Dodatek o zpracování osobních údajů

Tento dodatek o zpracování osobních údajů (dále jen DPA) upravuje zpracování osobních údajů při používání služby Slotio a tvoří součást smluvního rámce mezi zákazníkem služby Slotio jako správcem a společností ByteWoods, spol. s r.o., IČO 01849883, DIČ CZ01849883, č.ev. 7, 739 36 Sedliště, Česká republika, jako zpracovatelem.

Pokud je mezi hlavní smlouvou, obchodními podmínkami a tímto DPA rozpor ve věcech ochrany osobních údajů, použije se tento DPA. Obchodní podmínky zůstávají použitelné v ostatních otázkách.

Zákazník určuje účely a prostředky zpracování klientských osobních údajů vložených do Slotio a vystupuje jako správce. ByteWoods zpracovává tyto údaje jako zpracovatel pouze jménem správce, v rozsahu nezbytném k poskytování služby a podle jeho doložených pokynů, ledaže zpracování vyžaduje právní předpis.

Za doložené pokyny se považují zejména nastavení služby, akce oprávněných uživatelů v administraci a běžné používání objednaných funkcí. Pokud by pokyn podle názoru zpracovatele porušoval právní předpisy na ochranu osobních údajů, zpracovatel na to správce bez zbytečného odkladu upozorní, pokud mu v tom nebrání zákon.

Zpracování trvá po dobu používání služby a následně po dobu nezbytnou pro export, odstranění dat, běžný zálohovací cyklus, bezpečnost, audit a plnění právních povinností.

Zpracování může zahrnovat sběr, uložení, uspořádání, vyhledání, zobrazení, použití, přenos notifikací, zálohování a odstranění údajů. Účelem je provoz rezervačního SaaS, správa rezervací, související komunikace, podpora a zabezpečení služby.

• Subjekty údajů: koncoví zákazníci správce, osoby vytvářející rezervaci a další osoby, jejichž údaje správce oprávněně vloží do Slotio.
• Typy údajů: identifikační údaje, kontaktní údaje, údaje o rezervaci, související poznámky a technické nebo auditní záznamy nezbytné pro provoz služby.
• Zvláštní kategorie údajů: bez předchozí písemné dohody správce nebude do Slotio vkládat zvláštní kategorie osobních údajů podle čl. 9 GDPR.

Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly zavázány mlčenlivostí a měly přístup jen v rozsahu potřebném pro provoz, podporu nebo zabezpečení služby.

• řízení přístupů a oprávnění podle rolí
• šifrovaná komunikace při přenosu dat (TLS)
• logování, monitoring a bezpečnostní aktualizace
• zálohování a postupy obnovy
• interní postupy pro řešení bezpečnostních incidentů

Správce uděluje zpracovateli obecné povolení zapojit subzpracovatele, pokud jsou dodrženy požadavky GDPR a odpovídající smluvní ochrana osobních údajů. Zpracovatel odpovídá za to, že subzpracovatel bude vázán povinnostmi odpovídajícími tomuto DPA.

Aktuální jmenovitý seznam subzpracovatelů poskytne ByteWoods na žádost zaslanou na gdpr@myslotio.com. O podstatné změně seznamu bude správce informován s přiměřeným předstihem způsobem odpovídajícím smluvnímu vztahu. Správce může vznést odůvodněnou námitku z důvodů ochrany osobních údajů.

S ohledem na povahu zpracování a dostupné informace poskytne zpracovatel správci přiměřenou součinnost při vyřizování žádostí subjektů údajů a při plnění povinností podle čl. 32 až 36 GDPR, včetně posouzení vlivu a konzultací s dozorovým úřadem, pokud jsou relevantní.

Pokud zpracovatel obdrží žádost subjektu údajů týkající se klientských dat zpracovávaných jménem správce, předá ji správci a nebude na ni věcně odpovídat, ledaže mu odpověď ukládá právní předpis.

Zpracovatel oznámí správci bez zbytečného odkladu, že zjistil porušení zabezpečení klientských osobních údajů zpracovávaných podle tohoto DPA. V rozsahu dostupných informací uvede povahu incidentu, dotčené kategorie údajů, pravděpodobné důsledky a přijatá nebo navržená opatření.

Po ukončení služby zpracovatel podle volby správce klientská osobní data vrátí nebo odstraní, pokud právní předpis nevyžaduje jejich další uchování. Běžné exportní a mazací lhůty popisují Obchodní podmínky a Zásady ochrany osobních údajů.

Zpracovatel poskytne správci informace přiměřeně potřebné k doložení souladu s tímto DPA a čl. 28 GDPR. Ověření se zpravidla provádí dotazníkem, dokumentačním přezkumem nebo předložením relevantních bezpečnostních informací. Případný audit na místě vyžaduje předchozí dohodu a nesmí ohrozit bezpečnost ostatních zákazníků ani obchodní tajemství.

Pokud zpracovatel nebo jeho subzpracovatel předává osobní údaje mimo EU/EHP, zajistí odpovídající právní mechanismus, například rozhodnutí o odpovídající ochraně nebo standardní smluvní doložky.

Dotazy k tomuto DPA zasílejte na gdpr@myslotio.com. Další informace obsahují Zásady ochrany osobních údajů.

Tento DPA může být zpřístupněn také v dalších jazykových verzích. Není-li kogentním právem stanoveno jinak, při rozporu mezi překlady má přednost anglické znění.