Tento dodatek upravuje podmínky zpracování osobních údajů předaných Vlastníkem a zpracovávaných dále Poskytovatelem za účelem plnění Služby. Dodatek se řídí právním řádem České republiky zejména příslušnými ustanoveními Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen „GDPR“). Veškeré termíny a definice použité v tomto dodatku mají význam uváděný v Podmínkách Služby, není-li výslovně sjednáno jinak.
Osobní údaje předávané Vlastníkem Poskytovateli se týkají Uživatelů Služby a zahrnují jméno, informace o společnosti, e-mailová adresa, uživatelská role, země a další informace vkládané Vlastníkem nebo Uživateli do Služby, zejména pak informace o odpracovaném čase, mzdě či jiné odměně; a to pro účely měření odpracovaného času a správy nákladů. Účelem zpracování je analýza nákladů a ziskovosti při realizace obchodních zakázek Vlastníka a efektivitě využití jeho týmu.
Osobní údaje budou zpracovávány po dobu účinnosti smluvního vztahu mezi Poskytovatelem a Vlastníkem na základě těchto Podmínek Služby, jinými slovy po dobu existence Účtu Vlastníka. Poskytovatel jako zpracovatel osobních údajů je povinen zpracovávat osobní údaje v souladu s právními předpisy a pokyny Vlastníka realizovanými prostřednictvím Služby.
Vlastník uděluje Poskytovateli obecné povolení k tomu, aby Poskytovatel využil ke zpracování třetí osoby. Mezi dalšími zpracovateli jsou:
Vlastník se vzdává svého práva na to být nadále informován o změnách v osobách dalších zpracovatelů. Pokud Vlastník v budoucnu kdykoliv požádá o to, aby byl o změnách v osobách dalších zpracovatelů informován, a to elektronickou formou prostřednictvím e-mailu privacy@costlocker.com, je Poskytovatel o takových změnách povinen Vlastníka informovat a Vlastník je oprávněn proti takovým změnám vznášet námitky.
Poskytovatel je oprávněn předat osobní údaje do třetí země mimo EU nebo Evropský ekonomický prostor. Předání osobních údajů do třetích zemí probíhá na základě vhodných záruk, standardních smluvních doložek a v případě USA na základě certifikace programu „Privacy Shield“ (https://www.privacyshield.gov). Místem zpracování jsou kanceláře Poskytovatele. Při automatizovaném zpracování dochází ke zpracování osobních údajů na serverech umístěných v EU a USA.
Poskytovatel jako zpracovatel je též povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu ke zpracovávaným osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, jmenovitě využívat zabezpečení prostor pomocí zámků a elektronického zabezpečení, jakož i zabezpečení systémů pomocí přístupových práv a antivirové ochrany a provádět pravidelně bezpečnostní zálohy. Osoby oprávněné provádět zpracování jsou vázány přísnou mlčenlivostí.
Poskytovatel je dále povinen informovat Vlastníka bez zbytečného odkladu o narušení zabezpečení osobních údajů. Poskytovatel je též povinen poskytnout dostatečnou součinnost, aby Vlastník mohl reagovat na žádosti o výkon práv subjektů stanovených v kapitole III GDPR.
Poskytovatel je povinen vymazat na žádost Vlastníka veškeré osobní údaje. Tato povinnost se nevztahuje na případy záložních kopií uchovávaných pro zajištění provozuschopnosti Služby.
Vlastník je oprávněn vyzvat Poskytovatele k provedení kontroly plnění povinností podle této smlouvy o zpracování osobních údajů a Poskytovatel je povinen v takovém případě poskytnout Vlastníkovi přiměřenou součinnost.