Zpracování dat Smlouva

SMLOUVA O ZPRACOVÁNÍ DAT (dále jen „Smlouva“), mezi

1. Jakoukoli třetí stranou (dále jen „Správce“); a

1. Fresh Labs FlexCo, Praterstrasse 17/1/2, 1020 Vídeň, Rakousko (dále jen „Zpracovatel“ a společně se Správcem „Strany“), jako poskytovatel SaaS platformy mypaperwork.

Preambule

1. Zpracovatel. Zpracovatel provozuje cloudovou aplikaci, která uživatelům umožňuje nahrávat, spravovat a zpracovávat dokumenty a související informace. Data jsou přenášena na servery Zpracovatele, kde jsou bezpečně uložena a zpracována za účelem poskytování Služeb, které zahrnují automatizovanou asistenci, správu dokumentů a funkce poháněné umělou inteligencí přizpůsobené případu použití Správce (dále jen „Služby“).

2. Hlavní smlouva. Strany uzavřely dohodu o využívání Služeb (dále jen „Hlavní smlouva“). Tato smlouva mění Hlavní smlouvu.

3. Předmět. Při plnění Hlavní smlouvy Zpracovatel zpracovává osobní údaje Správce a zákazníků Správce, zaměstnanců, nezávislých pracovníků a podobných přispěvatelů obsahu, v každém případě na základě objednávky Správce. Tato smlouva upravuje práva a povinnosti Stran týkající se plnění Hlavní smlouvy.

4. Zpracovatel. Tato smlouva je smlouvou dle čl. 28 GDPR. Kromě toho tato smlouva dodržuje požadavky kalifornského zákona o ochraně soukromí spotřebitelů (CCPA) ve vztahu ke zpracování osobních údajů obyvatel Kalifornie. Zpracovatel souhlasí s dodržováním všech platných povinností podle CCPA a pomáhá Správci při plnění jeho povinností podle CCPA s ohledem na osobní údaje zpracovávané jménem Správce.

• Definice

1. V této smlouvě, pokud není v kontextu nutná jiná interpretace, mají kapitalizované pojmy význam, který jim je přiřazen v části nazvané „Definice“ uvedené v Příloze § 1.1.

• Podrobnosti zpracování

1. Předmět. Předmětem této smlouvy je poskytování Služeb.

2. Kategorie dat. Pro poskytování Služeb jsou zpracovávány kategorie dat uvedené v Příloze § 2.2 (dále jen „Data“).

3. Typ a účel. Zpracování se provádí způsobem a pro účely popsané v Příloze § 2.3.

4. Kategorie subjektů údajů. Zpracování se týká kategorií subjektů údajů, jak je uvedeno v Příloze § 2.4.

5. Doba trvání. Tato smlouva je závazná po dobu trvání Hlavní smlouvy. Během trvání Hlavní smlouvy může být tato smlouva vypovězena pouze z vážného důvodu. Pokud je Hlavní smlouva vypovězena Stranou, tato smlouva automaticky zaniká. Povinnost podle § V.2 trvá i v případě ukončení.

• Místo zpracování

1. Zpracování dat probíhá částečně mimo EU a EHP. Země, ve kterých zpracování probíhá, a základ pro odpovídající úroveň zabezpečení dat jsou uvedeny v Příloze § 3.1.

• Práva a povinnosti Správce

1. Přiřazení. Správce je správcem ve smyslu čl. 4 odst. 7 GDPR a pověřil Zpracovatele zpracováním dat.

2. Právo na informace. Správce má právo obdržet veškeré informace potřebné k prokázání souladu s povinnostmi Zpracovatele uvedenými v čl. V a provádět kontroly, včetně inspekcí, sám nebo prostřednictvím pověřeného vyšetřovatele.

• Práva a povinnosti Zpracovatele

1. Zpracování.

   1. Zpracovatel bude zpracovávat Data výhradně v souladu s Hlavní smlouvou a případnými dalšími písemnými pokyny Správce. To platí i pro předávání Dat do třetí země nebo mezinárodní organizaci.

   2. § 5.1(a) se nevztahuje na Zpracování dat, pokud je Zpracovatel právně povinen zpracovávat data určitým způsobem. V těchto případech Zpracovatel informuje Správce o své povinnosti před Zpracováním, pokud žádný důležitý veřejný zájem takovou informaci nezakazuje.

2. Důvěrnost dat. Zpracovatel a jeho spolupracovníci jsou povinni zachovávat důvěrnost dat v souladu s čl. 6 rakouského zákona o ochraně dat ve znění z 25. května 2018. Zpracovatel musí smluvně zavázat své zaměstnance k zachování důvěrnosti dat, pokud k tomu již nejsou právně povinni. Tato povinnost musí zůstat v platnosti i po ukončení pracovního poměru. Zpracovatel prohlašuje, že tyto povinnosti dodržuje.

3. Technická a organizační opatření.

   1. Zpracovatel výslovně prohlašuje, že přijal nezbytná opatření k zajištění bezpečnosti Zpracování dat podle čl. 32 GDPR. Úplný seznam těchto opatření naleznete v Příloze § 5.3(a) (dále jen „Opatření“).

   2. Pokud by jakákoli změna Opatření snížila bezpečnostní standard týkající se Zpracování dat, Zpracovatel tyto změny koordinuje se Správcem.

   3. Správce má právo být informován o aktuálnosti Opatření a získat kopii aktuální verze těchto Opatření od Zpracovatele.

4. Podpora Správce.

   1. Zpracovatel bude Správce co nejvíce podporovat, a to přijetím vhodných technických a organizačních opatření, aby splnil povinnost Správce reagovat na žádosti subjektů údajů podle čl. 3 GDPR. Pokud by taková žádost byla omylem zaslána Zpracovateli namísto Správce, Zpracovatel ji neprodleně předá Správci a informuje žadatele o tomto postupu.

   2. Zpracovatel s ohledem na povahu zpracování a dostupné informace podporuje Správce při plnění jeho povinností podle čl. 32 až 36 GDPR (zajištění bezpečnosti zpracování, oznámení nebo komunikace s dozorovým úřadem nebo subjekty údajů, posouzení dopadu na ochranu dat včetně předchozí konzultace).

5. Zpracování po ukončení. Po dokončení Zpracování dat Zpracovatel, v závislosti na rozhodnutí Správce, buď vrátí, nebo smaže všechna Data. To neplatí, pokud je Zpracovatel právně povinen data uchovávat.

6. Povinnost informovat. Správce zajišťuje výkon práva na informace podle § IV.2.

7. Nezákonné pokyny. Zpracovatel neprodleně informuje Správce, pokud považuje pokyn za nezákonný podle právních předpisů EU o ochraně dat nebo platných právních předpisů členských států.

8. Záznamy o činnostech zpracování. Zpracovatel vede záznamy o činnostech zpracování podle čl. 30 GDPR.

• Subzpracovatel

1. Právo zapojit subzpracovatele. Zpracovatel má právo zapojit dalšího zpracovatele pro provoz Produktu (dále jen „Subzpracovatel“), včetně zpracování dat, bez předchozího souhlasu Správce. V případě zamýšlené změny týkající se Subzpracovatele Zpracovatel včas informuje Správce.

2. Seznam subzpracovatelů. Seznam všech aktuálně zapojených subzpracovatelů naleznete v Příloze § 6.2.

3. Povinnosti. V případě zapojení nového Subzpracovatele Zpracovatel uzavře se Subzpracovatelem všechny požadované dohody podle čl. 28 odst. 4 GDPR. Tyto dohody musí Subzpracovatele zavazovat ke stejným povinnostem v oblasti bezpečnosti dat, jaké jsou stanoveny v této smlouvě, zejména pokud jde o záruky pro vhodná technická a organizační opatření.

4. Odpovědnost. Pokud Subzpracovatel nedodrží své povinnosti v oblasti bezpečnosti dat, je Zpracovatel plně odpovědný za dodržení těchto povinností vůči Správci.

• Závěrečná ustanovení

1. Použijí se ustanovení v Příloze § 7.1 týkající se rozhodného práva, formy a dalších tam uvedených předpisů.
   

Příloha I

Definice

Příloha § 2.2

Kategorie dat

1. Zákazníci: kontaktní údaje, smluvní údaje, fakturační údaje, komunikační údaje

2. Autorizovaní uživatelé: e-mailová adresa, heslo, jméno, adresa (volitelné), datum narození (volitelné), telefonní číslo (volitelné), data plánu a konfigurace, uživatelské preference, země přihlášení, poslední přístup, anonymizovaná IP adresa, informace o používání systému, veškerá data obsažená v nahraných souborech nebo odeslaná prostřednictvím Služeb, statistická data o nahraných souborech.

Příloha § 2.3

Typ a účel

1. Typy zpracování:

   1. shromažďování a ukládání

   2. organizace

   3. přenos

   4. zničení

2. Účely zpracování:

   1. Plnění Hlavní smlouvy

Příloha § 2.4

Kategorie subjektů údajů

1. Zákazníci, Autorizovaní uživatelé

Příloha § 3.1

Seznam zemí pro zpracování dat vč. základů

1. Evropská unie

Příloha § 5.3(a)

Opatření

1. Důvěrnost.

   1. Elektronická kontrola přístupu: všechny počítače a přístupové body jsou chráněny heslem. Přístup k našim poskytovatelům cloudové infrastruktury je udělen jednotlivým, jasně definovaným zaměstnancům na základě principu „potřeby znát“. Jakmile uživatel opustí společnost, jeho účet a všechny ostatní možnosti přístupu jsou deaktivovány.

1. Doby mazání.

   1. Uživatelská data a zákaznická data nahraná do našeho systému: všechna data jsou automaticky smazána do 30 dnů po zrušení účtu/smlouvy.

   2. Logy: poloautomatické mazání po 90 dnech.

   3. Záznamy o zákaznících jsou smazány 7 let po poslední transakci se zákazníkem.

2. Testování, posuzování a hodnocení.

   1. Síťová architektura a návrhy budou vždy podléhat vzájemnému hodnocení.

   2. Princip čtyř očí se uplatní při změnách sítě se středním a vysokým dopadem.

Příloha § 6.2

Seznam subzpracovatelů

1. AWS

2. Hubspot

3. Google Gemini

4. Google Workspace

5. Calendly

Příloha § 7.1

Závěrečná ustanovení

1. Důvěrnost. Strany se dohodly, že veškeré informace obdržené v souvislosti s touto smlouvou budou po neomezenou dobu považovat za důvěrné a použijí je pouze k plnění této smlouvy. Tyto informace budou použity pouze pro uvedené účely a nesmí být sděleny třetím stranám. To neplatí, pokud (a) povinná Strana prokazatelně získá informace od třetí strany, vůči níž není povinna zachovávat důvěrnost, (b) pokud byly informace veřejně dostupné nebo (c) pokud bylo zveřejnění právně vyžadováno nebo požadováno úřady.

2. Vstup v platnost. Tato smlouva vstupuje v platnost podpisem obou Stran a je závazná na dobu neurčitou.

3. Písemná forma. Jakékoli úpravy, dodatky nebo zrušení smlouvy vyžadují písemnou formu, nebo, pokud byla tato smlouva uzavřena elektronickými prostředky, podobnou formu jako uzavření této smlouvy. To platí i pro jakékoli nařízení, které má za cíl změnit požadavek písemné formy.

4. Oddělitelnost. V případě, že jednotlivá ustanovení této smlouvy budou nebo se stanou neplatnými nebo nevymahatelnými, zůstanou všechny ostatní podmínky v plné platnosti a účinnosti. Strany se dohodly, že neplatnou nebo nevymahatelnou doložku nahradí platnou a vymahatelnou doložkou, která má stejný ekonomický smysl. Toto pravidlo platí i v případě vzniku regulační mezery.

5. Právní základ. Použijí se pouze ustanovení této smlouvy a navíc právní předpisy.

6. Rozhodné právo. Tato smlouva a všechny související smluvní vztahy a spory se řídí rakouským právem, s vyloučením ustanovení o kolizi právních norem Úmluvy OSN o smlouvách o mezinárodní koupi zboží.

7. Soudní příslušnost. Soudy ve Vídni, Rakousko, budou mít výhradní soudní příslušnost pro veškeré právní spory týkající se této smlouvy, v rozsahu právně přípustném.