Předmět smlouvy
Smlouva o přístupu do informačních systémů provozovaných Ústeckým krajem a o zpracování osobních údajů
Ústecký kraj
Se sídlem Velká Hradební 3118/48, 400 01 Ústí nad Labem
Zastoupený: Xx. Xxxxx Xxxxxxxx, vedoucím odboru informatiky a organizačních věcí IČO: 70892156
(dále jen „ÚK“) a
……………………, příspěvková organizace
Se sídlem: ……………………………
Zastoupená , ředitel/ka organizace
IČO: ……………….
(dále jen jako „Organizace")
(dále společně jako „smluvní strany“)
uzavírají podle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, níže specifikovanou smlouvu o přístupu do informačních systémů provozovaných Ústeckým krajem a o zpracování osobních údajů (dále jen „smlouva"):
l.
Předmět smlouvy
1. Předmětem plnění této smlouvy je závazek ÚK umožnit Organizaci přístup do informačního systému (dále jen jako „IS“) Krajského úřadu Ústeckého kraje (dále jen jako „KÚÚK“) v rozsahu a za podmínek stanovených touto smlouvou a závazek Organizace užívat IS podle pravidel přístupu stanovených touto smlouvou, za účelem využívání aplikací, systémů a datových zdrojů pořízených ÚK, vytvoření a užívání společné datové báze.
2. Smluvní strany tímto dále sjednávají podle čl. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, obecné nařízení o ochraně osobních údajů (dále jen jako „NAŘÍZENÍ“) smlouvu o zpracování osobních údajů, které jsou zpracovávány v rámci IS KÚÚK.
II.
Pravidla přístupu do IS KÚÚK
1. ÚK se zavazuje umožnit Organizaci přístup do vybraných IS KÚÚK. Seznam informačních systémů a aplikací uvedený v příloze č. 1 této smlouvy je přístupný na Portále Ústeckého kraje a je průběžně aktualizován. ÚK se zavazuje provozovat všechny informační systémy a aplikace v souladu s požadavky obecně závazných právních předpisů a obecnými bezpečnostními standardy.
2. Organizace je povinna zajistit, že se všichni její zaměstnanci budou při práci v IS KÚÚK řídit pravidly pro práci v IS KÚÚK, které jsou přístupné přes přihlašovací stránku k
informačním systémům. Pravidla pro práci v informačních systémech Krajského úřadu Ústeckého kraje jsou uvedena v příloze č. 2 této smlouvy.
3. Organizace se zavazuje průběžně aktualizovat evidenci svých zaměstnanců v e-Spis LITE, kteří mají přístup do IS KÚÚK podle této smlouvy. Organizace umožní přístup do IS KÚÚK podle této smlouvy pouze svým zaměstnancům.
4. Organizace odpovídá ÚK za škodu, kterou způsobí porušením svých povinností sjednaných touto smlouvou či povinností stanovených obecně závaznými právními předpisy.
5. Organizace je povinna zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví od ÚK v souvislosti s využíváním IS KÚÚK a zavazuje se uhradit ÚK či třetí straně, kterou porušením povinnosti mlčenlivosti poškodí, veškeré škody tímto porušením způsobené.
6. Organizace se zavazuje při užívání přístupu do IS KÚÚK podle této smlouvy dbát pokynů oprávněných osob ÚK.
III.
Zpracování a ochrana osobních údajů
1. ÚK a Organizace se zavazují, v souvislosti s touto smlouvou, zpracovávat osobní údaje v souladu s NAŘÍZENÍM. Zpracováním osobních údajů se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím automatizovaných prostředků v rozsahu nezbytném pro zajištění plnění předmětu smlouvy podle článku I odst. 1 této smlouvy.
2. Organizace bere na vědomí, že se ve smyslu všech výše uvedených právních předpisů považuje a bude považovat za správce osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi. ÚK je a bude nadále považován za zpracovatele osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi.
3. Ustanovení o vzájemných povinnostech Organizace a ÚK při zpracování osobních údajů zajišťuje, že nedojde k protiprávnímu použití osobních údajů týkajících se subjektů údajů ani k jejich předání do rukou neoprávněné třetí strany. Smluvní strany se dohodly na podmínkách zajištění odpovídajících opatření k zabezpečení ochrany osobních údajů a základních práv a svobod subjektů údajů při zpracování osobních údajů.
4. ÚK se zavazuje zpracovávat pouze a výlučně ty osobní údaje, které jsou nutné k řádnému plnění smluvních povinností. Seznam IS KÚÚK, ve kterých jsou zpracovávány osobní údaje, je uveden v příloze č. 3.
5. ÚK je oprávněn zpracovávat osobní údaje dle této smlouvy pouze a výlučně po dobu účinnosti této smlouvy.
6. ÚK je oprávněn zpracovávat osobní údaje pouze za stanoveným účelem zpracování, uvedeným v příloze č. 3 této smlouvy.
7. ÚK je povinen se při zpracování osobních údajů řídit výslovnými pokyny Organizace, budou- li mu takové uděleny, ať již ústní či písemnou formou. Za písemnou formu se považuje i elektronická komunikace, včetně emailu. ÚK je povinen neprodleně Organizaci informovat, pokud dle jeho názoru udělený pokyn Organizace porušuje NAŘÍZENÍ nebo jiné právní předpisy.
8. ÚK je povinen zajistit zachování mlčenlivosti u osob, které budou fakticky provádět plnění dle této smlouvy, resp. se tyto osoby zavážou k mlčenlivosti ohledně veškeré činnosti související s touto smlouvou, zejména k mlčenlivosti ve vztahu ke všem osobním údajům, ke kterým budou mít přístup, nebo s kterými přijdou do kontaktu.
9. ÚK je povinen ve smyslu čl. 32 NAŘÍZENÍ přijmout, s ohledem na stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, zejména pak osobní údaje zabezpečit vůči náhodnému či nezákonnému zničení, ztrátě, změně, zpřístupnění neoprávněným stranám, zneužití či jinému způsobu zpracování v rozporu s NAŘÍZENÍM.
10. ÚK se zavazuje zejména, nikoliv však výlučně, přijmout následující technická a organizační opatření:
a) ÚK v případě zpracování osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení předpisů na ochranu osobních údajů, NAŘÍZENÍ či této smlouvy;
b) ÚK bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k osobním údajům ze strany jiných osob než pověřených zaměstnanců ÚK;
c) ÚK bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
d) Osobní údaje v elektronické podobě bude ÚK uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci ÚK na základě přístupových kódů a hesel a bude osobní údaje pravidelně zálohovat;
e) ÚK zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
f) ÚK bude v co největší míře zpracovávat pouze pseudoanonymizované a šifrované osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucí ze zpracování osobních údajů;
g) ÚK zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
h) ÚK prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
11. ÚK je povinen písemně seznámit Organizaci s jakýmkoliv podezřením na porušení nebo skutečným porušením bezpečnosti zpracování osobních údajů podle ustanovení této smlouvy, např. jakoukoliv odchylkou od udělených pokynů, odchylkou od sjednaného přístupu pro Organizaci, plánovaným zveřejněním, upgradem, testy apod., kterými může dojít k úpravě nebo změně zabezpečení nebo zpracování osobních údajů, jakýmkoliv podezřením z porušení důvěrnosti, jakýmkoliv podezřením z náhodného či nezákonného zničení, ztráty, změny, zpřístupnění neoprávněným stranám, zneužití či jiného způsobu zpracování osobních údajů v rozporu s NAŘÍZENÍM. Organizace bude neprodleně seznámena s jakýmkoliv podstatným porušením těchto ustanovení o zpracování osobních údajů.
12. Organizace tímto dává ÚK pokyn, aby případně pověřil zpracováním osobních údajů dle této smlouvy také pověřené osoby, které mají přístup k osobním údajům z titulu zajištění údržby a komplexní provozní podpory informačních systémů. Tyto pověřené osoby jsou uvedené v příloze č. 3 této smlouvy. Neplní-li uvedené pověřené osoby své povinnosti v oblasti ochrany osobních údajů, odpovídá Organizaci za plnění povinností dotčené pověřené osoby i nadále plně prvotně ÚK.
13. ÚK je povinen a zavazuje se k veškeré součinnosti s Organizací, o kterou bude požádán v souvislosti se zpracováním osobních údajů nebo která mu přímo vyplývá z NAŘÍZENÍ. ÚK je povinen na vyžádání zpřístupnit Organizaci svá písemná technická a organizační bezpečnostní opatření a umožnit mu případnou kontrolu, audit či inspekci dodržování předložených technických a organizačních bezpečnostních opatření.
14. ÚK je po zániku této smlouvy povinen dodržovat veškeré povinnosti dle právních předpisů na zpracování a ochranu osobních údajů a dle NAŘÍZENÍ, vedoucí zejména k předejití neoprávněnému nakládání s osobními údaji do doby, než dle pokynů Organizace tyto osobní údaje ÚK předá Organizaci nebo provede jejich bezpečnou likvidaci.
15. Po skončení účinnosti této smlouvy je ÚK povinen v souladu s rozhodnutím Organizace všechny osobní údaje, které má v držení buď vymazat, nebo je vrátit Organizaci po ukončení poskytování služeb spojených se zpracováním a vymazat všechny existující kopie, pokud právní předpis EU, případně vnitrostátní právní předpis nepožaduje uložení daných osobních údajů.
IV.
Náklady a bezúplatnost smlouvy
1. Smluvní strany si nesou samostatně své náklady spojené s plněním povinností podle této smlouvy.
2. Smluvní strany sjednávají, že za plnění této smlouvy nenáleží žádné z nich odměna nebo úplata, není-li výslovně ujednáno jinak.
V.
Závěrečná ustanovení
1. Veškeré změny a doplňky této smlouvy lze činit pouze písemnými, vzestupně číslovanými dodatky.
2. Ukončení této smlouvy je možné výpovědí s 90 denní výpovědní lhůtou, která začíná běžet
1. dnem měsíce následujícího po doručení výpovědi druhé smluvní straně.
3. Tato smlouva je vyhotovena ve čtyřech stejnopisech, přičemž obě smluvní strany obdrží dvě vyhotovení.
4. Smluvní strany sjednávají, že ÚK je oprávněn jednostranně aktualizovat znění příloh této smlouvy. Aktualizace jsou vůči Organizaci účinné od 31. dne ode dne prokazatelného obeznámení Organizace se zněním aktualizace.
5. Tato smlouva bude v úplném znění uveřejněna prostřednictvím registru smluv postupem dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.
Zhotovitel prohlašuje, že souhlasí s uveřejněním svých osobních údajů obsažených v této smlouvě, které by jinak podléhaly znečitelnění, v registru smluv, popř. disponuje souhlasem třetích osob uvedených na své straně s uveřejněním jejich osobních údajů v registru smluv, které by jinak podléhaly znečitelnění. Smluvní strany se dohodly na tom, že uveřejnění v registru smluv provede objednatel, který zároveň zajistí, aby informace o uveřejnění této smlouvy byla zaslána Organizaci do datové schránky ID ……. /na e-mail: …………..
Smlouva nabývá platnosti dnem jejího uzavření a účinnosti dnem uveřejnění v registru smluv.
7. O uzavření této smlouvy bylo rozhodnuto Radou Ústeckého kraje usnesením č. 008/111R/2020 ze dne 14.10.2020.
Přílohy:
Příloha č. 1 – Seznam informačních systémů a aplikací provozovaných pro organizace zřizované Ústeckým krajem
Příloha č. 2 – Pravidla pro práci v IS KÚÚK
Obsah příloh č. 1 a 2 je dostupný na odkaze xxxxx://xxx.xx-xxxxxxx.xx/xxxx/xx- 100425/p1=244164
Příloha č. 3 – Seznam IS KÚÚK, ve kterých se zpracovávají osobní údaje
V Ústí nad Labem dne V Ústí nad Labem dne
za ……………………, za Ústecký kraj příspěvkovou organizaci
…………………………….. ……………………..
……………………..., ředitel/ka Organizace
Příloha č. 1
Seznam informačních systémů a aplikací provozovaných pro organizace zřizované Ústeckým krajem
Vytváření a rušení jednotných uživatelských účtů provádí administrátoři jednotlivých organizací ve spisové službě e-Spis LITE. Přidělení práv v jednotlivých aplikacích zajišťují garanti aplikací ve spolupráci s klíčovými uživateli z věcně příslušných odborů.
e-Spis LITE
Spisová služba: Hostovaný elektronický systém spisové služby e-Spis LITE pro zřizované organizace Ústeckého kraje. Garantem aplikace je administrátor aplikace na odboru Informatiky a organizačních věcí.
KDS
Spisovna: Hostovaná elektronická spisovna ICZ DESA, edice KDS pro dlouhodobé bezpečné ukládání dokumentů a spisů pro zřizované organizace Ústeckého kraje. Garantem aplikace je administrátor aplikace na odboru Informatiky a organizačních věcí.
Controlling
Controlling (ISC): Informační systém s datovým skladem pro sběr dat ekonomického charakteru. Garantem aplikace je administrátor aplikace na odboru Informatiky a organizačních věcí, klíčový uživatel Ekonomického odboru a klíčový uživatelé svodných odborů.
Pasportizační systém
Pasportizace: Informační systém pro pasportizaci nemovitého majetku pro zřizované organizace Ústeckého kraje. Garantem aplikace je administrátor aplikace na odboru Informatiky a organizačních věcí, klíčový uživatel Majetkového odboru a klíčový uživatelé svodných odborů.
Příloha č. 2
Pravidla pro práci v IS KÚÚK
Každý uživatel musí používat pouze jemu přidělené uživatelské jméno. Používání jiných účtů (např. účtů kolegů nebo bývalých zaměstnanců) je nepřípustné.
1. Každý uživatel je osobně odpovědný za způsob používání svého účtu a za všechny operace a úkony, které byly pod jeho účtem provedeny.
2. Přístupové heslo musí být uchováváno v tajnosti a nesmí být sděleno žádné jiné osobě.
3. Přístupový účet smí být používán pouze k účelu, ke kterému byl zřízen. Je přísně zakázáno provádět jakékoliv testování, zkoušet rozsah přidělených oprávnění, provádět pokusy o jejich překonání a zkoumání případných slabých míst a zranitelností.
4. Uživatelé jsou povinní neprodleně informovat správce systému o zjištěných chybách a bezpečnostních incidentech, které při používání IS KÚÚK účtu nastaly.
5. Při přerušení nebo ukončení práce s IS KÚÚK a opuštění pracoviště je vždy nutné provést vhodným způsobem jeho zajištění.
6. Informace získané z IS KÚÚK jsou neveřejné a nesmí být sdělovány neoprávněným osobám.
7. Uložená neveřejná data ze systému KÚÚK, musí být přiměřeně zabezpečena proti fyzickému přístupu nebo musí být šifrována.
Příloha č. 3
Seznam IS KÚÚK, ve kterých se zpracovávají osobní údaje („OÚ“)
Předmět zpracování - systém | Doba trvání zpracování | Účel zpracování | Typ OÚ (Kategorie) | Kategorie subjektů OÚ | Zákon |
Spisová služba e- Spis LITE (hostovaná spisová služba pro zřizované organizace Ústeckého kraje) | Po dobu účinnosti smlouvy | Vedení spisové služby | jméno, příjmení, adresa místa trvalého pobytu nebo adresa bydliště nebo adresa pro doručování, titul, event. rodné číslo/dat. narození, státní příslušnost, kontakt (tel., fax, e-mail), IČ, ID DS, ostatní dle příslušných právních předpisů | žadatelé o informace, stěžovatelé, dodavatelé, účastníci VŘ a VZ, jakýkoli subjekt, který KÚ ÚK osloví nebo je jím osloven (zaměstnanci příspěvkové organizace, odesilatel dokumentu, příjemce dokumentu) | č. 499/2004 Sb. Zákon o archivnictví a spisové službě |
KDS (hostovaná elektronická spisovna) | Po dobu účinnosti smlouvy | Dlouhodobé bezpečné ukládání dokumentů a spisů | jméno, příjmení, adresa místa trvalého pobytu nebo adresa bydliště nebo adresa pro doručování, titul, event. rodné číslo/dat. narození, státní příslušnost, kontakt (tel., fax, e-mail), IČ, ID DS, ostatní dle příslušných právních předpisů | žadatelé o informace, stěžovatelé, dodavatelé, účastníci VŘ a VZ, jakýkoli subjekt, který KÚ ÚK osloví nebo je jím osloven (zaměstnanci příspěvkové organizace, odesilatel dokumentu, příjemce dokumentu) | č. 499/2004 Sb. Zákon o archivnictví a spisové službě a o změně některých zákonů |
Controlling (datový sklad pro sběr dat ekonomického charakteru) | Po dobu účinnosti smlouvy | Sběr ekonomickýc h dat | jméno, příjmení, telefonní kontakt, e- mailová adresa, funkce/pracovní zařazení (statutární zástupce organizace, zpracovatele výkazu) | Zaměstnanci kraje a příspěvkové organizace | č. 563/1991 Sb., Zákon o účetnictví, oprávněný zájem správce |
Pasportizační systém (pasportizace nemovitého majetku) | Po dobu účinnosti smlouvy | Zajištění uceleného přehledu o hospodaření s nemovitým majetkem ÚK | jméno, příjmení, rodné příjmení, titul, datum a místo narození, rodné číslo, adresa trvalého bydliště, IČ, název firmy, sídlo firmy | Dotčené fyzické a právnické osoby (zaměstnanci příspěvkové organizace, smluvní strany) | č. 129/2000 Sb. Zákon o krajích, č. 250/2000 Sb. Zákon o rozpočtových pravidlech územních rozpočtů č. 563/1991 Sb., Zákon o účetnictví oprávněné zájmy správce, zpracování je nezbytné pro splnění smlouvy |