Dohoda o zpracování údajů

Forward Email dohoda o zpracování údajů

Klíčové pojmy

Termín Hodnota
Dohoda Tato DPA doplňuje Podmínky služby
Schválení subzpracovatelé Cloudflare (USA; poskytovatel DNS, sítí a bezpečnosti), DataPacket (USA/UK; poskytovatel hostingu), Digital Ocean (USA; poskytovatel hostingu), GitHub (USA; hosting zdrojového kódu, CI/CD a řízení projektů), Vultr (USA; poskytovatel hostingu), Stripe (USA; platební procesor), PayPal (USA; platební procesor)
Kontaktní osoba pro bezpečnost poskytovatele security@forwardemail.net
Bezpečnostní politika Zobrazit naši bezpečnostní politiku na GitHubu
Rozhodný stát Stát Delaware, Spojené státy americké

Změny ve Smlouvě

Tento dokument je odvozeninou od Common Paper DPA Standard Terms (Verze 1.0) a byly provedeny následující změny:

  1. Rozhodné právo a vybrané soudy byly zahrnuty jako sekce níže s identifikovaným Rozhodným státem výše.
  2. Vztah poskytovatele služby byl zahrnut jako sekce níže.

1. Vztahy mezi zpracovatelem a subzpracovatelem

1. Poskytovatel jako zpracovatel

V situacích, kdy je Zákazník správcem osobních údajů zákazníka, bude Poskytovatel považován za zpracovatele, který zpracovává osobní údaje jménem Zákazníka.

2. Poskytovatel jako subzpracovatel

V situacích, kdy je Zákazník zpracovatelem osobních údajů zákazníka, bude Poskytovatel považován za subzpracovatele osobních údajů zákazníka.

2. Zpracování

1. Podrobnosti o zpracování

Příloha I(B) na titulní straně popisuje předmět, povahu, účel a dobu trvání tohoto zpracování, stejně jako Kategorie osobních údajů shromažďovaných a Kategorie subjektů údajů.

2. Pokyny ke zpracování

Zákazník dává pokyn Poskytovateli ke zpracování osobních údajů zákazníka: (a) za účelem poskytování a údržby služby; (b) jak může být dále specifikováno prostřednictvím používání služby Zákazníkem; (c) jak je dokumentováno ve Smlouvě; a (d) jak je dokumentováno v jakýchkoli dalších písemných pokynech poskytnutých Zákazníkem a potvrzených Poskytovatelem ohledně zpracování osobních údajů zákazníka podle této DPA. Poskytovatel bude tyto pokyny dodržovat, pokud mu to nebrání platné právní předpisy. Poskytovatel okamžitě informuje Zákazníka, pokud nebude schopen pokyny ke zpracování dodržet. Zákazník dal a bude dávat pouze pokyny, které jsou v souladu s platnými právními předpisy.

3. Zpracování poskytovatelem

Poskytovatel bude zpracovávat osobní údaje zákazníka pouze v souladu s touto DPA, včetně podrobností na titulní straně. Pokud Poskytovatel aktualizuje službu za účelem aktualizace stávajících nebo zahrnutí nových produktů, funkcí nebo funkcionalit, může Poskytovatel změnit Kategorie subjektů údajů, Kategorie osobních údajů, Zvláštní kategorie údajů, Omezení nebo záruky pro zvláštní kategorie údajů, Frekvenci přenosu, Povahu a účel zpracování a Doba trvání zpracování podle potřeby tak, aby odrážely aktualizace, a to oznámením Zákazníkovi o těchto aktualizacích a změnách.

4. Zpracování zákazníkem

Pokud je Zákazník zpracovatelem a Poskytovatel subzpracovatelem, Zákazník bude dodržovat všechny platné právní předpisy, které se vztahují na zpracování osobních údajů zákazníka Zákazníkem. Smlouva Zákazníka se správcem bude obdobně vyžadovat, aby Zákazník dodržoval všechny platné právní předpisy vztahující se na Zákazníka jako zpracovatele. Kromě toho bude Zákazník dodržovat požadavky na subzpracovatele ve smlouvě Zákazníka se správcem.

Zákazník dodržel a bude nadále dodržovat všechny platné zákony na ochranu osobních údajů týkající se poskytování osobních údajů zákazníka Poskytovateli a/nebo službě, včetně všech zveřejnění, získání všech souhlasů, poskytnutí dostatečné volby a zavedení příslušných záruk požadovaných platnými zákony na ochranu osobních údajů.

6. Subzpracovatelé

a. Poskytovatel nebude poskytovat, přenášet ani předávat žádná osobní data zákazníka subzpracovateli, pokud Zákazník neschválil subzpracovatele. Aktuální seznam Schválených subzpracovatelů obsahuje identitu subzpracovatelů, jejich zemi působení a předpokládané úkoly zpracování. Poskytovatel bude Zákazníka informovat nejméně 10 pracovních dnů předem a písemně o jakýchkoli zamýšlených změnách ve Schválených subzpracovatelích, ať už přidáním nebo nahrazením subzpracovatele, což umožní Zákazníkovi mít dostatek času vznést námitky proti změnám před tím, než Poskytovatel začne používat nové subzpracovatele. Poskytovatel poskytne Zákazníkovi informace nezbytné k tomu, aby Zákazník mohl uplatnit své právo vznést námitku proti změně Schválených subzpracovatelů. Zákazník má 30 dní od oznámení změny Schválených subzpracovatelů na vznesení námitky, jinak se má za to, že Zákazník změny akceptuje. Pokud Zákazník vznesl námitku proti změně do 30 dnů od oznámení, Zákazník a Poskytovatel budou jednat v dobré víře, aby vyřešili námitku nebo obavy Zákazníka.

b. Při zapojení subzpracovatele bude mít Poskytovatel písemnou smlouvu se subzpracovatelem, která zajistí, že subzpracovatel bude přistupovat k osobním údajům zákazníka a používat je (i) pouze v rozsahu nezbytném k plnění povinností, které mu byly zadány, a (ii) v souladu s podmínkami Smlouvy.

c. Pokud se na zpracování osobních údajů zákazníka vztahuje GDPR, (i) povinnosti ochrany údajů popsané v této DPA (jak je uvedeno v článku 28 odst. 3 GDPR, pokud je to relevantní) se vztahují také na subzpracovatele, a (ii) smlouva Poskytovatele se subzpracovatelem tyto povinnosti zahrnuje, včetně podrobností o tom, jak Poskytovatel a jeho subzpracovatel budou koordinovat odpovědi na dotazy nebo žádosti týkající se zpracování osobních údajů zákazníka. Navíc Poskytovatel na žádost Zákazníka sdílí kopii svých smluv (včetně případných dodatků) se svými subzpracovateli. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může Poskytovatel před sdílením kopie upravit text své smlouvy se subzpracovatelem.

d. Poskytovatel zůstává plně odpovědný za všechny povinnosti, které přenesl na své subzpracovatele, včetně činů a opomenutí svých subzpracovatelů při zpracování osobních údajů zákazníka. Poskytovatel bude informovat Zákazníka o jakémkoli selhání svých subzpracovatelů splnit podstatnou povinnost týkající se osobních údajů zákazníka podle smlouvy mezi Poskytovatelem a subzpracovatelem.

3. Omezené přenosy

1. Oprávnění

Zákazník souhlasí, že Poskytovatel může přenášet osobní údaje zákazníka mimo EHP, Spojené království nebo jiné relevantní geografické území, pokud je to nezbytné k poskytování služby. Pokud Poskytovatel přenáší osobní údaje zákazníka do území, pro které Evropská komise nebo jiný příslušný dozorový orgán nevydal rozhodnutí o přiměřenosti, Poskytovatel zajistí vhodná opatření pro přenos osobních údajů zákazníka do tohoto území v souladu s platnými zákony o ochraně údajů.

2. Přenosy mimo EHP

Zákazník a Poskytovatel souhlasí, že pokud GDPR chrání přenos osobních údajů zákazníka, přenos je z Zákazníka z EHP do Poskytovatele mimo EHP a přenos není řízen rozhodnutím o přiměřenosti Evropské komise, pak uzavřením této DPA se Zákazník a Poskytovatel považují za podepsané EHP standardní smluvní doložky a jejich přílohy, které jsou tímto začleněny odkazem. Jakýkoli takový přenos se provádí podle EHP standardních smluvních doložek, které jsou vyplněny následovně: a. Modul Dva (Správce k Zpracovateli) EEA SCC se uplatňuje, když je Zákazník Správcem a Poskytovatel Zpracovatelem osobních údajů Zákazníka pro Zákazníka jako Zpracovatel.

b. Modul Tři (Zpracovatel k Podzpracovateli) EEA SCC se uplatňuje, když je Zákazník Zpracovatelem a Poskytovatel Zpracovává osobní údaje Zákazníka jménem Zákazníka jako Podzpracovatel.

c. Pro každý modul platí následující (pokud je to relevantní):

  1. Nepoužívá se volitelná klauzule připojení v článku 7;

  2. V článku 9 platí možnost 2 (obecné písemné povolení) a minimální lhůta pro předchozí oznámení změn Podzpracovatele je 10 pracovních dnů;

  3. V článku 11 se volitelný text neuplatňuje;

  4. Všechny hranaté závorky v článku 13 jsou odstraněny;

  5. V článku 17 (možnost 1) se EEA SCC řídí právem Řídícího členského státu;

  6. V článku 18(b) budou spory řešeny u soudů Řídícího členského státu; a

  7. Úvodní stránka této DPA obsahuje informace požadované v přílohách I, II a III EEA SCC.

3. Přenosy mimo UK

Zákazník a Poskytovatel souhlasí, že pokud UK GDPR chrání přenos osobních údajů Zákazníka, přenos je z Zákazníka uvnitř Spojeného království na Poskytovatele mimo Spojené království a přenos není řízen rozhodnutím o přiměřenosti vydaným britským ministrem zahraničí, pak uzavřením této DPA se Zákazník a Poskytovatel považují za podepsané UK Dodatek a jejich přílohy, které jsou začleněny odkazem. Jakýkoli takový přenos se provádí podle UK Dodatku, který je vyplněn následovně:

a. Oddíl 3.2 této DPA obsahuje informace požadované v tabulce 2 UK Dodatku.

b. Tabulka 4 UK Dodatku je upravena takto: Žádná strana nesmí ukončit UK Dodatek, jak je stanoveno v oddílu 19 UK Dodatku; pokud ICO vydá revidovaný schválený dodatek podle oddílu ‎18 UK Dodatku, strany budou jednat v dobré víře, aby tuto DPA odpovídajícím způsobem upravily.

c. Úvodní stránka obsahuje informace požadované přílohami 1A, 1B, II a III UK Dodatku.

4. Ostatní mezinárodní přenosy

U přenosů osobních údajů, kde se na mezinárodní povahu přenosu vztahuje švýcarské právo (a nikoli právo členského státu EEA nebo Spojeného království), se odkazy na GDPR v článku 4 EEA SCC, pokud je to právně vyžadováno, upravují tak, aby odkazovaly na švýcarský federální zákon o ochraně údajů nebo jeho nástupce, a pojem dozorového úřadu bude zahrnovat švýcarského federálního komisaře pro ochranu údajů a informace.

4. Reakce na bezpečnostní incident

  1. Po zjištění jakéhokoli bezpečnostního incidentu Poskytovatel: (a) bez zbytečného odkladu, pokud je to možné, ale nejpozději do 72 hodin po zjištění bezpečnostního incidentu, oznámí Zákazníkovi; (b) poskytne včasné informace o bezpečnostním incidentu, jakmile budou známy nebo jak je rozumně požadováno Zákazníkem; a (c) neprodleně přijme rozumná opatření k omezení a vyšetření bezpečnostního incidentu. Oznámení nebo reakce Poskytovatele na bezpečnostní incident podle této DPA nebude vykládáno jako přiznání viny nebo odpovědnosti Poskytovatele za bezpečnostní incident.

5. Audit a zprávy

1. Práva na audit

Poskytovatel poskytne Zákazníkovi veškeré informace nezbytné k prokázání souladu s touto DPA a umožní a přispěje k auditům, včetně kontrol ze strany Zákazníka, za účelem posouzení souladu Poskytovatele s touto DPA. Nicméně Poskytovatel může omezit přístup k datům nebo informacím, pokud by přístup Zákazníka k těmto informacím negativně ovlivnil práva duševního vlastnictví Poskytovatele, povinnosti mlčenlivosti nebo jiné povinnosti podle platných právních předpisů. Zákazník bere na vědomí a souhlasí, že svá práva na audit podle této DPA a jakákoli práva na audit udělená platnými zákony o ochraně osobních údajů bude uplatňovat pouze tím, že nařídí Poskytovateli dodržovat níže uvedené požadavky na hlášení a náležitou péči. Poskytovatel bude uchovávat záznamy o svém souladu s touto DPA po dobu 3 let po ukončení DPA.

2. Zprávy o bezpečnosti

Zákazník bere na vědomí, že Poskytovatel je pravidelně auditován nezávislými třetími stranami podle standardů definovaných v Bezpečnostní politice. Na písemnou žádost poskytne Poskytovatel Zákazníkovi důvěrnou kopii souhrnné verze své aktuální zprávy, aby si Zákazník mohl ověřit dodržování standardů definovaných v Bezpečnostní politice.

3. Bezpečnostní due diligence

Kromě Zprávy bude Poskytovatel reagovat na rozumné žádosti o informace ze strany Zákazníka, aby potvrdil dodržování této DPA, včetně odpovědí na dotazníky týkající se informační bezpečnosti, due diligence a auditů, nebo poskytnutím dalších informací o svém programu informační bezpečnosti. Všechny takové žádosti musí být písemné a adresované Kontaktu pro bezpečnost Poskytovatele a mohou být podány pouze jednou ročně.

6. Koordinace a spolupráce

1. Reakce na dotazy

Pokud Poskytovatel obdrží jakýkoli dotaz nebo žádost od kohokoli jiného ohledně zpracování osobních údajů Zákazníka, Poskytovatel o tom informuje Zákazníka a bez předchozího souhlasu Zákazníka na žádost neodpoví. Příklady takových dotazů a žádostí zahrnují soudní, správní nebo regulační příkaz týkající se osobních údajů Zákazníka, pokud oznámení Zákazníkovi není zakázáno platnými právními předpisy, nebo žádost od subjektu údajů. Pokud to dovolují platné právní předpisy, Poskytovatel bude postupovat podle rozumných pokynů Zákazníka ohledně těchto žádostí, včetně poskytování aktualizací stavu a dalších informací, které Zákazník rozumně požaduje. Pokud subjekt údajů učiní platnou žádost podle platných zákonů o ochraně osobních údajů o vymazání nebo odhlášení z poskytování osobních údajů Zákazníka Poskytovateli, Poskytovatel pomůže Zákazníkovi splnit tuto žádost v souladu s platnými zákony o ochraně osobních údajů. Poskytovatel bude spolupracovat a poskytovat rozumnou pomoc Zákazníkovi, na náklady Zákazníka, při jakékoli právní reakci nebo jiném procesním kroku, který Zákazník podnikne v reakci na žádost třetí strany týkající se zpracování osobních údajů Zákazníka podle této DPA.

2. DPIA a DTIA

Pokud to vyžadují platné zákony o ochraně osobních údajů, Poskytovatel rozumně pomůže Zákazníkovi při provádění jakýchkoli povinných posouzení dopadů na ochranu osobních údajů nebo posouzení dopadů přenosu dat a konzultací s příslušnými orgány pro ochranu osobních údajů, přičemž vezme v úvahu povahu zpracování a osobních údajů Zákazníka.

7. Vymazání osobních údajů Zákazníka

1. Vymazání ze strany Zákazníka

Poskytovatel umožní Zákazníkovi vymazat osobní údaje Zákazníka způsobem, který je v souladu s funkcionalitou Služeb. Poskytovatel splní tento pokyn co nejdříve, jak je rozumně možné, kromě případů, kdy další uchovávání osobních údajů Zákazníka vyžaduje platný právní předpis.

2. Vymazání po vypršení platnosti DPA

a. Po vypršení platnosti DPA Poskytovatel vrátí nebo vymaže osobní údaje Zákazníka podle pokynů Zákazníka, pokud další uchovávání osobních údajů Zákazníka nevyžadují nebo neumožňují platné právní předpisy. Pokud je vrácení nebo zničení nepraktické nebo zakázané platnými zákony, Poskytovatel učiní rozumné kroky k zabránění dalšímu zpracování osobních údajů Zákazníka a bude i nadále chránit osobní údaje Zákazníka, které má ve své držbě, správě nebo kontrole. Například platné zákony mohou vyžadovat, aby Poskytovatel pokračoval v hostování nebo zpracování osobních údajů Zákazníka. b. Pokud Zákazník a Poskytovatel uzavřeli EHP SCC nebo dodatky Spojeného království jako součást této DPA, Poskytovatel poskytne Zákazníkovi potvrzení o vymazání osobních údajů popsané v článku 8.1(d) a článku 8.5 EHP SCC pouze v případě, že o něj Zákazník požádá.

8. Omezení odpovědnosti

1. Limity odpovědnosti a vzdání se náhrad škody

V maximálním rozsahu povoleném platnými zákony o ochraně osobních údajů bude celková kumulativní odpovědnost každé strany vůči druhé straně vyplývající z této DPA nebo s ní související podléhat vzdáním se, vyloučením a omezením odpovědnosti uvedeným ve Smlouvě.

Veškeré nároky vznesené proti Poskytovateli nebo jeho přidruženým společnostem vyplývající z této DPA nebo s ní související mohou být vzneseny pouze subjektem Zákazníka, který je stranou Smlouvy.

3. Výjimky

  1. Tato DPA neomezuje žádnou odpovědnost vůči jednotlivci ohledně jeho práv na ochranu osobních údajů podle platných zákonů o ochraně osobních údajů. Navíc tato DPA neomezuje žádnou odpovědnost mezi stranami za porušení EHP SCC nebo dodatků Spojeného království.

9. Konflikty mezi dokumenty

  1. Tato DPA je součástí a doplňuje Smlouvu. Pokud existuje jakákoli nesrovnalost mezi touto DPA, Smlouvou nebo jejich částmi, řídí se nesrovnalost částí uvedených dříve před částmi uvedenými později v tomto pořadí: (1) EHP SCC nebo dodatky Spojeného království, (2) tato DPA, a poté (3) Smlouva.

10. Doba trvání smlouvy

Tato DPA začne platit, když Poskytovatel a Zákazník odsouhlasí úvodní stránku DPA a podepíší nebo elektronicky přijmou Smlouvu, a bude pokračovat až do vypršení platnosti nebo ukončení Smlouvy. Nicméně Poskytovatel a Zákazník zůstanou vázáni povinnostmi této DPA a platnými zákony o ochraně osobních údajů, dokud Zákazník nepřestane přenášet osobní údaje zákazníka Poskytovateli a Poskytovatel nepřestane zpracovávat osobní údaje zákazníka.

11. Rozhodné právo a vybrané soudy

Bez ohledu na ustanovení o rozhodném právu nebo podobná ustanovení ve Smlouvě se veškeré výklady a spory týkající se této DPA řídí právem Rozhodného státu bez ohledu na jeho kolizní normy. Navíc, bez ohledu na ustanovení o výběru fóra, jurisdikci nebo podobná ustanovení ve Smlouvě, se strany dohodly, že veškeré právní žaloby, akce nebo řízení týkající se této DPA budou vedeny a každá strana se neodvolatelně podřizuje výlučné jurisdikci soudů Rozhodného státu.

12. Vztah poskytovatele služeb

V rozsahu, v jakém se vztahuje Kalifornský zákon o ochraně soukromí spotřebitelů, Cal. Civ. Code § 1798.100 a násl. ("CCPA"), strany potvrzují a souhlasí, že Poskytovatel je poskytovatelem služeb a přijímá osobní údaje od Zákazníka za účelem poskytování služby dle dohody ve Smlouvě, což představuje obchodní účel. Poskytovatel nebude prodávat žádné osobní údaje poskytnuté Zákazníkem podle Smlouvy. Dále Poskytovatel nebude uchovávat, používat ani zveřejňovat žádné osobní údaje poskytnuté Zákazníkem podle Smlouvy kromě případů nezbytných pro poskytování služby Zákazníkovi, jak je uvedeno ve Smlouvě, nebo jak je povoleno platnými zákony o ochraně osobních údajů. Poskytovatel potvrzuje, že rozumí omezením tohoto odstavce.

13. Definice

  1. „Použitelné zákony“ znamenají zákony, pravidla, předpisy, soudní příkazy a další závazné požadavky příslušného vládního orgánu, které se vztahují na nebo upravují stranu.

  2. „Použitelné zákony na ochranu údajů“ znamenají Použitelné zákony, které upravují, jak může Služba zpracovávat nebo používat osobní informace, osobní údaje, osobně identifikovatelné informace nebo jiný podobný termín jednotlivce.

  3. „Správce“ bude mít význam(y) uvedené v Použitelných zákonech na ochranu údajů pro společnost, která určuje účel a rozsah zpracování osobních údajů.

  4. „Úvodní stránka“ znamená dokument, který je podepsán nebo elektronicky přijat stranami a který obsahuje tyto Standardní podmínky DPA a identifikuje Poskytovatele, Zákazníka a předmět a podrobnosti zpracování údajů.

  5. „Osobní údaje zákazníka“ znamenají osobní údaje, které Zákazník nahraje nebo poskytne Poskytovateli jako součást Služby a které jsou upraveny touto DPA.

  6. „DPA“ znamená tyto Standardní podmínky DPA, Úvodní stránku mezi Poskytovatelem a Zákazníkem a zásady a dokumenty uvedené v Úvodní stránce nebo k ní přiložené.

  7. „EEA SCCs“ znamenají standardní smluvní doložky připojené k prováděcímu rozhodnutí Evropské komise 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro přenos osobních údajů do třetích zemí podle nařízení (EU) 2016/679 Evropského parlamentu a Rady.

  8. „Evropský hospodářský prostor“ nebo „EHP“ znamená členské státy Evropské unie, Norsko, Island a Lichtenštejnsko.

  9. „GDPR“ znamená nařízení Evropské unie 2016/679, jak je implementováno místními zákony v příslušném členském státě EHP.

  10. „Osobní údaje“ budou mít význam(y) uvedené v Použitelných zákonech na ochranu údajů pro osobní informace, osobní údaje nebo jiný podobný termín.

  11. „Zpracování“ nebo „Zpracovávat“ bude mít význam(y) uvedené v Použitelných zákonech na ochranu údajů pro jakékoli použití nebo provedení počítačové operace na osobních údajích, včetně automatických metod.

  12. „Zpracovatel“ bude mít význam(y) uvedené v Použitelných zákonech na ochranu údajů pro společnost, která zpracovává osobní údaje jménem správce.

  13. „Zpráva“ znamená auditní zprávy připravené jinou společností podle standardů definovaných v Bezpečnostní politice jménem Poskytovatele.

  14. „Omezený přenos“ znamená (a) pokud se vztahuje GDPR, přenos osobních údajů z EHP do země mimo EHP, která není předmětem rozhodnutí o přiměřenosti Evropské komise; a (b) pokud se vztahuje UK GDPR, přenos osobních údajů z Velké Británie do jakékoli jiné země, která není předmětem předpisů o přiměřenosti přijatých podle oddílu 17A britského zákona o ochraně údajů z roku 2018.

  15. „Bezpečnostní incident“ znamená porušení osobních údajů, jak je definováno v článku 4 GDPR.

  16. „Služba“ znamená produkt a/nebo služby popsané v Smlouvě.

  17. „Zvláštní kategorie údajů“ bude mít význam uvedený v článku 9 GDPR.

  18. „Subzpracovatel“ bude mít význam(y) uvedené v Použitelných zákonech na ochranu údajů pro společnost, která s schválením a přijetím správce pomáhá zpracovateli se zpracováním osobních údajů jménem správce.

  19. „UK GDPR“ znamená nařízení Evropské unie 2016/679, jak je implementováno oddílem 3 britského zákona o vystoupení z Evropské unie (Withdrawal) Act z roku 2018 ve Velké Británii.

  20. „UK dodatěk“ znamená mezinárodní dodatek k přenosu údajů k EEA SCCs vydaný Úřadem pro informace pro strany provádějící omezené přenosy podle S119A(1) zákona o ochraně údajů z roku 2018.

Poděkování

Tento dokument je odvozeninou Common Paper DPA Standard Terms (Verze 1.0) a je licencován pod CC BY 4.0.