← Zpet na hlavni stranku

Zpracovatelska smlouva

Data Processing Agreement (DPA) dle clanku 28 narizeni Evropskeho parlamentu a Rady (EU) 2016/679 (GDPR)

1. Predmet a doba zpracovani

1. Tato Zpracovatelska smlouva (dale jen „Smlouva“) upravuje vzajemna prava a povinnosti Spravce a Zpracovatele pri zpracovani osobnich udaju v souladu s cl. 28 GDPR.
2. Zpracovatel zpracovava osobni udaje jmenem Spravce v ramci poskytovaani sluzby Corfuse Pass — SaaS platformy pro spravu a online prodej darkovych poukazu (voucheru).
3. Zpracovani osobnich udaju probiha po celou dobu trvani smluvniho vztahu mezi Spravcem a Zpracovatelem (tj. po dobu aktivniho uctu Spravce v platforme Corfuse Pass) a dale po dobu nezbytnou ke splneni pravnich povinnosti vyplyvajicich z platnych pravnich predpisu.

2. Povaha a ucel zpracovani

1. Ucelem zpracovani osobnich udaju je:
   1. umozneni online prodeje darkovych poukazu koncovym zakaznikum Spravce;
   2. sprava zivotniho cyklu voucheru (vytvoreni, zaplaceni, odeslani, uplatneni, expirace);
   3. vedeni evidence nakupu a uplatneni voucheru;
   4. sprava vernostniho programu Spravce (prirazovani a evidence vernostnich bodu);
   5. zasilani transakcnich e-mailu koncovym zakaznikum (potvrzeni nakupu, doruceni voucheru, upozorneni na expiraci);
   6. poskytovani statistik a prehledu Spravci.
2. Povaha zpracovani zahrnuje: shromazdovani, zaznamenavani, ukladani, strukturovani, vyhledavani, pouzivani, zpristupnovani prenosem, serazovani, mazani a niceni osobnich udaju, a to automatizovanymi prostredky (elektronicky).
3. Zpracovatel nezpracovava platebni udaje (cisla platebnich karet, pristupove udaje k platebnich uctum apod.). Platebni operace jsou realizovany primo platebni branou formou presmerovani (redirect model); Zpracovatel se s platebnimi udaji nedostava do kontaktu.

3. Typ osobnich udaju a kategorie subjektu udaju

3.1 Kategorie subjektu udaju

• Koncoví zákazníci Správce (fyzické osoby kupující nebo přijímající dárkové poukazy)

3.2 Kategorie osobních údajů

Kategorie	Konkrétní údaje	Povinnost/volitelnost
Identifikační údaje	Jméno a příjmení kupujícího / obdarovaného	Povinné
Kontaktní údaje	E-mailová adresa	Povinné
Kontaktní údaje	Telefonní číslo	Volitelné
Transakční údaje	Historie nákupů voucherů, údaje o uplatnění voucherů	Automaticky generované
Věrnostní údaje	Věrnostní body, historie jejich získání a čerpání	Automaticky generované

3. Zpracovatel nezpracovává žádné zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR.

4. Povinnosti Zpracovatele

4.1 Pokyny Správce

1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, a to včetně případů předání osobních údajů do třetí země nebo mezinárodní organizaci, ledaže mu zpracování ukládá právo Unie nebo členského státu (čl. 28 odst. 3 písm. a) GDPR).
2. Pokud se Zpracovatel domnívá, že pokyn Správce porušuje GDPR nebo jiné předpisy Unie či členského státu v oblasti ochrany údajů, neprodleně o tom Správce informuje.

4.2 Důvěrnost

1. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti (čl. 28 odst. 3 písm. b) GDPR).
2. Povinnost mlčenlivosti trvá i po ukončení smluvního vztahu.

4.3 Technická a organizační opatření (TOMs)

1. Zpracovatel přijme veškerá opatření požadovaná dle čl. 32 GDPR, zejména:
   1. šifrování osobních údajů při přenosu (TLS/HTTPS) i v klidu (encryption at rest);
   2. zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování;
   3. schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzického nebo technického incidentu (pravidelné zálohování);
   4. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření;
   5. řízení přístupu na základě principu nejmenších oprávnění (least privilege);
   6. vícefaktorová autentizace pro přístup k administraci platformy;
   7. logování přístupu k osobním údajům a monitoring bezpečnostních událostí.
2. Zpracovatel provozuje infrastrukturu na serverech umístěných v České republice / Evropské unii (viz čl. 8 této Smlouvy).

4.4 Sub-zpracovatelé

1. Správce uděluje Zpracovateli obecný písemný souhlas se zapojením dalších zpracovatelů (sub-zpracovatelů) ve smyslu čl. 28 odst. 2 GDPR.
2. Zpracovatel je povinen Správce informovat o veškerých zamýšlených změnách týkajících se přijetí dalších sub-zpracovatelů nebo jejich nahrazení, a poskytnout tak Správci příležitost proti těmto změnám vznést námitku. Informace bude poskytnuta e-mailem nejméně 30 dnů před zapojením nového sub-zpracovatele.
3. Aktuální seznam sub-zpracovatelů je uveden v čl. 7 této Smlouvy.
4. Zpracovatel zajistí, aby na každého sub-zpracovatele byly smluvně uloženy stejné povinnosti na ochranu osobních údajů, jaké jsou stanoveny v této Smlouvě (čl. 28 odst. 4 GDPR).
5. Zpracovatel zůstává vůči Správci plně odpovědný za plnění povinností sub-zpracovatele.

4.5 Pomoc při uplatňování práv subjektů údajů

1. Zpracovatel je povinen poskytnout Správci součinnost při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv dle kapitoly III GDPR (právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů, námitku) prostřednictvím vhodných technických a organizačních opatření (čl. 28 odst. 3 písm. e) GDPR).
2. Pokud se subjekt údajů obrátí se svou žádostí přímo na Zpracovatele, Zpracovatel žádost neprodleně předá Správci a informuje subjekt údajů o tomto postupu.

4.6 Pomoc při plnění povinností dle čl. 32–36 GDPR

1. Zpracovatel poskytne Správci součinnost při:
   1. zajištění souladu s povinností zabezpečení zpracování (čl. 32 GDPR);
   2. ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (čl. 33 GDPR);
   3. oznamování případů porušení zabezpečení osobních údajů subjektu údajů (čl. 34 GDPR);
   4. provádění posouzení vlivu na ochranu osobních údajů (DPIA) (čl. 35 GDPR);
   5. předchozí konzultaci s dozorovým úřadem (čl. 36 GDPR).

4.7 Smazání a vrácení dat

1. Po ukončení poskytování služeb spojených se zpracováním osobních údajů Zpracovatel dle rozhodnutí Správce všechny osobní údaje vymaže, nebo je vrátí Správci, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů (čl. 28 odst. 3 písm. g) GDPR).
2. Správce má možnost si před ukončením účtu data exportovat prostřednictvím funkce exportu v platformě Corfuse Pass.
3. Smazání osobních údajů bude provedeno nejpozději do 30 dnů od ukončení smluvního vztahu, nebude-li dohodnuto jinak nebo nebude-li to v rozporu s právními předpisy.

4.8 Audity a kontroly

1. Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje (čl. 28 odst. 3 písm. h) GDPR).
2. Správce je povinen oznámit záměr provést audit nejméně 30 dnů předem. Audit bude prováděn způsobem, který minimálně narušuje běžný provoz Zpracovatele, v pracovních dnech a v přiměřeném rozsahu.
3. Náklady auditu nese Správce, pokud audit neprokáže závažné porušení povinností Zpracovatele — v takovém případě náklady nese Zpracovatel.

5. Povinnosti Správce

1. Správce odpovídá za to, že zpracování osobních údajů prostřednictvím platformy Corfuse Pass je v souladu s GDPR a dalšími platnými předpisy na ochranu osobních údajů.
2. Správce je povinen zejména:
   1. zajistit existenci právního základu pro zpracování osobních údajů koncových zákazníků (čl. 6 GDPR);
   2. plnit informační povinnost vůči subjektům údajů (čl. 13 a 14 GDPR);
   3. reagovat na žádosti subjektů údajů o výkon jejich práv;
   4. poskytnout Zpracovateli pouze zákonné a přiměřené pokyny ke zpracování;
   5. neprodleně informovat Zpracovatele o jakýchkoli změnách majících vliv na zpracování osobních údajů.

6. Oznamování porušení zabezpečení osobních údajů (data breach)

1. Zpracovatel je povinen oznámit Správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 24 hodin od okamžiku, kdy se o porušení dozvěděl (čl. 33 odst. 2 GDPR).
2. Oznámení musí obsahovat alespoň:
   1. popis povahy porušení zabezpečení osobních údajů, včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného počtu dotčených záznamů osobních údajů;
   2. jméno a kontaktní údaje kontaktního místa, které může poskytnout bližší informace;
   3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
   4. popis přijatých nebo navrhovaných opatření k řešení porušení, včetně opatření ke zmírnění jeho případných nepříznivých dopadů.
3. Pokud není možné poskytnout všechny informace současně, Zpracovatel je poskytne postupně bez zbytečného odkladu.
4. Zpracovatel poskytne Správci veškerou součinnost potřebnou k tomu, aby Správce mohl splnit svou ohlašovací povinnost vůči dozorovému úřadu dle čl. 33 GDPR a oznamovací povinnost vůči subjektům údajů dle čl. 34 GDPR.

7. Sub-zpracovatelé

1. Ke dni účinnosti této Smlouvy Zpracovatel využívá následující sub-zpracovatele:

Sub-zpracovatel	Účel zpracování	Místo zpracování
Hosting provider (serverová infrastruktura)	Provoz aplikace, uložení dat, zálohování	ČR / EU
E-mail delivery service (služba pro doručování e-mailů)	Odesílání transakčních e-mailů koncovým zákazníkům (potvrzení nákupu, doručení voucheru, upozornění)	EU
Authentik (Identity Provider)	Autentizace a správa identit uživatelů platformy	ČR / EU (self-hosted)

2. Aktuální seznam sub-zpracovatelů je rovněž dostupný na webových stránkách platformy Corfuse Pass a Zpracovatel jej průběžně aktualizuje.
3. Správce má právo vznést námitku proti zapojení nového sub-zpracovatele do 14 dnů od obdržení oznámení dle čl. 4.4 odst. 2 této Smlouvy. Pokud Správce námitku vznese a strany nedospějí k dohodě do 30 dnů, má Správce právo tuto Smlouvu a související smlouvu o poskytování služeb vypovědět s výpovědní dobou 30 dnů.

8. Místo zpracování

1. Zpracování osobních údajů probíhá výhradně na území České republiky a Evropské unie (EU) / Evropského hospodářského prostoru (EHP).
2. Serverová infrastruktura (k3s cluster) je umístěna v České republice.
3. Zpracovatel nepředává osobní údaje do třetích zemí mimo EU/EHP. Pokud by k takovému předání mělo v budoucnu dojít (např. v důsledku změny sub-zpracovatele), Zpracovatel zajistí, aby byly splněny podmínky kapitoly V GDPR (čl. 44–49), a předem informuje Správce.

9. Doba trvání a ukončení

1. Tato Smlouva nabývá účinnosti dnem [DATUM] a je uzavřena na dobu neurčitou.
2. Smlouva je platná a účinná po celou dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem týkajícího se poskytování služby Corfuse Pass.
3. Tato Smlouva automaticky zaniká ukončením hlavního smluvního vztahu (smlouvy o poskytování služeb / obchodních podmínek platformy Corfuse Pass), a to z jakéhokoli důvodu.
4. Ustanovení této Smlouvy týkající se důvěrnosti (čl. 4.2), smazání a vrácení dat (čl. 4.7) a odpovědnosti přetrvávají i po ukončení této Smlouvy.

10. Závěrečná ustanovení

1. Tato Smlouva tvoří nedílnou součást smluvního vztahu mezi Správcem a Zpracovatelem (obchodních podmínek služby Corfuse Pass). V případě rozporu mezi touto Smlouvou a obchodními podmínkami mají v otázkách ochrany osobních údajů přednost ustanovení této Smlouvy.
2. Uzavřením smluvního vztahu se Zpracovatelem (registrací a akceptací obchodních podmínek platformy Corfuse Pass) Správce potvrzuje, že se seznámil s touto Smlouvou a souhlasí s jejím obsahem.
3. Změny a doplnění této Smlouvy jsou možné pouze písemnou formou (za písemnou formu se považuje i elektronická forma, např. e-mail nebo aktualizace dokumentu na webových stránkách platformy s prokazatelným oznámením Správci).
4. Tato Smlouva se řídí právním řádem České republiky, zejména nařízením (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
5. Případné spory vyplývající z této Smlouvy budou řešeny přednostně smírnou cestou. Nedojde-li k dohodě, je k rozhodnutí sporu příslušný věcně a místně příslušný soud České republiky.
6. Je-li nebo stane-li se některé ustanovení této Smlouvy neplatným nebo nevymahatelným, není tím dotčena platnost a vymahatelnost ostatních ustanovení. Smluvní strany se zavazují neplatné nebo nevymahatelné ustanovení nahradit ustanovením platným a vymahatelným, které se svým smyslem a účelem co nejvíce blíží původnímu ustanovení.
7. Tato Smlouva je vyhotovena v českém jazyce. V případě překladu do jiného jazyka je rozhodující české znění.