CZEN
Vyzkoušet zdarma Přihlásit se

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 

TATO SMLOUVA (Smlouva) byla uzavřena mezi:

 

(1)            recruitis.io s.r.o., se sídlem Chmelova 357/2, PSČ 500 03, Hradec Králové, Česká republika, Evropská Unie, IČO: 275 08 391, zapsanou v obchodním rejstříku vedeném Krajským soudem v Hradci Králové, sp. zn. C 23184 (Zpracovatel); a

 

(2)           zákazníkem Zpracovatele na základě Smlouvy o poskytování služeb (jak je definována níže) („Správce“)

 

(dále též jako „Strany“ nebo jednotlivě jako „Strana“).

 

1.              PŘEDMĚT SMLOUVY

1.1            Správce a Zpracovatel uzavřeli smlouvu o poskytování služeb („Smlouva o poskytování služeb“), přičemž „Službou“ se rozumí veškeré služby a jiné činnosti, které mají být poskytnuty nebo provedeny na základě Smlouvy o poskytování služeb, zejména přístup do služby Onbee.app (dříve Onboardee) nabízené na webové stránce www.onbee.app. Tato Smlouva tvoří nedílnou součást Smlouvy o poskytování služeb.

1.2           Správce touto Smlouvou pověřuje Zpracovatele zpracováním Osobních údajů (jak jsou definovány níže) za podmínek a v rozsahu stanoveném v této Smlouvě a Zpracovatel toto pověření přijímá.

1.3           Strany výslovně uvádí, že tato Smlouva je smlouvou o zpracování osobních údajů ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně osobních údajů („GDPR“), přičemž Správce je ve vztahu k Osobním údajům správcem a Zpracovatel je ve vztahu k Osobním údajům zpracovatelem.

2.             ÚČEL A ZPŮSOB ZPRACOVÁNÍ

2.1           Zpracovatel zpracovává Osobní údaje v rámci a za účelem poskytování Služby na základě Smlouvy o poskytování služeb, jak je dále specifikováno v Příloze č. 1 této Smlouvy.

2.2           Zpracovatel je povinen zpracování Osobních údajů provádět následujícím způsobem:

2.2.1           tvorbou a správou databáze a souborů uložených na chráněném k tomu určeném cloudovém úložišti provozovaném Zpracovatelem nebo jím smluvně pověřenou další osobou v souladu s touto Smlouvou, a to prostřednictvím ukládání, editování, archivace a mazání osobních údajů.

3.             ROZSAH ZPRACOVÁVANÝCH ÚDAJŮ

3.1           Typ osobních údajů, které je Zpracovatel povinen zpracovávat („Osobní údaje“), a kategorie subjektů údajů, jejichž Osobní údaje jsou zpracovávány, jsou uvedeny v Příloze č. 1 této Smlouvy.

3.2           Správce je oprávněn v rámci Služby vytvářet jednotlivé kategorie údajů, které má/může subjekt údajů vyplnit, přičemž se mohou lišit od typu Osobních údajů uvedených v Příloze č. 1 této Smlouvy. Správce tak v rámci Služby nastavuje rozsah údajů, které mají být prostřednictvím Služby shromažďovány. Veškeré osobní údaje, které jsou v rámci takto nastavených kategorií prostřednictvím Služby shromážděny, se považují za Osobní údaje dle této Smlouvy a Zpracovatel je povinen je zpracovávat v souladu s ustanoveními této Smlouvy.

3.3           V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné osobní údaje subjektů údajů uvedených v Příloze č. 1 této Smlouvy nebo Zpracovateli budou poskytnuty osobní údaje jiných subjektů údajů, považují se tyto osobní údaje za Osobní údaje dle této Smlouvy a Zpracovatel je povinen je zpracovávat v souladu s ustanoveními této Smlouvy.

4.             DOBA ZPRACOVÁNÍ

4.1           Zpracovatel je oprávněn zpracovávat Osobní údaje pouze po dobu účinnosti této Smlouvy, nikoli však déle než po dobu, která je (v každém jednotlivém případě) nezbytně nutná k dosažení účelu zpracování podle této Smlouvy.

5.             ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ

5.1           Zpracovatel je povinen přijmout veškerá opatření nezbytná k tomu, aby byla chráněna práva a soukromí subjektů údajů. Zpracovatel je zejména povinen přijmout veškerá opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů neoprávněnými osobami. Za tím účelem se Zpracovatel zavazuje přijmout technická a organizační opatření k zabezpečení ochrany Osobních údajů uvedená v Příloze č. 2 této Smlouvy.

5.2           Zpracovatel je povinen zajistit proškolení svých zaměstnanců o povinnostech, které mají při zpracování Osobních údajů podle této Smlouvy, zejména o povinnosti zachovávat mlčenlivost o těchto Osobních údajích a o technických a organizačních opatřeních k zabezpečení ochrany Osobních údajů.

6.             POVINNOSTI ZPRACOVATELE

6.1           Zpracovatel je povinen zpracovávat Osobní údaje v souladu s platnými právními předpisy, zejména v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, v platném znění („Zákon“) a GDPR.

6.2           Zpracovatel je povinen jednat pouze na základě doložitelných instrukcí a pokynů Správce. Zpracovatel neprodleně informuje Správce, pokud pokyny Správce podle jeho názoru porušují GDPR nebo platné právní předpisy Evropské unie nebo členského státu Evropské unie týkající se ochrany osobních údajů.

6.3           Zpracovatel je povinen zpracovávat Osobní údaje pouze v rozsahu, po dobu a pro účely uvedené v této Smlouvě.

6.4           Výše uvedené omezení neplatí v případech, kdy je Zpracovatel povinen Osobní údaje nebo jejich část poskytnout třetí osobě na základě platného právního předpisu.

6.5           Zpracovatel nesmí předávat Osobní údaje mimo členské státy Evropské unie bez předchozího písemného souhlasu nebo pokynu Správce.

6.6           Zpracovatel je oprávněn zpracovávat Osobní údaje mimo členské státy Evropské unie pouze na základě předchozího písemného pokynu Správce.

6.7           Zpracovatel je povinen při ukončení této Smlouvy na základě písemného pokynu Správce předat Správci veškeré Osobní údaje prostřednictvím Služby, je-li to prakticky možné, a na základě písemného pokynu Správce vymazat veškeré Osobní údaje ze svých systémů či databází. Nedá-li Správce Zpracovateli pokyn k výmazu Osobních údajů do 30 dnů od ukončení této Smlouvy, vymaže Zpracovatel veškeré Osobní údaje. Ohledně ukončení spolupráce Stran při zpracování Osobních údajů je Zpracovatel povinen postupovat dle instrukcí a v souladu s oprávněnými požadavky Správce.

6.8          Pokud tak vyžadují předpisy na ochranu osobních údajů, Zpracovatel je povinen na vlastní náklady uchovávat úplné a přesné záznamy o zpracování Osobních údajů. Zpracovatel je dále povinen během trvání této Smlouvy Správci umožnit kontrolu zpracování Osobních údajů prováděného Zpracovatelem, a to tak, že Správci kdykoli během své běžné pracovní doby umožní vzdálený přístup do svých systémů využívaných ke zpracování Osobních údajů v rozsahu nezbytném k provedené kontroly, zejména může Zpracovatel zpřístupnit Správci k nahlédnutí dokumentaci ohledně bezpečnostních opatření implementovaných u Zpracovatele. Správce je rovněž oprávněn provést penetrační test do systémů Zpracovatele využívaných ke zpracování Osobních údajů či si vyžádat jeho provedení. Správce písemně oznámí Zpracovateli svůj úmysl provést kontrolu nejméně pět (5) pracovních dní přede dnem konání kontroly, v případě žádosti o penetrační test je Správce povinen zaslat písemnou žádost o penetrační test Zpracovateli nejméně patnáct (15) pracovních dní přede dnem takového testu. Každá Strana ponese své vlastní náklady spojené s provedením uvedené kontroly, avšak v případě penetračního testu nese veškeré náklady na takový test Správce. Pokud bude vyžadovat Správce provedení více než jedné kontroly ročně, ponese veškeré náklady spojené s takovými dodatečnými kontrolami sám Správce.

7.             ÚČAST JINÝCH OSOB NA ZPRACOVÁNÍ

7.1            Zpracovatel je oprávněn poskytnout Osobní údaje ke zpracování jiné osobě pouze na základě písemného souhlasu Správce a pokud Zpracovatel uzavře s takovou jinou osobou smlouvu o zpracování Osobních údajů za stejných podmínek, jaké jsou stanoveny v této Smlouvě, zejména podmínek týkajících se zajištění dostatečných záruk při zavedení vhodných technických a organizačních opatření.

7.2           Správce tímto uděluje obecný souhlas se zapojením dalších zpracovatelů do zpracování Osobních údajů a zároveň souhlasí s pověřením dalších zpracovatelů dle článku 7.3 a Přílohy č. 3 této Smlouvy. Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení alespoň dvacet (20) dnů předem. Správce je oprávněn vůči oznámeným změnám vznést písemné odůvodněné námitky do deseti (10) dnů po jejich oznámení Zpracovatelem. Pokud tak Správce neučiní, má se za to, že žádné námitky nemá.

7.3           Další zpracovatelé zapojeni do zpracování Osobních údajů ke dni uzavření této Smlouvy jsou uvedeni v Příloze č. 3 této Smlouvy.

8.             SOUČINNOST ZPRACOVATELE

8.1           Zpracovatel je povinen poskytnout Správci veškerou součinnost nezbytnou pro dosažení účelu této Smlouvy, pro ochranu Osobních údajů před jejich zneužitím a dodržování platných právních předpisů při nakládání s Osobními údaji, a to zejména při plnění povinností Správce dle článku 32 až 36 GDPR.

8.2          Zpracovatel je povinen na vlastní náklady poskytnout Správci na jeho žádost a v jím poskytnuté lhůtě takové informace, které bude Správce požadovat za účelem plnění svých povinností vůči subjektům údajů, včetně povinnosti poskytnout přístup k Osobním údajům, či povinností vyplývajících z opatření k nápravě či jiného pokynu ze strany dozorového úřadu („Úřad“).

8.3          Zpracovatel je povinen oznámit Správci (a doručit mu kopie příslušných dokumentů) jakékoli žádosti, stížnosti, oznámení či jakékoli jiné formy komunikace, které obdrží od subjektů údajů, Úřadu nebo jakéhokoli orgánu veřejné moci v souvislosti se zpracováním Osobních údajů na základě této Smlouvy. Zpracovatel je oprávněn odpovídat na výše uvedené pouze s předchozím souhlasem a na základě instrukcí Správce.

8.4          Zpracovatel je povinen poskytnout Správci přiměřenou součinnost v případě, že bude v souvislosti se zpracováním Osobních údajů na základě této Smlouvy zahájeno jakékoli řízení u Úřadu, soudu či jiného orgánu veřejné moci (anebo bude zahájení takového řízení hrozit). V případě zahájení takového řízení je Zpracovatel oprávněn činit veškeré kroky pouze se souhlasem a na základě instrukcí Správce.

8.5           Zpracovatel je povinen informovat Správce o jakýchkoli závažných problémech či obtížích při plnění této Smlouvy, jakož i o jakýchkoli závažných okolnostech týkajících se nastalého či hrozícího porušení povinností podle této Smlouvy. V takovém případě je Zpracovatel povinen přijmout taková opatření, aby zajistil náležitou ochranu Osobních údajů.

8.6          Zpracovatel je povinen bez zbytečného odkladu, nejpozději do sedmdesáti dvou (72) hodin od okamžiku, kdy se o něm dozvěděl on či jeho zaměstnanci, ohlásit Správci jakékoli porušení zabezpečení osobních údajů („Porušení zabezpečení“) a poskytne Správci detailní popis daného případu Porušení zabezpečení včetně kategorií a přibližného množství dotčených Osobních údajů a kategorií a přibližného počtu dotčených subjektů údajů, příp. identity subjektů údajů dotčených takovým porušením, jsou-li známé, a jakékoli další informace, které může Správce nebo dozorový úřad požadovat. Zpracovatel se zavazuje okamžitě podniknout na vlastní náklady příslušné kroky, aby (i) vyšetřil Porušení zabezpečení, (ii) identifikoval, zabránil a zmírnil důsledky takového Porušení zabezpečení, a (iii) poskytl Správci přiměřenou součinnost při ohlašování Porušení zabezpečení dozorového úřadu a/nebo subjektům údajů. Zpracovatel se zavazuje komunikovat a spolupracovat se Správcem v souvislosti s Porušením zabezpečení a bude Správce informovat o aktuálním stavu, dokud nebude celá záležitost uzavřena.

9.             ZPŮSOB PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ

9.1           Strany se dohodly, že kontaktními osobami pro účely běžné komunikace Stran při plnění této Smlouvy budou:

(a)               u Správce uvedeny v nastavení systému Služby;

(b)              u Zpracovatele: Štěpán Bartyzal tel: +420602123898, e-mail: stepan@onbee.app.

10.          PROHLÁŠENÍ SPRÁVCE

10.1         Správce prohlašuje, že při shromažďování Osobních údajů postupoval v souladu s platnými právními předpisy, a že v případech stanovených Zákonem a GDPR obdržel souhlas subjektů údajů a splnil vůči Úřadu veškeré zákonné požadavky.

10.2        Správce prohlašuje, že Zpracovateli poskytne veškerou součinnost nezbytnou pro dosažení účelu této Smlouvy, pro ochranu Osobních údajů před jejich zneužitím a pro dodržování platných právních předpisů při nakládání s Osobními údaji.

11.           DŮVĚRNOST INFORMACÍ

11.1          Ustanovení této Smlouvy jsou důvěrná a žádná ze Stran je nesmí sdělit ani zpřístupnit jakékoli třetí straně bez předchozího písemného souhlasu druhé Strany. Toto omezení neplatí pro zpřístupnění informací:

11.1.1          vyžadovaném právním předpisem nebo rozhodnutím vydaným příslušným orgánem veřejné moci; Strana, která je k takovému zpřístupnění informací povinna, musí vyvinout maximální úsilí, aby o tom před zpřístupněním informací informovala druhou Stranu; nebo

11.1.2          odborným poradcům kterékoli ze Stran, pokud jsou vázáni povinností mlčenlivosti minimálně ve stejném rozsahu, jaký obsahuje tato Smlouva.

12.          TRVÁNÍ SMLOUVY

12.1         Tato Smlouva je uzavřena na dobu účinnosti Smlouvy o poskytování služeb, nikoliv však na dobu delší, než je nezbytné pro dosažení účelu zpracování.

12.2        Tato Smlouva může být vypovězena pouze z důvodů stanovených ve Smlouvě o poskytování služeb nebo na základě příslušných právních předpisů.

13.          ZÁVĚREČNÁ USTANOVENÍ

13.1         S výjimkou případů, kdy je v této Smlouvě výslovně stanoven opak, každá Strana je povinna nést veškeré náklady a výdaje, které jí vznikly v souvislosti s uzavřením a plněním dle této Smlouvy.

13.2        Žádná práva nebo povinnosti z této Smlouvy nemohou být postoupena nebo převedena bez předchozího písemného souhlasu druhé Strany.

13.3        Neúčinnost nebo neplatnost kteréhokoli ustanovení této Smlouvy, ať již celého nebo jen jeho části, nemá vliv na účinnost nebo platnost zbytku této Smlouvy. V případě, že se kterékoli ustanovení této Smlouvy stane z jakéhokoli důvodu neúčinné nebo neplatné, Strany jsou povinny se o tom informovat a dohodnout se na právně přijatelném řešení, kterým by dosáhly obchodních cílů obsažených v těchto neúčinných a/nebo neplatných ustanovení této Smlouvy.

13.4        Tato Smlouva může být platně a účinně změněna pouze formou písemných dodatků přijatých oběma Stranami.

13.5        V souladu s § 562 odst. 1 zákona č. 89/2012 Sb., občanský zákoník, v platném znění, je písemná forma jakéhokoliv právního jednání dle této Smlouvy, tj. zejména dodatku, pokynu či souhlasu dle této Smlouvy, zachována i při právním jednání učiněném elektronickými nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby.

13.6        Neuplatnění ani prodlení kterékoli Strany s uplatněním jakéhokoli práva dle této Smlouvy a žádná forma jednání mezi Stranami nebude vykládána ani nebude fungovat jako vzdání se takového práva, ani žádné jednotlivé ani částečné uplatnění jakéhokoli práva nebude bránit jinému nebo dalšímu jeho uplatnění nebo uplatnění jakéhokoli jiného práva.

13.7         Tato Smlouva je vyhotovena v českém jazyce.

13.8        Veškeré spory, nároky nebo jakékoli neshody vyplývající z této Smlouvy nebo v souvislosti s ní, které budou předmětem sporu mezi Stranami (včetně otázek vztahujících se k její platnosti, účinnosti a výkladu), budou předloženy k rozhodnutí příslušnému soudu v České republice.

13.9        Tato Smlouva i jakékoli mimosmluvní povinnosti z ní nebo v souvislosti s ní vyplývající se řídí a musí být vykládány v souladu s českým právem, bez ohledu na ustanovení kolizních norem.

Příloha č. 1

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 

Kategorie subjektů údajů

Typ osobních údajů

Účely zpracování

Potenciální zaměstnanci Správce

Jméno, příjmení, rodné číslo, pohlaví

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

 

Soukromá e-mailová adresa, soukromé telefonní číslo

Zdravotní pojišťovna, bankovní spojení

Odkaz na osobní profil na LinkedIn a jiné relevantní sociální sítě, životopis v různých elektronických podobách (.doc, .pdf atp.), fotografie, odpověď na pracovní nabídku (průvodní dopis tzv. motivační dopis), relevantní informace o průběhu a výsledku pohovoru

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee)

Zaměstnanci Správce

Jméno, příjmení, rodné příjmení, rodné číslo, datum narození, místo narození, pohlaví, akademický titul, číslo průkazu totožnosti, datum vydání a datum ukončení platnosti průkazu totožnosti, státní příslušnost/občanství, fotografie, rodinný stav

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

 

Soukromá e-mailová adresa, pracovní e-mailová adresa, soukromé telefonní číslo, adresa bydliště, korespondenční adresa

Diplom o nejvyšším dosaženém vzdělání, dovednosti, pracovní povolení

Pracovní pozice/role, datum nástupu

Evidence pracovní doby

Pracovní výsledky a další materiály související s výkonem a hodnocením práce, kariérní plány

Zdravotní údaje, zdravotní pojišťovna, emergency kontakt

Mzdové údaje, bankovní spojení

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee) 

Bývalí zaměstnanci Správce

Jméno, příjmení

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

 

Soukromá e-mailová adresa

Osobní údaje bývalého zaměstnance, které má zaměstnavatel povinnost evidovat, příp. má oprávněný zájem je evidovat

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee) 

Potenciální smluvní dodavatelé Správce

Jméno, příjmení, obchodní jméno, identifikační číslo (IČO), daňové identifikační číslo (DIČ), údaje v obchodním rejstříku

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

Soukromá e-mailová adresa, soukromé telefonní číslo, adresa

Bankovní spojení, fakturační údaje

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee) 

Smluvní dodavatelé Správce

Jméno, příjmení, obchodní jméno, identifikační číslo (IČO), daňové identifikační číslo (DIČ), fotografie, údaje v obchodním rejstříku

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

Soukromá e-mailová adresa, soukromé telefonní číslo, adresa

Bankovní spojení, fakturační údaje

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee) 

Bývalí smluvní dodavatelé Správce

Jméno, příjmení

Provozování nástroje Onbee.app (dříve Onboardee), včetně:

·       nastavení a správy přístupu Správce (a jeho zaměstnanců) do Účtu v rámci Služby (jak je definován v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onbee.app)

·       nastavení a správy přístupu zaměstnanců, potenciálních zaměstnanců, bývalých zaměstnanců, smluvních dodavatelů, potenciálních smluvních dodavatelů a bývalých smluvních dodavatelů do Podúčtů v rámci Služby (jak jsou definovány v podmínkách užívání nástroje Onbee.app (dříve Onboardee) dostupných na webových stránkách www.onboardee.io)

Soukromá e-mailová adresa

Osobní údaje bývalého smluvního dodavatele, které má smluvní partner povinnost evidovat, příp. má oprávněný zájem je evidovat

Dokumenty uložené v rámci služby Onbee.app (dříve Onboardee), údaje o digitálním podpisu smlouvy (IP adresa, SMS, timestamp, typ prohlížeče, operační systém)

Přístupové údaje do služby Onbee.app (dříve Onboardee) 

 

Zpracovatel k ukládání Osobních údajů využívá pronájem virtuálních serverů od společnosti Amazon Web Services EMEA SARL, a to výhradně v datových centrech na území EU, pokud Správce nepožádá Zpracovatele, aby využíval datová centra i mimo území EU.

 

 

Příloha č. 2

TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ K ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ

 

1.              Zákonné povinnosti Zpracovatele

1.1            Zpracovatel je povinen:

(a)           zabránit neoprávněným osobám přistupovat k Osobním údajům a k prostředkům pro jejich zpracování;

(b)           zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících Osobní údaje; a

(c)            přijmout opatření, která umožní určit a ověřit, komu byly Osobní údaje předány.

1.2           V oblasti automatizovaného zpracování Osobních údajů je Zpracovatel povinen také:

(a)           zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby;

(b)           zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;

(c)            pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány; a

(d)           zabránit neoprávněnému přístupu k datovým nosičům.

2.             Konkrétní opatření Zpracovatele k zabezpečení ochrany Osobních údajů

                  Informace uložené v informačním systému Zpracovatele jsou zaměstnancům Zpracovatele či jiným osobám spolupracujícím se Zpracovatelem na základě smlouvy zpřístupňovány, jen je-li to nezbytné pro výkon jejich pracovní náplně a za podmínky dodržení vhodných bezpečnostních opatření.

                  Každý zaměstnanec či jiný pracovník Zpracovatele je před vstupem do Služby identifikován na základě uživatelského jména a následně autorizován na základě hesla. Přístup mu je povolen jen z počítačů Zpracovatele, který je navíc zabezpečen uživatelským jménem a heslem a pro případ ztráty je obsah disku šifrován.

                  Osobní údaje mohou být mezi Správcem a Zpracovatelem předávány pouze v zabezpečené podobě (fyzické zabezpečení nebo kryptování dle typu přenosu) a musí být přijata adekvátní opatření proti jejich ztrátě, zneužití nebo neoprávněné manipulaci.

                  Zaměstnanci či jiní pracovníci Zpracovatele jsou povinni řídit se vnitřními pokyny, postupy a předpisy Zpracovatele.

                  Automatizované zpracování Osobních údajů provádí Zpracovatel na zařízeních, která jsou proti neoprávněným zásahům zvenčí, nahodilému přístupu či jinému zneužití chráněna následujícím způsobem:

(a)            Osobní údaje jsou zpracovány na serverech, na kterých je implementována standardní bezpečnostní architektura založená na důsledné aplikaci přístupových práv (ACL).

(b)           Mongo databáze, ve kterých jsou Osobní údaje uloženy, jsou zabezpečeny vlastními přístupovými právy a veškeré přístupy k nim jsou opět sledovány a o důležitých událostech jsou tvořeny bezpečnostní záznamy. DB a DWH servery jsou fyzicky a systémově vyhrazeny pouze pro potřeby Zpracovatele.

(c)            Pro případ výpadku a následnou obnovu dat jsou zálohy dat asymetricky šifrovány již na zdrojových serverech (db/dwh), pro účely záloh se žádná data (nejenom Osobní údaje) mimo produkční prostředí aktivních db serverů nenacházejí v otevřené podobě.

(d)           Zpracovatel umožnuje Správci využít zvýšenou úroveň bezpečnosti přístupu pro jeho zaměstnance (uživatele) do Služby prostřednictvím dvoufaktorové autorizace. Zpracovatel přímo nebo prostřednictvím subdodávek zajištuje přístup k systémům výhradně dvoufaktorovou autorizací. Zpracovatel včetně subdodavatelů se řídí nad rámec příslušných předpisů (zejména GDPR, PCI DSS) i vlastními vnitřními směrnicemi.

(e)           Bližší informace o tom, jak společnost Amazon Web Services EMEA SARL a její produkty, včetně jí poskytovaných virtuálních center, splňují požadavky GDPR, naleznete na následujících webových stránkách:

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/
https://aws.amazon.com/premiumsupport/knowledge-center/gdpr-compliance/
https://aws.amazon.com/compliance/gdpr-center/

Příloha č. 3

DALŠÍ ZPRACOVATELÉ

 

Ke dni uzavření této Smlouvy se na zpracování Osobních údajů podílejí tyto třetí strany/další zpracovatelé:

Název

Adresa

Popis zpracování

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855, Luxembourg

Pronájem virtuálních serverů výhradně v datových centrech na území EU, pokud Správce nepožádá Zpracovatele, aby využíval datová centra i mimo území EU

Stripe Payments Europe, Limited

C/O A&L Goodbody, Ifsc, North Wall Quay Dublin 1., Dublin 1, Dublin

Poskytování platebních služeb a platební brány

 

Změny v seznamu dalších zpracovatelů lze provádět pouze v souladu s článkem 7.2 této Smlouvy.