Naposledy aktualizováno dne 1. ledna 2025

Smlouva o zpracování údajů

Tato Smlouva o zpracování údajů („DPA“) uzavřená mezi zákazníkem Macaly uvedeným v příslušném objednávkovém dokumentu pro služby Macaly („Zákazník“) a společností LANGTAIL.COM s.r.o., IČO 19868987, se sídlem Záhřebská 562/41, Vinohrady, 120 00 Praha 2, Česká republika, sp. zn. C 393016 vedená Městským soudem v Praze („Macaly“), upravuje zpracování osobních údajů, které Zákazník nahrává nebo jinak poskytuje společnosti Macaly v souvislosti se službami poskytovanými společností Macaly Zákazníkovi („Služby“).

1. Definice

Osobní údaje Zákazníka“ znamenají Osobní údaje (i) které Zákazník nahraje nebo jinak poskytne společnosti Macaly v souvislosti s využíváním jejích Služeb, nebo (ii) u kterých je Zákazník jinak správcem údajů.

Správce údajů“ znamená Zákazník.

Zpracovatel údajů“ znamená společnost Macaly.

GDPR“ znamená Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Osobní údaje“ znamenají informace o jednotlivci, které (a) mohou být použity k identifikaci, kontaktování nebo lokalizaci konkrétního jednotlivce, včetně údajů, které se Zákazník rozhodne poskytnout společnosti Macaly ze služeb, jako jsou systémy pro sledování uchazečů (ATS) nebo systémy správy vztahů se zákazníky (CRM); nebo (b) mohou být spojeny s jinými informacemi, které mohou být použity k identifikaci, kontaktování nebo lokalizaci konkrétního jednotlivce; nebo (c) jsou definovány jako „osobní údaje“ nebo „osobní informace“ podle platných zákonů nebo předpisů týkajících se shromažďování, zpracování, uchovávání nebo zveřejňování osobních údajů.

Porušení zabezpečení Osobních údajů“ znamená jakékoli náhodné nebo protiprávní zničení, ztrátu, změnu, neoprávněné zveřejnění nebo zpřístupnění Osobních údajů.

Předpisy o ochraně soukromí“ znamenají nařízení GDPR a všechny platné zákony, prováděcí předpisy a další právní požadavky týkající se (a) soukromí, zabezpečení údajů, ochrany spotřebitele, marketingu, propagace a SMS, e-mailové a jiné komunikace; a (b) shromažďování, zpracování, uchovávání, ukládání, zabezpečení, zveřejňování, předávání, a odstraňování jakýchkoli Osobních údajů.

Zpracování“ a jeho odvozeniny znamenají jakoukoli operaci nebo soubor operací prováděných s Osobními údaji nebo soubory Osobních údajů, ať již automatizovanými prostředky či nikoli, jako je shromažďování, zaznamenávání, organizování, strukturování, ukládání, přizpůsobení nebo změna, vyhledávání, konzultace, použití, zpřístupnění přenosem, šířením nebo jiným zpřístupněním, seřazení nebo kombinování, omezení, vymazání nebo zničení.

Subprocesor“ znamená jakýkoli subjekt, který poskytuje služby zpracování společnosti Macaly za účelem dalšího zpracování Osobních údajů jménem Zákazníka.

Dozorový úřad“ znamená nezávislý veřejný orgán zřízený členským státem Evropské unie podle článku 51 GDPR.

2. Předmět této DPA

Správce údajů tímto zmocňuje Zpracovatele údajů ke zpracování Osobních údajů Zákazníka v souvislosti s poskytováním Služeb na základě pokynů Správce údajů a za podmínek stanovených v této DPA.

Osobní údaje Zákazníka budou Zpracovatelem údajů zpracovávány pouze v rozsahu nezbytném pro poskytování Služeb a plnění právních povinností Zpracovatele údajů, a pouze po dobu trvání smlouvy o poskytování Služeb a podle pokynů Správce údajů, není-li v této DPA nebo v Předpisech o ochraně soukromí uvedeno jinak.

3. Soulad s právními předpisy

Strany budou každá plnit své příslušné povinnosti podle všech platných Předpisů o ochraně soukromí.

4. Povinnosti Zákazníka

Zákazník se zavazuje:

4.1 Poskytovat Macaly pokyny a určovat účely a obecné prostředky zpracování Osobních údajů Zákazníka společností Macaly v souladu s touto DPA; a

4.2 Dodržovat povinnosti týkající se ochrany, zabezpečení a jiných aspektů Osobních údajů Zákazníka stanovených Předpisech o ochraně soukromí pro správce údajů, a to: (a) zavedením a udržováním postupu pro výkon práv subjektů údajů, jejichž Osobní údaje jsou zpracovávány jménem Zákazníka; (b) zpracováním pouze Osobních údajů, které byly shromážděny zákonným a platným způsobem, a zajištěním, že takové údaje budou relevantní a přiměřené vzhledem k příslušnému použití; a (c) zajištěním souladu s ustanoveními této DPA ze strany jeho personálu nebo jakékoli třetí strany, která má přístup k Osobním údajům Zákazníka nebo je používá jeho jménem.

5. Povinnosti společnosti Macaly

5.1 Požadavky na zpracování. Společnost Macaly bude:

  • Zpracovávat Osobní údaje Zákazníka (i) pouze za účelem poskytování, podpory a zlepšování Služeb (včetně poskytování přehledů a jiného reportingu) za použití vhodných technických a organizačních bezpečnostních opatření; a (ii) v souladu s pokyny obdrženými od Zákazníka. Společnost Macaly nebude používat ani jinak zpracovávat Osobní údaje Zákazníka pro jakýkoli jiný účel. Společnost Macaly neprodleně písemně informuje Zákazníka, pokud nemůže splnit požadavky uvedené v článcích 5-8 této DPA; v takovém případě může Zákazník tuto DPA vypovědět nebo přijmout jiná přiměřená opatření, včetně pozastavení operací Zpracování údajů;
  • Neprodleně informovat Zákazníka, pokud je podle názoru společnosti Macaly některý pokyn od Zákazníka v rozporu s platnými Předpisy o ochraně soukromí;
  • Pokud společnost Macaly shromažďuje Osobní údaje Zákazníka od jednotlivců jménem Zákazníka, postupovat podle pokynů Zákazníka týkajících se takového shromažďování Osobních údajů Zákazníka (včetně informování a možnosti volby subjektů údajů);
  • Přijmout přiměřené kroky k zajištění toho, aby (i) osoby zaměstnané společností Macaly a (ii) jiné osoby pověřené výkonem povinností jménem společnosti Macaly dodržovaly podmínky této DPA;
  • Zajistit, že její zaměstnanci, pověření zástupci a jakýkoli Subprocesoři jsou povinni dodržovat, uznávat a respektovat důvěrnost Osobních údajů Zákazníka, a to i po ukončení jejich pracovního poměru, smlouvy nebo pověření;
  • Informovat Zákazníka, pokud hodlá zapojit Subprocesory, aby jí pomohli splnit její povinnosti v souladu s touto DPA, nebo delegovat všechny nebo část činností zpracování na takové Subprocesory, s výjimkou seznamu Subprocesorů, který společnost Macaly vede online (viz níže);
  • Na žádost poskytovat Zákazníkovi souhrn zásad společnosti Macaly týkajících se ochrany soukromí a bezpečnosti; a
  • Informovat Zákazníka, pokud Macaly provede nezávislé bezpečnostní prověření.

5.2 Oznámení Zákazníkovi. Společnost Macaly informuje Zákazníka, pokud se dozví o:

  • Jakémkoli nesouladu společnosti Macaly nebo jejích zaměstnanců s články 5-8 této DPA nebo s Předpisy o ochraně soukromí týkajícími se ochrany Osobních údajů Zákazníka zpracovávaných podle této DPA;
  • Jakémkoli právně závazném požadavku orgánu činného v trestním řízení na zpřístupnění Osobních údajů Zákazníka, pokud společnosti Macaly není zákonem zakázáno informovat Zákazníka, například za účelem zachování důvěrnosti vyšetřování orgánů činných v trestním řízení;
  • Jakémkoli oznámení, dotazu nebo vyšetřování ze strany Dozorového úřadu týkajícího se Osobních údajů Zákazníka; nebo
  • Jakékoli stížnosti nebo žádosti (zejména žádostí o přístup, opravu nebo blokaci Osobních údajů Zákazníka) obdržené přímo od subjektů údajů Zákazníka. Společnost Macaly nebude na takovou žádost odpovídat bez předchozího písemného svolení Zákazníka.

5.3 Pomoc Zákazníkovi. Společnost Macaly poskytne Zákazníkovi přiměřenou součinnost v souvislosti s:

  • Jakoukoli žádostí subjektů údajů Zákazníka týkající se přístupu, opravy, výmazu, omezení zpracování, přenositelnosti, blokace nebo smazání Osobních údajů Zákazníka, které společnost Macaly zpracovává pro Zákazníka. V případě, že subjekt údajů zašle takovou žádost přímo společnosti Macaly, společnost Macaly tuto žádost neprodleně postoupí Zákazníkovi;
  • Šetřením Porušení zabezpečení Osobních údajů a oznámením Dozorovému úřadu a subjektům údajů Zákazníka takových Porušení zabezpečení Osobních údajů; a
  • Kde je to vhodné, přípravou posouzení vlivu na ochranu osobních údajů (DPIA) a případně provedením konzultací s příslušným Dozorovým úřadem.

5.4 Zpracování vyžádané právními předpisy. Pokud je společnost Macaly povinna podle Předpisů o ochraně soukromí zpracovávat jakékoli Osobní údaje Zákazníka z jiného důvodu než poskytování služeb popsaných v této DPA, společnost Macaly o této povinnosti předem informuje Zákazníka před zahájením takového Zpracování, ledaže je společnosti Macaly právně zakázáno Zákazníka o takovém Zpracování informovat (například v důsledku povinnosti mlčenlivosti vyplývající z platných právních předpisů členských států EU).

5.5 Bezpečnost. Společnost Macaly bude:

  • Udržovat vhodná organizační a technická bezpečnostní opatření (včetně opatření týkajících se personálu, provozoven, hardwaru a softwaru, úložišť a sítí, řízení přístupu, monitorování a logování, detekce zranitelnosti a narušení bezpečnosti, reakce na incidenty, šifrování Osobních údajů Zákazníka při přenosu i v klidu) za účelem ochrany před neoprávněným nebo náhodným přístupem, ztrátou, změnou, zveřejněním nebo zničením Osobních údajů Zákazníka;
  • Odpovídat za dostatečné zajištění bezpečnosti, soukromí a důvěrnosti ze strany všech osob ve společnosti Macaly ve vztahu k Osobním údajům Zákazníka a odpovídat za jakékoli porušení těchto povinností ze strany takových osob;
  • Přijímat přiměřené kroky k ověření, že všechny osoby ve společnosti Macaly chrání bezpečnost, soukromí a důvěrnost Osobních údajů Zákazníka v souladu s požadavky této DPA; a
  • Oznámovat Zákazníkovi jakékoli Porušení zabezpečení Osobních údajů společností Macaly, jejími Subprocesory nebo jinými třetími osobami jednajícími jménem společnosti Macaly, a to bez zbytečného odkladu poté, co se o Porušení zabezpečení Osobních údajů dozví.

6. Audit a certifikace

6.1 Audit dozorového úřadu. Pokud Dozorový úřad vyžaduje provedení auditu zařízení pro zpracování údajů, ze kterých společnost Macaly zpracovává Osobní údaje Zákazníka, za účelem ověření nebo monitorování souladu Zákazníka s Předpisy o ochraně soukromí, společnost Macaly bude s takovým auditem spolupracovat. Zákazník odpovídá za všechny náklady a poplatky související s takovým auditem, včetně všech přiměřených nákladů a poplatků za čas, který společnost Macaly vynaloží na jakýkoli takový audit, a to nad rámec sazeb za poskytované služby společností Macaly.

6.2 Požadavky pověřence pro ochranu osobních údajů. Společnost Macaly musí na žádost Zákazníka (ne více než jednou ročně) zaslanou e-mailem na support@macaly.com písemně potvrdit, že dodržuje články 5-8 této DPA.

7. Předávání údajů

Při předávání Osobních údajů společností Macaly za účelem jejich zpracování mimo jurisdikci v EU, EHP nebo země schválené Evropskou komisí jako poskytující „odpovídající“ úroveň ochrany údajů, se společnost Macaly zavazuje poskytovat alespoň stejnou úroveň ochrany soukromí pro Osobní údaje prostřednictvím vhodných záruk, jako jsou standardní smluvní doložky nebo závazná vnitropodniková pravidla.

8. Vrácení a výmaz údajů

Strany se dohodly, že po ukončení poskytování Služeb nebo na základě přiměřené žádosti Zákazníka společnost Macaly (a zavazuje se zajistit, že také její Subprocesoři) dle volby Zákazníka vrátí veškeré Osobní údaje Zákazníka a jejich kopie Zákazníkovi nebo je bezpečně zničí a prokáže Zákazníkovi k jeho spokojenosti, že taková opatření byla provedena, ledaže Předpisy o ochraně soukromí zabrání společnosti Macaly vrátit nebo zničit všechny nebo část Osobních údajů Zákazníka. V takovém případě se společnost Macaly zavazuje zachovat důvěrnost Osobních údajů Zákazníka, které si ponechá, a aktivně je zpracovávat po tomto datu pouze za účelem splnění právních povinností.

9. Zpracovatelé - třetí strany

Zákazník bere na vědomí, že při poskytování některých Služeb (například CRM systémů) může společnost Macaly na základě pokynů Zákazníka předávat Osobní údaje Zákazníka třetím stranám, které zpracovávají Osobní údaje, a jinak s nimi spolupracovat.

10. Doba trvání

Tato DPA zůstává v platnosti po dobu, kdy Macaly provádí operace zpracování Osobních údajů jménem Zákazníka, nebo do ukončení Smlouvy se společností Macaly (a do té doby, dokud veškeré Osobní údaje nebudou vráceny nebo vymazány v souladu s článkem 8 výše).

11. Rozhodné právo, soudní příslušnost a místo řešení sporů

Není-li v této DPA výslovně stanoveno jinak, práva a povinnosti neupravené touto DPA se řídí příslušnými ustanoveními obecně závazných právních předpisů České republiky. V případě sporu vyplývajícího z této DPA se strany dohodly, že takový spor bude primárně řešen vzájemným jednáním zástupců stran, a pokud nebude vyřešen takovým jednáním, strany předloží spor soudu příslušnému podle sídla společnosti Macaly.

Příloha – Seznam Subprocesorů

Zákazník tímto uděluje souhlas společnosti Macaly, aby pověřila další zpracovatele zpracováním Osobních údajů podle této DPA. Ke dni uzavření této Dohody pověřila společnost Macaly zpracováním Osobních údajů podle této DPA následující Subprocesory, s nimiž Zákazník souhlasí:

Cloudflare Inc., Google Inc., Vercel Inc., Mixpanel Inc., Astrodon Corporation, Functional Software, Inc., OpenAI, Inc., Datadog, Inc., Clerk, Inc., Neon, Inc., Upstash, Inc., Stripe, Inc., Langfuse GmbH, Posthog, Inc., Perplexity AI, Inc., Anthropic PBC, GetVector, Inc.