Smlouva o zpracování údajů

Datum účinnosti: 1. ledna 2025

Úvod

Tato Smlouva o zpracování údajů ("SZÚ") doplňuje Podmínky poskytování služeb mezi RemoteOps ("Zpracovatel") a přihlášenou organizací ("Správce"). Tato SZÚ upravuje zpracování osobních údajů Zpracovatelem jménem Správce v souvislosti s platformou RemoteOps, v souladu s článkem 28 Obecného nařízení o ochraně osobních údajů (GDPR).

Definice

"Správce" znamená organizaci, která určuje účely a prostředky zpracování osobních údajů prostřednictvím platformy RemoteOps. "Zpracovatel" znamená RemoteOps, který zpracovává osobní údaje jménem Správce. "Subjekt údajů" znamená identifikovanou nebo identifikovatelnou fyzickou osobu, jejíž osobní údaje jsou zpracovávány. "Osobní údaje" znamenají jakékoli informace týkající se Subjektu údajů. "Zpracování" znamená jakoukoli operaci prováděnou s osobními údaji, včetně shromažďování, ukládání, vyhledávání, používání, zveřejňování a mazání.

Rozsah a účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování platformy RemoteOps pro řízení terénního servisu Správci. Kategorie subjektů údajů zahrnují zaměstnance Správce, techniky, dispečery a koncové zákazníky. Kategorie osobních údajů zahrnují jména, e-mailové adresy, telefonní čísla, údaje o poloze (když jsou aktivní navigační funkce), historii pracovních zakázek a metadata hovorů.

Povinnosti zpracovatele

Zpracovatel: (a) zpracovává osobní údaje pouze na základě zdokumentovaných pokynů Správce; (b) zajistí, aby osoby oprávněné ke zpracování osobních údajů byly vázány povinností mlčenlivosti; (c) zavede vhodná technická a organizační bezpečnostní opatření; (d) nezapojí dalšího zpracovatele bez předchozího písemného souhlasu Správce; (e) pomůže Správci při vyřizování žádostí subjektů údajů; (f) pomůže Správci při zajišťování souladu s povinnostmi GDPR ohledně bezpečnosti, oznámení porušení a posouzení dopadů; (g) po ukončení smlouvy vymaže nebo vrátí veškeré osobní údaje; (h) zpřístupní veškeré informace nezbytné k prokázání souladu s touto SZÚ.

Dílčí zpracovatelé

Zpracovatel vede seznam schválených dílčích zpracovatelů. Správce uděluje obecný souhlas Zpracovateli se zapojením dílčích zpracovatelů za následujících podmínek: (a) Zpracovatel oznámí Správci jakékoli zamýšlené přidání nebo nahrazení dílčích zpracovatelů s předstihem nejméně 30 dnů; (b) Správce může proti novému dílčímu zpracovateli vznést námitku do 14 dnů od oznámení; (c) každý dílčí zpracovatel je vázán povinnostmi ochrany údajů ne méně ochrannými než tato SZÚ.

Práva subjektů údajů

Zpracovatel pomůže Správci při plnění jeho povinností reagovat na žádosti subjektů údajů dle článků 15-22 GDPR (přístup, oprava, výmaz, přenositelnost, omezení a námitka). Zpracovatel neprodleně předá Správci jakoukoli žádost subjektu údajů obdrženou přímo.

Bezpečnostní opatření

Zpracovatel zavádí technická a organizační opatření odpovídající riziku, včetně: (a) šifrování osobních údajů při přenosu (TLS 1.3) a v klidu (AES-256); (b) izolace dat více nájemců zajišťující nemožnost přístupu k údajům jiného nájemce; (c) řízení přístupu na základě rolí s principem nejmenších oprávnění; (d) pravidelného bezpečnostního hodnocení a skenování zranitelností; (e) školení zaměstnanců v oblasti bezpečnostního povědomí; (f) protokolování přístupů a auditních stop.

Oznámení o porušení zabezpečení údajů

Zpracovatel oznámí Správci bez zbytečného odkladu, a v každém případě do 72 hodin, poté co se dozví o porušení zabezpečení osobních údajů. Oznámení bude obsahovat: (a) popis povahy porušení; (b) kategorie a přibližný počet dotčených subjektů údajů; (c) pravděpodobné důsledky porušení; (d) opatření přijatá nebo navrhovaná k řešení porušení.

Přenosy údajů

Osobní údaje jsou primárně ukládány a zpracovávány v rámci Evropské unie. V případech, kdy jsou přenosy mimo EU nezbytné (např. pro konkrétní dílčí zpracovatele), Zpracovatel se spoléhá na standardní smluvní doložky (SCC) schválené Evropskou komisí nebo jiné právně uznávané mechanismy přenosu dle kapitoly V GDPR.

Práva na audit

Správce má právo provést audit nebo jmenovat nezávislého auditora k ověření souladu Zpracovatele s touto SZÚ. Audity vyžadují oznámení s 30denním předstihem a provádějí se během pracovní doby s minimálním narušením provozu. Zpracovatel bude plně spolupracovat a poskytne přístup k příslušné dokumentaci, systémům a prostorám.

Smazání a vrácení údajů

Po ukončení smlouvy o poskytování služeb Zpracovatel dle volby Správce smaže nebo vrátí veškeré osobní údaje do 30 dnů. Certifikované smazání bude dokončeno do 90 dnů od ukončení. Zpracovatel může údaje uchovávat pouze v případech vyžadovaných právem EU nebo členského státu a o takovém požadavku informuje Správce.

Doba trvání a ukončení

Tato SZÚ nabývá účinnosti, když Správce začne používat platformu RemoteOps, a zůstává v platnosti po dobu, kdy Zpracovatel zpracovává osobní údaje jménem Správce. Povinnosti Zpracovatele týkající se ochrany údajů přetrvávají i po ukončení této SZÚ.