Podmínky zpracování osobních údajů
Společnosti Salmondo CZ, s.r.o., IČ: 05588600, se sídlem Tábor 2333/8, 616 00 Brno, zapsané do obchodního rejstříku u Krajského soudu v Brně pod spisovou značkou C 96438
- Definice
- V těchto Podmínkách zpracování osobních údajů:
- „Podmínky“ znamenají Podmínky zpracování osobních údajů.
- „VOP“ znamenají všeobecné obchodní podmínky Zpracovatele.
- „Zpracovatel“ znamená Provozovatel dle VOP.
- „Správce“ znamená Školu dle VOP.
- „Smlouva“ znamená smlouvu uzavřenou mezi Správcem a Zpracovatelem, jejímž předmětem je poskytnutí Licence k užívání Aplikace Správcem za podmínek uvedených ve VOP“.
- „GDPR“ znamená Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
- „Zákon o ochraně osobních údajů“ znamená zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů.
- „Osobní údaje“ znamenají informace o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokální údaje, síťový identifikátor.
- „Zpracování“ jakékoliv operace nebo souboru operací s Osobními údaji, např. vyhledání, uložení, shromáždění, zpřístupnění nebo zničení.
- „Subjekt údajů“ znamená Koncový uživatel, jehož osobní údaje jsou zpracovávány Zpracovatelem pro Správce.
- „Důvěrné informace“ znamenají veškeré skutečnosti související s plněním těchto Podmínek, Osobní údaje a jejich Zpracování, vč. bezpečnostních opatření přijatých v rámci tohoto Zpracování.
- „Další zpracovatel“ znamená další zpracovatel ve smyslu čl. 28 odst. 2 GDPR.
- Pojmy obsažené v těchto Podmínkách, které nejsou Podmínkami definovány, mají význam stanovený Smlouvou, jejíž obsah je dán VOP Zpracovatele.
- V těchto Podmínkách zpracování osobních údajů:
- Základní ustanovení
- Zpracovatel poskytuje služby užívání Aplikace na základě Smlouvy mezi Zpracovatelem a Správcem.
- Vzhledem k tomu, že v souvislosti se zajištěním fungování Aplikace pro Subjekty údajů bude Zpracovatel nakládat s Osobními údaji Subjektů údajů, které Správce předá Zpracovateli, přičemž bude docházet ke zpracování osobních údajů ve smyslu Zákona o ochraně osobních údajů a GDPR, jsou nedílnou součástí Smlouvy následující Podmínky, které v souladu § 6 Zákona o ochraně osobních údajů a čl. 28 odst. 3 a 9 GDPR upravují vzájemná práva a povinnosti Správce a Zpracovatele, která vznikají v souvislosti se Zpracováním Osobních údajů Zpracovatelem pro Správce.
- Předmět Podmínek
- Předmětem těchto Podmínek je stanovení práv a povinností Smluvních stran souvisejících se Zpracováním.
- Zpracování osobních údajů
- Zpracovatel je povinen pro Správce zpracovávat Osobní údaje v rozsahu, za účely, po dobu a způsoby uvedenými v článku 4 těchto Podmínek, a to v souladu s doloženými pokyny Správce vydanými v souladu s odst. 4.7 těchto Podmínek.
- Zpracovatel je povinen zpracovávat následující kategorie a typy Osobních údajů týkající se následujících kategorií subjektů údajů:
Typ osobních údajů
Kategorie osobních údajů
Kategorie subjektů údajů, ke kterým se osobní údaje vztahují
Ostatní kategorie osobních údajů
Kontaktní údaje, přihlašovací údaje, údaje o registraci a přihlášení, identifikační údaje zařízení (IP adresa, operační systém a webový prohlížeč), volitelné uživatelské údaje (jméno a příjmení, profilová fotka, datum narození, pohlaví, další nastavení), údaje vyplněné uživatelem v rámci modulů aplikace, druh licence, název školy
Žáci a studenti Správce
Ostatní kategorie osobních údajů
Kontaktní údaje, přihlašovací údaje, údaje o registraci a přihlášení, identifikační údaje zařízení (IP adresa, operační systém a webový prohlížeč), volitelné uživatelské údaje (jméno a příjmení, profilová fotka, datum narození, pohlaví, další nastavení), údaje vyplněné uživatelem v rámci modulů aplikace, druh licence, název školy, funkce ve škole
Zaměstnanci Správce či další osoby pověřené správcem (zejména externí kariérní poradci či školní psychologové)
Ostatní kategorie osobních údajů
E-mailová adresa
Příjemce podlicence (žák/student před registrací)
Ostatní kategorie osobních údajů
E-mailová adresa, datum poslední operace v účtu
Rodič (nasdílel-li mu žák výsledky)
- Na základě těchto Podmínek bude Zpracovatel zpracovávat Osobní údaje pouze za účelem:
- zpřístupnění aplikace budoucím uživatelům, registrace Uživatelského účtu uživatelů, jeho vedení a správa, včetně poskytování služeb Aplikace a související komunikace v souvislosti s poskytováním služeb a uživatelskou podporou;
- sdílení výsledků zvolených uživatelem v postavení žáka či studenta uživateli v postavení školního poradce, školního psychologa či rodiče;
- bezpečnostního dohledu nad provozem aplikace.
- Pro vyloučení pochybností je Zpracovatel povinen pro Správce nezpracovávat jakékoliv Osobní údaje pro jiný účel, než který je stanovený v odst. 4.3. Podmínek.
- Zpracování Osobních údajů Zpracovatelem bude mít následující povahu:
- shromažďování;
- ukládání na nosiče informací;
- třídění, uspořádání a vyhledání;
- předávání a uchovávání;
- výmaz,
- Zpracovatel je povinen zpracovávat Osobní údaje nejdéle po dobu účinnosti Smlouvy, pokud mu jiný právní předpis v souladu s čl. 28 odst. 3 písm. g) GDPR neukládá kopie osobních údajů uchovávat.
- Zpracovatel se zavazuje zpracovávat Osobní údaje Subjektů údajů, kterým Správce udělí v souladu se Smlouvou podlicenci k činnostech odpovídajícím účelu Zpracování, a to na základě registrace Uživatelského účtu Subjektů údajů v uživatelském prostředí Aplikace.
- Mlčenlivost
- Zpracovatel se zavazuje zachovávat mlčenlivost o Důvěrných informacích.
- Zpracovatel se zavazuje ve vztahu k Důvěrným informacím zavázat mlčenlivostí všechny své zaměstnance, popřípadě třetí osoby, které zpracovávají Osobní údaje na základě smlouvy se Zpracovatelem, ve stejném rozsahu, jako je zavázán on sám, a to i po skončení pracovněprávního nebo smluvní vztahu mezi příslušnou osobou a Zpracovatelem. Zpracovatel odpovídá za porušení povinnosti mlčenlivosti těchto osob, jako by se porušení této povinnosti dopustil on sám.
- Zabezpečení Osobních údajů
- Zpracovatel je povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
- Zpracovatel je povinen učinit zejména následující ochranná opatření:
- Chránit média obsahující Osobní údaje před neoprávněným přístupem uzamčením ve skřínkách nebo archivech a elektronickým zabezpečením prostor, ve kterých jsou Osobní údaje uloženy;
- Osobní údaje uchovávané v elektronické podobě chránit před neoprávněným přístupem pomocí vytvoření přístupových práv a kontroly přístupu do sítě včetně technologie firewallů, jak hardwarových, tak i softwarových komponent, technologie detekce síťových průniků, pseudonymizace a šifrovací technologie, vybrané podle jejich vhodnosti;
- zajistit ochranu, udržování a monitorování zabezpečení a integrity sítě Zpracovatele;
- zajistit pravidelné zálohování dat včetně zajištění potřebného software a hardware pro provádění bezpečnostních záloh;
- určit pověřené fyzické osoby ke zpracování Osobních údajů, přičemž pouze tyto osoby budou oprávněny k přístupu a zpracování Osobních údajů v souladu s ustanoveními těchto Podmínek;
- pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zobrazeny, zaznamenány nebo jinak zpracovány;
- Přijmout případně další technická opatření, která jsou obecně uznávána jako vhodná bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.
- Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany Osobních údajů v souladu se Zákonem o ochraně osobních údajů a jinými právními předpisy, zejména GDPR, a udržovat takovou dokumentaci aktuální. Zpracovatel je povinen zpřístupnit dokumentaci technických a organizačních opatření Správci nejpozději do 15 pracovních dní od doručení žádosti Správce.
- Zapojení dalšího zpracovatele
- Správce bere na vědomí a souhlasí s tím, že Zpracovatel zapojí do Zpracování podle těchto Podmínek i Další zpracovatele, kteří jsou uvedeni v Seznamu dalších zpracovatelů dostupných na www.salmondo.cz/seznam-dalsich-zpracovatelu (dále jen „Seznam dalších zpracovatelů“), a to za splnění podmínek stanovených v tomto článku 7. Seznam dalších zpracovatelů je nedílnou součástí těchto Podmínek.
- Zpracovatel se zavazuje pravidelně aktualizovat Seznam dalších zpracovatelů a jednou za půl roku informovat Správce o provedených změnách v Seznamu dalších zpracovatelů.
- Zpracovatel je povinen zavázat Dalšího zpracovatele stejnými povinnostmi, jakými je Zpracovatel těmito Podmínkami vázán sám.
- Zpracovatel odpovídá za Zpracování, které svěřil Dalšímu zpracovateli, v plném rozsahu. Zpracovatel odpovídá za porušení povinností dle těchto Podmínek nebo dle právního řádu při Zpracování Dalším zpracovatelem, jako by se porušení příslušné povinnosti dopustil on sám.
- Součinnost a audit
- Zpracovatel se zavazuje poskytovat Správci součinnost v rozsahu nezbytném k zajištění souladu zpracování Osobních údajů dle těchto Podmínek s právním řádem. V rámci této součinnosti se zavazuje Zpracovatel zejména (nikoliv však pouze):
- bez zbytečného odkladu přijmout technická nebo organizační opatření v rozsahu nezbytném k prevenci nebo nápravě porušení těchto Podmínek nebo právních předpisů upravujících ochranu osobních údajů;
- být nápomocen Správci při zavádění a udržování vhodných technických a organizačních opatření zpracování Osobních údajů v souvislosti s plněním těchto Podmínek;
- bez zbytečného odkladu hlásit Správci každé porušení zabezpečení Osobních údajů nebo jiný bezpečnostní incident, který by se mohl dotknout zpracování Osobních údajů dle těchto Podmínek nebo práv a právem chráněných zájmů subjektů Osobních údajů;
- být nápomocen Správci při posuzování vlivu na zpracování Osobních údajů dle těchto Podmínek na ochranu osobních údajů, popř. při předchozích konzultacích s dozorovým úřadem;
- bez zbytečného odkladu poskytnout Správci veškeré podklady a informace nezbytné k doložení toho, že zpracování Osobních údajů dle těchto Podmínek probíhá v souladu s právním řádem;
- v souladu s právním řádem bez zbytečného odkladu předat Správci žádosti subjektu Osobních údajů, který uplatnil své právo, jež mu právní řád přiznává (právo na přístup, opravu, výmaz apod.) u Zpracovatele.
- Správce má právo provést u Zpracovatele audit souladu zpracování Osobních údajů s právním řádem a audit zabezpečení Osobních údajů (dále jen souhrnně „Audit“), a to prostřednictvím sebe nebo pověřené třetí osoby. Zpracovatel se zavazuje poskytnout Správci nebo Správcem pověřené třetí osobě veškerou součinnost nezbytnou k provedení Auditu, zejm. poskytnout dokumentaci technických a organizačních opatření zpracování Osobních údajů a jiné interní předpisy týkající se zpracování Osobních údajů, na nezbytně nutnou dobu zpřístupnit své elektronické a informační systémy v rozsahu nezbytném k provedení Auditu. Správce se zavazuje provést Audit tak, aby bylo fungování Zpracovatele narušeno pouze v nezbytné míře.
- Správce má právo provést Audit vždy jednou za 6 měsíců trvání Smlouvy a dále pokaždé, když dojde k porušení povinností dle těchto Podmínek nebo povinností, které pro zpracování osobních údajů ukládá právní řád, Zpracovatelem nebo Dalším zpracovatelem.
- V případě, že má Správce v úmyslu uskutečnit u Zpracovatele Audit, je povinen o tom Zpracovatele informovat nejpozději 14 dní před termínem zamýšleného Auditu. Smluvní strany se dohodly, že Zpracovatel má právo navrhnout jiný vhodný termín, ne však později než 14 dní od termínu navrhovaného Správcem. V případě, že Správce nebude s takto navrženým termínem souhlasit, má právo navrhnout nový termín Auditu. Pokud Zpracovatel nebude s posledním navrženým termínem Auditu souhlasit, bude termín Auditu stanoven na desátý pracovní den v kalendářním měsíci následujícím po měsíci, ve kterém bylo Správci doručeno oznámení Zpracovatele s posledním navrženým termínem Auditu. V případě, že Zpracovatel na návrh Správce nezareaguje do 7 pracovních dní od obdržení či nenavrhne do této doby jiný termín, platí termín navrhovaný Správcem podle první věty tohoto odstavce. V případě, že Správce nezareaguje na návrh Zpracovatele ohledně nového termínu Auditu do 7 pracovních dní od obdržení odpovědi Zpracovatele, či nenavrhne do této doby jiný termín, platí poslední termín navrhovaný Zpracovatelem.
- Zpracovatel se zavazuje bez zbytečného odkladu přijmout technická a organizační opatření k nápravě pochybení nebo bezpečnostních rizik zjištěných Auditem v rozsahu nezbytném k zajištění nápravy.
- Zpracovatel se zavazuje, že Správce bude oprávněn provést Audit u Dalšího zpracovatele v rozsahu a za podmínek dle odst. 2. až 8.4 těchto Podmínek.
- Zpracovatel se zavazuje poskytovat Správci součinnost v rozsahu nezbytném k zajištění souladu zpracování Osobních údajů dle těchto Podmínek s právním řádem. V rámci této součinnosti se zavazuje Zpracovatel zejména (nikoliv však pouze):
- Ostatní povinnosti Zpracovatele
- Zpracovatel se zavazuje plnit povinnosti zpracovatele stanovené Zákonem o ochraně osobních údajů, GDPR a těmito Podmínkami, a to zejména:
- dodržovat prostředky a způsoby zpracování Osobních údajů stanovené těmito Podmínkami;
- zpracovat pouze přesné Osobní údaje, které byly získány v souladu se Zákonem o ochraně osobních údajů a GDPR, a je-li to nezbytné, Osobní údaje aktualizovat; zpracovává-li Zpracovatel nepřesné Osobní údaje, je povinen bez zbytečného odkladu provést přiměřená opatření, zejména zpracování blokovat, Osobní údaje opravit nebo doplnit, nebo není-li to možné, nepřesné Osobní údaje zlikvidovat;
- shromažďovat Osobní údaje odpovídající účelu zpracování a pouze v rozsahu nezbytném pro naplnění tohoto účelu;
- zpracovávat Osobní údaje pouze v souladu s účelem, k němuž byly shromážděny;
- uchovávat Osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování;
- zpracovávat Osobní údaje tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů;
- přijmout bezpečnostní opatření stanovená těmito Podmínkami;
- provést likvidaci Osobních údajů na základě pokynu Správce, ledaže zákon Zpracovateli ukládá Osobní údaje zachovat.
- nepředávat Osobní údaje třetím osobám bez pověření Správce.
- V případě ukončení Smlouvy, jejímž obsahem jsou i tyto Podmínky, se Zpracovatel zavazuje všechny Osobní údaje předat Správci a vymazat existující kopie, pokud mu zákon neukládá takové existující kopie zachovat.
- Zpracovatel se zavazuje zachovávat mlčenlivost dle čl. 5 těchto Podmínek a zajistit zabezpečení Osobních údajů, pokud tyto Osobní údaje nezlikviduje, i po ukončení závazku ze Smlouvy, jejímž obsahem jsou tyto Podmínky.
- Zpracovatel se zavazuje plnit povinnosti zpracovatele stanovené Zákonem o ochraně osobních údajů, GDPR a těmito Podmínkami, a to zejména:
- Závěrečná ustanovení
- Tyto Podmínky jsou nedílnou součástí Smlouvy, jejíž obsah je tvořen VOP. Tyto Podmínky jsou zveřejněny na webové stránce Zpracovatele a je tak umožněna jejich archivace a reprodukce Správcem.
- Tyto Podmínky nabývají účinnosti dne 8. 5. 2019.
- adresa pro doručování: Salmondo CZ, s.r.o., Tábor 2333/8, 616 00 Brno,
- adresa elektronické pošty: info@salmondo.cz,
- telefon: +420 737 508 012.