SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ kterou ve smyslu čl. 28 odst. 3 nařízení Evropského Parlamentu a Rady č. 2016/679 - obecného nařízení o ochraně osobních údajů (dále jen „Nařízení“) uzavírají

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

kterou ve smyslu čl. 28 odst. 3 nařízení Evropského Parlamentu a Rady č. 2016/679 - obecného nařízení o ochraně osobních údajů (dále jen „Nařízení“) uzavírají



…………………………………………..
IČ: ……..

se sídlem ……………………………………….

zapsaná v OR  …….., oddíle .., vložce ……

zastoupená …………………………

(dále jako „správce“)


a


AVE Soft s.r.o.

IČ: 25378392

se sídlem Xxxxxxxxx 882/63, 713 00 Ostrava – Heřmanice

zapsaná v OR vedeném Krajským soudem v Ostravě, oddíle C, vložce 16674

zastoupená Ing. Xxxxx Xxxxxx, jednatelem

(dále jako „zpracovatel“)



  1. Úvodní ustanovení



    1. Správce jakožto objednatel uzavřel se zpracovatelem jakožto dodavatelem smlouvu o poskytnutí licence k informačnímu systému Evolio, poskytování aktualizací IS Evolio, technické podpory a konzultačních služeb (dále jen společně „Licenční smlouva“ a „Software“), na základě nichž poskytl zpracovatel správci oprávnění k užívání Software za podmínek Licenční smlouvy a na základě nichž mu zpracovatel poskytuje uživatelskou podporu a provádí další úpravy a vývoj tohoto Software.



    1. Software je provozován jako online cloudové řešení na infrastruktuře zpracovatele a klient-server řešení na infrastruktuře správce, přičemž zpracovatel je v rámci podpory a vývoje oprávněn nakládat s databázovou složkou Software nebo s její částí (zejména k účelu testování, identifikace vad nebo provádění migrace dat nebo jejich záloh v rámci vývoje Software). Databázová složka Software obsahuje osobní údaje fyzických osob splňující definici dle čl. 4 odst. 1 Nařízení, ve vztahu k nimž se správce nachází v postavení správce osobních údajů ve smyslu čl. 4 odst. 7 Nařízení.



    1. Vzhledem k oprávnění zpracovatele nakládat v rámci poskytování podpory a vývoje s databázovou složkou Software obsahující osobní údaje spravované správcem, nebo s její částí, se zpracovatel nachází v postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 Nařízení, a smluvní strany z tohoto důvodu ve smyslu čl. 28 odst. 3 Nařízení uzavírají tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva“).



  1. Předmět, účel, rozsah zpracování



    1. Předmětem zpracování je provádění činností zpracování týkajících se osobních údajů klientů, protistrany klientů, svědků, účastníků řízení, smluvních partnerů, zaměstnanců správce, ukládaných správcem do databáze Software v rámci užívání jeho funkcionalit jakožto software pro vedení elektronických advokátních spisů a související agendy, spočívajících v přesunu, uložení, migraci nebo rozdělení databáze nebo její části pro účely identifikace vad Software, analýzy chování Software, testování a zprovoznění nových verzí Software nebo jeho customizací. Prováděnými činnostmi zpracování osobních údajů jsou uložení, strukturování, vyhledání, seřazení, zpřístupnění přenosem, anonymizace a pseudonymizace a výmaz.



    1. Zpracovatel neprovádí s osobními údaji jiné než shora uvedené operace, zejména do nich nenahlíží, nezasahuje, nepozměňuje je, nevyužívá je pro své vlastní potřeby, ani je nepředává třetím osobám.



    1. Dotčenými kategoriemi subjektů osobních údajů, jejichž osobní údaje jsou dle této Smlouvy zpracovávány, jsou

      1. smluvní partneři správce (klienti, potenciální klienti, dodavatelé) jsou-li fyzickými osobami, nebo konkrétní zastupující a kontaktní fyzické osoby, jsou-li osobami právnickými;

      2. zúčastněné osoby (další účastník soudního nebo správního řízení vedle klienta; svědci, znalci a tlumočníci soudního nebo správního řízení; druhá smluvní strana transakce mimo klienta) jsou-li fyzickými osobami, nebo konkrétní zastupující a kontaktní fyzické osoby, jsou-li osobami právnickými;

      3. zaměstnanci správce.



    1. Zpracování se týká následujících kategorií osobních údajů:

      1. identifikační údaje (zejm. jméno, příjmení, datum narození, rodné číslo, IČ, DIČ)

      2. adresní údaje (zejm. adresa bydliště a místa podnikání, e-mailová adresa, telefonní číslo)

      3. popisné údaje (zejm. bankovní spojení, kopie dokumentů, historie objednávek apod.)

      4. zvláštní - citlivé údaje (zejm. údaje, které vypovídají o členství v odborech, o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby)


  1. Zpracování na pokyn správce



    1. Zpracování osobních údajů je vedlejším závazkem zpracovatele vyplývajícím z Licenční smlouvy. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě doložených pokynů správce (zejména v případě podpory Software)



    1. Samostatného pokynu správce není zapotřebí v případě, že zpracování vyplývá z Licenční smlouvy a je součástí povinností zpracovatele dle Licenční smlouvy (zejména v případě vývoje Software). Povinnosti stanovené Licenční smlouvou se pro tento účel považují za pokyn správce.



  1. Doba trvání zpracování osobních údajů a výmaz osobních údajů



    1. Doba zpracování osobních údajů dle této smlouvy je závislá na trvání Licenční smlouvy. Změní-li smluvní strany podmínky poskytování Software způsobem, který bude mít vliv na činnosti zpracování osobních údajů dle této smlouvy (zejména změní-li licenční model poskytování Software), závisí doba zpracování na době, po kterou je provádění činností dle této smlouvy nezbytné ke splnění závazků zpracovatele dle Licenční smlouvy.



    1. Zpracovatel bere na vědomí, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu správcem dle Licenční smlouvy.



    1. Při ukončení služeb spojených se zpracováním osobních údajů je zpracovatel povinen postupovat v souladu s pokyny správce. Nepožaduje-li správce jinak, je zpracovatel povinen zpracovávané osobní údaje (kopie databáze nebo jejích částí) vymazat bezprostředně poté, co pomine účel jejich pořízení (zejména zjištění a odstranění vady, otestování funkčnosti, otestování úprav a customizací, provedení migrace). Zpracovatel je zejména povinen dodržovat zásadu omezení uložení osobních údajů, a nezpracovávat jakékoli osobní údaje (zejména provozní zálohu databáze Software nebo její části) po dobu delší než 3 měsíců od ukončení Licenční smlouvy.



    1. Za výmaz osobních údajů se pro účely čl. 4.3. považuje nezvratný výmaz elektronických dat, obsahujících osobních údaje, ze všech datových úložišť, nebo jejich nezvratná anonymizace.



    1. O výmazu osobních údajů je zpracovatel povinen vytvořit záznam, který poskytne správci na jeho žádost.



  1. Místo zpracování osobních údajů



    1. Místem zpracování osobních údajů je Česká republika, případně jiný členský stát Evropské unie, v němž jsou umístěny servery zpracovatele. Zpracovatel není oprávněn v souvislosti se zpracováním osobních údajů prováděným pro správce předávat osobní údaje do třetích zemí nebo mezinárodní organizaci, ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.



    1. Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem správce a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.



  1. Další podmínky zpracování osobních údajů



    1. Zpracovatel není oprávněn bez předchozího souhlasu správce zapojit do zpracování osobních údajů žádného dalšího zpracovatele (ani v pozici poskytovatele hostingu nebo datového úložiště, či provozovatele serverů).



    1. Zpracovatel přijme taková technická a organizační opatření, která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Smlouvy, zejména:



      1. zpracovatel provede šifrování obsahu databáze,

      2. neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobním počítačům, datovým nosičům, serverům, databázím a software používaným k plnění Licenční smlouvy a ke klíčům a k heslům umožňujícím přístup k nim);

      3. nepoužije žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu správce;

      4. zajistí veškeré úložiště, zařízení, sítě nebo služby používané ke zpracování osobních údajů dvoufaktorovou autentizací;

      5. zajistí umístění serverů použitých k činnostem zpracování osobních údajů v datovém centru s ochranou proti vstupu nepovolaných osob a s dostatečnou ochranou proti výpadku elektrického proudu a konektivity;

      6. na veškerých zařízeních používaných ke zpracování osobních údajů dle této Smlouvy zavede elektronické prostředky ochrany ve formě antivir a anti-malware software;

      7. bude dodržovat veškerá interní pravidla správce týkající se bezpečnosti dat a elektronických informací, pokud tak bude správce požadovat a pokud jej s nimi prokazatelně seznámí;

      8. zajistí, aby přístup k databázím obsahujícím osobní údaje zpracovávané dle Licenční smlouvy měli pouze zaměstnanci zpracovatele, kteří jsou poučeni o dodržování bezpečnostních opatření a kteří jsou vázáni povinností mlčenlivosti v rozsahu umožňujícím plnit závazky dle tohoto článku, přičemž povinnost mlčenlivosti těchto zaměstnanců nesmí být vázána na trvání Licenční smlouvy nebo jakkoli časově omezena.



    1. V případě, že správce informuje zpracovatele o tom, že kterýkoli subjekt údajů uplatnil své právo na informace, výmaz, omezení zpracování, přenos osobních údajů nebo další, je zpracovatel povinen poskytnout správci na jeho žádost veškeré osobní údaje daného subjektu údajů, které v rámci plnění Licenční smlouvy zpracovává, poskytnout je správci v některém ze standardních formátů, a není-li to možné, pak k těmto osobním údajům poskytnout správci přístup.



    1. Zjistí-li zpracovatel, že došlo k jakémukoli porušení zabezpečení osobních údajů na jeho straně nebo na straně správce, je povinen o této skutečnost neprodleně, nejpozději však do 24 hodin od zjištění, informovat správce, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které zpracovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně a pokud jsou dané informace pro zpracovatele zjistitelné s vynaložením prostředků, přiměřených účelu Licenční smlouvy.



    1. V případě, že Úřad pro ochranu osobních údajů vykoná kontrolu souladu zpracování osobních údajů na straně správce, je zpracovatel povinen správci poskytnout při této kontrole veškerou součinnost, zejména poskytnutím záznamů o provedení výmazu osobních údajů, doložením podmínek zabezpečení osobních údajů a umožněním osobní kontroly zpracování osobních údajů v prostorách zpracovatele.



    1. Vyzve-li správce zpracovatele ke smazání určitých osobních údajů zpracovávaných dle Licenční smlouvy, je zpracovatel povinen takto učinit nejpozději do 24 hodin od přijetí výzvy, a na základě žádosti správce mu v této lhůtě o tomto výmazu zaslat záznam nebo jiný důkaz. Osobní údaje zpracovávané jinak než prostřednictvím elektronických prostředků (zejména v rámci listin) na základě této výzvy zpracovatel předá správci formou předání odpovídajících listin, nepožaduje-li správce jiný způsob naložení s těmito údaji (jejich likvidaci).



    1. Zpracovatel umožní správci nebo jím pověřeným osobám kontrolu dodržování jeho povinností dle tohoto článku Smlouvy, zejména kontrolu podmínek zabezpečení osobních údajů.



    1. V případě, že zpracovatel poruší své povinnosti stanovené Nařízením, dalšími právními předpisy nebo touto Smlouvou, je povinen zaplatit správci smluvní pokutu ve výši 10.000,-Kč za jednotlivé porušení typově stejné, a to do 10 dnů od písemné výzvy správce. Zaplacením smluvní pokuty není dotčeno právo správce na náhradu škody vzniklé porušením povinnosti, které se smluvní pokuta týká, a to v plné výši. Současně je zpracovatel zavázán plnit povinnost, jejíž splnění bylo zajištěno smluvní pokutou, i po jejím zaplacení.





  1. Další práva a povinnosti smluvních stran



    1. Správce je povinen zajistit, aby účel zpracování veškerých osobních údajů zpracovávaných ze strany zpracovatele dle této Smlouvy byl v souladu s právními předpisy, a aby zpracování bylo po celou dobu trvání kryto náležitým právním základem. Zpracovatel neodpovídá za jakékoli překročení účelu zpracování správcem a porušení právního základu zpracování definovaného správcem, pokud není způsobeno porušením této Smlouvy ze strany zpracovatele.



    1. Správce bere na vědomí, že je jako správce osobních údajů primárně a plně odpovědný za újmu, kterou způsobí zpracováním osobních údajů, které porušuje Nařízení. Zpracovatel není povinen ani oprávněn provádět kontrolu toho, zda správce plní své povinnosti při zpracování osobních údajů.



    1. Správce je zejména povinen naplňovat při zpracování osobních údajů zásady uvedené v čl. 6 Nařízení, přičemž Software mu splnění povinností stanovených Nařízením umožňuje. Správce je sám povinen zvážit, jaké osobní údaje bude prostřednictvím Software zpracovávat a po jakou dobu tak, aby to bylo v souladu se zásadami minimalizace údajů a omezení uložení. Správce je rovněž povinen informovat subjekty údajů o účelu, rozsahu, době zpracování i o zákonných důvodech zpracování jejich osobních údajů (zásada zákonnosti, korektnosti a transparentnosti a zásada účelového omezení).



    1. Veškerá odměna zpracovatele za provádění činností zpracování osobních údajů dle této smlouvy je zahrnuta do odměny hrazené správcem dle Licenční smlouvy. Zpracovatel nemá nárok na jakoukoli samostatnou odměnu za plnění povinností dle této Smlouvy.



    1. Tato smlouva končí ukončením doby zpracování osobních údajů ve smyslu čl. 4.1.



  1. Závěrečná ustanovení



    1. Tato Xxxxxxx se řídí Nařízením. V rozsahu povinností neupravených Nařízením se tato smlouva řídí zákonem č. 89/2012 Sb., občanským zákoníkem.



    1. Pokud Komise EU nebo dozorový úřad přijme ve smyslu čl. 28 odst. 7 nebo odst. 8 standardní smluvní doložky, provedou smluvní strany v případě potřeby úpravy této Smlouvy.



    1. Pokud by některá ustanovení této Smlouvy měla být neplatná už v době jejího uzavření, nebo jestliže se stanou neplatnými později po uzavření Smlouvy, není tím dotknuta platnost ostatních ustanovení Smlouvy. Místo neplatných ustanovení Smlouvy se použijí ustanovení občanského zákoníku a ostatních platných právních předpisů České republiky, která jsou svým obsahem a účelem nejblíže obsahu a účelu Smlouvy.



    1. Změny této Smlouvy lze provést pouze na základě dohody smluvních stran formou písemných dodatků.



    1. Tato Xxxxxxx se vyhotovuje ve dvou stejnopisech, z nichž každá smluvní strana obdrží po podpisu Smlouvy oběma smluvními stranami po jednom vyhotovení.



Správce: Zpracovatel:




V  dne  V  dne 




 

……, jednatel Za AVE Soft s.r.o.

Za …………………. Xxx. Xxx Xxxx, jednatel






Stránka 8 z 8


Document Metadata

Filed: April 23rd, 2020