Common use of Zpracovávání osobních Clause in Contracts

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II... 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy smlouvy, a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci a projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMPXXX XXXX, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 7 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě čl. 125 nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II1303/2013. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondufondu pro regionální rozvoj, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci Správc i veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí uplynut í zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 15 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli Zpracovat eli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí uplynut í doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci likvidac i Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými stanovený mi Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce Správc e odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných zpracovávaný ch Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené uveden v tzv. kartě účastníka projektu (publikované na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvouxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/). Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému neoprávněném u nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách prostorác h užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neseznám í neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcírozvoj; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních individuálníc h přístupových údajů, a to v rozsahu odpovídajícím odpovídajíc ím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem Zpracovat elem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních Osobníc h údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti povinnos t i stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisempředpisem ; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel Zpracovat el zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem Zpracovat elem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným oprávněný m provádět kontrolu dle čl. V. odst. 11 12 této smlouvy nebo kterým takové právo plyne z právních právníc h předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti mlčenlivost i podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných případný ch navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. údaje.. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že že (a) případnému případném u dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené uveden v tzv. kartě účastníka projektu (publikované na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvouxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/). Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě čl. 125 nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II1303/2013. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondufondu pro regionální rozvoj, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Přihláška žáků do školy; Přihláška dětí do dětské skupiny; Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu; Soupiska v Excelu s přesným datem registrace osob, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvoucelkovým počtem osob a počtem tříd/dětských skupin, třídní knihy či jiné evidence docházky. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci a udržitelnosti projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcírozvoj; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMPXXX XXXX, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 13 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“).jen 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 76. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 97. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 108. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 119. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 1210. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené uveden v tzv. kartě účastníka projektu (publikované na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvouxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/). Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 1311. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 1412. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování).antivirovou 1513. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 1614. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy.jen 1715. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 1816. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 1917. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 2018. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 2119. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 2220. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 2321. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 2622. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 2723. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 2824. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 2925. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 3026. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 3127. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;těchto

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMPXXX XXXX, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy smlouvy, a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Evidence žáků školami, Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje , Prezenční listiny, popřípadě certifikáty, osvědčení z kurzů, zpráva - reflexe z projektové výuky, ze zahraniční stáže a případně další dokumenty dle plánovaných aktivit projektutextu výzvy, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvouReflexní zprávy, Karta účastníka. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce.dokumentaci 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMPXXX XXXX, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě čl. 125 nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II1303/2013. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondufondu pro regionální rozvoj, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy smlouvy, a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Přihláška žáků do školy; Přihláška dětí do dětské skupiny; Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu; Soupiska v Excelu s přesným datem registrace osob, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvoucelkovým počtem osob a počtem tříd/dětských skupin, třídní knihy či jiné evidence docházky. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci a udržitelnosti projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcírozvoj; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 13 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy smlouvy, a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školydefinován Přílohou č. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných 6 Pravidel pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele žadatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;publikována zde:

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě čl. 125 nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II1303/2013. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondufondu pro regionální rozvoj, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 15 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení uveden v tzv. kartě účastníka projektu (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;publikované na

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě čl. 125 nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II1303/2013. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“).jen 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Přihláška žáků do školy; Přihláška dětí do dětské skupiny; Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu; Soupiska v Excelu s přesným datem registrace osob, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvoucelkovým počtem osob a počtem tříd/dětských skupin, třídní knihy či jiné evidence docházky. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci a udržitelnosti projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy.: 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány.: 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů.: 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 13 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob zejména na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II... 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy smlouvy, a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následujícídefinován Přílohou č. 6 Pravidel pro žadatele a příjemce (publikována zde: - osobní údaje žáků/dětí: jménoxxxx://xxxxxxxxxxxxxx.xx/xxxxxxxxxx/), příjmeníresp. přílohami, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech které jsou v Příloze č. 6 vymezené pro dokládání vybraných indikátorů ve výzvě. Jde zejména o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci a projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMP, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 7 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;

Zpracovávání osobních. údajů‌ 1. Poskytovatel (pro účely tohoto článku smlouvy dále jen „Správce“) a příjemce (pro účely tohoto článku smlouvy dále jen „Zpracovatel“) sjednávají v tomto článku smlouvy podmínky zpracování osobních údajů v souladu s čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“), které je Správce oprávněn zpracovávat u v projektu podpořených fyzických osob na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, zejména jeho přílohy I a II. 2. Zpracovatel při činnosti pro Správce podle této smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob podpořených v projektu (dále jen „Subjekt údajů“) za účelem prokázání řádného a efektivního nakládání s prostředky Evropského sociálního fondu, státního rozpočtu a rozpočtu Správce, které byly na realizaci projektu poskytnuty touto smlouvou. Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“). 3. Účelem tohoto článku smlouvy je vymezení práv a povinností smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů. 4. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této smlouvě. Zpracovatel pověření Správce přijímá a zavazuje se na vyžádání předat Správci veškeré informace potřebné k doložení splnění povinností stanovených tímto článkem smlouvy. 5. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání této smlouvy a do doby uplynutí zákonných promlčecích lhůt pro uplatnění práv z této smlouvy nebo po dobu stanovenou právním předpisem bude-li delší, nejméně však po dobu 10 let od ukončení realizace projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku poté, kdy byla Zpracovateli vyplacena závěrečná platba, příp. kdy Zpracovatel poukázal přeplatek dotace stanovené na základě schváleného vyúčtování způsobilých výdajů v závěrečné žádosti o platbu zpět Správci. 6. Nedohodnou-li se smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle předchozího odstavce Zpracovatel provede likvidaci Osobních údajů a jejich kopií, včetně případných nosičů poskytnutých Správcem. 7. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním této smlouvy a to za účelem jejího plnění nebo k účelům a prostředky stanovenými Správcem. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely. 8. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů. 9. Zpracování Osobních údajů podle této smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce. 10. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s touto smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění této smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů. 11. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 7 tohoto článku smlouvy. 12. Kategorie Subjektů údajů jsou fyzické osoby podpořené v rámci projektu a typ zpracovávaných Osobních údajů je následující: - osobní údaje žáků/dětí: jméno, příjmení, třída; - osobní údaje pracovníků projektu: jméno, příjmení, rodné číslo, pracovní pozice, osobní údaje uvedené na pracovních dokumentech a dokladech o splnění požadované kvalifikace, podpis; - osobní údaje dalších zapojených osob: jméno, příjmení, titul, funkce, datum narození, email, podpis; - osobní údaje na těchto dokumentech, které nemají závaznou podobu: Posudek z pedagogicko-psychologické poradny, zdravotní posudek, potvrzení (prohlášení) ředitele školy. Zpracovatel bude zpracovávat osobní údaje dle plánovaných aktivit projektu, výše je uveden rozsah osobních údajů platných pro všechny aktivity podporované 28. výzvou. Zpracovatel bude s Osobními údaji nakládat v rozsahu následujících operací – shromažďování, uspořádávání, archivování a používání pro plnění povinností Zpracovatele daných touto smlouvou, zejména pak při zpracovávání zpráv o realizaci projektu. 13. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů. 14. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů spočívající v uchovávání listinné podoby Osobních údajů výlučně v uzamykatelných prostorách užívaných výlučně Zpracovatelem a zabezpečení výpočetní techniky umožňující přístup k Osobním údajům v elektronické podobě tamtéž včetně jejího vybavení antivirovou ochranou a individuálními přístupovými právy osob specifikovaných v odstavci 16. tohoto článku smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování). 15. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a/nebo v elektronické podobě pomocí prostředků informačních technologií. 16. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci a pracovníci Zpracovatele, dále jen „Oprávněné osoby“); - v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba; - o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány; - Osobní údaje nelze posílat faxem; - pokud je k výkonu činností podle této smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení této smlouvy. 17. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů: - elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně v MS2014+, jehož správcem je Ministerstvo pro místní rozvoj a v IS ESF 2014+, jehož správcem je Ministerstvo práce a sociálních věcí; - přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby; - o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány. 18. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení Osobních údajů, a to po předchozím oznámení ze strany Správce. 19. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen: - okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení; - neprodleně, v každém případě nejpozději do 24 hodin o narušení zabezpečení Osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených Subjektů údajů, rozsah dotčených Osobních údajů, dopady narušení zabezpečení Osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem řediteli odboru FON MHMPFOX XXXX, jehož kontaktní údaje jsou dostupné na xxx.xxxxx.xx; - bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem; - na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů. 20. Splněním povinností Zpracovatele podle předchozího odstavce tohoto článku smlouvy není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce. 21. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení povinností stanovených v tomto článku smlouvy. 22. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu touto smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této smlouvy. 23. V případě vzniku újmy podle předchozího odstavce tohoto článku smlouvy se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením této smlouvy ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce. 24. Zpracování Osobních údajů podle této smlouvy má důvěrnou povahu. 25. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám, dalším zpracovatelům v souladu s odstavcem 31 tohoto článku smlouvy a orgánům oprávněným provádět kontrolu dle čl. V. odst. 11 této smlouvy nebo kterým takové právo plyne z právních předpisů. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly doložitelně k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů. 26. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů. 27. Smluvní strany jsou při zpracování Osobních údajů podle této smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem. 28. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této smlouvy s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům. 29. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost. 30. Zpracovatel je povinen poskytnout Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k Osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí. 31. Zpracovatel je povinen uzavřít smlouvu dle čl. 28 (3) GDPR s partnerem nebo dodavatelem, pokud taková osoba má v souvislosti s realizací projektu zpracovávat Osobní údaje a stejnou povinnost musí stanovit závazně partnerovi vůči jeho dodavatelům. Zpracovatel je povinen předem Správce informovat o veškerých subjektech, které mají v projektu působit jako zpracovatelé Osobních údajů nebo jejich nahrazení. Správce je oprávněn vůči zapojení těchto subjektů jakožto zpracovatelů Osobních údajů uplatnit námitky. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na Ochranu osobních údajů, jaké jsou uvedeny v této smlouvě;