Zpracovatelská smlouva
1. Vymezení základních pojmů
1.1. Pojmy "Poskytovatel" a "Zákazník" mají stejný význam, který definují Smluvní podmínky a termíny "GDPR", "správce dat", "zpracovatel dat", "osobní údaje", "zpracování", "odpovídající technická a organizační opatření", jak je definují Podmínky ochrany osobních údajů.
1.2. Tato Zpracovatelská smlouva definuje způsob zpracování osobních dat obchodních partnerů Zákazníka v souladu s požadavky GDPR.
1.3. Poskytovatel je ve vztahu k osobním údajům obchodních partnerů Zákazníka zpracovatelem, Zákazník je správcem těchto údajů.
1.4. Poskytovatel není oprávněn osobní údaje zpracovávat v rozporu anebo nad rámec stanovený těmito podmínkami bez přímého, zvláštního souhlasu. Tento souhlas může Zákzaník dát například v emailu nebo jiné komunikaci s Poskytovatelem.
2. Jaká data Poskytovatel zpracovává
2.1. Poskytovatel spravuje data, která Zákazník nahraje na servery Poskytovatele pomocí protokolů SSH, SFTP, FTP nebo přes programové rozhraní provozované Zákazníkem či nástrojem na práci s databázemi. Tato data mohou obsahovat i osobní data uživatelů Zákazníka.
2.2. S daty nahranými Zákazníkem způsobem popsaným v bodu 2.1. Poskytovatel nemanipuluje s výjímkou případů popsaných v bodech 3.3 a 3.4.
3. Co s daty Poskytovatel dělá, jak je zpracovává
3.1. Osobní údaje jsou zpracovávány za účelem výkonu veškerých činností potřebných pro poskytování prostoru pro webové aplikace.
3.2. Zákazník uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů. Poskytovatel musí uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v těchto podmínkách.
3.2. Seznam subdodavatelů Poskytovatele:
- DigitalOcean - servery s daty a zálohy
- AWS - zálohy
- BackBlaze - zálohy
- Fakturoid - zpracování fakturačních údajů
- Slack - interní komunikace
- Mailgun - emailová komunikace
- Google - emailová komunikace a dokumenty
- Trello - interní komunikace
- SmartSupp - online chat
3.3. Poskytovatel s daty zákazníka, získané způsobem popsaným v bodu 2.1, provádí následující operace:
- Kopírování mezi servery Poskytovatele,
- ukládání šifrovaných záloh těchto dat až na 60 dní,
- mazání.
3.4. Poskytovatel se zavazuje nevstupovat do prostoru vyhrazeného pro Zákazníka s výjimkou:
- Testování funkčnosti služby,
- na výslovnou žádost Zákazníka,
- při úpravách konfigurace služby.
3.5. Poskytovatel se zavazuje, že zpracovávání osobních údajů bude zabezpečeno zejména následujícími způsoby:
- Poskytovatel přijal a bude udržovat technická a organizační opatření odpovídají míře rizika, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití.
- Oprávněné osoby Poskytovatele, které zpracovávají osobní údaje podle těchto podmínek, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Poskytovatel zajistí jejich prokazatelné zavázání k této povinnosti. Poskytovatel zajistí, že tato povinnost oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Poskytovateli.
- Poskytovatel poskytne Zákazníkovi veškeré informace potřebné k doložení toho, že byly splněny povinnosti podle této smlouvy a GDPR, umožní audity, včetně inspekcí, prováděné Zákazníkem nebo jiným auditorem, kterého Zákazník pověřil.
4. Právo Zákazníka exportovat data
4.1. Zákazník má právo kdykoli si exportovat data, které Poskytovatel ukládá.
5. Smazání dat
5.1. Data na serverech se mažou ihned po zrušení služeb z administračního rozhraní.
5.2. Do 60 dnů od zrušení služby Poskytovatel smaže data i ze záloh aplikace.