Zpracovávání osobních údajů
Zpracovávání osobních údajů
ErgoBody s.r.o.
IČO: 17582199
se sídlem: Šlechtitelů 813/21, Holice, 779 00 Olomouc
Zapsaná a vedená u Krajského soudu v Ostravě sp. zn. C 90524
Zastoupená jednatelem obchodní společnosti Mgr. Janem Habarou, dat. nar. 4. prosince 1989, trvale bydlištěm Ježník 1958/80, Pod Bezručovým vrchem, 794 01 Krnov
Kontaktní email: info@ergobody.cz
(dále jen „zpracovatel“)
Odběratel služby aplikace ErgoBody, který je podle příslušné Objednávky (dle smlouvy se správcem) uživatelem aplikace Ergobody, na adrese www.my.ergobody.cz, prostřednictvím přidělených uživatelských přístupů správcem.
(dále jen „správce“)
(správce a zpracovatel dále společně také jako „smluvní strany“)
k nastavení podmínek zpracování osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) tuto:
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
v souvislosti s využíváním software, programového vybavení, cloudových a jiných uložišť a souvisejícími službami
(dále také jen „podmínky“)
I.1. Správce je osobou, která v rámci své činnosti získává a zpracovává osobní údaje fyzických osob (subjektů údajů), definuje účel zpracování a provádí zpracování osobních údajů na základě právního důvodu ve vztahu k subjektům těchto údajů. Správce je ve smyslu ustanovení čl. 4 bod 7) GDPR ve vztahů k těmto subjektům považován za správce osobních údajů. Správce je podnikatelem v oblasti fyzioterapie, poskytování doplňkových zdravotních služeb a v oblasti masérských, rekondičních a regeneračních služeb, případně v oblasti pracovnělékařských služeb a dále ve věci poskytování pracovnělékařských služeb a posudků.
I.2. Zpracovatel je právnická osoba, která se v rámci své činnosti provozuje pro správce aplikaci (servisní a metodická podpora pro poskytování služeb správcem), programové vybavení, poskytuje cloudová a jiná uložiště, obstarává servisní i metodické podpory pro správce a dále činnosti které umožňují sběr, vkládání i zpracování získaných dat (včetně osobních údajů) v elektronické podobě.
I.3. K zajištění efektivního provozu správce vkládá, zpracovává a uchovává přijaté osobní údaje v elektronické podobě prostřednictvím programového vybavení a služeb dodaných
zpracovatelem. Na základě objednávky správce byla mezi smluvními stranami uzavřena smlouva, na jejímž základě zpracovatel poskytl správci podlicenci k informačnímu systému/software a další služby označené v této k zajištění provozu systému aplikace, programového vybavení, správy i poskytování doprovodných služeb pro správce. Dodané řešení zpracovatele podle smluv mezi správcem a zpracovatelem včetně všech jeho rozšíření, komponentů, modulů a funkcionalit existujících k dnešnímu dni nebo vzniklých teprve v budoucnu (dále v této také zkráceně jen jako „Ergobody)“.
I.4. V rámci licence a poskytování služeb informačního systému Ergobody se zpracovatel dostává do styku s osobními údaji získanými správcem. Zpracovatel se tím dle ustanovení čl. 4 bodu 8) GDPR stává ve vztahu ke správci i subjektům předaných osobních údajů zpracovatelem.
I.5. Tento dokument (podmínky) vznikl za účelem vytvoření odpovídajících podmínek ochrany i právního rámce (důvodu) pro zpracování osobních údajů předaných správcem zpracovateli v souvislosti s plněním práv a povinností dle smluv uzavřených mezi smluvními stranami.
I.6. Pojmy uvedené a užívané jsou definovány v GDPR, jejich význam, použití a aplikace se shoduje s GDPR, není-li uvedeno jinak. V případě odchylek základních smluvních pojmů s GDPR se přednostně užije výklad, který zajistí nejvyšší a nejpřísnější režim ochrany osobních údajů.
I.7. Pokynem podle se rozumí pokyn ve smyslu nařízení GDPR, není tím založeno právo správce požadovat provedení činností ze sjednaných smluv nebo zákona konkrétně požadovaným způsobem
I.8. Při zpracování osobních údajů prostřednictvím zvoleného nástroje Google v aplikaci získáváme pouze informace o: jménu a příjmení, emailu, název schůzky, čas uskutečnění schůzky. Neprovádíme ukládání záznamů, pouze dochází z naší strany k jejich zobrazení bez uložení.
Námi získané osobní údaje jsou nezbytné pro splnění účelu smluvní spolupráce se subjekty osobních údajů a jejich nezbytné identifikace. Dále jsou data nutná k plnění povinností správce i spolupracujících subjektů v oblasti daních i pro plnění jiných právních povinnosti podle českého právního řádu. Sběr a zpracování je dále prováděno se souhlasem subjektu údajů (chce-li uživatel využít veškeré funkcionality aplikace).
Aplikace je zaměřena na rozvoj zdraví, správné pohybové vzorce uživatelů a v této souvislosti i zprostředkování komunikace mezi uživatelem a odborníkem. Nástroje Google zde slouží jako přidaný prvek k vytvoření uživatelsky přívětivého prostředí, díky kterému lze plánovat schůzky a komunikaci provést přímo v rozhraní aplikace. Přidání, editace i odstranění události prostřednictvím aplikace (a integrovaného nástroje Google, zejm. kalendáře) provádí sám uživatel v rámci svého přístupu.
Zpracování osobních údajů je prováděno v souladu s nařízením GDPR, zpracovatelských smluv, souhlasem uživatelů i interní dokumentací Správce. Základní práva subjektů osobních údajů (Privacy policy) jsou dostupná v rámci webového přístupu (GDPR a Cookies).
II.1. Osobním údajem je jakákoliv informace, která se týká konkrétní fyzické osoby (subjekt osobních údajů), tzn. lze ji přímo či nepřímo přiřadit dané fyzické osobě (lze danou osobu přímo nebo nepřímo identifikovat).
II.2. Osobním údajem se rozumí zejména:
a) Jméno, příjmení, pohlaví, rodinný stav a titul;
b) Bydliště, doručovací adresa a jiné lokační údaje;
c) Údaje o ubytování a povolení k pobytu;
d) Datum narození, rodné číslo osob, číslo občanského průkazu nebo pasu, vízum;
e) Identifikátory osoby - např. IČO, DIČ a jiné jednoznačné identifikátory…;
f) Kopie dokladů osob;
g) Síťový identifikátor osoby - např. IP, označení, profily,...;
h) Kontakt - např. telefonní číslo, e-mailová adresa, číslo datové schránky, zmocněnce pro doručování, zástupce osoby, profil na sociálních sítích...;
i) Bankovní spojení;
j) Údaje o vlastnictví majetku subjektu údajů nebo vztahu k majetku;
k) Údaje o pasivech subjektu údajů nebo vztahu k pasivům;
l) Údaje o smluvním plnění a předmětu plnění;
m) Údaje o zdravotním a sociálním pojištění subjektu;
n) Údaje o správních a soudních rozhodnutí, včetně vedených exekucí a insolvencí;
o) Daňové a účetní údaje osob;
p) Údaje ke zpracování mzdy a odměňování;
q) Vedení evidencí a listů podle právních předpisů;
r) Zvláštní a citlivé osobní údaje dle čl. 2.5;
s) Jiné než uvedené informace týkající se subjektu údajů.
II.3. Uvedený výčet je pouze příkladný. Přijatá informace je osobním údajem, pokud osamoceně nebo ve spojení s jinou informací identifikuje konkrétní fyzickou osobu nebo je konkrétní fyzická osoba na jejím základě identifikovatelná.
II.4. Osobní údaje předané správcem se týkají především následujících skupin subjektů údajů: klienti a zaměstnanci správce, spolupracovníci a obchodní partneři správce, osoby spřízněné s klientem.
II.5. Správce získává osobní údaje v listinné, elektronické nebo ústní formě přímo od subjektů těchto údajů nebo od jiných třetích stran. Osobní údaje následně prostřednictvím zřízených přístupů vkládá sám a/nebo prostřednictvím subjektů údajů (konkrétních klientů) do elektronického informačního systému Ergobody. Osobní údaje jsou tím zpracovateli předány v rozsahu nezbytném pro řádné plnění právních povinností a úkolů podle spolupráce smluvních stran, i vedení činností v elektronické evidenci.
II.6. Správce se zavazuje, že veškeré osobní údaje, které vlastním prostřednictvím nebo skrze subjekt osobních do Ergobody vloží (nahraje) jsou úplné, pravdivé, řádné a získané od oprávněné osoby, oprávněným způsobem a disponuje s nimi v souladu s GDPR na základě uděleného oprávnění pro dohodnuté účely.
II.7. Vedle běžných osobních údajů (subjektů údajů) správce získává tzv. citlivé osobní údaje, které jsou v režimu GDPR považovány za zvlášť chráněné. Jde zejména o tyto citlivé osobní údaje:
a) Údaje o rasovém či etnickém původu;
b) Členství v odborech a sociálních ochrany;
c) Politické názory, filosofická přesvědčení a náboženská vyznání;
d) Genetické a biometrické údaje nebo jiný biologický materiál;
e) Údaje o sexuálním životě či sexuální orientaci;
f) Údaje o zdravotním stavu;
g) Údaje o trestných činech, údaje o protiprávních jednání trestního charakteru, údaje týkající se rozsudků v trestních věcech a trestných činů subjektů údajů;
(dále také jen „citlivé osobní údaje“)
II.8. Smluvní strany berou na vědomí, že pro zpracování citlivých osobních údajů zavádí GDPR nejpřísnější režim ochrany. Ochrana citlivých údajů podléhá auditu a smluvní strany jsou povinny vést záznamy o zpracování. Smluvní strany jsou v závislosti na rozsahu zpracování povinny vypracovat k těmto citlivým osobním údajům zprávu o posouzení vlivu dle čl. 35 GDPR a využijí jmenovaného pověřence pro ochranu osobních údajů dle čl. 37 GDPR.
II.9. Zpracování citlivých osobních údajů zpracovatelem bude prováděno odpovědnou fyzickou osobou: Mgr. Jan Habara za zpracovatele, ErgoBody s.r.o., vyjma zvláštních případů.
III.1. Předmětem těchto podmínek je vymezení základních pravidel smluvních stran v souvislosti se zpracováním osobních údajů v návaznosti na užívání aplikace, provoz a zpracování osobních údajů prostřednictvím informačního systému Ergobody. Technické řešení umožňuje zpracovateli nahlédnout do všech údajů vložených v informačním
systému Ergobody. Smluvní strany proto vymezují záruky a ochrany před zneužitím faktického postavení zpracovatele, které v rámci svého technického přístupu získává. Na základě těchto podmínek se zpracovatel zavazuje přijmout a zpracovávat přijaté osobní údaje od správce pouze pro přijaté účely a v souladu s těmito podmínkami, GDPR (případně jiných účinných právních předpisů na úseku ochrany osobních údajů) a dle pokynů udělených správcem.
III.2. Správce předává zpracovateli osobní údaje zejména pro účely užívání aplikace Ergobody, správy a komunikace klientů správce prostřednictvím elektronického informačního systému Ergobody a ke správnému, nerušenému užívání aplikace a podlicencí tohoto informačního systému (např. k jednoduché zobrazení, zpracování a uchování osobních údajů). Není-li stanoveno jinak, pověřuje správce zpracovatele ke zpracovávání osobních údajů v těchto oblastech:
a) Zpracování anonymně agregovaných osobních údajů, případně pseudoanonymizovaných osobních údajů v informačním systému Ergobody bez znalosti konkrétních osobních údajů;
b) Provoz informačního systému Ergobody (Evidence, záznamy, uchování a zobrazení osobních údajů v informačním systému Ergobody);
c) Uložení, záloha a obnova dat informačního systému Ergobody;
d) Nahlédnutí do části získaných osobních údajů za účelem zjištění a odstranění vady informačního systému Ergobody, přidružených aplikací nebo modulů;
e) Poskytování uživatelské podpory informačního systému Ergobody po předchozí dohodě s pověřenou osobou správce;
f) Plnění povinností zpracovatele podle právních předpisů;
g) Jiných oblastech dle písemně udělených pokynů správce.
III.3. Zpracovatel není oprávněn osobní údaje získané od správce zpracovávat jinak a pro jiné účely, ledaže správce udělí zpracovateli písemně pokyn k užití osobních údajů nad rámec uvedeného pověření. Pokyn lze udělit prostřednictvím emailu správce zapsaného na zapsaný email zpracovatele.
III.4. Zpracovatel není schopen rozpoznat správnost a integritu ochrany osobních údajů prostředky, které správce do aplikace Ergobody poskytne. Zpracovatel plně spoléhá na odbornost správce v otázce ochrany osobních údajů, jím poskytnuté smluvní záruky a že dojde k jejich naplnění podle podmínek a vytvoření odpovídajícího technického zabezpečení osobních údajů (osamoceně nebo prostřednictvím jiných smluvních dodavatelů).
IV.1. Zpracováním osobních údajů ve smyslu podmínek se rozumí jakékoli nakládání s osobními údaji, např. jejich shromažďování, zaznamenání, zpřístupnění, uložení, uspořádání, vyhledání, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků, apod.
IV.2. Zpracovatel prohlašuje, že zpracování bude provádět výhradně pomocí zavedených technických a organizačních opatření v souladu s účelem jejich poskytnutí dle čl. 3.2. a s ohledem na specifika i požadavky předaných osobních údajů vyplývajících z GDPR. Zpracovatel zavede odpovídající vnitřní mechanismy a zabezpečením ochrany osobních údajů, která umožní nerušené užívání služeb správcem i jeho klienty/smluvními partnery a zároveň zpracovatel:
i) Nezasáhne do pravosti, celistvosti a neporušenosti osobních údajů;
ii) Ochrání osobní údaje před neoprávněným či protiprávním zásahem, před náhodnou ztrátou, zničením, poškozením nebo neoprávněným zpracováním (zejména pak uvnitř informačního systému Ergobody);
iii) Sám nebo ve spojení s jinou osobou nepřevede získané osobní údaje mimo nezbytný provoz informačního systému Ergobody, ani nezmění jeho podobu (z elektronické na listinnou);
iv) Umožní přístup k osobním údajům pouze odpovědným osobám zpracovatele, Bubble, oprávněným osobám, orgánům veřejné správy, subjektům poskytujícím pracovnělékařské služby, orgánům činným v trestním řízení nebo soudu;
v) Zajistí, že nedojde ke sloučení nebo záměně osobních údajů přijatých od správce s jinými údaji (zpracovatele nebo jiných správců);
vi) Umožní vedení, průběžnou archivaci a možnost aktualizace osobních údajů;
vii) Povede oddělené evidence přijatých osobních údajů správce, oproti osobním údajům přijatým od jiných správců (včetně zpracovatele);
viii) Umožní správci kontrolu zavedených opatření;
ix) Poskytne správci součinnost k řádnému výkonu práv subjektů osobních údajů, nejpozději do 10 pracovních dnů od přijetí písemné výzvy, není-li správce provést tento požadavek bez podpory zpracovatele;
x) Poskytne správci součinnost k prokázání souladu zpracování osobních údajů s právními předpisy;
xi) Poskytne součinnost jmenovanému pověřenci pro ochranu osobních údajů, pokud byl správcem nebo smluvními stranami jmenován.
IV.3. Správce je oprávněn vložit do informačního systému Ergobody a zpracovávat v něm pouze osobní údaje, ke kterým má zákonný nebo smluvní důvod jejich zpracování. Správce užije informační systém ve smluveném rozsahu a pouze za účelem poskytování služeb podle čl. 1.1. těchto podmínek (registrovaným uživatelům).
IV.4. Zpracovatel zpracovává osobní údaje pouze na základě smlouvy, podmínek a písemných pokynů správce, vždy v souladu s GDPR a pouze pro účely, pro které mu byly poskytnuty. Zpracovatel není oprávněn, ani povinen přezkoumávat aktuálnost, přesnost, úplnost a pravdivost osobních údajů. Stejně tak není zpracovatel povinen přezkoumat právní důvod správce k užívání osobních údajů subjektů těchto údajů.
IV.5. Zpracovateli se zvlášť zakazují následující způsoby zpracování:
a) provádění automatizované individuální rozhodování konkrétních subjektů osobních údajů;
b) přímo komunikovat se subjektem osobních údajů, není-li takový postup předem schválen správcem nebo nevyplývá-li z podmínek (odpověď na dotaz subjektu údajů).
IV.6. Zpracovatel je oprávněn:
a) Provádět vyhodnocení statistických údajů ze získaných anonymizovaných agregovaných dat bez přiřazení ke konkrétnímu subjektu osobních údajů;
b) Vyhodnotit anonymizovaná agregovaná data za účelem zlepšení kvality, organizace a uživatelských funkcí Ergobody.
IV.7. Zpracovatel upozorňuje správce, že do zpracovávání osobních údajů v systému Ergobody zapojí zpracovatele další zpracovatel, zejména k technickému zabezpečení a provádění technického řešení: bubble.io vytvořeného obchodní společností Bubble
Group, Inc., zapsané dle státu Delaware USA, se sídlem 22 W 21st St, Floor 2, New York, NY 100 10 (také jen „Bubble“) a dále Innovatee lab, s.r.o., se sídlem: Nové sady 988/2, Staré Brno, 602 00 Brno, zapsané a vedené u Krajského soudu v Brně sp. zn. C 120 491.
IV.8. Zpracovatel se při zpracování osobních údajů zajistí služby související s využíváním Ergobody, jeho vývojem a cloudovým prostředím (provozem serverů) nezbytným pro běh informačního systému. Tyto služby jsou k tomuto dni provozovány a poskytovány zpracovatelem a/nebo Bubble. Zpracovatel se zavazuje smluvně zajistit provozování a poskytování těchto služeb pouze za podmínek přijetí a dodržování takových organizační a technických opatření, která zajistí potřebnou ochranu osobních údajů alespoň v takové úrovni ochrany osobních údajů, jaká je vymezena v podmínkách.
IV.9. Při využití jakéhokoliv dalšího zpracovatele zpracovatel neodpovídá za řádné plnění jejich povinností v oblasti zpracování a ochrany osobních údajů.
IV.10. Zpracování lze provádět pouze na území Evropské unie a servery zpracovatele musí být umístěny pouze na tomto území.
V.1. Zpracovatel je vázán pokyny správce, jsou-li uděleny v souladu s GDPR. Vyhodnotí-li zpracovatel udělený pokyn správce v rozporu s GDPR nebo jinými předpisy Evropské unie nebo České republiky na ochranu osobních údajů, informuje o tom správce bez zbytečného odkladu. Trvá-li správce i v takovém případě na provedení pokynu, provede zpracovatel pokyn na vlastní odpovědnost správce (za realizaci pokynu není odpovědný), zaváže-li se správce uhradit újmu vzniklou v souvislosti s provedeným pokynem subjektům údajů či zpracovateli pro případ jejího vzniku.
V.2. Zpracovatel se zavazuje přijmout veškerá rozumně očekávatelná organizační a technická opatření k zajištění ochrany osobních údajů alespoň v takovém režimu ochrany, který je dle GDPR povinen dodržovat správce.
V.3. Zpracovatel zajistí a správci na vyžádání do 14 dnů doloží, že všechny osoby oprávněné provádět činnosti zpracování (tedy zejména zaměstnanci zpracovatele a další zpracovatelé) provádí v souladu s pokyny správce i podmínkami.
V.4. Zpracovatel zajistí důvěrnost a integritu osobních údajů v prostorách i mimo prostory Zpracovatele. Zpracovatel využije technické prostředky umožňující různé uživatelské úrovně k přístupu do osobních údajů a dále např. využívání logování, nasazení data loss prevention nebo obdobné technologie a další.
V.5. Zpracovatel je povinen správci na vyžádání doložit, proběhlo pověřené provedení auditu zabezpečení zpracování osobních údajů a zpracovatel se řídí doporučeními obsaženými ve výstupní zprávě auditu. V případě, že zpracovatel provede nebo provedl audit zabezpečení aplikace nebo jiný typ auditu, který může souviset s poskytovanou službou nebo zpracováním, které zpracovatel pro správce poskytuje, je zpracovatel povinen na vyžádání správce mu výsledky tohoto auditu do 30 pracovních dnů poskytnout k prostudování.
VI.1. Správce je povinen zavést vhodná technická a organizační opatření, aby bylo možné poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno
přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná GDPR a příslušnými právními předpisy.
VI.2. Správce je oprávněn oznámit subjektům osobních údajů zpracovávání prostřednictvím zpracovatele a Bubble.
VI.3. Správce se zavazuje informovat subjekty údajů o zpracování osobních údajů ve smyslu čl. 13 a 14 GDPR a zahrnout mezi poskytované informace rovněž informaci o využití zpracovatele a jeho identifikaci tak, aby zpracovatel informaci o zpracování osobních údajů nemusel subjektům údajů opětovně poskytovat.
VI.4. V případě, že se subjekt údajů obrátí na správce s žádostí o uplatnění svých práv, vyvine zpracovatel patřičnou součinnost při vyřizování žádostí subjektů údajů o uplatnění jejich práv, zejména zpřístupní příslušnou evidenci správci nebo sám vyhledá příslušné osobní údaje, sdělí správci podrobnosti o zabezpečení zpracovávaných osobních údajů, omezí na dobu vyřizování žádostí zpracování osobních údajů a provede na příkaz správce opravu nebo výmaz osobních údajů bez zbytečného odkladu. Správce je povinen vyvinout patřičnou součinnost se zpracovatelem v případě, že se na zpracovatele obrátí subjekt údajů se žádostí o uplatnění svých práv
VI.5. Může-li úkony ve vztahu k subjektům osobních údajů správce vykonat sám, lze vykonání úkonů ze strany zpracovatele podmínit uhrazením poplatku v přiměřené výši. Zpracovatel má povinnost na takovou skutečnost správce prokazatelně a předem upozornit.
VI.6. Zpracovatel je povinen na žádost správce, případně subjektu osobních údajů pozastavit omezit zpracování osobních údajů.
VI.7. Zpracovatel je povinen bez zbytečného odkladu provést změnu v osobních údajích nebo jejich výmaz, je-li k tomu správcem nebo příslušným subjektem údajů písemně vyzván. Zpracovatel provede změnu bez zbytečného odkladu, nejpozději do 7 pracovních dnů od doručení výzvy. Zpracovatel je povinen na základě příkazu správce bez zbytečného odkladu zamezit zpracovávání osobních údajů, smazání kopií, předat správci a vymazat je ze svých zařízení.
VI.8. Zpracovatel nepředává osobní údaje do třetích zemí, pokud mu to neukládají pro něj závazné právní předpisy. O všech právních povinnostech tohoto druhu je zpracovatel povinen správce informovat bez zbytečného odkladu od okamžiku, kdy se o nich dozví.
VII.1. Pokud zpracovatel plánuje využít ke zpracování osobních údajů nové technologie nebo nový postup nebo nové prostředky, provede zpracovatel posouzení rizik pro práva subjektů údajů, může je provést za předpokladu, že nedojde ke snížení ochrany osobních údajů.
VII.2. Vyhodnocení plánované změny a její dopady na zpracování osobních údajů provádí dle dohody smluvních stran jmenovaný pověřenec. Pokud nebyl pověřenec jmenován, provedou smluvní strany posouzení rizik odborníkem v oboru GDPR.
VII.3. Zpracovatel je povinen správci neprodleně oznámit jakékoliv narušení zabezpečení, integrity, celistvosti, existence nebo jiný zásah do osobních údajů skutečnostech, jež se při výkonu činnosti pro správce dozvěděl.
VII.4. V případě, že zpracovatel zjistí, že došlo k porušení zabezpečení osobních údajů, podnikne okamžitě všechna opatření nezbytná k předejití nebo minimalizaci újmy
subjektů údajů na jejich právech a informuje o porušení zabezpečení a přijatých opatřeních správce.
VIII.1. V případě, že zpracovatel úmyslně poruší své povinnosti podle článku 4.2. (základní povinnosti při zpracování), podle článku 7.3. nebo podle článku 7.4 (neoznámení nebo neprovedení opatření na ochranu při narušení bezpečnosti), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 5 000 Kč (slovy pět tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.2. V případě, že zpracovatel úmyslně poruší své povinnosti dle článku 2.8. (citlivé osobní údaje jen odpovědná osoba) nebo článku 4.5. (zvlášť zakázaná zpracování) nebo článku 6.8. (předání do třetí země bez právního důvodu či nezajištění záruk), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 6 000 Kč (slovy šest tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.3. Vznikne-li správci v souvislosti s porušením povinností zpracovatele škoda, v to počítaje i uložení sankce Úřadem pro ochranu osobních údajů a vznik povinnosti nahradit subjektu údajů újmu vzniklou na jeho právech, je zpracovatel povinen nahradit správci tuto škodu v plné výši, a to do jednoho měsíce od doručení výzvy k náhradě této škody zpracovateli. Zpracovatel je povinen uhradit škodu jen do výše přijatého pojistného plnění získaného (horní hranice odpovědnosti za škody) v souvislosti s porušením povinností zpracovatele na úseku ochrany osobních údajů podle podmínek a/nebo GDPR.
VIII.4. Smluvní strany se dohodly, že výše náhrady škody nebo jiné újmy vzniklé správci vzniklé v souvislosti s činností zpracovatele nebo jinak v souvislosti s ní, z jedné nebo více škodních událostí, v celkovém souhrnu nepřesáhne částku 6 000,- Kč. Povinnost k náhradě škody způsobené zpracovatelem nad tuto částku se v souladu s § 2898 občanského zákoníku vylučuje. Toto omezení se nevztahuje na náhradu škody způsobenou úmyslně či z hrubé nedbalosti. Zpracovatel nemá povinnost nahradit škodu či jinou újmu způsobenou porušením svých povinností, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku. Zpracovatel neodpovídá za ušlý zisk, nemajetkovou újmu ani ztrátu příjmů.
IX.1. Smluvní strany jmenují společným pověřencem pro ochranu osobních údajů Mgr. Ing. Ladislav Šmarda (dále také jen „pověřenec“).
IX.2. Pověřenec je smluvním stranám nápomocen ve všech záležitostech týkajících se ochrany osobních údajů a poskytuje jim podporu. Smluvní strany řeší neshody ohledně výkladu práv a povinností na úseku ochrany osobních prostřednictvím zvoleného pověřence.
IX.3. Pověřenec podle přijaté žádosti smluvních stran:
a) Poskytuje smluvním stranám a jejich odpovědným osobám informace a poradenství na úseku ochrany a zpracování osobních údajů;
b) Monitoruje soulad činností smluvních stran s GDPR;
c) Vytváří koncept ochrany osobních údajů a odbornou připravenost zaměstnanců smluvních stran;
d) Provádí posouzení vlivu na ochranu osobních údajů a monitoruje uplatňování GDPR;
e) Přijímá a vyhodnocuje podání subjektů zpracovávaných osobních údajů;
f) Spolupracuje a jednán za smluvní strany před dozorovým úřadem.
IX.4. Obrátí-li se subjekt osobních údajů na kteroukoliv smluvní stranu s dotazem nebo požadavkem, který se týká zpracování osobních údajů, postoupí smluvní strany tento dotaz jmenovanému pověřenci k vyhodnocení a vyřízení.
IX.5. Práva a povinnosti mezi smluvními stranami a Pověřencem se řídí Smlouvou poskytování služeb pověřence uzavřenou mezi Smluvními stranami a pověřencem dne 25.5.2023 v Olomouci.
X.1. Podmínky skončí výpovědí smlouvy smluvních stran po uplynutí doby, která činí 2 měsíce počínající první den kalendářního měsíce následujícího po měsíci, kdy byla smlouva skončena.
X.2. Smluvní strany se dohodly, že v případě vypovězení základní smlouvy ztrácí zpracovatel po skončení výpovědní doby předpoklady pro poskytování smluvního plnění správci a pro jakékoli zpracování osobních údajů pro správce.
XI.1. Podmínky jsou závazné ke dni uzavření smlouvy. Zpracovatel je oprávněn jejich znění jednostranně měnit a upravovat.
XI.2. Osobní údaje, u nichž právní předpis neukládá jejich archivaci, je zpracovatel povinen při ukončení zpracování zničit/smazat nebo předat správci a kopie/zálohu zničit/smazat.
XI.3. Spory vzniklé mezi smluvními stranami v souvislosti s plněním budou rozhodovat věcně a místně příslušný soud v České republice, přičemž smluvní strany se dohodly ve smyslu ustanovení § 89a občanského soudního řádu pro místní příslušnost je rozhodný obecný soud správce.
XI.4. Vztah smluvních stran se řídí právním řádem České republiky. Pro rozhodování sporů vzniklých jsou příslušné obecné soudy České republiky.
XI.5. Smluvní strany se dohodly poskytnout si vzájemně veškerou potřebnou součinnost pro zajištění bezproblémové a efektivní realizace, případně řešení požadavků subjektu údajů při uplatnění svých práv.
XI.6. V případě vzniku pohledávek nebo závazků zpracovatele vůči správci se správce a zpracovatel dohodli, že si mohou tyto vzájemně započítávat vůči dalším pohledávkám a závazkům smluvních stran.
Za zpracovatele:
Mgr. Jan Habara
ErgoBody s.r.o.
IČO: 17582199
se sídlem: Šlechtitelů 813/21, Holice, 779 00 Olomouc
Zapsaná a vedená u Krajského soudu v Ostravě sp. zn. C 90524
Zastoupená jednatelem obchodní společnosti Mgr. Janem Habarou, dat. nar. 4. prosince 1989, trvale bydlištěm Ježník 1958/80, Pod Bezručovým vrchem, 794 01 Krnov
Kontaktní email: info@ergobody.cz
(dále jen „zpracovatel“)
Odběratel služby aplikace ErgoBody, který je podle příslušné Objednávky (dle smlouvy se správcem) uživatelem aplikace Ergobody, na adrese www.my.ergobody.cz, prostřednictvím přidělených uživatelských přístupů správcem.
(dále jen „správce“)
(správce a zpracovatel dále společně také jako „smluvní strany“)
k nastavení podmínek zpracování osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) tuto:
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
v souvislosti s využíváním software, programového vybavení, cloudových a jiných uložišť a souvisejícími službami
(dále také jen „podmínky“)
I.1. Správce je osobou, která v rámci své činnosti získává a zpracovává osobní údaje fyzických osob (subjektů údajů), definuje účel zpracování a provádí zpracování osobních údajů na základě právního důvodu ve vztahu k subjektům těchto údajů. Správce je ve smyslu ustanovení čl. 4 bod 7) GDPR ve vztahů k těmto subjektům považován za správce osobních údajů. Správce je podnikatelem v oblasti fyzioterapie, poskytování doplňkových zdravotních služeb a v oblasti masérských, rekondičních a regeneračních služeb, případně v oblasti pracovnělékařských služeb a dále ve věci poskytování pracovnělékařských služeb a posudků.
I.2. Zpracovatel je právnická osoba, která se v rámci své činnosti provozuje pro správce aplikaci (servisní a metodická podpora pro poskytování služeb správcem), programové vybavení, poskytuje cloudová a jiná uložiště, obstarává servisní i metodické podpory pro správce a dále činnosti které umožňují sběr, vkládání i zpracování získaných dat (včetně osobních údajů) v elektronické podobě.
I.3. K zajištění efektivního provozu správce vkládá, zpracovává a uchovává přijaté osobní údaje v elektronické podobě prostřednictvím programového vybavení a služeb dodaných
zpracovatelem. Na základě objednávky správce byla mezi smluvními stranami uzavřena smlouva, na jejímž základě zpracovatel poskytl správci podlicenci k informačnímu systému/software a další služby označené v této k zajištění provozu systému aplikace, programového vybavení, správy i poskytování doprovodných služeb pro správce. Dodané řešení zpracovatele podle smluv mezi správcem a zpracovatelem včetně všech jeho rozšíření, komponentů, modulů a funkcionalit existujících k dnešnímu dni nebo vzniklých teprve v budoucnu (dále v této také zkráceně jen jako „Ergobody)“.
I.4. V rámci licence a poskytování služeb informačního systému Ergobody se zpracovatel dostává do styku s osobními údaji získanými správcem. Zpracovatel se tím dle ustanovení čl. 4 bodu 8) GDPR stává ve vztahu ke správci i subjektům předaných osobních údajů zpracovatelem.
I.5. Tento dokument (podmínky) vznikl za účelem vytvoření odpovídajících podmínek ochrany i právního rámce (důvodu) pro zpracování osobních údajů předaných správcem zpracovateli v souvislosti s plněním práv a povinností dle smluv uzavřených mezi smluvními stranami.
I.6. Pojmy uvedené a užívané jsou definovány v GDPR, jejich význam, použití a aplikace se shoduje s GDPR, není-li uvedeno jinak. V případě odchylek základních smluvních pojmů s GDPR se přednostně užije výklad, který zajistí nejvyšší a nejpřísnější režim ochrany osobních údajů.
I.7. Pokynem podle se rozumí pokyn ve smyslu nařízení GDPR, není tím založeno právo správce požadovat provedení činností ze sjednaných smluv nebo zákona konkrétně požadovaným způsobem.
I.8. Při zpracování osobních údajů prostřednictvím zvoleného nástroje Google v aplikaci získáváme pouze informace o: jménu a příjmení, emailu, název schůzky, čas uskutečnění schůzky. Neprovádíme ukládání záznamů, pouze dochází z naší strany k jejich zobrazení bez uložení.
Námi získané osobní údaje jsou nezbytné pro splnění účelu smluvní spolupráce se subjekty osobních údajů a jejich nezbytné identifikace. Dále jsou data nutná k plnění povinností správce i spolupracujících subjektů v oblasti daních i pro plnění jiných právních povinnosti podle českého právního řádu. Sběr a zpracování je dále prováděno se souhlasem subjektu údajů (chce-li uživatel využít veškeré funkcionality aplikace).
Aplikace je zaměřena na rozvoj zdraví, správné pohybové vzorce uživatelů a v této souvislosti i zprostředkování komunikace mezi uživatelem a odborníkem. Nástroje Google zde slouží jako přidaný prvek k vytvoření uživatelsky přívětivého prostředí, díky kterému lze plánovat schůzky a komunikaci provést přímo v rozhraní aplikace. Přidání, editace i odstranění události prostřednictvím aplikace (a integrovaného nástroje Google, zejm. kalendáře) provádí sám uživatel v rámci svého přístupu.
Zpracování osobních údajů je prováděno v souladu s nařízením GDPR, zpracovatelských smluv, souhlasem uživatelů i interní dokumentací Správce. Základní práva subjektů osobních údajů (Privacy policy) jsou dostupná v rámci webového přístupu (GDPR a Cookies).
II.1. Osobním údajem je jakákoliv informace, která se týká konkrétní fyzické osoby (subjekt osobních údajů), tzn. lze ji přímo či nepřímo přiřadit dané fyzické osobě (lze danou osobu přímo nebo nepřímo identifikovat).
II.2. Osobním údajem se rozumí zejména:
a) Jméno, příjmení, pohlaví, rodinný stav a titul;
b) Bydliště, doručovací adresa a jiné lokační údaje;
c) Údaje o ubytování a povolení k pobytu;
d) Datum narození, rodné číslo osob, číslo občanského průkazu nebo pasu, vízum;
e) Identifikátory osoby - např. IČO, DIČ a jiné jednoznačné identifikátory…;
f) Kopie dokladů osob;
g) Síťový identifikátor osoby - např. IP, označení, profily,...;
h) Kontakt - např. telefonní číslo, e-mailová adresa, číslo datové schránky, zmocněnce pro doručování, zástupce osoby, profil na sociálních sítích...;
i) Bankovní spojení;
j) Údaje o vlastnictví majetku subjektu údajů nebo vztahu k majetku;
k) Údaje o pasivech subjektu údajů nebo vztahu k pasivům;
l) Údaje o smluvním plnění a předmětu plnění;
m) Údaje o zdravotním a sociálním pojištění subjektu;
n) Údaje o správních a soudních rozhodnutí, včetně vedených exekucí a insolvencí;
o) Daňové a účetní údaje osob;
p) Údaje ke zpracování mzdy a odměňování;
q) Vedení evidencí a listů podle právních předpisů;
r) Zvláštní a citlivé osobní údaje dle čl. 2.5;
s) Jiné než uvedené informace týkající se subjektu údajů.
II.3. Uvedený výčet je pouze příkladný. Přijatá informace je osobním údajem, pokud osamoceně nebo ve spojení s jinou informací identifikuje konkrétní fyzickou osobu nebo je konkrétní fyzická osoba na jejím základě identifikovatelná.
II.4. Osobní údaje předané správcem se týkají především následujících skupin subjektů údajů: klienti a zaměstnanci správce, spolupracovníci a obchodní partneři správce, osoby spřízněné s klientem.
II.5. Správce získává osobní údaje v listinné, elektronické nebo ústní formě přímo od subjektů těchto údajů nebo od jiných třetích stran. Osobní údaje následně prostřednictvím zřízených přístupů vkládá sám a/nebo prostřednictvím subjektů údajů (konkrétních klientů) do elektronického informačního systému Ergobody. Osobní údaje jsou tím zpracovateli předány v rozsahu nezbytném pro řádné plnění právních povinností a úkolů podle spolupráce smluvních stran, i vedení činností v elektronické evidenci.
II.6. Správce se zavazuje, že veškeré osobní údaje, které vlastním prostřednictvím nebo skrze subjekt osobních do Ergobody vloží (nahraje) jsou úplné, pravdivé, řádné a získané od oprávněné osoby, oprávněným způsobem a disponuje s nimi v souladu s GDPR na základě uděleného oprávnění pro dohodnuté účely.
II.7. Vedle běžných osobních údajů (subjektů údajů) správce získává tzv. citlivé osobní údaje, které jsou v režimu GDPR považovány za zvlášť chráněné. Jde zejména o tyto citlivé osobní údaje:
a) Údaje o rasovém či etnickém původu;
b) Členství v odborech a sociálních ochrany;
c) Politické názory, filosofická přesvědčení a náboženská vyznání;
d) Genetické a biometrické údaje nebo jiný biologický materiál;
e) Údaje o sexuálním životě či sexuální orientaci;
f) Údaje o zdravotním stavu;
g) Údaje o trestných činech, údaje o protiprávních jednání trestního charakteru, údaje týkající se rozsudků v trestních věcech a trestných činů subjektů údajů;
(dále také jen „citlivé osobní údaje“)
II.8. Smluvní strany berou na vědomí, že pro zpracování citlivých osobních údajů zavádí GDPR nejpřísnější režim ochrany. Ochrana citlivých údajů podléhá auditu a smluvní strany jsou povinny vést záznamy o zpracování. Smluvní strany jsou v závislosti na rozsahu zpracování povinny vypracovat k těmto citlivým osobním údajům zprávu o posouzení vlivu dle čl. 35 GDPR a využijí jmenovaného pověřence pro ochranu osobních údajů dle čl. 37 GDPR.
II.9. Zpracování citlivých osobních údajů zpracovatelem bude prováděno odpovědnou fyzickou osobou: Mgr. Jan Habara za zpracovatele, ErgoBody s.r.o., vyjma zvláštních případů.
III.1. Předmětem těchto podmínek je vymezení základních pravidel smluvních stran v souvislosti se zpracováním osobních údajů v návaznosti na užívání aplikace, provoz a zpracování osobních údajů prostřednictvím informačního systému Ergobody. Technické řešení umožňuje zpracovateli nahlédnout do všech údajů vložených v informačním
systému Ergobody. Smluvní strany proto vymezují záruky a ochrany před zneužitím faktického postavení zpracovatele, které v rámci svého technického přístupu získává. Na základě těchto podmínek se zpracovatel zavazuje přijmout a zpracovávat přijaté osobní údaje od správce pouze pro přijaté účely a v souladu s těmito podmínkami, GDPR (případně jiných účinných právních předpisů na úseku ochrany osobních údajů) a dle pokynů udělených správcem.
III.2. Správce předává zpracovateli osobní údaje zejména pro účely užívání aplikace Ergobody, správy a komunikace klientů správce prostřednictvím elektronického informačního systému Ergobody a ke správnému, nerušenému užívání aplikace a podlicencí tohoto informačního systému (např. k jednoduché zobrazení, zpracování a uchování osobních údajů). Není-li stanoveno jinak, pověřuje správce zpracovatele ke zpracovávání osobních údajů v těchto oblastech:
a) Zpracování anonymně agregovaných osobních údajů, případně pseudoanonymizovaných osobních údajů v informačním systému Ergobody bez znalosti konkrétních osobních údajů;
b) Provoz informačního systému Ergobody (Evidence, záznamy, uchování a zobrazení osobních údajů v informačním systému Ergobody);
c) Uložení, záloha a obnova dat informačního systému Ergobody;
d) Nahlédnutí do části získaných osobních údajů za účelem zjištění a odstranění vady informačního systému Ergobody, přidružených aplikací nebo modulů;
e) Poskytování uživatelské podpory informačního systému Ergobody po předchozí dohodě s pověřenou osobou správce;
f) Plnění povinností zpracovatele podle právních předpisů;
g) Jiných oblastech dle písemně udělených pokynů správce.
III.3. Zpracovatel není oprávněn osobní údaje získané od správce zpracovávat jinak a pro jiné účely, ledaže správce udělí zpracovateli písemně pokyn k užití osobních údajů nad rámec uvedeného pověření. Pokyn lze udělit prostřednictvím emailu správce zapsaného na zapsaný email zpracovatele.
III.4. Zpracovatel není schopen rozpoznat správnost a integritu ochrany osobních údajů prostředky, které správce do aplikace Ergobody poskytne. Zpracovatel plně spoléhá na odbornost správce v otázce ochrany osobních údajů, jím poskytnuté smluvní záruky a že dojde k jejich naplnění podle podmínek a vytvoření odpovídajícího technického zabezpečení osobních údajů (osamoceně nebo prostřednictvím jiných smluvních dodavatelů).
IV.1. Zpracováním osobních údajů ve smyslu podmínek se rozumí jakékoli nakládání s osobními údaji, např. jejich shromažďování, zaznamenání, zpřístupnění, uložení, uspořádání, vyhledání, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků, apod.
IV.2. Zpracovatel prohlašuje, že zpracování bude provádět výhradně pomocí zavedených technických a organizačních opatření v souladu s účelem jejich poskytnutí dle čl. 3.2. a s ohledem na specifika i požadavky předaných osobních údajů vyplývajících z GDPR. Zpracovatel zavede odpovídající vnitřní mechanismy a zabezpečením ochrany osobních údajů, která umožní nerušené užívání služeb správcem i jeho klienty/smluvními partnery a zároveň zpracovatel:
i) Nezasáhne do pravosti, celistvosti a neporušenosti osobních údajů;
ii) Ochrání osobní údaje před neoprávněným či protiprávním zásahem, před náhodnou ztrátou, zničením, poškozením nebo neoprávněným zpracováním (zejména pak uvnitř informačního systému Ergobody);
iii) Sám nebo ve spojení s jinou osobou nepřevede získané osobní údaje mimo nezbytný provoz informačního systému Ergobody, ani nezmění jeho podobu (z elektronické na listinnou);
iv) Umožní přístup k osobním údajům pouze odpovědným osobám zpracovatele, Bubble, oprávněným osobám, orgánům veřejné správy, subjektům poskytujícím pracovnělékařské služby, orgánům činným v trestním řízení nebo soudu;
v) Zajistí, že nedojde ke sloučení nebo záměně osobních údajů přijatých od správce s jinými údaji (zpracovatele nebo jiných správců);
vi) Umožní vedení, průběžnou archivaci a možnost aktualizace osobních údajů;
vii) Povede oddělené evidence přijatých osobních údajů správce, oproti osobním údajům přijatým od jiných správců (včetně zpracovatele);
viii) Umožní správci kontrolu zavedených opatření;
ix) Poskytne správci součinnost k řádnému výkonu práv subjektů osobních údajů, nejpozději do 10 pracovních dnů od přijetí písemné výzvy, není-li správce provést tento požadavek bez podpory zpracovatele;
x) Poskytne správci součinnost k prokázání souladu zpracování osobních údajů s právními předpisy;
xi) Poskytne součinnost jmenovanému pověřenci pro ochranu osobních údajů, pokud byl správcem nebo smluvními stranami jmenován.
IV.3. Správce je oprávněn vložit do informačního systému Ergobody a zpracovávat v něm pouze osobní údaje, ke kterým má zákonný nebo smluvní důvod jejich zpracování. Správce užije informační systém ve smluveném rozsahu a pouze za účelem poskytování služeb podle čl. 1.1. těchto podmínek (registrovaným uživatelům).
IV.4. Zpracovatel zpracovává osobní údaje pouze na základě smlouvy, podmínek a písemných pokynů správce, vždy v souladu s GDPR a pouze pro účely, pro které mu byly poskytnuty. Zpracovatel není oprávněn, ani povinen přezkoumávat aktuálnost, přesnost, úplnost a pravdivost osobních údajů. Stejně tak není zpracovatel povinen přezkoumat právní důvod správce k užívání osobních údajů subjektů těchto údajů.
IV.5. Zpracovateli se zvlášť zakazují následující způsoby zpracování:
a) provádění automatizované individuální rozhodování konkrétních subjektů osobních údajů;
b) přímo komunikovat se subjektem osobních údajů, není-li takový postup předem schválen správcem nebo nevyplývá-li z podmínek (odpověď na dotaz subjektu údajů).
IV.6. Zpracovatel je oprávněn:
a) Provádět vyhodnocení statistických údajů ze získaných anonymizovaných agregovaných dat bez přiřazení ke konkrétnímu subjektu osobních údajů;
b) Vyhodnotit anonymizovaná agregovaná data za účelem zlepšení kvality, organizace a uživatelských funkcí Ergobody.
IV.7. Zpracovatel upozorňuje správce, že do zpracovávání osobních údajů v systému Ergobody zapojí zpracovatele další zpracovatel, zejména k technickému zabezpečení a provádění technického řešení: bubble.io vytvořeného obchodní společností Bubble
Group, Inc., zapsané dle státu Delaware USA, se sídlem 22 W 21st St, Floor 2, New York, NY 100 10 (také jen „Bubble“) a dále Innovatee lab, s.r.o., se sídlem: Nové sady 988/2, Staré Brno, 602 00 Brno, zapsané a vedené u Krajského soudu v Brně sp. zn. C 120 491.
IV.8. Zpracovatel se při zpracování osobních údajů zajistí služby související s využíváním Ergobody, jeho vývojem a cloudovým prostředím (provozem serverů) nezbytným pro běh informačního systému. Tyto služby jsou k tomuto dni provozovány a poskytovány zpracovatelem a/nebo Bubble. Zpracovatel se zavazuje smluvně zajistit provozování a poskytování těchto služeb pouze za podmínek přijetí a dodržování takových organizační a technických opatření, která zajistí potřebnou ochranu osobních údajů alespoň v takové úrovni ochrany osobních údajů, jaká je vymezena v podmínkách.
IV.9. Při využití jakéhokoliv dalšího zpracovatele zpracovatel neodpovídá za řádné plnění jejich povinností v oblasti zpracování a ochrany osobních údajů.
IV.10. Zpracování lze provádět pouze na území Evropské unie a servery zpracovatele musí být umístěny pouze na tomto území.
V.1. Zpracovatel je vázán pokyny správce, jsou-li uděleny v souladu s GDPR. Vyhodnotí-li zpracovatel udělený pokyn správce v rozporu s GDPR nebo jinými předpisy Evropské unie nebo České republiky na ochranu osobních údajů, informuje o tom správce bez zbytečného odkladu. Trvá-li správce i v takovém případě na provedení pokynu, provede zpracovatel pokyn na vlastní odpovědnost správce (za realizaci pokynu není odpovědný), zaváže-li se správce uhradit újmu vzniklou v souvislosti s provedeným pokynem subjektům údajů či zpracovateli pro případ jejího vzniku.
V.2. Zpracovatel se zavazuje přijmout veškerá rozumně očekávatelná organizační a technická opatření k zajištění ochrany osobních údajů alespoň v takovém režimu ochrany, který je dle GDPR povinen dodržovat správce.
V.3. Zpracovatel zajistí a správci na vyžádání do 14 dnů doloží, že všechny osoby oprávněné provádět činnosti zpracování (tedy zejména zaměstnanci zpracovatele a další zpracovatelé) provádí v souladu s pokyny správce i podmínkami.
V.4. Zpracovatel zajistí důvěrnost a integritu osobních údajů v prostorách i mimo prostory Zpracovatele. Zpracovatel využije technické prostředky umožňující různé uživatelské úrovně k přístupu do osobních údajů a dále např. využívání logování, nasazení data loss prevention nebo obdobné technologie a další.
V.5. Zpracovatel je povinen správci na vyžádání doložit, proběhlo pověřené provedení auditu zabezpečení zpracování osobních údajů a zpracovatel se řídí doporučeními obsaženými ve výstupní zprávě auditu. V případě, že zpracovatel provede nebo provedl audit zabezpečení aplikace nebo jiný typ auditu, který může souviset s poskytovanou službou nebo zpracováním, které zpracovatel pro správce poskytuje, je zpracovatel povinen na vyžádání správce mu výsledky tohoto auditu do 30 pracovních dnů poskytnout k prostudování.
VI.1. Správce je povinen zavést vhodná technická a organizační opatření, aby bylo možné poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno
přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná GDPR a příslušnými právními předpisy.
VI.2. Správce je oprávněn oznámit subjektům osobních údajů zpracovávání prostřednictvím zpracovatele a Bubble.
VI.3. Správce se zavazuje informovat subjekty údajů o zpracování osobních údajů ve smyslu čl. 13 a 14 GDPR a zahrnout mezi poskytované informace rovněž informaci o využití zpracovatele a jeho identifikaci tak, aby zpracovatel informaci o zpracování osobních údajů nemusel subjektům údajů opětovně poskytovat.
VI.4. V případě, že se subjekt údajů obrátí na správce s žádostí o uplatnění svých práv, vyvine zpracovatel patřičnou součinnost při vyřizování žádostí subjektů údajů o uplatnění jejich práv, zejména zpřístupní příslušnou evidenci správci nebo sám vyhledá příslušné osobní údaje, sdělí správci podrobnosti o zabezpečení zpracovávaných osobních údajů, omezí na dobu vyřizování žádostí zpracování osobních údajů a provede na příkaz správce opravu nebo výmaz osobních údajů bez zbytečného odkladu. Správce je povinen vyvinout patřičnou součinnost se zpracovatelem v případě, že se na zpracovatele obrátí subjekt údajů se žádostí o uplatnění svých práv
VI.5. Může-li úkony ve vztahu k subjektům osobních údajů správce vykonat sám, lze vykonání úkonů ze strany zpracovatele podmínit uhrazením poplatku v přiměřené výši. Zpracovatel má povinnost na takovou skutečnost správce prokazatelně a předem upozornit.
VI.6. Zpracovatel je povinen na žádost správce, případně subjektu osobních údajů pozastavit omezit zpracování osobních údajů.
VI.7. Zpracovatel je povinen bez zbytečného odkladu provést změnu v osobních údajích nebo jejich výmaz, je-li k tomu správcem nebo příslušným subjektem údajů písemně vyzván. Zpracovatel provede změnu bez zbytečného odkladu, nejpozději do 7 pracovních dnů od doručení výzvy. Zpracovatel je povinen na základě příkazu správce bez zbytečného odkladu zamezit zpracovávání osobních údajů, smazání kopií, předat správci a vymazat je ze svých zařízení.
VI.8. Zpracovatel nepředává osobní údaje do třetích zemí, pokud mu to neukládají pro něj závazné právní předpisy. O všech právních povinnostech tohoto druhu je zpracovatel povinen správce informovat bez zbytečného odkladu od okamžiku, kdy se o nich dozví.
VII.1. Pokud zpracovatel plánuje využít ke zpracování osobních údajů nové technologie nebo nový postup nebo nové prostředky, provede zpracovatel posouzení rizik pro práva subjektů údajů, může je provést za předpokladu, že nedojde ke snížení ochrany osobních údajů.
VII.2. Vyhodnocení plánované změny a její dopady na zpracování osobních údajů provádí dle dohody smluvních stran jmenovaný pověřenec. Pokud nebyl pověřenec jmenován, provedou smluvní strany posouzení rizik odborníkem v oboru GDPR.
VII.3. Zpracovatel je povinen správci neprodleně oznámit jakékoliv narušení zabezpečení, integrity, celistvosti, existence nebo jiný zásah do osobních údajů skutečnostech, jež se při výkonu činnosti pro správce dozvěděl.
VII.4. V případě, že zpracovatel zjistí, že došlo k porušení zabezpečení osobních údajů, podnikne okamžitě všechna opatření nezbytná k předejití nebo minimalizaci újmy
subjektů údajů na jejich právech a informuje o porušení zabezpečení a přijatých opatřeních správce.
VIII.1. V případě, že zpracovatel úmyslně poruší své povinnosti podle článku 4.2. (základní povinnosti při zpracování), podle článku 7.3. nebo podle článku 7.4 (neoznámení nebo neprovedení opatření na ochranu při narušení bezpečnosti), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 5 000 Kč (slovy pět tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.2. V případě, že zpracovatel úmyslně poruší své povinnosti dle článku 2.8. (citlivé osobní údaje jen odpovědná osoba) nebo článku 4.5. (zvlášť zakázaná zpracování) nebo článku 6.8. (předání do třetí země bez právního důvodu či nezajištění záruk), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 6 000 Kč (slovy šest tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.3. Vznikne-li správci v souvislosti s porušením povinností zpracovatele škoda, v to počítaje i uložení sankce Úřadem pro ochranu osobních údajů a vznik povinnosti nahradit subjektu údajů újmu vzniklou na jeho právech, je zpracovatel povinen nahradit správci tuto škodu v plné výši, a to do jednoho měsíce od doručení výzvy k náhradě této škody zpracovateli. Zpracovatel je povinen uhradit škodu jen do výše přijatého pojistného plnění získaného (horní hranice odpovědnosti za škody) v souvislosti s porušením povinností zpracovatele na úseku ochrany osobních údajů podle podmínek a/nebo GDPR.
VIII.4. Smluvní strany se dohodly, že výše náhrady škody nebo jiné újmy vzniklé správci vzniklé v souvislosti s činností zpracovatele nebo jinak v souvislosti s ní, z jedné nebo více škodních událostí, v celkovém souhrnu nepřesáhne částku 6 000,- Kč. Povinnost k náhradě škody způsobené zpracovatelem nad tuto částku se v souladu s § 2898 občanského zákoníku vylučuje. Toto omezení se nevztahuje na náhradu škody způsobenou úmyslně či z hrubé nedbalosti. Zpracovatel nemá povinnost nahradit škodu či jinou újmu způsobenou porušením svých povinností, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku. Zpracovatel neodpovídá za ušlý zisk, nemajetkovou újmu ani ztrátu příjmů.
IX.1. Smluvní strany jmenují společným pověřencem pro ochranu osobních údajů Mgr. Ing. Ladislav Šmarda (dále také jen „pověřenec“).
IX.2. Pověřenec je smluvním stranám nápomocen ve všech záležitostech týkajících se ochrany osobních údajů a poskytuje jim podporu. Smluvní strany řeší neshody ohledně výkladu práv a povinností na úseku ochrany osobních prostřednictvím zvoleného pověřence.
IX.3. Pověřenec podle přijaté žádosti smluvních stran:
a) Poskytuje smluvním stranám a jejich odpovědným osobám informace a poradenství na úseku ochrany a zpracování osobních údajů;
b) Monitoruje soulad činností smluvních stran s GDPR;
c) Vytváří koncept ochrany osobních údajů a odbornou připravenost zaměstnanců smluvních stran;
d) Provádí posouzení vlivu na ochranu osobních údajů a monitoruje uplatňování GDPR;
e) Přijímá a vyhodnocuje podání subjektů zpracovávaných osobních údajů;
f) Spolupracuje a jednán za smluvní strany před dozorovým úřadem.
IX.4. Obrátí-li se subjekt osobních údajů na kteroukoliv smluvní stranu s dotazem nebo požadavkem, který se týká zpracování osobních údajů, postoupí smluvní strany tento dotaz jmenovanému pověřenci k vyhodnocení a vyřízení.
IX.5. Práva a povinnosti mezi smluvními stranami a Pověřencem se řídí Smlouvou poskytování služeb pověřence uzavřenou mezi Smluvními stranami a pověřencem dne 25.5.2023 v Olomouci.
X.1. Podmínky skončí výpovědí smlouvy smluvních stran po uplynutí doby, která činí 2 měsíce počínající první den kalendářního měsíce následujícího po měsíci, kdy byla smlouva skončena.
X.2. Smluvní strany se dohodly, že v případě vypovězení základní smlouvy ztrácí zpracovatel po skončení výpovědní doby předpoklady pro poskytování smluvního plnění správci a pro jakékoli zpracování osobních údajů pro správce.
XI.1. Podmínky jsou závazné ke dni uzavření smlouvy. Zpracovatel je oprávněn jejich znění jednostranně měnit a upravovat.
XI.2. Osobní údaje, u nichž právní předpis neukládá jejich archivaci, je zpracovatel povinen při ukončení zpracování zničit/smazat nebo předat správci a kopie/zálohu zničit/smazat.
XI.3. Spory vzniklé mezi smluvními stranami v souvislosti s plněním budou rozhodovat věcně a místně příslušný soud v České republice, přičemž smluvní strany se dohodly ve smyslu ustanovení § 89a občanského soudního řádu pro místní příslušnost je rozhodný obecný soud správce.
XI.4. Vztah smluvních stran se řídí právním řádem České republiky. Pro rozhodování sporů vzniklých jsou příslušné obecné soudy České republiky.
XI.5. Smluvní strany se dohodly poskytnout si vzájemně veškerou potřebnou součinnost pro zajištění bezproblémové a efektivní realizace, případně řešení požadavků subjektu údajů při uplatnění svých práv.
XI.6. V případě vzniku pohledávek nebo závazků zpracovatele vůči správci se správce a zpracovatel dohodli, že si mohou tyto vzájemně započítávat vůči dalším pohledávkám a závazkům smluvních stran.
Za zpracovatele:
Mgr. Jan Habara
ErgoBody s.r.o.
IČO: 17582199
se sídlem: Šlechtitelů 813/21, Holice, 779 00 Olomouc
Zapsaná a vedená u Krajského soudu v Ostravě sp. zn. C 90524
Zastoupená jednatelem obchodní společnosti Mgr. Janem Habarou, dat. nar. 4. prosince 1989, trvale bydlištěm Ježník 1958/80, Pod Bezručovým vrchem, 794 01 Krnov
Kontaktní email: info@ergobody.cz
(dále jen „zpracovatel“)
Odběratel služby aplikace ErgoBody, který je podle příslušné Objednávky (dle smlouvy se správcem) uživatelem aplikace Ergobody, na adrese www.my.ergobody.cz, prostřednictvím přidělených uživatelských přístupů správcem.
(dále jen „správce“)
(správce a zpracovatel dále společně také jako „smluvní strany“)
k nastavení podmínek zpracování osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) tuto:
PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
v souvislosti s využíváním software, programového vybavení, cloudových a jiných uložišť a souvisejícími službami
(dále také jen „podmínky“)
I.1. Správce je osobou, která v rámci své činnosti získává a zpracovává osobní údaje fyzických osob (subjektů údajů), definuje účel zpracování a provádí zpracování osobních údajů na základě právního důvodu ve vztahu k subjektům těchto údajů. Správce je ve smyslu ustanovení čl. 4 bod 7) GDPR ve vztahů k těmto subjektům považován za správce osobních údajů. Správce je podnikatelem v oblasti fyzioterapie, poskytování doplňkových zdravotních služeb a v oblasti masérských, rekondičních a regeneračních služeb, případně v oblasti pracovnělékařských služeb a dále ve věci poskytování pracovnělékařských služeb a posudků.
I.2. Zpracovatel je právnická osoba, která se v rámci své činnosti provozuje pro správce aplikaci (servisní a metodická podpora pro poskytování služeb správcem), programové vybavení, poskytuje cloudová a jiná uložiště, obstarává servisní i metodické podpory pro správce a dále činnosti které umožňují sběr, vkládání i zpracování získaných dat (včetně osobních údajů) v elektronické podobě.
I.3. K zajištění efektivního provozu správce vkládá, zpracovává a uchovává přijaté osobní údaje v elektronické podobě prostřednictvím programového vybavení a služeb dodaných
zpracovatelem. Na základě objednávky správce byla mezi smluvními stranami uzavřena smlouva, na jejímž základě zpracovatel poskytl správci podlicenci k informačnímu systému/software a další služby označené v této k zajištění provozu systému aplikace, programového vybavení, správy i poskytování doprovodných služeb pro správce. Dodané řešení zpracovatele podle smluv mezi správcem a zpracovatelem včetně všech jeho rozšíření, komponentů, modulů a funkcionalit existujících k dnešnímu dni nebo vzniklých teprve v budoucnu (dále v této také zkráceně jen jako „Ergobody)“.
I.4. V rámci licence a poskytování služeb informačního systému Ergobody se zpracovatel dostává do styku s osobními údaji získanými správcem. Zpracovatel se tím dle ustanovení čl. 4 bodu 8) GDPR stává ve vztahu ke správci i subjektům předaných osobních údajů zpracovatelem.
I.5. Tento dokument (podmínky) vznikl za účelem vytvoření odpovídajících podmínek ochrany i právního rámce (důvodu) pro zpracování osobních údajů předaných správcem zpracovateli v souvislosti s plněním práv a povinností dle smluv uzavřených mezi smluvními stranami.
I.6. Pojmy uvedené a užívané jsou definovány v GDPR, jejich význam, použití a aplikace se shoduje s GDPR, není-li uvedeno jinak. V případě odchylek základních smluvních pojmů s GDPR se přednostně užije výklad, který zajistí nejvyšší a nejpřísnější režim ochrany osobních údajů.
I.7. Pokynem podle se rozumí pokyn ve smyslu nařízení GDPR, není tím založeno právo správce požadovat provedení činností ze sjednaných smluv nebo zákona konkrétně požadovaným způsobem.
I.8. Při zpracování osobních údajů prostřednictvím zvoleného nástroje Google v aplikaci získáváme pouze informace o: jménu a příjmení, emailu, název schůzky, čas uskutečnění schůzky. Neprovádíme ukládání záznamů, pouze dochází z naší strany k jejich zobrazení bez uložení.
Námi získané osobní údaje jsou nezbytné pro splnění účelu smluvní spolupráce se subjekty osobních údajů a jejich nezbytné identifikace. Dále jsou data nutná k plnění povinností správce i spolupracujících subjektů v oblasti daních i pro plnění jiných právních povinnosti podle českého právního řádu. Sběr a zpracování je dále prováděno se souhlasem subjektu údajů (chce-li uživatel využít veškeré funkcionality aplikace).
Aplikace je zaměřena na rozvoj zdraví, správné pohybové vzorce uživatelů a v této souvislosti i zprostředkování komunikace mezi uživatelem a odborníkem. Nástroje Google zde slouží jako přidaný prvek k vytvoření uživatelsky přívětivého prostředí, díky kterému lze plánovat schůzky a komunikaci provést přímo v rozhraní aplikace. Přidání, editace i odstranění události prostřednictvím aplikace (a integrovaného nástroje Google, zejm. kalendáře) provádí sám uživatel v rámci svého přístupu.
Zpracování osobních údajů je prováděno v souladu s nařízením GDPR, zpracovatelských smluv, souhlasem uživatelů i interní dokumentací Správce. Základní práva subjektů osobních údajů (Privacy policy) jsou dostupná v rámci webového přístupu (GDPR a Cookies).
Používání a přenos informací získaných z rozhraní Google API společností Ergobody do jakékoli jiné aplikace se řídí zásadami používání uživatelských dat služeb Google API, včetně požadavků na omezené použití.
II.1. Osobním údajem je jakákoliv informace, která se týká konkrétní fyzické osoby (subjekt osobních údajů), tzn. lze ji přímo či nepřímo přiřadit dané fyzické osobě (lze danou osobu přímo nebo nepřímo identifikovat).
II.2. Osobním údajem se rozumí zejména:
a) Jméno, příjmení, pohlaví, rodinný stav a titul;
b) Bydliště, doručovací adresa a jiné lokační údaje;
c) Údaje o ubytování a povolení k pobytu;
d) Datum narození, rodné číslo osob, číslo občanského průkazu nebo pasu, vízum;
e) Identifikátory osoby - např. IČO, DIČ a jiné jednoznačné identifikátory…;
f) Kopie dokladů osob;
g) Síťový identifikátor osoby - např. IP, označení, profily,...;
h) Kontakt - např. telefonní číslo, e-mailová adresa, číslo datové schránky, zmocněnce pro doručování, zástupce osoby, profil na sociálních sítích...;
i) Bankovní spojení;
j) Údaje o vlastnictví majetku subjektu údajů nebo vztahu k majetku;
k) Údaje o pasivech subjektu údajů nebo vztahu k pasivům;
l) Údaje o smluvním plnění a předmětu plnění;
m) Údaje o zdravotním a sociálním pojištění subjektu;
n) Údaje o správních a soudních rozhodnutí, včetně vedených exekucí a insolvencí;
o) Daňové a účetní údaje osob;
p) Údaje ke zpracování mzdy a odměňování;
q) Vedení evidencí a listů podle právních předpisů;
r) Zvláštní a citlivé osobní údaje dle čl. 2.5;
s) Jiné než uvedené informace týkající se subjektu údajů.
II.3. Uvedený výčet je pouze příkladný. Přijatá informace je osobním údajem, pokud osamoceně nebo ve spojení s jinou informací identifikuje konkrétní fyzickou osobu nebo je konkrétní fyzická osoba na jejím základě identifikovatelná.
II.4. Osobní údaje předané správcem se týkají především následujících skupin subjektů údajů: klienti a zaměstnanci správce, spolupracovníci a obchodní partneři správce, osoby spřízněné s klientem.
II.5. Správce získává osobní údaje v listinné, elektronické nebo ústní formě přímo od subjektů těchto údajů nebo od jiných třetích stran. Osobní údaje následně prostřednictvím zřízených přístupů vkládá sám a/nebo prostřednictvím subjektů údajů (konkrétních klientů) do elektronického informačního systému Ergobody. Osobní údaje jsou tím zpracovateli předány v rozsahu nezbytném pro řádné plnění právních povinností a úkolů podle spolupráce smluvních stran, i vedení činností v elektronické evidenci.
II.6. Správce se zavazuje, že veškeré osobní údaje, které vlastním prostřednictvím nebo skrze subjekt osobních do Ergobody vloží (nahraje) jsou úplné, pravdivé, řádné a získané od oprávněné osoby, oprávněným způsobem a disponuje s nimi v souladu s GDPR na základě uděleného oprávnění pro dohodnuté účely.
II.7. Vedle běžných osobních údajů (subjektů údajů) správce získává tzv. citlivé osobní údaje, které jsou v režimu GDPR považovány za zvlášť chráněné. Jde zejména o tyto citlivé osobní údaje:
a) Údaje o rasovém či etnickém původu;
b) Členství v odborech a sociálních ochrany;
c) Politické názory, filosofická přesvědčení a náboženská vyznání;
d) Genetické a biometrické údaje nebo jiný biologický materiál;
e) Údaje o sexuálním životě či sexuální orientaci;
f) Údaje o zdravotním stavu;
g) Údaje o trestných činech, údaje o protiprávních jednání trestního charakteru, údaje týkající se rozsudků v trestních věcech a trestných činů subjektů údajů;
(dále také jen „citlivé osobní údaje“)
II.8. Smluvní strany berou na vědomí, že pro zpracování citlivých osobních údajů zavádí GDPR nejpřísnější režim ochrany. Ochrana citlivých údajů podléhá auditu a smluvní strany jsou povinny vést záznamy o zpracování. Smluvní strany jsou v závislosti na rozsahu zpracování povinny vypracovat k těmto citlivým osobním údajům zprávu o posouzení vlivu dle čl. 35 GDPR a využijí jmenovaného pověřence pro ochranu osobních údajů dle čl. 37 GDPR.
II.9. Zpracování citlivých osobních údajů zpracovatelem bude prováděno odpovědnou fyzickou osobou: Mgr. Jan Habara za zpracovatele, ErgoBody s.r.o., vyjma zvláštních případů.
III.1. Předmětem těchto podmínek je vymezení základních pravidel smluvních stran v souvislosti se zpracováním osobních údajů v návaznosti na užívání aplikace, provoz a zpracování osobních údajů prostřednictvím informačního systému Ergobody. Technické řešení umožňuje zpracovateli nahlédnout do všech údajů vložených v informačním
systému Ergobody. Smluvní strany proto vymezují záruky a ochrany před zneužitím faktického postavení zpracovatele, které v rámci svého technického přístupu získává. Na základě těchto podmínek se zpracovatel zavazuje přijmout a zpracovávat přijaté osobní údaje od správce pouze pro přijaté účely a v souladu s těmito podmínkami, GDPR (případně jiných účinných právních předpisů na úseku ochrany osobních údajů) a dle pokynů udělených správcem.
III.2. Správce předává zpracovateli osobní údaje zejména pro účely užívání aplikace Ergobody, správy a komunikace klientů správce prostřednictvím elektronického informačního systému Ergobody a ke správnému, nerušenému užívání aplikace a podlicencí tohoto informačního systému (např. k jednoduché zobrazení, zpracování a uchování osobních údajů). Není-li stanoveno jinak, pověřuje správce zpracovatele ke zpracovávání osobních údajů v těchto oblastech:
a) Zpracování anonymně agregovaných osobních údajů, případně pseudoanonymizovaných osobních údajů v informačním systému Ergobody bez znalosti konkrétních osobních údajů;
b) Provoz informačního systému Ergobody (Evidence, záznamy, uchování a zobrazení osobních údajů v informačním systému Ergobody);
c) Uložení, záloha a obnova dat informačního systému Ergobody;
d) Nahlédnutí do části získaných osobních údajů za účelem zjištění a odstranění vady informačního systému Ergobody, přidružených aplikací nebo modulů;
e) Poskytování uživatelské podpory informačního systému Ergobody po předchozí dohodě s pověřenou osobou správce;
f) Plnění povinností zpracovatele podle právních předpisů;
g) Jiných oblastech dle písemně udělených pokynů správce.
III.3. Zpracovatel není oprávněn osobní údaje získané od správce zpracovávat jinak a pro jiné účely, ledaže správce udělí zpracovateli písemně pokyn k užití osobních údajů nad rámec uvedeného pověření. Pokyn lze udělit prostřednictvím emailu správce zapsaného na zapsaný email zpracovatele.
III.4. Zpracovatel není schopen rozpoznat správnost a integritu ochrany osobních údajů prostředky, které správce do aplikace Ergobody poskytne. Zpracovatel plně spoléhá na odbornost správce v otázce ochrany osobních údajů, jím poskytnuté smluvní záruky a že dojde k jejich naplnění podle podmínek a vytvoření odpovídajícího technického zabezpečení osobních údajů (osamoceně nebo prostřednictvím jiných smluvních dodavatelů).
IV.1. Zpracováním osobních údajů ve smyslu podmínek se rozumí jakékoli nakládání s osobními údaji, např. jejich shromažďování, zaznamenání, zpřístupnění, uložení, uspořádání, vyhledání, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků, apod.
IV.2. Zpracovatel prohlašuje, že zpracování bude provádět výhradně pomocí zavedených technických a organizačních opatření v souladu s účelem jejich poskytnutí dle čl. 3.2. a s ohledem na specifika i požadavky předaných osobních údajů vyplývajících z GDPR. Zpracovatel zavede odpovídající vnitřní mechanismy a zabezpečením ochrany osobních údajů, která umožní nerušené užívání služeb správcem i jeho klienty/smluvními partnery a zároveň zpracovatel:
i) Nezasáhne do pravosti, celistvosti a neporušenosti osobních údajů;
ii) Ochrání osobní údaje před neoprávněným či protiprávním zásahem, před náhodnou ztrátou, zničením, poškozením nebo neoprávněným zpracováním (zejména pak uvnitř informačního systému Ergobody);
iii) Sám nebo ve spojení s jinou osobou nepřevede získané osobní údaje mimo nezbytný provoz informačního systému Ergobody, ani nezmění jeho podobu (z elektronické na listinnou);
iv) Umožní přístup k osobním údajům pouze odpovědným osobám zpracovatele, Bubble, oprávněným osobám, orgánům veřejné správy, subjektům poskytujícím pracovnělékařské služby, orgánům činným v trestním řízení nebo soudu;
v) Zajistí, že nedojde ke sloučení nebo záměně osobních údajů přijatých od správce s jinými údaji (zpracovatele nebo jiných správců);
vi) Umožní vedení, průběžnou archivaci a možnost aktualizace osobních údajů;
vii) Povede oddělené evidence přijatých osobních údajů správce, oproti osobním údajům přijatým od jiných správců (včetně zpracovatele);
viii) Umožní správci kontrolu zavedených opatření;
ix) Poskytne správci součinnost k řádnému výkonu práv subjektů osobních údajů, nejpozději do 10 pracovních dnů od přijetí písemné výzvy, není-li správce provést tento požadavek bez podpory zpracovatele;
x) Poskytne správci součinnost k prokázání souladu zpracování osobních údajů s právními předpisy;
xi) Poskytne součinnost jmenovanému pověřenci pro ochranu osobních údajů, pokud byl správcem nebo smluvními stranami jmenován.
IV.3. Správce je oprávněn vložit do informačního systému Ergobody a zpracovávat v něm pouze osobní údaje, ke kterým má zákonný nebo smluvní důvod jejich zpracování. Správce užije informační systém ve smluveném rozsahu a pouze za účelem poskytování služeb podle čl. 1.1. těchto podmínek (registrovaným uživatelům).
IV.4. Zpracovatel zpracovává osobní údaje pouze na základě smlouvy, podmínek a písemných pokynů správce, vždy v souladu s GDPR a pouze pro účely, pro které mu byly poskytnuty. Zpracovatel není oprávněn, ani povinen přezkoumávat aktuálnost, přesnost, úplnost a pravdivost osobních údajů. Stejně tak není zpracovatel povinen přezkoumat právní důvod správce k užívání osobních údajů subjektů těchto údajů.
IV.5. Zpracovateli se zvlášť zakazují následující způsoby zpracování:
a) provádění automatizované individuální rozhodování konkrétních subjektů osobních údajů;
b) přímo komunikovat se subjektem osobních údajů, není-li takový postup předem schválen správcem nebo nevyplývá-li z podmínek (odpověď na dotaz subjektu údajů).
IV.6. Zpracovatel je oprávněn:
a) Provádět vyhodnocení statistických údajů ze získaných anonymizovaných agregovaných dat bez přiřazení ke konkrétnímu subjektu osobních údajů;
b) Vyhodnotit anonymizovaná agregovaná data za účelem zlepšení kvality, organizace a uživatelských funkcí Ergobody.
IV.7. Zpracovatel upozorňuje správce, že do zpracovávání osobních údajů v systému Ergobody zapojí zpracovatele další zpracovatel, zejména k technickému zabezpečení a provádění technického řešení: bubble.io vytvořeného obchodní společností Bubble
Group, Inc., zapsané dle státu Delaware USA, se sídlem 22 W 21st St, Floor 2, New York, NY 100 10 (také jen „Bubble“) a dále Innovatee lab, s.r.o., se sídlem: Nové sady 988/2, Staré Brno, 602 00 Brno, zapsané a vedené u Krajského soudu v Brně sp. zn. C 120 491.
IV.8. Zpracovatel se při zpracování osobních údajů zajistí služby související s využíváním Ergobody, jeho vývojem a cloudovým prostředím (provozem serverů) nezbytným pro běh informačního systému. Tyto služby jsou k tomuto dni provozovány a poskytovány zpracovatelem a/nebo Bubble. Zpracovatel se zavazuje smluvně zajistit provozování a poskytování těchto služeb pouze za podmínek přijetí a dodržování takových organizační a technických opatření, která zajistí potřebnou ochranu osobních údajů alespoň v takové úrovni ochrany osobních údajů, jaká je vymezena v podmínkách.
IV.9. Při využití jakéhokoliv dalšího zpracovatele zpracovatel neodpovídá za řádné plnění jejich povinností v oblasti zpracování a ochrany osobních údajů.
IV.10. Zpracování lze provádět pouze na území Evropské unie a servery zpracovatele musí být umístěny pouze na tomto území.
V.1. Zpracovatel je vázán pokyny správce, jsou-li uděleny v souladu s GDPR. Vyhodnotí-li zpracovatel udělený pokyn správce v rozporu s GDPR nebo jinými předpisy Evropské unie nebo České republiky na ochranu osobních údajů, informuje o tom správce bez zbytečného odkladu. Trvá-li správce i v takovém případě na provedení pokynu, provede zpracovatel pokyn na vlastní odpovědnost správce (za realizaci pokynu není odpovědný), zaváže-li se správce uhradit újmu vzniklou v souvislosti s provedeným pokynem subjektům údajů či zpracovateli pro případ jejího vzniku.
V.2. Zpracovatel se zavazuje přijmout veškerá rozumně očekávatelná organizační a technická opatření k zajištění ochrany osobních údajů alespoň v takovém režimu ochrany, který je dle GDPR povinen dodržovat správce.
V.3. Zpracovatel zajistí a správci na vyžádání do 14 dnů doloží, že všechny osoby oprávněné provádět činnosti zpracování (tedy zejména zaměstnanci zpracovatele a další zpracovatelé) provádí v souladu s pokyny správce i podmínkami.
V.4. Zpracovatel zajistí důvěrnost a integritu osobních údajů v prostorách i mimo prostory Zpracovatele. Zpracovatel využije technické prostředky umožňující různé uživatelské úrovně k přístupu do osobních údajů a dále např. využívání logování, nasazení data loss prevention nebo obdobné technologie a další.
V.5. Zpracovatel je povinen správci na vyžádání doložit, proběhlo pověřené provedení auditu zabezpečení zpracování osobních údajů a zpracovatel se řídí doporučeními obsaženými ve výstupní zprávě auditu. V případě, že zpracovatel provede nebo provedl audit zabezpečení aplikace nebo jiný typ auditu, který může souviset s poskytovanou službou nebo zpracováním, které zpracovatel pro správce poskytuje, je zpracovatel povinen na vyžádání správce mu výsledky tohoto auditu do 30 pracovních dnů poskytnout k prostudování.
VI.1. Správce je povinen zavést vhodná technická a organizační opatření, aby bylo možné poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno
přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná GDPR a příslušnými právními předpisy.
VI.2. Správce je oprávněn oznámit subjektům osobních údajů zpracovávání prostřednictvím zpracovatele a Bubble.
VI.3. Správce se zavazuje informovat subjekty údajů o zpracování osobních údajů ve smyslu čl. 13 a 14 GDPR a zahrnout mezi poskytované informace rovněž informaci o využití zpracovatele a jeho identifikaci tak, aby zpracovatel informaci o zpracování osobních údajů nemusel subjektům údajů opětovně poskytovat.
VI.4. V případě, že se subjekt údajů obrátí na správce s žádostí o uplatnění svých práv, vyvine zpracovatel patřičnou součinnost při vyřizování žádostí subjektů údajů o uplatnění jejich práv, zejména zpřístupní příslušnou evidenci správci nebo sám vyhledá příslušné osobní údaje, sdělí správci podrobnosti o zabezpečení zpracovávaných osobních údajů, omezí na dobu vyřizování žádostí zpracování osobních údajů a provede na příkaz správce opravu nebo výmaz osobních údajů bez zbytečného odkladu. Správce je povinen vyvinout patřičnou součinnost se zpracovatelem v případě, že se na zpracovatele obrátí subjekt údajů se žádostí o uplatnění svých práv
VI.5. Může-li úkony ve vztahu k subjektům osobních údajů správce vykonat sám, lze vykonání úkonů ze strany zpracovatele podmínit uhrazením poplatku v přiměřené výši. Zpracovatel má povinnost na takovou skutečnost správce prokazatelně a předem upozornit.
VI.6. Zpracovatel je povinen na žádost správce, případně subjektu osobních údajů pozastavit omezit zpracování osobních údajů.
VI.7. Zpracovatel je povinen bez zbytečného odkladu provést změnu v osobních údajích nebo jejich výmaz, je-li k tomu správcem nebo příslušným subjektem údajů písemně vyzván. Zpracovatel provede změnu bez zbytečného odkladu, nejpozději do 7 pracovních dnů od doručení výzvy. Zpracovatel je povinen na základě příkazu správce bez zbytečného odkladu zamezit zpracovávání osobních údajů, smazání kopií, předat správci a vymazat je ze svých zařízení.
VI.8. Zpracovatel nepředává osobní údaje do třetích zemí, pokud mu to neukládají pro něj závazné právní předpisy. O všech právních povinnostech tohoto druhu je zpracovatel povinen správce informovat bez zbytečného odkladu od okamžiku, kdy se o nich dozví.
VII.1. Pokud zpracovatel plánuje využít ke zpracování osobních údajů nové technologie nebo nový postup nebo nové prostředky, provede zpracovatel posouzení rizik pro práva subjektů údajů, může je provést za předpokladu, že nedojde ke snížení ochrany osobních údajů.
VII.2. Vyhodnocení plánované změny a její dopady na zpracování osobních údajů provádí dle dohody smluvních stran jmenovaný pověřenec. Pokud nebyl pověřenec jmenován, provedou smluvní strany posouzení rizik odborníkem v oboru GDPR.
VII.3. Zpracovatel je povinen správci neprodleně oznámit jakékoliv narušení zabezpečení, integrity, celistvosti, existence nebo jiný zásah do osobních údajů skutečnostech, jež se při výkonu činnosti pro správce dozvěděl.
VII.4. V případě, že zpracovatel zjistí, že došlo k porušení zabezpečení osobních údajů, podnikne okamžitě všechna opatření nezbytná k předejití nebo minimalizaci újmy
subjektů údajů na jejich právech a informuje o porušení zabezpečení a přijatých opatřeních správce.
VIII.1. V případě, že zpracovatel úmyslně poruší své povinnosti podle článku 4.2. (základní povinnosti při zpracování), podle článku 7.3. nebo podle článku 7.4 (neoznámení nebo neprovedení opatření na ochranu při narušení bezpečnosti), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 5 000 Kč (slovy pět tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.2. V případě, že zpracovatel úmyslně poruší své povinnosti dle článku 2.8. (citlivé osobní údaje jen odpovědná osoba) nebo článku 4.5. (zvlášť zakázaná zpracování) nebo článku 6.8. (předání do třetí země bez právního důvodu či nezajištění záruk), je správce oprávněn požadovat zaplacení smluvní pokuty ve výši 6 000 Kč (slovy šest tisíc korun českých) za každý jednotlivý případ porušení povinnosti, a to do jednoho měsíce ode dne doručení písemné výzvy k zaplacení smluvní pokuty zpracovateli a prokázání této skutečnosti včetně zavinění. Zaplacení smluvní pokuty konzumuje nárok na náhradu škody ve výši uhrazené smluvní pokutou.
VIII.3. Vznikne-li správci v souvislosti s porušením povinností zpracovatele škoda, v to počítaje i uložení sankce Úřadem pro ochranu osobních údajů a vznik povinnosti nahradit subjektu údajů újmu vzniklou na jeho právech, je zpracovatel povinen nahradit správci tuto škodu v plné výši, a to do jednoho měsíce od doručení výzvy k náhradě této škody zpracovateli. Zpracovatel je povinen uhradit škodu jen do výše přijatého pojistného plnění získaného (horní hranice odpovědnosti za škody) v souvislosti s porušením povinností zpracovatele na úseku ochrany osobních údajů podle podmínek a/nebo GDPR.
VIII.4. Smluvní strany se dohodly, že výše náhrady škody nebo jiné újmy vzniklé správci vzniklé v souvislosti s činností zpracovatele nebo jinak v souvislosti s ní, z jedné nebo více škodních událostí, v celkovém souhrnu nepřesáhne částku 6 000,- Kč. Povinnost k náhradě škody způsobené zpracovatelem nad tuto částku se v souladu s § 2898 občanského zákoníku vylučuje. Toto omezení se nevztahuje na náhradu škody způsobenou úmyslně či z hrubé nedbalosti. Zpracovatel nemá povinnost nahradit škodu či jinou újmu způsobenou porušením svých povinností, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku. Zpracovatel neodpovídá za ušlý zisk, nemajetkovou újmu ani ztrátu příjmů.
IX.1. Smluvní strany jmenují společným pověřencem pro ochranu osobních údajů Mgr. Ing. Ladislav Šmarda (dále také jen „pověřenec“).
IX.2. Pověřenec je smluvním stranám nápomocen ve všech záležitostech týkajících se ochrany osobních údajů a poskytuje jim podporu. Smluvní strany řeší neshody ohledně výkladu práv a povinností na úseku ochrany osobních prostřednictvím zvoleného pověřence.
IX.3. Pověřenec podle přijaté žádosti smluvních stran:
a) Poskytuje smluvním stranám a jejich odpovědným osobám informace a poradenství na úseku ochrany a zpracování osobních údajů;
b) Monitoruje soulad činností smluvních stran s GDPR;
c) Vytváří koncept ochrany osobních údajů a odbornou připravenost zaměstnanců smluvních stran;
d) Provádí posouzení vlivu na ochranu osobních údajů a monitoruje uplatňování GDPR;
e) Přijímá a vyhodnocuje podání subjektů zpracovávaných osobních údajů;
f) Spolupracuje a jednán za smluvní strany před dozorovým úřadem.
IX.4. Obrátí-li se subjekt osobních údajů na kteroukoliv smluvní stranu s dotazem nebo požadavkem, který se týká zpracování osobních údajů, postoupí smluvní strany tento dotaz jmenovanému pověřenci k vyhodnocení a vyřízení.
IX.5. Práva a povinnosti mezi smluvními stranami a Pověřencem se řídí Smlouvou poskytování služeb pověřence uzavřenou mezi Smluvními stranami a pověřencem dne 25.5.2023 v Olomouci.
X.1. Podmínky skončí výpovědí smlouvy smluvních stran po uplynutí doby, která činí 2 měsíce počínající první den kalendářního měsíce následujícího po měsíci, kdy byla smlouva skončena.
X.2. Smluvní strany se dohodly, že v případě vypovězení základní smlouvy ztrácí zpracovatel po skončení výpovědní doby předpoklady pro poskytování smluvního plnění správci a pro jakékoli zpracování osobních údajů pro správce.
XI.1. Podmínky jsou závazné ke dni uzavření smlouvy. Zpracovatel je oprávněn jejich znění jednostranně měnit a upravovat.
XI.2. Osobní údaje, u nichž právní předpis neukládá jejich archivaci, je zpracovatel povinen při ukončení zpracování zničit/smazat nebo předat správci a kopie/zálohu zničit/smazat.
XI.3. Spory vzniklé mezi smluvními stranami v souvislosti s plněním budou rozhodovat věcně a místně příslušný soud v České republice, přičemž smluvní strany se dohodly ve smyslu ustanovení § 89a občanského soudního řádu pro místní příslušnost je rozhodný obecný soud správce.
XI.4. Vztah smluvních stran se řídí právním řádem České republiky. Pro rozhodování sporů vzniklých jsou příslušné obecné soudy České republiky.
XI.5. Smluvní strany se dohodly poskytnout si vzájemně veškerou potřebnou součinnost pro zajištění bezproblémové a efektivní realizace, případně řešení požadavků subjektu údajů při uplatnění svých práv.
XI.6. V případě vzniku pohledávek nebo závazků zpracovatele vůči správci se správce a zpracovatel dohodli, že si mohou tyto vzájemně započítávat vůči dalším pohledávkám a závazkům smluvních stran.
Za zpracovatele:
Mgr. Jan Habara