Úvodní ustanovení
Úvodní ustanovení
Zákazník s Poskytovatelem mají uzavřenu Smlouvu o provozování software iDES ze dne 18.11.2013, dále Smlouva.
Na základě této Smlouvy Poskytovatel zpracovává pro Zákazníka osobní údaje klientů, jejichž data Zákazník eviduje a zpracovává v IS iDES.
Smluvní strany se dohodly na uzavření tohoto dodatku (dále též „Dodatek“) v souladu s ustanovením článku 28 Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů), dále GDPR nebo Obecné nařízení.
Předmět Smlouvy a Dodatku
1. Předmětem Smlouvy je mimo jiné závazek Zpracovatele průběžně po dobu platnosti a v rozsahu dle této smlouvy zpracovávat pro Správce osobní údaje, k nimž získá Zpracovatel přístup při poskytování služeb dle uzavřené Smlouvy, a dále závazek smluvních stran zachovávat mlčenlivost o vzájemně poskytnutých informacích, a to v rozsahu a za podmínek stanovených touto Smlouvou.
2. Předmětem Dodatku je pověření Zpracovatele Správcem k průběžnému zpracování osobních údajů po dobu platnosti této smlouvy a v rozsahu dle této smlouvy.
3. Předmětem Dodatku je rovněž závazek Zpracovatele zpracovávat osobní údaje dle doložených pokynů Správce v souladu se Smlouvou, tímto dodatkem a v souladu s právními předpisy, zejména Obecným nařízením, a to po dobu účinnosti smlouvy.
4. Předmětem zpracování jsou zejména osobní data klientů či členů Správce, popř. dalších osob. Správce vykonává činnosti v oblasti správy domů, bytů, nebytových prostor včetně technické evidence, tvorby a evidence předpisů a úhrad, správy pohledávek, vyúčtování služeb, vedení účetní evidence a dalších agend vedených v IS iDES.
Prohlášení Správce
1. Správce prohlašuje, že v IS iDES zpracovává osobní údaje svých klientů, členů či dalších osob, společně též subjektů osobních údajů“ dle Obecného nařízení.
2. Správce prohlašuje, že osobní údaje subjektů osobních údajů zpracovává v souladu s Obecným nařízením.
Doba trvání zpracování
1. Zpracování bude prováděno po dobu účinnosti Smlouvy. Po ukončení účinnosti Xxxxxxx bude s osobními údaji naloženo ve smyslu ust. odst. 6. písm. f) čl. Práva a povinnosti smluvních stran tohoto Dodatku.
2
Zpracování osobních údajů
1. Účelem zpracování osobních údajů je plnění povinností Správce při zajišťování správy domu a pozemku na základě zákona nebo dle mandátní nebo příkazní smlouvy. Účelem zpracování osobních údajů ze strany Zpracovatele je plnění povinností Zpracovatele dle Smlouvy, zejména zajišťování aktualizační služby a podpory při provozu aplikace iDES.
2. Zpracování osobních údajů Zpracovatelem má povahu vedlejší činnosti při plnění povinností Zpracovatele dle Smlouvy, jak jsou uvedeny v odst. 1. tohoto článku.
3. Správce prohlašuje, že získal a zpracovává osobní údaje v souladu s čl. 6 písm. b) GDPR.
4. Kategorie subjektů údajů
1. Nájemníci, vlastníci popř. jiní uživatelé bytů a nebytových prostorů v domech, jejichž správu Správce vykonává.
2. Statutární orgány Správců
3. Dodavatelé, pokud se jedná o fyzické osoby
5. Typy osobních údajů (podrobněji viz příloha č. 3 tohoto Dodatku)
1. Identifikační, adresní údaje a kontaktní údaje.
2. Údaje o jiné osobě.
3. Popisné údaje technické.
4. Popisné údaje ekonomické.
Práva a povinnosti smluvních stran
1. Smluvní strany se zavazují postupovat při zpracování osobních údajů subjektů údajů v souladu s Obecným nařízením, případně dalšími obecně závaznými právními předpisy vztahujícími se k této činnosti.
2. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění efektivní realizace této smlouvy, a to zejména v případě jednání s Úřadem pro ochranu osobních údajů nebo s jinými veřejnoprávními orgány.
3. Správce i Zpracovatel jsou vázání mlčenlivostí a rovněž zajistí, aby všechny další osoby, zejména pracovníci Správce i Zpracovatele, které přijdou do styku s osobními údaji, byly vázány k mlčenlivosti.
4. Zpracovatel se zavazuje přijmout vhodná organizační, technická, personální a jiná potřebná opatření (dále společně též „opatření“) k zajištění bezpečnosti zpracování v rozsahu stanoveném v čl. 32 GDPR, zejména aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům ani k jejich jinému neoprávněnému zpracování, jakož ani k jinému zneužití osobních údajů. Tato povinnost platí i po skončení Smlouvy.
5. Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená opatření k zajištění ochrany osobních údajů v souladu s Obecným nařízením a jinými právními předpisy, přičemž zajišťuje, kontroluje a odpovídá za to, že v rámci činností Zpracovatele:
a) budou plnit pokyny pro zpracování osobních údajů pouze k tomu oprávněné osoby, které k osobním údajům budou mít bezprostřední přístup.
3
b) neoprávněným osobám bude zabráněno přistupovat k osobním údajům a k prostředkům pro jejich zpracování.
c) bude zabráněno neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
d) budou provedena opatření, která umožní určit a ověřit, komu byly osobní údaje předány, kým byly zpracovány, pozměněny nebo smazány.
6. Zpracovatel je dále povinen
a) Zpracovávat osobní údaje pouze v souladu s právními předpisy a doloženými pokyny Správce, a to včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování nebo předání neukládají právní předpisy; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže mu tyto právní předpisy z důležitých důvodů veřejného zájmu zakazují.
b) Využívat další zpracovatele pouze na základě písemné smlouvy, která bude dalšímu zpracovateli ukládat stejné povinnosti, co se týče ochrany osobních údajů, jaké má na základě tohoto dodatku Zpracovatel vůči Správci. Správce uděluje tímto Dodatkem Zpracovateli obecné povolení k využívání dalších zpracovatelů, Zpracovatel je však ve smyslu ust. čl. 28 odst. 2 a 4 GDPR vždy povinen oznámit Správci zapojení každého dalšího zpracovatele, resp. nahrazení stávajícího dalšího zpracovatele, s dostatečným předstihem. Správce je povinen do deseti dnů informovat Zpracovatele, zda se zapojením takového dalšího zpracovatele souhlasí, jinak se má za to, že souhlasí. Vysloví-li Správce se zapojením dalšího zpracovatele nesouhlas, nesmí jej Zpracovatel při zpracování osobních údajů využít.
c) Zohledňovat povahu zpracování a, pokud je to možné, být Správci prostřednictvím vhodných technických a organizačních opatření nápomocen při uplatňování práv ze strany subjektů údajů stanovených v článcích 12 až 23 GDPR, to vše při zohlednění povahy zpracování. Tato součinnost může být realizována prostřednictvím modulu iDES GDPR a Modulu/aplikace iDES vlastník, nebo dle požadavku Zákazníka za úplatu.
d) Být nápomocen Správci při plnění povinností vyplývajících z čl. 32 - 36 GDPR, a to při zohlednění povahy zpracování a informací, které má k dispozici. Tato činnost bude poskytována za úplatu viz příloha č.l.
e) Oznámit Správci jakékoliv případy porušení zabezpečení osobních údajů tak, aby byl Správce schopen splnit své oznamovací povinnosti dle čl. 33 a 34 GDPR.
f) Podle pokynu Správce po ukončení Smlouvy všechny osobní údaje buď vymazat, nebo je vrátit Správci, a vymazat existující kopie, pokud právní předpisy nepožadují uložení daných osobních údajů. Nevydá-li Správce ve lhůtě dvou měsíců od ukončení Smlouvy jiný pokyn, Zpracovatel veškeré osobní údaje bez zbytečného odkladu vymaže.
g) Informovat Správce, pokud se bude domnívat, že podle jeho názoru určitý pokyn Správce porušuje povinnosti stanovené právními předpisy, zejména Obecným nařízením.
h) Poskytnou Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti podle článku 28 GDPR, umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispět, nebo jím pověřené osobě, realizaci auditů a inspekcí zpracování osobních údajů. Tato činnost bude poskytována za úplatu viz příloha č.l.
4
Příloha číslo 1 Dodatku číslo 2 Smlouvy o provozování software iDES
Položky vztahující se k již uskutečněným plněním nejsou dále v této příloze uváděny
Popis služby Cena v Kč bez DPH
Aktualizační služba k programu iDES (článek II. smlouvy)
Konfigurace aplikace iDES
Počet uživatelských přístupů pracovníků ÚMČ a správní firmy
Počet spravovaných (evidovaných) nájemních jednotek do Počet přístupů klientů zákazníka
Komplet
neomezený 10000
0
10 250,-Kč/měsíčně
SW podpora DB Oracle 20 500,- Kč/ročně
Školení a konzultace pro 1-2 osoby 974,-Kč/za každou započatou 1 hodinu 1 konzultanta
Hromadné školení (3 a více osob, školicí blok 0,5 dne) 1 435,-Kč/l osobu/1 blok školení
Kontroly dat, analýza a programátorské práce 1 230,- Kč/za každou započatou 1 hodinu 1 konzultanta
Správa serveru iDES, který je ve vlastnictví zákazníka. Údržba a aktualizace a aktualizace operačního systému a dalšího potřebného SW pro chod aplikace iDES.
Bod II.1.2 Xxxxxxx
3 485,- Kč/měsíčně
Moduly VNO iDES 615,- Kč/měsíčně
Modul Funkce pro SVJ 922,- Kč /měsíčně
Modul Závazky iDES 922,- Kč/měsíčně
Rozšíření licence iDES o správu domů SVJ s omezením do 300 jednotek
Modul Vyúčtování příspěvků iDES. Fond oprav.
1230,- Kč/měsíčně
Modul IR 359,- Kč/měsíčně
Modul Výpovědi 257,- Kč/měsíčně
Plnění dle dodatku č.2 900,- Kč/měsíčně
6
příloha číslo 2 Dodatku číslo 2Smlouvy o provozování software iDES
Poskytovatel TOM - computer, s. r. o.
Zákazník Statutární město Brno, městská část Brno - sever
Zabezpečení provozu iDES a osobních údajů v iDES
Data IS iDES jsou zabezpečena na více úrovních.
• Cloudové služby a aplikace jsou privátní.
• Fyzické zabezpečení serverů.
• SW zabezpečení serverů.
• Přístupy pouze pro oprávněné uživatele a administrátory.
• Šifrované přenosy dat.
Systémové zabezpečení IS iDES
Provoz na infrastruktuře zákazníka. (Provoz na technice poskytovatele umístěné u zákazníka.)
• Fyzické zabezpečení serveru/ů řeší zákazník, uživatel IS iDES.
• Přístupy pracovníků poskytovatele iDES k serverům za účelem údržby IS iDES a za účelem poskytování konzultací na pokyn Správce/Zpracovatele jsou řízeny zákazníkem dle jeho bezpečnostní politiky.
• Zálohy dat provádí IS iDES automaticky primárně na servery zákazníka iDES. Uložení a diverzifikace záloh je plně v kompetenci zákazníka. Zálohy jsou chráněny heslem.
• Datové přenosy jsou šifrovány prostřednictvím bezpečnostního protokolu, https.
• Přihlášení oprávněných uživatelů do iSiDES je zabezpečeno prostřednictvím přístupových práv.
• Přístupy do IS iDES a ke zpracovávaným datům jsou evidovány (tzv. logy).
• Přístupy klientů Zákazníků Poskytovatele iDES k vybraným částem a datům uloženým a zpracovávaným zákazníkem v IS iDES jakož i k mobilním aplikacím iDES jsou rovněž zabezpečeny prostřednictvím přidělovaných přístupových práv.
• Administraci iDES provádějí, a přístup k předmětným serverům mají pouze oprávnění pracovníci poskytovatele iDES. Přístupy administrátorů iDES jsou logovány.
• Mobilní aplikace IS iDES jsou tzv. privátní a jsou poskytovány pouze oprávněných osobám (Subjektům osobních údajů, vlastníkům jednotek, nájemníkům, představitelům správce domů).
7
IS iDES je provozován na technice poskytovatele iDES. Cloudové řešení.
• IS iDESvčetně databáze je uložen na serverech / infrastruktuře Poskytovatele iDES.
• Infrastruktura Poskytovatele iDES (Zpracovatele/Dalšího zpracovatele) je umístěna/ hostována v zabezpečeném pracovišti u významného poskytovatele internetových služeb v České republice, který je, mimo jiné, držitelem certifikátu ISO 27001.
• Jedná se o privátní cloud, kdy je IS iDES zpřístupněn prostřednictvím internetu pouze vybraným uživatelů, zákazníkům Poskytovatele iDES a jeho klientům.
• Administraci serverů poskytovatele iDES provádějí, a přístup k předmětným serverům mají pouze oprávnění pracovníci poskytovatele iDES. Přístupy administrátorů jsou logovány.
• Zálohy dat se provádí dle interních pravidel poskytovatele iDES, automaticky a jejich uchování je lokálně diverzifikováno v rámci České republiky.
• Datové přenosy jsou šifrovány prostřednictvím bezpečnostního protokolu, https.
• Přihlášení oprávněných uživatelů do iSiDES je zabezpečeno prostřednictvím přístupových práv.
• Přístupy do IS iDES a ke zpracovávaným datům jsou evidovány (tzv. logy).
• Přístupy klientů zákazníků Poskytovatele iDES k vybraným částem a datům uloženým a zpracovávaným zákazníkem v IS iDES jakož i k mobilním aplikacím iDES jsou rovněž zabezpečeny prostřednictvím přidělovaných přístupových práv a jsou evidovány.
• Mobilní aplikace IS iDES jsou tzv. privátní a jsou poskytovány pouze oprávněným osobám (Subjektům osobních údajů, vlastníkům jednotek, nájemníkům, představitelům správce domů, pracovníkům Zpracovatele, nebo Správce.
8
Příloha číslo 3 Dodatku číslo 2 Smlouvyo provozování software iDES
Poskytovatel TOM - computer, s. r. o.
Zákazník Statutární město Brno, městská část Brno - sever
Typy osobních údajů
Navazuje na bod 5. článku Zpracování osobních údajů.
Kategorie/ Osobní údaj, nebo skupina osobních údajů
Identifikační a adresní údaje
Xxxxx, Příjmení, Druhé jméno, titul před jménem, Titul za jménem, Xxxxx příjmení, Datum narození, Rodné číslo, Adresa / adresy, Email adresa, Telefonní číslo
Údaje o jiné osobě (spolubydlící osoby)
Seznam spolubydlících osob včetně všech evidovaných údajů
Popisné údaje
Bankovní spojení, Číslo jednotky, Rozměry jednotky - plochy, Podíly, Specifikace jednotky (podlaží, ), Počet osob pro služby, Bytová měřidel (odpočty měřidel jsou součástí jednotlivých
vyúčtování služeb), Evidence požadavků subjektu, Evidence přístupů subjektu údajů k osobním údajům prostřednictvím elektronických prostředků (aplikace iDES GDPR vlastník), Nájemní smlouva-údaje,
Popisné údaje ekonomické
Předpisy úhrad /historie, Úhrady /historie, Kauce, Sankční poplatky za pozdní úhrady / výpočet evidence, Vymáhání pohledávek / upomínky atd., Náklady z rozúčtování služeb a vyúčtování služeb, Objednávky / kontaktní osoby, Daňové doklady přijaté /vydané/ splátkové kalendáře (dph) - fyzická osoba podnikající.
9