Dohoda o spracovaní osobných údajov

DOHODA O SPRACOVANÍ OSOBNÝCH ÚDAJOV

PRÍLOHA Č. 1 K VŠEOBECNÝM OBCHODNÝM PODMIENKAM SLUŽBY EMAIL MACHINE

(ďalej len „Dohoda o spracovaní“) uzavretá medzi:

1. Vy, používateľ služieb Email Machine Services; 

(ďalej len „správca“ alebo „vy“) 

a

2. Spoločnosť Email Machine s.r.o., so sídlom Václavská 2073/20, Nové Město, 120 00 Praha 2, IČO: 03568831, zapísaná v Obchodnom registri Mestského súdu v Prahe, spisová značka C 409739, zastúpená konateľom Michalom Fintom,

(tiež označované ako „spracovateľ“, „e-mailový stroj“ alebo „my“)

(Spracovateľ a prevádzkovateľ sú ďalej spoločne označovaní ako „strany“ a jednotlivo ako „strana“).

Prečo potrebujeme dohodu o spracovaní údajov? Pretože pri poskytovaní našich služieb musíme spracovávať vaše osobné údaje v súlade s podmienkami, ktorých súčasťou je táto dohoda o spracovaní údajov. Osobné údaje znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (napr. meno, dátum narodenia, adresa, identifikátor siete atď.) (ďalej len „osobné údaje“).

Prečo by ste sa mali oboznámiť so Zmluvou o spracovaní údajov? Pretože definuje podmienky spracovania vašich osobných údajov a potvrdením podmienok uzatvárate s nami aj túto Zmluvu o spracovaní údajov. Ak máte akékoľvek otázky týkajúce sa spracovania osobných údajov, môžete nás kedykoľvek kontaktovať na adrese dpo@emailmachine.cz.

Na akom základe uzatvárame zmluvu o spracovaní údajov? Vďaka zmluve o spracovaní údajov môžu zmluvné strany spracúvať osobné údaje v súlade s právnymi predpismi. Konkrétne, podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (ďalej len „GDPR“) musia zmluvné strany v súlade s článkom 28 GDPR písomne stanoviť pravidlá spracúvania, čo robia v tejto dohode o spracúvaní.

1. ÚVOD A STRUČNÝ PREHĽAD OBSAHU DOHODY
   1. Aký je účel dohody o spracovaní údajov? Uzavretím tejto dohody o spracovaní údajov ako prevádzkovateľ nás oprávňujete ako spracovateľa spracovávať osobné údaje v súvislosti s poskytovaním služby. Účelom je zabezpečiť ochranu osobných údajov v rozsahu vyžadovanom zákonom. Rozsah spracovávaných osobných údajov je uvedený v prílohe A k tejto dohode o spracovaní údajov.
   2. Aké služby poskytujeme? Služby spoločnosti Email Machine spočívajú predovšetkým v spravovaní a vytváraní e-mailových a iných marketingových kampaní, ako je podrobnejšie definované v podmienkach používania. 
   3. Aká je pozícia spracovateľa a prevádzkovateľa? Pri používaní služby nám poskytujete osobné údaje, ktorých ste prevádzkovateľom, a my ich potom spracovávame podľa vašich pokynov a v rozsahu, ktorý si zvolíte. Pri spracúvaní osobných údajov ste v pozícii prevádzkovateľa osobných údajov podľa článku 4 ods. 7 GDPR a spoločnosť Email Machine je v pozícii spracovateľa podľa článku 4 ods. 8 GDPR. 
   4. Aké definície používame? Definície pojmov uvedené v Obchodných podmienkach sa používajú aj v tejto Dohode o spracovaní údajov s rovnakým významom.
   5. Ako dlho platí dohoda o spracovaní údajov? Táto dohoda o spracovaní údajov je uzavretá na dobu trvania zmluvy v súlade so všeobecnými obchodnými podmienkami. 
   6. Kedy je uzatvorená zmluva o spracovaní údajov? Zmluva o spracovaní údajov je uzatvorená po dokončení registrácie za účelom používania služby (uzatvorenie zmluvy v súlade s podmienkami). 
   7. Kedy je možné zmluvu o spracovaní údajov vypovedať? Zmluva o spracovaní údajov môže byť vypovedaná za rovnakých podmienok ako vypovedanie používania služby podľa všeobecných obchodných podmienok.
   8. Aké sú dôsledky ukončenia zmluvy o spracovaní údajov? Ukončením tejto zmluvy o spracovaní údajov sa ukončí aj zmluvný vzťah v oblastiach, na ktoré sa táto zmluva o spracovaní údajov vzťahuje, pokiaľ sa zmluvné strany nedohodnú inak. Ukončením platnosti podmienok sa ukončí aj táto zmluva o spracovaní údajov. Ukončenie platnosti tejto zmluvy o spracovaní údajov však nemá vplyv na povinnosti spracovateľa týkajúce sa prenosu (vrátenia) osobných údajov prevádzkovateľovi alebo ich likvidácie a dodržiavania dôvernosti informácií.
2. 1. Aká je základná povinnosť zmluvných strán? Správca aj spracovateľ sa zaväzujú dodržiavať predpisy upravujúce ochranu osobných údajov.
   2. Ako je to so spoluprácou v oblasti osobných údajov? Prevádzkovateľ a spracovateľ sa zaväzujú, že si budú navzájom pomáhať v potrebnom a primeranom rozsahu pri plnení svojich povinností v oblasti spracúvania osobných údajov vyplývajúcich zo vzájomne uzavretých zmlúv a právnych predpisov. Najmä v súvislosti s reakciami na uplatňovanie práv dotknutých osôb, bezpečnostnými incidentmi a prípravou posúdení vplyvu a rokovaniami s dozornými orgánmi. Zmluvné strany sa zaväzujú poskytnúť potrebnú dokumentáciu na spracovanie žiadostí týkajúcich sa spracovania osobných údajov v súlade s podmienkami. Zmluvná strana poskytne takúto dokumentáciu bez zbytočného odkladu, najneskôr však do 10 pracovných dní od prijatia žiadosti o spoluprácu od druhej zmluvnej strany.
   3. Čo robiť v prípade porušenia bezpečnosti? Zmluvná strana je povinná informovať druhú stranu o tom, že sa dozvedela o porušení bezpečnosti, a to do 48 hodín od zistenia porušenia. Porušením sa rozumie akýkoľvek prípad porušenia bezpečnosti osobných údajov, ktorý by mohol potenciálne viesť k náhodnému alebo nezákonnému zničeniu, zmene alebo neoprávnenému poskytnutiu alebo zverejneniu osobných údajov spracúvaných na základe zmluvy v znení zmien a doplnení podmienok.
3. 1. Ako musí spracovateľ obmedziť prístup k osobným údajom? Spracovateľ zabezpečí, aby prístup k osobným údajom bol obmedzený iba na (a) zamestnancov, ktorí spracúvajú osobné údaje v rámci svojich pracovných povinností, a (b) osoby, ktoré spolupracujú so spracovateľom a môžu spracúvať osobné údaje pre spracovateľa v rámci takejto spolupráce, v súlade s podmienkami tejto zmluvy o spracovaní a na účely poskytovania služieb podľa zmluvy v znení zmien a doplnení podmienok. Ak tieto osoby nepodliehajú zákonnej povinnosti zachovávať dôvernosť, spracovateľ zabezpečí ich zmluvnú dôvernosť.
   2. Aké opatrenia musí spracovateľ prijať? Spracovateľ prijal a zaväzuje sa počas platnosti tejto zmluvy o spracovaní údajov dodržiavať primerané technické a organizačné opatrenia v súlade s nariadením GDPR, ktoré sa vzťahuje na spracovateľa. Prehľad prijatých opatrení je uvedený v prílohe B k tejto zmluve o spracovaní údajov.
   3. Aké sú povinnosti spracovateľa? Spracovateľ sa zaväzuje:
      1. pri spracúvaní osobných údajov dodržiavať všetky povinnosti, ktoré vyplývajú pre spracovateľa osobných údajov z príslušných právnych predpisov;
      2. spracúvať osobné údaje výlučne na základe pokynov prevádzkovateľa vydaných v súlade s touto dohodou o spracúvaní, a to aj v otázkach týkajúcich sa prenosu osobných údajov do tretej krajiny alebo medzinárodnej organizácie;
      3. bez zbytočného odkladu informovať prevádzkovateľa o všetkých prípadoch, keď Úrad na ochranu osobných údajov alebo iný správny orgán začne inšpekciu alebo iné správne konanie v súvislosti so spracúvaním osobných údajov spracovateľom, a poskytnúť prevádzkovateľovi všetky informácie o priebehu a výsledkoch takejto inšpekcie alebo konania;
      4. pomáhať prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami prevádzkovateľa týkajúcimi sa bezpečnosti osobných údajov podľa článkov 32 až 36 GDPR, s prihliadnutím na povahu spracúvania, ktoré má vykonávať spracovateľ; 
      5. umožniť prevádzkovateľovi vykonávať interné audity, vrátane inšpekcií, ktoré vykonáva prevádzkovateľ alebo iný audítor vymenovaný prevádzkovateľom, za predpokladu, že o nich bude spracovateľ informovaný jeden mesiac vopred; Sprostredkovateľ môže namietať proti akémukoľvek audítorovi vymenovanému prevádzkovateľom, ak nie je nezávislý alebo je v konkurenčnom alebo podobnom postavení ako sprostredkovateľ. Na základe námietky vznesenej sprostredkovateľom je prevádzkovateľ povinný vymenovať iného audítora; 
      6. bez zbytočného odkladu, najneskôr do 48 hodín od momentu, keď sa o porušení dozvie, nahlási prevádzkovateľovi akékoľvek porušenie bezpečnosti osobných údajov, o ktorom sa dozvie. Minimálny rozsah tohto oznámenia je stanovený v článku 33 ods. 3 GDPR;
      7. vedie záznamy o všetkých porušeniach ochrany osobných údajov a nápravných opatreniach prijatých na zabezpečenie primeranej úrovne bezpečnosti spracúvania. Spracovateľ je povinný poskytovať prevádzkovateľovi všetku potrebnú spoluprácu v súvislosti s vyšetrovaním porušení bezpečnosti a plnením povinností prevádzkovateľa podľa článkov 33 až 34 GDPR;
      8. pomáhať prevádzkovateľovi pri poskytovaní dôkazov o procesoch alebo dokumentoch, ktoré preukazujú, že prevádzkovateľ dodržiava GDPR.
   4. Kto hradí náklady v prípade auditu? Zmluvné strany sa dohodli, že spracovateľ má nárok na úhradu primeraných nákladov spojených s poskytovaním spolupráce pri vykonávaní auditu osobných údajov zo strany prevádzkovateľa. 
   5. Aká je povinnosť spracovateľa zachovávať dôvernosť? Sprostredkovateľ sa zaväzuje dodržiavať povinnosť mlčanlivosti vo vzťahu ku všetkým osobným údajom poskytnutým prevádzkovateľom a bude ich uchovávať v tajnosti, nebude ich zverejňovať, nebude ich sprístupňovať tretím stranám, ani v celom rozsahu, ani čiastočne, pokiaľ nie je ich prenos vyžadovaný na základe pokynov prevádzkovateľa alebo ak to vyžaduje zákon. 
   6. Čo podlieha obchodnému tajomstvu? Všetky informácie a dokumenty, ktoré spracovateľ sprístupnil prevádzkovateľovi v súvislosti s auditom alebo inšpekciou, tvoria súčasť obchodného tajomstva spracovateľa a, pokiaľ nie je uvedené inak, podliehajú požiadavkám dôvernosti podľa tejto dohody o spracovaní. Takéto informácie a dokumenty môžu byť zverejnené len príslušnému dozornému orgánu.
   7. Na akom základe sa spracúvajú osobné údaje? Spracovateľ sa zaväzuje plniť svoje povinnosti týkajúce sa ochrany osobných údajov počas celej doby trvania zmluvy, pokiaľ ustanovenia zmluvy, tejto zmluvy o spracovaní alebo príslušné právne predpisy nestanovujú, že budú platiť aj po uplynutí platnosti zmluvy.
   8. Kto sú ďalší spracovatelia zapojení do spracovania osobných údajov? Spracovateľ zapojil do spracovania osobných údajov aj nasledujúcich poskytovateľov: Savvy s.r.o. (webové služby), INTERNET CZ, a.s. (webhostingové služby), WEDOS Internet, a.s. (webhostingové služby) a Master Internet, s.r.o. Podrobnosti nájdete v prílohe C k tejto dohode o spracovaní. Ak spracovateľ zapojí ďalších spracovateľov, vopred o tejto zmene informuje prevádzkovateľa e-mailom alebo v rozhraní aplikácie. Ak prevádzkovateľ nesúhlasí so zapojením nového spracovateľa, môže do 5 dní od doručenia oznámenia spracovateľa vzniesť námietku. Vznesenie námietky, a tým nezapojenie nového (sub)spracovateľa, môže mať za následok nemožnosť využívať službu.
   9. Ako je to s spracovateľmi s identifikačným číslom podniku u spracovateľa? Prevádzkovateľ výslovne súhlasí so zapojením ďalších spracovateľov – programátorov a iných špecialistov spracovateľa v postavení fyzických osôb podnikajúcich, ktorí poskytujú služby spracovateľovi na základe dohody o spolupráci. 
   10. Aké sú povinnosti spracovateľa v prípade ukončenia spolupráce? Spracovateľ sa zaväzuje, že v prípade ukončenia poskytovania služieb vymaže všetky osobné údaje a na žiadosť prevádzkovateľa ich vrátia vrátane všetkých kópií, pokiaľ ich uchovávanie nevyžadujú právne predpisy EÚ alebo České republiky. V takom prípade budú údaje do troch mesiacov od prijatia žiadosti prevádzkovateľa vrátené prostredníctvom bezpečného úložiska, ktoré prevádzkovateľ určí vo svojej žiadosti a ku ktorému bude spracovateľovi poskytnutý prístup. Ak prevádzkovateľ po uplynutí troch rokov od ukončenia spolupráce nedá pokyn na prenos osobných údajov, spracovateľ upozorní prevádzkovateľa na možnosť vrátenia údajov. Ak prevádzkovateľ nedá pokyn na prenos údajov do jedného mesiaca od upozornenia, osobné údaje budú vymazané v súlade s jeho zákonnými povinnosťami.
   11. Kedy je možné požiadať o vrátenie údajov? Prevádzkovateľ môže požiadať spracovateľa, aby zaslal zálohované údaje v súlade s podmienkami najneskôr do 2 mesiacov po vymazaní používateľského účtu. Po uplynutí tejto lehoty budú údaje prevádzkovateľa nenávratne vymazané.
4. 1. Čo ak by bolo možné prenášať údaje mimo Európsku úniu? V súvislosti s poskytovaním služieb môžeme využívať alebo angažovať subdodávateľov, ktorí môžu mať sídlo mimo Európskeho hospodárskeho priestoru. V takom prípade uzavrieme so všetkými takýmito subdodávateľmi štandardnú zmluvnú doložku, aby sme zabezpečili primeranú úroveň ochrany osobných údajov v súlade s GDPR. Ak sa takýto subdodávateľ podieľa na spracúvaní údajov, prenos údajov bude opísaný v tejto dohode o spracúvaní údajov.
5. 1. Aký právny systém dodržiavame? Zmluva o spracovaní údajov sa riadi a bude vykladaná v súlade s právnym systémom Českej republiky, najmä Občianskym zákonníkom a GDPR. Zmluvné strany sa dohodli, že obchodné praktiky nemajú prednosť pred žiadnymi ustanoveniami zákona, ani pred tými ustanoveniami zákona, ktoré nemajú donucovací účinok.
   2. Vzťahuje sa na zmluvu o spracovaní údajov vyššia moc? Spracovateľ nenesie zodpovednosť za situácie, keď nemohol splniť svoje povinnosti vyplývajúce zo zmluvy o spracovaní údajov z dôvodu udalosti označenej ako vyššia moc (vojna, nepokoje, terorizmus, povstania, štrajky, požiare, epidémie alebo prírodné katastrofy).
   3. Ako môžu zmluvné strany komunikovať? Zmluvné strany sa dohodli, že ich komunikácia týkajúca sa dohody o spracovaní (vrátane oznámení o bezpečnostných incidentoch) bude prebiehať prostredníctvom nasledujúcich e-mailových adries:
      1. Správca: e-mailová adresa, ktorú správca použil pri registrácii do služby;
      2. Spracované: dpo@emailmachine.cz.
   4. Je možné postúpiť zmluvu o spracovaní údajov? Žiadna zo strán nesmie postúpiť ani previesť práva a povinnosti vyplývajúce z tejto zmluvy o spracovaní údajov alebo s ňou súvisiace bez predchádzajúceho písomného súhlasu druhej strany. 
   5. Môžeme vykonávať aktualizácie a zmeny? Spracovateľ si vyhradzuje právo na zmenu alebo aktualizáciu tejto zmluvy o spracovaní údajov. Ak vykonáme zmeny, ktoré ovplyvnia práva a povinnosti vyplývajúce zo zmluvy o spracovaní údajov, budete o tom včas informovaní e-mailom. Pokračovaním v používaní služby súhlasíte s aktualizovanými podmienkami dohody o spracovaní. Ak so zmenami nesúhlasíte, prestaňte službu používať.
   6. Kedy nadobúda platnosť dohoda o spracovaní? V tejto verzii nadobúda platnosť 1. januára 2025.
   7. Prílohy. Nasledujúce prílohy tvoria súčasť dohody o spracovaní:

• Príloha A: Povaha, rozsah, trvanie a účel spracúvania osobných údajov,
• Príloha B: Technické a organizačné opatrenia
• Príloha C: Zoznam spracovateľov.

PRÍLOHA A 

K DOHODE O SPRACOVANÍ OSOBNÝCH ÚDAJOV

POVAHU, ROZSAH, TRVANIE A ÚČEL SPRACOVANIA OSOBNÝCH ÚDAJOV

Aká je povaha spracúvania? Osobné údaje sú spracúvané automaticky systémami spracovateľa, ktoré sa používajú na poskytovanie služby. 

Aký je účel spracúvania? Účelom spracúvania je umožniť prevádzkovateľovi využívať službu (plnenie zmluvy).

Aký je právny základ spracúvania? Právnym základom spracúvania osobných údajov v súvislosti s poskytovaním služby je plnenie zmluvy (v znení zmien a doplnení podmienok).

Aký je rozsah spracúvania? V závislosti od toho, ako prevádzkovateľ používa službu, môžu byť v súvislosti s poskytovaním služby spracúvané nasledujúce osobné údaje:

• Kontaktné údaje: meno, priezvisko, e-mail, telefónne číslo, adresa, dátum narodenia, akademický titul, identifikačné číslo, sídlo, fotografia alebo obraz osoby;
• IP adresa, súbory cookie, pohlavie, história nákupov, história prezerania produktov, obsah nákupného košíka, aktivita používateľa na webovej stránke spracovateľa (sledovanie webu, miera kliknutí, miera otvorenia, doručené e-maily, odhlásení používatelia, sťažnosti na spam, typ prehliadača, typ poštovej schránky);
• Prípadne aj iné osobné údaje spracúvané výlučne na pokyn prevádzkovateľa, ktoré prevádzkovateľ považuje za potrebné na splnenie účelu zmluvy, alebo iné údaje, ktoré možno priradiť dotknutým osobám. 

Čo sú osobitné kategórie osobných údajov? Sú to osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odboroch, zdravotný stav alebo sexuálny život alebo sexuálnu orientáciu fyzickej osoby. Genetické a biometrické údaje sa tiež považujú za osobitné kategórie údajov, ak sa spracúvajú na účely jednoznačnej identifikácie fyzickej osoby.

Spracúvame osobitné kategórie osobných údajov? Správca sa zaväzuje, že spracovateľovi neposkytne žiadne osobné údaje, ktoré patria do osobitnej kategórie osobných údajov v zmysle článku 9 GDPR. Osobitné kategórie osobných údajov sa môžu spracúvať len po predchádzajúcom výslovnom súhlase so spracovateľom. 

Kto je dotknutá osoba? Spravidla sa jedná o osobné údaje zákazníkov alebo klientov prevádzkovateľa, zamestnancov prevádzkovateľa a ďalších spolupracujúcich osôb, vrátane dodávateľov, používateľov webovej stránky prevádzkovateľa, obchodných partnerov alebo ich zamestnancov či zástupcov.

Ako dlho spracúvame osobné údaje? Osobné údaje sa spracúvajú po dobu, počas ktorej sú zmluvné strany viazané zmluvou v znení zmien a doplnení podmienok, pokiaľ zmluva medzi zmluvnými stranami alebo právne predpisy nestanovujú dlhšiu lehotu.

PRÍLOHA B

K DOHODE O SPRACOVANÍ OSOBNÝCH ÚDAJOV

 Technické a organizačné opatrenia

Aké technické opatrenia používame? Bezpečnosť je pre nás veľmi dôležitá, preto neustále pracujeme na ochrane vašich osobných údajov. Pri výbere opatrení zohľadňujeme rozsah spracúvania, rizikovosť spracúvania a stav našej technológie. 

• Na prístup ku každej službe používame jedinečné a silné heslá;
• Pravidelne zálohujeme dáta; 
• Aktualizujeme antivírusové softvérové systémy; 
• Všetky prenosy údajov šifrujeme pomocou protokolu SSL (secure sockets layer).
• Používame bezpečný protokol https;
• Naše údaje na serveroch sú šifrované;
• Vyvíjame technológie s ohľadom na ochranu súkromia už pri ich návrhu.
• Prístupové heslá k informačným systémom (kde sa budú spracúvať osobné údaje) a prístupové oprávnenia sú kontrolované na individuálnej úrovni. 

Aké organizačné opatrenia používame? Prijali sme a zaväzujeme sa dodržiavať nasledujúce opatrenia:

• Naši zamestnanci a spolupracovníci sú viazaní povinnosťou mlčanlivosti;
• Naši zamestnanci a spolupracovníci sú riadne vyškolení v oblasti GDPR a oboznámení s pravidlami bezpečnej práce na pracovných zariadeniach;
• Naši zamestnanci dodržiavajú interné smernice upravujúce organizačné opatrenia na ochranu osobných údajov.
• Pri ukladaní kľúčov API odstraňujeme autorizačné údaje.
• Prístup ku všetkým systémom, vrátane informačného systému, je personalizovaný a chránený bezpečnými heslami; zamestnanci musia mať šifrované pevné disky.
• Heslá ukladáme na samostatnom mieste (Safe Store) v prevádzkovom prostredí, kde sa zaznamenávajú protokoly, aby sme mohli kontrolovať prístup zamestnancov k osobným údajom jednotlivých používateľov.

PRÍLOHA C

K DOHODE O SPRACOVANÍ OSOBNÝCH ÚDAJOV

ZOZNAM SPRACOVATEĽOV