Smlouva o zpracování údajů (SZÚ) dle čl. 28 GDPR mezi Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – dále jen „Zpracovatel“ – a příslušným zákazníkem – dále jen „Správce“ –

1. Předmět a doba zpracování

(1) Zpracovatel poskytuje Správci služby v oblasti IT bezpečnosti a detekce botů prostřednictvím služby „SilentShield.io“.

(2) Předmětem zpracování je automatizovaná analýza a filtrování datových toků za účelem detekce a prevence útoků a zneužití přístupu.

(3) Doba zpracování odpovídá době trvání příslušné hlavní smlouvy.

2. Povaha a účel zpracování

Zpracování se provádí zejména pro následující účely:

• Detekce a prevence automatizovaného přístupu (boty)
• Ochrana před útoky (např. DDoS, spam)
• Zajištění stability a dostupnosti systému
• Analýza přístupových vzorců pro prevenci hrozeb

Mohou být přijímána automatizovaná rozhodnutí (např. blokování požadavků), pokud je to nezbytné pro bezpečnost systému.

3. Druhy údajů

• IP adresy
• Údaje z HTTP hlaviček
• Informace o prohlížeči a zařízení
• Přístupové údaje (časové razítko, URL, požadavky)
• Údaje o interakci a chování

4. Kategorie subjektů údajů

• Návštěvníci webových stránek Správce
• Uživatelé online služeb Správce

5. Povinnosti Správce

(1) Správce odpovídá za zákonnost zpracování údajů.

(2) Správce zajistí, že je oprávněn předávat údaje Zpracovateli.

(3) Správce plní své informační povinnosti vůči subjektům údajů.

6. Povinnosti Zpracovatele

Zpracovatel:

• zpracovává údaje výhradně na základě dokumentovaných pokynů
• zajišťuje přiměřená technická a organizační opatření
• zajišťuje důvěrnost
• poskytuje součinnost při uplatňování práv subjektů údajů
• poskytuje součinnost při posuzování vlivu na ochranu osobních údajů

7. Technická a organizační opatření (TOMs)

Zpracovatel zavádí zejména následující opatření:

• Šifrování TLS/SSL
• Řízení přístupu a modely rolí
• Protokolování a monitorování
• Ochrana před neoprávněným přístupem
• Pravidelné bezpečnostní audity

8. Dílčí zpracovatelé

• Cloudflare, Inc. (USA) – CDN, WAF, proxy, ochrana DDoS
• STRATO AG (Německo) – Hosting a infrastruktura

(2) Zpracovatel zajistí, že všichni dílčí zpracovatelé jsou vázáni v souladu s čl. 28 GDPR.

(3) Správce uděluje obecné oprávnění k využívání těchto dílčích zpracovatelů.

(4) Aktuální seznam dílčích zpracovatelů je poskytován na vyžádání nebo prostřednictvím webové stránky.

9. Předávání do třetích zemí

(1) Může dojít k předání osobních údajů do třetích zemí (zejména do USA).

(2) Taková předání se uskutečňují výhradně v souladu s GDPR, zejména prostřednictvím:

• Standardních smluvních doložek EU (čl. 46 GDPR)
• Případně rámec pro ochranu údajů EU-USA

10. Kontrolní práva

(1) Správce je oprávněn ověřovat dodržování této smlouvy.

(2) Zpracovatel k tomu poskytuje vhodné informace.

(3) Audity musí být oznamovány s přiměřeným předstihem a nesmí nepřiměřeně narušovat provoz.

11. Výmaz údajů

Po ukončení smlouvy budou osobní údaje dle volby Správce vymazány nebo vráceny, pokud neexistují zákonné povinnosti uchovávání.

12. Odpovědnost

Platí ustanovení o odpovědnosti z hlavní smlouvy.