Příloha č. 9
Příloha č. 9
Smlouva o zpracování osobních údajů (závazný vzor smlouvy)
Smlouva o zpracování osobních údajů
uzavřená v souladu s článkem 28 odst. 3 Obecného nařízení (jak je definováno dále), a to níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami (dále jen jako „Smlouva“):
1. Technická správa komunikací hl. m. Prahy, a.s.
IČO: 034 47 286
se sídlem Řásnovka 000/0, Xxxxx Xxxxx, 000 00 Xxxxx 0
zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze v oddíle B, vložce 20059
zastoupená [•]
(dále jen jako „Správce“) a
2. Jméno/název: [•]
IČO: [•]
se sídlem [•] zapsaná v [•] zastoupená [•]
(dále jen jako „Zpracovatel“)
(Správce a Zpracovatel dále společně jen jako „Smluvní strany“)
Preambule
Vzhledem k tomu, že:
(a) Správce a Zpracovatel spolu uzavřeli dne [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY] Smlouvu o dodání a implementaci ERP a o poskytování souvisejících služeb (dále také jako „Hlavní smlouva“) a
(b) Zpracovatel se v Hlavní smlouvě zavázal, že poskytne Správci dostatečné záruky zavedení vhodných technologických a organizačních opatření, aby zpracování osobních údajů zajišťovalo požadavky zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění a obecného nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále také jako „Obecné nařízení“),
proto se Smluvní strany dohodly na následujícím:
Článek 1.
Úvodní ustanovení
1.1. Není-li v této Smlouvě stanoveno jinak, mají pojmy zde užité stejný význam, jaký je jim přikládán v Hlavní Xxxxxxx.
1.2. Tato Xxxxxxx se uzavírá za účelem zpracování a zajištění ochrany osobních údajů zpracovávaných Zpracovatelem v rámci poskytování plnění spočívajícího v Implementaci ERP a poskytování Služeb na základě Hlavní smlouvy (dále souhrnně také jako „Služba“).
Článek 2.
Pověření a rozsah zpracovávaných údajů
2.1. Pověření Zpracovatele. Správce tímto pověřuje Zpracovatele ve smyslu čl. 28 Obecného nařízení zpracováním osobních údajů v rozsahu a za podmínek stanovených níže v této Smlouvě, k nimž získá Zpracovatel přístup při poskytování Služby a Zpracovatel tento svůj závazek přijímá a zavazuje se jej řádně plnit. Zpracovatel je povinen zpracovávat osobní údaje v souladu se Smlouvou, právními předpisy, zejména se zákonem o ochraně osobních údajů a s Obecným nařízením.
2.2. Předmět zpracování. Zpracovatel prohlašuje a zavazuje se zpracovávat v rámci svého pověření pro Správce pouze takové osobní údaje, které souvisí s předmětem Hlavní smlouvy. Jde o tyto údaje (dále také jako „Osobní údaje“):
/přesně vymezit typ a kategorie osobních údajů/
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
2.3. Povaha a účel zpracování. Zpracovatel prohlašuje a zavazuje se zpracovávat osobní údaje subjektů údajů výlučně pro účely vymezené dále v této Smlouvě. Účelem zpracování osobních údajů v rámci komplexního zajištění Zpracovatelem poskytovaných služeb je konkrétně:
/přesně vymezit účel zpracování/
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
2.4. Kategorie subjektu údajů. Předmětem zpracování jsou osobní údaje těchto subjektů údajů:
/přesně vymezit kategorii subjektu údajů/
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
2.5. Pokyny Správce. Zpracovatel prohlašuje a zavazuje se, že bude zpracovávat osobní údaje pouze na základě Správcem doložených pokynů. To platí obdobně pro statutární orgán a zaměstnance Zpracovatele, kteří mají při výkonu své pracovní činnosti ke zpracovávaným osobním údajům přístup. Pokyny se Správce zavazuje poskytovat Zpracovateli elektronicky na e-mailovou adresu/písemně na adresu sídla Zpracovatele.
Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynu, který mu Správce ke zpracování osobních údajů předal; to neplatí, nemohl-li Zpracovatel nevhodnost zjistit ani při vynaložení potřebné péče. Trvá-li Správce na nevhodném pokynu i po Zpracovatelovu upozornění, může Zpracovatel od této Smlouvy jednostranně odstoupit.
2.6. Místo zpracování. Osobní údaje je možné zpracovávat pouze na pracovištích Zpracovatele nebo jeho subdodavatelů schválených písemně Správcem, a to na území Evropské unie.
2.7. Informování o provádění kontroly dohledovým orgánem. Zpracovatel je povinen Správci neprodleně oznámit provedení kontroly ze strany ÚOOÚ a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty („Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost neprodleně oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení, popř. Správci poskytnout plnou moc k nahlížení do spisu týkajícího se Správního řízení. Zpracovatel je povinen plnit povinnosti kontrolovaného dle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), v platném znění, a zavazuje se poskytnout Správci kopii zprávy o odstranění nebo prevenci nedostatků zjištěných kontrolou, pokud je tato zpráva na vyžádání kontrolujícího vypracována.
Článek 3.
Subdodavatelé Zpracovatele
3.1. Zpracovatel bere na vědomí, že dílčí subdodavatelé mohou být pověřeni zpracováním osobních údajů pouze na základě předchozího písemného souhlasu Správce.
3.2. Správce tímto uděluje Zpracovateli předchozí písemný souhlas s následujícími subdodavateli, podílejícími se na zpracování osobních údajů:
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
▪ [BUDE DOPLNĚNO PŘED UZAVŘENÍM SMLOUVY]
3.3. Správce tímto uděluje Zpracovateli obecné povolení zapojit do zpracování osobních údajů dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, Zpracovatel je však povinen předem písemně informovat Správce o všech zamýšlených změnách týkajících se
přijetí dalších zpracovatelů nebo jejich nahrazení. Správce je oprávněn do 7 dnů od doručení písemné informace o zapojení dalšího zpracovatele vyslovit vůči těmto změnám v písemné formě námitky. Zpracovatel je povinen do 7 dnů od doručení písemných námitek Správce tyto námitky posoudit a písemně sdělit Správci, zda námitkám vyhověl či nikoliv. Nebude-li Správce se zapojením konkrétního dalšího zpracovatele souhlasit, je tímto rozhodnutím Správce Zpracovatel vázán a takového dílčího zpracovatele nesmí do zpracování zapojit.
3.4. Zpracovatel je povinen uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v této Smlouvě, uzavřené mezi Správcem a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky zákona o ochraně osobních údajů a Obecného nařízení.
3.5. Zpracovatel bere na vědomí, že neplní-li dílčí subdodavatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dalšího zpracovatele i nadále plně Zpracovatel.
Článek 4.
Technická a organizační zabezpečení ochrany osobních údajů
4.1. Zpracovatel se zavazuje, že technicky a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a aby byly personálně a organizačně nepřetržitě po dobu zpracování údajů zabezpečeny veškeré povinnosti Zpracovatele osobních údajů vyplývající z právních předpisů, včetně evropských právních předpisů a ISO norem, pokud ta na zpracování osobních údajů dopadají.
4.2. Zpracovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Zpracovatele v rámci jeho systému řízení bezpečnosti informací.
4.3. Zpracovatel se zavazuje, že zpracování osobních údajů bude zabezpečeno zejména následujícími způsoby:
(i) k osobním údajům budou mít přístup pouze oprávněné osoby Zpracovatele, které budou mít Zpracovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem;
(ii) oprávněné osoby Zpracovatele, které zpracovávají osobní údaje podle této Smlouvy, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Zpracovatel zajistí jejich prokazatelné zavázání k této povinnosti. Zpracovatel zajistí, že tato povinnost pro Zpracovatele i oprávněné osoby bude trvat i po skončení jejich pracovněprávního nebo jiného vztahu ke Zpracovateli. V případě porušení této povinnosti se Zpracovatel zavazuje nahradit Správci veškerou způsobenou škodu;
(iii) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;
(iv) bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech, tj. do těchto místností s databázemi Osobních údajů budou mít přístup pouze Zpracovatelem autorizované osoby a prostory budou uzamykatelné;
(v) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel, a bude Osobní údaje pravidelně zálohovat;
(vi) písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;
(vii) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů;
(viii) Osobní údaje, jejichž zpracováním byl Správcem pověřen či které získal v souvislosti se zpracováním Osobních údajů dle této Smlouvy, uchovávat a shromažďovat odděleně od jiných osobních údajů, které zpracovává pro vlastní potřebu jako správce a/nebo jako zpracovatel na základě pověření jiným správcem;
(ix) zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
(x) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
(xi) zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a
(xii) při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem bezpečnou fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.
(xiii) Zpracovatel se zavazuje, že na požádání Správci poskytne veškeré potřebné informace o zpracování Osobních údajů a především doloží, že byla realizována technická a organizační opatření;
4.4. Doložená technická a organizační opatření budou základem zpracování Osobních údajů. Pokud bude na základě ověření či auditu provedeného Správcem zjištěno, že technická a organizační opatření zachovávaná Zpracovatelem nejsou v souladu s touto Smlouvou a/nebo Obecným nařízením dostatečná pro zajištění požadované úrovně zabezpečení odpovídající možnému riziku s ohledem na povahu zpracování Osobních údajů, tj. nastavení technických a organizačních opatření neposkytuje řádnou ochranu a zabezpečení před neoprávněným přístupem, zneužitím, zcizením nebo zničením Osobních údajů, je Zpracovatel povinen neprodleně, nejpozději však do 10 pracovních dní od sdělení výstupů ověření či auditu provedeného Správcem, napravit zjištěné nedostatky a jejich nápravu doložit Správci. Nebude-li z objektivních důvodů možné napravit nedostatky ve lhůtě upravené v předešlé větě, je Zpracovatel povinen tuto skutečnost Správci oznámit, doložit a dohodnout se Správcem objektivně nejbližší možný termín pro jejich odstranění.
4.5. Technická a organizační opatření podléhají technickému pokroku a vývoji a Zpracovatel může zavést jiná vhodná opatření, pokud nebude zavedením takových opatření snížena úroveň bezpečnosti, která je pro zpracování Osobních údajů dostatečná. Veškeré podstatné změny původně zavedených technických a organizačních opatření musí Zpracovatel doložit.
Článek 5.
Hlášení bezpečnostních incidentů
5.1 Jakmile Zpracovatel zjistí, že došlo k porušení zabezpečení osobních údajů, je povinen ohlásit toto porušení bez zbytečného odkladu Správci, nejpozději však do 24 hodin po tomto zjištění, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
5.2 Pokud není ohlášení Správci učiněno nejpozději do 24 hodin, musí Zpracovatel současně s ním uvést důvody tohoto zpoždění.
5.3 Ohlášení musí obsahovat zejména:
(i) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
(ii) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
(iii) popis opatření, které Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Článek 6.
Ukončení zpracování
6.1. Tato Smlouva je uzavřena na dobu účinnosti Hlavní smlouvy. Ukončení Hlavní smlouvy z jakéhokoliv důvodu má za následek automatické ukončení této Smlouvy ke dni, ke kterému skončí Hlavní smlouva, nebude-li Smluvními stranami písemně ujednáno jinak.
6.2. Tuto Smlouvu lze ukončit i písemnou dohodou Smluvních stran.
6.3. Správce je oprávněn od této Smlouvy jednostranně odstoupit v případě závažného porušení jakékoliv povinnosti Zpracovatele vyplývající z této Smlouvy anebo ze zákona o ochraně osobních údajů nebo z Obecného nařízení. Za závažné porušení této Smlouvy je považováno zejména porušení povinností Zpracovatele uvedených v článku 3, 4, 5 a 7 této Smlouvy.
6.4. Osobní údaje budou Zpracovatelem zpracovávány a uchovávány po dobu trvání Hlavní smlouvy.
6.5. Po ukončení Hlavní smlouvy, je Zpracovatel povinen uchovávané osobní údaje předat zpět Správci, a to nejpozději do 7 kalendářních dnů ode dne ukončení účinnosti Hlavní smlouvy na vhodném datovém nosiči anebo elektronicky ke stažení, nevylučuje-li to povaha zpracování osobních údajů.
6.6. Po předání osobních údajů zpět Správci se Zpracovatel zavazuje bezodkladně, nejpozději však do 1 kalendářního měsíce po ukončení účinnosti Hlavní smlouvy uchovávané Správci nepředané osobní údaje zlikvidovat, např. vymazat z elektronických úložišť či skartovat listiny, ledaže je Zpracovatel oprávněn uchovávat osobní údaje i po ukončení účinnosti Xxxxxxx na základě právního titulu specifikovaného v článku 6 Obecného nařízení.
Článek 7. Mlčenlivost
7.1. Zpracovatel prohlašuje a zavazuje se, že bude považovat veškerá data vkládaná do Služby za důvěrná, zavazuje se o nich zachovávat mlčenlivost, tj. nesdělí je nikomu, kromě svých zaměstnanců a dílčích subdodavatelů, a to pouze v rozsahu nezbytném pro poskytování služeb. Tato povinnost mlčenlivosti přetrvává i po ukončení účinnosti této Smlouvy.
Článek 8.
Sankce za porušení Smlouvy
8.1. V případě nedodržení jakékoliv povinnosti Zpracovatele vyplývající z této Smlouvy, zejména zapojení dalšího zpracovatele do zpracování přes nesouhlas Správce dle článku 3 této Smlouvy, technicky a organizačně zabezpečit ochranu zpracovávaných údajů dle článku 4 této Smlouvy, povinnosti mlčenlivosti dle článku 7 této Smlouvy, povinnosti spočívající ve zlikvidování osobních údajů ve stanovené maximální lhůtě dle článku 6 této Smlouvy, má Správce právo uplatnit vůči Zpracovateli smluvní pokutu ve výši 100.000,- Kč (slovy: sto tisíc korun českých) za každý případ porušení některé z povinností podle této Smlouvy.
8.2. Smluvní pokuta je splatná ve lhůtě sedmi (7) kalendářních dnů od doručení písemné výzvy oprávněné Smluvní strany Smluvní straně povinné ze smluvní pokuty.
8.3. Zaplacení smluvní pokuty dle předchozích odstavců tohoto článku nemá vliv na nárok oprávněné Smluvní strany domáhat se náhrady škody v plné výši způsobené porušením povinnosti, které je zajištěno touto smluvní pokutou a ani na povinnost Smluvní strany povinné ze smluvní pokuty splnit závazek zajištěný smluvní pokutou.
8.4. Právo Smluvní strany na smluvní pokutu a na náhradu škody přetrvává i po zrušení této Smlouvy.
Článek 9.
Ostatní ujednání
9.1. Smluvní strany se zavazují, že bude-li to zapotřebí, poskytnou si bez zbytečného odkladu veškerou součinnost při styku a jednání s Úřadem pro ochranu osobních údajů jako dozorovým úřadem a se subjekty údajů, kterých se zpracování osobních údajů týká, zejména při výkonu jejich práv na přístup ke svým údajům, na jejich opravu či výmaz. Zpracovatel je dále povinen poskytnout Správci veškeré informace a součinnost potřebné k doložení toho, že Zpracovatel
řádně plní povinnosti stanovené touto Smlouvou a/nebo Obecným nařízením. Zpracovatel zejména umožní provedení auditů vč. inspekcí.
9.2. Zpracovatel bere na vědomí, že pokud zpracovává osobní údaje subjektů údajů bez doloženého pokynu Správce ve větším rozsahu, jinými prostředky anebo k jiným účelům, než které jsou uvedeny v článku 2, odst. 2.3 této Smlouvy (tj. pro vlastní účely), platí, že osobní údaje nezpracovává pro účely stanovené Správcem a Správce za takové zpracování nenese žádnou odpovědnost. Ve vztahu k těmto osobním údajům je pak Zpracovatel ve smyslu zákona o ochraně osobních údajů a Obecného nařízení v postavení správce osobních údajů.
Článek 10.
Závěrečná ustanovení
10.1. Tato Smlouva nabývá platnosti a účinnosti dnem podpisu oběma Smluvními stranami.
10.2. Tato Smlouva může být doplňována anebo měněna pouze písemnými dodatky, které jsou jako takové označeny, číslovány a podepsány oběma Smluvními stranami.
10.3. V případě, že některé ustanovení této Smlouvy je nebo se stane neplatným či neúčinným, nemá tato skutečnost vliv na ostatní ustanovení této Smlouvy, a Smluvní strany se zavazují nahradit takové neplatné či neúčinné ustanovení této Smlouvy ustanovením jiným, platným a účinným, které svým smyslem nejlépe odpovídá účelu této Smlouvy, a to do 30 (třiceti) kalendářních dnů od okamžiku, kdy byla o neplatnosti či neúčinnosti takového ujednání prokazatelně informována poslední Smluvní strana.
10.4. Žádná ze Smluvních stran nesmí bez předchozího písemného souhlasu druhé Smluvní strany postoupit Smlouvu, jednotlivý závazek ze Smlouvy ani pohledávky vzniklé v souvislosti s touto Smlouvou na jiné osoby.
10.5. Tato Smlouva je vyhotovena ve dvou stejnopisech, z nichž každý má platnost originálu. Každá ze Smluvních stran obdrží jedno vyhotovení této Smlouvy.
10.6. Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že nebyla uzavřena v tísni či za nápadně nevýhodných podmínek, a na důkaz svého souhlasu s jeho obsahem připojují své podpisy.
V Praze, dne [•] | V [•], dne [•] |
Technická správa komunikací hl. m. Prahy, a.s. [•] (Správce) | [•] (Zpracovatel) |