dále jen „Smlouva“)

SML_42000xxxx

SMLOUVA O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

(dále jen „Smlouva“)

Státní zemědělský intervenční fond

se sídlem Xx Xxxxxxxx 000/00, 000 00 Xxxxx 0

IČO: 481 33 981

DIČ: CZ48133981

zastoupený: ……………………………..

(dále jen „Správce“)

a

…………………………………..

se sídlem………………………………………..

IČO:…………………………..

zastoupený: ……………………………….

zapsaná v obchodním rejstříku vedeném u ………………..soudu v…………, oddíl ………….., vložka……………./zapsaná u živnostenského úřadu vedeného u …………………………pod č.j. …………………..

(dále jen „Zpracovatel“)

(Správce a Zpracovatel společně též jen „Strany“ a každá samostatně jen „Strana“)

v souladu s článkem 28 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů nebo „GDPR“) se dohodly takto:

Úvodní ustanovení

(a) Správce uzavřel se Zpracovatelem dne DD. MM. RRRR Smlouvu o XXXXX (dále jako „Smlouva o poskytování služeb”), na jejímž základě Zpracovatel poskytuje Správci služby v této smlouvě popsané, při kterých může docházet ke zpracovávání Osobních údajů.

(b) Smluvní strany mají zájem upravit práva a povinností stran při zpracování Osobních údajů, k nimž dochází v rámci plnění Smlouvy o poskytování služeb, tak, aby tento jejich vztah dostál nárokům závazných právních předpisů, zejména pak s právy a povinnostmi zakotveným v Nařízení, příp. v příslušné národní právní úpravě, a za tímto účelem uzavírají tuto Smlouvu.

(c) Není-li v této Smlouvě uvedeno jinak, mají definovaná slova a spojení vyskytující se ve Smlouvě dále uvedený význam:

Nařízení - nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES,

Občanský zákoník nebo OZ - znamená zákon č. 89/2012 Sb., občanský zákoník, v platném znění,

Osobní údaj – je každá informace o identifikované nebo identifikovatelné osobě, pro účely této Smlouvy pak zejména údaje rozdělené do kategorií v odst. 2.1. této Smlouvy a Příloze č. 1 této Smlouvy,

Subjekt údajů – je fyzická osoba, jíž se týkají konkrétní Osobní údaje,

Zákon o zpracování OÚ – zákon č. 110/2019, Zákon o zpracování osobních údajů, tj. právní předpis doplňující některá ustanovení Nařízení.

I.

PŘEDMĚT A ÚČEL SMLOUVY

1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních a citlivých údajů (dále jen „Osobní údaje“), specifikované v Příloze č. 1 této Smlouvy, k nimž získá Zpracovatel přístup na základě plnění povinností dle uzavřené Smlouvy o poskytování služeb.

2. Účelem této Smlouvy je zajistit ochranu a zabezpečení Osobních údajů v souladu s Nařízením a příslušnou národní právní úpravou, při zpracovávání těchto údajů Zpracovatelem za účelem realizace práv a povinností dle Smlouvy o poskytování služeb.

3. Za Účelem smlouvy stanoveným v předchozím odst. 1.1 této Smlouvy Správce tímto pověřuje Zpracovatele ke zpracování Osobních údajů Subjektů údajů v rozsahu uvedeném v Příloze č. 1 této Smlouvy. Zpracovatel je dle tohoto článku Smlouvy oprávněn s Osobními údaji nakládat v souladu se Smlouvou o poskytování služeb (shromažďovat, zpracovávat a likvidovat).

II.

ZPŮSOB, ROZSAH A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

2.1 Zpracovatel je po dobu účinnosti Smlouvy o poskytování služeb oprávněn ke zpracování Osobních údajů, které mu budou případně předávány ze strany Správce v souvislosti s plněním povinností dle Smlouvy o poskytování služeb. Osobní údaje budou Zpracovateli předávány Subjektem údajů v elektronické či tištěné formě.

2.2 Osobní údaje Subjektů údajů je Zpracovatel oprávněn zpracovávat nejdéle po dobu trvání této Smlouvy, nestanoví-li zvláštní právní předpis, dohoda mezi Stranami nebo Smlouva o poskytování služeb, jinak.

III.

PRÁVA A POVINNOSTI STRAN

3.1 Zpracovatel se zavazuje zpracovávat Osobní údaje poskytnuté Subjektem údajů v souladu s touto Smlouvou a výlučně k výše uvedenému Účelu.

3.2 Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy doloženými pokyny Správce. Zpracovatel je rovněž povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů. Zpracovatel je oprávněn pozastavit zpracování Osobních údajů, dokud mu nebude tento sporný pokyn ze strany Správce potvrzen nebo odvolán.

3.3 Pokud by Zpracovatel zjistil, že Správce porušuje povinnosti vyplývající pro něj z Nařízení nebo z příslušné národní úpravy, je ve smyslu článku 28 písm. h) věty druhé Nařízení povinen neprodleně Správce o této skutečnosti informovat.

3.4 Zpracovatel je v souladu s Nařízením povinen dbát, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.

3.5 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou práva na soukromí Subjektu údajů nebo v rozporu s národní právní úpravou nebo Nařízením, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů uplatní u Zpracovatele právo na informace nebo na odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.

3.6 Správce je oprávněn uveřejnit nebo jinak sdělit Subjektům údajů, a to formou dle uvážení Správce, že se Zpracovatel podílí na zpracování Osobních údajů, s nimiž Správce nakládá, a za jakým účelem.

3.7 Zpracování Osobních údajů Zpracovatelem a jejich ochrana podle této Smlouvy probíhá bez nároku Zpracovatele na zvláštní odměnu nad rámec odměny/náhrady sjednané Smlouvou o poskytování služeb.

3.8 Strany si jsou povinny poskytnout nezbytnou součinnost při případné kontrole dodržování povinností dle Nařízení, Zákona o zpracování OÚ, ev. další národní právní úpravy nebo v případech, kdy bude jedna ze Stran povinna poskytnout součinnost třetím osobám dle příslušného zákona (např. dozorový úřad – Úřad na ochranu osobních údajů, Policie ČR, soudy, atd.).

3.9 Veškerá oznámení dle této Smlouvy se považují za řádně doručená, pokud jsou doručena osobně, doporučenou poštou nebo elektronickou formou, a kontaktním osobám smluvních stran dle příslušných ustanovení Smlouvy o poskytování služeb.

Veškerá oznámení budou považována za doručená k datu jejich přijetí, pokud jsou doručena osobně, a po deseti (10) dnech, pokud jsou zasílána doporučenou poštou či e-mailem. Změna adresy nebo osoby, k jejichž rukám se oznámení zasílají, mohou být kdykoli změněny na základě předchozího písemného oznámení, které je nutno zaslat způsobem uvedeným v tomto odstavci.

3.10 Při provádění činností dle této Smlouvy Zpracovatel nejedná v zastoupení Správce a není oprávněn činit žádná jednání v zastoupení Správce, zejména v zastoupení Správce podepisovat smluvní dokumenty anebo přijímat plnění od třetích stran.

3.11 Strany se zavazují zachovávat mlčenlivost o skutečnostech, které se při své činnosti dozví a které by mohly ohrozit zpracovávané Osobní údaje, ekonomické zájmy, podnikatelské záměry nebo dobrou pověst smluvních stran. Tato povinnost se rovněž týká skutečností, které Správce označí za důvěrnou informaci. Tato povinnost trvá i po ukončení účinnosti této Smlouvy. Strany se zavazují zajistit mlčenlivost svých zaměstnanců, kteří při výkonu své činnosti přichází do styku s Osobními údaji dle této Smlouvy, Nařízením a národní právní úpravou.

3.12 Správce je povinen v případě, že pro plnění povinností Zpracovatele dle této Smlouvy jsou nutné jakékoli písemné podklady, předat tyto podklady Zpracovateli bez zbytečného odkladu poté, co o to bude Zpracovatelem požádán.

3.13 Správce prohlašuje, že si je vědom svých povinností, které mu stanoví Nařízení a příslušná národní právní úprava, zejména pak § 34 odst. 4 Zákona o zpracování OÚ.

IV.

TECHNICKÉ A ORGANIZAČNÍ ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ

4.1 Zpracovatel je při plnění této Smlouvy povinen:

4.1.1 zajistit, pokud zapojí do zpracování Osobních údajů dalšího zpracovatele s předchozím konkrétním písemným povolením Správce, že tento další zpracovatel bude poskytovat dostatečné záruky, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení nebo příslušné národní právní úpravy;

4.1.2 zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;

4.1.3 zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění jeho povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve smyslu Nařízení nebo příslušné národní právní úpravy;

4.1.4 zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby, které budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;

4.1.5 pověřit zpracováním Osobních údajů pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů, povinnosti znát a dodržovat předpisy zaměstnavatele k ochraně osobních údajů a o dalších povinnostech vyplývajících z Nařízení, Zákona o zpracování OÚ či jiných obecně závazných právních předpisů;

4.1.6 zajistit, že jeho zaměstnanci budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu stanoveném Zpracovatelem a odpovídajícím této Smlouvě;

4.1.7 na žádost Správce umožnit provedení auditu zpracování Osobních údajů. Správce nebo jeho nezávislý auditor třetí strany (bude se jednat o auditory třetí strany, kteří mají vhodnou kvalifikaci či jsou nezávislí) mohou provést audit pro poskytování služeb Zpracovatelem a postupů zabezpečení ICT, které jsou relevantní pro zpracovávání Osobních údajů Zpracovatelem, pouze pokud:

(a) Zpracovatel neposkytl dostatečné důkazy o dodržení technických a organizačních opatření formou certifikace shody s ISO 27001 nebo s jinými standardy (rozsah je definován v „Smlouvě o poskytování služeb”); nebo

(b) došlo k narušení osobních údajů; nebo

(c) Úřad pro ochranu osobních údajů Správce o audit formálně požádá; nebo

(d) Zákon o ochraně osobních údajů dává Správci možnost provést přímý audit, a za předpokladu, že Správce bude audit provádět pouze jednou za dvanáct měsíců, pokud Zákon o ochraně osobních údajů nevyžaduje častější audity.

4.1.8 po skončení této Smlouvy protokolárně zlikvidovat či protokolárně předat Správci nebo jinému pověřenému zpracovateli všechny Osobní údaje zpracovávané po dobu poskytování Služeb.

4.1.9 používat odpovídající technické zařízení a programové vybavení způsobem, který v nejvyšší možné míře vyloučí neoprávněný nebo nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených osob Smluvních stran;

4.1.10 uchovávat Osobní údaje na místech s odpovídajícím zabezpečením, ať již se bude jednat o místa fyzická či virtuální;

4.1.11 uchovávat Osobní údaje v elektronické podobě na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel;

4.1.12 zajistit dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;

4.1.13 zajistit, aby osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních údajů měly přístup pouze k Osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;

4.1.14 pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány.

V.

NÁHRADA ŠKODY

5.1 V případě, že bude Správci příslušnými orgány pravomocně uložena sankce za nesplnění povinností stanovených příslušnými právními předpisy pro Zpracovatele (zejména dle Zákona o zpracování OÚ a Nařízení) nebo sankce za porušení povinností stanovených příslušnými právními předpisy (zejména dle Zákona o zpracování OÚ a Nařízení) vzniklých z činnosti Zpracovatele nad rámec pokynů či v rozporu s pokyny Správce, bude Správce oprávněn požadovat po Zpracovateli náhradu způsobené škody, a to v plné výši uložené sankce.

VI.

TRVÁNÍ SMLOUVY A LIKVIDACE DAT

6.1 Tato Smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma Stranami.

6.2 Strany se dohodly, že po ukončení účinnosti této Smlouvy Zpracovatel zničí veškeré obdržené či předané Osobní údaje a písemně potvrdí Správci, že tak učinil, ledaže zničení všech anebo části předaných údajů brání právní předpisy, které jsou pro Zpracovatele závazné. V takovém případě bude Zpracovatel povinen zajistit ochranu příslušných nezničených Osobních údajů a nebude oprávněn tyto Osobní údaje nadále aktivně zpracovávat.

6.3 Strany se dohodly, že na žádost Správce Zpracovatel bezodkladně zničí Osobní údaje týkající se jednotlivého Subjektu údajů a písemně potvrdí Správci, že tak učinil, ledaže zničení všech anebo části takových údajů brání právní předpisy, které jsou pro Zpracovatel závazné. V takovém případě bude Zpracovatel povinen zajistit ochranu příslušných nezničených Osobních údajů a nebude oprávněn tyto Osobní údaje nadále aktivně zpracovávat.

6.4 Zpracovatel je po zániku této Smlouvy povinen dodržovat veškeré povinnosti plynoucí z Nařízení a příslušné národní právní úpravy, zejména předejít jakémukoliv neoprávněnému nakládání s Osobními údaji do doby, než dle pokynů Správce tyto Osobní údaje předá Správci nebo provede jejich bezpečnou likvidaci.

VII.

POVINNOST SOUČINNOSTI

7.1 Správce i Zpracovatel nejpozději před uvedením poskytované služby dle „Smlouvy o poskytování služeb” do produkčního prostředí IS přijmou veškerá opatření týkající se ochrany osobních údajů stanovená v Nařízení, případně v Zákoně o zpracování OÚ. V případě, že Správce dojde k závěru, že je nezbytné provést další opatření v této Smlouvě nestanovené, je Zpracovatel povinen taková opatření provést a obě Strany takovou změnu promítnou změnou této Smlouvy.

7.2 Zpracovatel je povinen, pokud je to možné při zohlednění povahy zpracování, prostřednictvím vhodných technických a organizačních opatření, být Správci nápomocen při plnění povinnosti Správce, reagovat na žádosti o výkon práv Subjektů údajů.

7.3 Zpracovatel se zavazuje být Správci nápomocen při dodržování povinností dle Nařízení, především při povinnosti zabezpečit zpracování Osobních údajů, ohlašovat případy porušení zabezpečení osobních údajů, zajištění posouzení vlivu na ochranu Osobních údajů či předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

7.4 Zpracovatel se zavazuje poskytnout Správci veškeré informace nutné k doložení toho, že byly splněny povinnosti zpracování osobních údajů včetně zpracování prostřednictvím dalších zpracovatelů, a umožnit audity prováděné Správcem nebo jiným auditorem, kterého Správce pověří dle čl. 4.1.7 této Smlouvy. Náklady na tyto audity hradí Správce. Správce je povinen Zpracovatele o auditu informovat min. dva kalendářní týdny předem. Časový rámec a rozsah auditu bude vždy stanoven na základě vzájemné dohody Smluvních stran. Pokud bude proveden audit v místě Zpracovatele, jeho trvání nepřekročí jeden pracovní den. Správce poskytne výsledky všech těchto auditů Zpracovateli. Prioritně budou Strany využívat aktuální smluvně požadované certifikace ISO nebo další zprávy z relevantních auditů provedených u Správce i Zpracovatele, aby zamezily nebo minimalizovaly opakování auditů.

VIII.

OBECNÁ A ZÁVĚREČNÁ USTANOVENÍ

8.1 Tato Xxxxxxx se řídí a vykládá v souladu s právem České republiky, zejména Občanským zákoníkem, Zákonem o zpracování OÚ a rovněž Nařízením.

8.2 Strany se zavazují řešit veškeré spory, které mezi nimi mohou vzniknout v souvislosti s plněním této Smlouvy smírně a vzájemnou dohodou. Pokud se nepodaří vyřešit předmětný spor vzájemnou dohodou Stran, bude takový spor předložen jednou ze Stran věcně a místně příslušnému soudu.

8.3 Tuto Smlouvou lze měnit nebo doplňovat pouze na základě písemné dohody Stran, písemnými, vzestupně číslovanými Dodatky.

8.4. Tato smlouva nahrazuje veškerá předchozí ujednání týkající se ochrany osobních údajů uzavřená mezi stranami, ať byla v minulosti uzavřena jakoukoli formou.

8.5 Strany prohlašují, že tato Smlouva byla sepsána na základě pravdivých údajů, jejich pravé a svobodné vůle, nebyla ujednána v tísni ani za jinak jednostranně nevýhodných podmínek a že jim nejsou v době podpisu Smlouvy známy okolnosti, které by mohly omezit její obsah a účinnost.

8.6 Smluvní strany plně rozumí obsahu této Smlouvy, akceptují závazky v této Smlouvě sjednané a nepovažují vzájemná práva a povinnosti za nedůvodně nerovnovážné.

8.7 Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.

8.8 Zpracovatel prohlašuje, že Xxxxxxx neobsahuje informace, které nelze poskytovat podle právních předpisů upravujících svobodný přístup k informacím. Zpracovatel bere na vědomí, že Správce coby povinná osoba ve smyslu zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů, je povinna Xxxxxxx zveřejnit v registru smluv. Tato skutečnost nebrání Zpracovateli, aby i z jeho strany došlo ke zveřejnění této Smlouvy. Obě Strany jsou povinny nejpozději do 10-ti dnů ode dne podpisu této Smlouvy provést kontrolu, zda je Smlouva zveřejněna v registru smluv. V případě, že Zpracovatel zjistí, že tato Xxxxxxx zveřejněna v registru smluv není, je povinen neprodleně písemně informovat kontaktní osobu Správce anebo smlouvu sám zveřejnit.

8.9 Tato Smlouva je vyhotovena ve dvou vyhotoveních, z nichž každá Strana obdrží po jednom.

8.10 Nedílnou součástí této smlouvy je příloha:

Příloha č. 1 Typ zpracovávaných Osobních údajů a kategorie subjektů údajů

V Praze dne ……………………… V ………………… dne ……………………………

Za Správce OÚ Za Zpracovatele OÚ

Státní zemědělský intervenční fond Ing. xxxxxx ředitel Sekce xxxxxxxx xxxxxxx spol. s r.o. Ing. xxxxx jednatel společnosti

Příloha č. 1

Typ zpracovávaných Osobních údajů, kategorie subjektů údajů a ostatních citlivých údajů

1. Kategorie subjektů údajů

Předmětem zpracování Osobních údajů Zpracovatelem jsou údaje o osobách (dále též „subjekt“), které Správce shromažďuje a zpracovává:

• klienti

• dodavatelé

• zaměstnanci SZIF

• jiné osoby odpovědné za zpracování žádosti o dotaci

• žadatelé o zprostředkování dotačního titulu

2. Účely zpracovávání

Uživatelská podpora informačních systémů

3. Typy osobních údajů

Zpracování Osobních údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů:

• Jméno

• Příjmení

• Rodné příjmení

• Datum narození

• Místo narození

• Rodné číslo

• Trvalá adresa

• Národnost

• Titul

• Zaměstnání

• Telefon

• Email

4. Typy ostatních citlivých údajů

Zpracování ostatních citlivých údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů:

• žádosti o dotaci

• výši vyplacené dotace

V Praze dne xx. xx. 2023