Ujednání o zpracování osobních údajů
Příloha č. 9 Návrhu smlouvy
Ujednání o zpracování osobních údajů
v rámci jejich předávání při implementaci a podpoře informačního systému FDS
(dále také jen „ujednání“)
Objednatel a zhotovitel se dohodli na tomto ujednání, které splňuje požadavky na smlouvu o zpracování osobních údajů podle ustanovení § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZOOÚ“).
Článek I.
Úvodní ustanovení
1. Objednatel v souladu se smlouvou o poskytnutí, implementaci a podpoře SW řešení „FDS“ – Fraud Detection Systém“ pro systém elektronického bankovnictví ABO-K v České národní bance evidenční číslo: ............ (bude doplněno před podpisem smlouvy s vybraným dodavatelem) ze dne ............. (bude doplněno před podpisem smlouvy s vybraným dodavatelem) (dále také jako „smlouva“) určuje účel a prostředky zpracování osobních údajů subjektu údajů, kterými jsou uživatelé systému ABO-K a zaměstnanci objednatele (společně dále také „subjekty údajů“), kdy objednatel je v postavení správce osobních údajů ve smyslu § 4 písm. j) ZOOÚ.
2. Zhotovitel bude na základě smlouvy zpracovávat osobní údaje subjektů údajů a bude v postavení zpracovatele osobních údajů ve smyslu § 4 písm. k) ZOOÚ .
Článek II
Účel ujednání
Účelem tohoto ujednání je úprava práv a povinností smluvních stran při zpracování a v souvislosti se zpracováním osobních údajů zpracovatelem při plnění povinností ze smlouvy tak, aby zpracování probíhalo v souladu s právními předpisy o ochraně osobních údajů.
Článek III
Předmět ujednání
Toto ujednání upravuje vztahy mezi správcem a zpracovatelem osobních údajů, zejména pak vymezuje rozsah osobních údajů, které bude zpracovatel zpracovávat, prostředky a účel, pro který bude osobní údaje zpracovávat, dobu zpracování osobních údajů a podmínky a záruky zpracovatele osobních údajů z hlediska technického a organizačního zabezpečení ochrany osobních údajů.
Článek IV
Účel a rozsah zpracování osobních údajů
Zpracovatel bude zpracovávat veškeré osobní údaje subjektů údajů pouze v rozsahu nezbytném pro zajištění realizace smlouvy, ve znění pozdějších dodatků. Za osobní údaje jsou podle tohoto ujednání považovány veškeré informace v níže uvedených výčtech (dále také jako „osobní údaje“).
Zpracovatel je oprávněn zpracovávat osobní údaje předané ze strany správce pro účely řádného plnění povinností podle smlouvy, tj. zejména zajištění řádného fungování systému FDS a zajištění technické podpory a rozvoje pro tento systém, spravované zpracovatelem pouze v následujícím rozsahu nezbytném pro výkon práv a povinností podle smlouvy:
Zpracovatel bude osobní údaje zpracovávat především následujícími způsoby ve smyslu § 4 písm. e) ZOOÚ: sběrem od správce, ukládáním osobních údajů, předáváním mezi zpracovatelem a objednatelem, anonymizací osobních údajů a jejich výmazem.
Zpracovatel je ve všech případech při zpracování osobních údajů subjektů údajů vázán prokazatelnými pokyny správce. Zpracovatel nesmí bez předchozího prokazatelného výslovného souhlasu anebo pokynu správce zpracovávané osobní údaje nijak upravit nebo pozměnit, třídit nebo kombinovat, zpřístupnit ani předat třetí osobě, šířit ani zveřejňovat, ani jakýmkoli způsobem použít pro vlastní potřebu.
Článek V
Doba zpracování
Zpracovatel bude osobní údaje zpracovávat po dobu nezbytnou pro účel zajištění realizace smlouvy ve vztahu ke konkrétnímu subjektu údajů.
Po uplynutí doby zpracování podle odstavce 1 tohoto čl. V. bude zpracovatel osobní údaje zpracovávat v souladu s § 5 odst. 2 písm. a) a e) ZOOÚ pouze v nezbytném rozsahu a výhradně za účelem plnění zákonem uložených povinností a ochrany práv a právem chráněných zájmů správce, zpracovatele, příjemce nebo jiné dotčené osoby, a to nejdéle po dobu vyplývající z příslušných zvláštních zákonů.
Článek VI
Práva a povinnosti smluvních stran
Správce pověřuje zpracovatele zpracováním osobních údajů výhradně za účelem zajištění řádného fungování systému FDS a zajištění technické podpory a rozvoje pro tento systém a za účelem splnění povinností stanovených platnými právními předpisy.
Zpracovatel se zavazuje, že osobní údaje nebudou zpracovatelem použity, zpřístupněny, zpracovávány či poskytnuty třetím osobám, nebudou předávány mimo území EU či s nimi nebude nakládáno jinak, než pouze za účelem, pro který byly osobní údaje zpřístupněny a v souladu s pokyny správce.
Zpracovatel je povinen při využití cloudové služby předem informovat správce o tom, ve kterých zemích budou zpracovávané osobní údaje umístěny, a to i v případě jakékoli změny. Zařízení, na nichž budou osobní údaje uchovávány nebo jinak zpracovávány, se budou nacházet výlučně v zemích EU a osobní údaje budou předávány a uchovávány pouze v těchto zemích. Zpracovatel je zároveň povinen zajistit zpracování osobních údajů odděleně od osobních údajů jiných případných klientů.
Zpracovatel je povinen zabezpečit osobní údaje a zachovávat mlčenlivost o osobních údajích a řídit se pokyny správce ve všech případech, kdy se jedná o zpracování či zabezpečení osobních údajů. Zpracovatel přijme technická, organizační a personální opatření adekvátní způsobu zpracování a v souladu s pokyny správce – přičemž toto zabezpečení bude odpovídat příslušným aktuálním používaným bezpečnostním standardům (podrobněji v odst. 5 a násl. tohoto článku VI. ujednání).
Správce stanoví opatření, která považuje za dostatečná pro technické a personální zabezpečení osobních údajů následovně:
Technické zabezpečení osobních údajů se zajistí pomocí prostředků:
počítačové bezpečnosti; zpracovatel se zavazuje ke zpracování používat výhradně takové technické a programové prostředky, jejichž používání při vyloučení nepředvídatelných okolností eliminuje možnost narušení, neoprávněného přístupu k osobním údajům či neoprávněného nakládání s osobními údaji;
(ii) komunikační bezpečnosti; zpracovatel se zavazuje dodržovat taková opatření k zabezpečení ochrany osobních údajů při jejich přenosu telekomunikačními kanály, jejichž povaha eliminuje při vyloučení nepředvídatelných okolností možnost narušení (šifrování);
(iii) fyzické bezpečnosti; v tomto ohledu zpracovatel prohlašuje, že místo, ve kterém budou osobní údaje zpracovávány a ve kterém budou uchovávány spisy a dokumenty, bude mít charakter prostoru zabezpečeného před možností narušení.
Zpracovatel bude plnit povinnosti stanovené v tomto odstavci, písm. a) po bodech (i) až (iii) využíváním prostředků odpovídajících dosaženému stupni technického pokroku a možnostem zpracovatele.
Personální zabezpečení:
osobní údaje budou zpřístupněny pouze určeným osobám z oprávněného personálu zpracovatele a případně oprávněným osobám, které odpovídají za zajištění bezpečnosti systému, kde jsou osobní údaje uloženy, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
zpracovatel je povinen zabezpečit poučení všech osob, které mají v rámci zpracování osobních údajů přístup k těmto údajům, aby tyto osoby byly řádně poučeny o svých povinnostech při zpracovávání osobních údajů, zejména pak o povinnosti mlčenlivosti ve vztahu k těmto osobním údajům.
Dále je zpracovatel povinen zajistit následující:
zpracovatel je povinen zabránit neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování a dále zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s právními předpisy, zejména se ZOOÚ a dalšími předpisy regulujícími ochranu osobních údajů, jakož i provádět nejméně jednou ročně hodnocení efektivnosti přijatých opatření, a to včetně vedení a zpřístupnění následující dokumentace:
seznamu osob, které jsou oprávněny přistupovat k osobním údajům (včetně rozsahu oprávnění);
elektronického přehledu informací o veškerých přístupech jednotlivých osob k osobním údajům;
elektronického přehledu informací o nakládání s osobními údaji (a to včetně kopírování, mazání či předávání v rozsahu povoleném tímto ujednáním).
Zpracovatel bude neprodleně písemně informovat správce v případě jakýchkoliv potíží při plnění povinností z tohoto ujednání a o všech okolnostech týkajících se porušení povinností při zpracování a ochraně osobních údajů, zejména pokud dojde k neoprávněnému přístupu k osobním údajům, či k jejich ztrátě nebo zničení. V takovém případě zpracovatel přijme v nejkratším možném termínu veškerá nezbytná opatření k zajištění ochrany osobních údajů, notifikuje správce o těchto skutečnostech prostřednictvím kontaktní osoby/osob uvedených ve smlouvě a následně postupuje v souladu se ZOOÚ a pokyny správce, budou-li mu sděleny.
Zpracovatel plní informační povinnost vůči subjektům údajů v souladu se ZOOÚ a dle požadavků správce. V případě, že v souvislosti se zpracováním osobních údajů zpracovatelem bude zahájeno řízení ze strany orgánu veřejné správy, zpracovatel poskytne správci v těchto řízeních veškerou potřebnou součinnost.
Zpracovatel je správci na jeho žádost nápomocen při posuzování vlivu zpracovávání osobních údajů na ochranu osobních údajů a při konzultacích správce s dozorovým orgánem, při zohlednění povahy zpracovávání a informací, jež má zpracovatel k dispozici.
Zpracovatel je správci na jeho žádost nápomocen při výkonu práv subjektů osobních údajů, a to zejména při výkonu práva na přístup k osobním údajům, práva na opravu, výmaz a omezení zpracovávání osobních údajů, práva na přenositelnost údajů a práva vznést námitku vůči zpracovávání osobních údajů.
Zpracovatel nezapojí do zpracovávání osobních údajů dalšího zpracovatele bez předchozího písemného povolení správce. V případě, že jakákoliv část zpracovávání osobních údajů bude vykonávaná dalším zpracovatelem po předchozím písemném povolení správce, zůstává zpracovatel plně odpovědný vůči správci za zpracovávání osobních údajů. Správce si vyhrazuje právo uzavřít s dalším potencionálním zpracovatelem zvláštní smlouvu o zpracovávání osobních údajů.
Správce je oprávněn kontrolovat dodržování pravidel stanovených pro zpracování ZOOÚ či tímto ujednáním u zpracovatele, resp. na jiném místě, kde dochází ke zpracování údajů. Zpracovatel za tímto účelem zajistí zástupcům správce, kteří budou k provedení kontroly pověřeni, přístup ke všem relevantním informacím a na příslušná místa tak, aby mohlo dojít k hodnocení oprávněnosti zpracování. Zpracovatel poskytne správci na jeho vyžádání veškeré podklady o přijatých a provedených technicko-organizačních opatřeních k zajištění ochrany osobních údajů.
Po ukončení poskytování služeb dle smlouvy zpracovatel vrátí veškeré osobní údaje správci, s výjimkou těch údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.
Článek VII
Odpovědnost za škodu a smluvní pokuty
Tento článek upravuje odpovědnost za škodu a smluvní pokuty pro případ porušení tohoto ujednání. Znění tohoto článku VII. se nevztahuje na smluvní pokuty a úrok z prodlení podle smlouvy, který zůstává zachován.
Zpracovatel se zavazuje odškodnit správce za jakékoliv nároky, a to zejména zadostiučinění, peněžité náhrady nebo pokuty, úspěšně uplatněné v soudním popř. správním řízení třetími osobami, a to zejména subjekty údajů nebo Úřadem na ochranu osobních údajů, které vznikly v příčinné souvislosti s porušením povinností stanovených ZOOÚ nebo tímto ujednáním ze strany zpracovatele.
Pokud dojde k prokazatelnému porušení ZOOÚ pouze v důsledku jednání té smluvní strany, které je uložena pokuta podle § 45 ZOOÚ, hradí náklady na uhrazení pokuty plně ta strana, která ZOOÚ porušila a jíž současně byla uložena pokuta.
V případě, že zpracovatel správci neumožní kontrolu ohlášenou v souladu s čl. VI. odst. 12 tohoto ujednání, anebo během ní správci neposkytne pro předmět kontroly potřebnou součinnost, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1.000,- Kč za každý započatý pracovní den takto trvajícího prodlení na straně zpracovatele.
Zpracovatel je povinen odstranit kontrolou zjištěné nedostatky neprodleně, nejpozději ve lhůtě 5 dnů, nedohodnou-li se smluvní strany jinak. V případě, že zpracovatel neodstraní kontrolou zjištěné nedostatky ve lhůtě stanovené dle předchozí věty, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1.000,- Kč za každý započatý den prodlení na straně zpracovatele.
V případě, že zpracovatel poruší kteroukoli z povinností sjednaných v čl. VI. (vyjma čl. VI. odst. 12) tohoto ujednání, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5.000,- Kč za každý jednotlivý případ takového porušení.
Ujednáním o smluvní pokutě podle tohoto článku VII. není dotčeno právo správce na náhradu škody vzniklé z porušení povinnosti v plné výši.
Zpracovatel prohlašuje, že má platně uzavřeno pojištění v souladu s čl. VIII. odst. 6 smlouvy, a to i pro případ škody vzniklé porušením jeho povinností z tohoto ujednání a takové pojištění po dobu trvání závazků z tohoto ujednání se zavazuje udržovat.
Článek VIII
Trvání závazků
Povinnost zpracování osobních údajů se sjednává pouze na dobu existence závazkového vztahu vzniklého ze smlouvy, nejpozději do dne likvidace posledního zpracovávaného osobního údaje zpracovatelem ve smyslu povinnosti zlikvidovat osobní údaje podle ZOOÚ.
V případě ukončení smlouvy předá zpracovatel veškeré osobní údaje správci na dohodnutém datovém nosiči a následně neprodleně zlikviduje veškeré záznamy (s výjimkou upravenou v čl. V. odst. 2 tohoto ujednání) v jím spravovaných datových úložištích a datových nosičích včetně provozně-bezpečnostních záloh zpracovatele i datových záloh uložených u případného poddodavatele
Článek IX
Další ujednání
Zpracovatel se zavazuje plnit veškeré povinnosti vyplývající z obecného nařízení o ochraně osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES), a to ode dne jeho účinnosti (25. května 2018).
Smluvní strany se zavazují vstoupit v jednání o doplnění tohoto ujednání, jehož potřeba případně vzejde z účinnosti obecného nařízení podle odst. I tohoto čl. IX., a poskytnout si veškerou potřebnou součinnost ke sjednání dodatku smlouvy, pokud bude pro potřeby plnění požadavků tohoto obecného nařízení potřebný.
Za písemnou formu se pro účely tohoto ujednání nepovažuje e-mailová či jiná elektronická forma. Výjimkou je situace, v níž zpracovatel informuje správce ve smyslu čl. VI. odst. 7 tohoto ujednání (potíže při plnění povinností z tohoto ujednání a okolnosti týkající se porušení povinností při zpracování a ochraně osobních údajů) a oznámení kontroly ve smyslu čl. VI. odst. 12 ujednání, které lze provést i elektronickým oznámením prokazatelně doručeným druhé smluvní straně. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e-mailovou adresu uvedenou pro tento účel zpracovatelem. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e-mailovou adresu zpracovatele uvedenou ve smlouvě.
6