Smlouva o zpracování osobních údajů
5. Povinnosti Smluvních stran 3
6. Zabezpečení Osobních údajů 4
7. Platnost, odstoupení a zánik Smlouvy 5
Příloha č.2 – Typ zpracovávaných Osobních údajů a kategorie subjektů údajů 7
Smlouva o zpracování osobních údajů
ev.č. ESA-2018-Z025
uzavřená ve smyslu ustanovení čl. 28 odst. 3 nařízení
Evropského parlamentu
a Rady (EU) 2016/679, obecné nařízení
o ochraně osobních údajů
1.Smluvní strany
Statutární město Havířov
Sídlo: |
Svornosti 86/2, 736 01 Havířov-Město |
||
Zastoupeno: |
Ing. Jiřinou Zvěřinskou, vedoucí organizačního odboru na základě pověření ze dne 8.3.2016
|
||
ID datové schránky: IČO: |
7zhb6tn 00297488 |
DIČ: |
CZ00297488 |
dále též jen „Správce“ na straně jedné
a
AutoCont CZ a.s.
Sídlo: |
Hornopolní 3322/34, Moravská Ostrava, 702 00 Ostrava |
||
Zastoupena: |
Ing. Xxxxxxxxxx Xxxxxxx, předsedou představenstva |
||
ID datové schránky: IČO: |
8ugcxkk 47676795 |
DIČ: |
CZ47676795 |
spisová značka OR: |
Krajský soud v Ostravě, oddíl B, vložka 814 |
||
dále též jen „Zpracovatel“ na straně druhé,
dále společně jen „Smluvní strany“.
2.Preambule
Zpracovatel poskytuje Správci služby související s podporou provozu informačního systému (dále jen „Služby“) na základě smlouvy nebo smluv, jejichž seznam je uveden v příloze č. 1 této Smlouvy (pro účely této Smlouvy budou smlouvy uvedené v příloze č. 1 dále označovány souhrnně jako „Servisní smlouva“ nebo „Servisní smlouvy“). Smluvní strany se dohodly, že seznam smluv v příloze č. 1 může být rozšířen i jednostranným písemným oznámením některé ze smluvních stran, přičemž takové rozšíření přílohy č. 1 bude účinné jen tehdy, pokud druhá smluvní strana vůči němu neuplatní své námitky do 14 dnů ode dne doručení písemného oznámení o rozšíření přílohy č. 1.
Řádné poskytování Služeb zahrnuje mimo jiné i aktivity, při kterých může docházet ke zpracování osobních údajů náležících Správci (dále jen „Osobní údaje”), které bude pro Správce provádět Zpracovatel.
S ohledem na výše uvedené uzavírají Smluvní strany ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), tuto Smlouvu.
3.Předmět Smlouvy
3.1.Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů, se kterými Zpracovatel nakládá v souvislosti s poskytováním svých Služeb.
3.2.Zpracovatel se zavazuje zpracovávat Osobní údaje v souladu s požadavky této Smlouvy a v souladu s povinnostmi uloženými GDPR zpracovateli osobních údajů, zejména:
3.2.1.zpracovávat Osobní údaje pouze na základě doložených pokynů Správce;
3.2.2.provést s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování technická a organizační opatření k zabezpečení Osobních údajů specifikovaná touto Smlouvou;
3.2.3.být Správci nápomocen, pokud je to možné, při vyřizování žádostí o výkon práv subjektu údajů,
3.2.4.být Správci nápomocen v plnění povinností dle čl. 32 až 36 GDPR;
3.2.5.umožnit Správci audity, včetně inspekcí prováděných Správcem či jím pověřenou osobou a poskytnout součinnost u těchto auditů.
4.Podmínky zpracování
4.1.Správce pověřuje Zpracovatele zpracováváním Osobních údajů v rozsahu nezbytném pro poskytování Služeb a výhradně za účelem vyplývajícím z účelu Servisních smluv, a to na základě pokynů Správce.
4.2.Zpracovatel není oprávněn Osobní údaje zpracovávat pro žádné jiné účely, než pro účely poskytování Služeb.
4.3.Typ zpracovávaných Osobních údajů a kategorie subjektů údajů jsou uvedeny v příloze č. 2 této Smlouvy.
4.4.Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou zvláštní kategorie osobních údajů ve smyslu GDPR.
4.5.Osobní údaje budou zpracovávány po dobu poskytování Služeb s tím, že ukončením poslední ze smluv uvedených v příloze č. 1 této Smlouvy bez dalšího zaniká i tato Smlouva. Zánikem této Smlouvy nezanikají povinnosti Zpracovatele týkající se zabezpečení Osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárnímu předání Správci nebo jinému pověřenému zpracovateli.
4.6.Smluvní strany se dohodly, že zpracování Osobních údajů na základě této Smlouvy je bezplatné. Tím není dotčen nárok Zpracovatele na odměnu za poskytování Služeb. Zpracovatel má nárok na náhradu nákladů, které Zpracovateli vznikly v souvislosti s plněním dle této Smlouvy v případech, kdy Správce vyzval Zpracovatele:
4.6.1.provést technické nebo organizační opatření nad rámec sjednaného zabezpečení Osobních údajů, které specifikuje čl. 6.1 této Smlouvy;
4.6.2.být nápomocen při vyřizování žádosti o výkon práv subjektu údajů;
4.6.3.být nápomocen v plnění některé z povinností dle čl. 32 až 36 GDPR;
4.6.4.umožnit provedení auditu zpracování Osobních údajů a poskytnout součinnost u tohoto auditu.
5.Povinnosti Smluvních stran
5.1.Správce je při plnění této Smlouvy povinen:
5.1.1.určit účely a prostředky zpracování Osobních údajů;
5.1.2.zajistit, že Osobní údaje budou zpracovávány vždy v souladu s GDPR, že tyto údaje budou přesné a v případě potřeby aktualizované, přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
5.1.3.poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o zpracování a učinit veškerá sdělení požadovaná GDPR.
5.2.Zpracovatel je při plnění této Smlouvy povinen:
5.2.1.zajistit, pokud zapojí do zpracování Osobních údajů dalšího zpracovatele s předchozím konkrétním písemným povolením Správce, že tento další zpracovatel bude poskytovat dostatečné záruky, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR;
5.2.2.zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;
5.2.3.zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění jeho povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve smyslu GDPR;
5.2.4.zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby, které budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
5.2.5.zajistit, že jeho zaměstnanci budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu stanoveném Zpracovatelem a odpovídajícím této Smlouvě;
0.0.0.xx žádost Správce umožnit provedení auditu zpracování Osobních údajů;
5.2.7.po skončení této Smlouvy protokolárně zlikvidovat či protokolárně předat Správci nebo jinému pověřenému zpracovateli všechny Osobní údaje zpracovávané po dobu poskytování Služeb.
5.3.Smluvní strany jsou při plnění této Smlouvy povinny:
5.3.1.zavést technická a organizační opatření k zabezpečení Osobních údajů v souladu se specifikací dle čl. 6.1 této Smlouvy, aby zajistily a byly schopny doložit, že zpracování Osobních údajů je prováděno v souladu s GDPR;
5.3.2.vést záznamy o činnostech zpracování Osobních údajů v rozsahu dle čl. 30 GDPR;
5.3.3.řádně ohlašovat a oznamovat případná porušení zabezpečení Osobních údajů způsobem dle čl. 33 a 34 GDPR a spolupracovat v nezbytném rozsahu s Úřadem pro ochranu osobních údajů;
5.3.4.navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
5.3.5.zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
5.3.6.postupovat v souladu s dalšími požadavky GDPR, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost;
5.2.Smluvní strany dále berou na vědomí, že v otázkách neupravených Nařízením se pro odpovědnost za škodu použije obecná úprava odpovědnosti za škodu dle občanského zákoníku.
6.Zabezpečení Osobních údajů
6.1.Smluvní strany se dohodly, že ve smyslu čl. 32 GDPR a čl. 5.3.1 této Smlouvy provedou k zabezpečení Osobních údajů následující technická a organizační opatření:
6.1.1.pověřit zpracováním Osobních údajů pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů, povinnosti znát a dodržovat předpisy zaměstnavatele k ochraně osobních údajů a o dalších povinnostech vyplývajících z GDPR či jiných obecně závazných právních předpisů;
6.1.2.používat odpovídající technické zařízení a programové vybavení způsobem, který v nejvyšší možné míře vyloučí neoprávněný nebo nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených osob Smluvních stran;
6.1.3.uchovávat Osobní údaje na místech s odpovídajícím zabezpečením, ať již se bude jednat o místa fyzická či virtuální;
6.1.4.uchovávat Osobní údaje v elektronické podobě na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel;
6.1.5.zajistit dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
6.1.6.zajistit, aby osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních údajů měly přístup pouze k Osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
6.1.7.pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány.
6.2.Smluvní strany prohlašují, že technická a organizační opatření k zabezpečení Osobních údajů specifikovaná čl. 6.1 této Smlouvy považují za dostatečná pro zpracování Osobních údajů, jak je prováděno ke dni uzavření této Smlouvy. V případě, že v budoucnu nastane potřeba změn opatření k zabezpečení Osobních údajů, Smluvní strany se dohodnou písemným dodatkem k této Smlouvě na jejich změně a náhradě nákladů vzniklých Zpracovateli provedením změn.
6.3.Pokud Zpracovatel zapojí ve smyslu článku 5.2.1 této Smlouvy dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na zabezpečení Osobních údajů, jaké jsou uvedeny v této Smlouvě.
7.Platnost, odstoupení a zánik Smlouvy
7.1.Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Smluvními stranami. Tato Xxxxxxx se uzavírá na dobu poskytování Služeb podle poslední ze smluv uvedených v příloze č. 1 této Smlouvy. V případě, že Smluvní strany v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, zaniká tato Smlouva současně se zánikem této jiné smlouvy, resp. se zánikem poslední z takto uzavřených smluv.
7.2.Kterákoliv ze Smluvních stran je oprávněna tuto Smlouvu vypovědět ve lhůtě patnácti (15) dnů v případě, že druhá Smluvní strana porušuje povinnosti vyplývající z GDPR a této Smlouvy a nezjedná nápravu závadného stavu do třiceti (30) dnů od oznámení první Smluvní strany.
7.3.Kterákoliv ze Smluvních stran je oprávněna tuto Smlouvu vypovědět bez udání důvodu, a to s výpovědní dobou v délce tří (3) měsíců, která začně běžet prvním dnem měsíce následujícího po měsíci, kdy byla výpověď doručena druhé Smluvní straně.
7.4.Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
8.Řešení sporů
8.1.Jakýkoli právní postup, nebo soudní spor vedený v souvislosti s touto smlouvou, bude zahájen a veden u příslušného soudu České republiky s tím, že Smluvní strany v této souvislosti ve smyslu ustanovení § 89a občanského soudního řádu sjednávají pro všechny spory obecný soud podle sídla Správce
9.Závěrečná ustanovení
9.1.Xxxx Xxxxxxx a právní poměry z ní vzešlé a s ní související se řídí GDPR a právními předpisy České republiky.
9.2.Tuto Smlouvu lze měnit jen dohodou Smluvních stran a to vždy jen písemnými dodatky.
9.3.Odpověď na nabídku s pozměňovacím dodatkem nebo odchylkou (§ 1740 odst. 3 občanského zákoníku) není přijata, pokud druhá smluvní strana tuto odpověď výslovně písemně nepotvrdí jako přijetí nabídky na uzavření smlouvy.
9.4.Obsah této smlouvy může být měněn na základě dohody smluvních stran učiněné v rámci dodatku k této smlouvě v písemné formě, ledaže z této smlouvy vyplývalo něco jiného (např. jednostranný pokyn Správce).
9.5.Zpracovatel bere na vědomí, že tato smlouva bude vedena v evidenci smluv Magistrátu města Havířova.
9.6.Tato smlouva, její případné dodatky či dohody o ukončení tohoto smluvního vztahu budou uveřejněny v registru smluv na xxxxx://xxxxxxx.xxx.xx/. Správce zajistí uveřejnění smlouvy nejpozději do 15 kalendářních dnů od uzavření této smlouvy. Správce se zavazuje uvést ID datové schránky Zpracovatele do formuláře pro uveřejnění smlouvy v registru smluv.
9.7.Xxxx smlouva nabývá platnosti dnem jejího podpisu smluvní stranou, která ji podepisuje jako druhá v pořadí, tj. dnem uzavření, a účinnosti nabývá po uveřejnění v registru smluv.
9.8.Tato Smlouva se vyhotovuje ve dvou (2) stejnopisech, přičemž jedno (1) vyhotovení je určeno pro Správce a jedno (1) pro Zpracovatele.
9.9.Smluvní strany prohlašují, že si návrh této Smlouvy pozorně a pečlivě přečetly, že dobře rozumí jeho obsahu a že ten odpovídá jejich skutečné vůli, na důkaz čehož připojují své podpisy a uzavírají tuto Smlouvu.
9.10.Nedílnou součástí této smlouvy jsou přílohy:
Příloha č.1 – Seznam smluv
Příloha č.2 – Typ zpracovávaných Osobních údajů a kategorie subjektů údajů
V Havířově dne 11.7. 2018 V Brně dne 29.6. 2018
______________________ _______________________
Ing. Xxxxxx Xxxxxxxxx Xxx. Xxxxxxxx Xxxxxx
Vedoucí organizačního odboru Předseda představenstva
Smlouva o poskytování servisních služeb ze dne 21.8.2012 (číslo smlouvy Správce 1639/ORG/2012), ve znění dodatku č. 1 ze dne 7.2.2018 (číslo dodatku Správce 80/ORG/D1/18, číslo dodatku Zpracovatele ESA-2018-2003)
Příloha č.2 – Typ zpracovávaných Osobních údajů a kategorie subjektů údajů
Kategorie subjektů údajů
Předmětem zpracování Osobních údajů Zpracovatelem jsou údaje o osobách (dále též „subjekt“), které Správce shromažďuje a zpracovává:
klienti (děti)
rodinní příslušníci
jiné osoby odpovědné za výchovu
žadatelé o zprostředkování náhradní rodinné péče
Účely zpracovávání
Uživatelská podpora informačních systémů
Typy osobních údajů
Zpracování Osobních údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů:
Jméno
Příjmení
Rodné příjmení
Datum narození
Místo narození
Datum úmrtí
Rodné číslo
Pohlaví
Trvalá adresa
Místo pobytu
Mateřský jazyk
Národnost
Titul
Zaměstnání
Telefon
Email
Dále údaje o příbuzných – otec, matka, vlastní či nevlastní sourozenci. U rodičů též rodinný stav (např. ženatý, rozvedený).
Za správnost Xxxxx Xxxxxxxx, referentka odd. informatiky, v Havířově dne 16.7.2018