I. Úvodní ustanovení
1.1 Správce předává zpracovateli ke zpracování osobní údaje za účelem vedení účetnictví, vedení daňové evidence a vedení personální a mzdové agendy (dále jen „Služby“).
1.2 Správce a zpracovatel uzavírají smlouvu v souladu s čl. 28 GDPR. Účelem smlouvy je úprava práv a povinností smluvních stran při zpracování osobních údajů, zejména s ohledem na zajištění odpovídající úrovně jejich zabezpečení a na jejich ochranu.
II. Předmět zpracování, kategorie osobních údajů a subjektů údajů, doba jejich zpracování
2.1 V souvislosti s poskytováním Služeb jsou zpracovatelem zpracovávány osobní údaje následujících kategorií fyzických osob – subjektů údajů: zaměstnanců správce, smluvních/obchodních partnerů správce.
2.2 V souvislosti s poskytováním Služeb jsou zpracovatelem zpracovávány osobní údaje fyzických osob za účelem umožnění zaúčtování daňových dokladů, vedení daňové evidence, vedení personální a mzdové agendy správce v souladu se smlouvou o poskytování Služeb (Smlouvou o vedení účetnictví) uzavřenou mezi správcem a zpracovatelem a s obecně závaznými právními předpisy.
2.3 V souvislosti s poskytováním Služeb jsou zpracovatelem zpracovávány osobní údaje subjektů údajů v rozsahu: jméno, příjmení, rodné příjmení, titul, datum narození, rodné číslo, adresa bydliště, osobní stav, počet dětí, telefonní číslo, e-mail a údaje o bankovním spojení.
2.4 V souvislosti s poskytováním Služeb jsou osobní údaje zpracovávány zpracovatelem pouze po dobu nezbytně nutnou k poskytování Služeb, nejdéle však po dobu 10 let od účinnosti smlouvy, pokud nebude v průběhu trvání smlouvy smluvními stranami dohodnuto jinak.
2.5 Osobní údaje nejsou zpracovatelem zpracovávány prostřednictvím automatizovaných prostředků.
III. Prohlášení smluvních stran
3.1 Správce prohlašuje, že je v postavení správce osobních údajů zpracovávaných zpracovatelem na základě smlouvy.
3.2 Správce prohlašuje, že ke dni uzavření smlouvy plní všechny své povinnosti dle právních předpisů o ochraně osobních údajů, zejména zpracovává osobní údaje výhradně na základě platných právních titulů, v rozsahu a způsobem odpovídajícím sledovanému účelu, informuje subjekty údajů o prováděném zpracování, umožňuje subjektům údajů výkon jejich práv v rozsahu předvídaném GDPR. Správce se současně zavazuje k plnění těchto povinností také po celou dobu platnosti smlouvy.
3.3 Zpracovatel prohlašuje, že je v postavení zpracovatele osobních údajů zpracovávaných na základě smlouvy.
IV. Práva a povinnosti smluvních stran
4.1 Zpracovatel zpracovává osobní údaje výlučně na základě pokynů správce, a to za účelem poskytování Služeb. Zpracovatel se zavazuje neužít zpracovávané osobní údaje pro své vlastní potřeby a účely odlišné od poskytování Služeb.
4.2 Zpracovatel je povinen zachovávat mlčenlivost o zpracovávaných osobních údajích. Zpracovatel zajistí, aby jeho zaměstnanci i další osoby podílející se na jeho straně na zpracování byli v souladu s platnými právními předpisy poučeni o povinnosti mlčenlivosti a o možných následcích porušení této povinnosti. Povinnost zachování mlčenlivosti zpracovatele trvá i po ukončení platnosti smlouvy.
4.3 Zpracovatel je oprávněn předat zpracovávané osobní údaje třetí osobě výhradně na základě písemného požadavku nebo souhlasu správce.
4.4 Zpracovatel je oprávněn přistupovat ke zpracovávaným osobním údajům pouze za účelem poskytování Služeb a pouze v nezbytném rozsahu.
4.5 Zpracovatel je povinen poskytovat správci požadovanou součinnost při splnění povinnosti správce reagovat na žádosti subjektu údajů ve smyslu čl. 12 až 23 GDPR. K zajištění plnění této povinnosti je zpracovatel povinen aplikovat vhodná organizační a technická opatření.
4.6 Zpracovatel je povinen zajišťovat náležité zabezpečení zpracovávaných osobních údajů a poskytovat správci nezbytnou součinnost k plnění jeho povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR a oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 GDPR. Zpracovatel je za tímto účelem zejména povinen oznámit správci bezodkladně nejpozději však do 24 hodin od okamžiku zjištění, porušení zabezpečení zpracovávaných osobních údajů včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků.
4.7 Zpracovatel je povinen poskytovat správci požadovanou součinnost a veškeré informace k doložení skutečnosti, že byly splněny povinnosti stanovené v smlouvě a je povinen umožnit provedení auditů, kontrol a inspekcí.
4.8 Zpracovatel je povinen postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména právech na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právo na zachování lidské důstojnosti.
4.9 Pokud nestanoví právní řád nebo písemná smlouva jinak, je zpracovatel povinen po skončení platnosti smlouvy předat (vrátit) veškeré zpracovávané osobní údaje zpět správci a je povinen vymazat veškeré kopie předaných/zpracovávaných osobních údajů.
V. Zabezpečení osobních údajů
5.1 Zpracovatel přijal a zavazuje se udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, dočasné nedostupnosti, k jejich jinému neoprávněnému zpracování, jakož i jinému zneužití osobních údajů.