Na úvod
Společnost BOZP.Expert s.r.o., IČ: 19373457, se sídlem Nové sady 988/2, Staré Brno, 602 00 Brno (dále jako „BOZP.Expert” nebo „Zpracovatel”) je poskytovatel SaaS řešení pro komplexní správu BOZP agendy. SaaS řešení BOZP.Expert poskytuje prostřednictvím on-line softwarové aplikace (dále jako „Aplikace“). Aplikace umožňuje svým Zákazníkům mimo jiné nahrávat v rámci prostředí Aplikace vlastní data, obsah a dokumenty, které mohou obsahovat osobní údaje.
Pokud k tomu dojde, zpracování takových osobních údajů se řídí těmito podmínkami zpracování osobních údajů (dále jako „Podmínky“). BOZP.Expert je zpracovatelem osobních údajů a Vy (dále jako „Zákazník”) jste správcem osobních údajů. Tyto Podmínky jsou nedílnou součástí smlouvy mezi BOZP.Expert a Zákazníkem (dále jako „Smlouva”). V těchto Podmínkách může být dále Zákazník označován také jako „Správce ”.
Tyto Podmínky jsou součástí Všeobecných obchodních podmínek Aplikace, stejně jako Podmínky užívání Aplikace.
Pojmy, které jsou používány v těchto Podmínkách, mají stejný význam jako pojmy používané ve Všeobecných obchodních podmínkách Aplikace, ve Smlouvě nebo v Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jako „GDPR”).
Uzavřením Smlouvy Zákazník prohlašuje a potvrzuje, že se důkladně seznámil s těmito Podmínkami a jejich obsahem, že jim rozumí a že s nimi souhlasí.
1. Postavení a pokyny při zpracování osobních údajů
1.1. Zpracovatel se zavazuje zpracovávat osobní údaje pro Správce výlučně na základě doložených pokynů Správce, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje.
1.2. Za doložené pokyny Správce se považuje zejména Smlouva, uzavřená písemně mezi stranami, na základě které dochází ke zpracování osobních údajů.
1.3. Pokud je Správce ve skutečnosti zpracovatelem všech nebo některých osobních údajů ve smyslu GDPR, zaručuje v takovém případě Zpracovateli, že jeho pokyny a jednání ve vztahu k osobním údajům, včetně pověření Zpracovatele jako dalšího zpracovatele těchto osobních údajů, byly písemně odsouhlaseny příslušným Správcem.
2. Doba zpracování osobních údajů
2.1. Zpracování osobních údajů podle těchto Podmínek bude prováděno do doby výmazu všech osobních údajů podle tohoto článku.
2.2. Po skončení Smlouvy, bez ohledu na způsob nebo důvod jejího skončení, Zpracovatel během 1 měsíce trvale vymaže veškeré osobní údaje a jejich existující kopie, s výjimkou těch osobních údajů nebo jejich kopií, jejichž uložení u Zpracovatele požaduje právo Evropské unie nebo členského státu, které se vztahuje na Zpracovatele.
3. Povaha a účel zpracování osobních údajů
3.1. Zpracovatel bude osobní údaje zpracovávat způsoby v souladu se Smlouvou.
3.2. Zpracovatel bude zpracovávat osobní údaje za účelem:
3.2.1. poskytování služeb Aplikace,
3.2.2. vedení uživatelského účtu v rámci Aplikace,
3.2.3. nahrávání a sdílení obsahu v rámci Aplikace,
3.2.4. vyřizování dotazů a požadavků,
3.2.5. plnění právních povinnosti,
3.2.6. vymáhání práv a ochrany Aplikace.
4. Typy osobních údajů a kategorie subjektů údajů
4.1. Zpracovatel bude zpracovávat údaje, které shromažďuje Správce v rámci své činnosti, a to zejména: základní identifikační a kontaktní údaje subjektů údajů (například jméno, příjmení, datum narození, rodné číslo, adresa trvalého pobytu, číslo zaměstnance nebo jiné interní identifikační číslo, pozice nebo pracovní zařazení, e-mailová adresa, telefonní číslo), údaje o zdravotní způsobilosti, zdravotní omezení, údaje o lékařských prohlídkách, zdravotní stav související s konkrétními pracovními údaji, záznamy o nemocech z povolání, údaje o účasti na školení BOZP a dalších odborných školeních, certifikáty a osvědčení potřebné pro výkon práce, údaje o výšce, váze, velikosti oblečení, velikosti bot, záznamy o vydaných OOPP, záznamy o pravidelné údržbě OOPP, údaje o pracovních úrazech (popis úrazu, záznamy o následném vyšetřování incidentu, záznamy o náhradě škody a jiných kompenzacích), údaje o pracovní době a přítomnosti na pracovišti, údaje o pracovní způsobilosti (psychologické testy, výsledky odborných zkoušek), pracovní historie, údaje kontaktních osob (jméno, příjmení, rodinný vztah, e-mailová adresa, telefonní číslo) a další, které Správce předá Zpracovateli.
4.2. Osobní údaje se týkají následujících kategorií subjektů údajů:
4.2.1. zaměstnanci Správce, včetně osob pracujících na základě dohody o provedení práce nebo pracovní činnosti,
4.2.2. externí spolupracovníci,
4.2.3. uchazeči o zaměstnání,
4.2.4. školitelé a účastníci školení a certifikací,
4.2.5. lékaři, poskytovatelé zdravotních služeb,
4.2.6. servisní technici,
4.2.7. kontaktní osoby v případě nouze.
4.3. Zpracovatel pro Správce bude zpracovávat zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR.
4.4. Zpracování zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR je nezbytné pro účely plnění povinností a výkon zvláštních práv Správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a dále je zpracování nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky.
4.5. Zpracovatel pro Správce bude zpracovávat osobní údaje týkajících se rozsudků v trestních věcech a trestných činů ve smyslu čl. 10 GDPR. Jedná se o oprávněné zpracování údajů o trestných činech zaměstnanců.
5. Práva a povinnosti stran
5.1. Správce je výlučně odpovědný za:
5.1.1. informování subjektů údajů o zpracování osobních údajů, získání souhlasu subjektu údajů se zpracováním osobních údajů, pokud je zapotřebí, a za vyřizování žádostí subjektů údajů týkajících se výkonu jejich práv podle čl. 15–21 GDPR,
5.1.2. plnění všech oznamovacích povinností vůči dozorovému úřadu v souvislosti se zpracováním osobních údajů, zejména za ohlašování případů porušení zabezpečení osobních údajů a oznamování případů porušení zabezpečení osobních údajů subjektu údajů.
5.2. Správce je výlučně odpovědný za seznámení se s Podmínkami a vyhodnocení přijatých bezpečnostních opatření a závazků Zpracovatele s ohledem na potřeby Správce, zejména ve vztahu k bezpečnostním povinnostem Správce podle obecně závazných právních předpisů.
5.3. Správce před uzavřením Smlouvy a přijetím Podmínek důkladně prověřil a vyhodnotil bezpečností opatření zavedená a udržovaná Zpracovatelem s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Uzavřením Smlouvy Správce potvrzuje Zpracovateli, že bezpečností opatření zavedená a udržovaná Zpracovatelem, jak je uvedeno v Podmínkách, zajišťují dostatečnou úroveň ochrany osobních údajů s ohledem na hrozící rizika.
5.4. Pokud Zpracovatel při zpracovávání osobních údajů obdrží od subjektu údajů jakoukoliv žádost, sdělí Zpracovatel subjektu údajů, aby se s žádostí obrátil přímo na Správce. Správce je odpovědný za vyřízení takové žádosti.
5.5. Za účelem ochrany osobních údajů se Zpracovatel zavazuje, že po dobu zpracování osobních údajů podle Podmínek:
5.5.1. přijme a bude udržovat sjednaná technická a organizační opatření v čl. 8 těchto Podmínek (bezpečnostní opatření), aby zajistili Správcem požadovanou úroveň zabezpečení osobních údajů,
5.5.2. podnikne odpovídající kroky k zajištění dodržování bezpečnostních opatření svými zaměstnanci, jinými spolupracovníky nebo dodavateli v rozsahu odpovídajícím jejich činnostem, včetně zajištění, že se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahuje zákonná povinnost mlčenlivosti,
5.5.3. v rozsahu přiměřeném povaze zpracování a informacím, které bude mít k dispozici, bude Zpracovatel nápomocný Správci při zajišťování vhodných technických a organizačních opatření k zabezpečení osobních údajů, při ohlašování porušení zabezpečení osobních údajů dozorovému úřadu, při oznamování případů porušení zabezpečení osobních údajů subjektu údajů, při posouzení vlivu na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem,
5.5.4. poskytne Správci nezbytné informace, které lze po Zpracovateli spravedlivě požadovat, pro splnění povinností Správce reagovat na žádosti o výkon práv subjektů údajů podle obecně závazných právních předpisů, vztahujících se k ochraně osobních údajů,
5.5.5. poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti Zpracovatele stanovené v čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje. Audity a inspekce budou prováděny v souladu s čl. 9 těchto Podmínek,
5.5.6. povede záznamy o všech kategoriích činností zpracování prováděných pro Správce, a bude připraven na vyžádání dozorového úřadu tyto záznamy předložit.
5.6. Zpracovatel nese odpovědnost za porušení Podmínek všemi osobami, které pověřil zpracováním osobních údajů (například zaměstnanci, jinými osobami v obdobném postavení vůči Zpracovateli nebo dodavateli Zpracovatele), a všemi dalšími zpracovateli, které do zpracování osobních údajů zapojil.
6. Další zpracovatelé
6.1. Zpracovatel je oprávněn zapojit do zpracování osobních údajů další zpracovatele, nevysloví-li proti jejich zapojení Správce námitky.
6.2. Zpracovatel písemně informuje Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení nejméně 1 týden před plánovanou změnou. Po tuto dobu má Správce právo vyslovit vůči změně námitky. Nevysloví-li Správce námitky, má se za to, že se změnou souhlasí.
6.3. Zpracovatel se zavazuje vést vždy aktuální seznam dalších zpracovatelů a na vyžádání tento seznam Správci předložit.
6.4. V případě zapojení dalšího zpracovatele do zpracování osobních údajů v souladu s těmito Podmínkami Zpracovatel zajistí, aby další zpracovatel dodržoval při zpracování osobních údajů tyto Podmínky (včetně povinnosti umožnit audit a inspekci dodržování těchto Podmínek u dalšího zpracovatele).
6.5. Správce je oprávněn kdykoliv vznést námitky proti zapojení konkrétního dalšího zpracovatele do zpracování osobních údajů, a to i po uplynutí doby podle odst. 6.2 těchto Podmínek. V takovém případě se strany dohodnou na tom, jak situaci vyřešit (například nahrazením dalšího zpracovatele, přijetím vhodných záruk nebo vzetím zpět námitek Správce).
7. Zachování důvěrnosti informací
7.1. Zpracovatel má povinnost zachovávat mlčenlivost o osobních údajích, které zpracovává pro Správce. Dodržení povinnosti mlčenlivosti znamená nesdělit ani nezpřístupnit osobní údaje třetí osobě, s výjimkou dalšího zpracovatele, proti jehož zapojení nevyjádřil Správce námitky, a nepoužít osobní údaje k jinému než sjednanému účelu.
8. Bezpečnostní opatření
8.1. Zpracovatel zavede a bude udržovat při zpracování osobních údajů bezpečnostní opatření uvedená v tomto článku. Zpracovatel je oprávněn aktualizovat nebo upravit tato opatření za předpokladu, že aktualizace nebo úpravy nepovedou ke snížení celkového zabezpečení osobních údajů. Zpracovatel písemně informuje Správce o veškerých zamýšlených změnách týkajících se změny bezpečnostních opatření nejméně 1 týden před plánovanou změnou. Po tuto dobu má Správce právo vyslovit vůči změně námitky. Nevysloví-li Správce námitky, má se za to, že se změnou souhlasí. Vyjádří-li Správce námitky, Zpracovatel změnu neprovede, dokud se na jejím obsahu strany písemně nedohodnou.
8.2. Povinnosti Zpracovatele v tomto článku nepřenáší na Zpracovatele odpovědnost za provozní prostředí a jeho bezpečnost. Veškeré zde obsažené povinnosti se týkají pouze interních systémů Zpracovatele, které používá ke zpracování osobních údajů.
8.3. Zpracovatel po dobu účinnosti Smlouvy v pravidelných intervalech dle vlastního uvážení přezkoumá rizika informační bezpečnosti, která souvisí s osobními údaji a důležitými aktivy Správce.
8.4. Zpracovatel přijme taková opatření, aby zabezpečil osobní údaje proti rizikům lidského faktoru, zejména:
8.4.1. přijetí a udržování směrnic a dokumentů interní bezpečnosti,
8.4.2. pravidelné školení pracovníků na pravidla práce s osobními údaji a rizika informační bezpečnosti,
8.4.3. zajištění smluvní odpovědnosti zaměstnanců, externích spolupracovníků, dodavatelů a jiných třetích stran s přístupem k osobním údajům,
8.4.4. přijetí a udržování procesů kolem práce s klíčovými aktivy Zpracovatele, m. j. s osobními údaji Správce.
8.5. Zpracovatel přijme adekvátní technická opatření pro ochranu osobních údajů, zejména:
8.5.1.antivirové řešení pro ochranu proti malware,
8.5.2. řešení pro síťovou bezpečnost, kombinující firewally, konfiguraci síťových prvků a jiné technologie,
8.5.3. nástroje pro práce s citlivými daty Správce, nakonfigurovány na automatizované hlášení incidentů odpovědným osobám,
8.5.4. šifrování pevných disků a externích médií Zpracovatele,
8.5.5. Data Loss Prevention (DLP) řešení pro vynucení pravidel bezpečné práce s osobními údaji a snížení rizika porušení zabezpečení osobních údajů,
8.5.6. zálohování důležité infrastruktury a dat.
8.6. Pro ochranu osobních údajů v písemné formě a fyzickou ochranu IT zařízení Zpracovatel zavede zejména:
8.6.1. řízení přístupu k osobním údajům,
8.6.2. fyzické zabezpečení areálů a fyzických/digitálních úložišť dat.
9. Pravidla provádění auditů a inspekcí
9.1. Poté, co Zpracovatel obdrží žádost Správce o audit nebo inspekci, se strany dopředu dohodnou na:
9.1.1. možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu nebo
9.1.2. předpokládaném začátku, rozsahu a době trvání inspekce, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během inspekce.
9.2. Nedohodnou-li se strany v souladu s odst. 9.1 na všech potřebných náležitostech auditu nebo inspekce do 2 týdnů ode dne, kdy Zpracovatel obdržel žádost Správce, stanoví termín, průběh a další náležitosti auditu či inspekce Zpracovatel s přihlédnutím ke spravedlivým zájmům Správce.
9.3. Pro účely auditu nebo inspekce Zpracovatel zpřístupní Správci nebo Správcem pověřenému auditorovi veškeré prostory, zařízení, úložiště a systémy, kde dochází ke zpracování osobních údajů pro Správce.
9.4. Zpracovatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není auditor podle názoru Zpracovatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Zpracovateli, je jinak zjevně nevhodný nebo bez uvedení důvodu. Na základě těchto námitek Správce nejprve vybere dalšího auditora. Budou-li námitky následně vzneseny i u tohoto dalšího auditora, Správce námitky posoudí, a pokud je shledá důvodnými, provede audit sám.
9.5. Odměnu auditora, pověřeného Správcem, hradí Správce. Pokud by však audit nebo inspekce odhalily závažná porušení Podmínek ze strany Zpracovatele, uhradí odměnu auditora Zpracovatel. Budou-li zjištěna porušení obou stran, uhradí celou odměnu auditora Správce.
9.6. Náklady a škodu spojenou s auditem nebo inspekcí si každá strana nese sama. Pokud se však audit nebo inspekce provádí v kalendářním roce podruhé nebo častěji a neodhalí-li závažné porušení Podmínek ze strany Zpracovatele, uhradí Správce Zpracovateli škodu způsobenou provedením opětovného auditu či opětovné inspekce (zejména náklady spojené s omezením provozu a náhradu za ztracený čas).
9.7. Tato pravidla se použijí také na audity a inspekce prováděné u dalších zpracovatelů, zapojených do zpracování Zpracovatelem v souladu s Podmínkami.
10. Závazek odškodnění
10.1. Vznese-li třetí osoba, včetně orgánu veřejné moci, vůči Zpracovateli jakýkoliv nárok v souvislosti s porušením těchto Podmínek Správcem, zavazuje se Správce vést mimosoudní jednání s třetí osobou a bránit Zpracovatele v případných soudních, rozhodčích či jiných řízeních, to vše na své náklady; to neplatí, pokud je nárok vznesený třetí osobou zjevně neopodstatněný. Bude-li Zpracovatel povinen v důsledku Správcem schváleného smíru nebo pravomocného rozhodnutí soudu či jiného orgánu zaplatit komukoliv jakoukoliv náhradu nebo sankci v důsledku porušení Podmínek Správcem, zavazuje se Správce Zpracovateli tuto náhradu a sankci zaplatit. Za náhradu nebo sankci se v tomto případě považují mimo jiné náhrada škody, ušlého zisku, vydání bezdůvodného obohacení, peněžité přiměřené zadostiučinění, peněžitý trest, pokuta či penále.
11. Závěrečná ujednání
11.1. Podmínky byly sepsány v českém jazyce. Vztahy mezi Správcem a Zpracovatelem vyplývající z těchto Podmínek, se řídí českým právem.
11.2. Je-li nebo stane-li se kterékoli ujednání těchto Podmínek neúčinným nebo neplatným, zbývající ujednání tím nejsou dotčena.
11.3. Pokud Správce nebo Zpracovatel neuplatní nebo opomine uplatnit jakékoliv své právo, nevzdává se tím tohoto práva do budoucna a nezakládá to zavedenou praxi mezi nimi.
Tyto Podmínky jsou účinné ode dne 1. 12. 2024.