Smlouva o zpracování osobních údajů (DPA)
Preambule
Toto je smlouva o zpracování osobních údajů (DPA) podle čl. 28 odst. 3 nařízení Evropského Parlamentu a Rady č. 2016/679 – obecného nařízení o ochraně osobních údajů (dále „Nařízení“) uzavřená mezi Zpracovatelem, kterým je česká obchodní společnost Logmanager a.s., IČ: 04667115, se sídlem Zubatého 295/5, Smíchov, 150 00 Praha 5, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 21247 (dále „Zpracovatel“), a Správcem, který je držitelem licence k softwarovému produktu Logmanager (dále „Produkt“ nebo „Software“).
Zpracovatel a Správce tuto smlouvu uzavírají na základě podmínek stanovených v licenční smlouvě s koncovým uživatelem (EULA) ve vztahu k Produktu, a je účinná dnem, kdy Správce potvrdí souhlas s touto smlouvou v rámci interního prostředí Produktu.
Zpracovatel a Správce se společně dále označují jako „Smluvní strany“ a kterýkoliv samostatně jako „Smluvní strana“.
1. Úvodní ustanovení
1.1. Správce jakožto objednatel uzavřel se Zpracovatelem jakožto dodavatelem smlouvu o poskytnutí licence k informačnímu systému Logmanager, poskytování aktualizací, podpory a konzultačních služeb (dále „smlouva EULA“), na základě nichž poskytl Zpracovatel Správci oprávnění k užívání Software za podmínek smlouvy EULA a na základě nichž mu Zpracovatel poskytuje podporu a provádí další úpravy a vývoj tohoto Software. Podporou se rozumí jak Podpora poskytovaná v rámci smlouvy EULA, tj. podpora poprodejní, zahrnující uživatelskou servisní i technickou podporu, tak i podpora poskytovaná před uzavřením smlouvy EULA, tj. podpora předprodejní pro účely evaluace služeb (to vše dále jako „Podpora“).
1.2. Software je provozován jako tzv. Hostovaná služba (tj. jako online cloudové řešení, do kterého se Správce přihlašuje prostřednictvím své infrastruktury) nebo On-premise Produkt (tj. jako software poskytnutý ke stažení, instalaci a použití přímo na infrastruktuře Správce) ve smyslu smlouvy EULA, přičemž Zpracovatel je při poskytování technické podpory oprávněn nahlížet do interních systémů Správce nebo jejich částí a do těchto systémů se souhlasem Správce zasahovat za účelem poskytnutí plnění ze smlouvy EULA (zejména k účelu identifikace a opravy vad, konzultačních služeb a podpory). Interní systémy Správce, ke kterým může Zpracovatel v rámci poskytování Podpory získat přístup, obsahují osobní údaje fyzických osob splňující definici dle čl. 4 odst. 1 Nařízení, ve vztahu, k nimž se Správce nachází v postavení Správce osobních údajů ve smyslu čl. 4 odst. 7 Nařízení.
1.3. Vzhledem k oprávnění Zpracovatele nahlížet v rámci poskytování Podpory do interních systémů Správce obsahujících osobní údaje spravované Správcem, se Zpracovatel nachází v postavení Zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 Nařízení, a smluvní strany z tohoto důvodu ve smyslu čl. 28 odst. 3 Nařízení uzavírají tuto smlouvu o zpracování osobních údajů (dále jen „smlouva DPA“).
2. Předmět, účel, rozsah zpracování
2.1. Předmětem zpracování je provádění činností zpracování týkajících se osobních údajů klientů, smluvních partnerů, zaměstnanců Správce, či uživatelů systémů Správce a dalších osob, jejichž osobní údaje jsou ukládány Správcem do interních systémů a dohledatelných v rámci poskytování Podpory ukládaných Správcem do interních systémů a dohledatelných v rámci poskytování Podpory v souvislosti s užíváním funkcionalit Software (zejména při analýze logů, migraci dat, sledování a řízení bezpečnostních událostí v interních systémech Správce, analýze chování interních systémů Správce, konzultačních služeb či poskytování Podpory). Prováděnými činnostmi zpracování osobních údajů mohou být nahlížení, uložení, strukturování, vyhledání, seřazení, zpřístupnění přenosem, anonymizace a pseudonymizace a výmaz.
2.2. Zpracovatel neprovádí s osobními údaji jiné než shora uvedené operace, zejména do nich nezasahuje, nepozměňuje je, nevyužívá je pro své vlastní potřeby, ani je nepředává třetím osobám.
2.3. Dotčenými kategoriemi subjektů osobních údajů, jejichž osobní údaje jsou dle této smlouvy DPA zpracovávány, jsou
- a) smluvní partneři Správce (klienti, potenciální klienti, dodavatelé) jsou-li fyzickými osobami, nebo konkrétní zastupující a kontaktní fyzické osoby, jsou-li osobami právnickými;
- b) zaměstnanci a spolupracovníci Správce
- c) uživatelé systémů Správce a další osoby, jejichž osobní údaje se mohou nacházet v datech (zejména lozích) ukládaných Správcem do Software a systémů s ním souvisejících.
2.4. Zpracování se týká následujících kategorií osobních údajů:
- a) identifikační údaje (zejm. jméno, příjmení, datum narození, rodné číslo, IČ, DIČ)
- b) kontaktní údaje (zejm. adresa bydliště a místa podnikání, e-mailová adresa, telefonní číslo)
- c) popisné údaje (zejm. bankovní spojení, kopie dokumentů, historie objednávek apod.)
- d) zvláštní citlivé údaje (zejm. údaje, které vypovídají o členství v odborech, o majetkové situaci, o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby)
3. Zpracování na pokyn Správce
3.1. Zpracování osobních údajů je vedlejším závazkem Zpracovatele vyplývajícím ze smlouvy EULA. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě doložených pokynů Správce (zejména v případě poskytování Podpory).
3.2. Samostatného pokynu Správce není zapotřebí v případě, že zpracování vyplývá ze smlouvy EULA a je součástí povinností Zpracovatele dle smlouvy EULA (zejména v případě vývoje Software). Povinnosti stanovené smlouvou EULA se pro tento účel považují za pokyn Správce.
4. Doba trvání zpracování osobních údajů a výmaz osobních údajů
4.1. Doba zpracování osobních údajů dle této smlouvy je závislá na trvání smlouvy EULA. Změní-li smluvní strany podmínky poskytování Software způsobem, který bude mít vliv na činnosti zpracování osobních údajů dle této smlouvy (zejména změní-li licenční model poskytování Software), závisí doba zpracování na době, po kterou je provádění činností dle této smlouvy nezbytné ke splnění závazků Zpracovatele dle smlouvy EULA.
4.2. Zpracovatel bere na vědomí, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Správcem dle smlouvy EULA.
4.3. Při ukončení služeb spojených se zpracováním osobních údajů je Zpracovatel povinen postupovat v souladu s pokyny Správce. Nepožaduje-li Správce jinak, je Zpracovatel povinen zpracovávané osobní údaje (kopie databáze nebo jejích částí) vymazat bezprostředně poté, co pomine účel jejich pořízení (zejména zjištění a odstranění vady, otestování funkčnosti, otestování úprav a customizací, provedení migrace). Zpracovatel je zejména povinen dodržovat zásadu omezení uložení osobních údajů, a nezpracovávat jakékoli osobní údaje po dobu delší než 6 měsíců od ukončení smlouvy EULA.
4.4. Za výmaz osobních údajů se pro účely čl. 4.3. považuje nezvratný výmaz elektronických dat, obsahujících osobních údaje, ze všech datových uložišť.
4.5. O výmazu osobních údajů je Zpracovatel povinen vytvořit záznam, který poskytne správci na jeho žádost.
5. Místo zpracování osobních údajů
5.1. Místem zpracování osobních údajů je Česká republika, případně jiný členský stát Evropské unie, v němž jsou umístěny servery Zpracovatele. Zpracovatel není oprávněn v souvislosti se zpracováním osobních údajů prováděným pro Správce předávat osobní údaje do třetích zemí nebo mezinárodní organizaci, ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
5.2. Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Správce a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.
6. Další podmínky zpracování osobních údajů
6.1. Zpracovatel není oprávněn bez předchozího souhlasu Správce zapojit do zpracování osobních údajů zpracovávaných Zpracovatelem dle smlouvy EULA žádného dalšího Zpracovatele (ani v pozici poskytovatele hostingu nebo datového úložiště, či provozovatele serverů).
6.2. Zpracovatel přijme taková technická a organizační opatření, která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této smlouvy DPA, zejména:
- a) provede šifrování obsahu databáze,
- b) neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobním počítačům, datovým nosičům, serverům, databázím a Software používaným k plnění smlouvy EULA a ke klíčům a k heslům umožňujícím přístup k nim);
- c) nepoužije žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu Správce;
- d) zajistí veškeré úložiště, zařízení, sítě nebo služby používané ke zpracování osobních údajů dvoufaktorovou autentizací;
- e) zajistí umístění serverů použitých k činnostem zpracování osobních údajů v datovém centru s ochranou proti vstupu nepovolaných osob a s dostatečnou ochranou proti výpadku elektrického proudu a konektivity;
- f) na veškerých zařízeních používaných ke zpracování osobních údajů dle této smlouvy DPA zavede elektronické prostředky ochrany ve formě antivir a anti-malware Software;
- g) bude dodržovat veškerá interní pravidla Správce týkající se bezpečnosti dat a elektronických informací, pokud tak bude Správce požadovat a pokud jej s nimi prokazatelně seznámí;
- h) zajistí, aby přístup k databázím obsahujícím osobní údaje zpracovávané dle smlouvy EULA měli pouze zaměstnanci Zpracovatele, kteří jsou poučeni o dodržování bezpečnostních opatření a kteří jsou vázáni povinností mlčenlivosti v rozsahu umožňujícím plnit závazky dle tohoto článku, přičemž povinnost mlčenlivosti těchto zaměstnanců nesmí být vázána na trvání smlouvy EULA nebo jakkoli časově omezena.
6.3. V případě, že Správce informuje Zpracovatele o tom, že kterýkoli subjekt údajů uplatnil své právo na informace, výmaz, omezení zpracování, přenos osobních údajů nebo další, je Zpracovatel povinen poskytnout správci na jeho žádost veškeré osobní údaje daného subjektu údajů, které v rámci plnění smlouvy EULA zpracovává, poskytnout je správci v některém ze standardních formátů, a není-li to možné, pak k těmto osobním údajům poskytnout správci přístup.
6.4. Zjistí-li Zpracovatel, že došlo k jakémukoli porušení zabezpečení osobních údajů na jeho straně nebo na straně Správce, je povinen o této skutečnost neprodleně, nejpozději však do 72 hodin od zjištění, informovat Správce, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které Zpracovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně a pokud jsou dané informace pro Zpracovatele zjistitelné s vynaložením prostředků, přiměřených účelu smlouvy EULA.
6.5. V případě, že Úřad pro ochranu osobních údajů vykoná kontrolu souladu zpracování osobních údajů na straně Správce, je Zpracovatel povinen správci poskytnout při této kontrole veškerou součinnost, zejména poskytnutím záznamů o provedení výmazu osobních údajů, doložením podmínek zabezpečení osobních údajů a umožněním osobní kontroly zpracování osobních údajů v prostorách Zpracovatele.
6.6. Vyzve-li Správce Zpracovatele ke smazání určitých osobních údajů zpracovávaných dle smlouvy EULA, je Zpracovatel povinen takto učinit nejpozději do 72 hodin od přijetí výzvy, a na základě žádosti Správce mu v této lhůtě o tomto výmazu zaslat záznam nebo jiný důkaz. Osobní údaje zpracovávané jinak než prostřednictvím elektronických prostředků (zejména v rámci listin) na základě této výzvy Zpracovatel předá správci formou předání odpovídajících listin, nepožaduje-li Správce jiný způsob naložení s těmito údaji (jejich likvidaci).
6.7. Zpracovatel umožní správci nebo jím pověřeným osobám kontrolu dodržování jeho povinností dle tohoto článku smlouvy DPA, zejména kontrolu podmínek zabezpečení osobních údajů.
7. Další práva a povinnosti smluvních stran
7.1. Správce je povinen zajistit, aby účel zpracování veškerých osobních údajů zpracovávaných ze strany Zpracovatele dle této smlouvy DPA byl v souladu s právními předpisy, a aby zpracování bylo po celou dobu trvání kryto náležitým právním základem. Zpracovatel neodpovídá za jakékoli překročení účelu zpracování Správcem a porušení právního základu zpracování definovaného Správcem, pokud není způsobeno porušením této smlouvy DPA ze strany Zpracovatele.
7.2. Správce bere na vědomí, že je jako Správce osobních údajů primárně a plně odpovědný za újmu, kterou způsobí zpracováním osobních údajů, které porušuje Nařízení. Zpracovatel není povinen ani oprávněn provádět kontrolu toho, zda Správce plní své povinnosti při zpracování osobních údajů.
7.3 Správce je zejména povinen naplňovat při zpracování osobních údajů zásady uvedené v čl. 6 Nařízení, přičemž Software mu splnění povinností stanovených Nařízením umožňuje. Správce je sám povinen zvážit, jaké osobní údaje bude prostřednictvím Software zpracovávat a po jakou dobu tak, aby to bylo v souladu se zásadami minimalizace údajů a omezení uložení. Správce je rovněž povinen informovat subjekty údajů o účelu, rozsahu, době zpracování i o zákonných důvodech zpracování jejich osobních údajů (zásada zákonnosti, korektnosti a transparentnosti a zásada účelového omezení).
7.4 Veškerá odměna Zpracovatele za provádění činností zpracování osobních údajů dle této smlouvy je zahrnuta do odměny hrazené Správcem dle smlouvy EULA. Zpracovatel nemá nárok na jakoukoli samostatnou odměnu za plnění povinností dle této smlouvy DPA.
7.5. Tato smlouva DPA končí ukončením doby zpracování osobních údajů ve smyslu čl. 4.1.
8. Závěrečná ustanovení
8.1. Tato smlouva DPA se řídí Nařízením. V rozsahu povinností neupravených Nařízením se tato smlouva DPA řídí zákonem č. 89/2012 Sb., občanským zákoníkem.
8.2. Pokud Komise EU nebo dozorový úřad přijme ve smyslu čl. 28 odst. 7 nebo odst. 8 standardní smluvní doložky, provede Zpracovatel v případě potřeby úpravy této smlouvy DPA a Správce tyto změny přijme postupem podle čl. 8.3 této smlouvy DPA.
8.3. Tato smlouva DPA může být Zpracovatelem aktualizována. Aktuální verze bude zveřejněna na adrese https://logmanager.com/cs/dpa a v interním prostředí Produktu, o čemž bude Správce informován. Pokud Správce bude Produkt užívat i po zveřejnění revidované smlouvy DPA, platí, že s novou verzí smlouvy DPA souhlasí.
8.4. Smluvní vztahy, které nejsou touto smlouvou výslovně upraveny, se řídí příslušnými právními předpisy platnými v České republice.
8.5. Tato smlouva DPA je závazná rovněž pro právní nástupce smluvních stran.
8.6. Pokud se kterékoliv ustanovení této smlouvy ukáže být neplatným nebo neúčinným, zbývající ustanovení této smlouvy zůstanou platná a účinná v maximálním rozsahu povoleném platnými právními předpisy. Smluvní strany se dále zavazují, že neplatné a nevymahatelné ustanovení nahradí vzájemně přijatelným, platným a vymahatelným ustanovením, které bude odrážet obsah a účel této smlouvy.
8.7. Jakékoliv vzdání se nároku z porušení, námitky nebo jakékoliv jiné opomenutí s tímto spojené, nemají vliv a nebudou smluvními stranami nárokovány, nebo považovány za souhlas s takovým porušením, právním úkonem nebo opominutím, pokud nedojde k písemnému potvrzení výše uvedeného smluvní stranou, vůči které je vzdání se nároku uplatňováno.
Aktualizováno 2. prosince 2025