Smlouva o zpracování údajů

Platné od 26. listopadu 2025

Podle požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR), jakož i zákonů o ochraně údajů platných ve Spojeném království Velké Británie a Severního Irska, vstupuje společnost ESET (dále jen „Zpracovatel“) a zákazník (dále jen „Správce“) do smluvního vztahu zpracování dat, aby definovali podmínky a ujednání pro zpracování osobních údajů, způsob jejich ochrany, jakož i vymezení dalších práv a povinností obou smluvních stran při zpracovávání osobních údajů subjektů údajů jménem správce v průběhu provádění předmětu těchto podmínek jako hlavní smlouvy.

1. Osobní údaje „Pro poskytování služeb v souladu s podmínkami může být nezbytné, aby zpracovatel zpracovával jménem správce informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „osobní údaje“).
2. Oprávnění. Správce opravňuje zpracovatele zpracovávat osobní údaje, což zahrnuje následující:
   1. „Účelem zpracování“ se rozumí poskytování objednaných služeb, jak jsou v souladu s podmínkami definovány v přílohách.
   2. „Obdobím zpracování“ se míní období, po které budou služby poskytovány.
   3. „Rozsah a kategorie osobních údajů“ zahrnují veškeré osobní údaje poskytnuté nebo zpřístupněné správcem údajů během poskytování služeb, zejména veškeré osobní údaje odeslané v požadavcích na službu nebo během procesu vyřizování těchto požadavků, jakož i veškeré osobní údaje, které mohou být zpracovateli přístupné nebo dostupné v případě, že mu správce po dobu poskytování služeb udělil dočasný nebo trvalý přístup ke svým produktům nebo zařízením.
   4. „Subjektem údajů“ se rozumí všechny fyzické osoby, které jsou oprávněnými uživateli zařízení správce a/nebo zaměstnanci či smluvními partnery správce, případně jeho přidružených subjektů, jakož i všechny osoby, jejichž údaje mohou být správcem poskytnuty nebo zpřístupněny zpracovateli v průběhu poskytování služeb.
   5. „Operacemi zpracování“ se rozumí všechny činnosti nezbytné pro účely zpracování.
   6. „Zdokumentovanými pokyny“ se rozumí pokyny týkající se zpracování osobních údajů uvedené v podmínkách, jejich přílohách, dokumentaci ke službě nebo v žádostech o poskytnutí služby.
3. Povinnosti zpracovatele. Zpracovatel je povinen:
   1. Zpracovávat osobní údaje za účelem poskytování služeb v souladu s podmínkami a pouze na základě zdokumentovaných pokynů, a to i s ohledem na předávání osobních údajů do třetí země. Výjimkou jsou případy, kdy je zpracování vyžadováno právem EU, právem členského státu nebo právem Spojeného království. V takových případech zpracovatel před zpracováním informuje správce o této právní povinnosti, pokud mu to uvedené právo nezakazuje z důležitých důvodů veřejného zájmu.
   2. poučit osoby oprávněné zpracovávat osobní údaje (dále označované jako „autorizované osoby“) o jejich právech a povinnostech podle nařízení GDPR a o jejich odpovědnosti v případě porušení povinností a zajistit, aby se autorizované osoby s oprávněním ke zpracování osobních údajů zavázaly k zachovávání důvěrnosti a dodržování zdokumentovaných pokynů.
   3. Přijmout veškerá opatření týkající se bezpečnosti zpracování, jak je požadováno podle čl. 32 GDPR, s přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování, jakož i k různě pravděpodobnému a různě závažnému riziku pro práva a svobody fyzických osob, aby byla při zpracování osobních údajů správce zajištěna úroveň zabezpečení odpovídající danému riziku.
   4. S ohledem na povahu zpracování pomáhat správci vhodnými technickými a organizačními opatřeními, nakolik je to možné, při plnění povinnosti správce reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III nařízení GDPR.
   5. Na vyžádání poskytnout správci přiměřenou pomoc při zajišťování souladu s povinnostmi podle článků 32 až 36 nařízení GDPR s ohledem na povahu zpracování a informace, které má zpracovatel k dispozici. Zpracovatel je povinen upozornit správce na jakýkoli problém při zpracování osobních údajů nebo se zabezpečením osobních údajů ihned po jeho zjištění. Zpracovatel bude v přiměřeném rozsahu spolupracovat při vyšetřování a nápravě takového problému a přijme přiměřená opatření k omezení dalších negativních dopadů.
   6. Na základě volby správce vymazat nebo vrátit všechny osobní údaje zpracovávané jménem správce do 30 (třiceti) pracovních dnů po ukončení poskytování služeb souvisejících se zpracováním a odstranit existující kopie, pokud právní předpisy EU nebo členského státu EU nevyžadují uchovávání těchto osobních údajů. Správce se zavazuje informovat zpracovatele o svém rozhodnutí do deseti (10) dnů od konce období zpracování. Toto ustanovení nemá vliv na právo zpracovatele uchovávat osobní údaje v nezbytném rozsahu pro účely archivace podle speciální legislativy nebo pro účely vznesení, výkonu nebo obhajoby právních nároků.
   7. Vést aktuální registr všech kategorií zpracovatelských činností, které zpracovatel provedl jménem správce.
   8. Zpřístupnit správci veškeré informace nezbytné k prokázání souladu s podmínkami, jejich přílohami a dokumentací služeb, a pokud je to nezbytně nutné, umožnit provedení auditu správcem nebo jiným auditorem pověřeným správcem v souvislosti se zpracováním prováděným v rámci této smlouvy. V případě auditu nebo kontroly zpracování osobních údajů ze strany správce je správce povinen informovat zpracovatele písemně nejméně deset (10) dnů před plánovaným auditem nebo kontrolou.
4. Zapojení dalšího zpracovatele. Zpracovatel je obecně oprávněn pověřit jiného zpracovatele (dále jen „Dílčího zpracovatele“) prováděním konkrétních zpracovatelských činností v souladu s podmínkami, zejména touto smlouvou a dokumentací služeb. Zpracovatel zajistí, aby byl každý takový dílčí zpracovatel vázán stejnými povinnostmi, jaké jsou stanoveny v této smlouvě. I v takovém případě zůstává zpracovatel plně odpovědný správci za zpracování jakýchkoli osobních údajů prováděné dílčím zpracovatelem. Pro účely poskytování služeb zpracovatel využívá distributora jako svého dílčího zpracovatele. Zpracovatel je povinen informovat správce o jakýchkoli zamýšlených změnách týkajících se přidání nebo nahrazení dalších dílčích zpracovatelů, čímž správci umožní vznést proti těmto změnám námitky. Jakékoli námitky proti novému dílčímu zpracovateli musí být doručeny do sedmi (7) pracovních dnů od oznámení, jinak se má za to, že nový dílčí zpracovatele byl správcem odsouhlasen. Pokud správce vznese důvodné námitky vůči novému dílčímu zpracovateli a tyto námitky nelze v přiměřené lhůtě uspokojivě vyřešit, je správce oprávněn tuto smlouvu vypovědět bez sankcí s třicetidenní (30) výpovědní lhůtou prostřednictvím písemného oznámení zpracovateli. Pokud námitka správce zůstane nevyřešena po dobu třiceti (30) dnů od jejího vznesení a zpracovatel v této lhůtě neobdrží oznámení o ukončení smlouvy, má se za to, že správce nového dílčího zpracovatele akceptoval.
5. Území zpracování. Zpracovatel vynaloží maximální úsilí, aby zajistil, že se zpracování uskuteční v Evropském hospodářském prostoru nebo na základě rozhodnutí správce v zemi označené rozhodnutím Evropské komise jako bezpečné. V případě převodu a zpracování osobních údajů umístěných mimo Evropský hospodářský prostor nebo zemi, která byla rozhodnutím Evropské komise označena jako bezpečná, se použijí standardní smluvní doložky (dostupné zde: Standardní smluvní doložky | ESET Services | ESET Online nápověda.
6. Zabezpečení. Zpracovatel je certifikován na ISO 27001 a používá soustavu ISO 27001 k implementaci bezpečnostní strategie vrstvené obrany při použití prvků zabezpečení ve vrstvě sítě, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Dodržování regulačních a smluvních požadavků je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy zpracovatele. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Zpracovatel zajistil zabezpečení údajů pomocí systému řízení bezpečnosti (ISMS) na základě ISO 27001. Bezpečnostní dokumentace zahrnuje především dokumenty zásad pro bezpečnost informací, fyzickou bezpečnost a bezpečnost zařízení, správu incidentů, postupy při úniku dat a bezpečnostních incidentech atd.
7. Technická a organizační opatření. Zpracovatel bude chránit osobní údaje před neúmyslným nebo nezákonným poškozením či zničením, neúmyslnou ztrátou, změnou, neoprávněným přístupem a vyzrazením. Za tímto účelem zpracovatel přijme adekvátní technická a organizační opatření odpovídající režimu zpracování a riziku, které zpracování představuje pro práva subjektů údajů, v souladu s požadavky GDPR. Podrobný popis technických a organizačních opatření je uveden v bezpečnostní dokumentaci ke konkrétnímu produktu.
8. Kontaktní informace zpracovatele. Všechna oznámení, žádosti, požadavky a jiná sdělení týkající se ochrany osobních údajů je třeba adresovat společnosti ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.