Smlouva o zpracování osobních údajů

Správce: Klient SiteCare — fyzická nebo právnická osoba, která uzavřela smlouvu o poskytování služeb SiteCare a je správcem osobních údajů svých zákazníků.

Zpracovatel: Digibistro s.r.o., IČO: 12345678, Praha — poskytovatel služby SiteCare, který zpracovává osobní údaje jménem správce v rámci správy webu.

Tato smlouva je platná po celou dobu trvání smluvního vztahu dle podmínek definovaných v čl. 10.

Zpracovatel se zavazuje zpracovávat osobní údaje výlučně za účelem plnění povinností vyplývajících ze smlouvy o poskytování služeb SiteCare, v souladu s pokyny správce a GDPR (Nařízení EU 2016/679). Zpracovatel nebude zpracovávat osobní údaje pro vlastní obchodní účely ani je prodávat třetím stranám.

V rámci výkonu služby (technická správa, hosting, zálohy, bezpečnost, aktualizace) může zpracovatel přijít do styku s osobními údaji zákazníků správce uloženými v databázi webu (jméno, e-mail, adresa, objednávky). Přístup je výhradně technický, bez vědomého čtení nebo dalšího využívání dat.

• Zpracovávat osobní údaje pouze na základě doložených pokynů správce
• Zajistit závazek mlčenlivosti u osob oprávněných ke zpracování
• Nepředávat údaje mimo EU/EHP bez písemného souhlasu správce
• Přijmout opatření dle čl. 32 GDPR
• Spolupracovat při plnění práv subjektů údajů
• Po ukončení zpracování data vymazat nebo vrátit dle volby správce

• Poskytovat zpracovateli pouze zákonné a přesné pokyny
• Zajistit zákonný základ pro zpracování osobních údajů
• Informovat subjekty údajů o zpracování (vlastní Politika ochrany soukromí)
• Oznámit zpracovateli změny ovlivňující zpracování

Zpracovatel je oprávněn zapojit sub-zpracovatele pro zajištění provozu infrastruktury (hosting, zálohy). Správce uděluje obecný souhlas za podmínky, že sub-zpracovatelé jsou usazeni v EU/EHP, mají uzavřenou DPA s rovnocennými povinnostmi a správce je informován o změnách s 30denním předstihem.

• Šifrování dat při přenosu (TLS/SSL) i v klidu
• Pravidelné zálohy s přístupem omezeným na autorizované osoby
• Firewall a IDS pro detekci bezpečnostních incidentů
• Dvoufaktorová autentizace pro přístupy k administraci
• Pravidelná bezpečnostní školení zaměstnanců

V případě bezpečnostního incidentu zpracovatel oznámí incident správci bez zbytečného odkladu, nejpozději do 72 hodin od zjištění, poskytne potřebné informace a přijme opatření k minimalizaci dopadů.

Zpracovatel umožní audit za podmínek: oznámení 14 dní předem, v pracovní době bez narušení provozu, náklady nese správce. Na žádost poskytne výsledky bezpečnostních certifikací nebo auditů třetích stran.

Po ukončení smlouvy zpracovatel do 30 dní předá zálohu webu, trvale vymaže všechna data a na žádost vydá písemné potvrzení o výmazu. Smlouva se řídí právem České republiky.