SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená ve smyslu článku 28 obecného nařízení o ochraně osobních údajů („Smlouva“)
SMLUVNÍ STRANY
(1) [Název společnosti]
se sídlem na adrese [●], PSČ [●], XXX: [●], zapsaná v obchodním rejstříku vedeném u [●], oddíl [●], vložka [●]
(„Správce“) a
(2) COOLHOUSING s.r.o.
se sídlem na adrese Xx Xxxxxx 0000/0, Xxxxx 0 – Xxxxxxx, PSČ 162 00, IČO: 14893983, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 4766
(„Zpracovatel“)
(Správce a Zpracovatel společně „Strany“ a každý samostatně „Strana“)
PREAMBULE
(A) Mezi Stranami byla dne [●] uzavřena [název smlouvy], jejímž předmětem je [●] („Podkladová smlouva“). Právní vztahy mezi stranami z Podkladové smlouvy se řídí také Obchodními podmínkami společnosti COOLHOUSING s.r.o. („OP“).
(B) Služby poskytované na základě Podkladové smlouvy zahrnují aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („Nařízení“) přímo aplikovatelného od 25. 5. 2018, především pak k ukládání osobních údajů.
(C) Strany mají zájem na tom dostát všem povinnostem, které jim vyplývají (i) z Nařízení a (ii) z právního předpisu doplňujícího některá ustanovení Nařízení, který po 25. 5. 2018 zruší a nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů („Zákon o zpracování OÚ“).
(D) Na základě článku 28 Nařízení je Správce povinen uzavřít se Zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které Zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů.
(E) Strany uzavírají tuto Smlouvu za účelem splnění povinnosti dle Nařízení a zabezpečení ochrany osobních údajů zpracovávaných Stranami v rámci vzájemných smluvních vztahů.
(F) Strany mají zájem na tom, aby tato Xxxxxxx pokrývala veškeré činnosti zpracování osobních údajů, které Zpracovatel provádí pro Správce v souvislosti s poskytováním služeb na základě Podkladové smlouvy.
1. Účel Smlouvy
1.1 Strany se dohodly, že Zpracovatel bude ve smyslu článku 4 bodu 2) Nařízení pro Správce zpracovávat osobních údaje, které Správce učiní součástí Zákaznických dat, tak jak jsou definovány v OP („Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících z Podkladové smlouvy. Součástí Zákaznických dat nebudou zvláštní kategorie osobních údajů.
1.2 Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování.
2. Předmět Smlouvy
2.1 Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů ve smyslu článku 1.1 Smlouvy.
2.2 Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.
3. Rozsah a doba zpracování Osobních údajů
3.1 Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Podkladové smlouvy.
3.2 Osobní údaje bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy.
4. Odměna za služby Zpracovatele
4.1 Strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Podkladové smlouvy.
5. Práva a povinnosti Zpracovatele
5.1 Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení či Zákona o zpracování OÚ.
5.2 Pokud by Zpracovatel zjistil, že Správce porušuje povinnosti vyplývající pro něj z Nařízení, je ve smyslu článku 28 písm. h) věty druhé Nařízení povinen neprodleně Správce o této skutečnosti informovat.
5.3 V případě zániku Podkladové smlouvy je Zpracovatel povinen provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci, a to za podmínek a v souladu s Podkladovou smlouvou.
5.4 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu se zákonem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo o odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
5.5 Zpracovatel je povinen Správci oznámit provedení kontroly ze strany ÚOOÚ a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty („Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení.
5.6 Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů („Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu, nejpozději do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo i pouhé hrozby, jestliže Zpracovatel mohl o tomto
Porušení zabezpečení Osobních údajů či i o hrozbě vzniku Porušení zabezpečení Osobních údajů vědět při vynaložení veškeré odborné péče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty dle předchozí věty tohoto článku, informuje Zpracovatel Správce nejpozději do 72 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví. Zpracovatel je i po poskytnutí informace Správci povinen být maximálně nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.
5.7 Informace dle článku 5.6 této Smlouvy musí přinejmenším obsahovat:
(a) popis povahy daného případu Porušení zabezpečení Osobních údajů;
(b) popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;
(c) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů.
6. Záruky technického a organizačního zabezpečení ochrany Osobních údajů
6.1 Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných obecně závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.
6.2 Zpracovatel poskytuje záruky pouze na prostředí, do kterých má výhradní nejvyšší přístupová práva. (např. virtualizační server se software plně ve správě Zpracovatele). Zpracovatel není zodpovědný za prostředí, ve kterých má nejvyšší přístupová práva Správce a nikoliv Zpracovatel (a to i v případě, že se může jednat např. o virtuální server dodaný Zpracovatelem).
6.3 Zpracovatel není odpovědný za software třetích stran instalované Zpracovatelem nebo Správcem (např. CMS, OS instalovaný Správcem), a to včetně odpovědnosti za zpracování Osobních údajů v rámci takového software.
6.4 Zpracovatel se zavazuje, že přijme následující organizační a technická opatření, a to za podmínek a v rozsahu stanoveném Podkladovou smlouvou:
(a) aniž by byl dotčen článek 6.3 této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy;
(b) bude provádět monitoring fyzické bezpečnosti služby dle Podkladové smlouvy v režimu 24×7×365;
(c) bude provádět monitoring dostupnosti jednotlivých služeb a logování událostí služby dle Podkladové služby;
(d) bude dodržovat interní procedury pro záplatování a údržbu software;
(e) bude provozovat bezpečný vzdálený přístup k technologiím pouze z vybraných sítí a za použití RSA klíčů. Přístup prostřednictvím hesla bude použit pouze tam, kde není možné použít autentizaci prostřednictvím RSA klíčů;
(f) bude provozovat firewall na zařízeních takovým způsobem, aby umožnoval pouze Zpracovatelem
schválený typ a způsob komunikace, jakožto Prevenci a detekce možných bezpečnostních incidentů;
(g) bude provádět detekci a monitoring neobvyklých aktivit na serverech, jako jsou výstrahy na procesy mimo běžný chod služby dle Podkladové smlouvy;
(h) bude používat vhodná technická zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než Správce anebo pověřených zaměstnanců Zpracovatele;
(i) osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel;
(j) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
(k) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů;
(l) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
(m) zajistí pravidelné skenování zranitelností na perimetru služby dle Podkladové smlouvy;
(n) v rámci interních bezpečnostních postupů a pravidel zajistí pravidelné objektivní testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů;
6.5 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Další zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě.
6.6 Pokud Zpracovatel zapojí ve smyslu předchozího článku 6.5 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel.
6.7 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s obecně závaznými právními předpisy.
7. Doba trvání a ukončení Smlouvy
7.1 Tato Smlouva nabývá účinnosti dnem podpisu a zaniká se zánikem Podkladové smlouvy.
7.2 Zpracovatel je po zániku této Smlouvy povinen dodržovat veškeré povinnosti plynoucí z Nařízení či Zákona o zpracování OÚ vedoucí zejména k předejití jakémukoliv neoprávněnému nakládání s Osobními údaji do doby, než v souladu s Podkladovou smlouvou tyto Osobní údaje Zpracovatel předá Správci nebo provede jejich bezpečnou likvidaci.
7.3 Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
8. KONTAKTNÍ ÚDAJE STRAN
8.1 Veškerá písemná oznámení dle této Smlouvy se považují za řádně doručená, pokud jsou Správci doručena osobně nebo doporučenou poštou na fakturační, případně korespondenční, adresu uvedenou v klientské sekci Zpracovatele, nebo Zpracovateli na adresu provozovny.
8.2 Veškerá emailová oznámení dle této Smlouvy se považují za řádně doručená, pokud jsou doručena na emailový kontakt Správce uvedený v klientské sekci Zpracovatele, nebo Zpracovateli na email určený pro klientskou podporu dle OP.
9. Závěrečná ustanovení
9.1 Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad, se budou řídit právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů („Občanský zákoník“).
9.2 Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
9.3 Strany se zavazují vyřešit jakýkoli spor vzniklý v souvislosti s plněním této Smlouvy smírnou cestou. V případě, že se Stranám nepodaří vyřešit spor smírnou cestou do třiceti (30) dnů, je kterákoli ze Stran oprávněna předložit spor věcně a místně příslušnému soudu dle obecně závazných právních předpisů.
9.4 Jakékoliv doplňky či změny této Smlouvy musí být učiněny formou vzestupně číslovaných písemných dodatků.
9.5 Pro případ uzavírání této Smlouvy Strany vylučují použití § 1740 odst. 3 Občanského zákoníku, který stanoví, že smlouva je uzavřena i tehdy, kdy nedojde k úplné shodě projevů vůle smluvních stran.
9.6 Strany se dohodly na vyloučení použití § 1978 odst. 2 Občanského zákoníku, který stanoví, že marné uplynutí dodatečné lhůty stanovené k plnění má za následek odstoupení od této Smlouvy bez dalšího.
9.7 Tato Smlouva je vyhotovena a podepsána ve dvou (2) shodných vyhotoveních v českém jazyce, přičemž každá ze Stran obdrží jedno vyhotovení.
Strany tímto výslovně prohlašují, že si tuto Smlouvu před jejím podpisem přečetly, že byla uzavřena po vzájemném projednání a že vyjadřuje jejich pravou a svobodnou vůli, na důkaz čehož připojují oprávnění zástupci Stran níže své vlastnoruční podpisy.
Za Správce | Za Zpracovatele | |
Místo: [●] Datum: [●] | Místo: [●] Datum: [●] | |
Jméno: [●] Funkce: [●] | Xxxxx: [●] Funkce: [●] |