SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ
Tato smlouva o zpracování údajů (dále jen „smlouva o zpracování“) upravuje zpracování osobních údajů, které vyplývá z používání služby Whistlelink zákazníkem v souladu se smlouvou, a je proto nedílnou součástí smlouvy. Údaje o Zákazníkovi, které Zákazník zadává do Whistlelinku, jsou šifrované a nemáme k nim jiný přístup než ten, že je ukládáme na našich serverech a ve výjimečných případech můžeme potřebovat pomoci Zákazníkovi v souvislosti s otázkami podpory. Toto ukládání informací o whistleblowingu znamená, že podle nařízení o ochraně osobních údajů (2016/679) (dále jen „GDPR“) jsme považováni za zpracovatele osobních údajů jménem Zákazníka, a tudíž pro něj představujeme zpracovatele v roli správce. Pojmy v této smlouvě o zpracování se vykládají v souladu s GDPR, jakož i s platnou místní úpravou a nařízením týkajícím se ochrany osobních údajů (souhrnně „pravidla ochrany osobních údajů“). Pojmy ve Smlouvě o zpracování mají význam, který se primárně objevuje v Pravidlech ochrany osobních údajů a jinak ve Smlouvě, pokud z okolností jednoznačně nevyplývá něco jiného.
1. Odpovědnost a poučení
1.1 Typ údajů a kategorie subjektů údajů, které Zpracovatel zpracovává podle této Zpracovatelské smlouvy v souvislosti s poskytováním služby Whistlelink Zpracovatelem, a účel, povaha, doba trvání a předmět zpracování jsou popsány v oddíle 5. Zákazník zajistí, aby Zpracovatel nezpracovával další kategorie údajů, než které jsou uvedeny v oddíle 5.
1.2 Zákazník si je vědom toho, že Whistlelink je platforma, která je distribuována velkému počtu zákazníků, a že se proto nebudeme moci nutně řídit takovými pokyny, které nejsou přímým důsledkem potřeby Zákazníka dodržovat pravidla ochrany údajů. Pokud nám Zákazník dá takové pokyny, kterými se nemáme možnost řídit, zavazuje se Zákazník, že přestane zadávat a exportovat všechny takové údaje Zákazníka, které jsou aktuálními pokyny dotčeny. Výše uvedené nepředstavuje porušení smlouvy nebo dostupnosti Whistlelink.
1.3 Zákazník je správcem všech osobních údajů, které Zpracovatel zpracovává jménem Zákazníka na základě Zpracovatelské smlouvy. Zákazník je tedy odpovědný za dodržování platných pravidel ochrany osobních údajů a zavazuje se dodržovat pokyny pro používání služby Whistlelink, které jsou aktuálně platné, a právní předpisy, které se vztahují na nakládání s oznamovateli.
1.4 Uzavřením této Smlouvy Zákazník souhlasí s bezpečnostními opatřeními stanovenými v aktuálních organizačních a technických opatřeních Whistlelinku jako přiměřenými pro zamýšlené použití Whistlelinku Zákazníkem.
2. Závazek zpracovatele
2.1 Zpracovatel se zavazuje:
- mít odpovídající technické a organizační zabezpečení a přijmout bezpečnostní opatření stanovená v aktuálních organizačních a technických opatřeních Whistlelink es a v článku 32 GDPR k ochraně údajů zpracovávaných podle této smlouvy, včetně odpovídající povinnosti mlčenlivosti uložené osobám u Zpracovatele s oprávněním tyto údaje zpracovávat;
- pomáhá Zákazníkovi plnit bezpečnostní požadavky stanovené v článcích 32-36 GDPR (jako jsou technická a organizační opatření, oznamování a informování Zákazníka bez zbytečného odkladu při porušení zabezpečení osobních údajů, posouzení vlivu a předchozí konzultace) a jsou plněny povinnosti Zákazníka týkající se individuálních práv v kapitole III GDPR (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů, námitka proti automatizovanému rozhodování);
- poskytnutí práva Zákazníkovi získat od Zpracovatele informace za účelem kontroly a ověření opatření přijatých Zpracovatelem v souladu s touto smlouvou. Zpracovatel usnadňuje a přispívá k šetřením (včetně inspekcí) prováděným Zákazníkem nebo auditorem, který taková šetření provádí jménem Zákazníka. Zpracovatel se dále obrátí na Zákazníka, jehož osobní údaje zpracovává, dozorový úřad nebo jinou třetí stranu, která si od Zpracovatele vyžádá informace týkající se zpracování osobních údajů. Zpracovatel neprodleně informuje Zákazníka o všech kontaktech ze strany dozorového úřadu, které se týkají nebo mohou mít význam pro zpracování osobních údajů,
- v závislosti na tom, co si Zákazník zvolí; vymazání, anonymizaci nebo vrácení všech osobních údajů Zákazníkovi po ukončení Smlouvy, bez ohledu na důvod, včetně vymazání všech kopií, které podle zákona o ochraně osobních údajů nesmí být uloženy,
- jinak poskytnout Zákazníkovi přístup k takovým informacím, které jsou nezbytné k tomu, aby Zákazník mohl plnit své povinnosti správce vůči dozorovému úřadu a/nebo fyzickým osobám,
- nepředávání údajů do třetích zemí nebo mezinárodní organizaci, pokud to nevyžaduje zákon o ochraně osobních údajů, přičemž Zpracovatel o tom neprodleně informuje Zákazníka, pokud to není zakázáno.
2.2 Zpracovatel se dále zavazuje zpracovávat údaje vždy v souladu s pravidly ochrany osobních údajů. To zahrnuje mimo jiné vedení registru všech kategorií prováděných zpracování, poskytnutí výpisu z registru o provedeném zpracování na žádost Objednatele a neprodlené informování Objednatele, pokud má Zpracovatel podezření, že existuje riziko, že jsou porušovány svobody a práva jednotlivce.
3. Dílčí zpracovatelé a předávání do třetích zemí
3.1 Za předpokladu, že Zpracovatel (i) informuje Správce o svých plánech v přiměřeném časovém předstihu, přičemž Správce má právo vznést námitku, má Zpracovatel obecné oprávnění najímat dílčí zpracovatele pro zpracování údajů jménem Zákazníka, za které je Zpracovatel Zákazníkovi plně odpovědný.
3.2 Za předpokladu, že Zpracovatel (i) informuje Správce o svých plánech alespoň 30 dní předem, přičemž Správce má právo vznést námitku, a (ii) uplatňuje přiměřené a v souladu s Pravidly ochrany osobních údajů schválené bezpečnostní mechanismy, může Zpracovatel předávat osobní údaje mimo EU/EHP.
3.3 Uzavřením této smlouvy Zákazník schvaluje dílčí zpracovatele uvedené v oddíle 5. V době uzavření této Smlouvy Zpracovatel nepředává Osobní údaje do žádné třetí země.
4. Různé
4.1 Ustanovení Smlouvy se vztahují i na tuto Zpracovatelskou smlouvu. V případě rozporu mezi Smlouvou a touto Zpracovatelskou smlouvou má přednost Zpracovatelská smlouva.
5. Pokyny
5.1 Tento oddíl 5 představuje počáteční pokyny Zákazníka Zpracovateli a může být, s výhradou oddílu 1.2, později doplněn.
5.2 Kategorie subjektů údajů. Každý, kdo může být uveden v oznámení v systému Whistlelink, včetně oznamovatele, pokud si oznamovatel nepřeje zůstat v anonymitě, a nahlášené osoby.
5.3 Účel, povaha a předmět zpracování a kategorie osobních údajů. S ohledem na hlavní funkci a účel Zpracovatele, kterým je poskytování služby Whistlelink, a tím i zpracování konkrétně pro uchovávání údajů Zákazníka, které mohou obsahovat osobní údaje, zahrnují kategorie osobních údajů všechny kategorie údajů, které se mohou vyskytnout v souvislosti s whistleblowingem, včetně citlivých údajů a údajných porušení právních předpisů.
5.4 Ukládání dat. Zpracovatel uchovává údaje o případech všech zpráv po dobu uchovávání nastavenou klientem v systému.
5.5 Dílčí zpracovatelé. Od uzavření této smlouvy má Zpracovatel následující dílčí zpracovatele, jejichž počet však může být v souladu s bodem 3. změněn:
- Dílčí zpracovatelé: Swerolab AB (Švédsko), Interactive Security (Švédsko), SMSAPI (Polsko), Brevo (Francie), OPSWAT (Německo), Glesys (Švédsko), T-Systems International (Německo), Friendly Captcha (Německo), DeepL (Německo), Mistral AI (Francie).
5.6 Přenosy ze třetích zemí. Ke dni uzavření této dohody nemá zpracovatel žádné přenosy mimo EU/EHP, což však může být změněno v souladu s oddílem 3:
- Předání mimo EU/EHP: žádné.
