Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů
město Ivančice
se sídlem: Palackého nám. 196/6, 664 91 Xxxxxxxx XXX: 00281859
DIČ:CZ00281859
zastoupené Xxxxxxx Xxxxxx, starostou města (dále jen „Správce“)
a
Parking Pro s.r.o.
se sídlem: Odolena Voda, Postřižínská 20, PSČ 25070 IČO: 04979591
DIČ:CZ04979591
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 256586
zastoupená Ing. Xxxxx Xxxxxxxx, jednatelem (dále jen „Zpracovatel“)
níže uvedeného dne, měsíce a roku uzavřeli dle nařízení EU č. 2016/679, obecného nařízení o ochraně osobních údajů (dále také jen „nařízení“) tuto smlouvu
o zpracování osobních údajů (dále také jen „smlouva“)
Článek I.
1. Správce a Zpracovatel spolu dne 08.03.2021 uzavřeli Smlouvu nájemně-servisní č. 55-21-82-0099, na jejímž základě Zpracovatel zabezpečí formou pronájmu parkovacích automatů a dalších návazných elektronických evidenčních a kontrolních systémů ve prospěch Správce provoz MPS (městského parkovacího systému) ve městě Ivančice.
2. Správce je ve smyslu obecného nařízení Správcem osobních údajů, neboť v souvislosti se svojí činností zpracovává osobní údaje osob, které u něj zaplatili parkovací oprávnění a jsou evidovány v Software (SW), který užívá Správce na základě smlouvy se Zpracovatelem, formou SW a servisních služeb s tím, že veškeré informace jsou umístěny na serverech Zpracovatele umístěných v ČR. SW umožňuje evidenci parkovacích oprávnění ve městě Ivančice a zpracovává osobní údaje parkujících v rozsahu: telefonní číslo, RZ(SPZ) vozidla. Zákonným důvodem zpracování osobních údajů je skutečnost, že toto zpracování je nezbytné pro poskytnutí služby Správce, jejímž předmětem je parkování vozidla parkujícího.
3. Údaje o vydaných parkovacích oprávněních jsou uloženy na serverech Zpracovatele a jsou poskytována Správci zabezpečeným přístupem prostřednictvím sítě internet.
4. Zpracovatel je ve smyslu obecného nařízení osobou, která poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření při provádění zpracování osobních údajů.
5. Smluvní strany mají zájem upravit touto smlouvou svá vzájemná práva a povinnosti při zpracování osobních údajů podle § 28 obecného nařízení.
6. Pojmy používané v této smlouvě mají totožný význam, jako pojmy užité v nařízení, ev. mají význam, který
je xxx xxxxxxxxxx jinými závaznými právními předpisy.
Článek II.
1. Správce touto smlouvou pověřuje Zpracovatele prováděním zpracování osobních údajů subjektů údajů (parkujících) v přímé či nepřímé souvislosti se zajištěním evidence a kontroly parkovacích oprávnění, a to za účelem:
i. prodeje parkovacích oprávnění,
ii. vedení parkovacích oprávnění a jejich kontroly
2. Zpracovatel se zavazuje poskytovat Správci služby zpracování osobních údajů a služby se zpracováním související a dále se zavazuje, že při zpracovávání osobních údajů bude postupovat v souladu s nařízením, s touto smlouvou a doloženými pokyny Správce.
3. Doba, po kterou bude Zpracovatel provádět zpracování pro Správce, se stanoví na dobu účinnosti této
smlouvy.
4. Zpracováním se rozumí zejména shromáždění, zaznamenání, uspořádání, strukturování, uložení, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
5. Obě strany se zavazují se navzájem bez prodlení informovat o všech okolnostech významných pro plnění předmětu této smlouvy.
Článek III.
1. Správce prohlašuje a Zpracovateli se zavazuje, že:
a) ve vztahu ke všem osobním údajům, na které se vztahuje tato smlouva, disponuje řádným právním titulem pro zpracování a je tedy oprávněn pověřit Zpracovatele zpracováním předmětných osobních údajů dle této smlouvy,
b) souhlasí s technickými a organizačními bezpečnostními opatřeními Zpracovatele uvedenými v článku IV. a V. této smlouvy a shledává je vhodnými a dostatečnými k ochraně zpracovávaných osobních údajů před náhodným nebo protiprávním zničením nebo náhodnou ztrátou, změnou, neoprávněným zveřejněním nebo přístupem,
c) zajistí na své straně dodržování bezpečnostních opatření k ochraně osobních údajů v nejvyšší možné míře,
d) splní vůči subjektům údajů, jejichž osobní údaje zpracovává jako Správce, v plném rozsahu informační povinnost ve smyslu čl. 13 anebo 14 nařízení.
Článek IV.
1. Zpracovatel prohlašuje, že SW, jejichž prostřednictvím zpracovává osobní údaje uvedené v této smlouvě, zajišťuje na svých serverech.
2. Zpracovatel dále prohlašuje, že k serverům mají přístup výlučně osoby specifikované ve smlouvě mezi vlastníkem serverů a provozovatelem. Za provozovatele serverů může umožnit přístup pouze jednatel.
3. Zálohování a archivace dat na straně Zpracovatele probíhá podle vnitřních směrnic Zpracovatele a je prováděna v souladu s ISO 9001 a ISO 27001. Zpracovatel je držitelem certifikace systému managementu kvality dle ČSN EN ISO 9001:2009 a systému managementu bezpečnosti informací dle ČSN ISO/IEC 27001:2006.
4. Zpracovatel prohlašuje, že servery jsou umístěny v hostingovém centru O2 Nagano, které je certifikováno jako TIER III. Datové centrum dále splňuje normu PCI-DSS.
5. Zpracovatel prohlašuje, že splnil podmínky uvedené v článku 32 Nařízení. Komplexní systém pro kontrolu
přístupu a pohybu v rámci datového centra obsahuje:
• omezení vstupu do datového centra na jeho zaměstnance a návštěvníky autorizované jednotlivými klienty,
• elektronické identifikační vstupní karty se záznamem pohybu,
• přítomnost bezpečnostní agentury v režimu 24x7x365,
• záznam návštěv na recepci,
• turnikety u hlavního vchodu,
• systém průmyslové televize včetně nočního vidění s 30denním záznamem,
• alarm narušení vstupu a vnitřních prostor,
• automatické hlášení stavu systému na policejním oddělení 24x7x365.
Článek V.
1. Zpracovatel se zavazuje, že nezapojí do zpracování osobních údajů žádného dalšího Zpracovatele bez předchozího konkrétního nebo obecného povolení Správce. V případě obecného písemného povolení zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
2. Zpracovatel bude zpracovávat osobní údaje pouze na základě doložených pokynů Správce.
3. Zpracovatel se zavazuje, že k osobním údajům parkujících a k jejich zpracování budou mít přístup výlučně osoby, které se Zpracovateli písemně zavázali v souladu s Nařízením k povinnosti zachovat mlčenlivost
o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů a že tato mlčenlivost trvá i po ukončení pracovního poměru u Zpracovatele nebo při ukončení práce s osobními údaji.
4. Zpracovatel vede záznamy o všech činnostech zpracování prováděných pro Správce, jež obsahují:
a) jméno a kontaktní údaje Zpracovatele nebo Zpracovatelů a Správce, pro něhož Zpracovatel jedná, a případného zástupce Správce nebo Zpracovatele a pověřence pro ochranu osobních údajů,
b) kategorie zpracování prováděného pro Správce,
c) obecný popis technických a organizačních bezpečnostních opatření s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování:
• pseudonymizace a šifrování osobních údajů,
• schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
• schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
• proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Při posuzování vhodné úrovně bezpečnosti Zpracovatel zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
5. Jakmile Zpracovatel zjistí porušení zabezpečení osobních údajů, je povinen tuto skutečnost ohlásit bez zbytečného odkladu Správci a dozorovému úřadu. Ohlášení musí obsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
d) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout informace současně, může je Zpracovatel poskytnut postupně bez dalšího zbytečného odkladu. Zpracovatel je povinen poskytnout záznamy na požádání dozorového úřadu. Je-li pravděpodobné, že zjištěné porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je zaměstnanec Zpracovatele, který bezpečnostní incident nahlásil dozorovému úřadu, povinen bez zbytečného odkladu oznámit porušení zabezpečení osobních údajů subjektu údajů a v kopii Správci osobních údajů včetně informace o provedených opatřeních, které zpracovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů včetně případných opatření ke zmírnění možných nepříznivých dopadů.
6. V případě ukončení smluvního vztahu mezi Správcem a Zpracovatelem je Zpracovatel povinen bez zbytečného odkladu provést likvidaci všech osobních údajů, a to i ze všech zálohovaných souborů v rozsahu, které pro Správce zpracovával. Zpracovatel je povinen Správci tuto skutečnost písemně potvrdit. V písemném potvrzení je Zpracovatel povinen konkretizovat formu a způsob, jakým způsobem provedl likvidaci osobních údajů.
7. Zpracovatel neprodleně informuje Správce o:
a) jakémkoliv určitém pokynu Správce, který dle jeho názoru porušuje nařízení nebo jiné právní předpisy,
b) jakékoli právně závazné žádosti o zpřístupnění zpracovávaných osobních údajů orgány veřejné moci, není-li to příslušným právním předpisem zakázáno,
c) jakémkoliv náhodném nebo protiprávním zničení, ztrátě, pozměnění, neoprávněném zpřístupnění třetím osobám nebo o neoprávněném přístupu ke zpracovávaným osobním údajům,
d) jakékoli žádosti týkající se zpracování osobních údajů obdržené přímo od subjektu údajů.
8. Zpracovatel se dále zavazuje:
a) bezodkladně a řádně vyřídit veškeré dotazy a oprávněné požadavky Správce týkající se zpracování osobních údajů,
b) bude Správci v případě potřeby nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 nařízení, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici, tj. Zpracovatel je povinen poskytnout Správci veškerou součinnost při:
• zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů,
• posuzování vlivu zpracování na ochranu osobních údajů, pokud se vyžaduje,
• předchozích konzultací s dozorovým úřadem.
c) poskytne Správci informace potřebné k doložení toho, že byly splněny povinnosti stanovené v této smlouvě a na žádost Správce umožní provádění inspekcí a auditů ze strany Správce, případně auditora pověřeného Správcem, a k těmto auditům poskytne součinnost,
d) bude neprodleně informovat Správce o existenci jakékoli skutečnosti, která brání provádění auditu podle čl. V. odst. 10 písm. c).
Článek VI.
1. Zpracovatel souhlasí s uložením kopie této smlouvy u dozorového úřadu, pokud o to Správce požádá nebo pokud to je/bude vyžadováno dle závazných právních předpisů.
2. Strany prohlašují, že dozorový úřad má právo provádět kontrolu Zpracovatele a jakéhokoli Dalšího
Zpracovatele, v rozsahu vyplývajícím ze závazných právních předpisů.
Článek VII.
Kontaktní osoby:
a) za Správce: Xx. Xxxxxxxxx Xxxxxxxx Veisová, tel. 000 000 000, xxxxxxx@xxxx.xx
b) za Zpracovatele: Xxx. Xxxx Xxxxxx, tel. 000 000 000, xxxx.xxxxxx@xxxxxxx-xxx.xx
Článek VIII.
1. Tato smlouva se na základě dohody smluvních stran uzavírá na dobu, po níž bude Zpracovatel poskytovat Správci licenci k SW pro evidenci parkovacích oprávnění.
2. Každá smluvní strana je oprávněna od této smlouvy odstoupit, pokud druhá smluvní strana poruší svoji povinnost vyplývající z této smlouvy podstatným způsobem a nezjedná nápravu ani v přiměřené lhůtě určené jí v písemné výzvě dotčenou smluvní stranou.
3. Správce podpisem této smlouvy bere výslovně na vědomí, že existence této smlouvy je nezbytnou podmínkou pro poskytování těch služeb Zpracovatele uvedených v článku I. této smlouvy, při nichž se nelze obejít bez zpracování osobních údajů subjektů údajů.
4. Tuto smlouvu lze měnit, doplňovat či rušit pouze písemnými číslovanými dodatky.
5. Tato smlouva nabývá platnosti a účinnosti dnem podpisu smluvními stranami.
6. Práva a povinnosti touto smlouvou neupravené se řídí obecně závaznými právními předpisy, zejména příslušnými ustanoveními občanského zákoníku a zákona o ochraně osobních údajů.
7. Xxxxxxx je vyhotovena ve 2 výtiscích, přičemž všechny mají platnost originálu. Správce obdrží
jedno vyhotovení smlouvy a Zpracovatel obdrží jedno vyhotovení smlouvy.
8. Tato smlouva nabývá platnosti a účinnosti dnem podpisu poslední ze smluvních stran.
9. Smluvní strany prohlašují, že tato smlouva byla sepsána podle jejich skutečné a svobodné vůle. Smlouvu přečetly, s jejím obsahem souhlasí, ujednání obsažená v této smlouvě považují za ujednání odpovídající dobrým mravům a zásadám poctivého obchodního styku, na důkaz čehož připojují vlastnoruční podpisy.
DOLOŽKA podle § 41 zákona č. 128/2000 Sb., o obcích, ve znění pozdější předpisů
Tato smlouva byla schválena radou města na 9. schůzi konané dne 7. 4. 2021, usnesením č. RM/2021/9/249.
V Ivančicích dne V Odolena Vodě dne
město Ivančice | Parking Pro s.r.o. |
Xxxxx Xxxxx
Digitálně podepsal Xxxxx Xxxxx Datum: 2021.04.08
09:20:32 +02'00'
Xxx. Xxxx Xxxxxx
Digitálně podepsal Xxx. Xxxx Xxxxxx Datum: 2021.04.08
11:43:43 +02'00'