Podle Smluvních podmínek (dále jen „ Podmínky “) poskytuje Smartsupp Službu, jak je stanoveno v Podmínkách vám jako uživateli Služby. Vztah mezi Smartsupp a uživatelem je tedy založen na procesu online registrace uživatele nebo prostřednictvím písemné či elektronické smlouvy, k níž jsou připojeny Podmínky, které společně tvoří smlouvu mezi vámi a Smartsupp (dále jen „ Smlouva “). Tento dodatek o zpracování údajů (dále jen „ DPA “) tvoří nedílnou součást smlouvy.
Slova začínající velkými písmeny mají stejný význam, jaký je uveden v Podmínkách nebo v jakékoli jiné příloze uvedené v Podmínkách, pokud není v této DPA uvedeno jinak.
Smartsupp uzavírá tuto DPA v souladu s platnými zákony o ochraně osobních údajů, jako je nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („ GDPR “) , Zákon o ochraně osobních údajů z roku 2018 nebo CCPA/CPRA a také v souladu s „ostatními zákony na ochranu soukromí, které se použijí při poskytování služby o ochraně osobních údajů (“ platné zákony o ochraně osobních údajů ).
Když tento DPA stanoví, že Smartsupp jedná jako zpracovatel osobních údajů, bude to mít význam připisovaný „zpracovatel“ podle GDPR a dalších ekvivalentních termínů podle jiných platných zákonů na ochranu soukromí (např. „Poskytovatel služeb“, jak je definován v CCPA). Když tento DPA stanoví, že jednáte jako správce osobních údajů, bude to mít stejný význam jako „správce“ podle GDPR a dalších ekvivalentních pojmů podle platných zákonů na ochranu soukromí (např. „Obchod“, jak je definován v CCPA).
1. ÚVODNÍ USTANOVENÍ
1.1 Zpracování osobních údajů jako zpracovatel osobních údajů. Smartsupp může zpracovávat osobní údaje jménem uživatele při poskytování Služby uživateli a Smartsupp pak ve vztahu k uživateli vystupuje jako zpracovatel osobních údajů (nebo dílčí zpracovatel).
Činnosti zpracování prováděné Smartsupp vyplývají z registrace, Smlouvy nebo z dokumentovaných požadavků provedených uživatelem při poskytování Služby prostřednictvím platformy dostupné na https://www.smartsupp.com (dále jen „ Platforma “).
1.2 Oprávnění ke zpracování osobních údajů. Uživatel tímto zmocňuje Smartsupp ke zpracování osobních údajů subjektů údajů poskytnutých uživatelem v souladu se Službou, jak je stanoveno v této DPA. Smartsupp bude pro uživatele zpracovávat osobní údaje podle zdokumentovaných pokynů uživatele a pouze tak, jak je to nezbytné pro řádné plnění povinností Smartsupp podle Smlouvy.
1.3 Odpovědnost uživatele . Jelikož Smartsupp vystupuje jako zpracovatel osobních údajů, uživatel vystupuje jako správce, a je tedy odpovědný za splnění všech povinností souvisejících se zpracováním osobních údajů. Mezi tyto povinnosti patří řádně informovat subjekty údajů o zpracování osobních údajů, v případě potřeby získat souhlas se zpracováním osobních údajů a vyřídit žádosti subjektů údajů ohledně výkonu jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku atd.). Smartsupp bude uživateli pomáhat při plnění těchto povinností prostřednictvím Platformy nebo prostřednictvím zdokumentovaných požadavků uživatele. Smartsupp však žádným způsobem nenese odpovědnost za správnost a zákonnost činností uživatele, včetně jakékoli činnosti, která může narušit jakoukoli ochranu soukromí nebo jiné právní předpisy stanovené v zemi, ze které uživatel Službu používá.
2. PŘEDMĚT ZPRACOVÁNÍ, KATEGORIE SUBJEKTŮ ÚDAJŮ A DRUH OSOBNÍCH ÚDAJŮ
2.1 Předmět zpracování . Předmětem zpracování osobních údajů, které jsou definovány níže, společností Smartsupp je poskytování Služby, jak je stanoveno ve Smlouvě, zejména zpracování osobních údajů při využívání funkcí naší Služby, jak je popsáno na Webu.
2.2 Druhy osobních údajů . V rámci předmětu plnění povinností dle Smlouvy a poskytování Služby mohou být v souladu s touto DPA zpracovávány následující typy osobních údajů:
a) kontaktní údaje, jako je jméno, příjmení, e-mailová adresa, telefonní číslo nebo kontakt na sociální síť,
b) podrobnosti o návštěvě webové stránky uživatele, jako je URL navštívené webové stránky, datum a čas návštěvy webové stránky, technické informace (rozlišení obrazovky, typ zařízení, typ prohlížeče, operační systém atd.), IP adresa, geolokační údaje (země a město, ze kterého uživatel prohlížel vaše webové stránky),
c) informace obsažené v konverzacích mezi uživateli a zákazníky nebo jinými uživateli při používání funkcí Služby,
d) technické protokoly a další informace o uživatelích používajících Službu (Smartsupp používá nástroje třetích stran k zachycení takových informací),
e) další osobní údaje nahrané nebo jinak používané uživatelem, popř
f) osobní údaje, jejichž typ, rozsah a podrobnosti určuje a kontroluje uživatel dle vlastního uvážení při poskytování Služby.
Rozsah osobních údajů závisí na typu funkcí Služby, které uživatel používá. Služba není určena k ukládání zvláštních kategorií osobních údajů. Uživatel nesmí používat Službu k ukládání nebo zpracování zvláštních kategorií osobních údajů. Pokud jej uživatel zpracuje prostřednictvím Služby, Smartsupp nenese za takové zpracování žádnou odpovědnost.
2.3 Kategorie subjektů údajů . Smartsupp bude zpracovávat osobní údaje o těchto kategoriích subjektů údajů:
a) zaměstnanci (a další pracovníci a osoby jednající jménem uživatele) uživatele;
b) osoby, pro které uživatel vytvořil účet v rámci Služby;
c) zákazníky a další uživatele uživatele, kterému je Služba poskytována;
d) návštěvníci webových stránek uživatele;
e) další osoby, jejichž osobní údaje byly poskytnuty Smartsupp uživatelem při poskytování Služby a jejichž osobní údaje byly evidovány nebo byly jinak zpracovávány v souladu s poskytováním Služby uživateli.
3. POVAHA A ÚČEL ZPRACOVÁNÍ
3.1 Povaha zpracování osobních údajů . Smartsupp bude zpracovávat osobní údaje automatizovaně, elektronicky a zpracování bude spočívat v přístupu k osobním údajům v rámci poskytování Služby, prohlížení osobních údajů, uchovávání osobních údajů a dalších činnostech, které mohou odpovídat poskytování Služby uživateli. Povaha zpracování osobních údajů vyplývá z:
a) dohoda, kterou strany uzavřely;
b) požadavky uživatele nebo jiných oprávněných uživatelů používajících platformu jménem uživatele;
c) povaha Služby a Platformy;
d) jakékoli další zdokumentované pokyny poskytnuté uživatelem.
3.2 Účel zpracování . Účelem zpracování je poskytnutí Služby uživateli, jak je definován v Podmínkách, a pro další účely, které mohou z poskytování Služby vyplynout.
4. DOBA ZPRACOVÁNÍ
4.1 Doba zpracování osobních údajů .Zpracování osobních údajů bude prováděno po dobu trvání Smlouvy, nebo po dobu, po kterou bude Smartsupp dávat pokyny uživatele v souvislosti s plněním Smlouvy. Smartsupp se zavazuje dodržovat povinnosti stanovené v zákonech o ochraně údajů po celou dobu trvání Smlouvy, pokud ze Smlouvy nevyplývá, že mají pokračovat i po jejím ukončení.
4.2 Vrácení a výmaz osobních údajů . Dojde-li k ukončení Smlouvy, v rozsahu povoleném příslušnými zákony na ochranu soukromí Smartsupp do 3 měsíců po ukončení vymaže všechny osobní údaje uložené za účelem poskytování Služby. Pokud Uživatel ve výše uvedené lhůtě požádá Smartsupp, aby upřednostnil vrácení dat, je Smartsupp oprávněn účtovat si přiměřený poplatek ve výši předem oznámené.
5. DALŠÍ PRÁVA A POVINNOSTI
5.1 Povinnosti Smartsupp .Při zpracování osobních údajů se Smartsupp zavazuje:
a) zpracovávat osobní údaje výhradně na základě doložených pokynů uživatele; pro vyloučení pochybností se má za to, že zpracování osobních údajů v souladu s povinnostmi vyplývajícími ze Smlouvy je prováděno v souladu s pokyny uživatele;
b) řídit se pokyny uživatele ohledně předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud takové zpracování již nevyžaduje právo Evropské unie nebo členského státu, kterému Smartsupp podléhá;
c) zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti nebo podléhaly zákonné povinnosti mlčenlivosti;
d) s přihlédnutím k povaze zpracování pomáhat uživateli prostřednictvím vhodných technických a organizačních opatření, je-li to možné, ke splnění povinnosti uživatele reagovat na žádosti o výkon práv subjektů údajů; pravidla pro vyřizování žádostí subjektů údajů jsou uvedena v článku 5.2 této DPA;
e) pomáhat uživateli s plněním povinností uživatele (i) zajistit úroveň bezpečnosti zpracování, (ii) hlásit porušení ochrany osobních údajů Úřadu pro ochranu osobních údajů a případně subjektům údajů, (iii) posuzovat dopad na ochranu osobních údajů a (iv) provádět předchozí konzultace s Úřadem pro ochranu osobních údajů, to vše s přihlédnutím k povaze zpracování a povaze zpracovávaných osobních údajů;
f) umožnit uživateli nebo osobě pověřené uživatelem kontrolu (včetně auditu nebo kontroly) dodržování této DPA, zejména plnění povinností při zpracování osobních údajů z toho vyplývajících, a přispívat k těmto kontrolám podle přiměřených pokynů uživatele nebo oprávněné osoby; zvláštní pravidla pro audity jsou stanovena v článcích 5.3 a 5.4 tohoto DPA;
g) poskytnout uživateli všechny informace, které lze od Smartsupp rozumně očekávat, aby potvrdily, že byly splněny povinnosti stanovené v příslušných právních předpisech o ochraně osobních údajů.
5.2 Žádosti subjektu údajů . Pokud subjekt údajů přímo kontaktuje Smartsupp, společnost Smarstupp vyrozumí subjekt údajů, aby žádost adresoval přímo uživateli. Smartsupp vynaloží obchodně přiměřené úsilí, aby uživateli pomohl odpovědět na takovou žádost subjektu údajů pouze v rozsahu, v jakém je to Smartsupp zákonem povoleno. Uživatel nese odpovědnost za veškeré náklady vzniklé v souvislosti s poskytováním takové pomoci Smartsupp a odpovídá za správné vyřízení takového požadavku.
5.3 Pravidla pro audit . Uživatel zasílá jakýkoli požadavek na audit (kontrolu) výhradně na e-mailovou adresu Smartsupp dpo@smartsupp.com v přiměřených intervalech. Po obdržení žádosti o audit se strany předem dohodnou na (i) možném termínu auditu, (ii) bezpečnostních opatřeních a způsobu zajištění dodržování povinností mlčenlivosti během auditu a (iii) předpokládaném zahájení, rozsahu a délce trvání auditu. Pokud nedojde k dohodě do 30 dnů od data žádosti, Smartsupp určí podmínky auditu.
5.4 Auditor >.Smartsupp může vznést písemnou námitku vůči jakémukoli auditorovi (oprávněné osobě) jmenovanému uživatelem, pokud podle názoru Smartsupp auditor není dostatečně kvalifikovaný, není nezávislý, je v konkurenční pozici u Smartsupp nebo je jinak zjevně nevhodný. Po vznesení námitky je uživatel povinen jmenovat jiného auditora nebo provést audit sám. Uživatel je povinen neprodleně informovat Smartsupp s informacemi o jakémkoli porušení, ať už s platnými zákony na ochranu soukromí nebo s tímto DPA, zjištěným během auditu.
5.5 Rozsah auditu . Rozsah auditu prováděného uživatelem zahrnuje pouze dokumentaci a procesy přímo spojené s používáním Služby konkrétním uživatelem.
5.6 Dílčí zpracovatelé . Uživatel souhlasí se zapojením dalších dílčích zpracovatelů do zpracování osobních údajů. V závislosti na typu služby poskytované nebo požadované uživatelem může Smartsupp využívat další dílčí zpracovatele nebo sdílet osobní údaje s jinými příjemci osobních údajů. Uživatel souhlasí s tím, že Smartsupp bude zahrnovat dílčí zpracovatele uvedené na adrese: https://help.smartsupp.com/cs_CS/list-of-sub-processors (dále jen „ seznam dílčích zpracovatelů “).
5.7 Námitky vůči ostatním dílčím zpracovatelům . Smartsupp informuje uživatele písemnou formou nebo prostřednictvím aktualizace seznamu dílčích zpracovatelů o zapojení dalšího dílčího zpracovatele před zapojením dalšího dílčího zpracovatele a uživatel může proti zapojení dalšího dílčího zpracovatele vznést námitku do 10 pracovních dnů po oznámení. Pokud uživatel nevznese námitky ve stanoveném časovém limitu, Smartsupp zapojí dalšího dílčího zpracovatele. V případě, že uživatel vznese námitku, Smartsupp námitku posoudí, a pokud ji shledá oprávněnou, nezapojí dalšího dílčího zpracovatele ani neprovede obchodně přiměřenou změnu konfigurace uživatele nebo použití Služby, aby se vyhnul zpracování ze strany takového dílčího zpracovatele. Není-li změna možná, může Smartsupp ukončit Smlouvu s uživatelem (nebo částečně) nebo neposkytnout část Služby, ke které je připojen další dílčí zpracovatel, aniž by se dostal do prodlení nebo porušil jakýkoli závazek. Smartsupp vrátí uživateli veškeré předplacené poplatky pokrývající zbývající dobu trvání takové smlouvy po datu účinnosti ukončení ve vztahu k takto ukončené službě, aniž by uživateli uložila pokutu za takové ukončení.
5.8 Povinnosti vůči dalším dílčím zpracovatelům . Pokud Smartsupp zapojí dalšího dílčího zpracovatele, musí se tento další dílčí zpracovatel smluvně zavázat ke stejným povinnostem k ochraně osobních údajů, jaké byly dohodnuty mezi uživatelem a Smartsupp, a také k provedení vhodných technických a organizačních opatření.
5.9 Odpovědnost za dílčího zpracovatele . Smartsupp ponese odpovědnost za jednání a opomenutí svých dílčích zpracovatelů ve stejném rozsahu, v jakém by byla odpovědná společnost Smartsupp v případě, že je poskytování Služby každého dílčího zpracovatele prováděno přímo podle podmínek této DPA, pokud není ve Smlouvě stanoveno jinak.
5.10 Náklady související s výkonem DPA . Není-li písemně dohodnuto jinak, nese uživatel vlastní náklady spojené s plněním DPA. Smartsupp je oprávněn účtovat uživateli přiměřené náklady vzniklé při vyřizování jakékoli žádosti a plnění jakékoli povinnosti podle této DPA.
6. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ A PORUŠENÍ OSOBNÍCH ÚDAJŮ
6.1 Povinnost zabezpečení osobních údajů .Smartsupp přijal a udržuje technická a organizační opatření, aby nemohlo dojít k neoprávněnému či nahodilému přístupu k osobním údajům, jejich změně, zničení nebo ztrátě, neoprávněným přenosům, k jinému neoprávněnému zpracování nebo k jinému neoprávněnému zneužití osobních údajů. Smartsupp pravidelně kontroluje dodržování těchto opatření.
6.2 Specifická bezpečnostní opatření Společnost .Smartsupp přijala a udržuje následující opatření k zajištění odpovídající úrovně zabezpečení:
Technická opatření:
a) Pseudonymizace a šifrování osobních údajů:
Platforma, na které jsou osobní údaje zpracovávány, umožňuje pouze zabezpečené kanály nebo protokoly pro příchozí síťová připojení; Smartsupp šifruje data pomocí SSL/TLS pro veškerý přenos dat
IT systémy zpracovávající osobní údaje umožňují pouze zabezpečené kanály nebo protokoly;
kryptografické klíče jsou bezpečně spravovány.
b) Schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování:
fyzický přístup personálu Smartsupp je omezen na oprávněné osoby;
Smartsupp přijal mechanismy pro omezení fyzického nebo on-line přístupu k serverům hostujícím osobní údaje;
zabránění neoprávněným osobám v přístupu k osobním údajům a zabránění tomu, aby osobní údaje byly neoprávněně použity;
osoby oprávněné zpracovávat osobní údaje mají přístup pouze k těm osobním údajům, které potřebují a jsou oprávněny k nim přistupovat, přičemž osobní údaje nelze během zpracování bez oprávnění číst, kopírovat, měnit nebo odstraňovat;
přístup je silně ověřen (např. pomocí silných hesel);
přístupová práva jsou pravidelně kontrolována;
pokusy o přístup (úspěšné i neúspěšné) jsou protokolovány a monitorovány;
Zaměstnanci Smartsupp mají zakázáno stahovat a zpracovávat osobní údaje lokálně na svých pracovních stanicích nebo v jakémkoli jiném síťovém umístění;
všechna možná selhání platformy a anomálie jsou protokolovány.
c) Možnost včasného obnovení dostupnosti osobních údajů a přístupu k nim v případě fyzických nebo technických incidentů:
Smartsupp přijal proces zálohování, mechanismus a nástroje;
Postup obnovy, čitelnost dat a integrita záloh jsou pravidelně testovány.
d) Smartsupp přijal proces pravidelného testování, posuzování a vyhodnocování účinnosti zavedených technických a organizačních opatření k zajištění bezpečnosti zpracování.
e) Osobní údaje nelze během elektronického přenosu, přepravy nebo uchovávání bez povolení měnit nebo mazat a že lze stanovit a ověřit přijímající subjekty pro jakýkoli přenos.
Organizační opatření:
f) Všichni pracovníci zabývající se zpracováním osobních údajů jsou informováni o důvěrné povaze osobních údajů, byli náležitě proškoleni o svých povinnostech a mají uzavřeny písemné dohody o mlčenlivosti.
g) Smartsupp zavedl interní směrnice a procesy k zabezpečení zpracování osobních údajů v souladu s platnými zákony na ochranu soukromí.
h) V případě dotazů týkajících se tohoto DPA, dodržování zákonů na ochranu údajů, ochrany osobních údajů nebo jakýchkoli jiných problémů s ochranou osobních údajů může zákazník zaslat e-mail na adresu privacy@smartsupp.com.
6.3 Bezpečnostní incidenty .Pokud Smartsupp zjistí narušení osobních údajů, oznámí to uživateli bez zbytečného odkladu, nejpozději do 48 hodin poté, co se o bezpečnostním incidentu dozvěděl, a vynaloží přiměřené úsilí k tomu, aby uživateli poskytl všechny informace o incidentu, které mu jsou známy, pouze:
- popis povahy porušení zabezpečení osobních údajů včetně, je-li to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného počtu dotčených záznamů osobních údajů;
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
- návrh opatření, která může uživatel přijmout k řešení porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho případných nepříznivých dopadů.
Smartsupp odpoví na jakoukoli žádost uživatele o pomoc v případě narušení bezpečnosti se zbytečným zpožděním.
6.4 Nezákonné pokyny .Pokud uživatel vydá Smartsupp takovým způsobem, že dojde k porušení povinností vyplývajících ze zákonů o ochraně údajů, a Smartsupp je na základě takového pokynu sankcionován dozorovým úřadem nebo jiným regulačním orgánem nebo je povinen subjekty údajů odškodnit, uživatel souhlasí s tím, že Smartsupp odškodní a uhradí veškeré vzniklé škody, a to na základě písemného upozornění Smartsupp.
6.5 Omezení odpovědnosti . Na tento DPA se vztahuje stejné omezení odpovědnosti, jaké je stanoveno v podmínkách.
6.6 Změny . Pro změny platí stejná pravidla, jaká jsou uvedena v Podmínkách.
6.7 Účinnost . Tato DPA se stane právně závaznou mezi uživatelem a Smartsupp spolu se Smlouvou.
Jazykové verze. DPA může být připravena ve více jazykových verzích. V případě jakéhokoli rozporu nebo nesouladu mezi jazykovými verzemi má přednost anglická verze.