Smlouva o zpracování osobních údajů

Kdo jsme. Jsme společnost Datlok s.r.o., IČO: 143 04 511, se sídlem Korunní 2569/108, Vinohrady, 101 00 Praha 10, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze pod sp. zn. C 362867 („Datlok“ nebo „my“) a prostřednictvím našich webových stránek www.overenidluznika.cz („Portál“) si od nás vy, naši zákazníci, coby podnikatelé i spotřebitelé („vy“) můžete objednat naše služby („Služby“). V rámci Služeb vám můžeme z veřejně dostupných rejstříků („Rejstříky“) uvedených ve vaší objednávce zprostředkovávat údaje o konkrétních fyzických nebo právnických osobách („Subjekt údajů“), a to na základě vašich pokynů a na základě vámi zadaných údajů.

Poskytování Služeb. Pro poskytování našich Služeb spolu uzavíráme Smlouvu, která je upravena všeobecnými obchodními podmínkami, které jsou dostupné na Portálu („Podmínky“). Na základě Smlouvy nám dáváte pokyn, abychom zpracovávali osobní údaje Subjektů údajů. Zároveň se Smlouvou tedy spolu uzavíráme tuto smlouvu o zpracování osobních údajů („Smlouva o zpracování“), kterou mezi sebou musí uzavřít správce a zpracovatel osobních údajů dle čl. 28 nařízení č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů („GDPR“).

Jaké role máme? Vy jste správcem osobních údajů Subjektů údajů. My jsme zpracovatelem osobních údajů Subjektů údajů. To znamená, že na základě těchto podmínek Smlouvy o zpracování, vašich pokynů a vašeho užívání Portálu budeme pro vás zpracovávat osobní údaje Subjektů údajů.

Kdy jsme správce my? Ve vztahu k některým osobním údajům můžeme být správcem i my. Více se dozvíte v dokumentu Zásady zpracování osobních údajů.

Naše pověření. Vy jako správce nás ve smyslu čl. 28 GDPR pověřujete zpracováním osobních údajů. Jsme povinni zpracovávat osobní údaje Subjektů údajů na základě vašich pokynů a v rozsahu nezbytném k řádnému plnění našich povinností vyplývajících z Podmínek.

Vaše prohlášení. Uzavřením této Smlouvy o zpracování potvrzujete, že osobní údaje Subjektů údajů, které nám předáváte a které pro vás zpracováváme, byly shromážděny v souladu s právními předpisy a že plníte veškeré povinnosti správce. O rozsahu zpracování rozhodujete vždy výhradně vy, a zároveň jste současně odpovědní za zajištění souladu stanoveného rozsahu zpracování s GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Prohlašujete, že údaje, které vkládáte do Portálu a které si necháváte přes Portál zprostředkovávat, spravujete v souladu s předpisy a plníte veškeré povinnosti správce dle aktuálně účinných předpisů.

Jaké výrazy užíváme s velkým písmenem? V této Smlouvě o zpracování vycházíme ze Smlouvy, kterou jsme spolu uzavřeli. Veškeré výrazy s velkým písmenem mají význam, jaký jsme jim dali ve Smlouvě nebo v Podmínkách.

Osobní údaje Subjektů údajů. Při naší činnosti pro vás zpracováváme osobní údaje Subjektů údajů. Tyto osobní údaje nám svěřujete zadáním údajů Subjektů údajů do vyhledávání na našem Portálu nebo při zadání údajů Subjektů údajů do služby monitoringu či jiné naší Služby na Portále.

Konkrétní údaje Subjektů údajů. Zpracováváme pro vás jen ty osobní údaje, které nám svěříte nebo které si necháte přes Portál zprostředkovat. Těmi budou zpravidla:

• Identifikační údaje (zejm. jméno a příjmení, datum narození, rodné číslo, bydliště, případně identifikační číslo Subjektu údajů a jeho sídlo);
• Údaje z Rejstříků, podle vaší objednávky a uzavřené Smlouvy, může se jednat o:
  • Údaje z centrální evidence exekucí vedené Exekutorskou komorou ČR, zejména zda a kolikrát se Subjekt údajů v evidenci nachází, a dále také podrobnosti o jednotlivých záznamech, zejména spisové značky a podrobnosti zveřejňované o jednotlivých exekučních řízeních;
  • Údaje z insolvenčního rejstříku vedeného Ministerstvem spravedlnosti ČR, zejména zda se Subjekt údajů v rejstříku nachází, a dále podrobnosti o tomto záznamu, zejména zda se jedná o aktivní řízení nebo jaká je povaha tohoto řízení;
  • Údaje z evidence nespolehlivých plátců DPH, tedy údaj, zda se Subjekt údajů (pokud je identifikován podle IČO) v evidenci nachází;
  • Údaje z centrálního registru exekucí Slovenské komory exekutorů, zejména zda a kolikrát se Subjekt údajů v evidenci nachází, a dále také podrobnosti o jednotlivých záznamech;
  • Údaje z registru hledaných osob Policie ČR, zejména zda se Subjekt údajů v této evidenci nachází, případně podrobnosti k tomuto výskytu;
  • Údaje z evidence neplatných občanských průkazů a cestovních dokladů Ministerstva vnitra ČR, tedy zda je zadaný doklad Subjektu údajů veden v této evidenci;
  • Údaje k ověření, zda se adresa Subjektu údajů nenachází na adrese obecního úřadu v ČR.
• Další údaje, které nám poskytnete při vzájemné komunikaci (zejm. se jedná o další údaje dle zpřístupněných a využívaných funkcí Portálu).

Účel zpracování. Osobní údaje Subjektů údajů pro vás zpracováváme proto, abychom vám mohli poskytnout Službu dle Smlouvy a Podmínek, tedy zejména zprostředkovat informace z Rejstříků dle vašich pokynů.

Povaha zpracování osobních údajů. Zpracování, kterým nás pověřujete, může mít povahu shromažďování, zaznamenávání, ukládání na nosiče informací, třídění, předávání a uchovávání, jakož i další povahu nezbytnou k plnění Smlouvy, a to automatizovaně a případně i manuálně tak, aby tato činnost odpovídala účelu zpracování osobních údajů.

Za co odpovídáte vy? Jak jsme uvedli hned v úvodu, vy odpovídáte za to, že osobní údaje nám poskytnuté zpracováváte v souladu s GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Nepředávejte nám prosím osobní údaje, které toto nesplňují. Vy dále určujete i to, jaké osobní údaje budeme zpracovávat, jak dlouho a proč, a to zejména svým používáním Portálu.

Za co odpovídáme my? My odpovídáme za to, že se budeme řídit těmito podmínkami Smlouvy o zpracování a vašimi pokyny a budeme osobní údaje zpracovávat pouze v souladu s uvedenými právními předpisy.

Pokyny. Zpracování osobních údajů probíhá na základě vašich pokynů. Hlavními pokyny ke zpracování jsou tyto podmínky Smlouvy o zpracování, Podmínky, Smlouva a případně i přímo činnosti, které provádíte na Portálu. Pokud nám chcete dát další pokyny ke zpracování osobních údajů, musíte tak učinit písemně. Napište nám na pozadavky@overenidluznika.cz. Pokud zjistíme, že váš pokyn porušuje právní předpisy, neprodleně vám to oznámíme. Pokud budete trvat na tomto pokynu nebo situaci nenapravíte, můžeme odstoupit od Smlouvy.

Jak dlouho budeme osobní údaje zpracovávat? Osobní údaje budeme zpracovávat po nejkratší možnou dobu, pokud v těchto podmínkách Smlouvy o zpracování neuvádíme jinak. Pokud si u nás objednáte Službu, na jejímž základě je Vám poskytován Report, budeme osobní údaje zpracovávat pouze do konce Doby online uchování Reportu, poté údaje nevratně vymažeme. Pokud si ale u nás objednáte Službu průběžného monitoringu, která má stanovené Období, budeme v nezbytném rozsahu osobní údaje Subjektu údajů zpracovávat po dobu Období. Pokud údaje smažete z Portálu dříve, případně zrušíte monitoring a předčasně tak ukončíte Období, tak zpracování ukončíme bez zbytečného odkladu po smazání z Portálu nebo případně po ukončení Období a dále se budeme řídit následujícím článkem.

Co se s údaji stane po skončení spolupráce? Údaje o Subjektech údajů si můžete ve strojově čitelném formátu stáhnout nejpozději do konce Doby online uchování Reportu. Po skončení naší spolupráce na své straně veškeré osobní údaje prokazatelně vymažeme z Portálu i všech úložišť nejpozději ve lhůtě 24 hodin po skončení doby zpracování, ledaže s ohledem na právní předpisy musíme nebo můžeme některé údaje zpracovávat dál (naše právní povinnost nebo oprávněný zájem).

Lokalita uložení. Osobní údaje ukládáme výhradně na serverech v EU (konkrétně v datacentrech ve Frankfurtu a v Irsku). Předání mimo EU je podmíněno splněním všech právních podmínek pro předávání do třetích zemí, zejména podmínek stanovených v čl. 44 až 50 GDPR, a uskuteční se pouze na váš pokyn.

Bezpečnostní opatření. Zavazujeme se přijmout nezbytná technická, organizační a jiná potřebná opatření, která zabezpečí ochranu osobních údajů. Našim cílem je, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému zneužití. Přehled opatření uvádíme v následujících odstavcích.

Předávání osobních údajů. Při zpracování osobních údajů můžeme využívat další zpracovatele („Subzpracovatel“). Jednou skupinou těchto Subzpracovatelů jsou naši kolegové, kteří se podílejí na poskytování našich služeb a nejsou našimi zaměstnanci (OSVČ dodavatelé). Rozsah těchto osob se může průběžně měnit a jejich aktuální seznam vám na požádání poskytneme. Zároveň jako Subzpracovatele využíváme dodavatele, kteří mohou mít přístup k osobním údajům. Může se jednat např. o poskytovatele cloudových a jiných úložišť nebo dalšího software potřebného k poskytování Portálu. Dáváte nám obecné povolení tyto Subzpracovatele zapojit. Informujeme vás o všech změnách, ať už jde o přijetí nových Subzpracovatelů nebo jejich nahrazení. Vy můžete do 14 dnů od tohoto informování uplatnit svoje námitky. Zavazujete se však neuplatňovat námitky bezdůvodně. V současné době využíváme následující Subzpracovatele:

Povinnosti Subzpracovatele. Pokud Subzpracovatele zapojíme, zavážeme ho minimálně stejnými povinnostmi jako v těchto podmínkách. Budeme po něm požadovat, aby dodržoval GDPR a chránil předávané osobní údaje s využitím dostatečných bezpečnostních opatření.

Naše pomoc vám. Budeme vám nápomocni při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, při zohlednění informací, které máme k dispozici. Pokud se nám ozve některý Subjekt údajů a uplatní svoje práva související se zpracováním osobních údajů, tuto žádost vám bez zbytečného odkladu předáme k vyřešení.

Mlčenlivost. Budeme zachovávat mlčenlivost o všech osobních údajích a dalších skutečnostech, o nichž se dozvíme při zpracování osobních údajů. Budeme s nimi nakládat jen v rozsahu a míře nutné k naplnění Smlouvy, těchto podmínek a uvedených účelů zpracování. Naši spolupracovníci jsou řádně proškoleni pro nakládání s osobními údaji a budou také zachovávat jejich důvěrnost a mlčenlivost, jakož i dodržovat veškerá opatření požadovaná čl. 32 GDPR týkající se zabezpečení osobních údajů svěřených ke zpracování.

Audity. Na vaši žádost vám poskytneme veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v článku 28 GDPR. Umožníme vám nebo třetí straně audit v přiměřeném rozsahu, a to maximálně jednou za dva roky a po předchozím písemném oznámení alespoň 30 dnů předem. Jsme oprávněni odmítnout vámi navrhovaný termín a navrhnout vám alternativní termín, který nesmí být později než 30 dnů po vámi původně navrhovaném termínu. Náklady auditu hradíte vy. Jste zároveň povinni zachovávat mlčenlivost ohledně veškerých informací zjištěných v rámci auditu týkajících se naší společnosti, zejména našich bezpečnostních politik a standardů. Jste povinni ve stejném rozsahu zavázat i třetí osoby vámi pověřené k provedení auditu.

Kroky k zabezpečení osobních údajů. Za účelem splnění svých závazků s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob se zavazujeme zabezpečit zpracování údajů alespoň následujícím způsobem:

Oznámení bezpečnostního incidentu. Pokud zjistíme, že došlo při poskytování našich služeb a nakládání s osobními údaji na naší straně k bezpečnostnímu incidentu a narušení zpracování osobních údajů, bez zbytečného odkladu vám toto oznámíme.

Použití Podmínek. V rozsahu neupraveném touto Smlouvou o zpracování se vztah mezi námi řídí Podmínkami.

Naše odpovědnost za škodu. Naše celková odpovědnost za újmu vzniklou v souvislosti s touto Smlouvou o zpracování nepřesáhne limit odpovědnosti za škodu sjednaný ve Smlouvě.

Změny Smlouvy o zpracování. V případě změn Smlouvy o zpracování vás budeme o změně předem informovat. Pokud byste byli toho názoru, že změna vede k porušení GDPR či jiných právních předpisů, sdělte nám to. Takovou změnu jste oprávněni odmítnout a my provedeme nezbytné úpravy, abychom situaci napravili.

Účinnost Smlouvy o zpracování. Tato Smlouva o zpracování je vždy účinná již od uzavření oběma smluvními stranami, tedy ve chvíli, kdy s touto Smlouvou o zpracování na našem Portálu projevíte souhlas a pokud Vám uzavření této Smlouvy o zpracování (a také Smlouvy) potvrdíme e-mailem.