SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
číslo ZOU/18/..
1. SMLUVNÍ STRANY
XXXX, spol. s r.o.
Se sídlem: Praha 6 - Vokovice, Lužná 716/2
Kontaktní adresa: Xxxxxxxxxx xxx. 39/I, 503 51 Chlumec nad Cidlinou IČ: 62587978
Zapsaná: v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 34140 (dále jen jako „Zpracovatel“)
a
Město Mohelnice
Se sídlem: U Brány 916/2, 789 85 Mohelnice IČ: 00303038
(dále jen jako „Správce“)
(„Správce“ a „Zpracovatel“ společně též jako „Smluvní strany“)
2. PREAMBULE
Vzhledem k tomu, že:
(A) Smluvní strany uzavřely smlouvu o dodávce software a dalších služeb ze strany Zpracovatele,(dále jen „Smlouva o službách“);
(B) Při plnění smluvního vztahu založeného Smlouvou o službách předává (příp. zpřístupňuje) Správce Zpracovateli osobní údaje uvedené v čl. 5 (dále jen Osobní údaje);
(C) Smluvní strany jsou si vědomy svých povinností ve vztahu k ochraně osobních údajů shromažďovaných Správcem založených s účinností od 25. května 2018 zejména čl. 28 nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“);
uzavírají tuto Smlouvu o zpracování osobních údajů (dále jen „Smlouva“).
3. PROHLÁŠENÍ
3.1. Správce uzavřením Xxxxxxx potvrzuje, že Osobní údaje, které jsou předmětem zpracování, byly shromážděny v souladu s právními předpisy na ochranu osobních údajů, jsou přesné, jsou aktuálně Správcem zpracovávány v souladu s právními předpisy na ochranu osobních údajů a že Správce plní veškeré povinnosti správce dle právních předpisů na ochranu osobních údajů. Správce prohlašuje, že zpracování Osobních údajů, kterým touto Smlouvou pověřuje Zpracovatele, bylo před podpisem Smlouvy oznámeno Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“), pokud se na příslušné zpracování tato povinnost vztahuje. Zpracovatel není jakkoliv oprávněn ani povinen přezkoumávat legálnost zpracovávaných Osobních údajů, způsob jejich poskytnutí Správci ani splnění jiných povinností Správce ve vztahu k subjektům údajů či ÚOOÚ.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.1. Tato Xxxxxxx se uzavírá na dobu trvání Smlouvy o službách. Dojde-li z jakéhokoliv důvodu k pozbytí platnosti Smlouvy o službách, tvoří tato skutečnost rozvazovací podmínku účinnosti této Smlouvy a tato Smlouva tedy pozbývá automaticky účinnosti i platnosti a zanikají veškerá práva a povinnosti Smluvních stran ze Smlouvy vyplývající, není-li sjednáno Smluvními stranami výslovně v této Smlouvě jinak.
5. POVAHA A ÚČEL ZPRACOVÁNÍ, TYP OSOBNÍCH ÚDAJŮ, KATEGORIE SUBJEKTŮ ÚDAJŮ
5.1. Zpracovatel je v rozsahu této Smlouvy a Smlouvy o službách oprávněn zpracovávat osobní údaje obsažené v datech koncových uživatelů dodaného software či osob evidovaných v softwaru. Jsou to například:
5.1.1. adresní a identifikační údaje (zpravidla v rozsahu jméno, příjmení, datum narození, rodné číslo, trvalé či přechodné bydliště, číslo občanského průkazu či dalších údajů získaných Správcem v souladu s platnou legislativou);
5.1.2. identifikační údaje dokladů totožnosti;
5.1.3. výpisy z rejstříku trestů;
5.1.4. SPZ vozidel;
5.1.5. jméno a příjmení, příp. titul zaměstnance, adresu trvalého bydliště zaměstnance, datum narození zaměstnance, rodné číslo zaměstnance, údaj o pracovní pozici zaměstnance;
5.1.6. telefonní a e-mailový kontakt na zaměstnance;
5.1.7. osobní údaje dětí související s výkonem sociálně-právní ochrany dětí obsahující údaje o zdravotním stavu nezletilých dětí;
5.1.8. údaje o zdravotním stavu některých osob čerpajících sociální dávky či kterým byly přiznány výhody např. pro parkovací průkazy;
5.1.9. údaje o zdravotním stavu související s výkonem povolání zaměstnance (např. posudky o zdravotní způsobilosti, neschopenky, údaje o zdravotním omezení, údaje o invaliditě, údaje o pracovních úrazech);
5.1.10. podpisy zaměstnanců Správce či osob, pro které Správce poskytuje veřejné služby
5.2. Kategorie subjektů údajů:
5.2.1. fyzické osoby evidované v informačním systému Zpracovatele (zejm. obyvatelé území, na kterém vykonává Správce výkon veřejné správy či osoby evidované z jiných zákonných důvodů);
5.2.2. fyzické podnikající osoby (zejm. živnostenská agenda);
5.2.3. nezletilé děti (ve vztahu k sociálně-právní ochraně dětí) a jejich zákonní zástupci;
5.2.4. osoby odpovědné za výchovu dětí;
5.2.5. žadatelé o náhradní rodinnou péči;
5.2.6. osoby v nepříznivé sociální situaci;
5.2.7. osoby, jímž byl Správce ustanoven opatrovníkem;
5.2.8. účastníci přestupkového řízení, svědci, oznamovatelé;
5.2.9. oprávnění voliči, členové volebních komisí, žadatelé o voličský průkaz;
5.2.10. provozovatelé a řidiči taxislužby;
5.2.11. účastníci stavebního řízení, řízení ve věcech životního prostředí;
5.2.12. podavatelé stížností, petic, podnětů;
5.2.13. zaměstnanci, členové zastupitelstva, členové komisí rady a výborů zastupitelstva;
5.2.14. obchodní partneři Správce (zejm. fyzické osoby či podnikající fyzické osoby).
5.3. Osobní údaje specifikované v bodu 5.1. této Smlouvy je Zpracovatel oprávněn zpracovávat následujícími způsoby:
5.3.1. nahlížení na Osobní údaje výlučně v souvislosti s plněním Smlouvy o službách (zejm. zajištění dostupnosti služby, technická podpora, zálohování, v případě požadavku zaslanému na Helpdesk Správcem či jeho zaměstnancem vyžadujícím nahlédnutí na Osobní údaje obsažená v software a učinění potřebného technického zásahu apod.);
5.3.2. přesun (kopírování) Osobních údajů v rámci software (nikoliv mimo něj) pro účely technických zásahů vyžadovaných pro plnou funkčnost software dle Smlouvy
o službách nebo pro programátorské účely korespondující se Smlouvou
o Službách;
5.3.3. kopírování Osobních údajů obsažených v systému do jiného prostředí pro účely realizace sjednané údržby systému dle Smlouvy o Službách;
5.3.4. zálohování software obsahujícího Osobní údaje dle Smlouvy o službách ve formě zálohy umístěné na infrastruktuře Zpracovatele nebo Správce;
5.3.5. operace s Osobními údaji pro statistické účely vyžadované Správcem.
5. 4 Osobní údaje je Zpracovatel povinen zpracovávat výlučně a pouze za účelem technického zajištění možnosti Správce užívat služby dle Smlouvy o službách.
6. POVINNOSTI SPRÁVCE
6.1. Správce je povinen předat Zpracovateli ve smyslu čl. 28 odst. 3 písm. a) GDPR doložené pokyny ke zpracování Osobních údajů. Smluvní strany uzavřením této Smlouvy shodně konstatují, že za tyto pokyny Správce považují:
6.1.1. Povinnosti Zpracovatele sjednané ve Xxxxxxx o službách a v této Smlouvě a/nebo
6.1.2. Povinnosti Zpracovatele vyžadované dodatečně Správcem na základě jiné doložitelné písemné/emailové komunikace týkající se plnění Smlouvy o službách mezi Správcem a Zpracovatelem; dále
6.1.3. pokyn Správce, že Zpracovatel není oprávněn předávat Osobní údaje do jakékoliv třetí země či mezinárodní organizaci.
6.2. Správce se zavazuje dodržovat od nabytí účinnosti GDPR veškeré povinnosti vyžadované GDPR tak, aby případné porušení povinností Správce nemohlo negativně ovlivnit právní pozici Zpracovatele.
7. POVINNOSTI ZPRACOVATELE
7.1. Zpracovatel je při zpracovávání osobních údajů povinen:
7.1.1. zpracovávat osobní údaje výlučně na základě doložených pokynů Správce; pro vyloučení pochybností zpracovávání osobních údajů v souladu s popisem dodaného software dohodnutým v rámci Smlouvy o službách se považuje za prováděné v souladu s instrukcemi Správce;
7.1.2. řídit se instrukcemi Správce v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud jiný způsob zpracování Osobních údajů nevyžaduje právo Evropské unie nebo právo České republiky;
7.1.3. zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
7.1.4. nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce;
7.1.5. při zohlednění povahy zpracování, být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektů údajů;
7.1.6. být Správci nápomocen při zajišťování souladu s povinnostmi Správce zajistit úroveň zabezpečení zpracování, ohlašovat případy porušení zabezpečení osobních údajů ÚOOÚ a případně též subjektům údajů, posuzovat vliv na ochranu osobních údajů a realizovat předchozí konzultace s ÚOOÚ, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;
7.1.7. v souladu s rozhodnutím Správce všechny osobní údaje buď vymazat, nebo vrátit Správci po ukončení poskytování Služby, a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů; a
7.1.8. poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené právními předpisy na ochranu osobních údajů, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispívat;
přičemž činnosti Zpracovatele dle tohoto článku a nad rámec Xxxxxxx o službách budou hrazeny dle ceníku Zpracovatele.
7.2. Zabezpečení osobních údajů
7.2.1. Zpracovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
7.2.2. V případě, že Zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu Správci.
7.3. Zpracovatel je povinen všechny Osobní údaje (včetně existujících kopií – i záložních) vymazat do 30 dnů od ukončení platnosti Smlouvy, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných Osobních údajů. Do uplynutí uvedené 30 ti denní lhůty je Správce oprávněn si Osobní údaje stáhnout (migrovat).
7.4. V případě žádosti Správce je Zpracovatel povinen vést záznamy o všech kategoriích činností zpracování prováděných pro Správce, které budou obsahovat:
7.4.1. jméno a kontaktní údaje Zpracovatele (ostatních zpracovatelů) a každého správce, pro něhož Zpracovatel jedná, a případného zástupce správce nebo Zpracovatele a pověřence pro ochranu osobních údajů;
7.4.2. kategorie zpracování prováděného pro každého ze správců;
7.4.3. informace o případném předání Osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce GDPR doložení vhodných záruk;
7.4.4. obecný popis přijatých technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 GDPR, je-li to možné.
8. ZÁVĚREČNÁ UJEDNÁNÍ
8.1. Tato Smlouva je vyhotovena a podepsána ve 4 (čtyřech) shodných vyhotoveních, z nichž každá ze Smluvních stran obdrží po 2 (dvou) vyhotovení.
8.2. Správce s ohledem na ust. § 41 zákona č. 128/2000 Sb., o obcích, ve znění pozdějších předpisů, uvádí, že uzavření této Smlouvy za podmínek v ní obsažených bylo schváleno následujícím jednáním Správce:
Schválení na jednání Rady města Mohelnice Identifikace dokumentu: usnesení č. /10/RM/2019
Datum: 18.03.2019
8.3. Smluvní strany prohlašují, že si tuto Xxxxxxx před jejím podpisem přečetly, že byla sepsána podle jejich svobodné a vážně míněné vůle, nikoli v tísni a za nápadně nevýhodných podmínek, na důkaz čehož připojují své podpisy.
Zpracovatel V Praze dne | Správce V Mohelnici dne 19.03.2019 |
......................................................................... XXXX, spol. s r. o. Xxx. Xxxx Xxxxxxxx, jednatel | ......................................................................... Město Mohelnice Xxx. Xxxxx Xxxx, starosta |