Podmínky zpracování osobních údajů
ve smyslu § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů („Smlouva“ anebo „Podmínky“)
Úvodní ustanovení
(A) Společnost RB recruitment s.r.o. IČ 27784037 Husinecká 903/10, 130 00 Praha 3. Zapsána u Městského soudu v Praze č. C174023.
(„RB recruitment s.r.o.“) vydává tyto podmínky zpracování osobních údajů formou Dodatku k Všeobecným obchodním podmínkám pro podnikatele („VOP“), které upravují smluvní vztahy s podnikateli, do nichž RB recruitment s.r.o. vstupuje v souvislosti s užíváním jejích elektronických systémů.
(B) Na základě VOP a smlouvy o poskytování služeb („Podkladová smlouva“) upravuje tato Smlouva práva a povinnosti mezi společností RB recruitment s.r.o., jakožto zpracovatelem a Klientem, jakožto správcem osobních údajů (společně „Strany“) v souvislosti se zpracováním osobních údajů v elektronických systémech RB recruitment s.r.o..
(C) Účelem těchto Podmínek je řádně upravit veškeré povinnosti, které Stranám vyplývají:
- z Nařízení a z právního předpisu doplňujícího některá ustanovení Nařízení, který po 25. 5. 2018 zruší a nahradí Zákon („Zákon o zpracování OÚ“).
- ze zákona
(D) Na základě § 6 Zákona, resp. článku 28 Nařízení je Správce povinen uzavřít se Zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které Zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, přičemž tyto Podmínky plní právě účel zmíněné písemné smlouvy o zpracování osobních údajů.
(E) Služby poskytované na základě Podkladové smlouvy zahrnují aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů („Zákon“), resp. ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („Nařízení“) přímo aplikovatelného od 25. 5. 2018.
1. Účel smlouvy
1.1 Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování.
1.2 Zpracovatel bude ve smyslu § 4 písm. e) Zákona, resp. článku 4 bodu 2) Nařízení pro Správce zpracovávat osobních údaje, které Správce získal nebo získá v souvislosti se svou podnikatelskou činností nebo které pro Správce za tímto účelem získá samotný Zpracovatel („Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících z Podkladové smlouvy.
2. Předmět smlouvy
2.1 Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů ve smyslu článku 1 Smlouvy.
2.2 Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.
3. Účel a rozsah zpracování osobních údajů
3.1 Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje uchazečů o zaměstnání a také zaměstnanců Správce („Subjekty údajů“) v rozsahu identifikačních údajů, kontaktních údajů, pracovní pozice, údaje týkající se výsledků přijímacích pohovorů či referencí z předchozích zaměstnání, veškeré údaje obsažené v životopisu uchazeče o zaměstnání, popřípadě jakékoliv další údaje, které Správce k danému Subjektu údajů dle svého rozhodnutí přiřadí anebo které Subjekt údajů sám poskytne. Rozsah zpracovávaných údajů se odvíjí od funkcionality příslušného produktu nabízeného Správcem a lze jej změnit dle podmínek uvedených v článku 4 této Smlouvy. Zpracovávanými Osobními údaji mohou být též informace a data získaná obsluhou příslušného produktu RB recruitment s.r.o. vyvolaná aktivitou Subjektů údajů (např. údaje o používání elektronických systémů).
3.2 Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Podkladové smlouvy a pro účely jejich využití Správcem v rámci jeho podnikatelské činnosti, zejména pro správu a evidenci údajů uchazečů o zaměstnání a zaměstnanců Správce.
3.3 V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími (i) ze Zákona, (ii) z Nařízení, (iii) ze Zákona o zpracování OÚ a (iv) z této Smlouvy.
3.4 Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy, nevyplývá-li ze zvláštních právních předpisů jinak.
4. Odměna za služby zpracovatele
4.1 Strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Podkladové smlouvy.
5. Práva a povinnosti zpracovatele
5.1 Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Zákona, zejména § 5 Zákona ve spojení s § 7 Zákona, nebo od data uvedeného v článku 1 této Smlouvy porušení Nařízení či Zákona o zpracování OÚ.
5.2 Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy pokyny Správce. Pokyny musí být udělovány v souladu s touto Smlouvou (většinou prostřednictvím příslušných funkcionalit jednotlitých produktů/služeb) a rozumí se jimi zejména pokyny k aktualizaci, výmazu, změně nebo jinému nakládání s osobními údaji, nikoli však pokyny rozšiřující technicko-organizační opatření nad rámec této Smlouvy. Zpracovatel upozorní Správce na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.
5.3 Jestliže Zpracovatel zjistí, že Správce porušil nebo porušuje povinnosti stanovené Zákonem nebo Nařízením, je v souladu s § 8 Zákona, resp. článku 28 písm. h) věty druhé Nařízení povinen jej na to neprodleně upozornit a v případě, že Správce toto porušení nenapraví do 15 dnů od písemného vyrozumění Zpracovatelem, je Zpracovatel oprávněn ukončit zpracování Osobních údajů.
5.4 Zpracovatel je oprávněn, nikoliv však povinen, plnit za Správce informační povinnost podle § 11 Zákona, resp. článku 13 Nařízení a dále je oprávněn, nikoliv však povinen, na základě žádosti Subjektu údajů nebo Správce poskytnout Subjektu údajů informace podle § 12 Zákona, resp. článku 15 Nařízení.
5.5 Zpracovatel v souladu s § 10 Zákona dbá, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.
5.6 Jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů podle § 21 Zákona, článku 17 Nařízení, je Zpracovatel ve smyslu § 20 Zákona povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci.
5.7 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu se zákonem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů ve smyslu § 21 Zákona požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom informovat Správce.
5.8 Zpracovatel oznámí Správci provedení kontroly Úřadem pro ochranu osobních údajů anebo zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty („Správní řízení“), týká-li se kontrola/správní řízení Osobních údajů zpracovávaných pro Správce anebo parametrů služby, které Správci Zpracovatel poskytuje a lze očekávat, že by provedení kontroly/Správního řízení mohlo těchto parametrů dotknout.
5.9 Správce oznámí Zpracovateli zahájení kontroly Úřadem pro ochranu osobních údajů anebo zahájení Správního řízení, týká-li se kontrola/Správní řízení Osobních údajů zpracovávaných Zpracovatelem pro Správce anebo parametrů služby, které Správci Zpracovatel poskytuje a lze očekávat, že by provedení kontroly/Správního řízení mohlo těchto parametrů dotknout.
5.10 Zpracovatel informuje Správce o případu ztráty či úniku Osobních údajů („Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu. Zpracovatel je i po poskytnutí informace Správci nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.
5.11 Informace dle článku 9 této Smlouvy obsahuje přinejmenším:
(a) popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;
(b) popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;
(c) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
6. Záruky o organizačním a technickém zabezpečení osobních údajů
6.1 Zpracovatel se zavazuje přijmout zejména následující organizační a technická opatření:
(a) aniž by byl dotčen článek 3 této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Zákona, Nařízení či této Smlouvy;
(b) nesvěří zpracování Osobních údajů jakékoliv třetí osobě bez předchozího písemného souhlasu Správce, tím není vyloučen článek 3 a 6.4;
(c) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených zaměstnanců Zpracovatele;
(d) bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
(e) písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;
(f) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel a bude Osobní údaje pravidelně zálohovat;
(g) zajistí dálkový přenos Osobních údajů, buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, zejména prostřednictvím protokolu umožňujícího zabezpečenou komunikaci v počítačové síti. S přihlédnutím k povaze, rozsahu, kontextu a různě závažným rizikům mohou být některé osobní údaje posílány e-mailem;
(h) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to dle parametrů sjednaných pro danou službu v souladu s Podkladovou smlouvou;
(i) zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
(j) při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.
6.2 Zpracovatel se zavazuje, že ve smyslu § 13 odst. 1 Zákona, článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření zabezpečení ochrany Osobních údajů způsobem uvedeným v Zákoně, Nařízení či v jiných závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
6.3 Správce bere na vědomí, že služby některých Dalších zpracovatelů uvedených na Vývěsce mohou spočívat ve zpracování Osobních údajů mimo území EU, tedy v zemích, kde není obecně zajištěna adekvátní ochrana osobních údajů; o této skutečnosti informuje prostřednictvím Vývěsky. Zpracovatel se však zaručuje, že mezi Další zpracovatele zařadí pouze takové, jimž lze do zahraničí předávat ke zpracování osobní údaje pouze na základě dostatečných právních záruk, jak je poskytují články 44 – 49 Nařízení, resp. § 27 Zákona. Pokud by kterékoliv z použitých právních záruk dle předchozí věty byly v budoucnu změněny, zrušeny či prohlášeny příslušným soudem za neplatné a Zpracovatel bude v dobré víře okamžitě hledat náhradní způsob zajištění právních záruk při zpracování Osobních údajů v zahraničí, není Správce oprávněn namítat porušení pravidel dle tohoto článku 5.
6.4 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel prostřednictvím https://www.easy-prace.cz/seznam-zpracovatelu respektive https://www.zivotopisy.cz/seznam-zpracovatelu („Vývěska“) informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky dle podmínek Podkladové smlouvy. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě. Aktuální seznam Dalších zpracovatelů je přístupný na Vývěsce.
6.5 Pokud Zpracovatel zapojí Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Zákona či Nařízení.
6.6 Zpracovatel je ve smyslu § 13 odst. 2 Zákona povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu se Zákonem a jinými právními předpisy.
7. Doba trvání a ukončení smlouvy
7.1 Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Stranami a vyprší nejdříve se zánikem účinnosti Podkladové smlouvy. V případě, že Strany uzavřely nebo v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, zaniká tato Smlouva současně se zánikem této jiné smlouvy, resp. se zánikem účinnosti poslední z takto uzavřených smluv.
7.2 Kterákoli ze Stran je oprávněna tuto Smlouvu vypovědět bez udání důvodu, a to s výpovědní dobou v délce tří (3) měsíců, která začne běžet prvním dnem měsíce následujícího po měsíci, kdy byla výpověď doručena druhé Straně.
7.3 Zpracovatel je oprávněn tuto Smlouvu vypovědět ve lhůtě tří (3) dnů v případě, že Správce porušuje povinnosti vyplývající pro něj ze Zákona, Nařízení či Zákona o zpracování OÚ a Správce nezjedná nápravu závadného stavu do patnácti (15) dnů od oznámení Zpracovatele dle článku 2 této Smlouvy anebo také v případě, kdy Správce nesouhlasí se zapojením Dalšího zpracovatele, vůči kterému podal písemné námitky a pokud dle vyjádření Zpracovatele je tento Další zpracovatel pro plnění této Smlouvy nezbytný.
7.4 Správce je oprávněn tuto Smlouvu vypovědět ve lhůtě tří (3) dnů v případě, že Zpracovatel porušuje povinnosti vyplývající pro něj ze Zákona, Nařízení či Zákona o zpracování OÚ a toto porušení nenapraví do patnácti (15) dnů od písemného vyrozumění Správcem anebo také v případě, kdy Správce nesouhlasí se zapojením Dalšího zpracovatele vůči kterému podal písemné námitky a pokud dle vyjádření Zpracovatele je tento Další zpracovatel pro plnění této Smlouvy nezbytný.
7.5 Zpracovatel je po zániku této Smlouvy povinen dodržovat veškeré povinnosti dle Zákona, a po datu uvedeném v článku 1 této Smlouvy i povinnosti plynoucí z Nařízení či Zákona o zpracování OÚ vedoucí zejména k předejítí jakémukoliv neoprávněnému zpracování s Osobními údaji do doby, než dle pokynů Správce tyto Osobní údaje Zpracovatel předá Správci nebo provede jejich bezpečnou likvidaci.
7.6 Zpracovatel je nabytím účinnosti výpovědi dle článků 2 až 7.4 této Smlouvy povinen Správci veškeré zpracovávané Osobní údaje vrátit nebo je zlikvidovat ve smyslu článku 5.6 této Smlouvy.
7.7 Zánik této Smlouvy představuje skutečnost, díky které se stávají nemožnými veškeré či pouze některé konkrétní druhy činností, které provádí Zpracovatel pro Správce na základě Podkladové smlouvy a jejichž součástí je zpracování Osobních údajů.
7.8 Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
8. Ustanovení související s nabytím účinnosti nařízení
8.1 Správce i Zpracovatel nejpozději ke dni 25. 5. 2018 přijmou veškerá opatření týkající se ochrany osobních údajů stanovená v Nařízení a v Zákoně o zpracování OÚ.
8.2 Po datu uvedeném v článku 1 této Smlouvy se Zpracovatel zavazuje umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje. Správce bere na vědomí, že prováděním auditu nemohou být dotčeny oprávněné zájmy třetích osob (např. jiných správců) či subjektů údajů, zejména pokud jde o zajištění důvěrnosti osobních údajů. Správce také bere na vědomí, že náklady Zpracovatele na provádění auditu by byly předmětem zvláštní dohody o hrazení těchto nákladů Správcem.
8.3 Po datu uvedeném v článku 1 této Smlouvy zůstávají veškerá ustanovení této Smlouvy v platnosti a účinnosti s tím, že povinnosti vyplývající z odkazu na ustanovení Zákona, především uvedené slovy „ve smyslu“, „v souladu“, „podle“ apod., se vykládají v souladu s ustanoveními Nařízení stanovujícími povinnosti svou povahou nejbližší povinnostem dle Zákona.
8.4 Po datu uvedeném v předchozím článku 1 této Smlouvy se Zpracovatel zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů; pokud tyto povinnosti mohou být plněny prostřednictvím funkcionalit jednotlivých produktů, Správce nebude vyžadovat neodůvodněnou součinnost Zpracovatele.
9. Závěrečná ustanovení
9.1 Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad, se budou řídit právním řádem České republiky, zejména Zákonem a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
9.2 Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
9.3 Strany se zavazují vyřešit jakýkoli spor vzniklý v souvislosti s plněním této Smlouvy smírnou cestou. V případě, že se Stranám nepodaří vyřešit spor smírnou cestou do třiceti (30) dnů, je kterákoli ze Stran oprávněna předložit spor věcně a místně příslušnému soudu dle platných a účinných právních předpisů.
9.4 Jakékoliv doplňky či změny této Smlouvy musí být učiněny formou vzestupně číslovaných písemných dodatků podepsaných oprávněnými zástupci obou Stran. Rozsah zpracovávaných osobních údajů uvedený v článku 2 této Smlouvy lze dle funkcionality příslušného produktu rozšířit či jinak změnit bez nutnosti uzavírat dodatek k této Smlouvě či všeobecným obchodním podmínkám.
9.5 Pojmy blíže touto Smlouvou nespecifikované, ale v této Smlouvě uvedené mají význam stanovený ve VOP a v Podkladové smlouvě.
9.6 Tyto Podmínky zavazují Strany v souladu s pravidly stanovenými ve VOP.
Vydáno dne 24.5.2018