Vytvořit účet
Vytvořit účet

Smlouva o zpracování osobních údajů

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Tento dokument byl přeložen pro vaše pohodlí. V případě jakéhokoli rozporu má přednost anglická verze.

Tato smlouva o zpracování osobních údajů ("DPA") tvoří součást smlouvy mezi zákazníkem ("Správce") a Skiwo AS, provozovatelem platformy Report Securely ("Zpracovatel"), pro poskytování služeb oznamovacího systému a bezpečného hlášení ("Služba").

Tato DPA je uzavřena v souladu s požadavky článku 28 obecného nařízení o ochraně osobních údajů (EU) 2016/679 ("GDPR") a upravuje zpracování osobních údajů Zpracovatelem jménem Správce.

1. Definice

Pojmy použité v této DPA mají stejný význam jako v GDPR, pokud není stanoveno jinak. "Osobní údaje" znamenají jakékoli osobní údaje zpracovávané Zpracovatelem jménem Správce v souvislosti se Službou. "Dílčí zpracovatel" znamená jakoukoli třetí stranu pověřenou Zpracovatelem ke zpracování osobních údajů jménem Správce.

2. Rozsah a účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby Správci, jak je popsáno v hlavní servisní smlouvě a této DPA.

Kategorie subjektů údajů zahrnují: oznamovatele, osoby uvedené v oznámeních, správce případů a oprávněné uživatele v rámci organizace Správce. Typy zpracovávaných osobních údajů mohou zahrnovat: jména, kontaktní údaje, obsah oznámení, komunikaci mezi oznamovateli a správci případů, metadata případů a protokoly auditu.

Doba zpracování odpovídá době trvání hlavní servisní smlouvy plus jakákoli doba uchovávání vyžadovaná příslušnými právními předpisy nebo dohodnutá mezi stranami.

3. Povinnosti zpracovatele

Zpracovatel je povinen:

  • Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů správce, pokud to nevyžaduje platná legislativa
  • Zajistit, aby osoby oprávnené ke zpracování osobních údajů byly vázány povinností mlčenlivosti
  • Implementovat vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku
  • Nepověřovat dalšího zpracovatele (podzpracovatele) bez předchozího písemného souhlasu správce
  • Pomáhat správci při vyřizování žádostí subjektů údajů podle článků 15–22 GDPR
  • Pomáhat správci při zajištění souladu s články 32–36 GDPR (zabezpečení, oznámení porušení, posouzení dopadu)
  • Podle volby správce smazat nebo vrátit všechny osobní údaje po ukončení služby, pokud jejich uchovávání nevyžaduje platná legislativa
  • Poskytnout správci veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v této DPA a článku 28 GDPR

4. Bezpečnostní opatření

Zpracovatel implementuje a udržuje následující technická a organizační bezpečnostní opatření:

  • Šifrování dat při přenosu (TLS 1.2 nebo vyšší) a v klidu (AES-256)
  • Řízení přístupu na základě rolí s principem nejmenších oprávnění
  • Auditní protokolování všech významných akcí v rámci platformy
  • Pravidelné bezpečnostní testování a hodnocení zranitelností
  • Postupy bezpečného vývoje softwaru podle směrnic OWASP
  • Automatické zálohy se šifrovaným úložištěm
  • Přísné bezpečnostní hlavičky (HSTS, CSP, X-Frame-Options)

Zpracovatel pravidelně kontroluje a aktualizuje tato opatření tak, aby odrážela současný stav techniky a povahu, rozsah a účely zpracování.

5. Podzpracovatelé

Správce uděluje obecné oprávnění Zpracovateli k zapojení podzpracovatelů za podmínek stanovených v této části.

Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách týkajících se přidání nebo nahrazení podzpracovatelů a poskytne Správci možnost proti takovým změnám vznést námitky.

Pokud Zpracovatel zapojí podzpracovatele, uloží mu stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v této DPA, prostřednictvím smlouvy, která zajistí, že podzpracovatel poskytuje dostatečné záruky pro implementaci vhodných technických a organizačních opatření.

Zpracovatel zůstává plně odpovědný vůči Správci za plnění povinností podzpracovatele.

6. Přenosy dat

Všechny osobní údaje jsou ukládány a zpracovávány v rámci Evropského hospodářského prostoru (EHP).

Zpracovatel nesmí přenášet osobní údaje do země mimo EHP nebo mezinárodní organizaci, pokud: (a) správce neposkytl předchozí písemné povolení a (b) nejsou zavedena vhodná ochranná opatření v souladu s kapitolou V GDPR, jako jsou standardní smluvní doložky EU nebo rozhodnutí Evropské komise o přiměřenosti.

7. Oznámení porušení zabezpečení údajů

Zpracovatel oznámí správci bez zbytečného odkladu poté, co se dozví o porušení zabezpečení osobních údajů, které se týká osobních údajů zpracovávaných na základě této DPA.

Oznámení musí obsahovat: popis povahy porušení, kategorie a přibližný počet dotčených subjektů údajů, pravděpodobné důsledky porušení a opatření přijatá nebo navrhovaná k řešení porušení.

8. Práva na audit

Zpracovatel poskytne správci všechny informace nezbytné k prokázání souladu se závazky stanovenými v článku 28 GDPR a této DPA a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem pověřeným správcem, a bude k nim přispívat.

Audity se provádějí s přiměřeným předchozím oznámením a během běžné pracovní doby a nesmí nepřiměřeně narušovat provoz zpracovatele.

9. Výmaz a vrácení údajů

Po ukončení služby zpracovatel podle volby správce vymaže nebo vrátí všechny osobní údaje správci a vymaže existující kopie, pokud platné právní předpisy nevyžadují další uchovávání.

Správce může před ukončením požádat o export dat v běžně používaném strojově čitelném formátu.

10. Odpovědnost

Odpovědnost každé strany podle této DPA podléhá omezením a výjimkám stanoveným v hlavní servisní smlouvě mezi stranami.

Nic v této DPA neomezuje odpovědnost kterékoli strany za porušení právních předpisů o ochraně údajů v rozsahu, v jakém taková odpovědnost nemůže být podle platného práva omezena.

11. Rozhodné právo

Tato DPA se řídí norským právem. Jakýkoli spor vyplývající z této DPA nebo s ní související podléhá výlučné jurisdikci okresního soudu v Oslu, pokud kogentní právo nestanoví jinak.

12. Kontakt

V případě dotazů týkajících se této DPA nebo záležitostí ochrany údajů kontaktujte:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com