voči nemu uplatnené v súvislosti so spracovaním údajov.
  3. Spracovateľ je voči Správcovi zodpovedný za akékoľvek škody zavinené Spracovateľom, jeho zamestnancami, jeho subdodávateľmi alebo agentúrou konajúcou na základe zmluvy v súvislosti s poskytnutím požadovanej zmluvnej služby.
  4. Zodpovednosť Spracovateľa je obmedzená sumou, ktorú Správca zaplatil Spracovateľovi v priebehu dvoch rokov predchádzajúcich udalosti, ktorá zodpovednosť spôsobila.
  5. Ustanovenia 13 (2) a 13 (3) nie sú uplatnené, ak škoda vznikla v dôsledku správnej realizácie požadovanej služby alebo pokynu poskytnutého Správcom.

14 Právo na mimoriadne ukončenie

  1. Správca môže túto zmluvu kedykoľvek bez predchádzajúceho upozornenia ukončiť ("mimoriadne ukončenie"), ak na strane Spracovateľa dôjde k závažnému porušeniu predpisov na ochranu osobných údajov alebo ustanovenia tejto zmluvy, ak Spracovateľ nemôže vykonať alebo nevykoná zákonné pokyny klienta alebo ak Spracovateľ v rozpore s touto zmluvou odmietne akceptovať práva na dohľad Správcu.
  2. Závažným porušením sa myslí najmä, ak Spracovateľ podstatnou mierou nesplnil alebo nedokázal splniť povinnosti ustanovené v tejto zmluve, osobitne pre technické a organizačné opatrenia.
  3. Pri málo významnom porušení Správca poskytne Spracovateľovi primeraný čas na nápravu situácie. Pokiaľ nedôjde k náležitej náprave situácie, má Správca nárok na mimoriadne ukončenie podľa tu uvedených podmienok.

15 Rôzne

  1. Obe strany sú povinné zaobchádzať dôverne so všetkými informáciami o obchodnom tajomstve a o opatreniach týkajúcich sa bezpečnosti údajov, ktoré druhá strana získala v rámci zmluvného vzťahu, a to aj po skončení zmluvy. Ak existujú pochybnosti o tom, či informácie podliehajú dôvernosti, musí sa s nimi zaobchádzať dôverne, kým nie je prijatý písomný súhlas druhej strany.
  2. V prípade, že je majetok Spracovateľa ohrozený opatreniami tretích strán (napr. zhabaním alebo konfiškáciou), insolvenčným alebo vyrovnávacím konaním alebo inými udalosťami, Spracovateľ na tieto skutočnosti bezodkladne upozorní Správcu.
  3. Ak sú niektoré časti tejto zmluvy neplatné, nemá toto vplyv na platnosť zostávajúcich častí zmluvy.
  4. V prípade rozdielu v preklade medzi slovenskou a anglickou verziou platí anglická, pozri Data Processing Agreement