SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

uzavřená dnem zahájení používání služby GabinetOnline mezi:

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
se sídlem: ul. Przyjemna 4, 44-264 Jankowice, Polsko
KRS: 0000520491
DIČ: 642-318-72-10
dále jen „Zpracovatel" nebo „Provozovatel"

a

Uživatelem Služby GabinetOnline
dále jen „Správce" nebo „Uživatel"

§ 1. Předmět smlouvy a definice

1. Tato smlouva upravuje podmínky a rozsah pověření Zpracovatele zpracováním osobních údajů ze strany Správce v souvislosti s poskytováním služeb prostřednictvím Služby GabinetOnline (gabinetonline.com.pl).

2. Smlouva byla uzavřena v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR).

3. Pro účely této Smlouvy se rozumí:

a) Osobními údaji – veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu čl. 4 bodu 1 GDPR;

b) Zpracováním – operace nebo soubor operací prováděných s osobními údaji ve smyslu čl. 4 bodu 2 GDPR;

c) Správcem – Uživatel Služby, který je správcem osobních údajů ve smyslu čl. 4 bodu 7 GDPR a samostatně určuje účely a způsoby zpracování osobních údajů;

d) Zpracovatelem – Provozovatel Služby, který zpracovává osobní údaje jménem Správce;

e) Službou – informační systém GabinetOnline dostupný na adrese gabinetonline.com.pl;

f) GDPR – nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016;

g) Porušením zabezpečení osobních údajů – porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

h) Subjektem údajů – identifikovaná nebo identifikovatelná fyzická osoba, jejíž údaje jsou zpracovávány.

§ 2. Rozsah pověření

1. Správce pověřuje Zpracovatele a Zpracovatel přijímá ke zpracování jménem Správce osobní údaje následujících kategorií subjektů údajů:

  1. klientů Správce (zákazníků kadeřnického, kosmetického nebo jiného salonu provozovaného Správcem),
  2. zaměstnanců Správce,
  3. dalších osob, jejichž údaje Správce vloží do Služby v souvislosti s provozovanou podnikatelskou činností.

2. Svěřené osobní údaje mohou zahrnovat následující kategorie údajů:

  1. identifikační údaje (jméno, příjmení),
  2. kontaktní údaje (e-mailová adresa, telefonní číslo, adresa bydliště),
  3. údaje o poskytnutých službách a historii návštěv,
  4. údaje o finančním vyúčtování,
  5. údaje vložené Správcem ve formě poznámek a komentářů,
  6. další údaje vložené Správcem do Služby.

3. Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služeb Služby uvedených ve Smluvních podmínkách, zejména:

  1. ukládání a zpřístupňování údajů Správci,
  2. umožnění správy databáze klientů, služeb, materiálů a zaměstnanců,
  3. zasílání oznámení klientům na pokyn Správce (SMS, e-mail),
  4. generování přehledů a dokumentů,
  5. zajištění funkčnosti online rezervačního systému.

4. Zpracování osobních údajů Zpracovatelem probíhá po dobu platnosti Smlouvy o poskytování služeb a po dobu 5 let od ukončení poskytování služeb v souladu s § 8 bodem 8 Smluvních podmínek.

§ 3. Povinnosti Zpracovatele

1. Zpracovatel se zavazuje:

  1. Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce, a to i ohledně předávání osobních údajů do třetí země nebo mezinárodní organizaci, pokud takovou povinnost neukládá Zpracovateli právo Unie nebo členského státu, kterému Zpracovatel podléhá; v takovém případě Zpracovatel před zpracováním informuje Správce o této právní povinnosti, ledaže by tyto právní předpisy poskytnutí takové informace zakazovaly z důležitých důvodů veřejného zájmu;
  2. Zajistit, aby se osoby oprávněné ke zpracování osobních údajů zavázaly k mlčenlivosti nebo aby se na ně vztahovala odpovídající zákonná povinnost mlčenlivosti;
  3. Zavést a udržovat veškerá opatření požadovaná podle čl. 32 GDPR, zejména:
    1. šifrování přenosu údajů prostřednictvím protokolu SSL s klíčem o délce nejméně 128 bitů,
    2. uplatňování mechanismů řízení přístupu zajišťujících, že přístup k údajům má výhradně Správce prostřednictvím individuálního hesla,
    3. provádění pravidelných záloh dat,
    4. udržování fyzického zabezpečení datového centra (monitoring, protipožární ochrana),
    5. pravidelnou aktualizaci softwaru v rozsahu bezpečnostních oprav;
  4. Při výběru technických a organizačních opatření zohledňovat povahu, rozsah, kontext a účely zpracování i rizika porušení práv nebo svobod fyzických osob s různou pravděpodobností výskytu a závažností hrozby;
  5. Poskytovat Správci pomoc v nezbytném rozsahu při plnění povinnosti Správce reagovat na žádosti subjektu údajů ohledně výkonu jeho práv stanovených v kapitole III GDPR;
  6. Poskytovat Správci pomoc při zajištění plnění povinností stanovených v čl. 32–36 GDPR s ohledem na povahu zpracování a informace dostupné Zpracovateli;
  7. Podle volby Správce vymazat nebo vrátit Správci veškeré osobní údaje po ukončení poskytování služeb spojených se zpracováním a vymazat veškeré jejich existující kopie, ledaže právo Unie nebo členského státu vyžaduje uložení osobních údajů;
  8. Poskytnout Správci veškeré informace nezbytné k doložení splnění povinností stanovených v čl. 28 GDPR a umožnit Správci provádět audity, včetně inspekcí, a přispívat k nim;
  9. Neprodleně informovat Správce, pokud podle jeho názoru pokyn vydaný Správcem porušuje GDPR nebo jiné předpisy Unie nebo členských států o ochraně údajů.

§ 4. Další pověření zpracováním (dílčí zpracovatelé)

1. Správce vyjadřuje obecný souhlas s využíváním služeb dílčích zpracovatelů ze strany Zpracovatele.

2. Zpracovatel může pověřit zpracováním osobních údajů následující kategorie dílčích zpracovatelů:

  1. poskytovatele hostingových služeb a IT infrastruktury,
  2. poskytovatele služeb zasílání SMS a e-mailových zpráv,
  3. poskytovatele platebních služeb (v rozsahu nezbytném pro realizaci plateb),
  4. poskytovatele služeb zálohování a obnovy dat.

3. Zpracovatel se zavazuje:

  1. uložit dílčím zpracovatelům prostřednictvím smlouvy nebo jiného právního aktu stejné povinnosti ochrany údajů, jaké jsou stanoveny v této Smlouvě, zejména povinnost poskytnout dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování odpovídalo požadavkům GDPR;
  2. informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení umístěním informace na viditelném místě ve Službě s nejméně 14denním předstihem, čímž poskytne Správci možnost vznést proti těmto změnám námitky;
  3. nést plnou odpovědnost vůči Správci za plnění povinností svěřených dílčímu zpracovateli, pokud dílčí zpracovatel nesplní své povinnosti v oblasti ochrany údajů.

4. V případě, že Správce vznese námitky proti změnám týkajícím se dílčích zpracovatelů, má Správce právo vypovědět Smlouvu s okamžitou platností.

§ 5. Porušení zabezpečení osobních údajů

1. Zpracovatel se zavazuje neprodleně, nejpozději do 24 hodin od okamžiku, kdy se o tom dozví, ohlásit Správci každé porušení zabezpečení osobních údajů.

2. Ohlášení uvedené v odstavci 1 musí obsahovat alespoň:

  1. popis povahy porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného počtu dotčených záznamů osobních údajů;
  2. jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat více informací;
  3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  4. popis opatření, která Zpracovatel přijal nebo navrhuje přijmout k vyřešení porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho možných nepříznivých dopadů.

3. Zpracovatel se zavazuje spolupracovat se Správcem při objasňování okolností porušení a přijímání nápravných opatření.

4. Ohlášení porušení musí být zasláno na e-mailovou adresu Správce uvedenou při registraci ve Službě.

§ 6. Audit a kontrola

1. Správce má právo provádět audit u Zpracovatele za účelem ověření souladu zpracování osobních údajů s touto Smlouvou a požadavky GDPR.

2. Audit může provést Správce osobně nebo prostřednictvím pověřeného auditora.

3. Správce oznámí záměr provést audit s nejméně 14denním předstihem s uvedením navrhovaného termínu a rozsahu auditu.

4. Audit lze provádět nejvýše jednou za 12 měsíců, ledaže nastaly odůvodněné okolnosti nasvědčující porušení ustanovení Smlouvy nebo předpisů GDPR.

5. Zpracovatel se zavazuje zpřístupnit Správci nebo auditorovi veškeré informace a dokumenty nezbytné k provedení auditu.

6. Audit nesmí narušovat běžný provoz činnosti Zpracovatele a musí být proveden s ohledem na obchodní tajemství a údaje ostatních klientů Zpracovatele.

§ 7. Odpovědnost a náhrada škody

1. Zpracovatel nese odpovědnost za škody způsobené v souvislosti se zpracováním osobních údajů, pokud nesplnil povinnosti vyplývající z GDPR, které jsou zvlášť určeny zpracovatelům, nebo pokud jednal nad rámec zákonných pokynů Správce nebo v rozporu s těmito pokyny.

2. Celková odpovědnost Zpracovatele vůči Správci z titulu této Smlouvy v daném kalendářním roce nesmí překročit částku odpovídající roční hodnotě poplatků uhrazených Správcem za používání Služby.

3. Zpracovatel nenese odpovědnost za škody vyplývající z:

  1. jednání nebo opomenutí Správce,
  2. poskytnutí přístupového hesla Správcem třetím osobám,
  3. nesprávného používání Služby Správcem,
  4. okolností, za které Zpracovatel nenese odpovědnost podle Smluvních podmínek Služby.

§ 8. Povinnosti Správce

1. Správce prohlašuje, že:

  1. je správcem osobních údajů ve smyslu GDPR a je oprávněn pověřit jejich zpracováním Zpracovatele,
  2. má odpovídající právní základ pro zpracování osobních údajů,
  3. osobní údaje byly shromážděny v souladu s právními předpisy,
  4. informoval subjekty údajů o pověření Zpracovatele zpracováním jejich osobních údajů, nebo tak učiní neprodleně.

2. Správce se zavazuje:

  1. udílet Zpracovateli výhradně zákonné pokyny týkající se zpracování osobních údajů,
  2. samostatně plnit informační povinnosti vůči subjektům údajů,
  3. samostatně vyřizovat žádosti subjektů údajů týkající se výkonu jejich práv vyplývajících z GDPR,
  4. neprodleně informovat Zpracovatele o veškerých případech, které mohou mít vliv na zpracování osobních údajů.

§ 9. Doba platnosti a ukončení smlouvy

1. Smlouva nabývá účinnosti dnem zahájení používání Služby Správcem a platí po dobu poskytování služeb stanovenou ve Smluvních podmínkách.

2. Smlouva zaniká okamžikem ukončení Smlouvy o poskytování služeb v souladu se Smluvními podmínkami.

3. V případě ukončení Smlouvy Zpracovatel podle volby Správce:

  1. vymaže veškeré osobní údaje a veškeré jejich existující kopie, ledaže právní předpisy vyžadují jejich uchování, nebo
  2. vrátí Správci veškeré osobní údaje v dohodnutém formátu.

4. Bez ohledu na ustanovení odstavce 3 má Zpracovatel právo uchovávat osobní údaje po dobu 5 let od ukončení poskytování služeb v souladu s § 8 bodem 8 Smluvních podmínek, výhradně pro archivní účely a v rozsahu nezbytném k prokázání řádného poskytování služeb.

5. Po výmazu údajů uvedeném v odstavci 3 písm. a) poskytne Zpracovatel Správci písemné potvrzení o jejich výmazu.

§ 10. Závěrečná ustanovení

1. Tato Smlouva tvoří nedílnou součást Smluvních podmínek Služby GabinetOnline.

2. V záležitostech, které tato Smlouva neupravuje, se použijí ustanovení GDPR a polské právní předpisy, zejména zákon ze dne 10. května 2018 o ochraně osobních údajů.

3. Veškeré změny Smlouvy vyžadují písemnou formu pod sankcí neplatnosti, s výhradou ustanovení týkajících se změny Smluvních podmínek.

4. V případě rozporu mezi ustanoveními této Smlouvy a Smluvními podmínkami mají přednost ustanovení této Smlouvy v rozsahu týkajícím se ochrany osobních údajů.

5. Strany budou usilovat o smírné řešení veškerých sporů vzniklých v souvislosti s plněním této Smlouvy. V případě nedosažení dohody budou spory řešeny soudem příslušným podle sídla Zpracovatele.

6. Smlouva byla vyhotovena v polském jazyce. Tato česká verze má informativní charakter; v případě rozporů je rozhodující polské znění.

7. Akceptací Smluvních podmínek Služby GabinetOnline Správce zároveň akceptuje ustanovení této Smlouvy o zpracování osobních údajů.

§ 11. Kontaktní údaje v záležitostech ochrany osobních údajů

Zpracovatel (Provozovatel):
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice, Polsko
E-mail: biuro@gabinetonline.com.pl
Telefon: +48 514 14 55 65

Správce:
Kontaktní údaje uvedené při registraci ve Službě