Přeskočit obsah

Zpracování údajů jménem Objednatele (Zprostředkovatelská smlouva podle čl. 28 GDPR)

17/07/2025

1. Poskytovatel

Poskytovatel vystupuje ve vztahu k dotčeným osobám Objednatele v pozici Zprostředkovatele podle ustanovení čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46/ES (dále jen „GDPR“). Z tohoto důvodu se smluvní vztah mezi Poskytovatelem a Objednatelem při poskytování služeb řídí následujícím:

a) Poskytovatel má obecné povolení k zapojení dalšího zprostředkovatele (zejména svých subdodavatelů). V případě, že Poskytovatel zapojí dalšího zprostředkovatele, je Poskytovatel tomuto dalšímu zprostředkovateli ve smlouvě nebo jiném právním úkonu povinen uložit stejné povinnosti týkající se ochrany osobních údajů, jaké jsou stanoveny v těchto VOP, přičemž odpovědnost vůči Objednateli nese Poskytovatel, pokud další zprostředkovatel nesplní své povinnosti týkající se ochrany osobních údajů;

b) Poskytovatel se zavazuje zpracovávat osobní údaje pouze pro účely poskytování Objednatelem objednaných služeb. Předmětem zpracování osobních údajů je služba, kterou bude Poskytovatel Objednateli poskytovat;

c) Poskytovatel zpracovává osobní údaje po dobu trvání smluvního vztahu a ještě 6 měsíců ode dne jeho ukončení;

d) Poskytovatel zpracovává osobní údaje v nezbytném rozsahu k dosažení dohodnutého účelu, v jakém je zpracovává Objednatel. Objednatel může omezit rozsah zpracovávaných osobních údajů. Pokud nebylo výslovně Objednatelem uvedeno jinak, Poskytovatel nezpracovává údaje zvláštní kategorie. Zpracovávat osobní údaje je možné pouze v rozsahu nezbytném k dosažení účelů uvedených v písm. g) tohoto bodu tohoto článku, a to zejména: (i) identifikační a kontaktní údaje a jiné údaje související s účetní a obchodní agendou; (ii) identifikační údaje a/nebo údaje týkající se činnosti dotčené osoby a/nebo údaje nezbytné pro tvorbu databáze a/nebo mailing listu a/nebo danou komunikaci a/nebo jiné údaje související s poskytováním dohodnutých služeb v závislosti na typu poskytované služby; (iii) další údaje nezbytné k dosažení účelu zpracování;

e) Vzhledem k povaze služeb se může seznam kategorií dotčených osob měnit. Objednatel disponuje aktuálním seznamem kategorií dotčených osob. Kategorie osobních údajů jsou mimo jiné všechny fyzické osoby, jejichž osobní údaje se při poskytování dohodnutých činností a služeb zpracovávají, jako např. (i) zákazníci Objednatele; (ii) zaměstnanci Objednatele; (iii) zaměstnanci a statutární orgán obchodních partnerů Objednatele; (iv) osoby, jejichž osobní údaje se nacházejí v databázi; (v) a jiné fyzické osoby v závislosti na poskytovaných službách;

f) Poskytovatel provádí s osobními údaji zpracovatelské operace nezbytné k splnění účelu zpracování, a to zejména: získávání, shromažďování, uchovávání, tvorba databáze a likvidace za podmínek uvedených v těchto VOP;

g) Poskytovatel je povinen zpracovávat osobní údaje pouze v nezbytném rozsahu, aby bylo možné dosáhnout účelu zpracování – poskytnutí služeb a pouze na základě pokynů Objednatele, které jsou obsaženy v objednávce a těchto VOP tak, aby zpracování odpovídalo běžnému způsobu poskytování služeb, a to i tehdy, pokud jde o přenos osobních údajů do mezinárodní organizace. Pokud jde o přenos osobních údajů do mezinárodní organizace na základě zvláštního předpisu nebo mezinárodní smlouvy, kterou je Česká republika vázána, Poskytovatel je při takovém přenosu povinen oznámit Objednateli tuto požadavek před zpracováním osobních údajů, pokud zvláštní předpis nebo mezinárodní smlouva, kterou je Česká republika vázána, takové oznámení nezakazuje z důvodů veřejného zájmu; Poskytovatel je povinen chránit zpracovávané osobní údaje před jejich poškozením, zničením, ztrátou, změnou, neoprávněným přístupem a zpřístupněním, poskytnutím nebo zveřejněním, jakož i před jakýmikoli jinými protiprávními způsoby zpracování;

h) Poskytovatel prohlašuje, že zaručuje bezpečnost zpracovávaných osobních údajů, přičemž při přijímání technických a organizačních opatření za účelem zajištění ochrany práv a ochrany osobních údajů dotčených osob Objednatele zejména před náhodným nebo nezákonným zničením, ztrátou, změnou nebo neoprávněným poskytnutím přenášených osobních údajů, uchovávaných osobních údajů nebo jinak zpracovávaných osobních údajů, nebo neoprávněným přístupem, bral v úvahu povahu, rozsah, kontext a účel zpracování osobních údajů, rizika, která jsou způsobilá narušit bezpečnost ochrany osobních údajů a jejich závažnost. Poskytovatel se zavazuje provést veškeré kroky k nejvyššímu zabezpečení osobních údajů Objednatele, jakož i k zajištění všech datových, databázových a poštovních souborů Objednatele před jejich ztrátou, poškozením, zničením nebo jakýmkoli jiným protiprávním zpracováním;

i) Poskytovatel je povinen neposkytnout osobní údaje třetím osobám, nepoužít osobní údaje k jinému než dohodnutému účelu, nezneužít pro svůj prospěch nebo prospěch třetí osoby a nenakládat s osobními údaji v rozporu s tímto článkem VOP;

j) Poskytovatel je povinen zajistit, aby shromážděné osobní údaje byly zpracovávány ve formě umožňující identifikaci dotčených osob Objednatele pouze po dobu nezbytnou k dosažení účelu zpracování;

k) Poskytovatel se zavazuje spolupracovat a poskytnout Objednateli součinnost při zajišťování dodržování povinností Objednatele reagovat na žádosti dotčených osob Objednatele při výkonu jejich práv podle ustanovení kapitoly III GDPR, včetně seznámení Objednatele o každé písemné žádosti o přístup, které případně budou doručeny Poskytovateli v souvislosti s povinnostmi Objednatele podle GDPR, zákona č. 110/2019 Sb., o zpracování osobních údajů a o změně některých zákonů (dále jen „Zákon o ochraně osobních údajů“) a jiných souvisejících předpisů, a to ve lhůtě 48 hodin (do této doby se nezapočítávají dny pracovního volna a svátky) ode dne doručení žádosti ze strany Objednatele;

l) Poskytovatel se zavazuje spolupracovat a poskytnout Objednateli součinnost při zajišťování dodržování povinností podle ustanovení čl. 32 až 36 GDPR, a to: i) zajistit bezpečnost zpracování; ii) oznámit Objednateli jakékoli porušení ochrany osobních údajů; iii) v případě potřeby provést posouzení vlivu na ochranu osobních údajů, týkající se vlivu zpracování na ochranu osobních údajů; iv) konzultovat s Úřadem pro ochranu osobních údajů České republiky záměr uskutečnit zpracování osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že toto zpracování by vedlo k vysokému riziku v případě, že by Objednatel nepřijal opatření ke zmírnění tohoto rizika; v) Poskytovatel se zavazuje poskytnout Objednateli veškeré informace potřebné k prokázání splnění povinností stanovených v ustanovení čl. 28 GDPR a poskytnout Objednateli součinnost v rámci auditu ochrany osobních údajů a kontroly ze strany Objednatele nebo auditora, kterého pověřil Objednatel. Objednatel je povinen audit oznámit alespoň 21 dnů před plánovaným datem auditu. Oznámení musí obsahovat předmět auditu, jakož i datum zahájení auditu a jeho délku. Audit musí být prováděn v pracovní době Poskytovatele a nesmí nepřiměřeným způsobem zasahovat do činnosti Poskytovatele. Audit se provádí na náklady Objednatele a Objednatel Poskytovateli uhradí i veškeré náklady, které Poskytovateli vzniknou v souvislosti s auditem;

m) Poskytovatel je povinen bezodkladně oznámit Objednateli, pokud podle názoru Poskytovatele jakýkoli pokyn udělený Objednatelem porušuje GDPR, Zákon o ochraně osobních údajů, zvláštní předpis nebo mezinárodní smlouvu, kterou je Česká republika vázána, které se týkají ochrany osobních údajů. Poskytovatel je povinen ihned informovat Objednatele, pokud si u něj uplatní právo dotčená osoba Objednatele. Poskytovatel je povinen bezodkladně nejpozději do 48 hodin informovat Objednatele, pokud dojde k porušení ochrany osobních údajů;

n) Poskytovatel se zavazuje po skončení platnosti a účinnosti smluvního vztahu s Objednatelem, na základě rozhodnutí Objednatele vymazat osobní údaje, pokud zvláštní předpis nebo mezinárodní smlouva, kterou je Česká republika vázána, nevyžaduje uchovávání těchto osobních údajů;

2. Informace o právech dotčené osoby:

Objednatel bere na vědomí, že osoba poskytující osobní údaje (dotčená osoba) má ve smyslu ustanovení čl. 15 až 22 a čl. 34 GDPR následující práva ve vztahu k Objednateli (přičemž Poskytovatel se zavazuje poskytovat Objednateli součinnost při plnění práv dotčené osoby, a to neodkladně na požádání Objednatele, nejpozději však ve lhůtě 7 dnů):

a) právo na přístup k osobním údajům podle čl. 15 GDPR: Dotčená osoba má právo získat od Objednatele potvrzení o tom, zda jsou zpracovávány osobní údaje, které se jí týkají. Dotčená osoba má právo získat přístup k těmto osobním údajům a k informacím uvedeným v bodě 2 tohoto článku;

b) právo na opravu osobních údajů podle čl. 16 GDPR: Dotčená osoba má právo na to, aby Objednatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. S ohledem na účel zpracování osobních údajů má dotčená osoba právo na doplnění neúplných osobních údajů;

c) právo na výmaz osobních údajů podle čl. 17 GDPR: Dotčená osoba má právo na to, aby Objednatel bez zbytečného odkladu vymazal osobní údaje, které se jí týkají, pokud dotčená osoba uplatnila právo na výmaz, pokud: i) osobní údaje již nejsou potřebné k účelu, pro který byly získány nebo jinak zpracovávány; ii) dotčená osoba odvolá souhlas, na základě kterého se zpracování osobních údajů provádí, a neexistuje jiný právní základ pro zpracování osobních údajů; iii) dotčená osoba namítá zpracování osobních údajů a nepřevažují žádné oprávněné důvody pro zpracování osobních údajů nebo dotčená osoba namítá zpracování osobních údajů pro účely přímého marketingu; iv) osobní údaje jsou zpracovávány nezákonně; v) je důvodem pro výmaz splnění povinnosti podle GDPR, Zákona o ochraně osobních údajů, zvláštního předpisu nebo mezinárodní smlouvy, kterou je Česká republika vázána; vi) osobní údaje byly získány v souvislosti s nabídkou služeb informační společnosti;

d) právo na omezení zpracování osobních údajů podle čl. 18 GDPR: Dotčená osoba má právo na to, aby Objednatel omezil zpracování osobních údajů, pokud: i) dotčená osoba napadá správnost osobních údajů, a to po dobu umožňující Objednateli ověřit správnost osobních údajů; ii) zpracování osobních údajů je nezákonné a dotčená osoba namítá výmaz osobních údajů a žádá místo toho omezení jejich použití; iii) Objednatel již nepotřebuje osobní údaje k účelu zpracování osobních údajů, ale dotčená osoba je potřebuje k uplatnění právního nároku; iv) dotčená osoba namítá zpracování osobních údajů, a to až do ověření, zda oprávněné důvody na straně Objednatele převažují nad oprávněnými důvody dotčené osoby; v) dotčenou osobu, jejíž zpracování osobních údajů je omezeno, je Objednatel povinen informovat před tím, než bude omezení zpracování osobních údajů zrušeno. Na základě čl. 19 GDPR je Objednatel v případě, že to dotčená osoba požaduje, povinen informovat dotčenou osobu o příjemcích, kterým Objednatel oznámil opravu osobních údajů, výmaz osobních údajů nebo omezení zpracování osobních údajů;

e) právo na přenositelnost osobních údajů podle čl. 20 GDPR: Dotčená osoba má právo získat osobní údaje, které se jí týkají a které poskytla Objednateli, ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto osobní údaje jinému provozovateli;

f) právo namítat zpracování osobních údajů podle čl. 21 GDPR: Dotčená osoba má právo namítat zpracování jejích osobních údajů z důvodu týkajícího se její konkrétní situace prováděné na právním základě z důvodu, že zpracování osobních údajů je nezbytné k plnění úkolu prováděného ve veřejném zájmu nebo z důvodu, že zpracování je nezbytné k účelu oprávněných zájmů Objednatele nebo třetí strany, včetně profilování založeného na těchto ustanoveních. Objednatel nesmí dále zpracovávat osobní údaje, pokud neprokáže nezbytné oprávněné zájmy pro zpracování osobních údajů, které převažují nad právy nebo zájmy dotčené osoby, nebo důvody pro uplatnění právního nároku. Dotčená osoba má právo namítat zpracování osobních údajů, které se jí týkají, pro účely přímého marketingu včetně profilování v rozsahu, v jakém souvisí s přímým marketingem;

g) na základě čl. 22 GDPR má dotčená osoba právo na to, aby se na ni nevztahovalo rozhodnutí, které je založeno výlučně na automatizovaném zpracování osobních údajů včetně profilování a které má právní účinky, které se jí týkají nebo ji obdobně významně ovlivňují;

h) na základě čl. 34 GDPR má dotčená osoba právo, aby jí Objednatel bez zbytečného odkladu oznámil porušení ochrany osobních údajů, pokud takové porušení ochrany osobních údajů může vést k vysokému riziku pro práva fyzické osoby.

3. Porušení povinnosti

Za porušení jakékoli povinnosti, která vyplývá Zprostředkovateli z této Smlouvy i z Nařízení GDPR odpovídá Zprostředkovatel v plném rozsahu. Pokud bude Objednateli udělena pokuta ze strany Úřadu pro ochranu osobních údajů České republiky, Zprostředkovatel odpovídá za tuto pokutu do takové výše, v jaké ji prokazatelně a nepochybně zavinil.

4. Zpracování osobních údajů jménem Objednatele

Jelikož Poskytovatel jako zprostředkovatel zpracovává osobní údaje jménem Objednatele, Objednatel tímto prohlašuje, že osobní údaje dotčených osob získal v souladu s platnou legislativou tohoto státu, kterým se předmětné zpracování osobních údajů řídí. V případě, že se zpracování osobních údajů řídí Nařízením GDPR, tak Objednatel prohlašuje, že všechny osobní údaje dotčených osob získal jedním z následujících způsobů:

a) čl. 9 odst. 2 písm. a) GDPR – výslovný souhlas dotčené osoby, nebo

b) čl. 9 odst. 2 písm. b) GDPR – nezbytnost zpracování pro účely plnění povinností a výkonu zvláštních práv v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany, pokud je to povoleno právem Unie nebo právem členského státu nebo kolektivní smlouvou podle práva členského státu poskytujícími přiměřené záruky ochrany základních práv a zájmů dotčené osoby nebo

c) čl. 9 odst. 2 písm. e) GDPR - zpracování se týká osobních údajů, které dotčená osoba prokazatelně zveřejnila, nebo

d) čl. 9 odst. 2 písm. f) GDPR – zpracování je nezbytné k určení, výkonu nebo obhajobě právních nároků.

Objednatel tímto prohlašuje, že odpovídá za veškerou případnou škodu, která by vznikla Poskytovateli z důvodu nezákonného získání osobních údajů Objednatelem a následně jejich zpřístupněním Poskytovateli jako zprostředkovateli na základě tohoto smluvního vztahu.

5. Předmět zpracování osobních údajů

Předmětem zpracování osobních údajů je (i) kategorie „standardních“ osobních údajů (zejména: jméno a příjmení, adresa bydliště, telefonní číslo, e-mailová adresa, číslo občanského průkazu, rodné číslo, lokalizační údaje (např. GPS), IP adresa (pokud je vázána na konkrétní osobu), údaje o zaměstnání, vzdělání, pracovní historii) a (ii) kategorie „citlivých“ údajů (biometrické údaje).

6. Zpřístupnění osobních údajů

Objednatel odpovídá za to, pokud zpřístupní osobní údaje dotčených osob třetím stranám a osobám (buď zpřístupněním jména a hesla do platformy Poskytovatele nebo zřízením účtu na platformě Poskytovatele pro třetí osoby), přičemž je povinen získat veškeré potřebné souhlasy dotčených osob k takovému zpřístupnění, pokud se vyžadují a zároveň je povinen při takovém zpřístupnění postupovat v souladu s příslušnou legislativou.

7. Zpracování údajů Objednatele

a) V případě, že Poskytovatel vystupuje v pozici správce a Objednatel v pozici dotčené osoby, tak Objednatel tímto uděluje souhlas se zpracováním následujících údajů: (i) kategorie „standardních“ osobních údajů (zejména: jméno a příjmení, adresa bydliště, telefonní číslo, e-mailová adresa, číslo občanského průkazu, rodné číslo, lokalizační údaje (např. GPS), IP adresa (pokud je vázána na konkrétní osobu), údaje o zaměstnání, vzdělání, pracovní historii) a (ii) kategorie „citlivých“ údajů (biometrické údaje).

b) Na zpracování osobních údajů podle tohoto článku se přiměřeně aplikují všechna ustanovení podle těchto podmínek Zpracování údajů jménem Objednatele.