Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů
(dále jen „Smlouva“)
uzavřená dle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679
ze dne 27. 4. 2016,
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen
„Nařízení“),
mezi:
Fragaria s.r.o., IČ: 485 90 151, se sídlem Praha 10, Pampeliškova 2013/8, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 18340, zastoupená panem Xxxxxxxx Xxxxxxxx, jednatelem
(dále jako „Zpracovatel“)
a
DIAGNOSTICKÉ CENTRUM PRE DETI, IČ: ………..., se sídlem Slovinská 1 821 04 Bratislava, zastoupená ………………………………….
(dále jako „Správce“) (dále společně také jako „Smluvní strany“)
Preambule
Zpracovatel je právnická osoba, jejíž předmět činnosti spočívá zejména v poskytování IT služeb – dodání a provozování softwarových aplikací pro uživatele – zákazníky Zpracovatele, kteří v těchto softwarech zpracovávají osobní údaje svých klientů (dále jen „Subjekty údajů“).
Správce za účelem zajištění komplexního vedení svých IT systémů, tedy systému Foster, předává osobní údaje Subjektů údajů Zpracovateli za účelem správy předmětného IT systému a zajištění provozu tohoto systému na serverech Zpracovatele.
I.
Účel zpracování
1. Zpracovatel je oprávněn zpracovávat osobní údaje Subjektů údajů v rozsahu a způsobem nezbytným pro správu IT systémů Správce – s tím, že toto zpracování spočívá zejména ve zpřístupnění osobních údajů Subjektů údajů, a to pouze v případech, kdy Zpracovatel potřebuje v rámci poskytovaných služeb vstoupit nebo jakkoli jinak nakládat s uživatelskou databází daného IT systému.
II.
Rozsah zpracování
1. Rozsah zpracování osobních údajů je vymezen účelem uvedeným ve čl. I. Smlouvy.
2. Rozsah zpracování je tak omezen na osobní údaje Subjektu údajů uvedené v IT systému spravovaném Zpracovatelem, zejména na na jméno a příjmení; e-mailovou adresu; logovací údaje a roli daného uživatele – Subjektu údajů (u systému Foster);
(dále jen „Osobní údaje“)
III.
Povinnosti a prohlášení Správce
1. Správce se zavazuje, že zpracování Osobních údajů pro účely dle této Smlouvy je zákonné, resp. že zpracování dle této Smlouvy je založeno na právním titulu, který je v souladu s čl. 6 Nařízení.
2. Správce se zavazuje, že veškeré Osobní údaje, které Zpracovateli předá, nebo které mu budou předány přímo zaměstnanci Správce, příp. jinými osobami jednajícími za Správce, budou přesné a v případě potřeby aktualizované, přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro který jsou zpracovávány.
3. Smluvní strany se dohodly, že Zpracovatel není povinen plnit infomační povinnost v rozsahu
dle čl. 13 a 14 Nařízení ve vztahu k Subjektům údajů; tuto je povinen plnit Správce.
4. Správce se zavazuje, že bude Zpracovateli poskytovat veškeré informace, které jsou potřebné pro plnění povinností Zpracovatele dle této Smlouvy.
5. V případě, že Subjekt údajů, jehož údaje jsou Zpracovatelem zpracovávány dle této Smlouvy, uplatní u Správce právo, jehož výkon mu náleží dle kapitoly III. Nařízení (např. právo na přístup k osobním údajům, právo na opravu nebo výmaz, právo na omezení zpracování, právo na výmaz, vznese námitku apod.), je Správce povinen o tomto Zpracovatele neprodleně (nejpozději následující pracovní den poté, co Subjekt údajů příslušné právo uplatní) písemně informovat a současně dát Zpracovateli písemné pokyny k dalšímu postupu (např. opravit nesprávný údaj, vymazat údaje daného subjektu apod.).
IV.
Povinnosti a prohlášení Zpracovatele
1. Zpracovatel se zavazuje, že bude zpracovávat Osobní údaje v souladu s příslušnými právními předpisy, Xxxxxxxx nebo pokyny Správce. Správce je oprávněn dodržování těchto povinností přiměřeně kontrolovat.
2. Zpracovatel není oprávněn Osobní údaje předávat jakýmkoli dalším osobám a Osobní údaje zpřístupňovat, zveřejňovat, či jakkoliv šířit, pokud nestanoví jinak tato Smlouva nebo pokud k tomu nebude písemně zmocněn Správcem nebo tak nestanoví zvláštní právní předpis.
3. Zpracovatel si výslovně vyhrazuje právo ukládat Osobní údaje na cloudech provozovaných třetími osobami, kdy se Zpracovatel zavazuje zvolit takové cloudové řešení, u kterého lze objektivně předpokládat, že nedojde k jakémukoli porušení důvěrnosti Osobních údajů.
4. Zpracovatel prohlašuje, že mu není známa jakákoliv překážka bránící plnění pokynů Správce podle této Smlouvy či plnění povinností stanovených příslušnými právními předpisy. Zpracovatel současně prohlašuje, že má veškerá povolení a podnikatelská oprávnění nezbytná ke zpracovávání Osobních údajů.
5. Zpracovatel výslovně potvrzuje, že před zpracováním Osobních údajů učinil organizační a technická bezpečnostní opatření uvedená v čl. V. této Smlouvy.
6. Zpracovatel dále prohlašuje, že bude zpracovávat Osobní údaje Subjektů údajů v pronajatých kancelářských prostorách na adrese Ječná 507/6, 120 00 Praha 2, nebo na virtuálních serverech u svých poskytovatelů těchto služeb a to automatizovaně v kombinaci s manuálním shromažďováním.
7. Dozví-li se Zpracovatel o tom, že došlo k porušení zabezpečení, u něhož je pravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody Subjektů údajů, bez zbytečného odkladu poté, co se o případu porušení zabezpečení dozví, informuje o tomto e-mailem Správce.
8. Zpracovatel je povinen umožnit Správci, na základě jeho písemné žádosti, inspekci / audit za účelem přezkoumání činností spojených se zpracováním Osobních údajů podle této Smlouvy.
9. Zpracovatel bere na vědomí své povinnosti stanovené Nařízením, dle kterého je mimo jiné (i) povinen zpracovávat pouze přesné Osobní údaje odpovídající stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, a dále (ii) povinen nesdružovat Osobní údaje, které byly získány k rozdílným účelům.
10. Zpracovatel je povinen při zpracování Osobních údajů zajistit, aby Subjekty údajů neutrpěly újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a zajistit ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.
11. Zpracovatel se zavazuje, že při zohlednění povahy informací, které má Zpracovatel k dispozici, na písemnou žádost Správce poskytne Správci součinnost, kterou po něm lze spravedlivě požadovat, při zajišťování souladu s povinnostmi dle čl. 32 až 36 Nařízení.
V.
Záruky Zpracovatele
1. Zpracovatel prohlašuje, že v rámci zpracování Osobních údajů přijal příslušná technická opatření, především mechanické zajištění veškerých prostorů, kde dochází k jejich zpracování (zajištění dveří bezpečnostními zámky).
2. Zpracovatel dále prohlašuje, že přístupová práva do automatizovaného systému zpracování Osobních údajů mají k dispozici pouze členové statutárního orgánu a vybraní zaměstnanci Zpracovatele, kteří byli proškoleni na zacházení s osobními údaji. Současně u Zpracovatele funguje systém antivirové ochrany zařízení na zpracování údajů a dále systém bezpečnostního zálohování.
3. Veškerá výše uvedená opatření bude Zpracovatel zachovávat po celou dobu trvání této
Smlouvy.
VI.
Mlčenlivost
1. Smluvní strany se zavazují zachovávat mlčenlivost (dále jen „Povinnost mlčenlivosti“) o podmínkách této Smlouvy, jednáních s ní spojených, jakož i o veškerých informacích, které v souvislosti nebo na základě této Smlouvy získají (dále jen „Důvěrné informace“).
2. Za Důvěrné informace se považují také informace, které jsou takového charakteru, že mohou v případě zveřejnění přivodit kterékoliv Smluvní straně újmu, bez ohledu na to, zda mají povahu osobních, obchodních či jiných informací.
3. Smluvní strany nesmí jakékoliv Důvěrné informace bez předchozího písemného souhlasu druhé Smluvní strany poskytnout jakékoliv třetí osobě a zavazují se zajistit, aby tyto Důvěrné informace nebyly bez souhlasu druhé Smluvní strany sděleny třetím osobám a aby ani jinak nebylo umožněno třetím osobám zjistit obsah Důvěrných informací, s výjimkou (i) svých poradců vázaných zákonnou povinností mlčenlivosti (ii) příslušných státních a jiných správních úřadů a soudů, pokud jsou povinny podle obecně závazných předpisů jim tyto informace poskytnout, a to pouze v nezbytně nutném rozsahu nebo (iii) informací, které jsou nebo se stanou veřejně dostupnými jinak než porušením této Smlouvy.
4. Zpracovatel je výslovně oprávněn poskytovat Důvěrné informace smluvním partnerům Zpracovatele, a to výhradně v souvislosti s plněním povinností dle této Smlouvy.
5. Zpracovatel se zavazuje, že veškeré zaměstnance a smluvní partnery Zpracovatele, kteří budou oprávněni zpracovávat údaje dle této Smlouvy, zaváže k mlčenlivosti.
6. Správce se zavazuje, že v případě, že bude provádět audity nebo inspekce u Zpracovatele, bude o veškerých informacích, které v souvislosti s tímto získá, zachovávat mlčenlivost. Správce se dále zavazuje, že pokud bude audit nebo inspekci provádět prostřednictvím třetí osoby, zaváže k mlčenlivosti tuto třetí osobu.
7. Povinnost mlčenlivosti se Smluvní strany zavazují zachovávat po celou dobu trvání této Smlouvy i po jejím skončení. Jestliže je Smluvní strana povinna zavázat třetí osobu
k mlčenlivosti dle této Xxxxxxx, je povinna tuto třetí osobu zavázat tak, aby zachovávala mlčenlivost i po skončení této Smlouvy.
VII.
Odpovědnost
1. Smluvní strany berou na vědomí, že dojde-li u Zpracovatele při zpracování Osobních údajů k porušení povinností uložených Nařízením, odpovídá za újmy z toho vzniklé Subjektům údajů. Případná odpovědnost Zpracovatele vůči Úřadu na ochranu osobních údajů se řídí Nařízením.
1. Jestliže Zpracovatel zjistí, že Správce porušuje povinnosti stanovené Nařízením, je povinen jej na to neprodleně upozornit a ukončit zpracování Osobních údajů. Pokud tak neučiní, odpovídá za škodu, která Subjektům údajů vznikla, společně a nerozdílně se Správcem.
VIII.
Doba zpracování Osobních údajů (trvání Smlouvy)
1. Tato Xxxxxxx se uzavírá na dobu neurčitou. Kterákoliv ze Smluvních stran může Smlouvu ukončit výpovědí bez uvedení důvodu. Výpovědní doba činí 2 měsíce počínaje následným měsícem po doručení výpovědi, avšak nejdříve dnem následujícím po dni ukončení smlouvy o provozování databázové aplikace Foster.
2. Při skončení Smlouvy je Zpracovatel povinen Správce upozornit na opatření potřebná k tomu, aby se zabránilo vzniku škody bezprostředně hrozící Správci nebo Subjektům údajů nedokončením činnosti.
3. Smluvní strany se dohodly, že v pochybnostech se má za to, že listiny spočívající v ukončení této Smlouvy se považují za doručené třetím dnem ode dne odeslání listiny.
IX.
Závěrečná ujednání
1. Tato Smlouva se řídí Nařízením a dále českým právním řádem, zejména zákonem č. 89/2012
Sb., občanský zákoník, ve znění pozdějších předpisů.
2. Pro vyloučení veškerých pochybností si Smluvní strany potvrzují, že Zpracovatel bude vykonávat činnosti upravené touto Smlouvou bez nároku na úplatu.
3. Smluvní strany se zavazují, že si v případě potřeby poskytnou veškerou součinnost při styku a jednáních s Úřadem pro ochranu osobních údajů, Subjekty údajů, popř. jinými subjekty, jichž se zpracování Osobních údajů týká.
4. Tuto Smlouvu lze měnit jen dodatky v písemné formě dle dohody Smluvních stran.
5. Vztahuje-li se důvod neplatnosti jen na některé ustanovení této Smlouvy, je neplatným pouze toto ustanovení. Smluvní strany se zavazují, že v případě, že se některé z ustanovení této Smlouvy stane nebo ukáže být neplatným, toto ustanovení bez zbytečného odkladu nahradí novým ustanovením, které co nejlépe odpovídá smyslu a účelu neplatného ustanovení.
6. Tato Smlouva se vyhotovuje ve dvou (2) vyhotoveních – s tím, že každé ze Smluvních stran náleží po jednom (1) vyhotovení.
7. Smluvní strany po jejím pečlivém přečtení prohlašují, že souhlasí s jejím obsahem. Na základě toho připojují své podpisy.
V Praze dne 20.04.2021 V Bratislavě dne …………..
Fragaria s.r.o. DC PRE DETI
Xxxxxx Xxxxxx, jednatel ………………………………..