VŠEOBECNÉ OBCHODNÍ PODMÍNKY – NÁSTROJ PRO REZERVACE

Hospitality Digital GmbH, Metrostraße 1, 40235 Düsseldorf ( „H.d“) nabízí podnikům z oboru hotelnictví a gastronomie (dále „zákazník“) bezplatné služby, které jsou poskytovány výhradně prostřednictvím internetu a které jsou podrobně popsány v další části (dále „služby“). Mnohé služby jsou zákazníkovi dostupné jen, když se zákazník zaregistruje.

1. Oblast použití

1.1 H.d poskytuje služby a další činnosti výhradně na základě následujících smluvních podmínek („VOP“Všeobecné obchodní podmínky).

1.2 Odlišné podmínky zákazníka neplatí ani tehdy, když je H.d výslovně neodmítne a/nebo bez výhrady poskytne služby a/nebo činnosti, přestože zná odporující a/nebo lišící se podmínky zákazníka.

2. Rozsah služeb

2.1 Služby zahrnují následující činnosti firmy H.d během doby trvání smlouvy:

(a) H.d zákazníkovi poskytne úložiště k využívání na systémech H.d, ke kterému zákazník bude moci přistupovat prostřednictvím internetu (dále „úložiště“), viz bod 4.

(b) H.d poskytne zákazníkovi prostřednictvím internetu přístup k softwaru, který zákazníkovi umožní, zapojit, využívat a spravovat software pro online rezervace na vlastní webové stránce (dále „software“) viz bod 5, a ukládat v úložišti a spravovat shromážděná data.

2.2 Za účelem většího dosahu může společnost H.d zpřístupnit dostupnost rezervací (časy, stoly a počet osob) i zprostředkovatelům (např. služba „Rezervovat se společností Google“). Žádosti o rezervace přijaté přes zprostředkovatele však budou zpracovány výhradně softwarem společnosti H.d. Jelikož jednotliví zprostředkovatelé stanovují ve smyslu automatizovaného přijetí rezervace minimální počet osob, stanovila společnost H.d jako základní nastavení automatického přijetí rezervace čtyři osoby. Zákazník může toto nastavení kdykoli změnit. Taková změna však může způsobit, že zprostředkovatelé již nebudou zobrazovat skutečně dostupné rezervace.

2.3 H.d může služby a další činnosti přizpůsobit úrovni techniky a technickému vývoji nebo potřebám, pokud to bude pro zákazníka přijatelné. H.d může poskytování těchto a dalších služeb zastavit při dodržení přiměřené lhůty. O zastavení služeb bude H.d zákazníka včas informovat.

3. Povinnosti zákazníka

3.1 Zákazník je povinen během trvání smlouvy stále udržovat aktuálnost obchodních a kontaktních údajů uvedených při uzavření smlouvy a neprodleně firmě H.d oznámit každou změnu. Zákazník dále zajistí, aby e-mailová adresa, která byla firmě H.d sdělena, byla pravidelně využívána, aby zákazník dostával informace vztahující se ke smlouvě .

3.2 Přístupové údaje, které zákazník obdrží od firmy H.d, bude chránit před přístupem neoprávněných třetích osob. Pokud by měl zákazník podezření nebo se dověděl o možném zneužití poskytnutých přístupových údajů, bude o tom firmu H.d neprodleně informovat.

3.3 Zákazníkovi je známo, že využívání softwaru určeného pro online rezervace bude možná spojováno s firmou H.d. Zákazník proto provede všechny potřebné úkony, aby nabídka zákazníka byla obsahově oddělena od nabídky H.d nebo třetích osob .

3.4 Pokud se zákazník dozví, že svým využíváním služeb nebo dalších činností porušuje zákon, je zákazník povinen porušování zákona ihned ukončit a smazat obsahy představující porušení zákona .

4. Zvláštní ustanovení týkající se úložiště

4.1 Úložiště bude zákazníkovi poskytnuto bezplatně. Přesnou dostupnost úložiště proto H.d nemůže zaručit. Dále nebude úložiště dostupné během nutné údržby. H.d se bude snažit udržovat omezení v důsledku údržby v malém rozsahu. H.d zákazníkovi před uzavřením smlouvy poskytne další specifikaci činností úložiště.

4.2 Zákazník se zavazuje a ujišťuje, že bude veškeré soubory, včetně HTML a ostatních dokumentů, textů, fotografií, grafik, druhů písma, video nahrávek atd. (dále „obsahy“) ukládat, zveřejňovat a/nebo zpřístupňovat výhradně v souladu s platným právem na úložišti a/nebo prostřednictvím softwaru, zejména bude zákazník v úložišti a/nebo prostřednictvím softwaru ukládat jediné obsahy, pro které vlastní potřebná práva, včetně autorských a uživatelských práv, a které neporušují osobnostní práva třetích stran. Dále zákazník nebude v úložišti a/nebo pomocí softwaru ukládat, zveřejňovat a/nebo zpřístupňovat žádné obsahy, které jsou v rozporu s dobrými mravy, zejména pornografické, rasistické nebo diskriminační obsahy. Obsahy, které budou uloženy v úložišti a/nebo pomocí softwaru a u nichž nebude respektován tento bod 4, a H.d bude o této skutečnosti informována úřady, soudy, vlastníky práv nebo jinými třetími osobami, nebo se o nich dozví nějakým jiným způsobem, může H.d smazat.

4.3 Zákazník poskytne firmě H.d potřebná práva ke všem obsahům, které zákazník uloží, zveřejní a/nebo veřejně zpřístupní v úložišti, a/nebo pomocí softwaru, zejména na ukládání obsahů, technickou úpravu, poskytnutí ke zveřejnění a k rozmnožování. H.d má přístup pouze k obsahům zákazníka v úložišti, pokud to je pro poskytnutí a/nebo zveřejnění obsahů po technické stránce nutné, a ke smluvně poskytnutým oprávněním .

4.4 Zákazník dále nesmí v úložišti a/nebo pomocí softwaru provádět nebo nechat provádět žádné automatizované postupy, skripty, software nebo jiná data a/nebo obsahy a/nebo úkony jakékoli povahy, které více než jen nepatrným způsobem ovlivní systémy, sítě, a/nebo ostatní hardware či software, příp. síťové komponenty H.d a/nebo třetích osob. Když se H.d o takovém ovlivňování dozví, je oprávněna toto ovlivňování ukončit a/nebo zakázat.

4.5 Zákazník bude denně provádět aktuální zálohování dat, aby obsahy úložiště mohly být obnoveny bez dalších nákladů.

4.6 Protože zákazník vůči konečnému zákazníkovi/ uživatelům vystupuje jako odpovědný subjekt, je povinen v rámci poskytnutých VOP a ustanovení o ochraně osobních údajů udržovat použité vlastní impresum aktuální a v souladu s právními předpisy.

5. Zvláštní ustanovení týkající se softwaru

Není dovoleno, aby zákazník používal software pro třetí osoby nebo pro jiné účely. Zejména zákazník nebude mít právo na kopírování softwaru, jeho poskytování nebo zpřístupňování třetím osobám, disassemblování nebo jiné pozměňování softwaru.

6. Uzavření smlouvy, doba trvání a vypovězení

6.1 K uzavření smlouvy dochází přijetím nabídky zákazníka na uzavření smlouvy o službách a dalších činnostech firmou H.d. K přijetí dojde zpravidla tak, že H.d začne poskytovat služby.

6.2 Smlouva se uzavírá na dobu neurčitou a zákazník ji může vypovědět kdykoliv, H.d ve lhůtě dvou (2) týdnů.

6.3 Vypovězení ze strany H.d musí být provedeno písemně nebo e-mailem. Zákazník smlouvu obvykle vypoví tak, že v softwaru zvolí příslušnou možnost ke smazání svých obsahů a volbu potvrdí.

6.4 Právo stran na okamžité vypovězení smlouvy ze závažného důvodu zůstává nedotčeno. O závažný důvod se jedná zejména, když zákazník poruší některou povinnost uvedenou v bodech 3, 4, 5, 6, 10.2 a 10.3.

6.5 Po ukončení smlouvy, ať již z jakéhokoliv důvodu, H.d veškerá data uložená zákazníkem v rámci smluvního vztahu v úložišti do třiceti (30) dnů smaže, pokud zákazník neprovede smazání pomocí softwaru sám.

7. Poskytnutí záruky a odpovědnost, zproštění odpovědnosti

7.1 Za služby a výkony, které H.d bezplatně poskytne zákazníkovi, nahradí H.d zákazníkovi jedině škodu, která mu vznikla z důvodu úmyslně zatajených vad. Odpovědnost H.d za právní a/nebo věcné vady překračující tento rámec u bezplatně poskytnutých služeb a činností neexistuje.

7.2 H.d a její asistenti při plnění nebo zákonní zástupci ručí za služby a činnosti, které H.d zákazníkovi poskytne bezplatně, jen v případě úmyslného jednání, hrubé nedbalosti nebo při zaviněném smrtelném úrazu, tělesném zranění nebo újmě na zdraví a za úmyslně zatajené vady, přičemž odpovědnost firmy H.d v případě ztráty dat je omezena na náklady potřebné na jejich obnovení, jaké by vznikly při každodenním zálohování dat. Odpovědnost podle zákona o odpovědnosti za výrobek a zákona o minimální mzdě tím zůstává nedotčena.

7.3 Za obsahy je odpovědný výhradně zákazník. Zákazník proto firmu H.d, její asistenty při plnění a její zákonné zástupce a společnosti spřízněné s firmou H.d podle § 15 zákona o akciových společnostech (AktG) na první požádání zprostí veškerých nároků třetích osob, které tyto na základě služeb a/nebo dalších činností nebo v souvislosti s nimi uplatní vůči firmě H.d, jejím asistentům při plnění, jejím zákonným zástupcům a/nebo vůči společnostem spřízněným s firmou H.d. Toto platí zejména pro porušení ochranné známky, autorských práv, porušení předpisů na ochranu dat a porušení hospodářské soutěže. Toto zproštění odpovědnosti zahrnuje také úhradu nezbytných nákladů vynaložených na vymáhání práva včetně nákladů na rozhodčí řízení.

8. Ochrana dat, zachování mlčenlivosti

8.1 H.d je zodpovědná za zpracovávání osobních údajů shromážděných zákazníkem. H.d zpracovává osobní údaje výlučně pro plnění této smlouvy, například pro navázání kontaktu nebo poskytování služeb. Bez těchto osobních údajů by plnění této smlouvy nebylo možné. Zpracovávání osobních údajů probíhá na základě článku 6, odst. 1, bodu 1 (b) obecného nařízení o ochraně osobních údajů (GDPR). Osobní údaje zákazníka budou po ukončení této smlouvy vymazány, pokud nemáme zákonnou povinnost tyto údaje uchovat déle. V takovém případě tyto údaje nesmí být použity pro jiné účely a jsou vymazány, jakmile vyprší zákonná doba uchovávání. Pro účely implementace smlouvy využívá H.d podporu poskytovatelů služeb, například pro hostování, údržbu a další služby. Těmito poskytovateli služeb mohou být externí společnosti a také společnosti propojené s H.d v souladu s oddílem 15 a násl. německého zákona o korporacích AktG. H.d zaručuje zpracovávání osobních údajů v souladu s nařízením GDPR skrze smluvní dohody s poskytovateli služeb. To se vztahuje také na osobní údaje, které by měly být zpracovávány mimo EU/EHP. Pro uplatňování práv zákazníka v souladu s nařízením GDPR, jako jsou

· informace o zpracovávání jeho osobních údajů a také kopie jeho údajů (čl. 15 GDPR),

· oprava nesprávných osobních údajů a doplnění neúplných osobních údajů (čl. 16 GDPR),

· výmaz jeho osobních údajů a, pokud zveřejněné, H.d informuje ostatní odpovědné osoby o žádosti o výmaz (čl. 17 GDPR),

· omezení zpracovávání osobních údajů (čl. 18 GDPR),

· přenositelnost údajů, aby mu byly údaje předány ve strojově čitelném formátu, a právo na předání údajů jinému správci bez překážek (čl. 20 GDPR),

· vznesení námitky proti zpracování osobních údajů (čl. 21 GDPR),

může zákazník kdykoli kontaktovat pověřence pro ochranu osobních údajů společnosti H.d. (privacy@hd.digital) Zákazník má také právo stěžovat si u příslušného dozorčího orgánu, pokud si myslí, že zpracovávání osobních údajů neprobíhá v souladu s nařízením GDPR (čl. 77 GDPR).

8.2 Zákazník je vůči třetím osobám sám odpovědný za dodržování příslušných směrnic právní ochrany dat včetně informačních povinností platných pro jejich dodržování v souvislosti s webovou stránkou, kterou zákazník pomocí softwaru vytvořil .

8.3 Smluvní strany jsou povinny do uplynutí dvou let od ukončení doby trvání smlouvy neumožnit třetím stranám přístup k důvěrným informacím a nepoužít tyto informace k jiným účelům nevztahujícím se ke smlouvě. Za důvěrné informace se považují všechna sdělení o všech zákazníkovi zprostředkovaných technických informacích a know how a ostatní informace, které jedna ze smluvních stran označila za důvěrné a které mají ekonomický význam .

8.4 Závazek zachování mlčenlivosti se nevztahuje na informace, o kterých se některá smluvní strana dozvěděla, nebo které se staly nebo jsou veřejně známé, aniž by druhá smluvní strana porušila mlčenlivost, nebo ke kterým musí být umožněn přístup třetím osobám na základě zákonného, soudního nebo úředního nařízení, nebo které si třetí osoby zavázané k zachování mlčenlivosti prohlédnou v rámci zamýšlené koupě podniku.

9. Úhrada

9.1 Zákazník není povinen platit úhradu za poskytování služeb firmou H.d. Služby jsou poskytovány bezplatně .

9.2 Činnosti třetích osob, které budou eventuálně poskytnuty v rámci dalších plnění, nejsou bodem 9.1 dotčeny.

10. Ostatní ustanovení

10.1 H.d může jednotlivé nebo všechny činnosti, které je povinna v rámci této smlouvy vykonávat, zejména služby, poskytovat prostřednictvím subdodavatele. H.d plánuje poskytovat tyto služby v budoucnu prostřednictvím své dceřiné společnosti Hospitality. Systems GmbH.

10.2 H.d může po předchozím oznámení tyto VOP, včetně zamýšlených změn, ve vztahu k zákazníkovi změnit. H.d může změny VOP provádět jen v takovém rozsahu, aby to bylo pro zákazníka přijatelné, aby se změny netýkaly podstatných smluvních povinností nebo aby zákazník nebyl změnou celkově znevýhodněn. Již dnes plánované přenesení zde popsaných práv a povinností z firmy H.d na dceřinou společnost Hospitality. Systems GmbH je považováno za přijatelné. Zákazník může vyjádřit nesouhlas se změnou VOP do čtyř (4) týdnů od doručení oznámení nebo smlouvu bez dodržení lhůty vypovědět. Pokud zákazník nevyjádří nesouhlas se změnou VOP nebo proti ní nebude včas protestovat, má se za to, že se změnou VOP souhlasí. Na důsledky neprovedeného vyjádření nesouhlasu a na právo na okamžité vypovězení smlouvy však H.d zákazníka při oznámení změn VOP vždy upozorní.

10.3 Pokud by některé ustanovení této smlouvy bylo nebo se stalo zcela nebo částečně neplatné, neúčinné, neproveditelné nebo nevymahatelné ( „Chybné ustanovení“), nebude tím dotčena účinnost a vymahatelnost ostatních ustanovení této smlouvy. Smluvní strany se naopak již nyní zavazují, že namísto Chybného ustanovení sjednají takové, které se v rámci právních možností bude nejvíce blížit tomu, na čem by se strany podle smyslu a účelu této smlouvy dohodly, kdyby poznaly závadnost ustanovení. Pokud závadnost některého ustanovení spočívá na míře činnosti či času (lhůta nebo termín), která je v něm stanovena, je nutné dohodnout ustanovení s právně přípustnou mírou, která se původní míře ustanovení bude nejvíce přibližovat. Totéž platí pro případné mezery v úpravě obsažené v této smlouvě. Smluvní strany si výslovně přejí, aby tato salvátorská doložka neměla za následek pouhé přenesení důkazního břemene, nýbrž aby § 139 něm. občanského zákoníku (BGB) byl zcela vyjmut.

10.4 Smlouva a všechny nároky a všechna práva ze smlouvy nebo v souvislosti s ní podléhají výhradně německému právu s vyloučením kolizního práva a musí být interpretovány a vymáhány podle německého práva. Použití Úmluvy Organizace Spojených národů o smlouvách o mezinárodní koupi zboží (CISG) je vyloučeno.

10.5 Místem výhradní soudní příslušnosti pro všechny spory vzniklé z této smlouvy nebo v souvislosti s ní, jejím uzavřením nebo její realizací, je – pokud to je z právního hlediska přípustné – Düsseldorf.

Stand: Feb. 2019/AG



ZPRACOVÁNÍ OBJEDNÁVEK

Potvrzením výše uvedených Všeobecných obchodních podmínek uzavřou zákazník (dále jen „odpovědná osoba“) a společnost H.d (dále jen „zpracovatel“), společně označované jako „strany“, samostatně jako „strana“, také následující Dohodu o zpracování údajů („DPA“).

Úvodní část

V souvislosti s podnikatelskou činností a v souladu s výše uvedenými Všeobecnými obchodními podmínkami zpracovatel obdrží osobní údaje, za něž zodpovídá odpovědná osoba. Strany se dohodly na ustanoveních tohoto DPA, aby splnily povinnosti smluvních stran v oblasti ochrany údajů v souladu s evropským právem na ochranu údajů, zejména s obecným nařízením o ochraně údajů (článek 28 GDPR).

1. Definice

1.1 Osobní údaje jsou veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby („dotyčná osoba“). Fyzická osoba se považuje za identifikovatelnou, pokud ji lze přímo nebo nepřímo identifikovat, zejména spojením s identifikátorem, jako je název, identifikační číslo, údaje o poloze, online identifikátor nebo jedna nebo více zvláštních vlastností, které vyjadřují fyzické, fyziologické, genetické, mentální, ekonomické, kulturní nebo sociální vlastnosti této fyzické osoby (dále jen „údaje“).

1.2 Zpracování údajů jménem někoho zahrnuje shromažďování, zpracování nebo používání údajů zpracovatelem jménem odpovědné osoby.

2. Předmět a obsah objednávky

2.1 Předmět a doba trvání objednávky

Podrobnosti a doba trvání objednávky vyplývají z výše uvedených Všeobecných obchodních podmínek.

2.2 Typy údajů

Typ údajů je podrobněji popsán ve Všeobecných obchodních podmínkách a v Zásadách ochrany osobních údajů.

2.3 Účel shromažďování, zpracování nebo využití údajů

Účel shromažďování, zpracování nebo využití údajů je podrobněji popsán ve Všeobecných obchodních podmínkách a v Zásadách ochrany osobních údajů.

2.4 Povaha a rozsah shromažďování, zpracování nebo využití údajů

Povaha a rozsah shromažďování, zpracování nebo využití údajů jsou podrobněji popsány ve Všeobecných obchodních podmínkách a v Zásadách ochrany osobních údajů.

2.5 Kategorie dotyčných osob

(a) Vlastní údaje zákazníka

(b) Klienti

2.6 Technická a organizační opatření

(a) Technická a organizační opatření, která má provádět zpracovatel, jsou stanovena v příloze (viz níže) tohoto DPA. Zpracovatel bude tato opatření pravidelně přizpůsobovat stavu techniky na své vlastní náklady za předpokladu, že nebude snížena dohodnutá úroveň ochrany a odpovědné osoby budou okamžitě informovány.

(b) Zpracovatel je povinen umožnit odpovědné osobě ověření dodržování technických a organizačních opatření na pracovišti před zahájením zpracovatelských činností podle této smlouvy. Právo auditora odpovědné osoby podle č. 2.10 zůstává nedotčeno.(c) Zpracovatel zajistí, aby systémy zpracování dat používané v rámci DPA splňovaly zásady ochrany osobních údajů coby aspekt návrhu a standardní ochrany soukromí v souladu s dosavadním stavem techniky.

2.7 Oprava, vymazání a blokování údajů, právo na přenositelnost údajů a právo na námitku

(a) Práva osob zapojených do procesu zpracování údajů zpracovatelem, zejména na opravy, vymazání a zablokování, přenositelnost údajů a nesouhlas, se uplatňují vůči správci. On sám je zodpovědný za ochranu těchto práv.

(b) V průběhu své práce pro odpovědnou osobu je zpracovatel povinen neprodleně předat odpovědné osobě k řádnému zpracování každou žádost jemu adresovanou osobami dotyčnými. Pokud odpovědná osoba a zpracovatel společně jednají jako externí odpovědné osoby, je zpracovatel oprávněn odpovědět na tuto žádost samostatně.

(c) Od zpracovatele se také vyžaduje, aby pomáhal odpovědné osobě s vhodnými technickými a organizačními opatřeními, a aby splnil svou povinnost odpovědět dotyčným osobám.

(d) Podle pokynů odpovědné osoby zpracovatel opraví, pozastaví anebo smaže údaje okamžitě, nejpozději však do pěti 5 dnů, a oznámí zpracovateli tuto lhůtu.

2.8 Povinnosti zpracovatele

(a) Zpracovatel může shromažďovat, zpracovávat a využívat údaje pouze v souvislosti s objednávkou a zdokumentovanými pokyny odpovědné osoby.

(b) Zpracovatel musí v pravidelných intervalech vyhovět technickým a organizačním opatřením podle článku 2.6 tohoto DPA, a na požádání jej předložit.

(c) Kontaktní osobou pro ochranu dat je zpracovatelem jmenován pověřenec pro ochranu osobních údajů. Informace lze získat na adrese privacy@hd.digital. Je-li to nezbytné, zpracovatel také jmenuje zástupce v souladu s požadavky čl. 27 GDPR.

(d) Zpracovatel je zodpovědný za zachování důvěrnosti. Každá osoba pracující pro zpracovatele a oprávněná k přístupu k údajům odpovědného člověka musí být vázána povinností zachovávat mlčenlivost nebo podléhat přiměřenému profesnímu tajemství a musí být informována o zvláštních povinnostech v oblasti ochrany údajů vyplývající z tohoto DPA, stejně jako o stávající instrukcích a účelu. Zpracovatel zaznamená tyto povinnosti písemně a na žádost odpovědné osoby poskytne k dispozici.

2.9 Odůvodnění podmínek subdodávky

(a) Odůvodněné vztahy mezi subdodavateli je možné navázat. Zpracovatel informuje odpovědnou osobu o příslušné změně předem. Odpovědná osoba má právo vznést námitku.

(b) V případě uvedení do provozu od jiných zpracovatelů zpracovatel smluvně zajistí, že povinnosti zpracovatele přidělené podle tohoto DPA budou aplikovány také v souladu s tímto jiným zpracovatelem.

(c) Zpracovatel kontroluje technická a organizační opatření přijatá dalšími zpracovateli namátkově i pravidelně během subdodavatelské doby za účelem ochrany poskytnutých údajů. Předávání údajů je přípustné pouze tehdy, pokud druhý zpracovatel zavedl nezbytná technická a organizační opatření přinejmenším v rozsahu tohoto DPA.

(d) Zpracovatel je plně odpovědný za subdodavatele, které zaměstnává.

2.10 Práva na audit odpovědné osoby

Odpovědná osoba je oprávněna ověřovat dodržování platných předpisů o ochraně údajů a DPA v běžné pracovní době. Zpracovatel souhlasí s tím, že odpovědné osobě poskytne veškeré informace, které jsou přiměřeně nutné k provedení kontroly v rozumné lhůtě. Pokud se odpovědná osoba domnívá, že od zpracovatele je požadován audit na pracovišti, zpracovatel zajistí, aby osoba odpovědná za provádění auditu měla přístup do kanceláře zpracovatele a k prověření uložených údajů a programům pro zpracování údajů. Odpovědná osoba je oprávněna nechat zkoušku provést třetí osobou (kontrolor), kterou je třeba pro každý případ určit. Odpovědná osoba musí písemně oznámit provedení takového auditu s předstihem nejméně dvaceti (20) pracovních dnů. Náklady na provedení auditu a náklady vynaložené zpracovatelem za obvyklých tržních sazeb nese odpovědná osoba.

2.11 Oznámení o porušení zpracovatelem

(a) Zpracovatel je povinen neprodleně informovat odpovědnou osobu, a nejpozději do 48 hodin od takovéhoto zjištění, o všech případech, kdy zpracovatel nebo osoby nebo subdodavatelé, které zaměstnává, porušili pravidla pro ochranu údajů odpovědné osoby nebo podmínky stanovené v této DPA.

(b) Odpovědná osoba musí být informována o případných ztrátách nebo protiprávním předání nebo přijetí třetími stranami bez ohledu na příčinu. Zpracovatel po konzultaci s odpovědnou osobou přijme vhodná opatření k ochraně údajů a zmírnění možných nepříznivých důsledků pro dotyčné osoby. V rozsahu, v němž odpovědné osoby splňují oznamovací povinnosti, bude zpracovatel při plnění těchto povinností asistovat odpovědné osobě.

2.12 Pokyny od zodpovědné osoby

(a) Zpracování údajů odpovědné osoby zpracovatelem se provádí výhradně v rámci rozsahu DPA a s konkrétními pokyny oznámenými zpracovatelem.

(b) Zpracovatel neprodleně provede (jednotlivé) pokyny týkající se povahy, rozsahu a způsobu zpracování, případně ve lhůtě stanovené odpovědnou osobou.

(c) Zpracovatel musí neprodleně informovat odpovědnou osobu, pokud podle názoru zpracovatele pokyny vydané odpovědnou osobou porušují předpisy na ochranu údajů. Zpracovatel je oprávněn pozastavit provádění příslušného pokynu, dokud nebude potvrzen nebo změněn odpovědnou osobou.

2.13 Vymazání po dokončení objednávky

Po dokončení smluvních prací musí zpracovatel předat veškeré údaje, které pro odpovědnou osobu zpracoval, nebo s předchozím souhlasem odpovědné osoby tyto údaje zlikvidovat podle ochrany údajů nebo smazat ji podle dosavadního stavu techniky. Právo uchovávání je vyloučeno z ohledem na dokumenty, údaje, zpracování a výsledky používání a přidružených nosičů dat, pokud zákon Evropské unie nebo členského státu EU uchovávání údajů nevyžaduje.

3. Další povinnosti zpracovatele

3.1 Zpracovatel nepoužívá údaje určené pro zpracování za žádným jiným účelem. Bez předchozího vědomí a bez předchozího písemného souhlasu odpovědné osoby nesmí být vytvořeny duplikáty ani kopie údajů, pokud to není potřeba za účelem služeb objednaných v DPA. Zpracovatel zajistí, aby zpracovávané údaje pro odpovědnou osobu byly odděleny od ostatních údajů. Přenos údajů osoby odpovědné zpracovatelem třetím stranám se neuskuteční bez písemného souhlasu odpovědné osoby.

3.2 Zpracovatel poskytne odpovědným osobám přiměřenou asistenci při obhajobě nároků na základě údajného nebo skutečného porušení podmínek ochrany údajů. Odpovědná osoba prošetří stížnosti subjektů údajů v souvislosti se zodpovědností osoby odpovědné za ochranu údajů vhodným způsobem a stížnosti subjektů údajů zpracuje.

3.3 Zpracovatel bere na vědomí, že dotyčným osobám jsou informace poskytovány na základě práva na informace výhradně prostřednictvím odpovědné osoby nebo osoby pověřené odpovědnou osobou. Zpracovatel je povinen poskytnout odpovědné osobě požadované informace včas a vyjít odpovědné osobě vstříc. Pokud zpracovatel sám působí jako odpovědná externí osoba, mohou být tyto dotazy rovněž zodpovězeny a odpovědná osoba o nich informována.

3.4 Zpracovatel pomáhá správci při přípravě nezbytných postupových indexů, je-li to vhodné.

3.5 Zpracovatel poskytne odpovědné osobě asistenci při provádění posouzení dopadů ochrany údajů, pokud hrozí, že způsob zpracování vážně omezí práva a svobody fyzických osob.

Zpracovatel se zavazuje neprodleně informovat odpovědnou osobu o výsledcích inspekcí ze strany orgánů pro dohled nad ochranou údajů, pokud se tyto vztahují k tomuto DPA. Zpracovatel informuje odpovědné osoby o všech stížnostech ze strany orgánů pro dohled nad ochranou údajů, které se týkají oblasti odpovědnosti zpracovatele, a napraví veškeré zjištěné stížnosti, jak vyžaduje zákon.

4. Odpovědnost

4.1 Odpovědná osoba zodpovídá za přípustnost zpracování údajů, jakož i za ochranu práv subjektů údajů.

4.2 Odchylně od oddílu 4.1 je zpracovatel odpovědný za nároky subjektů údajů v důsledku porušení platných právních předpisů nebo ustanovení DPA.

4.3 Ve vztahu k odpovědné osobě je zpracovatel odpovědný pouze za úmysl a hrubou nedbalost v rozsahu legálně přípustného vyloučení odpovědnosti a omezení.

5. Závěrečná ustanovení

5.1 Správce údajů musí neprodleně a podat zpracovateli úplné informace v případě, že během auditu zjistí chyby nebo nesrovnalosti při zpracování údajů zpracovatelem.

5.2 Toto DPA může být změněno a ukončeno za stejných podmínek jako výše uvedené Všeobecné obchodní podmínky.

5.3 Neplatnost jednoho nebo více ustanovení této DPA nemá vliv na účinnost DPA. V případě neúčinnosti jedné nebo více ustanovení této DPA strany přijmou právní úpravu náhrady, která je právně účinná, a to co nejúsporněji v případě neúčinného ustanovení. Totéž platí v případě chybějících ustanovení.

5.4 DPA se řídí stejným právo jako výše uvedené Všeobecné obchodní podmínky.

5.5 V případě rozporů mezi DPA a jinými dohodami mezi stranami převažují ustanovení tohoto DPA.

Stav: 2018/ AG


Technická a organizační opatření

S ohledem na dosavadní stav techniky, náklady na realizaci a povahu, rozsah, okolnosti a účely zpracování a různou pravděpodobnost a závažnost rizika pro práva a svobody fyzických osob zpracovatel zpracuje příslušná technická a organizační opatření a zajistí přiměřenou úroveň ochrany ve vztahu k riziku; mezi tato opatření patří mimo jiné:

• pseudonymizace a šifrování dat;

• schopnost trvale zajistit důvěrnost, integritu, dostupnost a odolnost zpracovatelských systémů a služeb;

• schopnost rychle obnovit dostupnost a přístupnost údajů v případě fyzické nebo technické nehody;

• proces pravidelného přezkumu, hodnocení a vyhodnocování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.

Aniž je dotčeno výše uvedené, budou přijata tato konkrétní opatření:

1. Kontrola přístupu

Opatření k zamezení přístupu neoprávněných osob do systému zpracování údajů používaného pro zpracování údajů:

• Specifikace oprávněné skupiny osob a odpovídající dokumentace;

• Kontrola elektronického přístupu;

• Vydávání ID pro přístup;

• Zavedení pokynů pro externí fyzické osoby;

• Alarm nebo bezpečnost mimo pracovní dobu;

• Distribuce vlastností do různých bezpečnostních zón;

• Zavedení směrnic pro manipulaci s klíčem (kartou);

• Bezpečnostní dveře (elektronický otvírač dveří, čtečka ID, průmyslová kamera);

• Zavedení opatření pro bezpečnost na pracovišti (např. detekce/oznámení o narušení).

2. Kontrola přístupu

Opatření k zamezení neoprávněným osobám používat systém a postupy zpracování dat:

• Definice skupiny lidí, kteří mají přístup k systémům zpracování dat;

• Zavedení pokynů pro externí fyzické osoby;

• Ochrana heslem pro osobní počítače.

3. Kontrola přístupu

Opatření, která zajistí, aby osoby oprávněné k používání technik zpracování údajů měly na základě svého oprávnění přístup pouze k subjektu údajů:

• Zavedení omezených přístupových práv založených na příslušných údajích a funkcích;

• Povinnost identifikovat zařízení pro zpracování údajů (např. pomocí ID a ověřování);

• Zavedení zásad přístupu a uživatelských rolí;

• Vyhodnocení protokolů v případě škodné události.

4. Kontrola přenosu

Opatření, která zajistí, že údaje nebude během elektronického přenosu nebo během jejich přepravy nebo ukládání na nosičích dat moci nikdo čist, kopírovat, měnit ani mazat, a že je možné zkontrolovat a určit v jakých bodech je přenos dat prováděn.

• Kódování

5. Kontrola zadávání

Opatření, pro následné ověření a určení, zda a kým byly údaje zadány, změněny nebo odstraněny z informačních systémů.

• Záznam dat.

6. Kontrola objednávky

Opatření, která zajistí, že data zpracovávaná v rámci objednávky mohou být zpracovávána pouze v souladu s pokyny odpovědné osoby.

• Dokumentace o různých pravomocích a povinnostech mezi odpovědnou osobou a zpracovatelem;

• Formální uvedení do provozu;

• Kontrola výsledků práce.

7. Kontrola dostupnosti

Opatření, která zajistí ochranu údajů proti náhodnému zničení nebo ztrátě.

• Implementace plánu pravidelných záloh;

• Zabezpečené uchovávání datových záloh v bezpečnostních a protipožárních skříních;

• Zavedení a pravidelné řízení nouzového napájecího systému a systému přepětí;

• Zavedení nouzového plánu;

• Protokol o zavedení krizového anebo nouzového managementu.

8. Kontrola samostatného zpracování

Opatření, která zajistí, že údaje shromážděné pro různé účely mohou být zpracovávány samostatně.

• Oddělení údajů jednotlivých klientů zpracovatele.

Stav: Květen 2018/ AG