SMLOUVA O ZPRACOVÁNÍ DAT EasySIGN

Tato smlouva o zpracování údajů tvoří nedílnou součást smlouvy. Uživatel je ve Smlouvě odpovědný (dále jen „Správce“) za osobní údaje. EasySIGN BV je ve Smlouvě zpracovatelem (dále jen „zpracovatel“) osobních údajů. Poté budou obě strany uváděny jako správce nebo zpracovatel.

ZATÍMCO

Smluvní strany se dohodly, že Správce používá Zpracovatele jako dodavatele softwaru pro grafický produkční software EasySIGN. Zpracovatel zpracovává osobní údaje Správce v rámci plnění smlouvy.

Aby Strany mohly provádět svůj vztah způsobem v souladu se zákonem, uzavřely Strany tuto Smlouvu o zpracování údajů (dále jen „DPA“) takto:
 
1. Definice
Pro účely tohoto DPA:  
„Použitelný zákon o ochraně údajů“ : právní předpisy, které chrání základní práva a svobody fyzických osob a zejména jejich právo na soukromí v souvislosti se zpracováním osobních údajů, které právní předpisy se vztahují na Správce a zpracovatele; pojem Aplikovatelné právo na ochranu osobních údajů zahrnuje také GDPR;    
"Ovladač" : Výše ​​uvedený zákazník EasySIGN, který jako fyzická nebo právnická osoba sám nebo společně s jinými určuje účely a prostředky Zpracování osobních údajů;    
„HDP“ : nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které nabylo účinnosti dne 25. května 2018;    
"Mezinárodní organizace" : organizace a její podřízené subjekty, které se řídí mezinárodním právem veřejným, nebo jakýkoli jiný subjekt, který je zřízen dohodou mezi dvěma nebo více zeměmi nebo na jejím základě;    
"Členský stát" : země patřící do Evropské unie;    
"Osobní data" : veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (subjekt údajů);    
"Předmět údajů" : identifikovatelná osoba, kterou lze přímo či nepřímo identifikovat, zejména pomocí identifikátoru, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor nebo pomocí jednoho či více prvků charakteristických pro fyzické, fyziologické, genetické, duševní, ekonomická, kulturní nebo sociální identita této fyzické osoby;
„Porušení osobních údajů“ : porušení zabezpečení vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zpřístupnění přenášených, uchovávaných nebo jinak zpracovávaných osobních údajů nebo k přístupu k nim;    
"Zpracování/zpracování" : jakákoli operace nebo soubor operací, které jsou prováděny s Osobními údaji nebo se soubory Osobních údajů, ať už automatizovanými prostředky či nikoli, jako je shromažďování, zaznamenávání, organizace, strukturování, ukládání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, zpřístupnění přenosem, šířením nebo jiným zpřístupněním, zarovnáním nebo kombinací, omezením, vymazáním nebo zničením;
"Procesor" : EasySIGN BV, která zpracovává Osobní údaje jménem Správce;
„Dohoda mezi zákazníkem a EasySIGN při vstupu do Předplatné" : hlavní smlouva uzavřená mezi Správcem a Zpracovatelem, která stanoví podmínky poskytování Služeb;    
„Služby“ : služby poskytované Zpracovatelem Správci a popsané v části „Předmět zpracování“ v Příloze 1 k tomuto DPA;    
"Zvláštní kategorie osobních údajů" : osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech; Zpracování genetických údajů a biometrických údajů za účelem jednoznačné identifikace fyzické osoby, údajů o zdraví nebo údajů o sexuálním životě nebo sexuální orientaci fyzické osoby;    
"Podprocesor" : zpracovatel údajů najatý Zpracovatelem, který prohlašuje, že je ochoten přijímat od Zpracovatele Osobní údaje určené výhradně pro Zpracovatelské činnosti, které musí být provedeny pro Správce v souladu s jeho pokyny, podmínkami této DPA a podmínkami písemného subdodavatele. -smlouva o zpracování;    
„Dozorový úřad“ : nezávislý orgán veřejné moci zřízený členským státem podle článku 51 GDPR;    
„Technické a organizační   Bezpečnostní opatření" : opatření zaměřená na ochranu osobních údajů před náhodným zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, zejména pokud zpracování zahrnuje přenos údajů po síti, a proti všem dalším nezákonným formám zpracování;    
"Třetí země” : země, o které Evropská komise nerozhodla, že tato země nebo oblast nebo jeden či více specifikovaných sektorů v této zemi zaručuje odpovídající úroveň ochrany údajů.
2. Podrobnosti o zpracování
Podrobnosti o činnostech zpracování, které zpracovatel provádí pro správce jako zpracovatele údajů, který k tomu obdržel pokyny (jako je předmět, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů) jsou uvedeny v příloze 1 této DPA.

3. Práva a povinnosti Správce
Správce uložil zpracovateli a po dobu zpracování údajů, ke kterému byl tento pokyn dán, bude zpracovatele ukládat, aby osobní údaje zpracovával výhradně pro správce a v souladu s příslušným zákonem o ochraně údajů, smlouvou mezi zákazníkem a EasySIGN při uzavření předplatného, ​​tohoto DPA a pokynů Správce. Správce je oprávněn a povinen dávat zpracovateli pokyny ke zpracování osobních údajů, a to jak obecně, tak v jednotlivých případech. Pokyny se mohou týkat také opravy, výmazu a blokování osobních údajů. Pokyny jsou zpravidla poskytovány písemně, pokud naléhavost nebo jiné zvláštní okolnosti nevyžadují jinou formu (např. ústní nebo elektronickou). Nepsané pokyny Správce neprodleně písemně potvrdí. Pokud provedení pokynu vede k nákladům pro zpracovatele, zpracovatel o těchto nákladech nejprve informuje správce. Zpracovatel provede pokyn až poté, co Správce potvrdí, že nese náklady na provedení tohoto pokynu.

4. Povinnosti zpracovatele
Procesor bude:
  1. zpracovávat Osobní údaje výhradně podle pokynů Správce a jménem Správce; takové pokyny jsou uvedeny ve smlouvě mezi zákazníkem a EasySIGN při uzavírání předplatného, ​​v tomto DPA a jinak v dokumentované formě, jak je uvedeno v článku 3 výše. Tato povinnost řídit se pokyny Správce se vztahuje i na předávání Osobních údajů do třetí země nebo mezinárodní organizace;
  2. neprodleně informovat Správce, pokud Zpracovatel není z jakéhokoli důvodu schopen splnit pokyn Správce;
  3. zajistit, aby se osoby pověřené Zpracovatelem ke zpracování Osobních údajů jménem Správce zavázaly zachovávat mlčenlivost nebo aby tyto osoby podléhaly přiměřené povinnosti mlčenlivosti a aby osoby, které mají k Osobním údajům přístup, tyto Osobní údaje zpracovávaly. Údaje v souladu s pokyny Správce;
  4. zavést Technická a organizační bezpečnostní opatření, která splňují požadavky příslušného zákona o ochraně údajů, jak je dále specifikováno v příloze č. 2, před Zpracováním Osobních údajů a zajistit, že poskytne Správci dostatečné záruky ohledně těchto Technicko-organizačních bezpečnostních opatření;
  5. pomáhat správci prostřednictvím vhodných technických a organizačních opatření v proveditelném rozsahu pro splnění povinnosti správce odpovídat na žádosti o výkon práv Subjektů údajů týkající se informací, přístupu, opravy a výmazu, omezení zpracování , oznamování, přenositelnost dat, podávání námitek a automatizované rozhodování; pokud tato proveditelná Technická a organizační opatření vyžadují změny nebo úpravy v Technických a organizačních opatřeních uvedených v Příloze 2, bude Zpracovatel informovat Správce o nákladech na implementaci těchto dodatečných nebo změněných Technických a organizačních opatření. Jakmile Správce potvrdí, že tyto náklady jdou na jeho účet, zavede Zpracovatel tato dodatečná nebo změněná Technická a organizační opatření, aby pomohla Správci zajistit vyhovění požadavkům subjektů údajů;
  6. zpřístupnit správci veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v této DPA a článku 28 GDPR a umožnit a přispívat k auditům, včetně kontrol prováděných správcem nebo jiným auditorem pověřeným správcem. Správce si je vědom toho, že audity prováděné osobně a na místě mohou významně narušit obchodní operace zpracovatele, stát spoustu peněz a být časově náročné. V souladu s tím může Správce provést audit osobně a na místě pouze v případě, že uhradí náklady, které Zpracovateli vznikly v důsledku přerušení jeho obchodní činnosti;
  7. bez zbytečného odkladu informovat Správce:
    i.
    jakékoli právně závazné žádosti o zpřístupnění Osobních údajů ze strany orgánu činného v trestním řízení, pokud toto oznámení není jinak zakázáno, jako je například trestněprávní zákaz k zachování důvěrnosti vyšetřování činných v trestním řízení;
    ii.
    stížností a žádostí obdržených přímo od subjektů údajů (například stížnosti a žádosti týkající se přístupu, opravy, výmazu, omezení zpracování, oznámení, přenositelnosti údajů, námitek proti zpracování údajů a automatizovaného rozhodování), aniž by se tato žádost dále zabývala není-li k tomu oprávněna jinak;
    iii.
    je-li Zpracovatel povinen na základě právních předpisů EU nebo právních předpisů členského státu, které se na něj vztahují, zpracovávat Osobní údaje nad rámec pokynů Správce, před provedením tohoto zpracování nad tento rozsah, ledaže by legislativa nebo právní předpisy EU tohoto členského státu zakazuje tyto informace ze závažných důvodů veřejného zájmu; oznámení musí uvádět zákonný požadavek podle těchto právních předpisů EU nebo právních předpisů členského státu;
    iv.
    pokud je podle názoru zpracovatele pokyn v rozporu s příslušným zákonem o ochraně údajů; pokud toto vyrozumí, Zpracovatel není povinen se pokyny řídit, pokud a dokud je Správce nepotvrdí nebo nezmění; a
    v.
    jakmile se Zpracovatel dozví o porušení ochrany osobních údajů, a to nejpozději do 24 hodin. Dojde-li k takovému porušení ochrany osobních údajů, je zpracovatel na základě písemné žádosti správce nápomocen správci s jeho povinností podle platného zákona o ochraně osobních údajů oznámit porušení ochrany osobních údajů subjektům údajů nebo dozorovému úřadu a doložit porušení ochrany osobních údajů . Kontaktní údaje týkající se hlášení jsou zaznamenány v systému klientských služeb. Kontaktní osoby jsou uvedeny v příloze této smlouvy;
  8. pomáhat správci při posouzení dopadu na ochranu osobních údajů, jak je požadováno podle článku 35 GDPR, týkajícího se služeb poskytovaných zpracovatelem správci a osobních údajů, které zpracovatel zpracovává pro správce;
  9. vyřizovat veškeré dotazy Správce týkající se jeho zpracování osobních údajů (například umožnit správci pohotově reagovat na stížnosti či žádosti subjektů údajů) a řídit se radami dozorového úřadu ohledně zpracování předávaných data;
  10. pokud je povinna a žádána opravit, vymazat a/nebo zablokovat osobní údaje, které se zpracovávají podle této DPA, učiňte tak neprodleně. Pokud a pokud nelze Osobní údaje vymazat z důvodu zákonných požadavků na uchovávání údajů, Zpracovatel namísto výmazu příslušných Osobních údajů omezí další Zpracování a/nebo použití Osobních údajů nebo odstraní odpovídající identitu z Osobních údajů. („blokování“). Pokud se na Zpracovatele taková povinnost blokování vztahuje, Zpracovatel vymaže příslušné Osobní údaje nejpozději do posledního dne kalendářního roku, ve kterém končí doba uchovávání.
 
5. Subprocessing
 
  1. Správce uděluje svolení k použití dílčího zpracovatele(ů), které Zpracovatel najal pro poskytování Služeb. Správce uděluje souhlas pro dílčího zpracovatele, pokud jde o:
    WebWhales Internetový obchod Woocommerce
    Hubspot CRM
    Copernica CRM
    Vedoucí týmu CRM
    U-digitální Poskytovatel marketingových služeb
    Hotjar Online nástroj pro záznam chování
    Mollie Poskytovatel platebních služeb
    Přesně online Cloudové vedení účetnictví
    Automatizace služeb Libra Poskytovatel počítačových služeb
    Microsoft Office 365 Cloudový e-mail a tabulky
    Wibu Cloudový správce licencí
    Google Google Analytics
    S těmito stranami byly uzavřeny zpracovatelské smlouvy, které zpřístupnili.
  2. V případě, že Zpracovatel má v úmyslu zapojit nové nebo více dílčích zpracovatelů, Zpracovatel zajistí, že EasySIGN 'Zásady ochrany osobních údajů' (https://www.easysign.com/about-us/privacy-policy/) je aktualizován. Správce zajišťuje pravidelnou konzultaci „Zásad ochrany osobních údajů“ EasySIGN. Pokud má správce přiměřené důvody vznést námitku proti používání nových nebo více dílčích zpracovatelů, musí o tom správce neprodleně písemně informovat zpracovatele, a to do 14 dnů od obdržení dílčího zpracovatele oznámení. V případě, že správce vznese námitky proti novému nebo jinému dílčímu zpracovateli a uchovávání nebude nepřiměřené, vynaloží zpracovatel přiměřené úsilí, aby provedl změny ve Službách, které má správce k dispozici, nebo doporučí obchodně přiměřenou změnu konfigurace správce nebo používání Služeb Správcem k zamezení zpracování Osobních údajů novým nebo jiným Dílčím zpracovatelem, proti kterému byly vzneseny námitky, aniž by to pro Správce nepřiměřeně zatěžovalo. Pokud Zpracovatel není schopen tuto změnu zpřístupnit v přiměřené lhůtě, která nepřesáhne šedesát (60) dnů, může Správce ukončit příslušnou část dotčené části „Smluvních podmínek“ (https://www.easysign.com/about-us/general-terms-and-conditions/), avšak pouze s ohledem na ty Služby, které Zpracovatel nemůže poskytnout bez použití nového nebo jiného Dílčího zpracovatele, vůči němuž byla vznesena námitka formou písemného oznámení Zpracovateli.
  3. Zpracovatel smluvně uloží všem dílčím zpracovatelům stejnou povinnost ochrany údajů, jako je zahrnuta v tomto DPA. Smlouva mezi zpracovatelem a dílčím zpracovatelem musí zejména poskytovat dostatečné záruky pro implementaci technických a organizačních bezpečnostních opatření uvedených v příloze 2, pokud jsou tato technická a organizační bezpečnostní opatření důležitá pro služby poskytované dílčím zpracovatelem. .
  4. Zpracovatel vybírá Dílčího zpracovatele s maximální pečlivostí.
  5. Pokud se takový dílčí zpracovatel nachází ve třetí zemi, uzavře zpracovatel na písemnou žádost správce jménem správce (jménem správce) vzorovou smlouvu EU (správce > zpracovatel) v souladu s rozhodnutím Komise 2010/87/EU. V tomto případě dává Správce pokyn a zmocňuje zpracovatele, aby dával dílčím zpracovatelům pokyny jménem správce a aby vymáhal všechna práva správce ve vztahu k dílčím zpracovatelům podle vzorové smlouvy EU.
  6. Zpracovatel zůstává vůči správci odpovědný za splnění povinností dílčího zpracovatele, pokud tento dílčí zpracovatel své povinnosti neplní. Zpracovatel však nenese odpovědnost za žádné škody/ztráty a nároky vyplývající z pokynů správce vůči dílčím zpracovatelům.
 
6. Omezení odpovědnosti
Veškerá odpovědnost vyplývající z této DPA nebo v souvislosti s ní se řídí a řídí se výhradně ustanoveními o odpovědnosti uvedenými v „Smluvních podmínkách“ nebo se na ně jinak vztahují. Proto a pro účely výpočtu limitů odpovědnosti a/nebo určení použití jiných omezení odpovědnosti se bude mít za to, že jakákoli odpovědnost vyplývající z této DPA vzniká podle příslušných „Smluvních podmínek“.

7. Doba trvání a ukončení
  1. Doba trvání této DPA je stejná jako doba platnosti příslušných „Smluvních podmínek“. Pokud není v této smlouvě stanoveno jinak, práva a povinnosti v oblasti ukončení jsou stejné jako ty, které jsou uvedeny v příslušných „Podmínkách a ustanoveních“.
  2. Zpracovatel na první žádost Správce vymaže nebo vrátí Správci po ukončení poskytování Služeb všechny Osobní údaje a vymaže všechny existující kopie, pokud není Zpracovatel povinen tyto Osobní údaje uchovávat podle EU nebo členského státu. Státní právo.
 
8. Smíšený
  1. V případě rozporu mezi ustanoveními této DPA a jakýmikoli jinými dohodami mezi Stranami mají s ohledem na povinnosti stran v oblasti ochrany údajů přednost ustanovení této DPA. V případě pochybností o tom, zda se ustanovení těchto jiných dohod vztahují k povinnostem smluvních stran v oblasti ochrany údajů, má přednost tato DPA.
  2. Neplatnost nebo nevymahatelnost jakéhokoli ustanovení této DPA nemá vliv na platnost nebo vymahatelnost zbývajících ustanovení této DPA. Neplatné nebo nevymahatelné ustanovení je (i) změněno tak, aby byla zaručena jeho platnost nebo vymahatelnost a zároveň byly v maximální možné míře zachovány úmysly smluvních stran nebo – pokud to není možné – (ii) jako by neplatná nebo nevymahatelná část v něm nebyla nikdy zahrnuta. Výše uvedené platí i v případě, že tento DPA obsahuje opomenutí
  3. Tato DPA se řídí stejným zákonem jako smlouva mezi zákazníkem a EasySIGN při uzavírání předplatného, ​​s výjimkou rozsahu, v němž platí závazný platný zákon o ochraně údajů.
  4. Tato smlouva o zpracování podléhá nizozemskému právu. Jakékoli spory týkající se jejich implementace budou předloženy příslušnému soudu v Eindhovenu
   
Jménem zpracovatele:
Celé jméno: Paul Schoofs
Pozice: Generální ředitel
Adresa: Melkweg 5, 5527 CZ Hapert
Datum: 21 2022 března
Podpis:
 

Příloha 1 – Kategorie subjektů údajů
Předávané osobní údaje se týkají následujících kategorií subjektů údajů:
  • Firmy
  • Zákazníci zákazníka
  • Zaměstnanci
  • Dodavatelé
 
Předmět zpracování
Využití softwaru pro návrh a výrobu nápisů a další grafickou produkci.

Povaha a účel zpracování
Zpracovatel shromažďuje, uchovává, zpracovává a používá Osobní údaje Subjektů údajů jménem Správce za účelem plnění smlouvy, včetně:
  • Řízení úkolů, schůzek a hovorů;
  • Přidávání osobních údajů do nástrojů CRM za účelem sledování e-mailů, správy kontaktů a společností;
  • Sledování prodejního procesu;
  • Fakturace;
  • Registrace času;
  • Vytváření a správa support ticketů (včetně jejich statistik)
  • Tvorba a řízení cílů
  • Voice-over-IP
 
Typ osobních údajů
Osobní údaje shromažďované, zpracovávané a používané zpracovatelem jménem správce se týkají následujících kategorií osobních údajů: údaje o používání a kontaktní údaje, konkrétněji: Abonnementsgegevens:
  • požadované předplatné;
  • uživatelské jméno;
  • Heslo;
  Vaše údaje:
  • křestní jméno a příjmení;
  • telefonní číslo;
  • emailová adresa;
  • voorkeurtaal;
  Podrobnosti o vaší společnosti:
  • Jméno společnosti;
  • fakturační adresa;
  • PSČ a město;
  • země;
  • emailová adresa;
  • DIČ;
  Platební detaily:
  • IBAN a přípis.
Kontaktní osoba v případě narušení bezpečnosti
Bude to osoba, která byla jmenována jako kontaktní osoba pro dohodu. To lze zjistit po přihlášení do www.EasySIGN.com v části Moje podrobnosti.

Kontakt s procesorem
Compliance & Privacy Manager: EasySIGN BV, Paul Schoofs support@easysign.com

Příloha 2 – List bezpečnostních opatření
Popis technických a organizačních bezpečnostních opatření zavedených zpracovatelem v souladu s platným zákonem o ochraně osobních údajů: Tato příloha popisuje Technická a organizační bezpečnostní opatření a postupy, které musí zpracovatel dodržovat minimálně za účelem ochrany bezpečnosti osobních údajů vytvořených, shromážděných, přijatých nebo jinak získané.

obecně
Technická a organizační opatření lze považovat za stav techniky v době uzavření smlouvy o poskytování služeb. Zpracovatel vyhodnotí technická a organizační opatření v čase s přihlédnutím k nákladům na realizaci, povaze, rozsahu, kontextu a cílům zpracování a k riziku rozdílů v míře pravděpodobnosti a závažnosti pro práva a svobody fyzických osob.

Podrobná technická opatření
  Logické řízení přístupu do systémů EasySIGN pomocí hesel:
  • Všichni zaměstnanci EasySIGN jsou informováni o „sociálním inženýrství“ a jsou vůči němu opatrní;
  EasySIGN monitoruje své systémy 24/7:
  • Dostupnost se měří každých pět minut.
  • Monitorování (virtuálních) serverů EasySIGN je prováděno kvalifikovaným týmem provozních inženýrů a vývojářů, přičemž lze u jednotlivých strojů a služeb měřit, zda jsou dostupné a zda poskytují výkon nezbytný pro splnění dohodnutých úrovní služeb. Upozornění se odehrávají přes Whatsapp a e-mailem.
V závislosti na konfiguraci zákazníků EasySIGN obvykle částečně funguje v cloudu. To znamená, že přihlašovací licence vyžadují dostupnost datových center Wibu Systems (subdodavatel Claranet GmbH) a Webwhales Woocommerce. Provoz a dostupnost zákaznických licenčních přístupových systémů nezávisí na lokálních serverech v naší kanceláři v Hapertu. EasySIGN používá bezpečnostní protokoly SSL. Je zaveden adekvátní a aktuální mechanismus pro detekci a zacházení se škodlivým softwarem, včetně počítačových virů. K osobním údajům mají přístup pouze oprávněné osoby. Zaměstnanci mají přísnou povinnost mlčenlivosti, která je obsažena v pracovní smlouvě. Budova má poplašný systém a je monitorována 24/7 mimo úřední hodiny. V úředních hodinách jsou dveře zavřené a přístup je možný pouze po domluvě a pod vedením pracovníka EasySIGN.

Záznam souborů
  Všechny akce uživatele jsou protokolovány a ukládány po neomezenou dobu. Protokoly se skládají z následujících součástí:
  • Příchozí pošta: všechny zprávy odeslané do EasySIGN
  • Web a software EasySIGN: všechny akce, které uživatel provádí pomocí EasySIGN, a všechny chyby, které z toho vyplývají;
  V protokolech jsou uvedeny následující osobní údaje:
  • Uživatelské jméno
  • název počítače
  • uživatelské ID
  • IP adresa
  • E-mailová adresa / úplný e-mail
Pomocí těchto údajů je možné zjistit, kdo je tento uživatel a co tato osoba provedla. EasySIGN ukládá „Document Workflow Status“ v souborech protokolu na dobu neurčitou, a proto jej také ukládá na dobu neurčitou. V tomto protokolu můžete vždy zkontrolovat, jaké akce byly provedeny s dokumenty, akce jako udělení licence, změna názvu, otevření, smazání, rozdělení, seskupení, export, vykreslení, chybové zprávy atd. Tato data protokolu jsou uložena na produkčních serverech v databázích protokolů. Toto je jiná databáze než databáze webového obchodu WooCommerce.  

Otázky?

Můžete nás kdykoli kontaktovat, pokud máte dotazy týkající se vašeho soukromí nebo údajů, které jsme o vás shromáždili. Dostat se do kontaktu s náš tým podpory.

Are you ready to make things EASY?

FREE TRIAL Není potřeba žádná karta