Smlouva o zpracování osobních údajů (DPA)

Článek 1 — Smluvní strany

Správce: Organizace (spolek, SVJ, zájmové sdružení) registrovaná na platformě sprav.cz, zastoupená administrátorem organizace ("Správce" nebo "Organizace").

Zpracovatel: TimeDeals Pavelka, Berglistrasse 28a, 8180 Bülach, Švýcarsko, UID: CHE-393.597.780, provozovatel platformy sprav.cz ("Zpracovatel").

Článek 2 — Předmět a doba trvání

2.1 Zpracovatel zpracovává osobní údaje jménem Správce výhradně za účelem poskytování služeb platformy sprav.cz (správa členství, hlasování, dokumenty, komunikace, auditní záznamy).

2.2 Tato smlouva je účinná po dobu používání platformy Správcem. Po ukončení používání se uplatní ustanovení o vrácení a výmazu údajů (čl. 9).

Článek 3 — Povaha a účel zpracování

• Správa členské základny organizace
• Provoz elektronického hlasování a generování záznamů o výsledcích
• Ukládání a zpřístupňování dokumentů členům organizace
• Vedení auditní stopy činností v organizaci
• Odesílání transakčních e-mailů jménem organizace
• Provoz interní komunikace (fórum, zprávy)

Článek 4 — Kategorie údajů a subjektů

Subjekty údajů:

• Členové organizace
• Administrátoři organizace
• Osoby, které podaly žádost o členství

Kategorie údajů:

• Identifikační údaje: e-mailová adresa, jméno (je-li uvedeno)
• Členské údaje: příslušnost k organizaci, role, stav členství
• Hlasovací záznamy: odevzdané hlasy, čas hlasování
• Komunikační údaje: příspěvky na fóru, zprávy
• Dokumenty nahrané do systému
• Auditní záznamy: kdo/co/kdy v kontextu organizace
• Záznamy o doručení e-mailů

Článek 5 — Povinnosti zpracovatele

• 5.1 Pokyny Správce: Zpracovatel zpracovává údaje výhradně na základě doložených pokynů Správce, včetně pokynů obsažených v této smlouvě a v rámci funkcionality platformy. Správce uděluje pokyny prostřednictvím nastavení a akcí v platformě.
• 5.2 Důvěrnost: Zpracovatel zajistí, že osoby oprávněné zpracovávat údaje se zavázaly k mlčenlivosti.
• 5.3 Bezpečnost: Zpracovatel implementuje přiměřená technická a organizační opatření dle čl. 32 GDPR (viz stránka Zabezpečení a Zásady ochrany údajů, bod 11).
• 5.4 Součinnost: Zpracovatel poskytne Správci přiměřenou součinnost při plnění povinností dle čl. 32–36 GDPR (bezpečnost, oznámení porušení, posouzení vlivu).
• 5.5 Práva subjektů: Zpracovatel pomůže Správci při vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, přenositelnost).
• 5.6 Oznámení porušení: Zpracovatel bez zbytečného odkladu (nejpozději do 48 hodin) informuje Správce o jakémkoli porušení zabezpečení osobních údajů.
• 5.7 Omezení přístupu zpracovatele: Zpracovatel přistupuje k osobním údajům členů organizace výhradně za účelem technické údržby, řešení chyb a zabezpečení systému. Zpracovatel nepřistupuje k obsahu hlasování, diskusí, zpráv ani dokumentů organizace, pokud to není nezbytné pro vyřešení technického problému na žádost správce organizace. Přístup zpracovatele k údajům je technicky omezen a zaznamenán v audit logu.

Článek 6 — Dílčí zpracovatelé (subprocessors)

6.1 Správce souhlasí s použitím následujících dílčích zpracovatelů:

6.2 Zpracovatel informuje Správce o zamýšlených změnách dílčích zpracovatelů s předstihem 30 dnů. Správce může proti změně vznést námitku; pokud tak učiní a zpracovatel trvá na změně, má Správce právo smlouvu vypovědět.

6.3 Zpracovatel zajistí, že každý dílčí zpracovatel poskytuje alespoň stejnou úroveň ochrany osobních údajů, jaká je stanovena touto smlouvou a příslušnými právními předpisy (GDPR / revDSG), zejména prostřednictvím smluvních závazků.

6.4 Zpracovatel odpovídá Správci za jednání a opomenutí dílčích zpracovatelů, jako by šlo o jeho vlastní jednání.

Článek 7 — Předání údajů do třetích zemí

7.1 Předání údajů do Švýcarska je kryto rozhodnutím Evropské komise o přiměřenosti. Předání do USA (Vercel, Postmark, Stripe, Sentry) je zajištěno prostřednictvím EU-U.S. Data Privacy Framework.

7.2 Pro zpracování osobních údajů subjektů ve Švýcarsku se tato ustanovení uplatní v souladu s revidovaným švýcarským zákonem o ochraně osobních údajů (revDSG).

7.3 V případě, že by přestalo platit rozhodnutí o přiměřenosti, budou přenosy do třetích zemí zajištěny prostřednictvím standardních smluvních doložek (SCC).

Článek 8 — Audit

8.1 Zpracovatel umožní Správci nebo jím pověřenému nezávislému auditorovi přístup k informacím nezbytným k prokázání plnění povinností dle čl. 28 GDPR, a to v přiměřeném rozsahu a po předchozím oznámení (min. 30 dní předem).

8.2 Zpracovatel může audit podmínit podpisem dohody o mlčenlivosti ze strany auditora.

Článek 9 — Vrácení a výmaz údajů

9.1 Po ukončení používání platformy Správcem umožní Zpracovatel export dat organizace (členové, hlasování, dokumenty, audit) ve strojově čitelném formátu.

9.2 Po uplynutí přiměřené lhůty pro export (60 dní) Zpracovatel vymaže údaje organizace, s výjimkou údajů, jejichž uchování vyžaduje zákon nebo oprávněný zájem (auditní logy, důkazy o doručení).

Článek 10 — Závěrečná ustanovení

10.1 Tato smlouva se řídí švýcarským právem. Pro řešení sporů jsou příslušné soudy v Bülach, Švýcarsko.

10.2 Tato smlouva nabývá účinnosti okamžikem přijetí administrátorem organizace v platformě (zaškrtnutí souhlasu při registraci organizace nebo v nastavení organizace). Přijetí je zaznamenáno s časovým razítkem.

10.3 V případě rozporu mezi touto smlouvou a Podmínkami používání má přednost tato smlouva v rozsahu ochrany osobních údajů.