Zpracovatelská smlouva (DPA)

Tato zpracovatelská smlouva (dále jen „DPA“) upravuje podmínky zpracování osobních údajů mezi:

Zpracovatel poskytuje Správci komunikační službu Šepot s end-to-end šifrováním. V rámci poskytování služby Zpracovatel zpracovává osobní údaje jménem Správce v rozsahu nezbytném pro provoz služby.

Účel zpracování: Provoz komunikační platformy s E2E šifrováním, správa uživatelských účtů, doručování zašifrovaných zpráv.

Důležité upozornění: Vzhledem k zero-knowledge architektuře a end-to-end šifrování Zpracovatel nemá technickou možnost přistupovat k obsahu komunikace uživatelů. Obsah zpráv proto nelze považovat za osobní údaje zpracovávané Zpracovatelem.

Zpracovatel se zavazuje:

• Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, a to i pokud jde o předání osobních údajů do třetí země (čl. 28 odst. 3 písm. a) GDPR)
• Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti (čl. 28 odst. 3 písm. b) GDPR)
• Přijmout veškerá opatření požadovaná dle čl. 32 GDPR (zabezpečení zpracování)
• Dodržovat podmínky pro zapojení dalšího zpracovatele (sub-zpracovatele) stanovené v čl. 28 odst. 2 a 4 GDPR
• Být Správci nápomocen při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv dle kapitoly III GDPR
• Být Správci nápomocen při zajištění souladu s povinnostmi dle čl. 32 až 36 GDPR (zabezpečení, hlášení porušení, posouzení vlivu)
• Po ukončení poskytování služby vymazat nebo vrátit všechny osobní údaje dle rozhodnutí Správce a vymazat existující kopie (čl. 28 odst. 3 písm. g) GDPR)
• Poskytnout Správci veškeré informace potřebné k doložení plnění povinností a umožnit audity a inspekce (čl. 28 odst. 3 písm. h) GDPR)

Zpracovatel v současnosti nevyužívá žádné sub-zpracovatele. Veškerá infrastruktura je provozována pod vlastní správou na území České republiky.

V případě záměru zapojit sub-zpracovatele Zpracovatel:

• Předem písemně informuje Správce o zamýšleném zapojení nebo nahrazení sub-zpracovatele
• Poskytne Správci možnost vznést námitku proti změnám do 30 dnů od oznámení
• Zajistí, aby na sub-zpracovatele byly uloženy stejné povinnosti ohledně ochrany údajů jako na Zpracovatele
• Ponese plnou odpovědnost za plnění povinností sub-zpracovatele

Aktuální seznam sub-zpracovatelů (pokud existují) je dostupný na vyžádání.

Zpracovatel přijímá následující technická a organizační opatření dle čl. 32 GDPR:

Podrobný popis bezpečnostních opatření je dostupný v Bezpečnostní politice.

Osobní údaje jsou zpracovávány výhradně na území České republiky (Evropský hospodářský prostor).

Zpracovatel nepředává osobní údaje do třetích zemí mimo EHP. V případě, že by takový přenos byl v budoucnu nezbytný, Zpracovatel:

• Předem získá písemný souhlas Správce
• Zajistí odpovídající záruky dle kapitoly V GDPR (standardní smluvní doložky schválené Evropskou komisí, rozhodnutí o přiměřenosti apod.)
• Provede posouzení vlivu přenosu (Transfer Impact Assessment)
• Poskytne Správci dokumentaci k přijatým zárukám

Správce má právo provádět audity souladu zpracování s touto DPA:

• Audit na místě — po předchozím písemném oznámení alespoň 30 dní předem, v pracovní době, maximálně jednou ročně (pokud není odůvodněno incidentem)
• Dokumentační audit — Zpracovatel poskytne na vyžádání relevantní dokumentaci, certifikáty a zprávy z auditů
• Třetí strana — audit může provádět nezávislý auditor pověřený Správcem, za předpokladu podpisu dohody o mlčenlivosti

Zpracovatel neprodleně informuje Správce, pokud se dle jeho názoru pokyn Správce porušuje GDPR nebo jiné právní předpisy v oblasti ochrany údajů (čl. 28 odst. 3 GDPR).

Náklady auditu nese Správce, pokud audit neprokáže porušení povinností Zpracovatele — v takovém případě náklady nese Zpracovatel.

V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel:

• Bez zbytečného odkladu (nejpozději do 24 hodin od zjištění) oznámí porušení Správci
• Poskytne Správci veškeré dostupné informace potřebné pro oznámení dozorovému úřadu dle čl. 33 GDPR, zejména:
  • Povahu porušení včetně kategorií a přibližného počtu dotčených subjektů
  • Pravděpodobné důsledky porušení
  • Opatření přijatá nebo navrhovaná k řešení porušení
  • Kontaktní údaje na osobu odpovědnou za řešení
• Spolupracuje se Správcem při zmírnění následků a dokumentaci incidentu

Vzhledem k zero-knowledge architektuře je dopad porušení zabezpečení na obsah komunikace uživatelů minimální, protože Zpracovatel nemá přístup k soukromým klíčům ani obsahu zpráv.

Po ukončení poskytování služby (ať již výpovědí smlouvy, uplynutím doby nebo jiným způsobem) Zpracovatel:

• Dle rozhodnutí Správce buď vymaže, nebo vrátí všechny osobní údaje zpracovávané jménem Správce
• Vymaže veškeré existující kopie, pokud právní předpisy nevyžadují jejich uchování
• Lhůta pro výmaz: 30 dnů od ukončení poskytování služby
• Na vyžádání poskytne Správci písemné potvrzení o provedení výmazu

Správce má možnost před ukončením exportovat data svých uživatelů prostřednictvím administrátorského rozhraní.

Tato DPA nabývá účinnosti dnem podpisu oběma stranami a zůstává v platnosti po celou dobu poskytování Služby Zpracovatelem Správci.

Ustanovení týkající se mlčenlivosti, výmazu údajů a odpovědnosti přetrvávají i po ukončení platnosti této DPA.

Tato DPA se řídí právním řádem České republiky a GDPR. V případě rozporu mezi touto DPA a hlavní smlouvou o poskytování služby mají přednost ustanovení této DPA týkající se ochrany osobních údajů.

Případné spory budou řešeny příslušnými českými soudy.

Pro uzavření zpracovatelské smlouvy nebo dotazy k této šabloně kontaktujte:

Tuto šablonu DPA je možné uzavřít elektronicky. Pro individuální úpravy nás kontaktujte.