Smlouva o zpracování osobních údajů uzavřená dle § 1746 a násl. zák.č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „občanský zákoník“), a v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v...
Smlouva o zpracování osobních údajů
uzavřená dle § 1746 a násl. zák.č. 89/2012 Sb., občanský zákoník, v platném znění
(dále jen „občanský zákoník“), a v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen„Nařízení“)
I.
Smluvní strany
1. Domov pro seniory Burešov, příspěvková organizace
se sídlem: Burešov 4884, 760 01 Zlín
zastoupená: Ing. Xxxxxxxxxxx Xxxxxxxxx, ředitelem
bankovní spojení:
IČ: 70851042
DIČ: CZ70851042
kontaktní osoba:
dále jen „Správce“
2. ANETE spol. s r. o.
zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 7172
se sídlem: Xxxxxxx 000/00x, 000 00 Xxxx
zastoupená: Xxx. Xxxxx Xxxxx
bankovní spojení: xxx
IČ: 46970126
DIČ: CZ46970126
kontaktní osoba: xxx
dále jen „Zpracovatel“
každý jednotlivě jen „Smluvní strana“
oba společně jen „Smluvní strany“
uzavírají níže uvedeného dne, měsíce a roku tuto Smlouvu o zpracování osobních údajů (dále jen „Smlouva “).
PREAMBULE
Vzhledem k tomu, že:
Smluvní strany spolu dne 7.7.2015 uzavřely Rámcovou smlouvu o poskytování služeb portálu FBS (dále jen „Podkladová smlouva“) a v rámci plnění této smlouvy Dodavatel zpracovává osobní údaje, jichž je Objednatel správcem nebo zpracovatelem, jak je blíže specifikováno níže,
Ke dni 25. května 2018 vstoupí v účinnost Obecné nařízení upravující mj. povinnosti správců a zpracovatelů osobních údajů v souvislosti s jejich zpracováním,
Smluvní strany mají zájem pokračovat i po 25. květnu 2018 ve vzájemné spolupráci na základě Podkladové smlouvy a dodržovat při ní veškeré legislativní požadavky.
II.
Postavení smluvních stran při zpracování osobních údajů v souvislosti s Podkladovou smlouvou
Objednatel uzavřel s firmou ANETE spol. s r.o., zapsanou v obchodním rejstříku vedeného Krajský soudem v Brně oddíl C, vložka 7172 Podkladovou smlouvu
Objednatel je správcem osobních údajů zaměstnanců objednatele a třetích osob ve vztahu k činnosti Objednatele a Dodavatel je tedy ve vztahu k těmto údajům v postavení zpracovatele osobních údajů.
III.
Předmět Smlouvy o zpracování a doba zpracování
Zpracovatel na základě „Rámcové smlouvy o poskytování služeb portálu FBS“ ze dne 7.7.2015 zpracovává osobní údaje třetích osob a zaměstnanců pro Správce. Účelem tohoto zpracování je správa systému, který zabezpečuje stravování třetích osob a zaměstnanců Správce (dále jen „oprávněné osoby“).
Předmět a způsob zpracování a typ osobních údajů určuje Podkladová smlouva včetně jejích příloh. Na základě Podkladové smlouvy nejsou zpracovávány zvláštních kategorie osobních údajů ani osobní údaje, které se týkají rozsudků v trestních věcech a trestných činů.
Zpracovatel se touto Smlouvou zavazuje, že bude veškeré zpracování osobních údajů provádět pro Správce v souladu s Nařízením, touto Smlouvou a v souladu s ostatními právními předpisy na ochranu osobních údajů.
4.
Zpracovatel je oprávněn osobní údaje na základě této smlouvy
zpracovávat po dobu trvání
Podkladové smlouvy.
IV.
Zpracování osobních údajů
Zpracovatel na základě Smlouvy o zpracování zajišťuje pro Správce činnosti, při kterých dochází ke zpracování osobních údajů třetích osob (dále jen „oprávněné osoby“ nebo „oprávněná osoba“), spravovaných Správcem.
Osobní údaje jsou Zpracovatelem zpracovávány pouze pro účely řešení incidentů v rámci IS ANETE a v rozsahu nezbytném pro plnění předmětu Podkladové smlouvy.
Zpracování osobních údajů bude spočívat v jejich: modifikaci a náhledu.
Zpracovatel prohlašuje, že ke dni uzavření Smlouvy o zpracování disponuje vhodnými technickými a organizačními opatřeními pro bezpečné zpracovávání osobních údajů a že je schopen osobní údaje zpracovávat v souladu s požadavky Nařízení a dalšími právními předpisy na ochranu osobních údajů fyzických osob.
Osobní údaje budou Zpracovatelem uchovávány pouze po dobu trvání souhlasu oprávněných osob se zpracováním osobních údajů, nejdéle však po dobu účinnosti Podkladové smlouvy. Po odvolání souhlasu oprávněné osoby, po ukončení účinnosti Podkladové smlouvy, nebo po pominutí účelu, pro který byly osobní údaje zpracovávány, Zpracovavatel bez zbytečného odkladu osobní údaje v souladu s rozhodnutím Správce buď vymaže, nebo je vrátí Správci a vymaže existující kopie.
V.
Povinnosti Zpracovatele
Zpracovatel je při zpracování osobních údajů na základě Xxxxxxx povinen postupovat s náležitou odbornou péčí tak, aby neporušil žádné ustanovení Nařízení.
Zpracovatel osobní údaje zpracovává pouze za účelem definovaným v této Smlouvě o zpracování a v žádném případě je nebude zpracovávat pro vlastní účely.
Zpracovatel je povinen řídit se při zpracování osobních údajů pouze doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného sdělení Správce, že Správce trvá na provedení takových pokynů, jinak Zpracovatel odpovídá Správci za případnou škodu způsobenou vznikem povinnosti Správce hradit škodu nebo nemajetkovou újmu v penězích oprávněných osob či pokutu Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).
V případě, že se osoba oprávněná bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s Nařízením, a požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně písemně informovat Správce.
Zpracovatel je povinen Správci neprodleně oznámit provádění kontroly ze strany ÚOOÚ ve věci osobních údajů zpracovávaných pro Správce a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu.
Zpracovatel je povinen Správci neprodleně oznámit každý případ porušení zabezpečení osobních údajů, který v souvislosti se zpracováním zjistí, a prostřednictvím kontaktní osoby Správce, uvedené v čl. I této Smlouvy o zpracování. V oznámení uvede veškeré informace dle čl. 33 odst. 3 Nařízení, které mu jsou známy.
Zpracovatel je prostřednictvím vhodných technických a organizačních opatření nápomocen Správci při plnění povinností Správce reagovat na žádosti o výkon práv oprávněných osob, zejména na žádost na přístup k osobním údajům, na opravu či výmaz osobních údajů a na přenositelnost osobních údajů. Zpracovatel je povinen bez zbytečného odkladu po obdržení výzvy Správce poskytnout Správci nezbytné údaje a součinnost tak, aby Správce mohl řádně a včas splnit svoji povinnost ve vztahu k oprávněné osobě, jejíž osobní údaje Zpracovatel zpracovává.
Zpracovatel je povinen dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů; Správce je oprávněn si takovou dokumentaci od Zpracovatele kdykoliv vyžádat k nahlédnutí. Zpracovatel je povinen umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.
Zpracovatel je Správci nápomocen při posuzování vlivu na ochranu osobních údajů dle čl. 35 Nařízení, ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ či oprávněným osobám a při předchozích konzultacích s ÚOOÚ, to vše při zohlednění povahy zpracování a informací, jež má k dispozici.
V.
Zapojení dalšího Zpracovatele
Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího písemného povolení správce. V žádosti o povolení Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
VI.
Opatření k zajištění zabezpečení ochrany osobních údajů
Zpracovatel se zavazuje, že přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody oprávněných osob vhodná technická a organizační opatření podle čl. 32 Nařízení, aby vyloučil možnost neoprávněného nebo nahodilého přístupu k osobním údajům, k jejich změně, zničení či ztrátě, jakož i k jinému zneužití osobních údajů, zejména:
zaváže své zaměstnance a další osoby, které zpracovávají osobní údaje, k mlčenlivosti a poučí je o jejich dalších povinnostech, které jsou povinni dodržovat, aby nedošlo k porušení zabezpečení;
bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci na základě přístupových kódů či hesel;
zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích.
VII.
Odpovědnost za škodu
Zpracovatel odpovídá Správci za škodu způsobenou v důsledku porušení povinností uložených Zpracovateli Nařízením, Podkladovou smlouvou nebo touto Smlouvou, zejména je-li v důsledku porušení povinností Zpracovatele Správce povinen hradit náhradu škody nebo nemajetkové újmy oprávněných osob či pokutu.
Zpracovatel je i po zániku Xxxxxxx povinen dodržovat veškeré povinnosti plynoucí mu z Nařízení, zejména předejít jakémukoliv neoprávněnému nakládání s osobními údaji.
VIII.
Ustanovení závěrečná
Práva a povinnosti vyplývající z této Smlouvy o zpracování přecházejí na případné právní nástupce Smluvních stran. Převádět práva a povinnosti z této Smlouvy o zpracování lze jen po předchozím písemném souhlasu druhé Smluvní strany.
Tato Smlouva o zpracování nabývá platnosti a účinnosti dnem podpisu oběma Smluvními stranami, nepostupuje-li se dle odstavce 3.
V případě, že tato Smlouva o zpracování naplňuje požadavky, uvedené v zákoně č. 340/2015 Sb., ve znění pozdějších předpisů, podléhá tímto povinnosti zveřejnění v registru smluv a nabývá účinnosti ke dni zveřejnění v registru smluv. V registru smluv nebudou uveřejněny informace, které nelze poskytnout v souladu s předpisy upravující svobodný přístup k informacím (zejm. zákon č. 106/1999 Sb.), stejně jako obchodní tajemství Smluvních stran. Zadat Xxxxxxx o zpracování do registru smluv v zákonné lhůtě se zavazuje Správce, který na vyžádání Zpracovatele zašle potvrzení o uveřejnění Smlouvy o zpracování.
Všechna oznámení mezi Smluvními stranami, která se vztahují k této Smlouvě o zpracování, nebo která mají být učiněna na základě této Smlouvy o zpracování, musí být učiněna v písemné podobě a druhé Smluvní straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou v záhlaví této Smlouvy o zpracování, není-li stanoveno nebo mezi Smluvními stranami dohodnuto jinak, a to zejména prostřednictvím emailové komunikace se souhlasem obou stran.
Smluvní strany považují jakékoliv oznámení uvedené v této Smlouvě o zpracování za řádně doručené: a)při doručování osobně nebo kurýrem:
aa) dnem faktického přijetí oznámení příjemcem; nebo
ab) dnem, v němž bylo doručeno osobě na příjemcově adrese určené k přebírání listovních zásilek; nebo
ac) dnem, kdy bylo doručováno osobě na příjemcově adrese určené k přebírání listovních zásilek, a tato osoba odmítla listovní zásilku převzít.
b)při doručování poštou:
ba) dnem předání listovní zásilky příjemci; nebo
bb) dnem, kdy příjemce při prvním pokusu o doručení zásilku z jakýchkoli důvodů nepřevzal či odmítl zásilku převzít, a to i přesto, že se v místě doručení nezdržuje, pokud byla na zásilce uvedena adresa pro doručování.
Tato Smlouva o zpracování může být měněna a doplňována pouze písemnými očíslovanými dodatky k této Smlouvě o zpracování, podepsanými oběma Smluvními stranami.
Je-li nebo stane-li se některé ustanovení této Smlouvy o zpracování neplatným, nevymahatelným nebo neúčinným, nedotýká se tato neplatnost, nevymahatelnost či neúčinnost ostatních ustanovení této Smlouvy o zpracování. Smluvní strany se zavazují nahradit do pěti (5) pracovních dnů po doručení výzvy druhé Smluvní strany neplatné, nevymahatelné nebo neúčinné ustanovení ustanovením platným, vymahatelným a účinným se stejným nebo obdobným obchodním a právním smyslem, případně uzavřít novou Smlouvu o zpracování.
Právní vztahy výslovně neupravené touto Smlouvou o zpracování se řídí platnými právními předpisy České republiky, zejména ustanoveními občanského zákoníku. Veškeré spory mezi Smluvními stranami vznikající z této Smlouvy o zpracování nebo v souvislosti s ní budou řešeny pokud možno nejprve smírně. Nebude-li smírného řešení dosaženo, budou spory vyřešeny u příslušného soudu. Dispozitivní ustanovení obecně závazných právních předpisů, platných v České republice, která jsou v rozporu s ustanoveními této Smlouvy o zpracování, se nepoužijí.
Smluvní strany prohlašují, že s obsahem této Smlouvy o zpracování souhlasí, rozumí jí a zavazují se k jejímu plnění, připojují své podpisy a prohlašují, že tato Xxxxxxx byla uzavřena podle jejich svobodné a vážné vůle.
Přílohou č. 1 je seznam dalších zpracovatelů zapojených do zpracování osobních údajů prováděného v souvislosti s Podkladovou smlouvou. Seznam je platný k datu uzavření této Smlouvy.
Tato Smlouva o zpracování je vypracována ve 2 vyhotoveních s platností originálu, z nichž každá ze Smluvních stran obdrží po jednom vyhotovení.
V ………… dne ……………………. V ……..….. dne …………………….
…………………………………… …..…………………………
Správce Zpracovatel
Xxx. Xxxxxxxxx Xxxxxxx Xxx. Xxxxx Xxxxx, jednatel
Souhlas se zapojením dalších Zpracovatelů dle čl. V. Smlouvy o zpracování osobních údajů
Příloha č. 1
Bod V. - Zapojení dalšího Zpracovatele
Název zpracovatele |
IČO |
xxx |
xxx |
xxx |
xxx |
xxx |
Uvedený seznam je platný k datu zavření Smlouvy o zpracování osobních údajů mezi Správcem a Zpracovatelem.
V ………… dne ……………………. V ……..….. dne …………………….
…………………………………… ……………………………
Správce Zpracovatel
Xxx. Xxxxx Xxxxx, jednatel
7