Smlouva o zpracování zakázek (AVV]
podle čl. 28 odst. 3 obecného nařízení o ochraně osobních údajů (GDPR]
§ 1 Předmět a trvání zakázky
(1] Tato smlouva upravuje práva a povinnosti stran v souvislosti se zpracováním osobních údajů zpracovatelem (zpracovatel zakázek] na zakázku zákazníka (správce]. Použije se na veškeré činnosti, při kterých mohou zaměstnanci zpracovatele nebo jím pověřené třetí strany přijít do kontaktu s osobními údaji správce.
(2] Doba platnosti této dohody se řídí dobou platnosti hlavní smlouvy o používání softwaru "BusWay". Automaticky končí ukončením hlavní smlouvy, pokud neexistují zákonné povinnosti uchovávání.
§ 2 Druh a účel zpracování
(1] Zpracovatel poskytuje správci platformu Software-as-a-Service (SaaS]. Zpracování zahrnuje shromažďování, ukládání, vyhodnocování a poskytování dat na podporu provozních procesů.
(2] Účelem zpracování je digitální instruktáž Route/Line, navigace personálu Trip, správa informací o trasách a technické zajištění provozu softwaru.
§ 3 Druh dat a okruh dotčených osob
(1] Kategorie dotčených osob: Zaměstnanci zákazníka (řidiči, dispečeři, administrátoři].
(2] Druh zpracovávaných osobních údajů:
- Identifikační údaje (uživatelské jméno, e-mailová adresa, jméno a příjmení].
- Údaje o poloze a pohybu (GPS souřadnice během aktivního používání aplikace, průběh tras].
- Metadata zařízení (IP adresa, ID zařízení, verze operačního systému, verze aplikace].
- Údaje o používání (časová razítka přihlášení, vytvořené nebo projeté trasy, synchronizační protokoly].
§ 4 Povinnosti zpracovatele
(1] Zpracovatel zpracovává osobní údaje výhradně v rámci uzavřených dohod a podle pokynů správce, pokud mu zákonné předpisy neukládají jiné zpracování.
(2] Zpracovatel zaručuje, že všechny osoby, které jsou oprávněny ke zpracování osobních údajů, se zavázaly k mlčenlivosti nebo podléhají přiměřené zákonné povinnosti mlčenlivosti.
(3] Zpracovatel přijímá všechna nezbytná opatření podle čl. 32 GDPR (bezpečnost zpracování], aby zajistil úroveň ochrany odpovídající riziku.
(4] Zpracovatel podporuje správce při dodržování povinností uvedených v čl. 32 až 36 GDPR (např. hlášení porušení ochrany osobních údajů] podle svých nejlepších schopností.
§ 5 Povinnosti správce
(1] Správce nese výhradní odpovědnost za posouzení přípustnosti zpracování podle čl. 6 odst. 1 GDPR a za ochranu práv dotčených osob (např. informování zaměstnanců o GPS lokalizaci].
(2] Správce uděluje své pokyny zpravidla používáním funkcí softwaru (např. vytváření nebo mazání uživatelů]. Ústní pokyny musí být neprodleně potvrzeny písemně nebo v textové formě (e-mail].
§ 6 Technicko-organizační opatření (TOM]
(1] Zpracovatel přijal vhodná technická a organizační opatření k ochraně dat před neoprávněným přístupem, ztrátou nebo změnou.
- Důvěrnost: Šifrování přenosu dat (SSL/TLS], ochrana heslem (Hashing], kontroly přístupu.
- Integrita: Kontrola vstupu, protokolování systémových přístupů, oddělení klientských dat (logické oddělení].
- Dostupnost: Pravidelné zálohy, redundantní serverová infrastruktura, nouzové plány (Disaster Recovery].
- Zatížitelnost: Nasazení škálovatelné cloudové infrastruktury a pravidelná kontrola bezpečnosti systému.
§ 7 Subdodavatelské vztahy
(1] Správce uděluje zpracovateli obecný souhlas s přizváním dalších zpracovatelů (subdodavatelů] k plnění smluvních povinností.
(2] Zpracovatel informuje správce o každé zamýšlené změně týkající se přizvání nebo nahrazení dalších zpracovatelů. Správce má právo vznést námitku.
(3] Aktuálně nasazení subdodavatelé jsou uvedeni v příloze k této smlouvě.
§ 8 Kontrolní práva
(1] Správce má právo v přiměřeném rozsahu kontrolovat dodržování zákonných předpisů a ustanovení této smlouvy u zpracovatele. Protože se jedná o řešení SaaS, může být důkaz předložen prioritně prostřednictvím certifikátů nebo atestů nezávislých třetích stran.
§ 9 Výmaz a vrácení dat
(1] Po ukončení poskytování služeb zpracování vymaže zpracovatel všechny osobní údaje nebo je vrátí správci, pokud neexistuje zákonná povinnost uchovávání.
§ 10 Závěrečná ustanovení
(1] Pokud by jednotlivé části této dohody byly neúčinné, nemá to vliv na účinnost ostatních ustanovení.
(2] Platí právo Spolkové republiky Německo. Místem jurisdikce je sídlo zpracovatele.
Zpracovatel využívá k plnění svých služeb následující poskytovatele služeb:
| Služba | Poskytovatel služeb | Umístění serveru |
|---|---|---|
| Hosting, databáze & Backend | Strato AG | Berlín / Karlsruhe, DE |
| Mapová data & Geokódování | Google Cloud EMEA | Dublin, IE (EU] |
| Prodejce / Merchant of Record | Paddle.com Market Ltd | Londýn, UK (rozhodnutí o odpovídající ochraně] |