Vzor dohody o zpracování osobních údajů

DOHODA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
dle nařízení o ochraně osobních údajů (EU) 2016/679 (dále jen „nařízení“)
(E-shop)
se sídlem: (sídlo)
IČO: (IČ), DIČ: (DIČ)
(dále „správce“)
A
Seznam.cz, a.s.
zápis v obchodním rejstříku: spisová značka B 6493 vedená u Městského soudu v Praze
se sídlem: Praha 5 - Smíchov, Radlická 3294/10, PSČ: 15000
IČO: 26168685, DIČ: CZ26168685
(dále „zpracovatel“)
I. Úvodní ustanovení
1. Mezi správcem a zpracovatelem probíhá obchodní spolupráce, v rámci které zpracovatel mimo jiné zpracovává níže uvedené osobní údaje (dále „spolupráce“).
2. Strany mají zájem upravit práva a povinnosti související se zpracováním osobních údajů, k němuž dochází nebo bude docházet v rámci spolupráce, zejména pak vymezit rozsah osobních údajů, které budou zpracovávány, účel a dobu, po kterou budou osobní údaje zpracovávány, podmínky zpracování osobních údajů a záruky zpracovatele z hlediska zabezpečení ochrany osobních údajů.
II. Osobní údaje, účel a doba jejich zpracování
1. Zpracovatel zpracovává pro správce tyto osobních údaje:
a) e-mail zákazníka e-shopu správce a informace o nákupu konkrétního zboží; účel zpracování: kontaktování zákazníka e-shopu správce prostřednictvím e-mailu s výzvou k vyplnění dotazníku spokojenosti s objednávkou v e-shopu; doba zpracování: 230 dnů; operace při zpracování: sběr, uložení a užití;
b) e-mail zákazníka e-shopu správce a informace o nákupu konkrétního zboží; účel zpracování: kontaktování zákazníka e-shopu správce prostřednictvím e-mailu s žádostí o hodnocení zboží zakoupeném v e-shopu; doba zpracování: 230 dnů; operace zpracování: sběr, uložení a užití;
2. Zpracovatel bude zpracovávat osobní údaje dle této dohody, v rozsahu spolupráce a dle pokynů správce, o nichž zpracovatel povede písemnou evidenci.
3. Zpracovatel bude osobní údaje zpracovávat pouze k účelům dle této dohody a jen po dobu existence zákonného důvodu zpracování, nejdéle však po dobu platnosti a účinnosti spolupráce dle článku 1 odst. 1 této dohody.
4. Kontaktní osobou správce ve všech otázkách této dohody je vlastník účtu nastavený v administraci Zboží.cz.
5. Kontaktní údaje zpracovatele ve všech otázkách jsou: e-mail: dpo@firma.seznam.cz nebo ochranaudaju@firma.seznam.cz.
III. Povinnosti zpracovatele
1. Zpracovatel je povinen osobní údaje zpracovávat v souladu s nařízením a právními předpisy a nese plnou odpovědnost za zákonnost zpracování osobních údajů.
2. Zpracovatel prohlašuje, že jeho organizační struktura a vnitřní předpisy garantují zákonnost  zpracování osobních údajů. Pokud zpracovatel jmenoval či jmenuje pověřence pro ochranu osobních údajů, předá na něj správci neprodleně jeho kontaktní údaje.
3. V případě, že subjekt údajů uplatní svá práva týkající se osobních údajů a jejich ochrany, je zpracovatel povinen takovou žádost neprodleně předat správci.
4. Zpracovatel je povinen vést záznamy o činnostech dle článku 30 odstavec 2 nařízení.
5. Zpracovatel je povinen zachovávat mlčenlivost o osobních údajích.
6. Zpracovatel je povinen zajistit, že jeho zaměstnanci (či jiné osoby, které budou osobní údaje pro zpracovatele zpracovávat), budou zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném zpracovatelem, které odpovídají této dohodě, nařízení a právním předpisům. Zpracovatel těmto osobám uloží povinnost zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání nebo spolupráce se zpracovatelem.
7. Zpracovatel poskytne správci součinnost nutnou pro splnění povinností správce dle části III. nařízení (práva subjektů údajů na opravu, výmaz, omezení zpracování, přenositelnost osobních údajů, právo vznést námitku aj.) a článků 32 až 36 nařízení (zejména povinnosti při zabezpečení zpracování osobních údajů, ohlášení případů porušení zabezpečení osobních údajů dozorovému orgánu nebo subjektu údajů, posouzení vlivu na ochranu osobních údajů apod.).   
IV. Další zpracovatelé osobních údajů
1. Zpracovatel je oprávněn využívat další zpracovatele.
2. Zpracování osobních údajů dalším zpracovatelem smí být prováděno pouze za předpokladu, že tento další zpracovatel bude vázán podmínkami této dohody, zavede vhodná technická a organizační opatření a zpracování osobních údajů bude splňovat požadavky nařízení a právních předpisů a bude zajištěna náležitá ochrana práv subjektu údajů. Zpracovatel bude pravidelně kontrolovat dodržování těchto povinností ze strany dalšího zpracovatele.
V. Zabezpečení osobních údajů
1. Zpracovatel zajistí minimálně tato technická a organizační opatření:
a) zpracovatel je povinen zajistit, aby jeho organizační struktura a interní pravidla jeho fungování byla v souladu se specifickými požadavky na ochranu osobních údajů; zpracovatel je povinen zavést a udržovat technická a organizační opatření a odpovídající ochranu osobních údajů správce v souladu s nařízením a právními předpisy;
b) zpracovatel je povinen zajistit, aby přístupová práva zpracovatele k osobním údajům, systémům a datům správce byla odpovídajícím způsobem chráněna, a aby k nim neoprávněné osoby nezískaly přístup a nemohly je používat;
c) zpracovatel zajistí pravidelnou zálohu dat týkajících se osobních údajů zpracovávaných pro správce či jeho jménem; zpracovatel zejména zajistí přijetí odpovídajících opatření na ochranu proti ztrátě dat, nedostupnosti dat nebo jejich zasažení malwarem; mimo tento rámec není zpracovatel bez předchozího písemného souhlasu správce oprávněn vytvářet jiné kopie ani duplikáty osobních údajů;
d) zpracovatel zajistí dostatečné oddělení dat od dat a přístupových práv dalších smluvních partnerů zpracovatele;
e) zpracovatel je povinen zajistit tyto činnosti:
• pseudonymizaci a šifrování osobních údajů;
• opatření pro zajištění průběžné důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracování a služeb;
• opatření pro obnovení včasné dostupnosti a přístupu k osobním údajům v případě fyzického nebo technického incidentu;
• proces pro pravidelné testování, hodnocení a posouzení efektivity technických a organizačních opatření pro zajištění zabezpečení zpracování;
f) nosiče osobních údajů budou umístěny v uzamčeném prostředí, které je dostatečně chráněno proti fyzickému přístupu všech neoprávněných osob; stejně tak bude chráněn přístup k serverům a databázím, na nichž budou osobní údaje uloženy;
g) přístup k osobním údajům uloženým na elektronických nosičích je omezen výhradně pro oprávněné osoby; přístup musí být umožněn výlučně prostřednictvím individuálních přihlašovacích údajů, které byly oprávněným osobám prokazatelně vydány;
h) vzdálený přístup k osobním údajům je umožněn pouze ze zabezpečených koncových zařízení přes šifrovanou komunikaci typu VPN s bezpečným vícefaktorovým přihlášením;
i) data jsou anonymizována a minimalizována dle stanovených účelů.
2. Zpracovatel je povinen vést logy o přístupu k osobním údajům a archivovat je po dobu 6 měsíců po ukončení platnosti a účinnosti této dohody a tyto logy je na výzvu povinen předložit správci.
VI. Povinnosti zpracovatele v případě porušení nařízení
1. Zpracovatel neprodleně informuje správce:
a) o všech skutečnostech, které jsou podstatné pro řádné plnění této dohody;
b) o každém porušení zabezpečení osobních údajů.
2. Oznámení zpracovatele musí být v souladu s článkem 33 oddílem 3 nařízení.
3. Zpracovatel poskytne správci součinnost v případě dotazů či šetření ze strany dozorových orgánů.
VII. Postup při ukončení spolupráce
1. Zpracovatel je po ukončení doby zpracování povinen okamžitě všechny osobní údaje vymazat nebo je vrátit správci, pokud nařízení či právní předpis nepožaduje uložení (archivaci) daných osobních údajů.
2. Zpracovatel není oprávněn opravovat, vymazávat ani blokovat osobní údaje poskytnuté správcem, pokud nejde o plnění smluvní povinnosti nebo mu k tomu nedá správce písemný pokyn.
3. Jsou-li v IT systémech zpracovatele uloženy osobní údaje předané správcem, navrácení dat správci musí probíhat ve formátu schopném migrace (tj. otevřená data ve strojově čitelném formátu), a to po dokončení dohodnutých či nezbytných činností nebo na výzvu správce. Vymazání dat u zpracovatele musí být provedeno takovým způsobem, který znemožní budoucí rekonstrukci vymazaných dat. Záznam o výmazu bude na výzvu předložen správci. Správce zpracovateli písemnou formou potvrdí vrácení dat ve formátu schopném migrace.
4. Po ukončení spolupráce, této dohody nebo na žádost správce zpracovatel vrátí správci veškeré dokumenty, které má k dispozici, včetně veškerých produktů zpracování osobních údajů vypracovaných v souvislosti s touto smlouvou, případně po předchozím písemném pokynu správce zajistí jejich likvidaci v souladu s právními předpisy.
VIII. Závěrečná ustanovení
1. Platnost a účinnost této dohody nastává dnem jejího podpisu oprávněnými zástupci obou smluvních stran.
2. Otázky touto dohodou výslovně neupravené se řídí zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, jakož i zákonem, který zákon č. 101/2000 Sb. nahradí a nařízením č. 2016/679 Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a dalšími obecně závaznými právními předpisy České republiky.
3. Tato dohoda se uzavírá na dobu určitou, a to na dobu platnosti a účinnosti smlouvy, na základě níž probíhá spolupráce dle článku I. odst. 1 této dohody. Ukončení dohody nemá vliv na povinnost zpracovatele učinit všechny potřebné kroky směřující k zabezpečení ochrany osobních údajů až do jejich smazání nebo předání zpět správci dle čl. 3 odst. 5 této dohody.  
4. Tato dohoda je vyhotovena ve dvou stejnopisech, z nichž každý má platnost originálu. Po podpisu této dohody obdrží každá ze stran jedno vyhotovení.

V Praze, dne (den)
 
(E-shop)
Jméno:  (Jméno)
Seznam.cz, a.s.
Administrační web Zboží.cz

Odsouhlaseno v administračním webu Zboží.cz (aktuální datum a čas) autentizovaným uživatelem (uživatel).

Product list Zboží.czPersonal data processing agreement