consulaioVstoupit

Smlouva o zpracování osobních údajů

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") upravuje vztah mezi Klientem jakožto správcem osobních údajů a společností [Obchodní firma s.r.o. / a.s. / OSVČ], IČO [xxxxxxxx], se sídlem [ulice, číslo popisné, PSČ, město] (dále jen „Zpracovatel" nebo „Poskytovatel"), jakožto zpracovatelem osobních údajů, a uzavírá se v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 („GDPR"). DPA je nedílnou součástí Obchodních podmínek a aplikuje se v rozsahu, v jakém Poskytovatel zpracovává osobní údaje jménem Klienta v rámci služby Consulaio.

I. Předmět a doba zpracování

(1) Předmětem této DPA je zpracování osobních údajů, které Klient (správce) zpřístupní Poskytovateli (zpracovateli) v souvislosti s užíváním aplikace Consulaio, zejména jako součást Vstupních dat (dotazy, dokumenty, přílohy) a Výstupních dat (odpovědi generované umělou inteligencí).

(2) Zpracování probíhá po dobu trvání Smlouvy a následně po dobu nezbytnou pro splnění zákonných povinností a archivačních lhůt dle čl. VI této DPA.

(3) Povaha a účel zpracování spočívá v poskytování cloudové (SaaS) služby Consulaio, zejména v ukládání, indexaci a strojovém zpracování Vstupních dat za účelem generování Výstupů a v zajištění souvisejících provozních a bezpečnostních funkcí.

II. Kategorie osobních údajů a subjektů

(1) Předmětem zpracování mohou být zejména tyto kategorie osobních údajů:

  • identifikační a kontaktní údaje uvedené Klientem nebo obsažené ve Vstupních datech (jméno, příjmení, e-mail, telefon, adresa, IČO, DIČ);
  • obsah dokumentů a dotazů, které Klient vkládá do aplikace, a z nich generované Výstupy;
  • provozní a technické údaje (přihlašovací údaje uživatelů Klienta, IP adresa, logy užívání služby).

(2) Subjekty údajů jsou zejména uživatelé Klienta a třetí osoby, jejichž osobní údaje Klient do aplikace vloží (např. klienti, zaměstnanci nebo obchodní partneři Klienta).

(3) Klient se zavazuje nevkládat do aplikace zvláštní kategorie osobních údajů dle čl. 9 GDPR ani osobní údaje týkající se odsouzení v trestních věcech dle čl. 10 GDPR, ledaže k tomu má zvláštní právní základ a o této skutečnosti Poskytovatele předem písemně informuje.

III. Povinnosti Poskytovatele

(1) Poskytovatel zpracovává osobní údaje pouze na základě doložených pokynů Klienta, vyjma případů, kdy zpracování vyžaduje právo EU nebo právo členského státu; v takovém případě Poskytovatel Klienta o tomto požadavku informuje před zpracováním, ledaže by to bylo zakázáno.

(2) Poskytovatel zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.

(3) Poskytovatel přijímá s ohledem na stav techniky vhodná technická a organizační opatření dle čl. 32 GDPR, zejména šifrování při přenosu (TLS 1.3) a v klidu (AES-256), řízení přístupu, vícefaktorovou autentizaci administrátorů, oddělení prostředí a pravidelnou kontrolu zabezpečení.

(4) Poskytovatel je Klientovi nápomocen prostřednictvím vhodných technických a organizačních opatření při plnění povinností Klienta reagovat na žádosti subjektů údajů (čl. 12 až 23 GDPR) a při plnění povinností podle čl. 32 až 36 GDPR.

(5) Poskytovatel oznámí Klientovi bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o ní dozvěděl, jakékoliv porušení zabezpečení osobních údajů. Oznámení obsahuje přiměřený popis incidentu, kategorie a přibližný počet dotčených subjektů a údajů, pravděpodobné důsledky a přijatá nebo navržená opatření.

(6) Po ukončení poskytování služeb Poskytovatel podle volby Klienta veškeré osobní údaje vymaže nebo vrátí, a vymaže existující kopie, pokud právo EU nebo právo členského státu neukládá uložení daných osobních údajů; standardně dochází ke smazání 30 dní po ukončení Smlouvy.

IV. Povinnosti Klienta

(1) Klient odpovídá za to, že disponuje odpovídajícím právním základem pro zpracování osobních údajů, které do aplikace vkládá, a že subjektům údajů poskytl všechny zákonem vyžadované informace.

(2) Klient odpovídá za přesnost, aktuálnost a zákonnost osobních údajů a za pokyny, které Poskytovateli ke zpracování dává.

(3) Klient je povinen chránit přihlašovací údaje uživatelů svého účtu a neprodleně informovat Poskytovatele o jejich případném zneužití nebo ztrátě.

V. Dílčí zpracovatelé

(1) Klient tímto uděluje Poskytovateli obecné povolení zapojit do zpracování dílčí zpracovatele (sub-processors) za podmínek čl. 28 odst. 2 a 4 GDPR.

(2) Aktuální seznam dílčích zpracovatelů včetně regionu zpracování je dostupný na adrese www.consulaio.cz/subprocessors. Poskytovatel uzavře s každým dílčím zpracovatelem písemnou smlouvu, která stanoví obdobné povinnosti jako tato DPA.

(3) Poskytovatel informuje Klienta o plánované změně dílčích zpracovatelů (přidání nového nebo nahrazení stávajícího) e-mailem nebo prostřednictvím aktualizace stránky se seznamem dílčích zpracovatelů, a to nejméně 30 dní před účinkem změny.

(4) Klient má právo proti změně dílčího zpracovatele vznést písemnou námitku do 30 dnů od oznámení. Nedohodnou-li se strany jinak, je Klient oprávněn Smlouvu z důvodu této námitky vypovědět ke dni účinnosti změny; Poskytovatel vrátí poměrnou část předem uhrazeného Předplatného.

VI. Předávání do třetích zemí a EU rezidence

(1) Veškerá osobní data Klienta jsou ukládána a zpracovávána v datových centrech umístěných v Evropském hospodářském prostoru (EHP).

(2) Poskytovatel nepředává osobní údaje do třetích zemí mimo EHP. Pokud by k takovému předání mělo dojít, Poskytovatel je oprávněn jej uskutečnit pouze za podmínek čl. 44 až 49 GDPR, zejména na základě rozhodnutí o odpovídající ochraně, standardních smluvních doložek EU nebo jiných vhodných záruk, a předem o tom Klienta informuje.

VII. Audit a součinnost

(1) Poskytovatel poskytne Klientovi veškeré informace nutné k prokázání plnění povinností stanovených touto DPA a čl. 28 GDPR.

(2) Klient je oprávněn na vlastní náklady provést jednou ročně audit zpracování, který se primárně realizuje formou dotazníku nebo poskytnutím relevantní bezpečnostní dokumentace (např. zprávy nezávislých auditorů, certifikací typu ISO 27001 nebo SOC 2). Fyzický audit na místě je možný pouze po předchozí písemné dohodě obou stran a s ohledem na ochranu důvěrných informací třetích osob.

VIII. Odpovědnost a závěrečná ustanovení

(1) Odpovědnost stran za škodu způsobenou porušením této DPA se řídí čl. 82 GDPR a Smlouvou; omezení odpovědnosti sjednaná ve Smlouvě se uplatní i pro nároky podle této DPA v rozsahu povoleném právními předpisy.

(2) Tato DPA je nedílnou součástí Smlouvy a v rozsahu, v jakém by docházelo k rozporu mezi touto DPA a Obchodními podmínkami ve věcech zpracování osobních údajů jménem Klienta, má přednost tato DPA.

(3) DPA nabývá účinnosti okamžikem uzavření Smlouvy a zaniká současně se zánikem Smlouvy; tím nejsou dotčena ujednání, která mají z povahy věci trvat i po jejím skončení.

(4) Strany jsou oprávněny tuto Smlouvu o zpracování aktualizovat v souladu s vývojem právních předpisů; o věcných změnách Poskytovatel informuje Klienta minimálně 30 dní před účinkem změny.

(5) Pro dotazy ke zpracování osobních údajů kontaktujte Poskytovatele na adrese info@consulaio.cz.