Zmluva o spracúvaní osobných údajov (DPA)

Článok 1 — Zmluvné strany

Správca: Organizácia (spolok, SVJ, záujmové združenie) registrovaná na platforme verwalt.ch, zastúpená administrátorom organizácie ("Správca" alebo "Organizácia").

Spracovateľ: TimeDeals Pavelka, Berglistrasse 28a, 8180 Bülach, Švýcarsko, UID: CHE-393.597.780, prevádzkovateľ platformy verwalt.ch ("Spracovateľ").

Článok 2 — Predmet a doba trvania

2.1 Spracovateľ spracúva osobné údaje menom Správcu výlučne za účelom poskytovania služieb platformy verwalt.ch (správa členstva, hlasovanie, dokumenty, komunikácia, auditné záznamy).

2.2 Táto zmluva je účinná po dobu používania platformy Správcom. Po ukončení používania sa uplatní ustanovenie o vrátení a výmaze údajov (čl. 9).

Článok 3 — Povaha a účel spracovania

• Správa členskej základne organizácie
• Prevádzka elektronického hlasovania a generovanie záznamov o výsledkoch
• Ukladanie a sprístupňovanie dokumentov členom organizácie
• Vedenie auditnej stopy činností v organizácii
• Odosielanie transakčných e-mailov menom organizácie
• Prevádzka interne komunikácie (fórum, správy)

Článok 4 — Kategórie údajov a subjektov

Subjekty údajov:

• Členovia organizácie
• Administrátori organizácie
• Osoby, ktoré podali žiadosť o členstvo

Kategórie údajov:

• Identifikačné údaje: e-mailová adresa, meno (ak je uvedené)
• Členské údaje: príslušnosť k organizácii, rola, stav členstva
• Hlasovacie záznamy: odovzdané hlasy, čas hlasovania
• Komunikačné údaje: príspevky na fóre, správy
• Dokumenty nahrané do systému
• Auditné záznamy: kto/čo/kedy v kontexte organizácie
• Záznamy o doručení e-mailov

Článok 5 — Povinnosti spracovateľa

• 5.1 Pokyny Správcu: Spracovateľ spracúva údaje výlučne na základe doložených pokynov Správcu, vrátane pokynov obsiahnutých v tejto zmluve a v rámci funkcionality platformy. Správca udelí pokyny prostredníctvom nastavení a akcií v platforme.
• 5.2 Dôvernosť: Spracovateľ zabezpečí, že osoby oprávnené spracovávať údaje sa zaviazali k mlčanlivosti.
• 5.3 Bezpečnosť: Spracovateľ implementuje primerané technické a organizačné opatrenia podľa čl. 32 GDPR (pozri stránka Zabezpečenie a Zásady ochrany údajov, bod 11).
• 5.4 Súčinnosť: Spracovateľ poskytne Správcovi primeranú súčinnosť pri plnení povinností podľa čl. 32–36 GDPR (bezpečnosť, oznámenie porušenia, posúdenie vplyvu).
• 5.5 Práva subjektov: Spracovateľ pomôže Správcovi pri vybavovaní žiadostí subjektov údajov (prístup, oprava, výmaz, prenositeľnosť).
• 5.6 Oznámenie porušenia: Spracovateľ bez zbytočného odkladu (najneskôr do 48 hodín) informuje Správcu o akomkoľvek porušení zabezpečenia osobných údajov.
• 5.7 Obmedzenie prístupu spracovateľa: Spracovateľ pristupuje k osobným údajom členov organizácie výlučne za účelom technickej údržby, riešenia chýb a zabezpečenia systému. Spracovateľ nepristupuje k obsahu hlasovania, diskusií, správ ani dokumentov organizácie, ak to nie je nevyhnutné pre vyriešenie technického problému na žiadosť správcu organizácie. Prístup spracovateľa k údajom je technicky obmedzený a zaznamenaný v audit logu.

Článok 6 — Dielči spracovatelia (subprocessors)

6.1 Správca súhlasí s použitím nasledujúcich dielčich spracovateľov:

6.2 Spracovateľ informuje Správcu o zamýšľaných zmenách dielčich spracovateľov s predstihom 30 dní. Správca môže proti zmene vzniesť námietku; ak tak urobí a spracovateľ trvá na zmene, má Správca právo zmluvu vypovedať.

6.3 Spracovateľ zabezpečí, že každý dielčí spracovateľ poskytuje aspoň rovnakú úroveň ochrany osobných údajov, aká je stanovená touto zmluvou a príslušnými právnymi predpismi (GDPR / revDSG), najmä prostredníctvom zmluvných záväzkov.

6.4 Spracovateľ zodpovedá Správcovi za konanie a opomenutia dielčich spracovateľov, akoby šlo o jeho vlastné konanie.

Článok 7 — Predanie údajov do tretích krajín

7.1 Predanie údajov do Švajčiarska je kryté rozhodnutím Európskej komisie o primeranosti. Predanie do USA (Vercel, Postmark, Stripe, Sentry) je zabezpečené prostredníctvom EU-U.S. Data Privacy Framework.

7.2 Pre spracovanie osobných údajov subjektov vo Švajčiarsku sa tieto ustanovenia uplatnia v súlade s revidovaným švajčiarskym zákonom o ochrane osobných údajov (revDSG).

7.3 V prípade, že by prestalo platiť rozhodnutie o primeranosti, budú prenosy do tretích krajín zabezpečené prostredníctvom štandardných zmluvných doložiek (SCC).

Článok 8 — Audit

8.1 Spracovateľ umožní Správcovi alebo ním poverenému nezávislému auditorovi prístup k informáciám nevyhnutným na preukázanie plnenia povinností podľa čl. 28 GDPR, a to v primeranom rozsahu a po predchádzajúcom oznámení (min. 30 dní vopred).

8.2 Spracovateľ môže audit podmieniť podpisom dohody o mlčanlivosti zo strany auditora.

Článok 9 — Vrátenie a výmaz údajov

9.1 Po ukončení používania platformy Správcom umožní Spracovateľ export dát organizácie (členovia, hlasovanie, dokumenty, audit) vo strojovo čitateľnom formáte.

9.2 Po uplynutí primeranej lehoty na export (60 dní) Spracovateľ vymaže údaje organizácie, s výnimkou údajov, ktorých uchovanie vyžaduje zákon alebo oprávnený záujem (auditné logy, dôkazy o doručení).

Článok 10 — Záverečné ustanovenia

10.1 Táto zmluva sa riadi švajčiarskym právom. Pre riešenie sporov sú príslušné súdy v Bülach, Švajčiarsko.

10.2 Táto zmluva nadobúda účinnosť okamihom prijatia administrátorom organizácie na platforme (zaškrtnutie súhlasu pri registrácii organizácie alebo v nastavení organizácie). Prijatie je zaznamenané s časovou pečiatkou.

10.3 V prípade rozporu medzi touto zmluvou a Podmienkami používania má prednosť táto zmluva v rozsahu ochrany osobných údajov.