1. ÚVODNÍ USTANOVENÍ
1.1 Objednatel a Dodavatel uzavřeli Objednávku („Smlouva“), na základě které se Dodavatel zavázal poskytovat služby uvedené ve Smlouvě, které byly dohodnuty mezi Objednatelem a Dodavatelem.Součástí Smlouvy jsou také obchodní podmínky, které upravují specifická práva a povinnosti mezi Objednatelem a Dodavatelem („Podmínky“). Dodavatel poskytuje služby spojené s personalizovaným AI Chatbotem Kanbu, jehož hlavními funkcionalitami je vyhledávaní informací pomocí AI ze zdrojových dat (tj. souborů), zajištění odpovědí formou chatbota a další vlastnosti specifikované Smlouvou („Kanbu“).
1.2 Rozsah služeb. Na základě Smlouvy budou poskytovány služby implementace, úpravy, personalizace, testování a optimalizace Kanbu, včetně následné technické podpory dohodnuté na základě dohod oúrovni poskytování služeb, které tvoří přílohu Podmínek („SLA“) (všechny služby dle Smlouvy a SLA budou dále označeny jako „Služby“). Konkrétní rozsah poskytovaných Služeb vyplývá z uzavřené Smlouvy a SLA, případně z dalších dílčích objednávek či pokynů ze strany Objednatele.
1.3 Vztah k právním předpisům. Vzhledem k tomu, že na základě poskytování Služeb může docházet ke zpracování osobních údajů Dodavatelem pro Objednatele, vystupuje Dodavatel v pozici zpracovatele osobních údajů vůči Objednateli. Nedílnou součástí Smlouvy jsou tak tyto podmínky zpracování osobních údajů ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“), a ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů.
1.4 Pověření ke zpracování. Objednatel tímto pověřuje Dodavatele zpracováním osobních údajů subjektů údajů poskytovaných Objednatelem v rámci poskytování Služeb. Dodavatel je povinen zpracovávat osobní údaje pro Objednatele na základě jeho doložených písemných pokynů a v rozsahu nezbytném k řádnému plnění povinností Dodavatele vyplývajících ze Smlouvy.
1.5 Rozsah. Zpracování osobních údajů při poskytování Služeb bude probíhat v rozsahu, který určí Objednatel, a to dle pokynů udělených Objednatelem, případně i ze samotných povinností vyplývajících ze Smlouvy, Podmínek a SLA.
1.6 Odpovědnost Objednatele. Objednatel je odpovědný za plnění všech povinností ve vztahu ke zpracování osobních údajů, zejména za řádné informování subjektů údajů o zpracování osobních údajů, získání souhlasu se zpracováním osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.). Dodavatel bude při plnění těchto povinností Objednateli nápomocný, a to v rozsahu těchto zpracovatelských podmínek („Zpracovatelské podmínky“).
1.7 Tyto Zpracovatelské podmínky tvoří nedílnou součást Smlouvy a upravují pravidla pro zpracování osobních údajů Dodavatelem ve smyslu čl. 28 GDPR.
2. PŘEDMĚT ZPRACOVÁNÍ, KATEGORIE SUBJEKTŮ ÚDAJŮ A TYP OSOBNÍCH ÚDAJŮ
2.1 Předmět zpracování a typ osobních údajů. Předmětem zpracování jsou zejména následující osobní údaje:
a) uživatelské údaje v rámci rozhraní Kanbu,
b) identifikační údaje,
c) kontaktní údaje,
d) záznamy komunikace při poskytování Služeb,
e) informace související s poskytováním Kanbu, včetně záznamů komunikace prostřednictvím chatbota, logů a dalších technických informací,
f) informace získané v rámci poskytování technické podpory, provozování Kanbu a dalších Služeb podle SLA (reportované incidenty, obsahy těchto incidentů),
g) údaje subjektů údajů Objednatele, případně subjektů údajů zákazníků Objednatele, které budou uloženy v jakémkoliv rozhraní poskytovaném při poskytování Služeb, budou Objednatelem předány Dodavateli, a které budou zpracovávány při poskytování Služeb dle Smlouvy či SLA.
2.2 Kategorie subjektů údajů. Subjekty údajů jsou:a) zaměstnanci a další pracovníci Objednatele,b) osoby vykonávající činnost na základě smluv o spolupráci či obdobných smluv pro Objednatele ,c) další uživatelé, kteří využívají Kanbu ,d) osoby, kterým jsou poskytovány Služby a které jsou pověřeny Objednatelem komunikovat sDodavatelem;e) zákazníci Objednatele a návštěvníci webů;f) další osoby, o kterých Objednatel předá Dodavateli osobní údaje, případně které budou předány,či jinak předány při poskytování Služeb v souladu s plněním Smlouvy či SLA.
3. POVAHA A ÚČEL ZPRACOVÁNÍ
3.1 Povaha zpracování. Dodavatel bude zpracovávat osobní údaje elektronicky a automatizovaně, přičemž zpracování osobních údajů bude spočívat v uložení osobních údajů, zálohování osobních údajů, nahlížení na osobní údaje v rámci zajištění analytické a implementační činnosti a úpravy Kanbu na míru, řešení požadavků Objednatele při poskytování Služeb dle SLA, propojování osobních údajů při učení Kanbu proúčely využívání Kanbu Objednatelem.
3.2 Automatizované rozhodování. Objednatel prohlašuje, že nebude využívat Kanbu pro automatizované rozhodování, včetně profilování subjektů údajů. V případě, že k tomuto bude ze strany Objednatele ocházet, zavazuje se Objednatel informovat subjekty údajů o této skutečnosti, přičemž je povinen samostatně zajistit plnění všech práv dle GDPR.
3.3 Účel zpracování. Účel zpracování je definován účelem plnění Smlouvy a SLA, tedy zajištění poskytnutí Služeb a technické podpory.
4. DOBA ZPRACOVÁNÍ
4.1 Doba zpracování. Zpracování osobních údajů bude probíhat po dobu účinnosti Smlouvy, případně po dobu potřebnou pro poskytování Služeb. Povinnosti Dodavatele týkající se ochrany osobních údajů se Dodavatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud ze Zpracovatelských podmínek nevyplývá, že mají trvat i po zániku její účinnosti.
5. DALŠÍ POVINNOSTI DODAVATELE
5.1 Souhrn povinností. Dodavatel je při zpracovávání osobních údajů povinen:
a) zpracovávat osobní údaje výlučně na základě doložených pokynů Objednatele; pro vyloučení pochybností, zpracovávání osobních údajů v souladu s povinnostmi Dodavatele dohodnutými v rámci Smlouvy, Podmínek a SLA se považuje za prováděné v souladu s instrukcemi Objednatele; za pokyny pro zpracování osobních údajů se považují také pokyny učiněné prostřednictvím nástrojů určených k vyřizování požadavků Objednatele, jakéhokoliv rozhraní poskytnutého při poskytování Služeb či jiných komunikačních kanálů, které Objednatel a Dodavatel využívají při poskytování Služeb;
b) řídit se instrukcemi Objednatele v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Dodavatele vztahuje; v takovém případě Dodavatel Objednatelem informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;c) zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby sena ně vztahovala zákonná povinnost mlčenlivosti;
d) při zohlednění povahy zpracování být Objednateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv subjektů údajů;e) při zajišťování souladu s povinnostmi Objednatele být Objednateli nápomocen (i) zajistit úroveň zabezpečení zpracování, (ii) ohlašovat případy porušení zabezpečení osobních údajů Úřadu proochranu osobních údajů a případně též subjektům údajů, (iii) posuzovat vliv na ochranu osobních údajů a (iv) realizovat předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a osobních údajů, jež má Dodavatel k dispozici ;f) v souladu s rozhodnutím Objednatele všechny osobní údaje buď vymazat, nebo vrátit Objednateli po ukončení poskytování plnění dle Smlouvy, a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů; g) umožnit Objednateli či jím pověřené osobě kontrolu (včetně auditu či inspekce) dodržování těchto Zpracovatelských podmínek, zejména povinností pro zpracování osobních údajů z nich vyplývajících, a k těmto kontrolám přispět dle důvodných pokynů Objednatele či kontrolující osoby; konkrétní pravidla auditů jsou uvedena v čl. 5.2 a 5.3 těchto Zpracovatelských podmínek.
5.2 Audity. Jakoukoliv žádost o audit je Objednatel povinen zaslat výhradně na e-mailovou adresu Dodavatelekanbu@utima.cz. Po obdržení žádosti o audit se Dodavatel a Objednatel dopředu dohodnou na: (a)možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a (b) předpokládaném začátku, rozsahu a době trvání auditu. V případě, že k dohodě nedojde ani do 30 dnů ode dne odeslání žádosti, určí podmínky auditu Dodavatel.
5.3 Námitky proti auditorovi. Dodavatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Objednatelem, pokud není auditor podle názoru Dodavatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Dodavateli nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Objednatel povinnost pověřit jiného auditora, nebo provést audit sám.
5.4 Žádosti subjektů. Dodavatel se zavazuje, v případě přijetí jakékoliv žádosti třetí osoby, týkající se zpracování osobních údajů, zejména žádosti subjektu údajů či zákazníka Objednatele, týkající se výkonujeho práv, Objednatele neprodleně, nejpozději však do 5 dnů od přijetí, o takové skutečnosti informovat a poskytnout mu nezbytnou součinnost pro její vyřízení v souladu s GDPR. Tím není dotčeno ustanoveníčl. 3.2. těchto Zpracovatelských podmínek.
5.5 Zapojení dalších zpracovatelů. Objednatel uděluje obecný souhlas se zapojením dalších zpracovatelů dozpracování osobních údajů Dodavatelem. Dodavatel je povinen před zapojením dalšího zpracovatele písemně informovat Objednatele o tomto zapojení, přičemž Objednatel může proti zapojení dalšího zpracovatele vznést námitky, a to do 5 dnů. Pokud se Objednatel ve lhůtě nevyjádří, zapojí Dodavateltohoto dalšího zpracovatele. Pokud Objednatel námitku vznese, Dodavatel ji posoudí, a pokud ji shledá oprávněnou, dalšího zpracovatele nezapojí. V takovém případě je však Dodavatel oprávněn ukončitposkytování Služeb v rozsahu navázaném na dalšího zpracovatele, přičemž Objednatel nemá nárok na náhradu škody ani slevu z poskytovaných Služeb.
5.6 Závazek vůči dalším zpracovatelům. Pokud Dodavatel zapojí do zpracování osobních údajů dalšího zpracovatele, musí tohoto dalšího zpracovatele smluvně zavázat k dodržování stejných povinností naochranu osobních údajů, jako jsou dohodnuty mezi Objednatelem a Dodavatelem v těchto Zpracovatelských podmínkách, a to zejména k zavedení vhodných technických a organizačních opatření.
6. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ A ZÁVĚREČNÁ USTANOVENÍ
6.1 Obecně k bezpečnostním opatřením. Dodavatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
6.2 Konkrétní bezpečnostní opatření. Dodavatel přijal a udržuje zejména následující opatření k zajištění přiměřené úrovně zabezpečení:
a) pseudonymizace a šifrování osobních údajů při uložení osobních údajů;
b) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
• servery, na kterých jsou uloženy osobní údaje, jsou zabezpečeny tak, aby k nim neměly přístup neoprávněné osoby;
• přístupová oprávnění pracovníků Dodavatele k údajům Objednatele jsou udělována na základě need-to-know oprávnění a přístupy jsou logovány;
• pracovníci Dodavatele využívají unikátní přihlašovací údaje, používání obecných účtů je zakázáno;
• pracovníci Dodavatele a další osoby, které se podílí ze strany Dodavatele na poskytování Služeb, jsou zavázáni k mlčenlivosti, minimálně v rozsahu zpracovávaných osobních údajů;
c) schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických čite chnických incidentů;• proces zálohování, mechanismus a nástroje jsou nastaveny v souladu s pravidly 3-2-1;• postup obnovy, čitelnost dat a integrita záloh jsou pravidelně testovány;• přístup k datům v zálohách je omezen na oprávněné pracovníky;
d) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
6.3 Bezpečnostní incidenty. V případě, že Dodavatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu Objednateli, a to nejpozději do 48 hodin, přičemž Dodavatel vynaloží přiměřené úsilík tomu, aby Objednateli poskytl všechny informace, které k incidentu zná, zejména v rozsahu dle čl. 33odst. 3 GDPR.
6.4 Náklady. Dodavatel je oprávněn vyúčtovat Objednateli účelně vynaložené náklady spojené s vyřizovánímjakékoliv žádosti, uvedené zejména v čl. 5 těchto podmínek (včetně vyřizování všech žádostí při zajišťovánísouladu, nápomoci při provádění dalších činností, auditů). Tyto náklady budou dohodnuty Stranami nazákladě vzájemné komunikace.
6.5 Odpovědnost. V případě, že Objednatel udělí Dodavateli pokyn, na základě kterého dojde k porušení povinností dle GDPR, přičemž Dodavatel na základě tohoto pokynu bude sankcionován ze strany dozorového úřadu, či bude povinen nahradit škodu subjektům údajů, zavazuje se Objednatel odškodnit Dodavatele a uhradit mu veškerou prokazatelně vzniklou újmu.
6.6 Limitace odpovědnosti. V případě, že by Dodavatel byl povinen uhradit Objednateli jakoukoliv náhraduškody, bude tato povinnost omezena maximálně do výše 100 % ceny předplatného za poskytnuté Službyv předchozím měsíci.
6.7 Forma. V případě, že tyto podmínky zpracování osobních údajů vyžadují, aby Dodavatel či Objednatel něcočinili písemně, je tato forma zachována také v případě elektronické komunikace, či využití e-mailovéadresy.
