Smlouva o přístupu do informačních systémů provozovaných Zlínským krajem a o zpracování osobních údajů
Smlouva o přístupu do informačních systémů provozovaných Zlínským krajem a o zpracování osobních údajů
Zlínský kraj
se sídlem: tř. Xxxxxx Xxxx 21, 761 90 Zlín zastupuje: xxxxxxxxxxxxxxxxxxxxxx
IČO: 70891320
(dále jen „ZK“) a
Střední škola průmyslová, hotelová a zdravotnická Uherské Hradiště
se sídlem: Xxxxxxxxx 000, 00000 Xxxxxxx Hradiště organizaci zastupuje: xxxxxxxxxxxxxxx
IČO: 00559644
(dále jen jako „Organizace")
(dále společně jako „smluvní strany“)
uzavírají podle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, níže specifikovanou smlouvu o přístupu do informačních systémů provozovaných Zlínským krajem a o zpracování osobních údajů (dále jen „smlouva"):
l.
Předmět smlouvy
1. Předmětem plnění této smlouvy je závazek ZK umožnit Organizaci přístup do informačního systému (dále jen jako „IS“) Krajského úřadu Zlínského kraje (dále jen jako „KÚZK“) v rozsahu a za podmínek stanovených touto smlouvou a závazek Organizace užívat IS podle pravidel přístupu stanovených touto smlouvou, za účelem využívání aplikací, systémů a datových zdrojů pořízených ZK, vytvoření a užívání společné datové báze.
2. Smluvní strany tímto dále sjednávají podle čl. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, obecné nařízení o ochraně osobních údajů (dále jen jako „NAŘÍZENÍ“) smlouvu o zpracování osobních údajů, které jsou zpracovávány v rámci IS KÚZK.
II.
Pravidla přístupu do IS KÚZK
1. ZK se zavazuje umožnit Organizaci přístup do vybraných IS KÚZK, které pro ni zpřístupňuje přes stránku „Přístup do informačních systémů provozovaných Zlínským krajem“. Seznam informačních systémů a aplikací uvedený v příloze č. 1 této smlouvy je přístupný na Portále pro organizace zřizované ZK a je průběžně aktualizován. ZK se zavazuje provozovat všechny informační systémy a aplikace v souladu s požadavky obecně závazných právních předpisů a obecnými bezpečnostními standardy.
2. Organizace je povinna zajistit, že se všichni její zaměstnanci budou při práci v IS KÚZK řídit pravidly pro práci v IS KÚZK, které jsou přístupné přes přihlašovací stránku k informačním systémům. Pravidla pro práci v informačních systémech Krajského úřadu Zlínského kraje jsou uvedena v příloze č. 2 této smlouvy.
3. Organizace se zavazuje vést a průběžně aktualizovat evidenci svých zaměstnanců, kteří mají přístup do IS KÚZK podle této smlouvy a tuto evidenci na požádání ZK předložit. Organizace umožní přístup do IS KÚZK podle této smlouvy pouze svým zaměstnancům.
4. Organizace odpovídá ZK za škodu, kterou způsobí porušením svých povinností sjednaných touto smlouvou či povinností stanovených obecně závaznými právními předpisy.
5. Organizace je povinna zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví od ZK v souvislosti s využíváním IS KÚZK a zavazuje se uhradit ZK či třetí straně, kterou porušením povinnosti mlčenlivosti poškodí, veškeré škody tímto porušením způsobené.
6. Organizace se zavazuje při užívání přístupu do IS KÚZK podle této smlouvy dbát pokynů oprávněných osob ZK.
III.
Zpracování a ochrana osobních údajů
1. ZK a Organizace se zavazují, v souvislosti s touto smlouvou, zpracovávat osobní údaje v souladu s NAŘÍZENÍM. Zpracováním osobních údajů se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím automatizovaných prostředků v rozsahu nezbytném pro zajištění plnění předmětu smlouvy podle článku I odst. 1 této smlouvy.
2. Organizace bere na vědomí, že se ve smyslu všech výše uvedených právních předpisů považuje a bude považovat za správce osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi. ZK je a bude nadále považován za zpracovatele osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi.
3. Ustanovení o vzájemných povinnostech Organizace a ZK při zpracování osobních údajů zajišťuje, že nedojde k protiprávnímu použití osobních údajů týkajících se subjektů údajů ani k jejich předání do rukou neoprávněné třetí strany. Smluvní strany se dohodly na podmínkách zajištění odpovídajících opatření k zabezpečení ochrany osobních údajů a základních práv a svobod subjektů údajů při zpracování osobních údajů.
4. ZK se zavazuje zpracovávat pouze a výlučně ty osobní údaje, které jsou nutné k řádnému plnění smluvních povinností. Seznam IS KÚZK, ve kterých jsou zpracovávány osobní údaje, je uveden v příloze č. 3.
5. ZK je oprávněn zpracovávat osobní údaje dle této smlouvy pouze a výlučně po dobu účinnosti této smlouvy.
6. ZK je oprávněn zpracovávat osobní údaje pouze za stanoveným účelem zpracování, uvedeným v příloze č. 3 této smlouvy.
7. ZK je povinen se při zpracování osobních údajů řídit výslovnými pokyny Organizace, budou- li mu takové uděleny, ať již ústní či písemnou formou. Za písemnou formu se považuje i elektronická komunikace, včetně emailu. ZK je povinen neprodleně Organizaci informovat, pokud dle jeho názoru udělený pokyn Organizace porušuje NAŘÍZENÍ nebo jiné právní předpisy.
8. ZK je povinen zajistit zachování mlčenlivosti u osob, které budou fakticky provádět plnění dle této smlouvy, resp. se tyto osoby zavážou k mlčenlivosti ohledně veškeré činnosti související s touto smlouvou, zejména k mlčenlivosti ve vztahu ke všem osobním údajům, ke kterým budou mít přístup, nebo s kterými přijdou do kontaktu.
9. ZK je povinen ve smyslu čl. 32 NAŘÍZENÍ přijmout, s ohledem na stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, zejména pak osobní údaje zabezpečit vůči náhodnému či nezákonnému zničení, ztrátě, změně, zpřístupnění neoprávněným stranám, zneužití či jinému způsobu zpracování v rozporu s NAŘÍZENÍM.
10. ZK se zavazuje zejména, nikoliv však výlučně, přijmout následující technická a organizační opatření:
a) ZK v případě zpracování osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení předpisů na ochranu osobních údajů, NAŘÍZENÍ či této smlouvy;
b) ZK bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k osobním údajům ze strany jiných osob než pověřených zaměstnanců ZK;
c) ZK bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
d) Osobní údaje v elektronické podobě bude ZK uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci ZK na základě přístupových kódů a hesel a bude osobní údaje pravidelně zálohovat;
e) ZK zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
f) ZK bude v co největší míře zpracovávat pouze pseudoanonymizované a šifrované osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucí ze zpracování osobních údajů;
g) ZK zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
h) ZK prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
11. ZK je povinen písemně seznámit Organizaci s jakýmkoliv podezřením na porušení nebo skutečným porušením bezpečnosti zpracování osobních údajů podle ustanovení této smlouvy, např. jakoukoliv odchylkou od udělených pokynů, odchylkou od sjednaného přístupu pro Organizaci, plánovaným zveřejněním, upgradem, testy apod., kterými může dojít k úpravě nebo změně zabezpečení nebo zpracování osobních údajů, jakýmkoliv podezřením z porušení důvěrnosti, jakýmkoliv podezřením z náhodného či nezákonného zničení, ztráty, změny, zpřístupnění neoprávněným stranám, zneužití či jiného způsobu zpracování osobních údajů v rozporu s NAŘÍZENÍM. Organizace bude neprodleně seznámena s jakýmkoliv podstatným porušením těchto ustanovení o zpracování osobních údajů.
12. Organizace tímto dává ZK pokyn, aby případně pověřil zpracováním osobních údajů dle této smlouvy také pověřené osoby, které mají přístup k osobním údajům z titulu zajištění údržby a komplexní provozní podpory informačních systémů. Tyto pověřené osoby jsou uvedené v příloze č. 3 této smlouvy. Neplní-li uvedené pověřené osoby své povinnosti v oblasti ochrany osobních údajů, odpovídá Organizaci za plnění povinností dotčené pověřené osoby i nadále plně prvotně ZK.
13. ZK je povinen a zavazuje se k veškeré součinnosti s Organizací, o kterou bude požádán v souvislosti se zpracováním osobních údajů nebo která mu přímo vyplývá z NAŘÍZENÍ. ZK je povinen na vyžádání zpřístupnit Organizaci svá písemná technická a organizační bezpečnostní opatření a umožnit mu případnou kontrolu, audit či inspekci dodržování předložených technických a organizačních bezpečnostních opatření.
14. ZK je po zániku této smlouvy povinen dodržovat veškeré povinnosti dle právních předpisů na zpracování a ochranu osobních údajů a dle NAŘÍZENÍ, vedoucí zejména k předejítí neoprávněnému nakládání s osobními údaji do doby, než dle pokynů Organizace tyto osobní údaje ZK předá Organizaci nebo provede jejich bezpečnou likvidaci.
15. Po skončení účinnosti této smlouvy je ZK povinen v souladu s rozhodnutím Organizace všechny osobní údaje, které má v držení buď vymazat, nebo je vrátit Organizaci po ukončení poskytování služeb spojených se zpracováním a vymazat všechny existující kopie, pokud právní předpis EU, případně vnitrostátní právní předpis nepožaduje uložení daných osobních údajů.
IV.
Náklady a bezúplatnost smlouvy
1. Smluvní strany si nesou samostatně své náklady spojené s plněním povinností podle této smlouvy.
2. Smluvní strany sjednávají, že za plnění této smlouvy nenáleží žádné z nich odměna nebo úplata, není-li výslovně ujednáno jinak.
V.
Závěrečná ustanovení
1. Veškeré změny a doplňky této smlouvy lze činit pouze písemnými, vzestupně číslovanými dodatky.
2. Ukončení této smlouvy je možné výpovědí s 90 denní výpovědní lhůtou, která začíná běžet
1. dnem měsíce následujícího po doručení výpovědi druhé smluvní straně.
3. Tato smlouva je vyhotovena ve čtyřech stejnopisech, přičemž obě smluvní strany obdrží dvě vyhotovení.
4. Smluvní strany sjednávají, že ZK je oprávněn jednostranně aktualizovat znění příloh této smlouvy. Aktualizace jsou vůči Organizaci účinné od 31. dne ode dne prokazatelného obeznámení Organizace se zněním aktualizace.
5. Tato smlouva nabývá platnosti dnem podpisu poslední ze smluvních stran a účinnosti dnem jejího zveřejnění v registru smluv.
6. Smluvní strany se dohodly, že ZK v zákonné lhůtě odešle smlouvu k řádnému uveřejnění do registru smluv vedeného Ministerstvem vnitra ČR. O uveřejnění smlouvy ZK bezodkladně telefonicky informuje druhou smluvní stranu.
7. Rozhodnout o uzavření této smlouvy a oprávnění uzavřít jménem ZK tuto smlouvu bylo xxxxxxxxxxxxxxxxx, svěřeno usnesením Rady Zlínského kraje č. 0400/R13/18 ze dne 21. 5. 2018.
Přílohy:
Příloha č. 1 – Seznam informačních systémů a aplikací Příloha č. 2 – Pravidla pro práci v IS KÚZK
Obsah příloh č. 1 a 2 je dostupný na odkaze xxxx://xx.xx-xxxxxxx.xx/xxxxxxx-xx-xx-xx Příloha č. 3 – Seznam IS KÚZK, ve kterých se zpracovávají osobní údaje
Ve Zlíně dne | Ve Zlíně dne |
………………………………….. | ………………………………….. |
xxxxxxxxxxx | xxxxxxxxxxx |
Příloha č. 1
Seznam informačních systémů a aplikací
Webové aplikace provozované KÚZK jsou přístupné na portálu informačních systémů Zlínského kraje, který je dostupný na adrese: xxx.xx-xxxxxxx.xx. Po přihlášení získáte přístup ke všem webovým aplikacím, ke kterým máte nastavena přístupová práva. Vytváření uživatelských účtů a přidělení práv zajišťují lokální správci z věcně příslušných odborů. Žádosti o nové uživatelské účty a změnu oprávnění mohou podávat pouze ředitelé zřizovaných organizací.
FaMa+
Ekonomika: Informační systém pro evidenci pozemků a staveb ve vlastnictví Zlínského kraje. Garantem aplikace je informační manažer pro majetek na odboru EKO.
KDR
Kultura: Krajský digitální repositář pro dlouhodobé bezpečné ukládání digitálních obrazů a metadat.
MIS
Zdravotnictví: Manažerský informační systém.
Portál pro zřizované organizace
Informace: Informační portál pro zřizované organizace Zlínského kraje.
Portál zdravotnictví
Informace: Informační portál pro zdravotnické organizace Zlínského kraje.
Spisová služba GEOVAP
Správa dokumentů: Hostovaná spisová služba pro zřizované organizace Zlínského kraje.
Týmnet
DMS: Portál zaměřený na spolupráci při realizaci projektů.
ZDO
Zpřístupnění digitálního obsahu.
Příloha č. 2
Pravidla pro práci v IS KÚZK
Každý uživatel musí používat pouze jemu přidělené uživatelské jméno. Používání jiných účtů (např. účtů kolegů nebo bývalých zaměstnanců) je nepřípustné.
1. Každý uživatel je osobně odpovědný za způsob používání svého účtu a za všechny operace a úkony, které byly pod jeho účtem provedeny.
2. Přístupové heslo musí být uchováváno v tajnosti a nesmí být sděleno žádné jiné osobě.
3. Přístupový účet smí být používán pouze k účelu, ke kterému byl zřízen. Je přísně zakázáno provádět jakékoliv testování, zkoušet rozsah přidělených oprávnění, provádět pokusy o jejich překonání a zkoumání případných slabých míst a zranitelností.
4. Uživatelé jsou povinní neprodleně informovat správce systému o zjištěných chybách a bezpečnostních incidentech, které při používání IS KÚZK účtu nastaly.
5. Při přerušení nebo ukončení práce s IS KÚZK a opuštění pracoviště je vždy nutné provést vhodným způsobem jeho zajištění.
6. Informace získané z IS KÚZK jsou neveřejné a nesmí být sdělovány neoprávněným osobám.
7. Uložená neveřejné data ze systému KÚZK, musí být přiměřeně zabezpečena proti fyzickému přístupu nebo musí být šifrována.
Příloha č. 3
Seznam IS KÚZK, ve kterých se zpracovávají osobní údaje („OÚ“)
Předmět zpracování - systém | Doba trvání zpracování | Účel zpracování | Typ OÚ (Kategorie) | Kategorie subjektů OÚ | Osoby pověřené ZK na pokyn Organizace zpracováním OÚ z titulu poskytování IT podpory |
FaMa+ (hostovaný informační systém pro evidenci pozemků a staveb ve vlastnictví Zlínského kraje svěřeného k hospodaření Organizaci) | Po dobu účinnosti smlouvy | Evidence majetku v aplikaci FaMa+ | jméno, příjmení, titul, tel. číslo, email; adresa, IČO, DIČ, číslo účtu | Zaměstnanci Organizace, smluvní strany | TESCO SW a.s., IČO: 25892533 |
Spisová služba GEOVAP (hostovaná spisová služba pro zřizované organizace Zlínského kraje) | Po dobu účinnosti smlouvy | Vedení spisové služby v aplikaci GEOVAP | jméno, příjmení, adresa, případně IČO pro odlišení FO podnikající (údaje ve jmenném rejstříku) | _odesilatel dokumentu, _příjemce dokumentu, _jiná osoba, jíž se dokument týká | GEOVAP, spol. s r.o., IČO: 15049248 |