Zpracovatelská smlouva (DPA)

PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ÚVOD A ÚČEL TĚCHTO PODMÍNEK

Naše spolupráce. Uzavřeli jsme spolu smlouvu o užívání aplikací Growy NET a Growy CRM („Smlouva“). Na základě Smlouvy užíváte buď aplikaci Growy NET, Growy CRM nebo obě. V souvislosti se Smlouvou můžeme v určitých případech zpracovávat osobní údaje vašich zaměstnanců, osob jednajících za vaši společnost (např. jednatel) a jiných spolupracovníků (např. administrátor Aplikací). V tomto dokumentu pro zjednodušení všem říkáme „Zaměstnanci“. Zároveň zpracováváme i osobní údaje vašich zákazníků, pokud je do Aplikací zadáte. Těm zjednodušeně říkáme „Zákazníci“. 

Co se v podmínkách dozvíte? Tyto podmínky slouží jako smlouva o zpracování osobních údajů, kterou mezi sebou musí uzavřít správce a zpracovatel osobních údajů dle čl. 28 nařízení 
č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („GDPR“).

Režim těchto podmínek. Tyto podmínky jsou buď přílohou Podmínek užívání aplikací Growy NET a Growy CRM („Podmínky“), pokud je obsah naší Smlouvy určen Podmínkami, anebo přílohou zvláštní Smlouvy, kterou spolu sjednáme a uzavřeme individuálně. To se stane zejména tehdy, pokud budete mít nějaké zvláštní požadavky na Aplikace. Schválením Podmínek nebo podpisem zvláštní Smlouvy berete na vědomí a souhlasíte i s těmito podmínkami. Jiná pravidla pro zpracování osobních údajů si musíme domluvit. Pokud si je domluvíme, mají přednost před těmito podmínkami. 

Jaké role máme? Vy jste správcem osobních údajů. Při své obchodní činnosti zpracováváte osobní údaje Zaměstnanců a Zákazníků. My jsme zpracovatelem osobních údajů. To znamená, že na základě těchto podmínek, vašich pokynů a vašeho užívání Aplikací budeme pro vás zpracovávat osobní údaje Zaměstnanců a Zákazníků v souvislosti s vaším používáním Aplikací.

Kdy jsme správce my? Ve vztahu k některým osobním údajům vás či vašich Zaměstnanců můžeme být správcem i my. Více se dozvíte v dokumentu Zásady zpracování osobních údajů dostupném zde: https://growycrm.cz/zasady-zpracovani-osobnich-udaju/.

Vaše odpovědnost. O rozsahu zpracování rozhodujete vždy výhradně vy, a zároveň jste současné odpovědní za zajištění souladu stanoveného rozsahu zpracování v souladu s GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Prohlašujete, že údaje, které vkládáte do Aplikací, spravujete v souladu s předpisy a plníte veškeré povinnosti správce dle aktuálně účinných předpisů. 

Naše pověření. Vy jako správce nás ve smyslu čl. 28 GDPR pověřujete zpracováním osobních údajů podle těchto podmínek.

Pojmy. Pojmy používané v těchto podmínkách s velkým úvodním písmenem mají stejný význam jako v Podmínkách nebo naší individuální Smlouvě.

PŘÍSTUP K ÚDAJŮM A DŮVOD ZPRACOVÁNÍ 

Osobní údaje. Předmětem zpracování jsou osobní údaje subjektů údajů, které jsou vámi poskytovány při využívání Služeb, a případně další údaje poskytnuté třetími stranami na základě vašeho pokynu. Pro přehlednost jsme se snažili v tomto článku vyjmenovat ty údaje, které budeme nejčastěji zpracovávat. 

Osobní údaje Zaměstnanců. Především při používání aplikace Growy NET pro vás zpracováváme osobní údaje Zaměstnanců. Přístup k těmto osobním údajům můžeme získat třemi způsoby:

Používáním Aplikací ze strany Zaměstnance. Aby Zaměstnanec mohl mít v Aplikacích svůj Účet, musíme mít jeho osobní údaje a Účet mu zřídit (případně máme k těmto údajům přístup ve chvíli, kdy mu Účet zřídíte vy a tím osobní údaje v Aplikacích uložíte).

Komunikací se Zaměstnancem. Osobní údaje Zaměstnance zpracováváme i tehdy, pokud s námi nějakým způsobem komunikuje v souvislosti s Aplikacemi (např. požadavky na podporu a jiné dotazy).

Uložením údajů o Zaměstnanci. Pokud vy nebo váš Zaměstnanec uložíte do Aplikace údaje jiného Zaměstnance, zpracováváme jeho údaje.

Konkrétní údaje Zaměstnanců. Aby Zaměstnanec mohl používat Aplikace ve smyslu odst. 2.2.1, dáváte nám ke zpracování přinejmenším následující osobní údaje:

Identifikační údaje (zejm. jméno a příjmení);

Kontaktní údaje (zejm. e-mail a telefonní číslo);

Přihlašovací údaje (zejm. uživatelské jméno a heslo);

Údaje o pracovním zařazení Zaměstnance (zejm. pracovní pozice, vztah s vámi, přiřazená role u vás);

Další údaje, které nám vy nebo Zaměstnanec poskytnete v Aplikacích nebo při vzájemné komunikaci (zejm. se bude jednat o údaje, o tom, na jakých projektech pracují, jaké je jejich pracovní vytížení, jaká je jejich efektivita, případně další údaje dle zpřístupněných a využívaných funkcí Aplikací).

Totéž platí i pro zpracování osobních údajů dle odst. 2.2.2. a 2.2.3.

Účel zpracování. Osobní údaje Zaměstnanců můžeme zpracovávat za následujícím účelem:

Umožnění používání Aplikací. Aby mohl Zaměstnanec Aplikace používat, musíme dané osobní údaje mít. Pro používání Aplikací je totiž potřeba, aby každý vámi pověřený Zaměstnanec měl svůj Účet. To umožní, aby se do Aplikací přihlašoval, jakož i to, aby mohl komunikovat s dalšími Zaměstnanci, evidoval uskutečněné úkoly, klienty a činil jiné úkony. Pokud o Zaměstnanci v Aplikacích ukládáte jeho osobní údaje vy nebo jiný váš Zaměstnanec, zpracováváme tyto údaje pro umožnění používání Aplikací vám a vašim dalším Zaměstnancům, a tedy i pro účely plnění Smlouvy.

Komunikace s námi. Pokud se na nás Zaměstnanec obrátí, například s dotazem k Aplikacím, musíme znát jeho totožnost, abychom mu mohli poradit. Totéž platí i tehdy, pokud některého z pověřených Zaměstnanců potřebujeme v souvislosti s Aplikacemi a našimi službami kontaktovat my.

Potřebujeme skutečně osobní údaje? Ano, abychom umožnili použití Aplikace Zaměstnancům a plnili Smlouvu s vámi, jejich osobní údaje jsou pro to nezbytné. 

Osobní údaje Zákazníků. Především při používání aplikace Growy CRM, kromě osobních údajů Zaměstnanců zpracováváme i osobní údaje vašich Zákazníků. Je na vás, které údaje po Zákaznících budete v Aplikacím vyplňovat. Podle toho budeme zpracovávat osobní údaje. Zpravidla se bude jednat o následující osobní údaje:

Identifikační údaje (zejm. jméno a příjmení, obchodní firma, identifikační číslo);

Kontaktní údaje (zejm. e-mail, telefonní číslo);

Adresní údaje (adresa);

Údaje relevantní pro váš projekt (zejm. služba, kterou Zákazníkovi poskytujete, stav projektu, klíčové termíny, schůzky se Zákazníkem apod.);

Fakturační a bankovní údaje. (zejm. informace objevující se na fakturách, bankovní spojení a informace o přijatých nebo odeslaných platbách);

Údaje o obchodním vztahu (zejm. historie objednávek nebo projektů, cenové nabídky, fakturace a platební podmínky, datum zahájení a ukončení spolupráce);

Další údaje, které nám vy nebo Zaměstnanec poskytnete v Aplikacích nebo při komunikaci s námi (zejm. různé lhůty, údaje v dokumentech nahraných do Aplikací, historie komunikace se Zákazníkem, údaje importované z jiných aplikací).

Účel zpracování. Osobní údaje Zákazníků můžeme zpracovávat za následujícím účelem:

Umožnění používání Aplikací. Abyste mohli vy a vaši Zaměstnanci pracovat s Aplikacemi (hlavně Growy CRM) efektivně a pracovat v ní s údaji Zákazníků, musíte zadat osobní údaje Zákazníků do Aplikací. My k nim poté máme přístup. Bez tohoto by nebylo možné jejich využití, evidence a správa.

ZPŮSOB ZPRACOVÁNÍ

Povaha zpracování osobních údajů. Zpracování osobních údajů na naší straně může mít povahu shromažďování, zaznamenávání, ukládání na nosiče informací, třídění, předávání a uchovávání, jakož i další povahu nezbytnou k plnění Smlouvy, a to automatizovaně a případně i manuálně tak, aby tato činnost odpovídala účelu zpracování osobních údajů.

Za co odpovídáte vy. Jak jsme řekli už v úvodu, vy odpovídáte za to, že osobní údaje nám poskytnuté zpracováváte v souladu s předpisy. Nepředávejte nám prosím osobní údaje, které toto nesplňují. Vy dále určujete i to, jaké osobní údaje budeme zpracovávat, jak dlouho a proč, a to zejména svým používáním Aplikací.

Za co odpovídáme my. My odpovídáme za to, že se budeme řídit těmito podmínkami a vašimi pokyny a budeme osobní údaje také zpracovávat pouze v souladu s uvedenými právními předpisy.

Pokyny. Zpracování osobních údajů probíhá na základě Vašich pokynů, jakožto správce. Hlavními pokyny ke zpracování jsou tyto podmínky, Podmínky, Smlouva a případně i přímo činnosti, které vy a/nebo Zaměstnanci provádějí v Aplikacích. Pokud nám chcete dát další pokyny ke zpracování osobních údajů, musíte tak učinit písemně. Napište nám na podpora@growy.cz. Pokud zjistíme, že váš pokyn porušuje právní předpisy, neprodleně vám to oznámíme. Pokud budete trvat na tomto pokynu nebo situaci nenapravíte, jsme oprávněni případně odstoupit od Smlouvy.

DALŠÍ DŮLEŽITÉ INFORMACE

Doba zpracování. Osobní údaje Zaměstnanců a Zákazníků budeme zpracovávat po dobu trvání Smlouvy, není-li jinde v těchto podmínkách uvedeno jinak. Pokud jejich údaje smažete z Aplikací nebo jednotlivé aplikace dříve, tak jejich zpracování ukončíme bez zbytečného odkladu po jejich smazání. Dále se budeme řídit odst. 4.2.  

Co se s údaji stane po skončení spolupráce? Údaje o Zaměstnancích a Zákaznících si můžete ve strojově čitelném formátu stáhnout nejpozději do 15 dnů od skončení Smlouvy. Na své straně veškeré osobní údaje prokazatelně vymažeme z Aplikací i všech úložišť nejpozději ve lhůtě 60 dnů po skončení doby zpracování, ledaže s ohledem na právní předpisy musíme nebo můžeme některé údaje zpracovávat dál (naše právní povinnost nebo oprávněný zájem).

Lokalita uložení. Všechny osobní údaje ukládáme na serverech v ČR nebo v jiných zemích EU.

Bezpečnostní opatření. 

Zavazujeme se přijmout nezbytná technická, organizační a jiná potřebná opatření, která zabezpečí ochranu osobních údajů. Našim cílem samozřejmě je, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému zneužití. Přehled opatření uvádíme v odst. 4.12. těchto podmínek.

Předávání osobních údajů. 

Při zpracování osobních údajů můžeme využívat další zpracovatele („Subzpracovatel“). Jednou skupinou těchto Subzpracovatelů jsou naši kolegové, kteří se podílejí na poskytování našich služeb (především pak poskytovatelé hostingu nebo IT služeb) a nejsou našimi zaměstnanci (např. OSVČ dodavatelé). Zároveň jako Subzpracovatele využíváme dodavatele, kteří mohou mít přístup k osobním údajům. Může se jednat např. o poskytovatele cloudových a jiných úložišť nebo dalšího software potřebného k poskytování Aplikací. Dáváte nám obecné povolení tyto Subzpracovatele zapojit. Informujeme vás o všech změnách, ať už jde o přijetí nových Subzpracovatelů nebo jejich nahrazení. Vy můžete do 14 dnů od tohoto informování jakkoli uplatnit svoje námitky. Zavazujete se však neuplatňovat námitky bezdůvodně. Seznam Subzpracovatelů ke dni podpisu Smlouvy je následující:

Hetzner Online GmbH 

SmartSelling a.s. (služba SmartEmailing)

Sentry.io

Intercom

Google analytics

Povinnosti Subzpracovatele. Pokud Subzpracovatele zapojíme, zavážeme ho minimálně stejnými povinnostmi jako jsou stanoveny v těchto podmínkách. Budeme po něm požadovat, aby dodržoval GDPR a chránil předáváme osobní údaje s využitím dostatečných bezpečnostních opatření.

Součinnost. Budeme Vám nápomocni při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR ve vztahu k Zaměstnancům a Zákazníkům, při zohlednění informací, které máme k dispozici. Pokud se nám ozve nějaký váš Zaměstnanec či Zákazník a uplatní svoje práva související se zpracováním osobních údajů, tuto žádost vám bez zbytečného odkladu předáme k vyřešení.

Mlčenlivost. Budeme zachovávat mlčenlivost o všech osobních údajích a dalších skutečnostech, o nichž se dozvíme při zpracování osobních údajů. Budeme s nimi nakládat jen v rozsahu a míře nutné k naplnění Smlouvy, těchto podmínek a uvedených účelů zpracování. Naši zaměstnanci a spolupracovníci jsou řádně proškoleni pro nakládání s osobními údaji a budou také zachovávat jejich důvěrnost a mlčenlivost, jakož i dodržovat veškerá opatření požadovaná čl. 32 GDPR týkající se zabezpečení osobních údajů svěřených ke zpracování.

Audity. Na vaši žádost vám poskytneme veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v článku 28 GDPR. Umožníme vám nebo třetí straně audit v přiměřeném rozsahu, a to maximálně jedenkrát za dva roky a po předchozím písemném oznámení alespoň 30 dnů předem. Jsme oprávněni odmítnout vámi navrhovaný termín a navrhnout vám alternativní termín, který nesmí být později než 30 dnů po vámi původně navrhovaném termínu. Náklady auditu hradíte vy. Jste zároveň povinni zachovávat mlčenlivost ohledně veškerých informací zjištěných v rámci auditu týkajících se naší společnosti, zejména našich bezpečnostních politik a standardů. Jste povinni ve stejném rozsahu zavázat i třetí osoby jím pověřené k provedení auditu.

Naše opatření. Za účelem splnění svých závazků s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavazujeme zabezpečit zpracování údajů alespoň následujícím způsobem:

používáme zabezpečená úložiště a přístupy do Aplikací a jiných našich i vašich systémů, kdy přístupy budou známy pouze nezbytnému rozsahu našich zaměstnanců a spolupracovníků;

používáme zabezpečený přístup do administrace či jiné databáze osobních údajů;

pro zpracování osobních údajů užíváme software a služby, které splňují standardní požadavky pro bezpečnost dat;

bez vašeho předchozího souhlasu netvoříme kopie databáze osobních údajů vyjma nezbytných technických záloh;

užíváme vhodné prostředky zabezpečení, např. šifrování či jiné vhodné a potřebné prostředky vždy v závislosti na konkrétním jednání a datech;

neumožníme přístup k osobním údajům třetím osobám, pokud tento přístup nebude písemně schválen vámi nebo neplyne-li to ze Smlouvy;

zpracováváme osobní údaje v takové podobě, v jaké nám byly vámi předány;

zpracováváme pouze osobní údaje za účely vymezenými těmito podmínkami a v rozsahu nutném pro naplnění těchto účelů.

Oznámení bezpečnostního incidentu. Pokud zjistíme, že došlo při poskytování našich služeb a nakládání s osobními údaji na naší straně k bezpečnostnímu incidentu a narušení zpracování osobních údajů, bez zbytečného odkladu vám toto oznámíme.

ZÁVĚR

Změny podmínek. V případě změny podmínek vás budeme o změně předem informovat. Pokud byste byli toho názoru, že změna vede k porušení GDPR či jiných právních předpisů, sdělte nám to. Takovou změnu jste oprávněni odmítnout a my provedeme nezbytné úpravy, abychom situaci napravili.

Účinnost podmínek. Tyto podmínky nabývají pro vás účinnosti schválením Podmínek nebo podpisem zvláštní Smlouvy. Řídíme se jimi však i dříve, pokud vám nějaké služby poskytujeme ještě předtím.

Tyto podmínky jsou účinné od 01.09.2025.