SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ uzavřená níže uvedeného dne, měsíce a roku

Příloha č. 2 Rektorského výnosu č. 04/2020

Vzor smluvní doložky/zpracovatelské smlouvy a záznamu o prověření zpracovatele

1. Vzor smluvní doložky/zpracovatelské smlouvy:

[

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

uzavřená níže uvedeného dne, měsíce a roku

Univerzita Hradec Králové

Xxxxxxxxxxxx 00

500 03 Hradec Králové 3

IČ: 62690094

zastoupená:

(dále jen jako „Správce“)

a

[obchodní firma/název/jména a příjmení fyzické osoby]

[sídlo]

IČ: […]

zastoupená/ý:

(dále jen jako „Zpracovatel“)

(Správce a Zpracovatel společně jako „Strany“ nebo každý jednotlivě jako „Strana“)

se v souladu s Čl. 28 nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( dále jen „Nařízení“) a podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „OZ“), dohodli takto:

]¹

1. Prohlášení správce

Správce prohlašuje, že osobní údaje, které má pro něj Zpracovatel zpracovávat, získal oprávněně.

2. Prohlášení zpracovatele

   1. Zpracovatel prohlašuje, že mu není známa žádná skutečnost, která by mu neumožňovala plnit povinnosti podle této smlouvy, zejména pak taková, na základě které by se Správce mohl oprávněně domnívat, že Zpracovatel není schopen poskytnout Správci dostatečnou záruku, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavede technická a organizační opatření, která budou splňovat podmínky nařízení, včetně požadavků na bezpečnost zpracování.

   2. Ukáže-li se prohlášení Zpracovatele jako nepravdivé, nesprávné nebo neúplné, odpovídá Správci za způsobenou škodu.

3. Zpracování osobních údajů

   1. Správce  tímto pověřuje zpracovatele zpracováním osobních údajů subjektů údajů – [specifikovat subjekty údajů] - v rozsahu, které jsou nezbytné pro plnění [smlouvy (...) ze dne (…) (dále jen „Smlouva“)/této smlouvy]².

   2. Nezbytnými osobními údaji podle Čl. 3.1 se rozumí zejména [specifikovat kategorie zpracovávaných osobních údajů]. Účelem zpracování je [konkrétní účel(y)/plnění povinností Zpracovatele vyplývajících z této Smlouvy/ze Smlouvy]³. Zpracovatel zpracovává osobní údaje podle Čl. 3.1 ve formě a způsobem [specifikovat].

   3. Zpracovatel je oprávněn zpracovávat osobní údaje nejdéle po [konkrétní doba/dobu účinnosti této smlouvy/Smlouvy]⁴.

   4. Bezprostředně po uplynutí doby trvání zpracování podle Čl. 3.3 se Zpracovatel zavazuje vymazat osobní údaje ze všech svých systémů elektronických i fyzických, a to včetně kopií osobních údajů, případně je předat zpět Správci nebo anonymizovat, jinak odpovídá Správci za způsobenou škodu.

4. Zapojení dalšího zpracovatele

   1. Zpracovatel se zavazuje, že po dobu trvání zpracování podle Čl. 3.3, nezapojí do zpracování osobních údajů, ke kterému dochází nebo může docházet na základě [této smlouvy/Smlouvy]⁵, žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce.

   2. Zpracovatel se dále zavazuje zpracovávat osobní údaje pouze na základě doložených pokynů Správce. Zpracovatel neprodleně informuje Správce v případě, že podle jeho názoru určitý pokyn porušuje právní předpisy na ochranu osobních údajů.

   3. V případě, že Správce udělí Zpracovateli obecné písemné povolení ke zpracování osobních údajů dalším zpracovatelem nebo zpracovateli, Zpracovatel se zavazuje Správce informovat o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám před jejich provedením námitky.

5. Technické a organizační zabezpečení ochrany osobních údajů

   1. Zpracovatel se dále zavazuje, že technicky a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití, a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti Zpracovatele, vyplývající z právních předpisů. Na požádání je Zpracovatel povinen kdykoliv Správci písemně sdělit způsob zabezpečení ochrany osobních údajů pro posouzení míry dostatečnosti tohoto zabezpečení.

   2. Zpracovatel prohlašuje, že zpracovávání údajů je ve smyslu Čl. 5.1 zabezpečeno zejména tak, že:

1. k osobním údajům má přístup pouze omezený počet oprávněných osob Zpracovatele, které mají Zpracovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba přistupuje k osobním údajům pod svým jednoznačným identifikátorem a heslem;

2. osobní údaje jsou zpracovávány v prostorách [Správce/Zpracovatele]⁶, do nichž mají přístup pouze oprávněné osoby Správce a Zpracovatele nebo jeho dodavatelé (subdodavatelů, poddodavatelů);

3. oprávněné osoby Zpracovatele, případně jeho dodavatelé, které zpracovávají osobní údaje, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Zpracovatel zajistí jejich prokazatelné zavázání k této povinnosti. Zpracovatel rovněž zajistí, že tato povinnost pro oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Zpracovateli;

4. osobní údaje jsou oprávněným osobám Zpracovatele zpřístupněny pouze v rozsahu nezbytném pro plnění [této smlouvy/Smlouvy]⁷;

5. zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti zpracovávaných osobních údajů, zavedená opatření a jejich korektní fungování Zpracovatel pravidelně kontroluje;

6. existuje schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to zejména pravidelným zálohováním;

7. existuje proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

8. existuje odpovídající antivirová ochrana při zpracování v rámci plnění [této smlouvy/Smlouvy];

9. je zajištěn šifrovaný přenos zpracovávaných osobních údajů.

1. Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě stanovené Správcem další záruky za účelem dosažení odpovídající úrovně technického a organizačního zabezpečení osobních údajů, zejména přijmout další opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.

2. Zpracovatel se zavazuje vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů, přičemž zajišťuje, kontroluje a odpovídá zejména za:

1. plnění pokynů osobami, které mají bezprostřední přístup k osobním údajům;

2. zabránění neoprávněným osobám přistupovat k osobním údajům;

3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.

1. Zpracovatel se dále zavazuje poskytovat součinnost Správci při:

1. plnění povinnosti Správce  reagovat na žádosti o výkon práv subjektu údajů;

2. zajišťování souladu s povinnostmi Správce zajistit zabezpečení osobních údajů jakož i ohlašování a oznamování případů porušení zabezpečení, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;

3. poskytovat Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku.

6. Zpracovatel umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.

7. Zpracovatel zajistí, že v případě, kdy zapojí dalšího zpracovatele, aby jménem Správce provedl určité činnosti zpracování, jsou tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu stejné povinnosti na ochranu údajů, jaké jsou uvedeny v [této smlouvě/Smlouvě]⁸, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel.

[

6. Trvání a zánik smlouvy

   1. Tato smlouva se uzavírá na dobu [(…) / trvání Smlouvy]⁹ a nabývá platnosti a účinnosti dnem jejího podpisu.

   2. Tato smlouva zaniká:

1. [uplynutím doby, na kterou byla uzavřena/zánikem Smlouvy]¹⁰,

2. písemnou dohodou Stran, jejíž součástí je i vypořádání vzájemných práv a povinností stran z této smlouvy,

3. výpovědí bez výpovědní doby Správce v případě jejího podstatného porušení Zpracovatelem.

1. Podstatným porušením této smlouvy se rozumí následující případy porušení Čl. 2.1, 4.1, 5.2, 5.4 a 5.5.

2. Výpověď musí být učiněna písemně, musí v ní být přesně specifikován důvod podle Čl. 6.2 a musí být doručena druhé Straně.

1. Závěrečná ustanovení

   1. Požaduje-li tato smlouva, aby něco bylo provedeno bezprostředně, musí se tak stát nejpozději do 30 dnů.

   2. Požaduje-li tato smlouva, aby něco bylo provedeno písemně, jednání je platné, pokud je učiněno nebo doručeno v listinné podobě na adresu sídla uvedeného v záhlaví této smlouvy, nebo učiněno nebo doručeno elektronicky na e-mailovou adresu nebo datovou schránkou.

   3. V otázkách touto smlouvou neupravených se smlouva řídí nařízením a OZ.

   4. Veškeré změny této smlouvy lze provést pouze formou písemných dodatků.

   5. Správce tuto smlouvu zveřejní v registru smluv, pokud povinnosti zveřejnění podléhá. Rozhodne-li se tak správce, je oprávněn zveřejnit tuto smlouvu v registru smluv, i když by jinak zveřejnění v registru smluv nepodléhala.

   6. Neplatnost nebo nevymahatelnost některého ustanovení této smlouvy nemá vliv na platnost a účinnost ostatních ustanovení. Neplatné nebo nevymahatelné ustanovení se smluvní strany zavazují bezprostředně nahradit ustanovením bezvadným, a to tak, aby byl zachován původní účel smlouvy.

   7. Tato smlouva se vyhotovuje ve […] vyhotoveních, z nichž každá Strana obdrží po […].

V Hradci Králové dne ………………	V …………… dne………
Za Správce	Za Zpracovatele

]¹¹

2. Vzor záznamu o způsobu a výsledcích prověřování zpracovatele:

Záznam o způsobu a výsledcích prověřování zpracovatele dle přílohy č. 2 Rektorského výnosu č. 04/2020:
Identifikační údaje zpracovatele	Název:
	Sídlo:
	IČ:
	Osoba oprávněná jednat za zpracovatele:
Oblast prověřování	Kritéria – zaškrtněte vhodné pole nebo uveďte odpověď.			Výsledek
				ANO	NE
Soulad s GDPR	Má vaše organizace implementovány zásady ochrany osobních údajů?
	Má vaše organizace pověřence pro ochranu osobních údajů?
	Využíváte ke zpracování dat dalšího dodavatele?
	Využíváte pseudonymizaci databází?
	Šifruje vaše organizace data?
	Je vaše organizace schopna zajistit požadavky na práva subjektů údajů dle GDPR?
	Má vaše organizace systém záznamů o přístupu a nakládání s osobními údaji (logy)?
	Byly změněny smlouvy o outsourcovaných činnostech tak, aby zahrnovaly požadavky kladené na zpracovatele nařízením GDPR?
Bezpečnostní zásady	Má vaše organizace zásady zabezpečení informací?
	Jsou všechny bezpečnostní zásady snadno dostupné všem uživatelům?
	Jaký je časový interval, ve kterém jsou bezpečnostní zásady revidovány a aktualizovány?
	Vyberte oblasti, které jsou ošetřeny v rámci zásad a standardů zabezpečení informací:
	Přijatelné použití	Vzdálený přístup	Řízení přístupu
	Heslová politika	Klasifikace dat	Připojení 3. strany
	Fyzická bezpečnost	Zabezpečení sítě	Ochrana OÚ
	Bezdrátové připojení	Řízení incidentů	Standardy šifrování
	Anti-Virus	Email/IM	Bezpečnost personálu
	Jsou bezpečnostní zásady vaší organizace k dispozici ke kontrole?
Datum	Podpis osoby oprávněné jednat za zpracovatele.

1 Pokud se jedná o zpracovatelskou smlouvu. V případě smluvní doložky, která je obsahem hlavní smlouvy, se již hlavička a názvy jednotlivých odstavců neuvádí a označení stran, pojmosloví a číslování článků odpovídá hlavní smlouvě. V případě přílohy hlavní smlouvy se neuvádí pouze hlavička a označení stran a pojmosloví odpovídá hlavní smlouvě.

2 Vybere se vhodná alternativa podle toho, zda se jedná o zpracovatelskou smlouvu nebo doložku.

3 Vybere se vhodná alternativa.

4 Vybere se vhodná alternativa.

5 Vybere se vhodná alternativa.

6 Vybere se vhodná alternativa.

7 Vybere se vhodná alternativa.

8 Vybere se vhodná alternativa.

9 Vybere se vhodná alternativa.

10 Vybere se vhodná alternativa.

11 Uvede se pouze v případě samostatné zpracovatelské smlouvy.