Česká republika – Ministerstvo životního prostředí

● ● ●

BDO Advisory s.r.o.

SMLOUVA

O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PŘI

PROVEDENÍ VYHODNOCENÍ PROCESU ADMINISTRACE OPŽP

Z POHLEDU ŽADATELŮ A PŘÍJEMCŮ

▪ GDPR ▪

TATO SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PŘI PROVEDENÍ VYHODNOCENÍ PROCESU ADMINISTRACE OPŽP Z POHLEDU ŽADATELŮ

A PŘÍJEMCŮ (dále jen „Smlouva“) je uzavřena ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a

o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“),

MEZI

Českou republikou – Ministerstvem životního prostředí

se sídlem: Xxxxxxxxx 0000/00, 000 00 Xxxxx 00 – Xxxxxxxx

za níž jedná: Xxx. Xxxxxxxx Xxxxxx, ředitel odboru fondů EU

IČO: 00164801

bankovní spojení: Česká národní banka, Praha 1

číslo účtu: 7628001/0710

jejímž pověřencem je: Xxx. Xxxxxx Xxxxxxxxxxx

jíž u věcných jednání zastupuje: Xxx. Xxxxxxxx Xxxxxx, ředitel odboru fondů EU

DÁLE JEN „Správce“ NA STRANĚ JEDNÉ,

BDO Advisory s.r.o.

zapsanou v obchodním rejstříku Městského soudu v Praze pod sp. zn. C 107235 se sídlem: Xxxxxxxxxx 000/0, 000 00 Xxxxx 0 – Xxxxxx

za níž jedná: Xxx. Xxxxxxx Xxxx, jednatel

IČO: 27244784

DIČ: CZ27244784

bankovní spojení: UniCredit Bank Czech Republic and Slovakia, a.s.

číslo účtu: 2109933858/2700

jíž u věcných jednání zastupuje: xxxxxxxxxx, Manager

DÁLE JEN „Zpracovatel“ NA STRANĚ DRUHÉ,

SPRÁVCE A ZPRACOVATEL SPOLEČNĚ JEN „Smluvní strany“

NEBO JEDNOTLIVĚ „Smluvní strana“.

1. ÚVODNÍ USTANOVENÍ

1.1. Smluvní strany mezi sebou uzavřely dne 07. 09. 2018 smlouvu na provedení vyhocenocení procesu administrace Operačního programu Životní prostředí z pohledu žadatelů a příjemců (dále jen „Smlouva na provedení vyhodnocení procesu administrace OPŽP“).

1.2. Předmět plnění prováděný na základě Smlouvy na provedení vyhodnocení procesu administrace OPŽP zahrnuje též aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu Nařízení.

1.3. Smluvní strany mají zájem na tom dostát všem povinnostem, které jim vyplývají právních předpisů upravujících ochranu fyzických osob v souvislosti se zpracováním osobních údajů, a to zejména z Nařízení a ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění (dále jen „Zákon o ochraně osobních údajů“).

1.4. Na základě článku 28 Nařízení je Správce povinen uzavřít se Zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které Zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů.

1.5. Smluvní strany uzavírají tuto Smlouvu za účelem splnění povinnosti dle Nařízení a zabezpečení ochrany osobních údajů zpracovávaných Stranami v rámci vzájemného smluvního vztahu založeného Smlouvou na provedení vyhodnocení procesu administrace OPŽP.

1.6. Smluvení strany mají zájem na tom, aby tato Smlouva pokrývala veškeré činnosti zpracování osobních údajů, které Zpracovatel provádí pro Správce v souvislosti s prováděním předmětu Smlouvy na provedení vyhodnocení procesu administrace OPŽP.

2. ÚČEL SMLOUVY

2.1. Smluvní strany se dohodly, že Zpracovatel bude ve smyslu článku 4 bodu 2) Nařízení pro Správce zpracovávat osobních údaje, které Správce získal nebo získá v souvislosti se svou činností řídícího orgánu OPŽP dle příslušných předpisů, nebo které pro Správce za tímto účelem získá samotný Zpracovatel (dále jen „Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících ze Smlouvy na provedení vyhodnocení procesu administrace OPŽP.

2.2. Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování.

3. PŘEDMĚT SMLOUVY

3.1. Předmětem této Smlouvy je vymezení vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů ve smyslu odst. 2.1 této Smlouvy.

3.2. Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.

4. ÚČEL, ROZSAH A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

4.1. Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Smlouvy na provedení vyhodnocení procesu administrace OPŽP.

4.2. Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje žadatelů o podporu z Operačního programu Životní prostředí (dále jen „OPŽP“) a jejich zástupců (administrátoři žádostí o dotace), příjemců podpory z OPŽP a jejich zástupců (administrátoři dotace), zaměstnanců řídicího orgánu OPŽP a zaměstnanců zprostředkujících subjektů OPŽP („Subjekty údajů“) v rozsahu stanoveném v Příloze č. 1 této Smlouvy.

4.3. V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími z Nařízení, Zákona

o ochraně osobních údajů a z této Smlouvy.

4.4. Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu platnosti a účinnosti této Smlouvy.

5. ODMĚNA ZA SLUŽBY ZPRACOVATELE

5.1. Smluvní strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Smlouvy na provedení vyhodnocení procesu administrace OPŽP.

5.2. Zpracovateli nevzniká nárok na náhradu jakýchkoliv nákladů, které Zpracovateli v souvislosti se zpracováním Osobních údajů dle této Smlouvy vzniknou.

6. PRÁVA A POVINNOSTI ZPRACOVATELE

6.1. Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení či Zákona o ochraně osobních údajů.

6.2. Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.

6.3. Jakmile pomine účel, pro který byly Osobní údaje zpracovány, zejména v případě zániku Smlouvy na provedení vyhodnocení procesu administrace OPŽP, v případě odvolání souhlasu Subjektu údajů, nebo na základě žádosti Subjektu údajů podle článku 17 Nařízení, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci.

6.4. V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu s právním předpisem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo o odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.

6.5. Zpracovatel je povinen Správci neprodleně oznámit provedení kontroly ze strany dozorového úřadu v oblasti ochrany osobních údajů, zejména Úřadu pro ochranu osobních údajů a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty (dále jen „Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost neprodleně oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení, popř. Správci poskytnout plnou moc k nahlížení do spisu týkajícího se Správního řízení. Zpracovatel je povinen plnit povinnosti kontrolované osoby dle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, a zavazuje se poskytnout Správci kopii rozhodnutí o odstranění nebo prevenci nedostatků zjištěných kontrolou, pokud je takové opatření k nápravě kontrolním orgánem či kontrolujícím uloženo.

6.6. Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů (dále jen „Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu, nejpozději do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo i pouhé hrozby, jestliže Zpracovatel mohl o tomto Porušení zabezpečení Osobních údajů či i o hrozbě vzniku Porušení zabezpečení Osobních údajů vědět při vynaložení veškeré odborné péče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty dle předchozí věty tohoto článku, informuje Zpracovatel Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví. Zpracovatel je i po poskytnutí informace Správci povinen být maximálně nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.

6.7. Informace dle odst. 6.6 této Smlouvy musí přinejmenším obsahovat:

6.7.1. popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;

6.7.2. popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů; a

6.7.3. popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

6.8. Za nesplnění povinnosti Zpracovatele dle předchozích odst. 6.5 a 6.6 této Smlouvy může Správce požadovat po Zpracovateli zaplacení smluvní pokuty ve výši 50.000,- Kč, a to i opakovaně. Smluvní pokuta dle předchozí věty je splatná ve lhůtě patnácti

(15) dnů ode dne písemného vyrozumění Zpracovatele Správcem. Uplatněním nároku na smluvní pokutu není nijak dotčen případný nárok Správce na náhradu škody přesahující smluvní pokutu. Ustanovení o smluvní pokutě přetrvává i v případě zániku účinnosti této Smlouvy.

7. ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ

7.1. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.

7.2. Zpracovatel se zavazuje zejména, nikoliv však výlučně, že přijme následující organizační a technická opatření:

7.2.1. aniž by byl dotčen odst. 7.3 této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy;

7.2.2. bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;

7.2.3. bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;

7.2.4. Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel, a bude Osobní údaje pravidelně zálohovat;

7.2.5. zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;

7.2.6. písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;

7.2.7. bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů;

7.2.8. zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

7.2.9. prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

7.2.10. zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a

7.2.11. při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem bezpečnou fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.

7.3. Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele (dále jen „Další zpracovatel“). Zpracovatel písemně informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě.

7.4. Pokud Zpracovatel zapojí ve smyslu předchozího odst. 7.3 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel.

7.5. Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s právními předpisy.

7.6. Zpracovatel odpovídá Správci za škodu vzniklou v důsledku porušení povinností v souvislosti se zpracováváním osobních údajů v souladu s touto smlouvou.

8. ZVLÁŠTNÍ POVINNOSTI ZPRACOVATELE VYPLÝVAJÍCÍ Z NAŘÍZENÍ

8.1. Zpracovatel se zavazuje být Správci nápomocen při zajišťování povinností dle Nařízení, především povinnosti zabezpečit zpracování Osobních údajů, ohlašovat případy Porušení zabezpečení Osobních údajů, zajištění posouzení vlivu na ochranu osobních údajů či předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

8.2. Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů.

8.3. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů včetně zpracování prostřednictvím Dalších zpracovatelů, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.

9. OSTATNÍ A ZÁVĚREČNÁ USTANOVENÍ

9.1. Tato Smlouva a práva a povinnosti z ní vyplývající se řídí českým právem. Práva a povinnosti Smluvních stran, pokud nejsou upraveny touto Smlouvou, se řídí Nařízením, Zákonem

o ochraně osobních údajů a zákonem č. 89/2012 Sb., občanských zákoníkem, v platném znění (dále jen „Občanský zákoník“), a předpisy souvisejícími.

9.2. Veškeré případné spory vzniklé mezi Smluvními stranami na základě nebo v souvislosti s touto Smlouvou budou primárně řešeny jednáním Smluvních stran. V případě, že tyto spory nebudou v přiměřené době vyřešeny, budou k jejich projednání a rozhodnutí příslušné soudy České republiky.

9.3. Zpracovatel bezvýhradně souhlasí se zveřejněním své identifikace a celého znění Smlouvy a relevantních parametrů v souladu s příslušnými právními předpisy, a to zejména v Informačním systému Registr smluv (dále jen „ISRS“) dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.

9.4. Tato Smlouva může být měněna nebo doplňována pouze formou písemných vzestupně číslovaných dodatků podepsaných oběma Smluvními stranami. Ke změnám či doplnění neprovedeným písemnou formou se nepřihlíží. Smluvní strany výslovně stanovují, že rozsah zpracovávaných Osobních údajů stanovený v Příloze č. 1 může Správce rozšířit či jinak změnit při zachování písemné formy i bez nutnosti uzavírat dodatek této Smlouvy (postačí i oznámení o změně Přílohy č. 1 doručené Zpracovateli prostřednictvím e-mailu).

9.5. V případě, že některé ustanovení této Smlouvy je nebo se stane v budoucnu neplatným, neúčinným či nevymahatelným nebo bude-li takovým shledáno příslušným orgánem, zůstávají ostatní ustanovení této Smlouvy v platnosti a účinnosti, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž byla Smlouva uzavřena, nevyplývá, že jej nelze oddělit od ostatního obsahu této Smlouvy. Smluvní strany se zavazují bezodkladně nahradit neplatné, neúčinné nebo nevymahatelné ustanovení této Smlouvy ustanovením jiným, které svým obsahem a smyslem odpovídá nejlépe ustanovení původnímu a této Smlouvě jako celku.

9.6. Smluvní strany na sebe přebírají nebezpečí změny okolností v souvislosti s právy a povinnostmi smluvních stran vzniklými na základě této Smlouvy. Smluvní strany vylučují uplatnění ustanovení § 1765 odst. 1, § 1766 a § 2620 Občanského zákoníku na svůj smluvní vztah založený touto Smlouvou.

9.7. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu oběma Smluvními stranami a účinnosti dnem uveřejnění Smlouvy v ISRS, přičemž toto uveřejnění provede Správce.

9.8. Doba účinnosti (trvání) této Smlouvy se shoduje s dobou účinnosti Smlouvy na provedení vyhodnocení procesu administrace OPŽP, přičemž povinnost zachování ochrany důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.

9.9. Tato Smlouva je sepsána ve čtyřech vyhotoveních s platností originálu, z nichž jedno obdrží Zpracovatel a tři Správce.

9.10. Nedílnou součástí této Smlouvy je Příloha č. 1: Rozsah zpracovávaných Osobních údajů.

9.11. Smluvní strany prohlašují, že tato Xxxxxxx vyjadřuje jejich svobodnou, vážnou, určitou a srozumitelnou vůli prostou omylu. Smluvní strany si Xxxxxxx přečetly, s jejím obsahem souhlasí, což stvrzují vlastnoručními podpisy.

Za Správce: Za Zpracovatele:

V Praze, dne 11. 09. 2018 V Praze, dne 07. 09. 2018

Česká republika BDO Advisory s.r.o.

– Ministerstvo životního prostředí Xxx. Xxxxxxx Xxxx Xxx. Xxxxxxxx Xxxxxx jednatel

ředitel odboru fondů EU

Příloha č. 1: Rozsah zpracovávaných Osobních údajů

A. KATEGORIE SUBJEKTU OSOBNÍCH ÚDAJŮ

▪ žadatelé o podporu z Operačního programu Životní prostředí (dále jen „OPŽP“);

▪ zástupci (administrátoři žádostí o dotace) žadatelů o podporu z OPŽP;

▪ příjemci podpory z OPŽP;

▪ zástupci (administrátoři dotace) příjemců podpory OPŽP;

▪ zaměstnanci řídicího orgánu OPŽP;

▪ zaměstnanci zprostředkujících subjektů OPŽP.

B. TYP OSOBNÍCH ÚDAJŮ

▪ jméno, příjmení a příp. akademický titul fyzické osoby;

▪ kontaktní poštovní adresa;

▪ kontaktní e-mailová adresa;

▪ kontaktní telefon.