Ochrana osobních údajů - GDPR

Společnost eStudio vždy přistupuje k ochraně dat a osobních údajů s maximální zodpovědností.

Průběžně pomocí vnitřních auditů kontrolujeme a zvyšujeme zabezpečení systémů Reflex i osobních údajů zpracovávaných při běžném chodu společnosti.

Podmínky ochrany osobních údajů jsme rozdělili na dvě kapitoly, a to:  
z pozice správce, kdy je Vám eStudio.cz obchodním partnerem
z pozice zpracovatele, kdy je eStudio.cz provozovatelem vašich online systémů

1. Zpracování osobních údajů Poskytovatelem v pozici správce

1.1. V případě, že uživatel je fyzickou osobou, jsou poskytovatelem zpracovávány jeho osobní údaje, zejména údaje identifikační, platební a kontaktní, ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“) účinném od 25. 5. 2018.

1.2. Bez ohledu na to, zdali je uživatel fyzickou či právnickou osobou, mohou být poskytovatelem též zpracovávány osobní údaje zaměstnanců uživatele, zejména údaje identifikační a kontaktní, ve smyslu GDPR.

1.3. Poskytovatel v pozici správce zpracovává ty osobní údaje, které uživatel případně jeho zaměstnanec poskytl při uzavírání smlouvy, a to s ohledem na nezbytnost takového zpracování pro splnění smlouvy a tedy poskytnutí služby.

1.4. Poskytovatel dále zpracovává uvedené osobní údaje a údaje o způsobech využívání služby uživatelem na základě svých oprávněných zájmů pro marketingové účely související s poskytováním služby.

1.5. Poskytnutí uvedených osobních údajů je smluvním požadavkem poskytovatele. Ke zpracování osobních údajů bude docházet po dobu 10 let od ukončení poskytování služby a to s ohledem na ochranu nebo obhajobu právních nároků poskytovatele.

1.6. Poskytovatel nepředá osobní údaje uživatelů žádným dalším příjemcům. Tímto nejsou dotčeny povinnosti poskytovatele stanovené zvláštním právním předpisem.

1.7. Uživatel, případně zaměstnanec uživatele, má v souvislosti se zpracováním jeho osobních údajů právo:

a) žádat o informace o kategoriích zpracovávaných osobních údajů, účelu, době a povaze zpracování a o příjemcích osobních údajů
b) požádat o poskytnutí kopie zpracovávaných osobních údajů;
c) požádat při naplnění podmínek stanovených relevantními právními předpisy, aby osobní údaje byly opraveny, doplněny nebo vymazány, případně jejich zpracování omezeno;
d) vznést námitku proti zpracovávání osobních údajů a právo podat stížnost u dozorového úřadu
e) být informován o případech porušení zabezpečení osobních údajů a to tehdy, pokud je pravděpodobné, že daný případ porušení bude mít za následek vysoké riziko pro jeho práva a svobody.

1.8. Veškerá uvedená práva může uživatel uplatnit prostřednictvím kontaktů zveřejněných na stránkách poskytovatele.

1.9. Kontaktní údaje pověřence pro ochranu osobních údajů a další informace o zpracování osobních údajů jsou zveřejněny na internetových stránkách poskytovatele.

2. Zpracování osobních údajů Poskytovatelem v pozici zpracovatele 

2.1. Při poskytování služby může ze strany poskytovatele rovněž docházet ke zpracování osobních údajů z pozice zpracovatele, v takovém případě se kategorizace zpracovávaných osobních údajů odvíjí od typu poskytované služby poskytovatelem uživateli. Tyto obchodní podmínky upravují povinnosti poskytovatele, v pozici zpracovatele, a uživatele, v pozici správce, vyplývající ze zpracování osobních údajů v souladu s článkem čl. 28 GDPR.

2.2. Poskytovatelem jsou v pozici zpracovatele zpracovávány vždy pouze ty osobní údaje subjektů údajů, se kterými uživatel v pozici správce v rámci využívání služby nakládá. Rozsah a kategorie osobních údajů, u nichž se uživatel může dostat v rámci využívání služby do pozice správce ve smyslu GDPR se vždy odvíjí od kategorie konkrétní využívané služby.

2.3. Zpracování osobních údajů bude poskytovatelem prováděno zejména formou náhledu, shromažďování, používání, zálohování, ukládání a výmazu, a to vždy dle typu poskytované služby a za účelem poskytování služby a po celou dobu jejího poskytování. 

2.4. Poskytovatel prohlašuje, že je schopen zajistit zavedení vhodných technických a organizačních opatření tak, aby zpracování osobních údajů splňovalo požadavky GDPR a aby byla zajištěna ochrana práv dotčených subjektů údajů.

2.5. Poskytovatel je oprávněn do zpracování zapojit další zpracovatele, vždy však informuje uživatele o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak uživateli příležitost vyslovit vůči těmto změnám námitky, pokud uživatel námitky bez zbytečného odkladu nevysloví, má se za to, že se změnou souhlasí.

2.6. Zpracování bude vždy realizováno jen na základě doložených pokynů uživatele udílených poskytovateli, které vyplývají z charakteru poskytovaného služby nebo jsou obsaženy v těchto podmínkách a smluvních ujednáních.

2.7. Při poskytování služby nebude docházet ke zpracování zvláštních kategorií osobních údajů. Uživatel je povinen zajistit, že poskytovateli nebudou předány žádné osobní údaje zvláštních kategorií.

2.8. Poskytovatel se jako zpracovatel při zpracování osobních údajů zavazuje:

a) zpracovávat osobní údaje pouze pro účely a způsoby vyplývajícími z podmínek a smluvních ujednání,
b) zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,
c) přijmout veškerá vhodná technická a organizační opatření ve smyslu dle čl. 32 GDPR, jež jsou nutná k zabezpečení zpracování osobních údajů a odpovídají povaze zpracování a s tím spojenému riziku, aby mj. nemohlo při tomto zpracování dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů,
d) po ukončení poskytování služby veškeré zpracovávané osobní údaje vymazat nebo vrátit uživateli, vymazat veškeré jejich případně existující kopie,
e) být uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,
f) být uživateli nápomocen při zajišťování souladu s povinností zabezpečení zpracování, při ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, při oznamování případů porušení zabezpečení osobních údajů subjektu údajů, při posouzení vlivu na ochranu osobních údajů a při předchozí konzultaci s Úřadem pro ochranu osobních údajů,
g) neprodleně uživatele informovat v případě, že podle jeho názoru určitý pokyn porušuje ustanovení GDPR nebo jiných předpisů Evropské unie nebo členského státu týkající se ochrany údajů,
h) být uživateli nápomocen při zajišťování souladu s povinnostmi dle čl. 32 až 36 GDPR, to vše při zohlednění povahy zpracování a informací, jež má poskytovatel k dispozici,
i) poskytnout uživateli na základě jeho písemného pokynu veškeré nezbytné informace potřebné k doložení toho, že byly splněny povinnosti poskytovatele vyplývající z čl. 28 GDPR, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům svou činností přispěje,
j) poskytnout uživateli na jeho písemnou žádost veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené těmito podmínkami a čl. 28 GDPR,
k) v případě porušení zabezpečení zpracovávaných osobních údajů bezodkladně po jeho zjištění upozornit uživatele s tím, že součástí upozornění bude popis povahy daného případu porušení zabezpečení osobních údajů, popis pravděpodobných důsledků porušení zabezpečení osobních údajů a popis opatření, která poskytovatel přijal nebo navrhuje přijmout, a opatření, která doporučuje přijmout uživateli, vždy s cílem vyřešit dané porušení zabezpečení osobních údajů a zmírnit možné nepříznivé dopady.

2.9. Uživatel se tímto vůči poskytovateli výslovně zavazuje k dodržování veškerých povinností, které mu, dostane-li se do pozice správce osobních údajů ve smyslu GDPR, plynou z těchto podmínek, smluvních ujednání, ustanovení GDPR, příslušných zákonů a jiných obecně závazných právních předpisů. Závazek uživatele dle předchozí věty zahrnuje mj. jeho povinnost předávat poskytovateli prostřednictvím služby jen takové další osobní údaje, k nimž disponuje platným právním titulem ve smyslu čl. 6 GDPR, a to při dodržení veškerých zásad upravených v čl. 5 GDPR a souvisejících právních povinností. Za tímto účelem se uživatel zavazuje mj. zajistit, že ke zpracovávání osobních údajů formou jejich uložení bude po celou dobu zpracovávání disponovat platným právním titulem splňujícím požadavky GDPR a dalších právních předpisů.

2.10. Bez ohledu na právní titul, na jehož základě ke zpracovávání osobních údajů dochází, se uživatel zavazuje plnit v případě, že bude ve vztahu k určitým osobním údajům vystupovat v pozici správce, svoji informační povinnost vůči dotčeným subjektům údajům vyplývající z článku 13 a násl. GDPR včetně informování o automatizovaném zpracování osobních údajů ve formě profilování.

2.11. V případě porušení jakékoli povinnosti stanovené tímto článkem podmínek, se uživatel zavazuje nahradit poskytovateli jakoukoli (majetkovou i nemajetkovou) újmu, která mu v důsledku daného porušení nebo v souvislosti s ním vznikne. 

2.12. Smluvní strany se zavazují zajistit splnění povinností, jež jim plynou z GDPR a tohoto článku podmínek, nejpozději ke dni účinnosti GDPR. Povinnosti, jež jsou však vyžadovány platnou a účinnou právní úpravou již před datem účinnosti GDPR, jsou smluvní strany povinny dodržovat již ode dne účinnosti těchto podmínek.

V Hradci Králové 25. 5. 2018
Ing. Martin Fiala eStudio.cz