Dohoda o spracovaní údajov (AVV]
podľa článku 28 ods. 3 Všeobecného nariadenia o ochrane údajov (GDPR]
§ 1 Predmet a trvanie zákazky
(1] Táto dohoda upravuje práva a povinnosti strán v súvislosti so spracovaním osobných údajov sprostredkovateľom (spracovateľom] na základe poverenia zákazníka (prevádzkovateľa]. Vzťahuje sa na všetky činnosti, pri ktorých môžu zamestnanci sprostredkovateľa alebo tretie strany poverené sprostredkovateľom prísť do kontaktu s osobnými údajmi prevádzkovateľa.
(2] Trvanie tejto dohody sa riadi trvaním hlavnej zmluvy o používaní softvéru "BusWay". Automaticky sa končí ukončením hlavnej zmluvy, pokiaľ neexistujú zákonné povinnosti uchovávania.
§ 2 Druh a účel spracovania
(1] Spracovateľ poskytuje správcovi platformu Software-as-a-Service (SaaS]. Spracovanie zahŕňa zhromažďovanie, ukladanie, vyhodnocovanie a poskytovanie údajov na podporu prevádzkových procesov.
(2] Účelom spracovania je digitálne prideľovanie Route/Line, navigácia personálu Trip, správa informácií o trasách, ako aj technické zabezpečenie prevádzky softvéru.
§ 3 Druh údajov a okruh dotknutých osôb
(1] Kategórie dotknutých osôb: Zamestnanci zákazníka (vodiči, dispečeri, administrátori].
(2] Druh spracúvaných osobných údajov:
- Identifikačné údaje (používateľské meno, e-mailová adresa, meno a priezvisko].
- Údaje o polohe a pohybe (GPS súradnice počas aktívneho používania aplikácie, priebehy trás].
- Metaúdaje zariadenia (IP adresa, ID zariadenia, verzia operačného systému, verzia aplikácie].
- Údaje o používaní (časové pečiatky prihlásení, vytvorené alebo prejdené trasy, synchronizačné protokoly].
§ 4 Povinnosti spracovateľa
(1] Spracovateľ spracúva osobné údaje výlučne v rámci dohodnutých dohôd a podľa pokynov správcu, pokiaľ nie je k inému spracovaniu povinný na základe zákonných predpisov.
(2] Spracovateľ zaručuje, že všetky osoby, ktoré sú oprávnené na spracovanie osobných údajov, sa zaviazali k mlčanlivosti alebo podliehajú primeranej zákonnej povinnosti mlčanlivosti.
(3] Spracovateľ prijme všetky potrebné opatrenia podľa čl. 32 GDPR (Bezpečnosť spracovania] na zabezpečenie úrovne ochrany primeranej riziku.
(4] Spracovateľ podporuje správcu pri dodržiavaní povinností uvedených v čl. 32 až 36 GDPR (napr. hlásenie porušení ochrany osobných údajov] podľa svojich najlepších možností.
§ 5 Povinnosti správcu
(1] Správca nesie výhradnú zodpovednosť za posúdenie prípustnosti spracovania podľa čl. 6 ods. 1 GDPR, ako aj za ochranu práv dotknutých osôb (napr. informovanie zamestnancov o GPS lokalizácii].
(2] Správca udeľuje svoje pokyny spravidla prostredníctvom používania funkcií softvéru (napr. vytváranie alebo mazanie používateľov]. Ústne pokyny je potrebné bezodkladne potvrdiť písomne alebo v textovej forme (e-mailom].
§ 6 Technicko-organizačné opatrenia (TOM]
(1] Spracovateľ prijal vhodné technické a organizačné opatrenia na ochranu údajov pred neoprávneným prístupom, stratou alebo zmenou.
- Dôvernosť: Šifrovanie prenosu údajov (SSL/TLS], ochrana heslom (Hashing], kontroly prístupu.
- Integrita: Kontrola vstupu, protokolovanie prístupov do systému, oddelenie údajov klientov (logické oddelenie].
- Dostupnosť: Pravidelné zálohy, redundantná serverová infraštruktúra, núdzové plány (Disaster Recovery].
- Zaťažiteľnosť: Nasadenie škálovateľných cloudových infraštruktúr a pravidelná kontrola bezpečnosti systému.
§ 7 Subdodávateľské vzťahy
(1] Správca udeľuje spracovateľovi všeobecné povolenie na prizvanie ďalších spracovateľov (subdodávateľov] na plnenie zmluvných povinností.
(2] Spracovateľ informuje správcu o každej zamýšľanej zmene týkajúcej sa prizvania alebo nahradenia ďalších spracovateľov. Správca má právo namietať.
(3] Aktuálne používaní subdodávatelia sú uvedení v prílohe k tejto zmluve.
§ 8 Kontrolné práva
(1] Správca má právo v primeranom rozsahu kontrolovať dodržiavanie zákonných predpisov a ustanovení tejto zmluvy u spracovateľa. Keďže ide o riešenie SaaS, dôkaz sa môže prednostne poskytnúť prostredníctvom certifikátov alebo posudkov nezávislých tretích strán.
§ 9 Vymazanie a vrátenie údajov
(1] Po ukončení poskytovania služieb spracovania spracovateľ vymaže všetky osobné údaje alebo ich vráti správcovi, pokiaľ neexistuje zákonná povinnosť uchovávania.
§ 10 Záverečné ustanovenia
(1] Ak by boli jednotlivé časti tejto dohody neúčinné, nedotýka sa to účinnosti ostatných ustanovení.
(2] Platí právo Spolkovej republiky Nemecko. Miestom jurisdikcie je sídlo spracovateľa.
Spracovateľ využíva na plnenie svojich služieb nasledujúcich poskytovateľov služieb:
| Služba | Poskytovateľ služieb | Umiestnenie servera |
|---|---|---|
| Hosting, databáza & Backend | Strato AG | Berlín / Karlsruhe, DE |
| Údaje o mapách & Geocoding | Google Cloud EMEA | Dublin, IE (EÚ] |
| Reseller / Merchant of Record | Paddle.com Market Ltd | Londýn, UK (rozhodnutie o primeranosti] |