Smlouva o zpracování osobních údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PŘÍLOHA Č. 1 K VŠEOBECNÝM OBCHODNÍM PODMÍNKÁM SLUŽBY EMAIL MACHINE

(dále jen „Zpracovatelská smlouva”) uzavřená mezi:

Vámi, uživateli Služeb Email Machine;

(dále jen „Správce“ nebo „vy”)

Email Machine s.r.o., se sídlem Václavská 2073/20, Nové Město, 120 00 Praha 2, IČO: 03568831, zapsaná u Městského soudu v Praze, sp. zn. C 409739, zastoupená jednatelem Michalem Fintou,

(také jako „Zpracovatel“, „Email machine”, nebo „my”)

(Zpracovatel a Správce dále společně jako „Smluvní strany“ a jednotlivě „Smluvní strana“).

Proč potřebujeme Zpracovatelskou smlouvu? Jelikož v rámci poskytování naší Služby musíme zpracovávat Vaše osobní údaje v souladu s Podmínkami, jejichž je tato Zpracovatelská smlouva součástí. Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (např. jméno, datum narození, adresa, síťový identifikátor ad.) (dále jen „Osobní údaje”).

Proč se seznámit se Zpracovatelskou smlouvou? Jelikož vymezuje podmínky zpracování Vašich Osobních údajů a vy potvrzením Podmínek s námi uzavíráte i tuto Zpracovatelskou smlouvu. V případě dotazů, které se budou týkat zpracování Osobních údajů, nás můžete kdykoliv kontaktovat na dpo@emailmachine.cz.

Z jakého titulu Zpracovatelskou smlouvu uzavíráme? Smluvní strany díky Zpracovatelské smlouvě mohou v souladu s právními předpisy zpracovávat Osobní údaje. Především podle Nařízení Evropského parlamentu a rady (EU) 2016/679 (dále jen „GDPR”) musí Smluvní strany dle článku 28 GDPR písemně upravit pravidla zpracování, což provádějí v této Zpracovatelské smlouvě.

ÚVOD A KRÁTKÝ PŘEHLED OBSAHU SMLOUVY
1. Co je cílem Zpracovatelské smlouvy? Uzavřením této Zpracovatelské smlouvy jako Správce pověřujete nás jako Zpracovatele, abychom prováděli zpracování Osobních údajů v souvislosti s poskytováním Služby. Cílem je zajištění ochrany Osobních údajů v rozsahu požadovaném právními předpisy. Rozsah zpracovávaných Osobních údajů najdete v Příloze A této Zpracovatelské smlouvy.
2. Jaké Služby poskytujeme? Služby Email Machine spočívají zejména ve správě a vytváření e-mailingových a dalších marketingových kampaní, jak je blíže definováno v Podmínkách.
3. Jaká je pozice Zpracovatele a Správce? Při užívání Služby nám předáváte osobní údaje, jejichž jste Správcem, které následně na Váš pokyn a v rozsahu Vámi zvoleném zpracováváme. Při zpracování Osobních údajů jste v postavení Správce Osobních údajů podle článku 4 odst. 7 GDPR a Email Machine je v postavení Zpracovatele dle článku 4 odst. 8 GDPR.
4. Jaké používáme definice? Definice pojmů v Podmínkách přebíráme ve stejném významu i do této Zpracovatelské smlouvy.
5. Jak dlouho trvá Zpracovatelská smlouva? Tato Zpracovatelská smlouva se uzavírá na dobu trvání smlouvy podle Podmínek.
6. Kdy dochází k uzavření Zpracovatelské smlouvy? Zpracovatelská smlouva je uzavřena v okamžiku dokončení registrace za účelem užívání Služby (uzavření smlouvy dle Podmínek).
7. Kdy lze ukončit Zpracovatelskou smlouvu? Ukončit Zpracovatelskou smlouvu je možné za stejných podmínek jako ukončení využívání Služby podle Podmínek.
8. Jaké jsou účinky ukončení Zpracovatelské smlouvy? Ukončení této Zpracovatelské smlouvy má za následek zároveň ukončení smluvního vztahu v oblastech, kterých se tato Zpracovatelská smlouva týká, pokud se Smluvní strany nedohodnou jinak. Ukončením Podmínek je ukončena i tato Zpracovatelská smlouva. Ukončením této Zpracovatelské smlouvy však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací.
JAKÉ JSOU SPOLEČNÉ POVINNOSTI SPRÁVCE A ZPRACOVATELE?
1. Jaká je základní povinnost Smluvních stran? Správce i Zpracovatel se zavazují dodržovat předpisy upravující ochranu Osobních údajů.
2. Jak je to se součinností u Osobních údajů? Správce i Zpracovatel se zavazují si být navzájem v nezbytném a přiměřeném rozsahu nápomocni při plnění povinností při zpracování Osobních údajů, které vyplývají ze vzájemně uzavřených smluv a právních předpisů, a to zejména v souvislosti s reakcemi na výkon práv subjektů údajů, s bezpečnostními incidenty a také i s vypracováním posouzení vlivu a s jednáním s dozorovými orgány. Smluvní strany se zavazují poskytnout nezbytné podklady pro vyřízení žádosti týkající se zpracování Osobních údajů podle Podmínek. Smluvní strana tyto podklady poskytne bez zbytečného odkladu, nejpozději však do 10 pracovních dnů od obdržení žádosti o poskytnutí součinnosti druhé Smluvní straně.
3. Co dělat při porušení zabezpečení? Smluvní strana oznámí druhé straně, že se dozvěděla o porušení zabezpečení do 48 hodin od chvíle, kdy se o porušení dozví. Porušením je třeba chápat jakýkoliv případ porušení zabezpečení Osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění Osobních údajů, které jsou zpracovány na základě Smlouvy ve znění Podmínek.
JAKÁ JSOU PRÁVA A POVINNOSTI ZPRACOVATELE?
1. Jak musí Zpracovatel omezit přístup k Osobním údajům? Zpracovatel zajistí, aby byl přístup k Osobním údajům omezen pouze na (a) zaměstnance, kteří zpracovávají Osobní údaje v rámci pracovní náplně, a dále (b) osoby, které spolupracují se Zpracovatelem a v rámci spolupráce mohou pro něj zpracovávat Osobní údaje, a to v souladu s podmínkami této Zpracovatelské smlouvy a za účelem poskytnutí Služeb na základě Smlouvy ve znění Podmínek. Pokud se na tyto osoby nevztahuje zákonná povinnost mlčenlivosti, Zpracovatel zajistí jejich smluvní mlčenlivost.
2. Jaká opatření musí Zpracovatel přijmout? Zpracovatel přijal a zavazuje se udržovat po celou dobu trvání této Zpracovatelské smlouvy vhodná technická a organizační opatření dle nařízení GDPR, které se na Zpracovatele vztahují. Přehled přijatých opatření naleznete v Příloze B této Zpracovatelské smlouvy.
3. Jaké jsou závazky Zpracovatele? Zpracovatel se zavazuje:
  1. při zpracování Osobních údajů dodržovat veškeré povinnosti vyplývající pro zpracovatele Osobních údajů z relevantních právních předpisů;
  2. zpracovávat Osobní údaje výlučně na základě pokynů Správce učiněných dle této Zpracovatelské smlouvy, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;
  3. oznámit bez zbytečného odkladu Správci případy, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu zahájena kontrola nebo jiné správní řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
  4. být Správci nápomocen při zajišťování souladu s povinnostmi Správce týkajících se zabezpečení Osobních údajů podle článku 32 až 36 GDPR při zohlednění povahy zpracování, které má Zpracovatel provádět;
  5. umožnit Správci konání interních auditů, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověřil, a to za podmínky, že tyto budou Zpracovateli oznámeny jeden měsíc před jejich konáním; Zpracovatel může vznést námitky proti proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není nezávislý, je v soutěžním nebo obdobném postavení vůči Zpracovateli. Na základě Zpracovatelem vznesené námitky má Správce povinnost pověřit jiného auditora;
  6. ohlásit Správci každé porušení zabezpečení Osobních údajů, o kterém se dozví, a to bez zbytečného odkladu, nejpozději do 48 hodin od chvíle, kdy se o porušení zabezpečení dozví. Minimální rozsah tohoto oznámení je uvedený v článku 33 odst. 3 GDPR;
  7. vést evidenci veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení a plnění povinností Správce dle článku 33 až 34 GDPR;
  8. být Správci nápomocen při doložení procesů či dokumentů, které prokazují, že Správce dodržuje GDPR.
4. Kdo hradí náklady v případě auditu? Smluvní strany se dohodly, že Zpracovatel má vůči Správci nárok na náhradu přiměřených nákladů spojených s poskytnutím součinnosti při provedení auditu osobních údajů ze strany Správce.
5. Jaká je povinnost mlčenlivosti Zpracovatele? Zpracovatel se zavazuje dodržovat povinnost mlčenlivosti o všech Osobních údajích předaných Správcem, a bude je udržovat v tajnosti, nezveřejní je, nezpřístupní třetí osobě, a to ani jako celek, ani jejich části, ledaže má dojít k jejich předání na základě pokynu Správce, nebo pokud tak předpokládá právní předpis.
6. Co podléhá obchodnímu tajemství? Všechny informace a dokumenty, které Zpracovatel Správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství Zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na zachování důvěrnosti podle této Zpracovatelské smlouvy. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.
7. Na základě čeho jsou Osobní údaje zpracovávány? Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy, této Zpracovatelské smlouvy nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.
8. Jací jsou další zapojení zpracovatelé? Zpracovatel dále zapojil do zpracování Osobních údajů poskytovatele: Savvy s.r.o. (webové služby), INTERNET CZ, a.s. (webhostingové služby), WEDOS Internet, a.s. (webhostingové služby) nebo Master Internet, s.r.o. Detaily najdete v Příloze C této Zpracovatelské smlouvy. Pokud bude Zpracovatel zapojovat jiné zpracovatele, informuje o tom Správce před touto změnou prostřednictvím e-mailu nebo v rozhraní aplikace. V případě, že Správce nebude se zapojením nového zpracovatele souhlasit, může podat námitku, a to nejpozději do 5 dnů od doručení oznámení Zpracovatele. Podání námitky, a tedy nezapojení nového (pod)zpracovatele, může mít za následek znemožnění užívání Služby.
9. Jak je to se zpracovateli na IČO u Zpracovatele? Správce výslovně souhlasí se zapojením dalších zpracovatelů – programátorů a jiných specialistů Zpracovatele v pozici fyzických osob podnikajících, kteří poskytují Zpracovateli služby na základě smlouvy o spolupráci.
10. Jaké jsou povinnosti Zpracovatele v případě ukončení spolupráce? Zpracovatel se zavazuje, že v případě ukončení poskytování Služeb vymaže veškeré Osobní údaje a na žádost Správce je vrátí, včetně veškerých kopií, pokud právo EU nebo České republiky nevyžaduje jejich uložení. V takovém případě budou ve lhůtě tří měsíců od doručení výzvy Správce vráceny prostřednictvím zabezpečeného úložiště, které Správce specifikuje ve své výzvě a zřídí k němu Zpracovateli přístup. Pokud po uplynutí tří let od ukončení spolupráce Správce nedá pokyn k předání Osobních údajů, upozorní jej Zpracovatel na možnost vrácení dat. Pokud Správce nedá do jednoho měsíce od upozornění pokyn na předání dat, budou Osobní údaje s ohledem na plnění svých právních povinností smazány.
11. Kdy lze požadovat vrácení dat? Správce může požádat Zpracovatele o zaslání zálohovaných dat dle Podmínek, a to nejpozději do 2 měsíců od smazání Uživatelského účtu. Po uplynutí této lhůty jsou data Správce nenávratně smazána.
JAK JE TO SE ZPRACOVÁNÍM DAT MIMO EVROPSKOU UNII?
1. Co kdyby se data mohla dostat mimo Evropskou unii? V souvislosti s poskytováním Služeb můžeme využít nebo zapojit subzpracovatele, kteří mohou sídlit i mimo území Evropský hospodářský prostor. V takovém případě s každým takovým subzpracovatelem uzavřeme standardní smluvní doložku, abychom zajistili příslušnou míru ochrany Osobních údajů v souladu s GDPR. Pokud takový subzpracovatel bude zapojen, bude předání dat popsáno v této Zpracovatelské smlouvě.
ZÁVĚREČNÁ USTANOVENÍ
1. Jakým se řídíme právním řádem? Zpracovatelská smlouva se řídí a bude vykládána v souladu s právním řádem České republiky, zejména občanským zákoníkem a GDPR. Smluvní strany se dohodly, že obchodní zvyklosti nemají přednost před žádnými ustanoveními zákona, a to ani před ustanoveními zákona, jež nemají donucující účinky.
2. Platí u Zpracovatelské smlouvy vyšší moc? Zpracovatel nenese odpovědnost za situace, kdy nemohl splnit svou povinnost vyplývající ze Zpracovatelské smlouvy z důvodu události označované jako vyšší moc (válka, nepokoje, terorismus, vzpory, stávky, požáry, epidemie či přírodní katastrofy).
3. Jak mohou Smluvní strany komunikovat? Smluvní strany se dohodly, že jejich komunikace týkající se Zpracovatelské smlouvy (včetně oznámení bezpečnostního incidentu) bude probíhat prostřednictvím e-mailových adres:
  1. Správce: e-mailová adresa, kterou se Správce registroval ke Službě;
  2. Zpracovatel: dpo@emailmachine.cz.
4. Může být Zpracovatelská smlouva postoupena? Žádná Smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této Zpracovatelské smlouvy nebo související s touto Zpracovatelskou smlouvou bez předchozího písemného souhlasu druhé Smluvní strany.
5. Můžeme provádět aktualizace a změny? Zpracovatel si vyhrazuje právo tuto Zpracovatelskou smlouvu upravit nebo aktualizovat. Pokud provedeme změny, které mění práva a povinnosti ze Zpracovatelské smlouvy, budete o tom včas srozuměni prostřednictvím e-mailu, který Vám zašleme. Pokud budete využívat nadále Službu, souhlasíte s aktualizovaným zněním Zpracovatelské smlouvy. Pokud se změnami nebudete souhlasit, přestaňte prosím Službu využívat.
6. Od kdy je Zpracovatelská smlouva účinná? V tomto znění je účinná od 1.1.2025.
7. Přílohy. Součástí Zpracovatelské smlouvy jsou tyto přílohy:

Příloha A: Povaha, rozsah, trvání a účel zpracování Osobních údajů,
Příloha B: Technická a organizační opatření,
Příloha C: Seznam zpracovatelů.

PŘÍLOHA A

KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Jaká je povaha zpracování? Osobní údaje jsou zpracovávány automatizovaně systémy Zpracovatele používanými pro poskytování Služby.

Jaký je účel zpracování? Účelem zpracování je umožnit Správci využívání Služby (plnění smlouvy).

Jaký je právní důvod zpracování? Právním důvodem pro zpracování Osobních údajů v rámci poskytování Služby je plnění smlouvy (ve znění Podmínek).

Jaký je rozsah zpracování? V závislosti na tom, jak Správce využívá Službu, mohou být v souvislosti s poskytováním Služby zpracovávány zejména tyto Osobní údaje:

Kontaktní údaje: Jméno, příjmení, e-mail, telefonní číslo, adresa, datum narození, akademický titul, IČO, sídlo, fotografie nebo obrázek osoby;
IP adresa, cookie, pohlaví, historie nákupů, historie prohlížení produktů, obsah košíku, aktivita uživatele na webu Zpracovatele (web tracking, click rate, open rate, doručené e-maily, odhlášení uživatelé, spam stížností, typ prohlížeče, typ schránky,);
Případně další Osobní údaje zpracovávané výhradně na pokyn Správce, které Správce považuje za nezbytné pro naplnění účelu smlouvy či další údaje, které jsou k subjektům údajů přiřaditelné.

Co jsou zvláštní kategorie Osobních údajů? Jsou to takové Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Zpracováváme zvláštní kategorie Osobních údajů? Správce se zavazuje, že Zpracovateli nezpřístupní žádné Osobní údaje, které spadají do zvláštní kategorie Osobních údajů ve smyslu článku 9 GDPR. Zvláštní kategorie Osobních údajů mohou být zpracovány pouze po výslovné předchozí dohodě se Zpracovatelem.

Kdo je subjektem údajů? Zpravidla se jedná o Osobní údaje zákazníků nebo klientů Správce, zaměstnanců Správce a jiných spolupracujících osob včetně dodavatelů, uživatelů webových stránek Správce, obchodních partnerů nebo jejich zaměstnanců či zástupců.

Jak dlouho Osobní údaje zpracováváme? Osobní údaje jsou zpracovávány po dobu, po kterou jsou Smluvní strany vázány Smlouvou ve znění Podmínek, ledaže dohoda Smluvních stran nebo právní předpis nestanoví dobu delší.

PŘÍLOHA B

KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

Jaká využíváme technická opatření? Bezpečnost je pro nás velmi důležitá a proto soustavně pracujeme na tom, aby byly Vaše Osobní údaje chráněny. Při volbě opatření bereme v úvahu rozsah zpracování, rizikovost zpracování nebo stav naší techniky.

Využíváme unikátní a silná hesla pro přístupy do každé služby jednotlivě;
Pravidelně zálohujeme data;
Aktualizujeme antivirové softwarové systémy;
Šifrujeme data pomocí SSL („secure sockets layer”) pro veškeré předávání údajů;
Používáme zabezpečený https protokol;
Naše data na serverech jsou šifrována;
Technologii vyvíjíme s ohledem na ochranu osobních údajů (privacy by design);
Přístupová hesla do informačních systémů (kde budou Osobní údaje zpracovány) a oprávnění k přístupu jsou kontrolované na úrovni jednotlivců.

Jaká využíváme organizační opatření? Přijali jsme a zavazujeme se dodržovat následující opatření:

Naši zaměstnanci a spolupracovníci jsou zavázáni mlčenlivostí;
Naši zaměstnanci a spolupracovníci jsou řádně proškoleni ohledně GDPR a seznámeni s pravidly bezpečné práce na pracovních zařízeních;
Naši zaměstnanci se řídí interní směrnicí, která upravuje organizační opatření ohledně ochrany osobních údajů;
V případě uchovávání API klíčů odstraňujeme autorizační údaje;
Přístupy do všech systémů včetně informačního systému jsou personalizovány a kryty bezpečnými hesly, zaměstnanci mají povinnost mít šifrované harddisky;
Hesla v provozním prostředí uchováváme na odděleném místě (Safe store), do nějž jsou evidovány logy, abychom mohli kontrolovat přístup zaměstnanců k jednotlivým Osobním údajům Uživatelů.

PŘÍLOHA C

KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SEZNAM ZPRACOVATELŮ

Zpracovatel	Adresa	IČO/reg. číslo	K čemu se využívá?	Kde uchovává data?	Předávání dat mimo EU (čl. 44 GDPR) a důvod zpracování	Zpracování dat
Savvy, s.r.o.	Cejl 825/20, Zábrdovice, 602 00 Brno	26944367	Administrace webových serverů	EU	Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU.	DPA
WEDOS Internet, a.s.	Masarykova 1230, 373 41 Hluboká nad Vltavou	28115708	Webhosting	EU	Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU.	DPA
INTERNET.CZ, a.s.	č.p. 2, 384 03 Ktiš	26043319	Webhosting	EU	Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU.	DPA
Master Internet, s.r.o.	Jiráskova 21, 602 00 Brno	26277557	housing serverů, poskytování serverů a konektivity	EU	Data jsou zachovávána v EU, nedochází tedy k předání dat mimo EU.	DPA