Přejít na obsah
Dokumenty

Smlouva o zpracování osobních údajů (DPA)

Data Processing Agreement uzavřená v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi Tenderpool s.r.o. (Zpracovatel) a Zákazníkem (Správce).

Nedílná součást Smlouvy a VOP

Smluvní strany

Mezi obchodní společností Tenderpool s.r.o., IČO: 24320846, se sídlem Příčná 1892/4, Nové Město, 110 00 Praha 1, zapsanou v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 439350 (dále jen „Zpracovatel“ nebo „Poskytovatel“)

a

Zákazníkem, který s Poskytovatelem uzavřel Smlouvu o poskytování služby Tenderpool (dále jen „Správce“ nebo „Zákazník“)

(společně dále jen „Smluvní strany“)

1. Úvodní ustanovení

1.1 Tato Smlouva o zpracování osobních údajů (dále jen „DPA“) upravuje práva a povinnosti Smluvních stran při zpracování osobních údajů v souvislosti s poskytováním Služby Tenderpool na základě Smlouvy a Všeobecných obchodních podmínek (dále jen „VOP“).

1.2 Tato DPA tvoří nedílnou součást Smlouvy a VOP. V případě rozporu mezi touto DPA a VOP mají přednost ustanovení této DPA.

1.3 Pojmy používané v této DPA, které nejsou definovány níže, mají význam stanovený v GDPR nebo ve VOP.

2. Definice

2.1 „Osobní údaje“ – veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu čl. 4 odst. 1 GDPR.

2.2 „Zpracování“ – jakákoli operace nebo soubor operací s Osobními údaji ve smyslu čl. 4 odst. 2 GDPR.

2.3 „Subjekt údajů“ – identifikovaná nebo identifikovatelná fyzická osoba, jejíž Osobní údaje jsou zpracovávány.

2.4 „Porušení zabezpečení osobních údajů“ – porušení zabezpečení ve smyslu čl. 4 odst. 12 GDPR.

2.5 „Další zpracovatel“ – třetí osoba, kterou Zpracovatel zapojuje do zpracování Osobních údajů jménem Správce (subdodavatel).

3. Předmět a účel zpracování

3.1 Zpracovatel zpracovává Osobní údaje jménem Správce výhradně za účelem poskytování Služby, tj. provozu Platformy Tenderpool v režimu SaaS, zahrnující zejména:

  • správu uživatelských účtů a autentizaci Uživatelů,
  • zpracování dat nahraných Zákazníkem do Platformy,
  • generování Výstupů, včetně AI analýzy veřejně dostupné Dokumentace,
  • poskytování zákaznické podpory,
  • zajišťování bezpečnosti a stability Platformy.

3.2 Zpracování je prováděno automatizovaně v rámci Platformy a zahrnuje zejména shromažďování, ukládání, úpravu, vyhledávání, používání, zpřístupnění, omezení a výmaz Osobních údajů.

4. Doba zpracování

4.1 Zpracovatel zpracovává Osobní údaje po dobu trvání Smlouvy a dále po přechodnou dobu stanovenou v čl. 10.6 VOP (nejvýše 30 dnů po ukončení Smlouvy) za účelem umožnění exportu dat a splnění právních povinností.

4.2 Po uplynutí doby dle čl. 4.1 Zpracovatel Osobní údaje vymaže nebo anonymizuje, ledaže právo EU nebo členského státu vyžaduje jejich další uchování.

5. Kategorie subjektů údajů a osobních údajů

5.1 Kategorie subjektů údajů

  • Zaměstnanci a spolupracovníci Zákazníka (Uživatelé Platformy)
  • Kontaktní osoby Zákazníka
  • Fyzické osoby, jejichž údaje jsou obsaženy v Dokumentaci nahrané Zákazníkem do Platformy (např. kontaktní osoby zadavatelů veřejných zakázek)

5.2 Kategorie osobních údajů

  • Identifikační údaje: jméno, příjmení, titul
  • Kontaktní údaje: e-mailová adresa, telefonní číslo
  • Pracovní údaje: název funkce, pracovní pozice, název zaměstnavatele
  • Přihlašovací údaje: e-mail, hashované heslo, IP adresa při přihlášení
  • Další údaje obsažené v Dokumentaci nahrané Zákazníkem

5.3 Zpracovatel nezpracovává záměrně zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pokud takové údaje budou obsaženy v datech nahraných Zákazníkem, odpovídá za zákonnost jejich zpracování Správce.

6. Povinnosti Zpracovatele

6.1 Zpracovatel se zavazuje:

  • zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, přičemž tato DPA a VOP představují obecné pokyny Správce; pokud Zpracovatel obdrží pokyn, který dle jeho názoru porušuje GDPR nebo jiné předpisy, neprodleně o tom Správce informuje,
  • zajistit, aby osoby oprávněné zpracovávat Osobní údaje byly zavázány k mlčenlivosti nebo podléhaly zákonné povinnosti mlčenlivosti,
  • přijmout vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku v souladu s čl. 32 GDPR,
  • nevyužívat Osobní údaje k jiným účelům než k poskytování Služby, s výjimkou anonymizace a agregace dat pro statistické a vývojové účely, pokud takové zpracování neumožňuje identifikaci Subjektu údajů,
  • být Správci nápomocen při plnění povinností reagovat na žádosti Subjektů údajů o výkon jejich práv dle čl. 15–22 GDPR,
  • být Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu na ochranu osobních údajů),
  • po ukončení Smlouvy smazat nebo vrátit Osobní údaje Správci v souladu s čl. 4 této DPA,
  • poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR.

7. Další zpracovatelé (subdodavatelé)

7.1 Správce uděluje Zpracovateli obecné písemné povolení k zapojení Dalších zpracovatelů do zpracování Osobních údajů.

7.2 Aktuální seznam Dalších zpracovatelů je uveden v Příloze 1 této DPA.

7.3 Zpracovatel informuje Správce o přidání nebo změně Dalšího zpracovatele nejméně 14 dnů předem prostřednictvím e-mailu nebo oznámení v uživatelském rozhraní Platformy.

7.4 Správce je oprávněn vznést proti novému Dalšímu zpracovateli odůvodněnou námitku ve lhůtě 14 dnů ode dne doručení oznámení. Pokud není námitka vyřešena do 30 dnů, je Správce oprávněn Smlouvu vypovědět s výpovědní dobou 30 dnů.

7.5 Zpracovatel zajistí, že každý Další zpracovatel bude vázán smluvními podmínkami poskytujícími alespoň stejnou úroveň ochrany Osobních údajů jako tato DPA.

7.6 Zpracovatel odpovídá Správci za plnění povinností Dalších zpracovatelů, jako by je plnil sám.

8. Bezpečnostní opatření

8.1 Zpracovatel přijímá následující technická a organizační opatření k ochraně Osobních údajů:

  • šifrování komunikace (TLS/HTTPS) při přenosu dat mezi Uživatelem a Platformou,
  • řízení přístupových oprávnění na základě principu nejmenších oprávnění (least privilege),
  • autentizace Uživatelů heslem,
  • pravidelné aktualizace softwaru a závislostí,
  • monitoring a logování bezpečnostních událostí,
  • pravidelné zálohování dat,
  • omezení fyzického a vzdáleného přístupu k infrastruktuře,
  • závazek mlčenlivosti zaměstnanců a spolupracovníků Zpracovatele.

8.2 Zpracovatel průběžně vyhodnocuje přiměřenost bezpečnostních opatření s ohledem na stav techniky, náklady na provedení, povahu, rozsah a účely zpracování a pravděpodobnost a závažnost rizik pro práva a svobody Subjektů údajů.

9. Porušení zabezpečení osobních údajů

9.1 Zpracovatel oznámí Správci Porušení zabezpečení osobních údajů bez zbytečného odkladu po jeho zjištění, nejpozději však do 48 hodin.

9.2 Oznámení musí obsahovat alespoň:

  • popis povahy porušení včetně přibližného počtu dotčených Subjektů údajů a záznamů,
  • jméno a kontaktní údaje osoby, od které lze získat další informace,
  • popis pravděpodobných důsledků porušení,
  • popis přijatých nebo navržených opatření ke zmírnění dopadů.

9.3 Zpracovatel přijme přiměřená opatření k omezení dopadů porušení a k obnovení zabezpečení Osobních údajů.

9.4 Zpracovatel poskytne Správci přiměřenou součinnost při plnění povinností Správce dle čl. 33 a 34 GDPR (ohlašování dozorovému úřadu a Subjektům údajů).

10. Audit

10.1 Zpracovatel umožní Správci nebo jím pověřenému auditorovi provést audit souladu s touto DPA a čl. 28 GDPR.

10.2 Správce je oprávněn provést audit maximálně jednou za 12 měsíců, s předchozím písemným oznámením alespoň 30 dnů předem.

10.3 Audit probíhá v pracovní době Zpracovatele a způsobem, který nepřiměřeně nenarušuje provoz Zpracovatele.

10.4 Náklady auditu nese Správce, s výjimkou případů, kdy audit odhalí podstatné porušení povinností Zpracovatele – v takovém případě nese náklady Zpracovatel.

10.5 Auditor je povinen zachovávat mlčenlivost o všech informacích získaných během auditu. Správce zajistí, že auditor bude vázán odpovídající smlouvou o mlčenlivosti.

11. Předávání osobních údajů do třetích zemí

11.1 Zpracovatel nezpřístupní Osobní údaje do třetí země nebo mezinárodní organizaci bez předchozího písemného souhlasu Správce, pokud takové předání není vyžadováno právem EU nebo členského státu.

11.2 Pokud je předání Osobních údajů do třetí země nezbytné pro poskytování Služby (např. využití AI modelů provozovaných poskytovateli se sídlem mimo EHP), Zpracovatel zajistí odpovídající záruky dle kapitoly V GDPR, zejména:

  • rozhodnutí Evropské komise o odpovídající ochraně (čl. 45 GDPR), nebo
  • standardní smluvní doložky (čl. 46 odst. 2 písm. c) GDPR).

11.3 Zpracovatel informuje Správce o jakémkoli předání Osobních údajů mimo EHP a o použitých zárukách.

12. Odpovědnost

12.1 Každá Smluvní strana odpovídá za škodu způsobenou zpracováním, které porušuje GDPR nebo tuto DPA, v rozsahu stanoveném čl. 82 GDPR.

12.2 Omezení odpovědnosti sjednaná ve VOP se použijí i na odpovědnost dle této DPA, pokud to není v rozporu s kogentními ustanoveními GDPR.

13. Závěrečná ustanovení

13.1 Tato DPA se řídí právním řádem České republiky a GDPR.

13.2 Tato DPA nabývá účinnosti dnem uzavření Smlouvy a je účinná po celou dobu trvání Smlouvy a dále po dobu, po kterou Zpracovatel zpracovává Osobní údaje jménem Správce.

13.3 Změny této DPA vyžadují písemnou formu.

13.4 V otázkách neupravených touto DPA se použijí VOP a příslušné právní předpisy.

Příloha 1 – Seznam dalších zpracovatelů

Aktuální k datu účinnosti DPA:

SubdodavatelÚčel zpracováníSídlo / zeměZáruky předání
OpenAI, Inc.AI analýza Dokumentace, generování VýstupůUSADPA OpenAI, SCCs
Poskytovatel hostinguHosting a provoz PlatformyEU/EHPDPA poskytovatele
E-mailový poskytovatelKomunikace se ZákazníkyEU/EHP/USADPA poskytovatele

Související dokumenty