SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ podle čl. 28 Obecného nařízení o ochraně osobních údajů1 („Smlouva“)

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

podle čl. 28 Obecného nařízení o ochraně osobních údajů1

(„Smlouva“)

Západočeská univerzita v Plzni

se sídlem: Xxxxxxxxxxx 0000/0, 000 00 Xxxxx

IČ: 49777513

DIČ: CZ49777513

zastoupená: doc. Dr. RNDr. Xxxxxxxxxx Xxxxxxxx, rektorem

(„Objednatel“)


a

[doplnit obchodní firmu/ jméno příjmení]


se sídlem [doplnit]

IČ: [doplnit]

zapsaná v obchodním rejstříku vedeném Městským / Krajským soudem v [doplnit], sp. zn. [doplnit] zastoupená [doplnit jméno, příjmení a funkci]

(„Dodavatel“)


(Objednatel a Dodavatel dále společně jako „Smluvní strany“)


se níže uvedeného dne, měsíce a roku dohodli na následujícím:


PREAMBULE


Vzhledem k tomu, že:


  1. Smluvní strany spolu dne [doplnit] uzavřely RÁMCOVÁ KUPNÍ SMLOUVA - JIS karty pro ZČU (2023-2025) („Podkladová smlouva“) a v rámci plnění této smlouvy Dodavatel zpracovává osobní údaje, jichž je Objednatel správcem, jak je blíže specifikováno níže,

  2. Ke dni 25. května 2018 vstoupilo v účinnost Obecné nařízení upravující mj. povinnosti správců a zpracovatelů osobních údajů v souvislosti s jejich zpracováním,

  3. Smluvní strany mají zájem pokračovat ve vzájemné spolupráci na základě Podkladové smlouvy a dodržovat při ní veškeré legislativní požadavky,


uzavírají spolu Smluvní strany tuto Smlouvu:


  1. POSTAVENÍ SMLUVNÍCH STRAN PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S PODKLADOVOU SMLOUVOU

    1. Objednatel je správcem osobních údajů studentů, zaměstnanců a třetích osob ve vztahu k Západočeské univerzitě v Plzni a Dodavatel je tedy na základě Podkladové smlouvy ve vztahu k těmto údajům v postavení zpracovatele osobních údajů.

  2. PŘEDMĚT A DOBA ZPRACOVÁNÍ

    1. Dodavatel bude na základě této Smlouvy pro Objednatele zpracovávat následující osobní údaje: jméno, příjmení, rodné číslo, vztah k ZČU, fotografie.

    2. Dodavatel je oprávněn osobní údaje na základě této Smlouvy zpracovávat po dobu trvání Podkladové smlouvy.

  3. POVAHA A ÚČEL ZPRACOVÁNÍ

    1. Dodavatel je na základě této Smlouvy oprávněn osobní údaje zpracovávat pro účel personifikace identifikační karty ZČU.

    2. Zpracování osobních údajů bude spočívat v jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, nahlédnutí, vyhledání, použití, zpřístupnění přenosem, seřazení či zkombinování, omezení, výmazem nebo zničením.

  4. TYP OSOBNÍCH ÚDAJŮ A KATEGORIE SUBJEKTŮ ÚDAJŮ

    1. Dodavatel na základě této Smlouvy pro Objednatele zpracovává osobní údaje následujících kategorií subjektů údajů:

  1. studenti ZČU,

  2. zaměstnanci ZČU

  3. třetí osoby ve vztahu k ZČU

    1. Dodavatel na základě této Smlouvy pro Objednatele zpracovává následující typy osobních údajů: [osobní údaje ve smyslu čl. 4 odst. 1 Obecného nařízení.]

  1. POVINNOSTI DODAVATELE A OBJEDNATELE

Dodavatel se zavazuje:

    1. Zpracovávat osobní údaje pouze za účelem definovaným v této Smlouvě a v žádném případě je nebude zpracovávat pro vlastní účely.

    2. Zpracovávat osobní údaje pouze v souladu s doloženými pokyny Objednatele, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci.

V případě, že by Xxxxxxxxx došel k závěru, že některý z pokynů Objednatele je v rozporu s Obecným nařízením nebo s jakýmkoli jiným právním předpisem v oblasti ochrany osobních údajů, je povinen Objednatele na tuto skutečnost neprodleně písemně upozornit.

Pokud Dodavateli dané zpracování ukládá právo Evropské unie nebo členského státu, které se vztahuje na Dodavatele, je Xxxxxxxxx povinen Objednatele o tomto právním požadavku písemně informovat před zahájením předmětného zpracování, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

    1. Vést, písemně (včetně elektronické formy), záznamy o zpracování osobních údajů v souladu s čl. 30 odst. 2 Obecného nařízení, obsahující:

  1. Název a kontaktní údaje Dodavatele a Objednatele jako správce a případného zástupce správce nebo zástupce Dodavatele a pověřence pro ochranu osobních údajů;

  2. Kategorie zpracování prováděného pro Objednatele;

  3. Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace a v případě podle čl. 49 odst. 1 druhého pododstavce Obecného nařízení doložení vhodných záruk;

  4. Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 Obecného nařízení.

    1. Nesdělovat osobní údaje třetím osobám, ledaže bude mít předem výslovný pokyn Objednatele.

Dodavatel je oprávněn, na základě písemného pokynu Objednatele, sdělovat osobní údaje jiným zpracovatelům pověřeným Objednatelem. Pokyn Objednatele musí obsahovat jasnou identifikaci zpracovatele, rozsah osobních údajů, které mají být předány a prostředky pro zajištění zabezpečení předání osobních údajů.

    1. Nepověřovat zpracováním osobních údajů na základě této Smlouvy další osoby („Další zpracovatelé“).

V případě, že by Xxxxxxxxx zamýšlel do zpracování osobních údajů na základě této Smlouvy a Podkladové smlouvy zapojit Další zpracovatele, je o tom povinen Objednatele písemně informovat alespoň 30 pracovních dní před zahájením zamýšlené spolupráce s Dalším zpracovatelem a Objednateli sdělit zejména kterými činnostmi zpracování osobních údajů zamýšlí Dalšího zpracovatele pověřit a identifikační a kontaktní údaje Dalšího zpracovatele a případně další informace či návrh smlouvy, bude-li to Objednatel považovat za potřebné k posouzení navrhované spolupráce mezi Xxxxxxxxxxx a Dalším zpracovatelem. Xxxxxxx s Dalším zpracovatelem smí Dodavatel uzavřít pouze v případě, že mu Objednatel ve lhůtě 14 kalendářních dní od obdržení informace nesdělí námitku.

Dodavatel je povinen smluvně zavázat Dalšího zpracovatele k povinnosti plnit Dodavatelovy povinnosti dle této Smlouvy a případné další pokyny Objednatele v oblasti ochrany osobních údajů.

Neplní-li Další zpracovatel své povinnosti v oblasti ochrany osobních údajů, odpovídá Objednateli za plnění povinností daného Dalšího zpracovatele i nadále Dodavatel.

Nejpozději do 3 dnů od zapojení jakéhokoli Dalšího Zpracovatele či jeho nahrazení jiným Dalším zpracovatelem či ukončení spolupráce s jakýmkoli Dalším zpracovatelem je Dodavatel povinen tyto skutečnosti písemně oznámit Objednateli.

    1. Udržovat mlčenlivost o zpracovávaných osobních údajích, ke kterým má přístup v souvislosti s Podkladovou smlouvou, resp. touto Smlouvou, a to včetně období po skončení této Smlouvy.

    2. Zajistit, že jeho pracovníci nakládající s osobními údaji se písemně výslovně zaváží k dodržování mlčenlivosti ohledně zpracovávaných osobních údajů, dodržování stanovených bezpečnostních opatření a podmínek pro zpracování osobních údajů dle této Smlouvy.

    3. Zajistit kontinuální odpovídající proškolování svých pracovníků nakládajících s osobními údaji v oblasti ochrany osobních údajů.

    4. Oznámit Objednateli jakoukoli změnu zpracovávaných osobních údajů.

    5. Poskytnout Objednateli veškerou součinnost, kterou bude potřebovat pro uskutečnění výkonu práva subjektu údajů:

  1. na přístup k osobním údajům, opravu osobních údajů, výmaz osobních údajů, námitku proti zpracování osobních údajů;

  2. na omezení zpracování osobních údajů;

  3. na přenositelnost osobních údajů;

  4. nebýt předmětem automatizovaného rozhodování ve smyslu čl. 22 odst. 1 Obecného nařízení.

Dodavatel je povinen pokynům Objednatele v souvislosti s výkonem výše popsaných práv subjektů osobních údajů vyhovět ve lhůtě stanovené Objednatelem ve vztahu ke každé individuální žádosti.

V případě, že by subjekt osobních údajů uplatnil některé z výše uvedených práv ve vztahu k Dodavatelem pro Objednatele zpracovávaným osobním údajům přímo u Dodavatele a nikoli u Objednatele, zavazuje se Dodavatel takovou žádost Objednateli zaslat prostřednictvím e-mailu na adresu xxxx@xxxxxxx.xxx.xx a to bez zbytečného odkladu, nejpozději však do 24 hodin od jejího převzetí.

    1. Pokud je to vzhledem k činnosti Dodavatele vykonávané pro Objednatele relevantní, poskytnout subjektům osobních údajů v okamžiku získání osobních údajů informace Objednatele o zpracování osobních údajů, a to vždy aktuální a ve formátu stanoveném Objednatelem.

    2. Jakmile zjistí porušení zabezpečení osobních údajů, ohlásit jej neprodleně, nejpozději však do 24 hodin Objednateli a poskytnout mu veškerou součinnost a veškeré informace, které Objednatel může potřebovat ke splnění svých zákonných povinností, zejména, nikoli však výlučně:

  1. Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

  2. Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

  3. Popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

  4. Popis opatření, která Dodavatel přijal nebo navrhuje k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Pokud není možné poskytnout Objednateli informace podle písm. a) až d) výše současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

Kontaktní osobou pro oznámení porušení zabezpečení osobních údajů Objednateli a další související komunikaci, nebude-li Objednatelem určeno jinak, je pověřenec pro ochranu osobních údajů Objednatele: e-mail: xxxx@xxxxxxx.xxx.xx.

Výše uvedené povinnosti Dodavatele se uplatní obdobně, pokud k porušení zabezpečení osobních údajů dojde u Dalšího zpracovatele nebo dalšího zpracovatele spolupracujícího s Dalším zpracovatelem.

    1. Poskytnout Objednateli veškerou součinnost, kterou Objednatel může potřebovat pro vypracování posouzení vlivu na ochranu osobních údajů ve smyslu čl. 35 Obecného nařízení.

    2. Poskytnout Objednateli veškerou potřebnou součinnost, kterou může potřebovat pro uskutečnění předchozích konzultací ve smyslu čl. 36 Obecného nařízení s Úřadem pro ochranu osobních údajů.

    3. Poskytnout Objednateli veškeré informace, které Objednatel může potřebovat k prokázání plnění svých povinností v roli správce či zpracovatele osobních údajů nebo pro účely jakýchkoli auditů.

    4. Umožnit Objednateli audity, včetně inspekcí, prováděné Objednatelem či jím pověřeným auditorem u Dodavatele, a v rámci těchto auditů a/nebo inspekcí poskytnout Objednateli či jemu pověřenému auditorovi veškerou potřebnou součinnost.

    5. Zavést v souladu s analýzou rizik provedenou [doplnit] dne [doplnit] alespoň následující opatření pro zabezpečení osobních údajů:

  1. [doplnit];

  2. [doplnit].

Zavedením výše uvedených opatření se Dodavatel nezbavuje své odpovědnosti zajistit ve vztahu k osobním údajům zpracovávaným na základě této Smlouvy úroveň zabezpečení odpovídající danému riziku. Dodavatel je v každém případě povinen v souladu s čl. 32 Obecného nařízení s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:

  1. Pseudonymizace a šifrování osobních údajů;

  2. Schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

  3. Schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

  4. Procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

a tato opatření průběžně vyhodnocovat a případně odpovídajícím způsobem upravovat.

    1. V případě, že je k tomu dle Obecného nařízení povinen, jmenovat pověřence pro ochranu osobních údajů a sdělit Objednateli jeho jméno, příjmení a kontaktní údaje.

    2. Po skončení poskytování služeb dle Podkladové smlouvy vrátit Objednateli všechny osobní údaje, včetně, pokud je to relevantní, nosičů, na nichž jsou uloženy a současně tyto osobní údaje vymazat ze všech elektronických zařízení či databází používaných Dodavatelem.

    3. Uzavřít a po dobu trvání této Smlouvy udržovat v platnosti pojistnou smlouvu kryjící odpovědnost za případnou újmu, kterou by mohl v souvislosti s výkonem činnosti podle této Smlouvy Objednateli způsobit, a to do výše minimálně 200 000 Kč. Kopii pojistné smlouvy je Dodavatel Objednateli povinen kdykoli na požádání předložit, a to nejpozději do 3 pracovních dnů.

    4. V případě, že Dodavatel bude mít v souvislosti se zpracováním osobních údajů na základě této Smlouvy potřebu konzultace s Objednatelem, zavazuje se Objednatel poskytnout mu potřebnou součinnost.

  1. ODMĚNA

    1. Smluvní strany se dohodly, že odměna Dodavatele za plnění povinností dle této Smlouvy je již zahrnuta v odměně Dodavatele sjednané v Podkladové smlouvě.

  2. ODPOVĚDNOST ZA ÚJMU A SANKCE

    1. Dodavatel odpovídá za jakoukoli újmu, která Objednateli či třetím osobám vznikne porušením jeho povinností na základě této Smlouvy a/nebo Obecného nařízení.

    2. Dodavatel rovněž odpovídá za jakoukoli újmu, která Objednateli či třetím osobám vznikne porušením povinností vyplývajících z této Smlouvy a/nebo z Obecného nařízení Dalším zpracovatelem či s ním spolupracujícím dalším zpracovatelem.

    3. V případě, že Xxxxxxxxx, Další zpracovatel či další zpracovatel spolupracující s Dalším zpracovatelem poruší pravidla nakládání s osobními údaji stanovená v této Smlouvě, může se Objednatel domáhat, aby se tohoto jednání zdržel a odstranil závadný stav, resp. aby zajistil, že takto učiní Další zpracovatel či další zpracovatel spolupracující s Dalším zpracovatelem. Dále může požadovat smluvní pokutu ve výši 100 000 Kč za každé jednotlivé porušení bez ohledu na to, zda bylo způsobeno Dodavatelem, Dalším zpracovatelem či dalším zpracovatelem spolupracujícím s Dalším zpracovatelem a Dodavatel se zavazuje mu tuto smluvní pokutu uhradit. Úhradou smluvní pokuty dle tohoto odstavce není dotčeno právo Objednatele na náhradu újmy ve výši přesahující smluvní pokutu.

  3. SKONČENÍ SMLOUVY, RESP. PODKLADOVÉ SMLOUVY

    1. Tato Smlouva skončí:

  1. uplynutím sjednané doby trvání, nebo

  2. na základě dohody Smluvních stran, nebo

  3. ke dni skončení Podkladové smlouvy, nebo

  4. odstoupením od Podkladové smlouvy Objednatelem, jak je blíže specifikováno v čl. VIII. odst. 8.2 a 8.3 této Smlouvy.

    1. Smluvní strany tímto sjednávají nový důvod pro odstoupení od Podkladové smlouvy Objednatelem. V případě, že:

  1. v rámci některého z auditů či inspekcí provedených Objednatelem či jím pověřeným auditorem u Dodavatele ve smyslu čl. V odst. 5.16 této Smlouvy budou zjištěny vážné nedostatky v nakládání s osobními údaji Dodavatelem a Dodavatel tyto nedostatky neodstraní do dvou týdnů, nebude-li s Objednatelem odsouhlasena jiná lhůta; nebo

  2. Objednatel zjistí, že Dodavatel porušil některé z ustanovení čl. V. odst. 5.1, 5.2, 5.4, 5.5, 5.6, 5.10, 5.12, 5.15, 5.16, 5.17, 5.18, 5.20 této Smlouvy; nebo

  3. Objednatel zjistí, že Dodavatel porušil některé z ustanovení čl. V. odst. 5.3, 5.7, 5.8, 5.9, 5.11, 5.13 a 5.14 a na písemnou výzvu Objednatele, ve které mu dal přiměřenou lhůtu k nápravě Dodavatel nápravu nezajistil; nebo

  4. dojde k jakémukoli úniku osobních údajů zpracovávaných Dodavatelem z jakékoli příčiny (např. zcizení dat pracovníkem Dodavatele; hackerský útok na IT infrastrukturu Dodavatele; nevyhovující způsob likvidace dokumentů obsahujících osobní údaje atd.);

je Objednatel oprávněn odstoupit od Podkladové smlouvy. Odstoupení od Podkladové smlouvy je účinné doručením odstoupení Dodavateli, neurčí-li Objednatel v textu odstoupení jinak. Dodavatel je v takovém případě povinen neprodleně předat Objednateli veškeré zpracovávané osobní údaje ve standardním elektronickém formátu a poskytnout mu veškerou součinnost nutnou pro zachování činnosti Objednatele.

    1. Ustanovení článku VIII. odst. 8.2 této Smlouvy platí obdobně v případě, že by k pochybením dle písm. a) až d) došlo u Dalšího zpracovatele či dalšího zpracovatele, se kterým Další zpracovatel spolupracuje.

  1. ZÁVĚREČNÁ USTANOVENÍ

    1. Tato Xxxxxxx nahrazuje veškerá dřívější ujednání mezi Smluvními stranami ohledně ochrany osobních údajů zpracovávaných Dodavatelem v souvislosti s Podkladovou smlouvou.

    2. Tato Xxxxxxx nabývá platnosti a účinnosti dnem jejího podpisu oběma Smluvními stranami.

    3. Tuto Smlouvu lze měnit pouze písemnými dodatky v listinné podobě podepsanými oběma Smluvními stranami.

    4. Tato Xxxxxxx se řídí a musí být vykládána podle platných ustanovení právního řádu České republiky. Případné spory z této Smlouvy budou řešeny smírnou cestou. Nebude-li dohoda Smluvních stran možná, sjednávají Smluvní strany pro takový případ pro řešení sporů místní příslušnost obecného soudu podle sídla Objednatele.

    5. Pokud jakékoliv ustanovení této Smlouvy je nebo se stane neplatným nebo nevymahatelným jako celek nebo jeho část, je plně oddělitelným od ostatních ustanovení této Smlouvy a taková neplatnost nebo nevymahatelnost nebude mít žádný vliv na platnost a vymahatelnost jakýchkoliv ostatních ustanovení této Smlouvy. V takovém případě Smluvní strany nahradí takové neplatné nebo nevymahatelné ustanovení jiným ustanovením, které bude v nejvyšší možné míře odpovídat obsahu původního ustanovení.

    6. Tato Smlouva je vyhotovena v elektronické podobě, s kvalifikovanými nebo zaručenými elektronickými podpisy zástupců smluvních stran založenými na kvalifikovaném certifikátu, nebo v listinné podobě (ve dvou vyhotoveních) s vlastnoručními podpisy oprávněných osob.



Za Západočeskou univerzitu v Plzni

[doplnit obchodní firmu]

V Plzni dne _________

V _________ dne _________



____________________________

doc. Dr. RNDr. Xxxxxxxx Xxxxxxx



____________________________

[doplnit jméno a funkci]

rektor






1 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („Obecné nařízení“).

9


Document Metadata

Filed: October 4th, 2024