Platné znění. Naposledy aktualizováno 29. 6. 2026.
Tato smlouva o zpracování osobních údajů (dále jen smlouva) se uzavírá podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi školou nebo organizací, která využívá platformu CermatÍK pro své žáky (dále jen správce), a provozovatelem platformy CermatÍK (identifikační a kontaktní údaje viz Kontakt a faktura; dále jen zpracovatel).
Zpracovatel zpracovává osobní údaje žáků správce výhradně za účelem poskytování vzdělávací služby CermatÍK. To znamená správu žákovských účtů a tříd, sledování studijního pokroku a poskytování přehledů správci. Zpracování probíhá pouze na základě doložených pokynů správce a po dobu trvání licence (smluvního vztahu).
Správcem osobních údajů žáků je škola/organizace. Zpracovatelem je provozovatel CermatÍK, který údaje zpracovává jménem správce a nesmí je použít pro vlastní účely.
Údaje se zpracovávají po dobu platnosti licence. Po jejím ukončení zpracovatel údaje na pokyn správce vymaže nebo anonymizuje, nestanoví-li právní předpis jinak.
Zpracovatel se zavazuje: a) zpracovávat údaje pouze na základě doložených pokynů správce, včetně předání do třetí země jen tehdy, ukládá-li to právo; b) zajistit, aby se osoby oprávněné zpracovávat údaje zavázaly k mlčenlivosti; c) přijmout vhodná technická a organizační opatření podle čl. 32 GDPR (viz čl. 6); d) zapojit dalšího zpracovatele jen za podmínek dle čl. 7; e) být správci nápomocen vhodnými opatřeními při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv; f) být správci nápomocen při zajištění souladu s povinnostmi podle čl. 32 až 36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu); g) po ukončení poskytování služby všechny údaje vymazat nebo vrátit; h) poskytnout správci informace nezbytné k doložení souladu a umožnit audity (viz čl. 8).
Hesla jsou ukládána pouze v zašifrované (hashované) podobě, přenos dat probíhá přes zabezpečené spojení (TLS), přístup k údajům je omezen na nezbytné osoby a data jsou uložena na serverech v EU. Každá škola vidí pouze údaje svých žáků.
Správce uděluje zpracovateli obecné povolení zapojit další zpracovatele nezbytné k provozu služby (zejména poskytovatele hostingu v EU a službu pro odesílání e-mailů). Zpracovatel zaváže každého dalšího zpracovatele stejnými povinnostmi ochrany údajů a o zamýšlené změně bude správce informovat tak, aby mohl vznést námitku.
Zpracovatel poskytne správci na vyžádání informace nezbytné k doložení plnění povinností dle čl. 28 GDPR a umožní kontrolu po předchozí dohodě tak, aby nebyl nepřiměřeně narušen provoz služby.
Zpracovatel ohlásí správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozví, a poskytne součinnost při plnění oznamovacích povinností správce vůči dozorovému úřadu a subjektům údajů.
Údaje žáků jsou zpracovávány v rámci EU. K předání mimo EU dojde pouze tehdy, je-li zajištěna odpovídající úroveň ochrany (zejména standardní smluvní doložky EU), a po informování správce.
Správce odpovídá za zákonnost zapojení žáků a za informování žáků a jejich zákonných zástupců o zpracování. Zpracovatel odpovídá za zpracování v souladu s touto smlouvou a GDPR.
Tato smlouva tvoří nedílnou součást ujednání o poskytování služby školám. Přijetím poptávky a zřízením přístupu se má za to, že správce s tímto zněním souhlasí; individuální písemnou zpracovatelskou smlouvu lze uzavřít na vyžádání. Aktuální znění je vždy dostupné na webu.