Smlouva o zpracování osobních údajů (DPA)

Příloha č. 1 Všeobecných obchodních podmínek systému Lyxa

Tato smlouva upravuje zpracování osobních údajů při poskytování systému Lyxa dle Všeobecných obchodních podmínek („VOP“) a uzavírá se mezi Zákazníkem jako správcem a společností Lyxa Labs s.r.o., IČO: 24597732, se sídlem Řeznická 1332/7, 460 01 Liberec, jako zpracovatelem (dále jen „Zpracovatel“). Je nedílnou součástí VOP a uplatní se po dobu, po kterou Zpracovatel zpracovává osobní údaje pro Zákazníka. Pojmy zde neuvedené mají význam dle GDPR a VOP.

1. Předmět a doba

Zpracovatel zpracovává osobní údaje obsažené v dokladech a podkladech, které Zákazník nebo jeho Koncoví uživatelé nahrají do Systému, výhradně za účelem poskytování Systému dle VOP. Smlouva trvá po dobu trvání Smlouvy dle VOP; povinnosti týkající se výmazu a mlčenlivosti trvají i po jejím ukončení.

2. Povaha, účel a kategorie

Povaha a účel: automatizované vytěžování dat z nahraných dokladů, jejich uložení, zobrazení a export do navazujících systémů.

Subjekty údajů (v rozsahu, v jakém se v podkladech vyskytnou): dodavatelé, odběratelé, klienti, zaměstnanci a další obchodní partneři Zákazníka. Kategorie údajů: identifikační a kontaktní údaje, identifikační údaje podnikatele (IČO/DIČ), platební a fakturační údaje a další údaje uvedené v podkladech.

3. Povinnosti Správce

Správce odpovídá za to, že má pro zpracování po celou jeho dobu platný právní základ a že plní své povinnosti vůči subjektům údajů, zejména informační povinnost. Správce se zavazuje neprodleně ze Systému odstranit osobní údaje, pro jejichž zpracování nemá platný právní základ, a nenahrávat zvláštní kategorie osobních údajů (čl. 9 GDPR), nejsou-li nezbytné a v souladu s právem.

4. Povinnosti Zpracovatele

4.1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Zákazníka, jimiž jsou VOP, tato smlouva a způsob užívání Systému. O případném rozporu pokynu s právem Zákazníka informuje.

4.2. Zpracovatel ani jeho subzpracovatelé nepoužijí osobní údaje pro vlastní účely ani k trénování svých modelů; pro zlepšování Systému lze využít výhradně anonymizované nebo agregované údaje.

4.3. Osoby oprávněné zpracovávat údaje jsou vázány mlčenlivostí.

4.4. Zpracovatel přijme vhodná technická a organizační opatření podle čl. 32 GDPR, zejména šifrovaný přenos dat, řízení přístupu na základě rolí, zálohování, logování přístupů a postupy řešení bezpečnostních incidentů.

4.5. Zpracovatel je Zákazníkovi nápomocen při vyřizování žádostí subjektů údajů a při plnění povinností dle čl. 32–36 GDPR, a to nejpozději do 14 dnů od doručení žádosti Zákazníka.

4.6. Porušení zabezpečení ohlásí Zpracovatel Zákazníkovi bez zbytečného odkladu, nejpozději do 72 hodin poté, co se o něm dozví, a poskytne mu informace, které má k dispozici.

4.7. Zpracovatel poskytne Zákazníkovi informace nezbytné k doložení souladu s čl. 28 GDPR a umožní audit; přednostně formou poskytnutí informací či certifikací, případně kontrolou ohlášenou s přiměřeným předstihem tak, aby nenarušila provoz. Zpracovatel je oprávněn vyúčtovat Zákazníkovi účelně vynaložené náklady spojené s vyřízením žádostí a auditů nad rámec běžné součinnosti. Nedojde-li k dohodě o podmínkách auditu do 30 dnů od žádosti, určí přiměřené podmínky auditu Zpracovatel.

5. Subzpracovatelé

Zákazník uděluje Zpracovateli obecné povolení zapojit subzpracovatele. Aktuálními kategoriemi jsou poskytovatel hostingové infrastruktury, poskytovatel služeb umělé inteligence (vytěžování dat) a poskytovatel e-mailingové platformy; aktuální seznam konkrétních subzpracovatelů poskytneme na vyžádání. O zamýšlené změně Zpracovatel informuje předem; Zákazník může proti změně z vážných důvodů vznést námitku do 10 dnů od oznámení. Nedojde-li k dohodě, může Smlouvu ukončit. Zpracovatel uloží subzpracovatelům stejné povinnosti, jaké má sám, a odpovídá za jejich plnění.

6. Předávání mimo EHP

K předání osobních údajů subzpracovateli, zejména poskytovateli služeb umělé inteligence, dochází i mimo Evropský hospodářský prostor. Pro tyto přenosy Zpracovatel zajišťuje vhodné záruky podle čl. 46 GDPR (zejména standardní smluvní doložky), případně se opírají o rozhodnutí o odpovídající ochraně.

7. Výmaz a vrácení údajů

Po ukončení poskytování Systému umožní Zpracovatel export dat po dobu 30 dnů; poté osobní údaje vymaže včetně kopií, nestanoví-li právní předpis jejich další uchování. Na žádost o tom Zákazníkovi poskytne potvrzení.

8. Závěrečná ustanovení

Na náhradu škody dle této smlouvy se vztahuje omezení odpovědnosti sjednané ve VOP, přičemž limity dle VOP a této smlouvy se nesčítají. Smlouva se řídí právem České republiky. V případě rozporu s ostatním textem VOP má ve věcech zpracování osobních údajů přednost tato smlouva. Nabývá účinnosti spolu s VOP.