Zpracování osobních údajů Alveno

Účinné od 1. 6. 2021

společnosti IRESOFT s.r.o., se sídlem: Cejl 62, Brno, 602 00, IČ: 26297850, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 42453 (dále jen „Poskytovatel”),

Kontaktní údaje:
Tel.: +420 734 150 760, +420 543 215 460
E-mail: info@alveno.cz

1 Úvodní ustanovení
1/1 Tato smlouva podrobně upravuje podmínky ochrany osobních údajů mezi Poskytovatelem a podnikající fyzickou nebo právnickou osobou (dále jen „Nabyvatel“) při užívání informačního systému Alveno (dále jen „systém Alveno“), který slouží zejména k evidenci a výpočtu docházky především zaměstnanců a také ke kontrole přístupu osob, a který je propojen s aplikačním a databázovým serverem Poskytovatele (dále jen „Cloud“); Poskytovatel je autorem a výhradním držitelem veškerých majetkových práv k systému Alveno.

1/2 Užívání systému Alveno je upraveno licenční smlouvou, jejíž součástí jsou také obchodní podmínky a tyto zásady zpracování osobních údajů ve verzi účinné k okamžiku uzavření smlouvy. Oba tyto dokumenty jsou dostupné na internetovém portálu na adrese www.alveno.cz.

2 Předmět smlouvy
2/1 Tato smlouva je smlouvou o zpracování osobních údajů mezi správcem osobních údajů (Nabyvatelem) a zpracovatelem osobních údajů (Poskytovatelem) s tím, že jsou zde již zapracovány též náležitosti ve smyslu čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“) účinném od 25. 5. 2018. Poskytovatel prohlašuje, že je schopen zajistit zavedení vhodných technických a organizačních opatření tak, aby zpracování osobních údajů ve smyslu licenční smlouvy uzavřené mezi stranami, splňovalo požadavky GDPR a aby byla zajištěna ochrana práv dotčených subjektů údajů.

3 Předmět a rozsah zpracování osobních údajů
3/1 Poskytovatel bude zpracovávat veškeré osobní údaje, které Nabyvatel uloží v rámci užívání systému Alveno dle smlouvy, tj. zejména údaje o zaměstnancích Nabyvatele (především identifikační údaje a údaje související s evidencí a výpočtem docházky) a dalších osob, kterým Nabyvatel umožní přístup do systému (zejména identifikační údaje a údaje související s výkonem činnosti pro Nabyvatele) (zaměstnanci a další osoby, jimž Nabyvatel umožní přístup dále společně jen „subjekty údajů“; osobní údaje subjektů údajů dále společně jen „osobní údaje“). V případě zpracování biometrických údajů subjektů údajů může Poskytovatel zpracovávat též jejich citlivé údaje – tzv. zvláštní kategorie osobních údajů.

3/2 Strany shodně konstatují, že zpracování osobních údajů Poskytovatelem bude probíhat výlučně za účelem umožnění Nabyvateli užívat systém Alveno. Systém Alveno má přitom Nabyvatel zájem užívat především za účelem evidence a výpočtu docházky zaměstnanců, ke kontrole přístupu dalších osob a související ochraně svého majetku a bezpečnosti. Užívání systému Alveno pouze k účelům dle předchozí věty se Nabyvatel zavazuje při své práci s tímto systémem, a s tím souvisejícím nakládáním s osobními údaji subjektů údajů, zajistit.

3/3 Poskytovatel bude osobní údaje zpracovávat pouze na základě pokynů Nabyvatele, a to včetně případného předání osobních údajů do třetí země nebo mezinárodní organizaci ve smyslu a za podmínek stanovených v čl. 28 odst. 3 písm. a) GDPR. Nabyvatel na základě této smlouvy konkrétně požaduje, aby Poskytovatel osobní údaje zcela nebo částečně automatizovaným způsobem pomocí systému Alveno od Nabyvatele shromažďoval, ukládal je a Nabyvateli je zpřístupňoval, aby prostřednictvím jednotlivých funkcí systému Alveno umožnil Nabyvateli nakládání s dotčenými osobními údaji (individuální či hromadné ukládání, doplňování, upravování či odstraňování osobních údajů apod.) či aby je zpracovával dalšími způsoby potřebnými k řádnému plnění závazků Poskytovatele ve smyslu smlouvy a těchto obchodních podmínek. Nabyvatel a Poskytovatel společně prohlašují, že výčet operací zpracování osobních údajů, které má Poskytovatel pro Nabyvatele zajišťovat, může být na základě zvláštní písemné (listinné nebo elektronické) domluvy stran dále rozšířen s tím, že konkrétní operace zpracování budou pak Poskytovatelem provedeny na základě pokynů Nabyvatele a v souladu s nimi a touto smlouvou.

3/4 Nabyvatel tímto pověřuje Poskytovatele zpracováním osobních údajů ve smyslu uzavřené licenční smlouvy, jejíž součástí je také tato smlouva o zpracování a obchodní podmínky.

3/5 Poskytovatel se jako zpracovatel při zpracování osobních údajů v souladu s touto smlouvou zavazuje:

zpracovávat osobní údaje pouze v souladu s účelem dle této smlouvy a způsobem jím stanoveným,

a) zpracovávat osobní údaje pouze v souladu s účelem dle této smlouvy a způsobem jím stanoveným,
b) přijmout vhodná technická a organizační opatření, jež jsou nutná k zabezpečení zpracování osobních údajů dle předchozího písm. a) a odpovídají s tím spojenému riziku, aby mj. nemohlo při tomto zpracování dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů,
c) zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany osobních údajů v souladu s touto smlouvou, GDPR, příslušnými zákony a jinými obecně závaznými právními předpisy,
d) před skončením smluvního vztahu umožní Poskytovatel Nabyvateli, aby si zpracovávané osobní údaje exportoval ze systému, který mu za tímto účelem bude přístupný v režimu náhledu dle obchodních podmínek Poskytovatele. Režim náhledu je blíže upraven v obchodních podmínkách, které jsou součástí licenční smlouvy, a není časově neomezený,
e) po uplynutí režimu náhledu bude Poskytovatel uchovávat zpracovávané osobní údaje do konce trvání smluvního vztahu,
f) po uplynutí režimu náhledu může být export dat vč. osobních údajů zpoplatněn v souladu s obchodními podmínkami Poskytovatele, s čímž Nabyvatel souhlasí,
g) Nabyvatel, jakožto správce, souhlasí s tím, aby Poskytovatel, jakožto zpracovatel, veškeré zpracovávané osobní údaje po skončení poskytování služeb spojených se zpracováním (tedy po skončení smluvního vztahu na základě kterého je nabyvateli poskytován systém Alveno mezi stranami) odstranil,
h) Nabyvatel, jakožto správce osobních údajů, se zavazuje ke spolupráci s Poskytovatelem a pokud během doby, kdy bude systém v režimu nahlížení, nedá Poskytovateli opačný pokyn, uděluje nabyvateli souhlas s tím, aby nenávratně zlikvidoval veškeré osobní údaje Nabyvatele.
3/6 Při stanovení technických a organizačních opatření pro ochranu zpracovávaných osobních údajů se Poskytovatel zavazuje:

  • posuzovat rizika vyplývající ze zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
  • zabránit neoprávněným osobám v přístupu k osobním údajům a k prostředkům pro jejich zpracování, jakož i neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje,
  • přijmout opatření, která umožní určit a ověřit, komu byly osobní údaje předány,
    veškerá opatření dle tohoto bodu smlouvy se však vztahují toliko k osobám, kterým přístup a zpracovávání osobních údajů umožní ve smyslu této smlouvy Poskytovatel, nikoliv k osobám, jimž přístup k osobním údajům umožní přímo či nepřímo samotný Nabyvatel, tzn. za toto zpřístupnění odpovídá Nabyvatel sám.

3/7 Při zpracovávání osobních údajů, které probíhá automatizovaně, se Poskytovatel zavazuje:

  • zpracovávat všechny informace a osobní údaje v souladu s požadavky systému managementu bezpečnosti informací,
  • zabránit neoprávněnému přístupu k datovým nosičům.
    Pokud Nabyvatel využívá spolu se systémem Alveno rovněž docházkové čtečky dodávané Poskytovatelem, bere na vědomí, že osobní údaje mohou být po přechodnou dobu uloženy rovněž v těchto docházkových čtečkách, a to zpravidla než dojde k jejich přenesení do systému Alveno. Poskytovatel je oprávněn nahlížet do těchto údajů pouze v souladu s následujícím článkem této smlouvy.

3/8 Poskytovatel (resp. jeho zaměstnanci či jiné jím pověřené osoby) je oprávněn nahlížet do údajů, které jsou zpracovávány v souvislosti s licenční smlouvou, a tyto neautomatizovaně zpracovávat, pouze na základě písemného nebo e-mailového pokynu Nabyvatele, resp. jeho zaměstnance či jiné jím pověřené osoby, který učiní v souvislosti s:

  • vadou příslušného systému, kdy Poskytovatel nahlédne do údajů výlučně za účelem jejího odstranění, nebo
  • poskytováním uživatelské podpory.
    Poskytovatel je oprávněn do osobních údajů nahlížet, tyto upravovat, doplňovat, odstraňovat či s nimi provádět další operace zpracování (individuálně či hromadně), vždy však výlučně v mezích písemného nebo e-mailového pokynu Nabyvatele, jakož i v mezích účelu, pro něhož k těmto operacím zpracování dochází, to vše pak vždy v nejmenším možném rozsahu. Poskytovatel přitom nebude do osobních údajů nahlížet, příp. je jinak zpracovávat, v případě, že toto není nezbytně nutné pro splnění úkolů výše, a to i když zde bude opačného pokynu Nabyvatele. Poskytovatel též prohlašuje a zavazuje se, že má a bude mít nastaveny interní procesy tak, aby bylo z jeho strany na nejnižší možnou úroveň sníženo riziko neoprávněného zpřístupnění údajů, nahlížení do nich či jejich zneužití.

3/9 Smluvní strany berou na vědomí, že při plnění povinností zpracovatele stanovených výše bude vždy zohledněna skutečnost, že Poskytovatel pouze umožňuje přístup k osobním údajům Nabyvateli prostřednictvím systému Alveno, přičemž určení konkrétních osob, které budou moct pomocí příslušného systému k osobním údajům přistupovat, provádí na vlastní odpovědnost Nabyvatel. Poskytovatel je však připraven poskytnout Nabyvateli (na jeho žádost) při volbě a implementaci vhodných technických a organizačních opatření souvisejících se zpracováváním osobních údajů prostřednictvím systému Alveno přiměřenou součinnost.

3/10 Strany této smlouvy se vzájemně zavazují poskytovat si při zpracovávání osobních údajů Poskytovatelem veškerou součinnost potřebnou k naplnění požadavků stanovených touto smlouvou, GDPR, příslušnými zákony a jinými obecně závaznými právními předpisy. Závazek součinnosti dle předchozí věty přitom zahrnuje též povinnost Poskytovatele být Nabyvateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Nabyvatelovi povinnosti reagovat na žádosti o výkon práv subjektu údajů. Stejně tak se Poskytovatel zavazuje být Nabyvateli nápomocen při zajišťování souladu s povinností zabezpečení zpracování, při ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, při oznamování případů porušení zabezpečení osobních údajů subjektu údajů, při posouzení vlivu na ochranu osobních údajů a při předchozí konzultaci s Úřadem pro ochranu osobních údajů. K podobné součinnosti se pak zavazuje též Nabyvatel ve vztahu k Poskytovateli.

3/11 Poskytovatel se zavazuje poskytnout Nabyvateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené tímto článkem smlouvy a čl. 28 GDPR, což zahrnuje též povinnost Poskytovatele neprodleně Nabyvatele informovat v případě, že podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy Evropské unie nebo členského státu týkající se ochrany údajů. Poskytovatel se výslovně zavazuje, že při zpracovávání osobních údajů ve smyslu této smlouvy:

  • přijme všechna opatření požadovaná dle čl. 32,
  • bude dodržovat podmínky pro zapojení dalšího zpracovatele uvedená v čl. 28 odst. 2 a 4 GDPR,
    bude zohledňovat povahu zpracování a bude Nabyvateli (v rozsahu, v němž to bude možné) nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinnosti Nabyvatele reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III. GDPR, bude nabyvateli nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 GDPR, to vše při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici. Poskytovatel se zavazuje v nezbytném rozsahu umožnit audity, včetně inspekcí, prováděné Nabyvatelem nebo jiným k tomu Nabyvatelem pověřeným auditorem, a k těmto auditům svou činností přispět.

3/12 Nabyvatel uděluje Poskytovateli obecné písemné povolení ve smyslu čl. 28 odst. 2 GDPR k zapojení případných dalších zpracovatelů do zpracování osobních údajů.

3/13 Nabyvatel se tímto vůči Poskytovateli výslovně zavazuje k dodržování veškerých povinností, které mu – jakožto správci osobních údajů – plynou z této smlouvy, GDPR, příslušných zákonů a jiných obecně závazných právních předpisů. Závazek Nabyvatele dle předchozí věty zahrnuje mj. povinnost zpracovávat toliko osobní údaje, k nimž Nabyvatel, jakožto správce, disponuje platným právním titulem ve smyslu čl. 6 GDPR, a to při dodržení veškerých zásad upravených v čl. 5 GDPR a souvisejících právních povinností. Za tímto účelem se Nabyvatel zavazuje mj. zajistit, že ke zpracovávání osobních údajů prostřednictvím systému Alveno (nebo v souvislosti s ním) bude po celou dobu zpracovávání disponovat platným právním titulem splňujícím požadavky GDPR a dalších právních předpisů. V každém případě, kdy nebude ke zpracovávání osobních údajů disponovat jiným právním titulem, se pak Nabyvatel zavazuje zajistit udělení písemného souhlasu subjektu údajů s tímto zpracováním, a to přímo ve vztahu k systému Alveno. Bez ohledu na právní titul, na jehož základě ke zpracovávání osobních údajů dochází, se pak Nabyvatel zavazuje zajistit též adekvátní informování a poučení dotčených subjektů údajů dle GDPR, a to vč. výslovného upozornění dotčeného subjektu údajů na zpracovávání jeho osobních údajů Poskytovatelem prostřednictvím systému Alveno a s tím související možnost provádění servisních zásahů zaměstnanci či jinými pověřenými zástupci Poskytovatele ve smyslu této smlouvy. V případě porušení jakékoli povinnosti stanovené tímto bodem smlouvy Nabyvateli, se tento zavazuje nahradit Poskytovateli jakoukoli (majetkovou i nemajetkovou) újmu, která Poskytovateli v důsledku daného porušení nebo v souvislosti s ním vznikne.

4 Závěrečná ustanovení
4/1 Doba trvání zpracovávání osobních údajů Poskytovatelem ve smyslu této smlouvy o zpracování odpovídá době trvání licenční smlouvy, tzn. i tato smlouva o zpracování osobních údajů je nedílnou součástí licenční smlouvy a uzavírá se na dobu neurčitou. Tato smlouva může být ukončena způsoby upravenými zejména v obchodních podmínkách, se kterými byl nabyvatel seznámen při uzavírání licenční smlouvy jako takové.