Ochrana osobních údajů (GDPR)

1.1 Tyto zpracovatelské podmínky ("DPA") upravují zpracování osobních údajů v souvislosti s používáním služby Správce majetku – LarvaSystems ("Služba").

1.2 Poskytovatel: LarvaSystems s.r.o., IČO 17706921, se sídlem Habrová 137, 250 66 Zdiby Praha-Východ ("Zpracovatel").

1.3 Zákazník používající Službu ("Objednatel") vystupuje typicky jako správce osobních údajů ("Správce").

1.4 DPA je zveřejněna spolu s VOP a Správce ji odsouhlasí stejným způsobem jako VOP (např. zaškrtnutím pole při registraci/objednání tarifu). Zpracovatel je oprávněn uchovat záznam o odsouhlasení (datum/čas, identifikace účtu, verze VOP/DPA) pro účely prokazatelnosti.

1.5 Kontaktní e-mail pro ochranu osobních údajů a incidenty: info@larvasystems.cz.

2.1 Předmětem DPA je zpracování osobních údajů, které Správce do Služby vloží nebo které vzniknou při používání Služby (např. uživatelské účty, auditní záznamy).

2.2 Povaha zpracování: zejména ukládání, uspořádání, vyhledávání, zobrazování, export, zálohování, zabezpečení a technická správa.

2.3 Účel zpracování: poskytování, provoz, zabezpečení a podpora Služby, včetně řešení incidentů a technických požadavků Správce.

2.4 Doba zpracování: po dobu aktivního používání Služby a dále po dobu nezbytnou pro export a ukončení přístupu dle VOP/DPA a pro splnění právních povinností (v nezbytném rozsahu).

3.1 Kategorie subjektů údajů (typicky): zaměstnanci a spolupracovníci Správce, uživatelé Služby u Správce, případně další osoby evidované Správcem v rámci majetkových procesů.

3.2 Kategorie osobních údajů (typicky dle využití Správce):

• a) identifikační a kontaktní údaje uživatelů (jméno, příjmení, e-mail, role, přihlašovací identifikátory),
• b) provozní a auditní údaje (logy, historie operací, IP adresa v rámci bezpečnostních záznamů),
• c) další údaje vložené Správcem do Služby (např. jména odpovědných osob apod.).

3.3 Zpracování zvláštních kategorií osobních údajů (citlivých) Správce do Služby nevkládá. Pokud k tomu dojde, činí tak Správce na vlastní odpovědnost a Zpracovatel je zpracuje pouze v nezbytném rozsahu pro poskytování Služby.

4.1 Zpracovatel zpracovává osobní údaje pouze na doložitelné pokyny Správce. Pokyny jsou dány zejména nastavením a používáním Služby Správcem a jeho uživateli.

4.2 Pokud by Zpracovatel zjistil, že pokyn je v rozporu s právem EU/ČR (včetně GDPR), informuje o tom Správce bez zbytečného odkladu.

5.1 Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí nebo odpovídající zákonnou povinností mlčenlivosti.

6.1 Zpracovatel přijme přiměřená technická a organizační opatření k zabezpečení osobních údajů, zejména s ohledem na rizika. Typicky:

• a) řízení přístupů a rolí, minimalizace oprávnění,
• b) zabezpečený přenos dat (TLS),
• c) logování administrátorských a bezpečnostních událostí,
• d) pravidelné zálohování a postupy obnovy,
• e) ochrana před neoprávněným přístupem a zneužitím (monitoring, aktualizace, hardening).

6.2 Zálohování: Zpracovatel provádí denní zálohy dat provozních systémů Služby; zálohy jsou uchovávány po dobu 30 dnů (retence 30 dní).

6.3 Konkrétní opatření může Zpracovatel přiměřeně upravovat podle vývoje bezpečnostních standardů a hrozeb, při zachování přiměřené úrovně ochrany.

7.1 Správce uděluje Zpracovateli obecné povolení zapojit další zpracovatele, zejména poskytovatele infrastruktury, hostingu, zálohování, e-mailových služeb a monitoringu, pokud je to nezbytné pro provoz Služby.

7.2 Zpracovatel zajistí, aby další zpracovatelé byli vázáni povinnostmi ochrany osobních údajů alespoň v rozsahu odpovídajícím této DPA.

7.3 Aktuální seznam dalších zpracovatelů je uveden v Příloze 1. O podstatných změnách bude Správce informován (např. e-mailem nebo ve Službě).

8.1 Primární zpracování a uložení dat Správce v rámci Služby probíhá v EU/EHP.

8.2 Pokud by v rámci zapojení dalších zpracovatelů došlo k předání osobních údajů mimo EU/EHP, Zpracovatel zajistí odpovídající záruky dle GDPR (např. standardní smluvní doložky), pokud nejsou aplikovatelné jiné právní výjimky.

9.1 Zpracovatel poskytne Správci přiměřenou součinnost při: a) vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, omezení, přenositelnost, námitka), b) plnění povinností Správce dle čl. 32 až 36 GDPR (zabezpečení, posouzení vlivu, konzultace s dozorovým úřadem), v rozsahu přiměřeném povaze Služby. Pokud si součinnost vyžádá nadstandardní práci, může být zpoplatněna dle podmínek podpory uvedených ve VOP.

10.1 Zpracovatel oznámí Správci bez zbytečného odkladu zjištěné porušení zabezpečení osobních údajů, které má dopad na data Správce, a poskytne dostupné informace potřebné pro splnění povinností Správce (v rozsahu přiměřeném situaci).

11.1 Po ukončení používání Služby umožní Zpracovatel Správci jednorázový export osobních údajů dle VOP. Žádost je vhodné uplatnit nejpozději do 30 dnů.

11.2 Po uplynutí této lhůty Zpracovatel osobní údaje vymaže nebo anonymizuje, pokud jejich delší uchování nevyžadují právní předpisy.

12.1 Zpracovatel poskytne Správci na vyžádání přiměřené informace potřebné k doložení souladu s touto DPA (typicky popis opatření, odpovědi na dotazník).

12.2 Fyzické audity v prostorách třetích stran (datacenter) podléhají pravidlům těchto poskytovatelů. Přímý audit u Zpracovatele je možný pouze v přiměřeném rozsahu a po předchozí dohodě tak, aby nenarušil bezpečnost a provoz.

13.1 Tato DPA se řídí právem České republiky a vykládá se v souladu s GDPR.

13.2 Pokud dojde k rozporu mezi DPA a VOP, má DPA přednost v otázkách zpracování osobních údajů.

13.3 DPA se vztahuje na zpracování osobních údajů v rámci Služby od data účinnosti uvedeného v záhlaví a ve znění platném v okamžiku odsouhlasení.

1) Google Cloud (Google Cloud Platform)

• Poskytovatel: Google (typicky Google Cloud EMEA Limited / Google Ireland Limited nebo jiný příslušný subjekt skupiny Google dle poskytovaných podmínek)
• Účel: cloudová infrastruktura (hosting, databáze, úložiště, síťové služby, zálohování v rámci infrastruktury, monitoring)
• Místo zpracování: EU/EHP (primární uložení a zpracování dat Správce v EU/EHP)

Pozn.: Pokud Zpracovatel zapojí další významné sub-procesory (např. e-mailing, monitoring), doplní je do této přílohy a Správce o podstatné změně informuje dle čl. 7.3.