smlouva o zpracování osobních údajů ke Smlouvě Vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti (CES: ........., Č.j. 49772/2019-56)

Č.j.: [bude doplněno před uzavřením smlouvy]

Číslo v CES: [bude doplněno před uzavřením smlouvy]

Číslo úkolu: 366100/5167 a 366100/5168

smlouva o zpracování osobních údajů

ke Smlouvě Vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti

(CES: ........., Č.j. 49772/2019-56)

Česká republika – Ministerstvo pro místní rozvoj

Sídlo: Xxxxxxxxxxxx xxxxxxx 0, 000 00 Xxxxx 0

zastoupená: Bc., Xxx. Xxxxxxx Xxxxx, MBA

IČO: 66002222

bankovní spojení: ČNB Xxxxx 0, Xx Xxxxxxx 00

číslo účtu: 629001/0710

odkaz na pověřence pro ochranu osobních údajů:
kontakt: xxxxxxxxx@xxx.xx

(dále jen "Správce")

na straně jedné

a

[DOPLNÍ ZHOTOVITEL]

Sídlo: [DOPLNÍ ZHOTOVITEL]

zastoupená: [DOPLNÍ ZHOTOVITEL]

IČO: [DOPLNÍ ZHOTOVITEL]

DIČ: [DOPLNÍ ZHOTOVITEL]

bankovní spojení: [DOPLNÍ ZHOTOVITEL]

číslo účtu: [DOPLNÍ ZHOTOVITEL]

zapsaná v obchodním rejstříku vedeném u [DOPLNÍ ZHOTOVITEL] soudu v [DOPLNÍ ZHOTOVITEL], oddíl [DOPLNÍ ZHOTOVITEL], vložka [DOPLNÍ ZHOTOVITEL]

(dále jen "Zpracovatel")

na straně druhé.

Smluvní strany uzavřely dále uvedeného dne, měsíce a roku ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a dle zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, tuto

smlouvu o zpracování osobních údajů

(dále jen „smlouva“)

PREAMBULE

1. Mezi stranami byla dne [bude doplněno před uzavřením smlouvy] uzavřena smlouva Vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti, jejímž předmětem je zajištění odborných školení vč. e-learningu, evidovaná pod číslem v CES [bude doplněno před uzavřením smlouvy]

2. Služby poskytované na základě smlouvy o Vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti zahrnují aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a se zrušením směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „Nařízení“) přímo aplikovatelného od 25.5.2018 a zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „Zákon o zpracování OÚ“).

3. Strany mají zájem na tom dostát všem povinnostem, které jim vyplývají z Nařízení a ze Zákona o zpracování OÚ.

4. Na základě článku 28 Nařízení je Správce povinen uzavřít se Zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které Zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů.

5. Strany uzavírají tuto Smlouvu za účelem splnění povinnosti dle Nařízení, Zákona o zpracování OÚ a zabezpečení ochrany osobních údajů zpracovávaných Stranami v rámci vzájemných smluvních vztahů.

6. Strany mají zájem na tom, aby tato Xxxxxxx pokrývala veškeré činnosti zpracování osobních údajů, které Zpracovatel provádí pro Správce v souvislosti s poskytováním služeb na základě Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti.

1. Účel Smlouvy

   1. Strany se dohodly, že Zpracovatel bude podle článku 4 bodu 2) Nařízení pro Správce zpracovávat osobních údaje, které Správce získal nebo získá v souvislosti se svou činností, nebo které pro Správce za tímto účelem získá samotný Zpracovatel (dále jen „Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících ze Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti.

   2. Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování.

2. Předmět Smlouvy

   1. Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů ve smyslu odst. 1.1 Smlouvy.

   2. Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.

3. Účel, rozsah a doba zpracování Osobních údajů

   1. Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti a pro účely jejich využití Správcem v rámci jeho činnosti, zejména pro ochranu majetku před krádeží, ochranu majetku před poškozením a vandalismem, ochranu osob, plnění požadavků zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, dozorem nad technologiemi a jako prostředek pro trvalou strážní službu.

   2. Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje zaměstnanců a zákazníků Správce (dále jen „Subjekty údajů“) v rozsahu stanoveném v Příloze č. 1, v níž je rovněž definován typ osobních údajů a kategorie subjektů údajů.

   3. V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími z Nařízení, ze Zákona o zpracování OÚ a této Smlouvy.

   4. Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy.

4. Odměna za služby Zpracovatele

Strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli zvláštní odměna, resp. že odměna je zahrnuta v rámci úplaty za činnosti dle Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti. Zpracovateli rovněž nevzniká nárok na náhradu jakýchkoliv nákladů, které Zpracovateli v souvislosti se zpracováním Osobních údajů dle této Smlouvy vzniknou.

5. Práva a povinnosti Zpracovatele

   1. Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení či Zákona o zpracování OÚ.

   2. Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.

   3. Jakmile pomine účel, pro který byly Osobní údaje zpracovány, zejména v případě zániku Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti, v případě odvolání souhlasu Subjektu údajů, nebo na základě žádosti Subjektu údajů podle článku 17 Nařízení, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci.

   4. V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu s právním předpisem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo o odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.

   5. Zpracovatel je povinen Správci neprodleně oznámit provedení kontroly ze strany dozorového úřadu v oblasti ochrany osobních údajů, zejména Úřadu pro ochranu osobních údajů a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě nebo uložení pokuty (dále jen „Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost neprodleně oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení, popř. Správci poskytnout plnou moc k nahlížení do spisu týkajícího se Správního řízení. Zpracovatel je povinen plnit povinnosti kontrolované osoby dle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, a zavazuje se poskytnout Správci kopii rozhodnutí o odstranění nebo prevenci nedostatků zjištěných kontrolou, pokud je takové opatření k nápravě kontrolním orgánem či kontrolujícím uloženo.

   6. Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů (dále jen „Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu, nejpozději do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo i pouhé hrozby, jestliže Zpracovatel mohl o tomto Porušení zabezpečení Osobních údajů či i o hrozbě vzniku Porušení zabezpečení Osobních údajů vědět při vynaložení veškeré odborné péče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty dle předchozí věty tohoto článku, informuje Zpracovatel Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví. Zpracovatel je i po poskytnutí informace Správci povinen být maximálně nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.

   7. Informace dle odst. 5.6 této Smlouvy musí přinejmenším obsahovat:

      1. popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;

      2. popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;

      3. popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

   8. Za nesplnění povinnosti Zpracovatele dle předchozích odst. 5.6 a 5.7 této Smlouvy může Správce požadovat po Zpracovateli zaplacení smluvní pokuty ve výši 30.000,- Kč (slovy: třicettisíckorunčeských), a to i opakovaně. Smluvní pokuta dle předchozí věty je splatná ve lhůtě patnácti (15) dnů ode dne písemného vyrozumění Zpracovatele Správcem. Uplatněním nároku na smluvní pokutu není nijak dotčen případný nárok Správce na náhradu škody přesahující smluvní pokutu. Ustanovení o smluvní pokutě přetrvává i v případě zániku účinnosti této Smlouvy.

6. Záruky technického a organizačního zabezpečení ochrany Osobních údajů

   1. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.

   2. Zpracovatel a Správce se zavazují zejména, nikoliv však výlučně, že přijmou následující organizační a technická opatření:

      1. aniž by byl dotčen odst. 6.3. této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení či této Smlouvy;

      2. Zpracovatel bude používat odpovídající technické zařízení Správce a programové vybavení Správce způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;

      3. Zpracovatel bude Osobní údaje v písemné formě uchovávat v náležitě zabezpečených objektech a místnostech;

      4. Osobní údaje v elektronické podobě bude uchovávat Správce na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby Zpracovatele na základě přístupových kódů či hesel, a Správce bude Osobní údaje pravidelně zálohovat;

      5. Správce zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;

      6. písemné dokumenty obsahující Osobní údaje bude Zpracovatel uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;

      7. Zpracovatel bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je‑li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů;

      8. Zpracovatel zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

      9. Zpracovatel prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

      10. Zpracovatel i správce zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a

      11. při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem bezpečnou fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.

   3. Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele (dále jen „Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování osobních údajů žádné třetí osobě.

   4. Pokud Zpracovatel zapojí ve smyslu předchozího odst. 6.3 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel.

   5. Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s právními předpisy.

   6. Zpracovatel odpovídá Správci za škodu vzniklou v důsledku porušení povinností v souvislosti se zpracováváním osobních údajů v souladu s touto smlouvou.

7. Doba trvání a ukončení Smlouvy

   1. Tato Xxxxxxx nabývá platnosti a účinnosti ke dni jejího podpisu oběma Stranami a její účinnost skončí nejdříve se zánikem účinnosti Smlouvy o vzdělávání zaměstnanců MMR v oblasti kybernetické bezpečnosti. V případě, že Xxxxxx uzavřely nebo v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, zaniká tato Smlouva současně se zánikem této jiné smlouvy, resp. se zánikem účinnosti poslední z takto uzavřených smluv.

   2. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.

   3. Tato Smlouva může být ukončena dohodou smluvních stran.

8. Ustanovení související s nabytím účinnosti Nařízení ZÁKONA O ZPRACOVÁNÍ oú

   1. Zpracovatel se zavazuje být Správci nápomocen při zajišťování povinností dle Nařízení A Zákona o zpracování OÚ, především povinnosti zabezpečit zpracování Osobních údajů, ohlašovat případy Porušení zabezpečení Osobních údajů, zajištění posouzení vlivu na ochranu osobních údajů či předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

   2. Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů.

   3. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů včetně zpracování prostřednictvím Dalších zpracovatelů, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.

9. Závěrečná ustanovení

   1. Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad, se budou řídit právním řádem České republiky, zejména Nařízením, Zákonem o zpracování OÚ a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.

   2. Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.

   3. Strany se zavazují vyřešit jakýkoli spor vzniklý v souvislosti s plněním této Smlouvy smírnou cestou. V případě, že se Stranám nepodaří vyřešit spor smírnou cestou do třiceti (30) dnů, je kterákoli ze Stran oprávněna předložit spor věcně a místně příslušnému soudu dle platných a účinných právních předpisů.

   4. Jakékoliv doplňky či změny této Smlouvy s výjimkou změny Přílohy č. 1 musí být učiněny formou vzestupně číslovaných písemných dodatků podepsaných oprávněnými zástupci obou Stran. Rozsah zpracovávaných osobních údajů stanovený v Příloze č. 1 může Správce rozšířit či jinak změnit při zachování písemné formy i bez nutnosti uzavírat dodatek této Smlouvy (oznámení o změně Přílohy č. 1 doručené Zpracovateli prostřednictvím e-mailu bude dostačující).

   5. Tato smlouva je vyhotovena v 1 elektronickém vyhotovení.

   6. Strany tímto výslovně prohlašují, že si tuto Smlouvu před jejím podpisem přečetly, že byla uzavřena po vzájemném projednání a že vyjadřuje jejich pravou a svobodnou vůli, na důkaz čehož připojují oprávnění zástupci Stran níže své vlastnoruční podpisy.

V Praze dne V Praze dne

………………………………………………………………………………………………………… Česká republika - Ministerstvo pro místní rozvoj ………………………………………………………………………………………………………… XXX