Smlouva o zpracování údajů

1. Definice

• „Osobní údaje“ znamenají jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby („Subjekt údajů“), jak je definováno v článku 4(1) GDPR.
• „Zpracování“ znamená jakoukoli operaci nebo soubor operací prováděných s osobními údaji, ať již automatizovanými prostředky či nikoli, včetně shromažďování, zaznamenávání, organizace, strukturování, ukládání, přizpůsobení, vyhledávání, nahlížení, použití, zpřístupnění přenosem, šíření, výmazu nebo likvidace.
• „Dílčí zpracovatel“ znamená jakoukoli třetí stranu, kterou Zpracovatel pověřil zpracováním osobních údajů jménem Správce.
• „Subjekt údajů“ znamená identifikovanou nebo identifikovatelnou fyzickou osobu, ke které se Osobní údaje vztahují.
• „GDPR“ znamená obecné nařízení o ochraně osobních údajů (EU) 2016/679 Evropského parlamentu a Rady.
• „Standardní smluvní doložky“ (SCC) znamenají smluvní doložky schválené Evropskou komisí pro předávání osobních údajů do třetích zemí.

2. Rozsah a účel

Zpracovatel zpracovává osobní údaje jménem Správce výhradně pro následující účely:

• Poskytování služby INCI API, včetně analýzy ingrediencí, vyhledávání produktů, hodnocení bezpečnosti, detekce alergenů a analýzy kompatibility s pletí
• Správa účtu, autentizace a autorizace
• Sledování používání, omezování rychlosti a fakturace
• Zlepšování služby, sledování výkonu a analytika
• Zákaznická podpora a komunikace

Zpracovatel nezpracovává osobní údaje pro žádný jiný účel, než jak je uvedeno v této DPA nebo jak je písemně zdokumentováno Správcem.

3. Typy zpracovávaných osobních údajů

• Údaje účtu: jméno, e-mailová adresa, hashované heslo
• Údaje o používání API: protokoly požadavků, časová razítka, IP adresy, použité koncové body, kódy odpovědí, identifikátory API klíčů
• Fakturační údaje: úroveň předplatného, metadata platebních metod (úplné platební údaje zpracovává výhradně Stripe a nikdy nejsou uloženy na našich serverech)
• Technické údaje: typ prohlížeče, informace o zařízení, operační systém, odkazující URL (shromažďované prostřednictvím analytiky pro zlepšení služby)

Zpracovatel nezpracovává zvláštní kategorie osobních údajů (článek 9 GDPR) ani osobní údaje týkající se odsouzení v trestních věcech (článek 10 GDPR).

4. Kategorie subjektů údajů

Osobní údaje zpracovávané podle této DPA se týkají následujících kategorií subjektů údajů:

• Zaměstnanci a smluvní pracovníci Zákazníka, kteří přistupují k INCI API a používají jej
• Koncoví uživatelé aplikací Zákazníka, které integrují INCI API (v rozsahu, v jakém jsou jejich data přenášena prostřednictvím požadavků API)

5. Povinnosti zpracovatele

Zpracovatel:

1. Zpracovává osobní údaje pouze na základě zdokumentovaných pokynů Správce, včetně předávání osobních údajů do třetí země, pokud to není požadováno právem Unie nebo členského státu, kterému Zpracovatel podléhá
2. Zajišťuje, aby osoby oprávněné ke zpracování osobních údajů přijaly závazek mlčenlivosti nebo aby se na ně vztahovala odpovídající zákonná povinnost mlčenlivosti
3. Zavádí odpovídající technická a organizační bezpečnostní opatření, jak vyžaduje článek 32 GDPR, k zajištění úrovně zabezpečení odpovídající riziku
4. Nepověří jiného zpracovatele (dílčího zpracovatele) bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přidání nebo nahrazení dílčích zpracovatelů, čímž poskytne Správci možnost vznést námitku
5. S přihlédnutím k povaze zpracování pomáhá Správci vhodnými technickými a organizačními opatřeními, pokud je to možné, při plnění povinnosti Správce reagovat na žádosti o uplatnění práv subjektu údajů
6. Pomáhá Správci při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR s přihlédnutím k povaze zpracování a informacím dostupným Zpracovateli
7. Podle volby Správce smaže nebo vrátí všechny osobní údaje Správci po skončení poskytování služeb a smaže existující kopie, pokud právo Unie nebo členského státu nevyžaduje uchovávání osobních údajů
8. Poskytne Správci všechny informace nezbytné k prokázání souladu s povinnostmi stanovenými v článku 28 GDPR a umožní a přispěje k auditům, včetně inspekcí, prováděným Správcem nebo jiným auditorem pověřeným Správcem

6. Bezpečnostní opatření

Zpracovatel zavádí následující technická a organizační opatření na ochranu osobních údajů v souladu s článkem 32 GDPR:

• Šifrování při přenosu: Veškerá data přenášená mezi klienty a servery jsou šifrována pomocí TLS 1.2 nebo vyšší (HTTPS)
• Šifrování v klidu: Úložiště databáze používá šifrování v klidu MongoDB pro všechny uložené osobní údaje
• Řízení přístupu: Autentizace přes JWT tokeny a API klíče; řízení přístupu na základě rolí; princip nejnižších oprávnění
• Zabezpečení hesel: Uživatelská hesla jsou ukládána pomocí hashování bcrypt s odpovídajícími nákladovými faktory; API klíče jsou ukládány jako bezpečné hashe
• Bezpečnost infrastruktury: Infrastruktura s firewallem (UFW s omezenými porty), pravidelné bezpečnostní aktualizace a záplatování
• Umístění serveru: Infrastruktura DigitalOcean (v současné době v USA; plánuje se migrace do datového centra EU/EHP)
• Platební údaje: Žádné ukládání údajů platebních karet na našich serverech. Veškeré zpracování plateb provádí Stripe, který udržuje soulad s PCI DSS úrovně 1
• Monitoring: Automatizované monitorování, logování a upozorňování na bezpečnostní události a anomálie

7. Dílčí zpracovatelé

Správce uděluje Zpracovateli obecné povolení zapojit následující dílčí zpracovatele. Zpracovatel oznámí Správci jakékoli zamýšlené změny týkající se přidání nebo nahrazení dílčích zpracovatelů s nejméně 30denním předchozím písemným oznámením, čímž poskytne Správci možnost vznést námitku proti takovým změnám.

Pokud Správce vznese námitku proti novému dílčímu zpracovateli z důvodných důvodů souvisejících s ochranou údajů, strany záležitost projednají v dobré víře. Pokud do 30 dnů nebude dosaženo řešení, Správce může bez sankce ukončit dotčené služby.

8. Předávání údajů

Osobní údaje mohou být předávány do zemí mimo Evropskou unii a Evropský hospodářský prostor a tam zpracovávány. Pokud k takovým předáváním dochází, Zpracovatel zajistí, aby byly zavedeny vhodné záruky v souladu s kapitolou V GDPR, včetně:

• Standardních smluvních doložek (SCC) schválených Evropskou komisí (prováděcí rozhodnutí Komise (EU) 2021/914)
• Rozhodnutí o odpovídající ochraně přijatých Evropskou komisí, pokud jsou použitelná
• Dalších technických a organizačních opatření doplňujících mechanismy přenosu, kde je to nezbytné, v souladu s rozhodnutím Schrems II (věc C-311/18)

9. Oznámení porušení zabezpečení údajů

Zpracovatel oznámí Správci bez zbytečného odkladu, a v každém případě do 72 hodin, poté, co se dozví o porušení zabezpečení osobních údajů ve smyslu článku 4(12) GDPR. Oznámení zahrnuje:

• Popis povahy porušení zabezpečení osobních údajů, včetně kategorií a přibližného počtu dotčených subjektů údajů a záznamů
• Jméno a kontaktní údaje kontaktní osoby pro ochranu údajů, od níž lze získat další informace
• Popis pravděpodobných důsledků porušení
• Popis opatření přijatých nebo navrhovaných k řešení porušení, včetně opatření ke zmírnění jeho možných nepříznivých účinků

Zpracovatel bude spolupracovat se Správcem a podnikne přiměřené obchodní kroky k pomoci při vyšetřování, zmírňování a nápravě každého takového porušení.

10. Práva subjektů údajů

Zpracovatel pomáhá Správci při plnění jeho povinností reagovat na žádosti subjektů údajů o uplatnění jejich práv podle kapitoly III GDPR, včetně:

• Práva na přístup (článek 15)
• Práva na opravu (článek 16)
• Práva na výmaz / práva být zapomenut (článek 17)
• Práva na omezení zpracování (článek 18)
• Práva na přenositelnost údajů (článek 20)
• Práva vznést námitku (článek 21)

Pokud Zpracovatel obdrží žádost přímo od subjektu údajů, neprodleně o tom informuje Správce a na žádost neodpoví bez předchozího písemného povolení Správce, pokud k tomu není zákonem zavázán.

11. Práva na audit

Správce může auditovat soulad Zpracovatele s touto DPA. Audity podléhají následujícím podmínkám:

• Správce poskytne nejméně 30denní předchozí písemné oznámení
• Audity se provádějí nejvýše jednou za kalendářní rok, pokud to nevyžaduje dozorový úřad nebo nedojde k porušení zabezpečení osobních údajů
• Audity se provádějí v běžných pracovních hodinách a nesmějí nepřiměřeně zasahovat do provozu Zpracovatele
• Správce nese náklady na audit, s výjimkou případů, kdy audit odhalí podstatné porušení ze strany Zpracovatele
• Správce může pověřit kvalifikovaného nezávislého auditora třetí strany, s výhradou přiměřených povinností mlčenlivosti

12. Doba trvání a ukončení

Tato DPA zůstává v platnosti po dobu trvání servisní smlouvy mezi stranami. Po ukončení servisní smlouvy:

• Zpracovatel podle volby Správce smaže nebo vrátí všechny osobní údaje do 30 dnů od data ukončení
• Zpracovatel smaže existující kopie osobních údajů, pokud právo Unie nebo členského státu nevyžaduje jejich uchovávání (např. daňové a finanční záznamy podle španělského práva)
• Zpracovatel poskytne písemné potvrzení o smazání na žádost Správce

13. Rozhodné právo

Tato DPA se řídí a vykládá v souladu se zákony Španělského království, bez ohledu na jeho ustanovení o kolizi právních řádů. Na všechny záležitosti týkající se zpracování osobních údajů se vztahuje GDPR. Jakékoli spory vyplývající z této DPA podléhají výlučné jurisdikci soudů Kanárských ostrovů, Španělsko (Santa Cruz de Tenerife).

14. Kontakt

S dotazy, obavami nebo žádostmi týkajícími se této Smlouvy o zpracování údajů nás prosím kontaktujte: