Smlouva o zpracování osobních údajů (dále jen „Smlouva“)

Smlouva o zpracování osobních údajů

(dále jen „Smlouva“)

uzavřená mezi níže uvedenými smluvními stranami:

Místní skupina Polského kulturně-osvětového svazu v Bystřici z.s.

pobočný spolek spolku hlavního Polský kulturně-osvětový svaz v České republice z.s., IČ: 004 42 771, sídlem: Střelniční 209/28, 737 01 Český Těšín, zapsaného ve spolkovém rejstříku vedeném Krajským soudem v Ostravě v oddíle L, vložka 22

sídlem: č.p. 961, 739 95 Bystřice

identifikační číslo: 48772283

zastoupený: Mgr. Xxxxxxx Xxxxxxxx, předsedkyní

Jako správce na straně jedné (dále jen „Správce“), a

[●]

sídlem: [●]

identifikační číslo: [●]

jako zpracovatel na straně druhé (dále jen „Zpracovatel“);

Správce a Zpracovatel jsou dále také označováni společně jako „smluvní strany“ nebo „strany“, či jednotlivě jako „smluvní strana“ nebo „strana“.

VZHLEDEM K TOMU, ŽE

1. Správce coby klient a Zpracovatel coby poskytovatel či dodavatel uzavřeli smlouvu, na základě které se Zpracovatel zavázal Správci dodat mu určené zboží či mu poskytnout službu definovanou v samostatné smlouvě a Správce se za to zavázal Zpracovateli uhradit smluvenou odměnu.

2. Na základě uvedené smluvní spolupráce Zpracovatel může zpracovávat osobní údaje členů, zaměstnanců, dodavatelů, odběratelů, zákazníků či klientů Správce;

SE SMLUVNÍ STRANY NÍŽE UVEDENÉHO DNE, MĚSÍCE A ROKU DOHODLY NA NÁSLEDUJÍCÍM ÚPLNÉM ZNĚNÍ SMLOUVY:

I.
Definice

„Osobní údaje“	Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „Dotčená osoba“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
„Správce“	Osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
„Zpracování“	Jakákoliv operace nebo soubor operací s Osobními údaji nebo soubory Osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
„Zpracovatel“	Xxxxx, která zpracovává osobní údaje pro správce.

II.
Předmět Smlouvy

1. Správce / Zpracovatel. Smluvní strany se dohodly, že ve vztahu k Osobním údajům je spolek Polský kulturně-osvětový svaz v České republice z.s. správcem osobních údajů a [●] zpracovatelem osobních údajů pro správce.

2. Předmět Smlouvy. Předmětem této Smlouvy je závazek Zpracovatele zpracovávat pro Správce osobní údaje uvedené v čl. III. této Smlouvy, k nimž získá Zpracovatel přístup na základě poskytování služeb či dodávek zboží dle uzavřené smlouvy o poskytování služeb či dodání zboží, a dále závazek Zpracovatele zachovávat mlčenlivost o těchto poskytnutých informacích, a to v rozsahu a za podmínek stanovených touto Smlouvou.

III.
Zpracování osobních údajů

1. Předmět zpracování. Zpracovatel je oprávněn získávat a zpracovávat Osobní údaje jako Zpracovatel Správce v rámci plnění smlouvy sjednané dříve se Správcem k poskytování služeb či dodávce zboží anebo v souvislosti s tímto předmětem, a to v rozsahu a pro účely, které jsou uvedeny níže a ve smyslu Pokynů (jak jsou definovány níže).

2. Doba zpracování. Zpracovatel bude zpracovávat Osobní údaje po dobu trvání smlouvy sjednané dříve se Správcem k poskytování služeb či dodávce zboží, pokud nebude smluvními stranami písemně dohodnuto jinak anebo pokud povinnost dalšího zpracování Osobních údajů pro Správce nevyplývá z platných právních předpisů, přičemž v tom případě bude Zpracovatel zpracovávat Osobní údaje jen v rozsahu a v souladu s platnými právními předpisy.

3. Povaha a účel zpracování. Zpracovatel je v rámci plnění smlouvy sjednané dříve se Správcem k poskytování služeb či dodávce zboží oprávněn získávat a zpracovávat Osobní údaje pro účely řádného plnění smlouvy o poskytování služeb nebo dodávce zboží anebo účely vyplývající z dalších Pokynů (jak jsou definovány níže), přičemž při zpracování může využívat přiměřené prostředky zpracování splňující příslušné technické a bezpečnostní standardy pro oblast zpracování Osobních údajů.

4. Typy Osobních údajů. Zpracovatel může v rámci plnění smlouvy sjednané dříve se Správcem k poskytování služeb či dodávce zboží zpracovávat všechny typy Osobních údajů, jejichž zpracování je potřebné ve vztahu k výše uvedeným účelům, pro které jsou zpracovávané. Zpracovatel není oprávněn zpracovávat Osobní údaje, které nesouvisí s plněním smlouvy o poskytování služeb či dodávce zboží.

5. Kategorie Dotčených osob. Zpracovatel zpracovává Osobní údaje zaměstnanců Správce a/nebo dodavatelů Správce a/nebo odběratelů Správce a/nebo zákazníků Správce a/nebo klientů Správce (dále jen „Dotčené osoby“).

6. Ke zpracování Osobních údajů Zpracovatelem dochází výhradně v rámci České republiky. Jakékoliv předání do jiného členského státu Evropské unie nebo třetí země podléhá předchozímu písemně udělenému souhlasu Správce.

IV.
Technická a organizační opatření, bezpečnost zpracování

1. Zpracovatel je povinen na vlastní náklady přijmout a dodržovat technická a organizační opatření vztahující se na zpracování Osobních údajů, které zpracovává v rámci zajišťování předmětu smlouvy o poskytování služeb nebo dodání zboží anebo jinak v souvislosti s touto smlouvou tak, aby:

1. zabezpečil soulad zpracování Osobních údajů s předpisy o ochraně osobních údajů a ochranu práv Dotčených osob;

2. zabezpečil úroveň bezpečnosti Osobních údajů odpovídající rizikům, které jejich zpracování představuje, hlavně rizikům náhodného anebo nezákonného zničení, ztráty, změny anebo neoprávněného poskytnutí anebo přístupu k přenášeným, uloženým anebo jinak zpracovaným Osobním údajům;

3. pokud je to možné, pomáhal Správci při plnění jeho povinnosti reagovat na žádosti Dotčených osob týkajících se Osobních údajů.

Zpracovatel prohlašuje a zaručuje, že má dostatečné odborné vědomosti, zkušenosti a zdroje na zabezpečení bezpečnosti Osobních údajů a ochrany práv Dotčených osob v souladu s požadavkem předpisů o ochraně osobních údajů a této Smlouvy, a že jím uplatňovaná technická a organizační opatření splňují požadavky vyplývající z předpisů o ochraně Osobních údajů a této Smlouvy.

2. Zpracovatel je ve vztahu ke zpracovávaným Osobním údajům povinen:

1. dodržovat požadavky týkající se bezpečnosti zpracování vyplývající z předpisů o ochraně osobních údajů a z této Smlouvy, jakož i všech interních směrnic Správce;

2. přijmout opatření, aby zabezpečil, že osoby konající na základě jeho pokynů, které mají přístup k Osobním údajům, budou zpracovávat Osobní údaje na základě pokynů (s výjimkou plnění povinností vyplývajících z platných právních předpisů, o kterých se Zpracovatel zavazuje informovat Správce hned, jak to bude možné).

3. Zpracovatel je povinen zabezpečit, aby se osoby, které mají přístup k Osobním údajům anebo jsou jinak pověřené jejich zpracováním (dále jen „Pověřené osoby“), zpracovávající Osobní údaje, písemně zavázaly chránit důvěrnost Osobních údajů. Zpracovatel se zavazuje přijmout všechna potřebná opatření na to, aby zabezpečil spolehlivost Pověřených osob, které zpracovávají Osobní údaje, a aby tyto osoby absolvovaly dostatečnou přípravu na řádné plnění povinností vyplývajících z této Smlouvy a předpisů o ochraně osobních údajů.

4. Zpracovatel je povinen poskytnout Správci veškerou jím požadovanou součinnost (s přihlédnutím k charakteru zpracování ze strany Zpracovatele a k informacím, které má Zpracovatel k dispozici) k tomu, aby Správce mohl plnit povinnosti, které mu vyplývají z předpisů o ochraně osobních údajů.

5. Zpracovatel je povinen uchovávat úplné, přesné a aktuální písemné záznamy o všech kategoriích zpracovatelských činností vykonávaných jménem Správce, přičemž tyto záznamy budou obsahovat informace, které může Správce odůvodněně požadovat, včetně:

1. jména/názvu a kontaktních údajů Zpracovatele a zástupce anebo odpovědné osoby Zpracovatele;

2. kategorií zpracovatelských operací vykonávaných jménem Správce;

3. přesných informací, kde dochází ke zpracování Osobních údajů;

4. obecného popisu technických a organizačních bezpečnostních opatření.

V.
Pokyny

1. V rozsahu, v jakém Zpracovatel zpracovává Osobní údaje pro Správce,

1. je povinen zpracovávat Osobní údaje jen na základě a v souladu se zdokumentovanými pokyny Správce (a jejich změnami), pokyny vyplývajícími ze smlouvy o poskytování služeb nebo dodání zboží a/nebo jinými zdokumentovanými pokyny udělenými Zpracovateli Správcem písemnou formou, včetně elektronické komunikace (dále jen „Pokyny“);

2. nesmí zpracovávat Osobní údaje jinak než na základě Pokynů, s výjimkou plnění povinností vyplývajících z platných právních předpisů, o kterých se Zpracovatel zavazuje informovat Správce před začátkem zpracování Osobních údajů (kromě případů, kdy je poskytnutí takové informace ve smyslu právních předpisů vyloučené ze závažných důvodů veřejného zájmu);

3. je povinný Správce písemně informovat, pokud se domnívá, že Xxxxx porušuje předpisy o ochraně osobních údajů a poskytnout mu k tomu odůvodnění.

2. Zpracovatel je povinen bezúplatně a bez práva na náhradu jakýchkoli nákladů ze strany Správce:

1. oznámit, zaznamenat a následně poskytnout Správci úplné informace o všech:

1. žádostech Dotčených osob; a

2. Stížnostech anebo jiných požadavcích souvisejících s povinnostmi smluvní strany vyplývajícími z předpisů o ochraně osobních údajů anebo týkajících se Osobních údajů anebo Dotčených osob;

2. neodpovídat na stížnosti anebo žádosti Dotčených osob bez předcházejícího písemného souhlasu Správce a poskytnout Správci na jeho žádost potřebnou součinnost a informace anebo vykonávat jiné kroky v souvislosti se stížnostmi anebo žádostmi Dotčených osob.

3. Zpracovatel není oprávněn k plnění předmětu smlouvy o poskytování služeb nebo dodání zboží využít Subdodavatele, resp. není oprávněn Subdodavateli zpřístupnit Osobní údaje tak, aby docházelo k jejich zpracování Subdodavatelem.

4. Zpracovatel odpovídá Správci za škodu, která Správci vznikne v důsledku jakéhokoliv porušení povinností Zpracovatele dle předchozího odst. 3, a to zejména v případech, kdy dojde ke zpracovávání Osobních údajů Subdodavatelem.

VI.
Zabezpečování souladu, poskytování informací a výkon auditu

1. Na žádost Správce Zpracovatel bezodkladně poskytne i) kopie záznamů ve smyslu čl. IV. odst. 5 této Smlouvy, ii) jakékoliv další informace, které může Správce od Zpracovatele rozumně požadovat za účelem prokázání, že ze strany Zpracovatele dochází k řádnému plnění povinností vyplývajících z předpisů na ochranu osobních údajů a z této Smlouvy, které zároveň Správce může poskytnout Dozorčímu orgánu.

2. Zpracovatel je pro účely prokázání, že Zpracovatel plní povinnosti vyplývající z předpisů o ochraně osobních údajů a z této Smlouvy, povinen bezúplatně a bez nároku na náhradu nákladů ze strany Správce umožnit výkon auditu (včetně auditu formou kontrol na místě) ze strany Správce anebo jím pověřeného auditora a poskytnout s tím související součinnost, s tím, že:

1. Správce je povinen informovat Zpracovatele o tomto auditu a/nebo kontrole s dostatečným předstihem;

2. v případě, že takovýto audit nebo kontrola odhalí podstatné porušení závazků Zpracovatele vyplývajících z předpisů o ochraně osobních údajů anebo porušení jeho povinností týkajících se ochrany Osobních údajů dle této Smlouvy, uhradí Zpracovatel Správci přiměřené náklady vynaložené v souvislosti s výkonem takového auditu nebo kontroly.

3. Zpracovatel je povinen bezodkladně a na vlastní náklady odstranit všechny nedostatky související se zpracováním Osobních údajů a jejich bezpečnosti, které i) u něj Správce zjistil, a ii) mu byly ze strany Správce oznámeny, iii) ze kterých vyplývá porušení nebo hrozba porušení povinností Zpracovatele při zpracovávání Osobních údajů.

4. V případě, že Zpracovatel poruší povinnosti vyplývající mu z této Smlouvy, je Správce oprávněn pozastavit poskytování Osobních údajů Zpracovateli anebo jejich další zpracování ze strany Zpracovatele, a to až do okamžiku, kdy Zpracovatel zabezpečí odstranění dalších nedostatků.

VII.
Oznámení o porušení ochrany Osobních údajů

1. Ve vztahu k jakémukoliv porušení ochrany osobních údajů (ať již skutečnému nebo domnělému) ve vztahu k Osobním údajům souvisejícímu se zajišťováním předmětu smlouvy o poskytování služeb či dodání zboží je Zpracovatel povinen:

1. Porušení ochrany Osobních údajů Správci ihned oznámit (nejpozději však do 12 hodin od zjištění porušení);

2. Správci bezodkladně poskytnout (vždy, když to bude možné, nejpozději do 24 hodin od zjištění porušení) informace, které může Správce odůvodněně požadovat, týkající se zejména:

1. povahy porušení ochrany Osobních údajů, včetně kategorií a přibližného počtu Dotčených osob a záznamů Osobních údajů, kterých se porušení týká;

2. jakéhokoliv prošetřování porušení ochrany Osobních údajů;

3. možných následků porušení ochrany Osobních údajů;

4. všech přijatých a/nebo Zpracovatelem doporučovaných opatření ve vztahu k porušení ochrany Osobních údajů, včetně opatření na zmírnění možných nepříznivých důsledků a na předcházení opakovaným a/nebo obdobným porušením ochrany Osobních údajů;

3. poskytnout Správci přiměřenou spolupráci a součinnost ve vztahu k přijetí nápravných opatření potřebných v souvislosti s porušením ochrany Osobních údajů;

4. bezúplatně a na vlastní náklady odstranit všechny příčiny a/nebo okolnosti, které na jeho straně vedly k porušení ochrany Osobních údajů a přijmout přiměřená opatření na zmírnění možných nepříznivých důsledků a na předcházení opakovaným a/nebo obdobným porušením ochrany Osobních údajů.

VIII.
Výmaz anebo vrácení Osobních údajů a jejich kopií

1. Na žádost Správce nebo při ukončení zpracování Osobních údajů, avšak nejpozději na konci smluvního vztahu se Správcem, na základě něhož Zpracovatel poskytuje Správci služby či zboží, je Zpracovatel povinen vrátit Správci, nebo třetí osobě jmenované Správcem, všechny dokumenty, které má Zpracovatel k dispozici, paměťová média, která mu byla poskytnuta, veškeré zpracované a použité výsledky a veškeré archivované údaje spojené s poskytováním služeb či zboží nebo vytvořené v důsledku zpracování Osobních údajů. Tato povinnost zahrnuje také kopie a/nebo reprodukce paměťových médií a/nebo archivovaných údajů. Zpracovatel nemá nárok na jejich zadržení. Takové vrácení musí být bezplatné a nepodléhá žádným námitkám; veškeré náklady nebo jakékoli jiné výdaje spojené s vrácením nese Zpracovatel.

IX.
Odpovědnost a náhrada škody

1. Zpracovatel se zavazuje nahradit Správci jakoukoliv škodu či újmu, která je způsobená nebo vznikne Správci v důsledku nebo v souvislosti s:

1. jakýmkoliv porušením povinnosti ze strany Zpracovatele vyplývající z této Smlouvy anebo z předpisů o ochraně osobních údajů;

2. zpracováváním Osobních údajů Zpracovatelem nad rámec a/nebo v rozporu s Pokyny Správce ohledně zpracování Osobních údajů, které byly udělené v souladu s předpisy o ochraně osobních údajů.

2. Smluvní strany potvrzují a souhlasí, že úmyslem smluvních stran je uplatnění smluvní úpravy v předcházejícím odstavci tohoto článku této Smlouvy jako přednostní úpravy následků odpovědnosti za porušení předpisů o ochraně osobních údajů (a její rozdělení) mezi Správcem a Zpracovatelem, včetně odpovědnosti za náhradu škody Dotčeným osobám, bez ohledu na jakékoliv ustanovení předpisů o ochraně osobních údajů, s nimiž by mohla být takováto smluvní úprava v rozporu.

X.
Mlčenlivost

1. Smluvní strany se zavazují nesdělit ani jinak nezpřístupnit třetím osobám, včetně smluvních partnerů smluvních stran, jakékoli informace, které mají charakter Důvěrných informací (jak jsou definovány níže), k nimž smluvní strany získaly či získají přístup v souvislosti s touto Smlouvou nebo smlouvou sjednané dříve se Správcem k poskytování služeb či dodávce zboží.

2. Důvěrnými informacemi se pro účely této Smlouvy rozumí zejména obsah této Smlouvy, a dále obchodní, organizační, finanční, majetkové, marketingové a další související údaje týkající se smluvních stran, jejich obchodních partnerů či s nimi personálně či majetkově propojených osob, které nejsou veřejně dostupné, a to bez ohledu na to, zda jejich zveřejnění je způsobilé, subjekt, jehož se informace týkají, poškodit, jakož i Osobní údaje Dotčených osob (dále jen „Důvěrná informace“).

3. Povinnost mlčenlivosti dle této Smlouvy se nevztahuje na zpřístupnění Důvěrných informací:

1. zaměstnancům kterékoli ze smluvních stran, a osobám činným ve prospěch některé ze smluvních stran (např. advokátům, auditorům, znalcům nebo jiným osobám, jejichž činnost je nezbytná pro plnění závazků některé smluvní strany podle této Smlouvy apod.), pokud je znalost takové Důvěrné informace nezbytná pro plnění úkolů takové osoby v rámci realizace této Smlouvy nebo smlouvy sjednané dříve se Správcem k poskytování služeb či dodávce zboží za podmínky, že příslušnou smluvní stranou je prokazatelně zajištěno ve vztahu k Důvěrným informacím plnění povinnosti mlčenlivost výše uvedenými osobami alespoň v rozsahu ustanovení, která obsahuje tento článek této Smlouvy;

2. pokud dotčená smluvní strana ke zpřístupnění Důvěrné informace dala předem písemný souhlas; nebo

3. v případě zákonem uložené informační povinnosti. Příslušná smluvní strana je v takovém případě povinna označit poskytnuté informace jako důvěrné a bez zbytečného odkladu vyrozumět o jejich poskytnutí smluvní stranu.

4. Správce nijak neodpovídá za správnost, platnost, pravost nebo úplnost Důvěrných informací. Správce nepřebírá žádný závazek nebo odpovědnost v souvislosti s Důvěrnými informacemi.

5. Smluvní strany se zavazují nezneužít ke svému prospěchu či k prospěchu třetí osoby jakoukoli Důvěrnou informaci.

XI.
Trvání Smlouvy

1. Tato Xxxxxxx je platná a účinná ode dne jejího podpisu oběma smluvními stranami. Tato Xxxxxxx se uzavírá na dobu neurčitou.

2. Smluvní strany prohlašují, že tato Smlouva a Smlouva sjednané dříve se Správcem k poskytování služeb či dodávce zboží jsou smlouvami na sobě vzájemně závislými. Tato Smlouva se ruší tehdy, zanikne-li Smlouva sjednané dříve se Správcem k poskytování služeb či dodávce zboží.

3. Porušuje-li Zpracovatel zákonná ustanovení o ochraně údajů a/nebo povinnosti podle této Smlouvy, je Správce oprávněn jej vyzvat k nápravě a k tomuto mu poskytne přiměřenou lhůtu, ne kratší než 7 (slovy: sedm) pracovních dnů. Nesjedná-li Zpracovatel v této lhůtě odpovídající nápravu, je Správce oprávněn tuto Smlouvu a smlouvu sjednané dříve se Správcem k poskytování služeb či dodávce zboží vypovědět, a to s okamžitou účinností.

XII.
Závěrečná ustanovení

1. Jakékoliv změny této Smlouvy či její zánik dohodou vyžadují písemný souhlas obou smluvních stran, a budou provedeny formou písemného dodatku k této Smlouvě.

2. Smluvní vztahy, které nejsou touto Smlouvou výslovně upraveny, se řídí příslušnými právními předpisy platnými v České republice.

2. Stane-li se některé ustanovení této Smlouvy neplatné či neúčinné, nedotýká se to ostatních ustanovení této Smlouvy, která zůstávají platná a účinná. Smluvní strany se v tomto případě zavazují dohodou nahradit ustanovení neplatné/neúčinné novým ustanovením platným/účinným, které nejlépe odpovídá původně zamýšlenému účelu ustanovení neplatného/neúčinného. Do této doby platí odpovídající úprava obecně závazných právních předpisů České republiky.

2. Smlouva je vyhotovena ve dvou stejnopisech, z nichž každá ze smluvních stran obdrží po jednom vyhotovení.

2. Smluvní strany prohlašují, že jsou plně způsobilé k právním jednáním a k uzavření této smlouvy. Zároveň smluvní strany prohlašují, že tuto smlouvu přečetly a s jejím obsahem souhlasí, a že byla sepsána podle jejich pravé, vážné a svobodné vůle, což stvrzují níže připojenými podpisy.

V [●] dne [●]

_____________________________________

Místní skupina Polského kulturně-osvětového svazu v Bystřici z.s.

Xxx. Xxxxxx Xxxxxxxx, předsedkyně

_____________________________________

[●]