ZMLUVA O POVERENÍ SPRACÚVANÍM OSOBNÝCH ÚDAJOV

uzavretá v deň začatia používania služby GabinetOnline medzi:

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
so sídlom: ul. Przyjemna 4, 44-264 Jankowice, Poľsko
KRS: 0000520491
NIP (DIČ): 642-318-72-10
ďalej len „Sprostredkovateľ" alebo „Prevádzkovateľ služby"

a

Používateľom služby GabinetOnline
ďalej len „Prevádzkovateľ" alebo „Používateľ"

§ 1. Predmet zmluvy a definície

1. Táto zmluva upravuje podmienky a rozsah poverenia spracúvaním osobných údajov zo strany Prevádzkovateľa Sprostredkovateľovi v súvislosti s poskytovaním služieb prostredníctvom služby GabinetOnline (gabinetonline.com.pl).

2. Zmluva bola uzavretá na vykonanie čl. 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (GDPR).

3. Kedykoľvek sa v Zmluve hovorí o:

a) Osobných údajoch – rozumejú sa tým akékoľvek informácie o identifikovanej alebo identifikovateľnej fyzickej osobe v zmysle čl. 4 bod 1 GDPR;

b) Spracúvaní – rozumie sa tým operácia alebo súbor operácií vykonávaných s osobnými údajmi v zmysle čl. 4 bod 2 GDPR;

c) Prevádzkovateľovi – rozumie sa tým Používateľ služby, ktorý je prevádzkovateľom osobných údajov v zmysle čl. 4 bod 7 GDPR, samostatne určujúci účely a prostriedky spracúvania osobných údajov;

d) Sprostredkovateľovi – rozumie sa tým Prevádzkovateľ služby, ktorý spracúva osobné údaje v mene Prevádzkovateľa;

e) Službe – rozumie sa tým informačný systém GabinetOnline dostupný na adrese gabinetonline.com.pl;

f) GDPR – rozumie sa tým Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016;

g) Porušení ochrany osobných údajov – rozumie sa tým porušenie bezpečnosti vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo neoprávnenému prístupu k prenášaným, uchovávaným alebo inak spracúvaným osobným údajom;

h) Dotknutej osobe – rozumie sa tým identifikovaná alebo identifikovateľná fyzická osoba, ktorej údaje sa spracúvajú.

§ 2. Rozsah poverenia

1. Prevádzkovateľ poveruje a Sprostredkovateľ prijíma na spracúvanie v mene Prevádzkovateľa osobné údaje týchto kategórií dotknutých osôb:

  1. zmluvných partnerov Prevádzkovateľa (klientov kaderníctva, kozmetického alebo iného salónu prevádzkovaného Prevádzkovateľom),
  2. zamestnancov Prevádzkovateľa,
  3. iných osôb, ktorých údaje Prevádzkovateľ vloží do Služby v súvislosti s vykonávanou podnikateľskou činnosťou.

2. Poverené osobné údaje môžu zahŕňať tieto kategórie údajov:

  1. identifikačné údaje (meno, priezvisko),
  2. kontaktné údaje (e-mailová adresa, telefónne číslo, adresa bydliska),
  3. údaje týkajúce sa poskytovaných služieb a histórie návštev,
  4. údaje týkajúce sa finančných vyúčtovaní,
  5. údaje vložené Prevádzkovateľom vo forme poznámok a komentárov,
  6. iné údaje vložené Prevádzkovateľom do Služby.

3. Sprostredkovateľ spracúva osobné údaje výlučne na účel poskytovania služieb Služby uvedených v Obchodných podmienkach, najmä:

  1. uchovávania a sprístupňovania údajov Prevádzkovateľovi,
  2. umožnenia správy databázy zmluvných partnerov, služieb, materiálov a zamestnancov,
  3. zasielania oznámení zmluvným partnerom na pokyn Prevádzkovateľa (SMS správy, e-mail),
  4. generovania reportov a dokumentov,
  5. zabezpečenia funkčnosti systému online rezervácií.

4. Spracúvanie osobných údajov Sprostredkovateľom prebieha počas trvania Zmluvy o poskytovaní služieb a počas obdobia 5 rokov od ukončenia poskytovania služieb, v súlade s § 8 bod 8 Obchodných podmienok.

§ 3. Povinnosti Sprostredkovateľa

1. Sprostredkovateľ sa zaväzuje:

  1. Spracúvať osobné údaje výlučne na zdokumentovaný pokyn Prevádzkovateľa, a to aj vo vzťahu k prenosu osobných údajov do tretej krajiny alebo medzinárodnej organizácie, ibaže takúto povinnosť Sprostredkovateľovi ukladá právo Únie alebo právo členského štátu, ktorému Sprostredkovateľ podlieha; v takom prípade Sprostredkovateľ pred začatím spracúvania informuje Prevádzkovateľa o tejto právnej povinnosti, pokiaľ toto právo z dôvodu dôležitého verejného záujmu takéto informovanie nezakazuje;
  2. Zabezpečiť, aby sa osoby oprávnené na spracúvanie osobných údajov zaviazali zachovávať mlčanlivosť alebo aby podliehali príslušnej zákonnej povinnosti mlčanlivosti;
  3. Zaviesť a udržiavať všetky opatrenia požadované podľa čl. 32 GDPR, najmä:
    1. šifrovania prenosu údajov pomocou protokolu SSL s minimálne 128-bitovým kľúčom,
    2. uplatňovania mechanizmov kontroly prístupu zabezpečujúcich, že prístup k údajom má výlučne Prevádzkovateľ prostredníctvom individuálneho hesla,
    3. vykonávania pravidelných záložných kópií údajov,
    4. udržiavania fyzickej bezpečnosti výpočtového centra (monitoring, protipožiarne zabezpečenie),
    5. pravidelnej aktualizácie softvéru v rozsahu bezpečnostných opráv;
  4. Zohľadňovať pri výbere technických a organizačných opatrení povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre práva a slobody fyzických osôb s rôznou pravdepodobnosťou výskytu a závažnosťou hrozby;
  5. Poskytovať Prevádzkovateľovi pomoc v nevyhnutnom rozsahu pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti dotknutej osoby v rozsahu výkonu jej práv uvedených v kapitole III GDPR;
  6. Poskytovať Prevádzkovateľovi pomoc pri zabezpečení plnenia povinností uvedených v čl. 32–36 GDPR, s prihliadnutím na povahu spracúvania a informácie dostupné Sprostredkovateľovi;
  7. Podľa výberu Prevádzkovateľa vymazať alebo vrátiť Prevádzkovateľovi všetky osobné údaje po ukončení poskytovania služieb súvisiacich so spracúvaním a vymazať všetky ich existujúce kópie, ibaže právo Únie alebo právo členského štátu nariaďuje uchovávanie osobných údajov;
  8. Sprístupniť Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností uvedených v čl. 28 GDPR a umožniť Prevádzkovateľovi vykonávanie auditov vrátane inšpekcií a prispievať k nim;
  9. Bezodkladne informovať Prevádzkovateľa, ak sa podľa jeho názoru pokyn vydaný Prevádzkovateľom považuje za porušenie GDPR alebo iných predpisov Únie alebo členských štátov o ochrane údajov.

§ 4. Ďalšie poverenie spracúvaním (podsprostredkovatelia)

1. Prevádzkovateľ udeľuje všeobecný súhlas s využívaním služieb podsprostredkovateľov zo strany Sprostredkovateľa.

2. Sprostredkovateľ môže poveriť spracúvaním osobných údajov tieto kategórie podsprostredkovateľov:

  1. poskytovateľov hostingových služieb a IT infraštruktúry,
  2. poskytovateľov služieb zasielania SMS a e-mailových správ,
  3. poskytovateľov platobných služieb (v rozsahu potrebnom na realizáciu platieb),
  4. poskytovateľov služieb záložných kópií a obnovy údajov.

3. Sprostredkovateľ sa zaväzuje:

  1. ukladať podsprostredkovateľom prostredníctvom zmluvy alebo iného právneho aktu tie isté povinnosti ochrany údajov, aké sú stanovené v tejto Zmluve, najmä povinnosť poskytnúť dostatočné záruky na zavedenie primeraných technických a organizačných opatrení tak, aby spracúvanie zodpovedalo požiadavkám GDPR;
  2. informovať Prevádzkovateľa o všetkých plánovaných zmenách týkajúcich sa pridania alebo nahradenia iných sprostredkovateľov umiestnením informácie na viditeľnom mieste v Službe najmenej 14 dní vopred, čím dáva Prevádzkovateľovi možnosť vzniesť námietku proti takýmto zmenám;
  3. niesť plnú zodpovednosť voči Prevádzkovateľovi za splnenie povinností zverených podsprostredkovateľovi, ak podsprostredkovateľ nesplní svoje povinnosti v oblasti ochrany údajov.

4. V prípade, že Prevádzkovateľ vznesie námietku proti zmenám týkajúcim sa podsprostredkovateľov, má Prevádzkovateľ právo vypovedať Zmluvu s okamžitou účinnosťou.

§ 5. Porušenie ochrany osobných údajov

1. Sprostredkovateľ sa zaväzuje bezodkladne, najneskôr do 24 hodín od zistenia, oznámiť Prevádzkovateľovi každé porušenie ochrany osobných údajov.

2. Oznámenie podľa ods. 1 by malo obsahovať najmenej:

  1. opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ako aj kategórií a približného počtu záznamov osobných údajov, ktorých sa porušenie týka;
  2. meno a priezvisko a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, od ktorého možno získať viac informácií;
  3. opis pravdepodobných následkov porušenia ochrany osobných údajov;
  4. opis opatrení prijatých alebo navrhovaných Sprostredkovateľom na nápravu porušenia ochrany osobných údajov vrátane, v prípade potreby, opatrení na minimalizáciu jeho prípadných negatívnych následkov.

3. Sprostredkovateľ sa zaväzuje spolupracovať s Prevádzkovateľom pri objasnení okolností porušenia a prijatí nápravných opatrení.

4. Oznámenie o porušení by malo byť zaslané na e-mailovú adresu Prevádzkovateľa uvedenú pri registrácii v Službe.

§ 6. Audit a kontrola

1. Prevádzkovateľ má právo vykonať audit u Sprostredkovateľa s cieľom overiť súlad spracúvania osobných údajov s touto Zmluvou a požiadavkami GDPR.

2. Audit môže Prevádzkovateľ vykonať osobne alebo prostredníctvom povereného audítora.

3. Prevádzkovateľ oznamuje zámer vykonať audit najmenej 14 dní vopred, pričom uvedie navrhovaný termín a rozsah auditu.

4. Audit sa môže vykonať najviac raz za 12 mesiacov, ibaže nastali opodstatnené okolnosti nasvedčujúce porušeniu ustanovení Zmluvy alebo predpisov GDPR.

5. Sprostredkovateľ sa zaväzuje sprístupniť Prevádzkovateľovi alebo audítorovi všetky informácie a dokumenty potrebné na vykonanie auditu.

6. Audit nesmie narušiť bežné fungovanie činnosti Sprostredkovateľa a musí sa vykonať s rešpektovaním obchodného tajomstva a údajov iných klientov Sprostredkovateľa.

§ 7. Zodpovednosť a náhrada škody

1. Sprostredkovateľ zodpovedá za škody spôsobené v súvislosti so spracúvaním osobných údajov, ak nesplnil povinnosti vyplývajúce z GDPR, ktoré sú osobitne určené sprostredkovateľom, alebo ak konal mimo zákonných pokynov Prevádzkovateľa alebo v rozpore s týmito pokynmi.

2. Celková zodpovednosť Sprostredkovateľa voči Prevádzkovateľovi z titulu tejto Zmluvy v danom kalendárnom roku nesmie prekročiť sumu zodpovedajúcu ročnej hodnote poplatkov uhradených Prevádzkovateľom za používanie Služby.

3. Sprostredkovateľ nezodpovedá za škody vyplývajúce z:

  1. konania alebo opomenutia Prevádzkovateľa,
  2. poskytnutia prístupového hesla Prevádzkovateľom tretím osobám,
  3. nesprávneho používania Služby Prevádzkovateľom,
  4. okolností, za ktoré Sprostredkovateľ nezodpovedá v súlade s Obchodnými podmienkami Služby.

§ 8. Povinnosti Prevádzkovateľa

1. Prevádzkovateľ vyhlasuje, že:

  1. je prevádzkovateľom osobných údajov v zmysle GDPR a je oprávnený poveriť ich spracúvaním Sprostredkovateľa,
  2. má primeraný právny základ na spracúvanie osobných údajov,
  3. osobné údaje boli získané zákonným spôsobom,
  4. informoval dotknuté osoby o poverení spracúvaním ich osobných údajov Sprostredkovateľovi alebo tak urobí bezodkladne.

2. Prevádzkovateľ sa zaväzuje:

  1. udeľovať Sprostredkovateľovi výlučne zákonné pokyny týkajúce sa spracúvania osobných údajov,
  2. samostatne plniť informačné povinnosti voči dotknutým osobám,
  3. samostatne vybavovať žiadosti dotknutých osôb týkajúce sa výkonu ich práv vyplývajúcich z GDPR,
  4. bezodkladne informovať Sprostredkovateľa o všetkých prípadoch, ktoré môžu mať vplyv na spracúvanie osobných údajov.

§ 9. Doba platnosti a ukončenie zmluvy

1. Zmluva nadobúda účinnosť dňom začatia používania Služby Prevádzkovateľom a platí počas obdobia poskytovania služieb určeného v Obchodných podmienkach.

2. Zmluva zaniká okamihom ukončenia Zmluvy o poskytovaní služieb v súlade s Obchodnými podmienkami.

3. V prípade ukončenia Zmluvy Sprostredkovateľ podľa výberu Prevádzkovateľa:

  1. vymaže všetky osobné údaje a všetky ich existujúce kópie, pokiaľ právo nevyžaduje ich uchovávanie, alebo
  2. vráti Prevádzkovateľovi všetky osobné údaje v dohodnutom formáte.

4. Bez ohľadu na ustanovenia ods. 3 má Sprostredkovateľ právo uchovávať osobné údaje počas obdobia 5 rokov od ukončenia poskytovania služieb v súlade s § 8 bod 8 Obchodných podmienok, výlučne na archívne účely a v rozsahu potrebnom na preukázanie riadneho poskytovania služieb.

5. Po vymazaní údajov podľa ods. 3 písm. a) Sprostredkovateľ poskytne Prevádzkovateľovi písomné potvrdenie o ich vymazaní.

§ 10. Záverečné ustanovenia

1. Táto Zmluva tvorí neoddeliteľnú súčasť Obchodných podmienok Služby GabinetOnline.

2. Vo veciach neupravených v tejto Zmluve sa uplatňujú ustanovenia GDPR a ustanovenia poľského práva, najmä zákona z 10. mája 2018 o ochrane osobných údajov.

3. Všetky zmeny Zmluvy vyžadujú písomnú formu pod hrozbou neplatnosti, s výhradou ustanovení týkajúcich sa zmeny Obchodných podmienok.

4. V prípade rozporu medzi ustanoveniami tejto Zmluvy a Obchodnými podmienkami majú prednosť ustanovenia tejto Zmluvy v rozsahu týkajúcom sa ochrany osobných údajov.

5. Zmluvné strany sa budú usilovať o zmierne riešenie všetkých sporov vzniknutých v súvislosti s plnením tejto Zmluvy. V prípade nedosiahnutia dohody budú spory riešené súdom príslušným podľa sídla Sprostredkovateľa.

6. Zmluva bola vyhotovená v poľskom jazyku.

7. Akceptovaním Obchodných podmienok Služby GabinetOnline Prevádzkovateľ zároveň akceptuje ustanovenia tejto Zmluvy o poverení spracúvaním osobných údajov.

§ 11. Kontaktné údaje vo veciach ochrany osobných údajov

Sprostredkovateľ (Prevádzkovateľ služby):
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice, Poľsko
E-mail: biuro@gabinetonline.com.pl
Telefón: +48 514 14 55 65

Prevádzkovateľ:
Kontaktné údaje uvedené pri registrácii v Službe