Zásady zpracování osobních údajů (GDPR)
dle čl. 28 nařízení č. 2016/679, obecného nařízení o ochraně osobních údajů, v platném a účinném znění
Smluvní strany
- Zpracovatelem osobních údajů (dále jen Zpracovatel) je QB Software, s. r. o., Prostřední Poříčí 19, 679 62, IČ: 09324372, DIČ: CZ09324372. Společnost je zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 118218.
- Správce je jakákoli fyzická osoba způsobilá k právním úkonům nebo právnická osoba, která využívá služby Zpracovatele.
I. Úvodní ustanovení
- Správce a Zpracovatel společně uzavřeli smlouvu o provozu informačního systému Leprikón.
- Součástí poskytování služeb Zpracovatelem dle odst. 1. tohoto článku této smlouvy je také zpracování osobních údajů zaměstnanců Správce, účastníků zájmového vzdělávání a jejich zákonných zástupců, účastníků soutěží a účastníků táborů a ubytovacích akcí (dále jen „Subjekt osobních údajů“ nebo „Subjekt“), jehož podmínky jsou dále upraveny touto smlouvou.
II. Účel a rozsah zpracování osobních údajů
- Účelem zpracování je především správa informačního systému Správce, který obsahuje i osobní údaje Subjektů.
- Zpracování osobních údajů spočívá především ve zpracování dat při servisním zásahu, kdy má Zpracovatel přístup ke všem zpracovávaným údajům uloženým na zařízení Správce a pronajatém diskovém prostoru.
- Zpracování se týká všech kategorií subjektů osobních údajů a všech osobních údajů, které Správce eviduje. Přesná specifikace subjektů osobních údajů i zpracovávaných osobních údajů je uvedena v Příloze.
III. Povinnosti a prohlášení Zpracovatele
- Zpracovatel se zavazuje, že bude zpracovávat osobní údaje předané Správcem jménem Správce a v souladu s příslušnými právními předpisy, především nařízením č. 2016/679, obecným nařízením o ochraně osobních údajů (dále jen „GDPR“), touto Smlouvou nebo doloženými pokyny Správce vydanými v souladu s příslušnými právními předpisy. Nebude-li Zpracovatel moci z jakýchkoli důvodů zajistit dodržování povinností stanovených GDPR, dalšími příslušnými právními předpisy, touto Smlouvou či pokyny Správce, zavazuje se o tom neprodleně informovat Správce, který je v takovém případě oprávněn pozastavit předávání údajů a/nebo odstoupit od této Smlouvy.
- Zpracovatel je především povinen:
- zpracovávat pouze přesné osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu;
- nesdružovat osobní údaje, které byly získány k rozdílným účelům;
- povinen uchovávat osobní údaje předané Správcem pouze po dobu, která je nezbytná k účelu jejich zpracování;
- dbát, aby nedošlo k poškození práv Subjektů osobních údajů, jakož ani k nepřiměřenému zásahu do jejich soukromého či osobního života;
- zajistit, aby byli veškeří zaměstnanci Zpracovatele, kteří přicházejí do styku s osobními údaji Subjektů zavázáni k povinnosti mlčenlivosti o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů
- zajistit, aby osobní údaje nebyly předány či zpřístupněny žádným třetím osobám s výjimkou zaměstnanců Zpracovatele, zejména není oprávněn osobní údaje předávat dalším osobám, zpřístupňovat, zveřejňovat, či jakkoliv šířit, pokud k tomu nebude písemně zmocněn Správcem. Tento zákaz se nevztahuje na předávání osobních údajů oprávněným subjektům, které je nezbytné pro naplnění účelu zpracování osobních údajů;
- poskytnout Správci veškerou součinnost nezbytnou pro plnění povinností Správce dle GDPR;
- umožnit Správci na základě jeho písemné žádosti přezkoumání činností spojených se zpracováním osobních údajů dle této smlouvy. Kontrola bude provedena Správcem přiměřeným způsobem za přítomnosti Zpracovatele či jeho zástupce;
- zlikvidovat či vrátit veškeré osobní údaje Subjektů, dojde-li k ukončení této smlouvy, k naplnění účelu zpracování nebo pozbude-li Správce oprávnění zpracovávat osobní údaje konkrétního Subjektu.
- Zpracovatel dále prohlašuje, že před zpracováním osobních údajů Subjektů přijal organizační a technická bezpečnostní opatření blíže specifikovaná v článku IV. této smlouvy. Zpracovávání osobních údajů bude prováděno Zpracovatelem či jeho zaměstnanci v prostorách Zpracovatele automatizovaně prostřednictvím prostředků výpočetní techniky, případně mechanickými prostředky v listinné podobě.
- Zpracovatel prohlašuje, že mu není známa jakákoliv překážka bránící plnění pokynů Správce podle této Smlouvy či plnění povinností stanovených příslušnými právními předpisy. Současně prohlašuje, že má veškerá povolení nezbytná ke zpracovávání osobních údajů předaných Správcem, respektive o ně bezodkladně požádá v případě, že by takováto povolení byla podle právních předpisů zapotřebí.
- Zpracovatel se rovněž zavazuje oznámit Správci neprodleně veškeré případy získání náhodného nebo neoprávněného přístupu k osobním údajům předaných Správcem.
IV. Záruky Zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů
- Na základě GDPR je Zpracovatel povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům Subjektů, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů na základě této Smlouvy. Zpracovatel prohlašuje, že v rámci zpracování osobních údajů podle této Smlouvy přijal následující technická a organizační opatření.
- Prostory, ve kterých budou osobní údaje zpracovávány, budou mechanicky zabezpečeny zámky.
- Osobní údaje v listinné podobě či na přenosných médiích budou ukládány výhradně v uzamykatelných prostorách, do kterých má přístup pouze Zpracovatel či jeho zaměstnanci.
- Osobní údaje v elektronické podobě budou uloženy na zařízení zabezpečeném systémem přístupových práv (hesel), které bude mít k dispozici pouze Zpracovatel či jeho zaměstnanci. Zpracovatel zajistí systém antivirové ochrany zařízení na zpracování údajů a dále systém bezpečnostního zálohování údajů.
- Zaměstnanci Zpracovatele budou proškoleni v oblasti ochrany osobních údajů a budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob.
- Vedle těchto opatření Zpracovatel vydá bezpečnostní směrnici upravující organizační a technická opatření a postupy a s nimi spojené povinnosti zaměstnanců, jejichž účelem je zajištění bezpečnosti zpracovávaných osobních údajů.
- Veškerá výše uvedená opatření bude Zpracovatel zachovávat po celou dobu trvání této Smlouvy.
V. Odpovědnost
- Zpracovatel je odpovědný za veškerou škodu, která vznikne Správci či třetím osobám v důsledku porušení povinností Zpracovatele dle této smlouvy, GDPR či platných právních předpisů.