SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
("Smlouva")
TATO SMLOUVA byla uzavřena níže uvedeného dne mezi:
(1) Dalphen Investment s.r.o. společností se sídlem Rybná 000/00, Xxxxx Xxxxx, 000 00 Xxxxx 0, XXX: 09213112, vedená u Městského soudu v Praze pod sp.zn. C 332651 ("Správce"); a
(2) DSKO s.r.o., společností se sídlem 1. máje 871/13, Liberec III - Jeřáb, PSČ 460 07, IČO: 08872341, zapsanou v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, spis. zn. C 44795 ("Zpracovatel");
(Správce a Zpracovatel dále též jako "Strany" nebo jednotlivě jako "Strana").
1. PŘEDMĚT SMLOUVY
1.1 Správce a Zpracovatel uzavřeli dne Smlouvu o dodávkách technického řešení a podpory ("Smlouva o službách"). "Služby" znamenají veškeré služby a činnosti, které jsou poskytovány nebo vykonávány na základě Smlouvy o službách.
1.2 Správce tímto pověřuje Zpracovatele zpracováním Osobních údajů, jak jsou definovány níže, jeho jménem a Zpracovatel toto pověření přijímá. Osobní údaje jsou zpracovávány za podmínek stanovených v této Smlouvě a v Smlouvě o službách. V případě rozporů mezi ustanoveními této Smlouvy a Xxxxxxx o službách má přednost tato Smlouva.
2. POVAHA A ÚČEL ZPRACOVÁNÍ
2.1 Osobní údaje jsou zpracovávány Zpracovatelem za účelem poskytování Služeb spočívajících v zajištění technického řešení a podpory webové stránky Správce sloužící k objednávání dluhopisů ("Platforma Správce") dle Smlouvy o službách.
2.2 Zpracovatel je povinen zpracovávat Osobní údaje pouze na základě výslovných pokynů Správce, v souladu s ustanoveními Smlouvy o službách, této Smlouvy, příslušných právních předpisů a dalších zdokumentovaných pokynů mezi Správcem a Zpracovatelem.
3. ROZSAH ZPRACOVÁVANÝCH ÚDAJŮ
3.1 Zpracovatel je povinen na základě této Smlouvy zpracovávat následující typy osobních údajů ("Osobní údaje"):
3.1.1 údaje o uživatelích Platformy Správce v rozsahu: jméno, příjmení, e-mailová adresa, telefonní číslo, adresa, korespondenční adresa, platební údaje, údaje týkající se zakoupených dluhopisů;
3.2 Zpracovatel uchovává Osobní údaje Správce na serverech umístěných v České republice v elektronické formě.
3.3 Pokud Zpracovatel začne zpracovávat dle výslovného pokynu Správce jakýkoli nový osobní údaj, který není specifikovaný v tomto článku, bude takový osobní údaj zpracováván za stejných podmínek stanovených touto Smlouvou.
4. DOBA ZPRACOVÁNÍ
4.1 Zpracovatel je oprávněn zpracovávat Osobní údaje po dobu účinnosti této Smlouvy, nikoli však déle, než po dobu (v každém jednotlivém případě) nezbytně nutnou k dosažení účelu zpracování podle této Smlouvy.
5. ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
5.1 Zpracovatel je povinen přijmout přiměřená opatření nezbytná k ochraně práv a soukromí subjektů údajů. Zpracovatel je zejména povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněnému přenosu nebo k jinému neoprávněnému zpracování nebo zneužití Osobních údajů. Za tímto účelem se Zpracovatel zavazuje přijmout technická a organizační opatření k zabezpečení ochrany Osobních údajů uvedená v Příloze 1 této Smlouvy.
5.2 Zpracovatel je povinen zajistit proškolení svých zaměstnanců a dalších pracovníků zapojených do zpracování Osobních údajů a dávat jim odpovídající a úplné pokyny, jak Osobní údaje zpracovávat, včetně povinnosti zachovávat mlčenlivost o těchto Osobních údajích a o technických a organizačních opatřeních k zabezpečení ochrany Osobních údajů.
5.3 Zaměstnanci Zpracovatele a osoby pracující pro Zpracovatele na základě smlouvy jsou smluvně vázáni zachovávat mlčenlivost o Osobních údajích nebo důvěrných informacích a dodržovat příslušné interní předpisy, standardy nebo požadavky Zpracovatele týkající se zpracování Osobních údajů.
6. POVINNOSTI ZPRACOVATELE
6.1 Zpracovatel poskytne Správci přiměřenou součinnost a spolupráci nezbytnou k plnění účelu této Smlouvy, k ochraně Osobních údajů před jakýmkoliv zneužitím nebo porušením a při dodržování příslušných právních předpisů.
6.2 Zpracovatel je povinen jednat pouze na základě pokynů Správce. Zpracovatel je povinen zpracovávat Osobní údaje pouze v rozsahu, po dobu a pro účely uvedené v této Smlouvě.
6.3 Zpracovatel nesmí poskytnout Osobní údaje ani jejich část jakékoli třetí osobě, a to ani pro nekomerční užití, s výjimkou případů, kdy je povinen Osobní údaje poskytnout na základě platného právního předpisu, nebo se souhlasem Správce podle článku 7 níže.
6.4 Zpracovatel se zavazuje zajistit, že ani on ani jeho dílčí zpracovatel(é) nebude nebudou předávat Osobní údaje mimo země Evropského hospodářského prostoru ledaže by s takovým předáním vyslovil Správce předchozí písemný souhlas a bude zajištěna náležitá ochrana Osobních údajů.
6.5 Zpracovatel je povinen oznámit Správci jakékoli žádosti, stížnosti, oznámení či jakékoli jiné formy komunikace, které obdrží od subjektů údajů v souvislosti se zpracováním Osobních údajů na základě této Smlouvy a je povinen postupovat dle pokynů Správce v reakci na takovou komunikaci. Zpracovatel je dále povinen neprodleně poskytnout Správci přiměřenou součinnost k vyřízení jakékoli komunikace, kterou Správce nebo Zpracovatel obdrží v souvislosti s právy subjektů údajů.
6.6 Zpracovatel je povinen informovat Správce o jakýchkoli obtížích při plnění této Smlouvy, jakož i o jakýchkoli okolnostech týkajících se závažného porušení povinností Zpracovatele při zpracování a ochraně Osobních údajů. V takovém případě jsou Zpracovatel a Správce povinni spolupracovat na odstranění obtíží a/nebo zamezení nebo nápravě takového porušení.
6.7 Zpracovatel je povinen bez zbytečného odkladu, nejpozději však do 72 hodin poté, kdy se o něm dozvěděl, ohlásit Správci porušení zabezpečení ochrany Osobních údajů a poskytnout Správci popis daného případu porušení zabezpečení včetně přibližného rozsahu/množství a typu dat dotčených porušením zabezpečení, identity každé dotčené osoby, popisu možných důsledků porušení zabezpečení, popisu přijatých opatření a plánů nápravných opatření a jakékoli další informace týkající se dotčených osob a porušení zabezpečení, které si může vyžádat Správce, subjekt údajů nebo dozorový úřad.
6.8 Zpracovatel je povinen po ukončení této Smlouvy odevzdat Správci veškeré nosiče obsahující Osobní údaje, je-li to prakticky možné, a vymazat veškeré Osobní údaje ze všech svých systémů či databází včetně všech zálohových kopií nejpozději do třiceti
(30) dnů.
7. ÚČAST JINÝCH OSOB NA ZPRACOVÁNÍ
7.1 Zpracovatel je oprávněn nahradit kteréhokoli dílčího zpracovatele nebo přijmout dalšího dílčího zpracovatele za předpokladu, že Zpracovatel uzavře s nově vybranými dílčími zpracovateli smlouvu o zpracování Osobních údajů za stejných podmínek, jaké jsou stanoveny v této Smlouvě. Zpracovatel v takovém případě informuje Správce o přijetí dalšího dílčího zpracovatele či nahrazení stávajícího. Správce je oprávněn vznést vůči uvedeným změnám námitku, již lze považovat za důvodnou, do deseti (10) dnů od doručení oznámení o změně dílčích zpracovatelů.
7.2 Zpracovatel zůstává odpovědný za zpracování Osobních údajů dílčím zpracovatelem tak, jako by je zpracovával sám. V případě, že dojde k porušení této Smlouvy nebo Xxxxxxx o službách v souvislosti s pokyny udělenými Správcem, Zpracovatel odpovědnost podle předchozí věty nenese.
8. SOUČINNOST ZPRACOVATELE
8.1 Zpracovatel je povinen poskytnout Správci přiměřenou součinnost nezbytnou k usnadnění zpracování Osobních údajů v souladu s touto Smlouvou, Smlouvou o službách a právními předpisy na ochranu osobních údajů vztahujícími se na Správce a to zejména:
8.1.1 poskytnout Správci přiměřenou součinnost při zavádění všech vhodných technických a organizačních opatření, poskytnout přiměřenou součinnost s plněním povinnosti Správce odpovídat na žádosti subjektů údajů vykonávajících svá práva dle příslušných právních předpisů na ochranu soukromí vztahujících se na Správce;
8.1.2 poskytnout Správci přiměřenou součinnost při posuzování a zavádění vhodných technických a organizačních opatření k zajištění odpovídající úrovně zabezpečení v závislosti na možných rizicích dle konkrétního zpracování a povahy Osobních údajů;
8.1.3 poskytnout Správci přiměřenou součinnost při ohlašování porušení zabezpečení Osobních údajů dozorovému úřadu;
8.1.4 poskytnout Správci přiměřenou součinnost při posouzení vlivu nových technologií nebo výrobků na ochranu Osobních údajů; a
8.1.5 poskytnout Správci přiměřenou součinnost při konzultacích s dozorovým úřadem ve vztahu k posouzení vlivu nových technologií nebo výrobků na ochranu Osobních údajů.
8.2 Vyžádá-li si Správce spolupráci nebo součinnost podle tohoto článku, Správce oznámí své požadavky Zpracovateli písemně a zadá mu příslušné pokyny.
8.3 Zpracovatel je oprávněn účtovat Správci náklady a výdaje, které byly účelně vynaloženy na splnění výše uvedených povinností.
9. PRÁVO AUDITU
9.1 Zpracovatel se na základě písemné žádosti Správce zavazuje poskytnout Správci veškeré informace potřebné k doložení souladu s touto Smlouvou či Správci umožnit audit za účelem ověření souladu s touto Smlouvou. Náklady auditu nese Správce, ledaže se prokáže, že došlo ze strany Zpracovatele k porušení této Smlouvy.
10. PROHLÁŠENÍ SPRÁVCE
10.1 Správce tímto prohlašuje, že Osobní údaje zpracovává v souladu se všemi platnými a účinnými právními předpisy na ochranu osobních údajů.
10.2 Správce tímto prohlašuje, že zvážil veškeré profesní, technologické, organizační a osobní dovednosti a kompetence, aby zajistil bezpečnost zpracování Osobních údajů Zpracovatelem.
10.3 Správce prohlašuje, že Zpracovateli poskytne veškerou součinnost nezbytnou pro dosažení účelu této Smlouvy, pro ochranu Osobních údajů před jakýmkoli zneužitím či porušením a pro dodržování platných právních předpisů při zpracování Osobních údajů.
10.4 V případě zahájení řízení před příslušným úřadem na ochranu osobních údajů nebo soudem v souvislosti se zpracováním Osobních údajů na návrh subjektu údajů se Strany zavazují poskytnout si na žádost veškerou nutnou součinnost v těchto řízeních.
11. OMEZENÍ ODPOVĚDNOSTI
11.1 Odpovědnost Zpracovatele vůči Správci za jakékoli porušení této Smlouvy nebo právních předpisů na ochranu osobních údajů bude určena následujícím způsobem.
11.2 Zpracovatel je odpovědný vůči Správci pouze za předpokladu, že
11.2.1 porušil písemné pokyny Správce, které jsou v souladu s právními předpisy na ochranu osobních údajů, v souvislosti se zpracováním Osobních údajů Zpracovatelem jménem Xxxxxxx; nebo
11.2.2 porušil ustanovení právních předpisů na ochranu osobních údajů, které jsou přímo použitelné na Zpracovatele při zpracování Osobních údajů jménem Správce (odstavce 11.2.1 a 11.2.2 společně dále jako „Porušení“).
11.3 Zpracovatel neodpovídá za ušlý zisk ani nepřímé škody. Odpovědnost Zpracovatele je omezena na přímé škody způsobené Správci Porušením takto:
11.3.1 V případě náhrady škody zaplacené Správcem subjektům údajů nese Zpracovatel odpovědnost za tyto škody pouze v rozsahu, v němž byla škoda způsobena přímo Porušením Zpracovatele,
11.3.2 V případě správních pokut uložených Správci a zaplacených Správcem orgánům dohledu odpovídá Zpracovatel za takové správní pokuty Správci pouze v rozsahu, v němž byly tyto správní pokuty způsobeny přímo v důsledku Porušení Zpracovatelem, a
11.3.3 Odpovědnost Zpracovatele vůči Správci podle odstavce 11.3.1 a 11.3.2 je omezena na částku ve výši 10000,-Kč.
11.4 Zpracovatel neodpovídá za žádné škody ani správní pokuty v rozsahu, v jakém jsou tyto škody nebo správní pokuty způsobeny přímo či nepřímo jakýmkoli jednáním či opomenutím Správce.
12. DŮVĚRNOST INFORMACÍ
12.1 Ustanovení této Smlouvy jsou důvěrná a žádná ze Stran je nesmí sdělit ani zpřístupnit jakékoli třetí straně bez předchozího písemného souhlasu druhé Strany. Toto omezení neplatí pro zpřístupnění informací:
12.1.1 vyžadovaných právním předpisem nebo rozhodnutím vydaným příslušným orgánem veřejné moci; Strana, která je k takovému zpřístupnění informací povinna, musí vyvinout maximální úsilí, aby o tom před zpřístupněním informací informovala druhou Stranu; nebo
12.1.2 poskytnutým odborným poradcům kterékoli ze Stran, pokud jsou vázáni povinností mlčenlivosti minimálně ve stejném rozsahu, jaký obsahuje tato Smlouva.
13. TRVÁNÍ SMLOUVY
13.1 Tato Smlouva je uzavřena na dobu účinnosti Smlouvy o službách, nikoliv však na dobu delší, než je nezbytné pro dosažení účelu zpracování.
13.2 Tato Smlouva může být vypovězena pouze z důvodů stanovených ve Smlouvě o službách nebo na základě příslušných právních předpisů.
14. ZÁVĚREČNÁ USTANOVENÍ
14.1 Žádná práva nebo povinnosti z této Smlouvy nemohou být postoupena nebo převedena bez předchozího písemného souhlasu druhé Strany.
14.2 Neúčinnost nebo neplatnost kteréhokoli ustanovení této Smlouvy, ať již celého nebo jen jeho části, nemá vliv na účinnost nebo platnost zbytku této Smlouvy. V případě, že se kterékoli ustanovení této Smlouvy stane z jakéhokoli důvodu neúčinné nebo neplatné, Strany jsou povinny se o tom informovat a dohodnout se na právně přijatelném řešení, kterým by dosáhly cílů obsažených v těchto neúčinných anebo neplatných ustanovení této Smlouvy.
14.3 Tato Smlouva může být platně a účinně změněna pouze formou písemných dodatků podepsanými oběma Stranami.
14.4 Tato Smlouva je vyhotovena ve dvou (2) vyhotoveních, z čehož každé ze Stran připadne jedno (1) vyhotovení této Smlouvy.
14.5 Tato smlouva se řídí a bude vykládána v souladu s právním řádem České republiky a bude podřízena výhradní jurisdikci soudů České republiky.
V Praze dne V Praze dne
DSKO s.r.o.
Xxx. Xxxx Xxxxx
Dalphen Investment s.r.o.
Xxxxxx Xxxxxxx, jednatel
PŘÍLOHA 1
TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ K ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
1. Zákonné povinnosti zpracovatele
1.1 Zpracovatel je povinen:
(a) zabránit neoprávněným osobám přistupovat k Osobním údajům a k prostředkům pro jejich zpracování;
(b) zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících Osobní údaje;
(c) přijmout opatření, která umožní určit a ověřit, komu byly Osobní údaje předány; a
(d) přijmout pokyny stanovující pravidla pro přístup a další zpracování Osobních údajů.
1.2 V oblasti automatizovaného zpracování Osobních údajů je Zpracovatel povinen také:
(e) zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby;
(f) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
(g) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány; a
(h) zabránit neoprávněnému přístupu k datovým nosičům.
2. Konkrétní opatření Zpracovatele k zabezpečení ochrany Osobních údajů
2.1 Fyzický přístup
Zpracovatel dodržuje standardy fyzického zabezpečení navržené za účelem zabránění neoprávněnému fyzickému přístupu k zařízení a vybavení Zpracovatele. To je provedeno následujícími opatřeními:
fyzický přístup na místa je omezen na zaměstnance Zpracovatele, jeho subdodavatele a povolené návštěvy;
2.2 Kontrola přístupu a správa
Zpracovatel dodržuje následující standardy kontroly přístupu a správy příslušného IT prostředí:
účty správce (administrátora) by měly být užívány pouze pro účely výkonu správcovských činností;
každý účet s oprávněními správce musí být spojitelný s jedinečně identifikovatelnou osobou;
veškeré přístupy k počítačům a serverům musí být ověřovány a používány v rámci výkonu pracovní pozice zaměstnance;
hesla musí být jednoznačně přiřaditelná k určité osobě;
délka hesla musí být nastavena nejméně na 8 znaků;
musí být nastaveno automatické odhlášení z počítače a serveru při nečinnosti s nutností znovu zadat heslo k ověření;
2.3 Kontrola virů a záznamy
Počítače a servery obsahují odpovídající aktuální verze softwarů pro monitorování zabezpečení systémů, které zahrnují host firewall, antivirovou ochranu a aktuální rozpoznávání ohrožujících softwarů a virů. Takový software je nastaven na vyhledání a okamžité odstranění nebo nápravu identifikovaných nálezů.
Zpracovatel vede záznamy o různých částech infrastruktury a systému detekce průniku za účelem monitorování, vyhledávání a reportování vzorců zneužití, podezřelých činností, neoprávněných uživatelů a jiných skutečných anebo hrozících bezpečnostních rizik.
2.4 Pracovníci Zpracovatele
Zaměstnanci Zpracovatele a osoby pracující pro Zpracovatele na základě smlouvy jsou vyškoleni ohledně pravidel Zpracovatele týkajících se bezpečnosti a ochrany soukromí a jsou upozorněni na jejich odpovědnost v souvislosti se zásadami ochrany soukromí a bezpečnosti.
Zaměstnanci Zpracovatele a osoby pracující pro Zpracovatele na základě smlouvy jsou smluvně vázáni zachovávat mlčenlivost o Osobních údajích nebo důvěrných informacích a dodržovat příslušné interní předpisy, standardy nebo požadavky Zpracovatele týkající se zpracování Osobních údajů. Nedodržení těchto interních předpisů, standardů nebo požadavků bude předmětem šetření, které může vyústit až v disciplinární řízení včetně ukončení pracovního poměru nebo spolupráce se Zpracovatelem.
Zaměstnanci Zpracovatele a osoby pracující pro Zpracovatele na základě smlouvy mají přístup pouze k těm Osobním údajům, které nezbytně potřebují v souladu s pravidly přístupu obsaženými ve článcích 2.1 a 2.2 výše.