Příloha č. 8 – Vzor smlouvy o zpracování osobních údajů Smlouva o zpracování osobních údajů uzavřená v souladu s článkem 28 odst. 3 GDPR (jak je definováno dále), a to níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami (dále jen...



Příloha č. 8 – Vzor smlouvy o zpracování osobních údajů

Smlouva o zpracování osobních údajů



uzavřená v souladu s článkem 28 odst. 3 GDPR (jak je definováno dále), a to níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami (dále jen jako „Smlouva o zpracování“):



  1. Technická správa komunikací hl. m. Prahy, a.s.

IČO: 034 47 286

se sídlem: Xxxxxxxxx 0000/00, 000 00, Xxxxx 0 - Xxxxxxxxxx

zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze sp. zn. B 20059

zastoupená: XY,….

Při podpisu Xxxxxxx a veškerých jejích Dodatků jsou oprávněni zastupovat Společnost dva členové představenstva společně, z nichž nejméně jeden musí být předsedou, nebo místopředsedou představenstva.


(dále jen jako „Správce“ nebo „TSK“)

a

  1. Proconom Software, s.r.o.

IČO: 07156863

se sídlem: Xxxxxxxx xxxxxxx 000/0x, Xxxxxxx 000 00

zapsaná v obchodním rejstříku vedeném u Krajského soudu v Ústí nad Labem, sp. zn. C 41727

zastoupená: Xxxxxxx Xxxxxxx, jednatelem


(dále jen jako „Zpracovatel“)



(Správce a Zpracovatel dále společně jen jako „Smluvní strany“)



Preambule

Vzhledem k tomu, že:

  1. Správce a Zpracovatel spolu uzavřeli dne …….[BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY] (dále jen „Hlavní smlouva“).

  2. Zpracovatel se v Hlavní smlouvě zavázal, že poskytne Správci dostatečné záruky … (dále jen „XY“), sloužícího pro zpracování mzdových a personálních dat a zároveň zajistí poskytování podpory zpracování personálních procesů ve vazbě na okolní systémy Správce a to tak, aby zpracování osobních údajů, ke kterému při tom bude docházet, splňovalo požadavky zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (dále jen “ZZOÚ“) a obecného nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se



zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Obecné nařízení“),

dohodly se Smluvní strany na následujícím:

Úvodní ustanovení

    1. Není-li v této Smlouvě o zpracování stanoveno jinak, mají pojmy zde užité stejný význam, jaký je jim přikládán v Hlavní Xxxxxxx.

    2. Tato Smlouva o zpracování se uzavírá za účelem zpracování a zajištění ochrany osobních údajů zpracovávaných Zpracovatelem v rámci poskytování plnění spočívajícího: (dále souhrnně jen „Služba“).

Pověření a rozsah zpracovávaných údajů

    1. Pověření Zpracovatele. Správce tímto pověřuje Zpracovatele ve smyslu čl. 28 GDPR zpracováním Osobních údajů v rozsahu a za podmínek stanovených níže v této Smlouvě o zpracování, k nimž získá Zpracovatel přístup při poskytování Služby a Zpracovatel tento svůj závazek přijímá a zavazuje se jej řádně plnit. Zpracovatel je povinen zpracovávat Osobní údaje v souladu se Smlouvou o zpracování, Hlavní smlouvou a právními předpisy, zejména – v souladu se ZZOÚ a s GDPR.

    2. Předmět zpracování. Zpracovatel se v rámci svého pověření ke zpracování Osobních údajů pro Správce zavazuje zpracovávat pouze takové Osobní údaje, které souvisí s předmětem Hlavní smlouvy. Zpracovatel bude dle této Smlouvy o zpracování zpracovávat osobní údaje Subjektů údajů v rozsahu stanoveném v Příloze č. 1 (dále jen „Osobní údaje").

    3. Povaha a účel zpracování. Zpracovatel se zavazuje zpracovávat Osobní údaje Subjektů údajů výlučně pro účely vymezené v této Smlouvě o zpracování. Účelem zpracování osobních údajů v rámci komplexního zajištění Zpracovatelem poskytovaných služeb je konkrétně:

    4. Pokyny Správce. Zpracovatel se zavazuje, že bude zpracovávat Osobní údaje pouze na základě Správcem doložených pokynů. To platí obdobně pro statutární orgán a zaměstnance Zpracovatele, kteří mají při výkonu své pracovní činnosti ke zpracovávaným Osobním údajům přístup. Pokyny se Správce zavazuje poskytovat Zpracovateli elektronicky na e-mailovou adresu: xxxxxx@xxxxxxxx.xx nebo xxxxxx@xxxxxxxx.xx

Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynu, který mu Správce ke zpracování Osobních údajů předal; to neplatí, nemohl-li Zpracovatel nevhodnost zjistit ani při vynaložení potřebné péče. Zpracovatel je v takovém případě povinen provést pokyny pouze na základě písemného požadavku Správce.

    1. Místo zpracování. Osobní údaje je možné zpracovávat pouze na pracovištích Zpracovatele nebo jeho poddodavatelů schválených písemně Správcem, a to pouze na území Evropské unie.

    2. Informování o provádění kontroly dohledovým orgánem. Zpracovatel je povinen Správci neprodleně oznámit provedení kontroly ze strany Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty („Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost neprodleně oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení, popř. Správci poskytnout plnou moc k nahlížení do spisu týkajícího se Správního řízení. Zpracovatel je povinen plnit povinnosti kontrolovaného dle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), v platném znění, a zavazuje se poskytnout Správci kopii zprávy o odstranění nebo prevenci nedostatků zjištěných kontrolou, pokud je tato zpráva na vyžádání kontrolujícího vypracována.

Poddodavatelé Zpracovatele

    1. Zpracovatel bere na vědomí, že dílčí poddodavatelé mohou být pověřeni zpracováním Osobních údajů pouze na základě předchozího písemného souhlasu Správce.

    2. V případě, že Správce vysloví souhlas s pověřením zpracováním Osobních údajů dílčího poddodavatele, je Zpracovatel povinen uložit tomuto dílčímu poddodavateli v postavení zpracovatele osobních údajů stejné povinnosti na ochranu Osobních údajů, jak jsou stanoveny v této Smlouvě o zpracování, uzavřené mezi Správcem a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování Osobních údajů splňovalo požadavky ZZOÚ a GDPR.

    3. Zpracovatel bere na vědomí, že nebude-li dílčí poddodavatel plnit své povinnosti v oblasti ochrany Osobních údajů, odpovídá Správci za plnění povinností dílčího poddodavatele, coby dalšího zpracovatele, i nadále plně Zpracovatel.

Technická a organizační zabezpečení ochrany osobních údajů

    1. Zpracovatel se zavazuje, že technicky a organizačně zabezpečí zpracování Osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a zajistí, aby byly nepřetržitě po celou dobu zpracování Osobních údajů personálně a organizačně zajištěny veškeré povinnosti Zpracovatele osobních údajů vyplývající z GDPR, ZZOÚ a ISO norem, pokud tyto na zpracování Osobních údajů dopadají.

    2. Zpracovatel tímto prohlašuje, že ochrana Osobních údajů podléhá interním bezpečnostním předpisům Zpracovatele v rámci jeho systému řízení bezpečnosti informací.

    3. Zpracovatel se zavazuje, že zpracování Osobních údajů bude zabezpečeno zejména následujícími způsoby:

  1. k Osobním údajům budou mít přístup pouze oprávněné osoby Zpracovatele, které budou mít Zpracovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem;

  2. oprávněné osoby Zpracovatele, které zpracovávají Osobní údaje podle této Smlouvy o zpracování, jsou povinny zachovávat mlčenlivost o Osobních údajích a o opatřeních k zabezpečení Osobních údajů. Zpracovatel zajistí prokazatelné zavázání se osob, které ze strany Zpracovatele nakládají s Osobními údaji k této povinnosti. Zpracovatel zajistí to, že povinnost mlčenlivosti dle předchozí věty pro Zpracovatele i osoby, které ze strany Zpracovatele nakládají s Osobními údaji bude trvat i po skončení výkonu práce pro Zpracovatelele. V případě porušení této povinnosti se Zpracovatel zavazuje nahradit Správci veškerou způsobenou škodu;

        1. bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;

        2. bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech, tj. do těchto místností s databázemi Osobních údajů budou mít přístup pouze Zpracovatelem autorizované osoby a prostory budou uzamykatelné;

        3. Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel, a bude Osobní údaje pravidelně zálohovat;

        4. písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;

        5. Osobní údaje, jejichž zpracováním byl Správcem pověřen či které získal v souvislosti se zpracováním Osobních údajů dle této Smlouvy, uchovávat a shromažďovat odděleně od jiných osobních údajů, které zpracovává pro vlastní potřebu jako správce a/nebo jako zpracovatel na základě pověření jiným správcem;

        6. zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

        7. prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

        8. zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a

        9. při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem bezpečnou fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.

        10. Zpracovatel se zavazuje, že na požádání Správci poskytne veškeré potřebné informace o zpracování Osobních údajů a především doloží, že byla realizována technická a organizační opatření.

    1. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů včetně zpracování prostřednictvím dílčích poddodavatelů, kteří nakládají s Osobními údaji, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.

    2. Doložená technická a organizační opatření budou základem zpracování Osobních údajů. Pokud bude na základě ověření či auditu provedeného Správcem zjištěno, že technická a organizační opatření zachovávaná Zpracovatelem nejsou v souladu s touto Smlouvou o zpracování a/nebo ZZOÚ a/nebo GDPR dostatečná pro zajištění požadované úrovně zabezpečení odpovídající možnému riziku s ohledem na povahu zpracování Osobních údajů, tj. nastavení technických a organizačních opatření neposkytuje řádnou ochranu a zabezpečení před neoprávněným přístupem, zneužitím, zcizením nebo zničením Osobních údajů, je Zpracovatel povinen neprodleně, nejpozději však do 30 pracovních dní od sdělení výstupů ověření či auditu provedeného Správcem, napravit zjištěné nedostatky a jejich nápravu doložit Správci. Nebude-li z objektivních důvodů možné napravit nedostatky ve lhůtě upravené v předešlé větě, je Zpracovatel povinen tuto skutečnost Správci oznámit, doložit a dohodnout se Správcem objektivně nejbližší možný termín pro jejich odstranění.

    3. Technická a organizační opatření podléhají technickému pokroku a vývoji a Zpracovatel může zavést jiná vhodná opatření, pokud nebude zavedením takových opatření snížena úroveň bezpečnosti, která je pro zpracování Osobních údajů dostatečná. Veškeré podstatné změny původně zavedených technických a organizačních opatření musí Zpracovatel doložit.

Hlášení bezpečnostních incidentů a vypořádání práv Subjektů údajů

    1. Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů (dále jen „Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu, nejpozději do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo i pouhé hrozby, jestliže Zpracovatel mohl o tomto Porušení zabezpečení Osobních údajů či i o hrozbě vzniku Porušení zabezpečení Osobních údajů vědět při vynaložení veškeré odborné péče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty dle předchozí věty tohoto článku, informuje Zpracovatel Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví. Zpracovatel je i po poskytnutí informace Správci povinen být maximálně nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.

    2. Pokud není ohlášení Správci učiněno nejpozději do 24 hodin, musí Zpracovatel současně s ním uvést důvody tohoto zpoždění.

    3. Ohlášení musí obsahovat zejména:

  1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

  2. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

  3. popis opatření, které Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

    1. Zpracovatel se zavazuje být Správci nápomocen při zajišťování povinností dle GDPR, především povinnosti zabezpečit zpracování Osobních údajů, ohlašovat případy Porušení zabezpečení Osobních údajů, zajištění posouzení vlivu na ochranu osobních údajů či předchozí konzultace s ÚOOÚ, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

    2. Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů. Za plnění informační povinnosti ve smyslu čl. 13 a 14. GDPR je odpovědný Správce.

Ukončení zpracování

    1. Tato Smlouva o zpracování je uzavřena na dobu účinnosti Hlavní smlouvy. Ukončení Hlavní smlouvy z jakéhokoliv důvodu má za následek automatické ukončení této Smlouvy o zpracování ke dni, ke kterému skončí Hlavní smlouva, nebude-li Smluvními stranami písemně ujednáno jinak.

    2. Tuto Smlouvu o zpracování lze ukončit i písemnou dohodou Smluvních stran.

    3. Správce je oprávněn od této Smlouvy o zpracování jednostranně odstoupit v případě závažného porušení jakékoliv povinnosti Zpracovatele vyplývající z této Smlouvy o zpracování a/nebo ze ZZOÚ a/nebo GDPR. Za závažné porušení této Smlouvy o zpracování je považováno zejména porušení povinností Zpracovatele uvedených v článku 3, 4, 5 a 7 této Smlouvy o zpracování.

    4. Osobní údaje budou Zpracovatelem zpracovávány a uchovávány po dobu trvání Hlavní smlouvy.

    5. Po ukončení Hlavní smlouvy, je Zpracovatel povinen Osobní údaje předat zpět Správci, a to v oboustranně dohodnutém termínu a na vhodném datovém nosiči nebo jiným elektronickým způsebem, nevylučuje-li to povaha zpracování Osobních údajů.

    6. Po předání Osobních údajů zpět Správci se Zpracovatel zavazuje bezodkladně, nejpozději však do jednoho (1) kalendářního měsíce po ukončení účinnosti Hlavní smlouvy uchovávané Správci nepředané Osobní údaje zlikvidovat, např. vymazat z elektronických úložišť či skartovat listiny, ledaže je Zpracovatel oprávněn uchovávat Osobní údaje i po ukončení účinnosti Smlouvy o zpracování na základě příslušného právního titulu dle  čl. 6 GDPR.

    7. Zpracovatel je po zániku této Smlouvy o zpracování povinen dodržovat veškeré povinnosti plynoucí z GDPR a ZZOÚ vedoucí zejména k předejití jakémukoliv neoprávněnému nakládání s Osobními údaji do doby, než dle pokynů Správce tyto Osobní údaje Zpracovatel předá Správci nebo provede jejich bezpečnou likvidaci.

    8. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy o zpracování.

Mlčenlivost

    1. Zpracovatel se zavazuje, že bude považovat veškerá data vkládaná do Služby za důvěrná, zavazuje se o nich zachovávat mlčenlivost, tj. nesdělí je xxxxxx, kromě svých zaměstnanců a dílčích subdodavatelů, a to pouze v rozsahu nezbytném pro poskytování Služby. Tato povinnost mlčenlivosti přetrvává i po ukončení účinnosti této Smlouvy o zpracování.

Sankce za porušení Smlouvy

    1. V případě nedodržení jakékoliv povinnosti Zpracovatele vyplývající z této Smlouvy o zpracování, zejména zapojení dílčího poddodavatele do zpracování Osobních údajů přes nesouhlas Správce dle článku 3 této Smlouvy o zpracování, povinnosti technicky a organizačně zabezpečit ochranu zpracovávaných Osobních údajů dle článku 4 této Smlouvy o zpracování, povinnosti mlčenlivosti dle článku 7 této Smlouvy, povinnosti spočívající ve zlikvidování osobních údajů ve stanovené maximální lhůtě dle článku 6 této Smlouvy o zpracování, má Správce právo uplatnit vůči Zpracovateli smluvní pokutu ve výši 50.000,- Kč (slovy: padesát tisíc korun českých) za každý případ porušení některé z povinností podle této Smlouvy o zpracování.

    2. Smluvní pokuta je splatná ve lhůtě třiceti (30) kalendářních dnů od doručení písemné výzvy oprávněné Smluvní strany Smluvní straně povinné ze smluvní pokuty.

    3. Zaplacení smluvní pokuty dle předchozích odstavců tohoto článku nemá vliv na nárok oprávněné Smluvní strany domáhat se náhrady škody v plné výši způsobené porušením povinnosti, které je zajištěno touto smluvní pokutou a ani na povinnost Smluvní strany povinné ze smluvní pokuty splnit závazek zajištěný smluvní pokutou.

    4. Právo Smluvní strany na smluvní pokutu a na náhradu škody přetrvává i po ukončení této Smlouvy o zpracování.

Ostatní ujednání

    1. Zpracovatel bere na vědomí, že pokud zpracovává Osobní údaje subjektů údajů bez doloženého pokynu Správce a/nebo zpracovává Osobní údaje ve větším rozsahu, jinými prostředky anebo k jiným účelům, než které jsou uvedeny v této Smlouvě o zpracování (tj. pro vlastní účely), platí, že Osobní údaje nezpracovává pro účely stanovené Správcem a Správce za takové zpracování nenese žádnou odpovědnost. Ve vztahu k těmto Osobním údajům je pak Zpracovatel ve smyslu ZZOÚ GDPR v postavení správce osobních údajů a je za jejich zpracování odpovědný v plném rozsahu.

Závěrečná ustanovení

    1. Tato Smlouva o zpracování nabývá platnosti a účinnosti dnem podpisu oběma Smluvními stranami.

    2. Tato Smlouva o zpracování může být doplňována anebo měněna s výjimkou změny Přílohy č. 1 pouze písemnými dodatky, které jsou jako takové označeny, číslovány a podepsány oběma Smluvními stranami. Rozsah zpracovávaných osobních údajů stanovený v Příloze č. 1 může Správce rozšířit či jinak změnit při zachování písemné formy i bez nutnosti uzavírat dodatek této Smlouvy (oznámení o změně Přílohy č. 1 doručené Zpracovateli prostřednictvím e-mailu bude dostačující).

    3. V případě, že některé ustanovení této Smlouvy o zpracování je nebo se stane neplatným či neúčinným, nemá tato skutečnost vliv na ostatní ustanovení této Smlouvy o zpracování, a Smluvní strany se zavazují nahradit takové neplatné či neúčinné ustanovení této Smlouvy o zpracování ustanovením jiným, platným a účinným, které svým smyslem nejlépe odpovídá účelu této Smlouvy o zpracování, a to do 30 (třiceti) kalendářních dnů od okamžiku, kdy byla o neplatnosti či neúčinnosti takového ujednání prokazatelně informována poslední Smluvní strana.

    4. Žádná ze Smluvních stran nesmí bez předchozího písemného souhlasu druhé Smluvní strany postoupit Smlouvu o zpracování, jednotlivý závazek ze Smlouvy o zpracování ani pohledávky vzniklé v souvislosti s touto Smlouvou na jiné osoby.

    5. Tato Smlouva o zpracování je vyhotovena ve třech stejnopisech, z nichž každý má platnost originálu. Správce obdrží dvě a Zpracovatel jedno vyhotovení této Smlouvy o zpracování. V případě, že je Smlouva o zpracování uzavírána elektronicky za využití uznávaných elektronických podpisů, postačí jedno vyhotovení Smlouvy o zpracování, na kterém jsou zaznamenány uznávané elektronické podpisy zástupců Smluvních stran.

    6. Smluvní strany prohlašují, že si tuto Smlouvu o zpracování přečetly, že nebyla uzavřena v tísni či za nápadně nevýhodných podmínek, a na důkaz svého souhlasu s jeho obsahem připojují své podpisy.

    7. Nedílnou součást této Smlouvy o zpracování tvoří následující přílohy:



Přílohy: Příloha č. 1 – Rozsah zpracovávaných Osobních údajů



V Praze, dne [•]

[•], dne [•]



____________________________________

Technická správa komunikací hl. m. Prahy, a.s.

[•]

(Správce)



____________________________________

[•]

(Zpracovatel)




Příloha č. 1 Smlouvy o zpracování osobních údajů


Rozsah zpracovávaných Osobních údajů


Zpracovatel bude zpracovávat Osobní údaje Subjektů údajů dle Smlouvy o zpracování zejména v následujícím rozsahu:


      1. jméno a příjmení;

      2. datum narození;

      3. adresa trvalého bydliště;

      4. titul;

      5. pozice;

      6. kontaktní údaje – telefon, e-mail



Document Metadata

Filed: October 6th, 2023