Smlouva o zpracování osobních údajů

Příloha č. 6 Zadávací dokumentace

Smlouva o zpracování osobních údajů

I.
Smluvní strany

  1. Doplnit název organizace

se sídlem: doplnit

zastoupen/a: doplnit


IČO: doplnit

DIČ: doplnit

e-mailová adresa: doplnit

xxxxxx xxxxxxxx: doplnit

(dále jen „správce“)

a

  1. Doplnit název

se sídlem: doplnit

zastoupen/a: doplnit


IČO: doplnit

DIČ: doplnit

e-mailová adresa: doplnit

xxxxxx xxxxxxxx: doplnit

Zapsána v obchodním rejstříku vedeném …………… soudem v …………, oddíl …, vložka …

(dále jen „zpracovatel“)

II.
Základní ustanovení

  1. Tato smlouva je uzavřena dle ust. § 1746 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“), a v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), [dále jen „Nařízení]; práva a povinnosti touto smlouvou neupravená se řídí příslušnými ustanoveními občanského zákoníku.

  2. Smluvní strany prohlašují, že údaje uvedené v čl. I jsou v souladu se skutečností v době uzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bez prodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stran včetně změny účtu není nutné uzavírat ke smlouvě dodatek.

  3. Smluvní strany uzavřely dne XX. XX. XXXX smlouvu o/nadoplnit název či popis smlouvy… (dále jen „původní smlouva“), na základě které zpracovatel poskytuje/dodává pro správce… popis plnění smlouvy – použít z původní smlouvy.

  4. Smluvní strany prohlašují, že v souvislosti s plněním s původní smlouvou dochází ke zpracování osobních údajů (dále jen „zpracování“). Smluvní strany se proto dohodly, že vzájemný vztah založený původní smlouvou z hlediska ochrany osobních údajů upraví touto smlouvou dle podmínek Nařízení. Ostatní ustanovení původní smlouvy touto smlouvou neupravená zůstávají v platnosti.

III.
Předmět a účel zpracování osobních údajů

  1. Předmětem zpracování v rámci plnění původní smlouvy je:

  1. doplnit stručný popis konkrétní operace, která je s osobními údaji prováděna, tj. příjem, uchování, předávání, třídění, úprava, zálohování, likvidace

Osobní údaje jsou/nejsou zpracovatelem zpracovávány na prostředcích výpočetní techniky.

  1. Účelem zpracování je zajištění:

  1. Doplnit stručný popis za jakým účelem dochází ke zpracování osobních údajů, např. zajištění servisu pro informační systém; zkvalitnění poskytované služby; poskytování zaměstnaneckých benefitů apod.

  1. Smluvní strany berou na vědomí, že zpracovatel bude zpracovávat následující kategorie osobních údajů:

  1. osobní údaje uživatele v tomto rozsahu: doplní se dle potřeby: např. jméno, příjmení, datum narození, rodné číslo, adresa, e-mailová adresa, telefonní číslo, číslo účtu atd.,

  2. osobní údaje včetně zvláštní kategorie osobních údajů v tomto rozsahu: zde se doplní konkrétní osobní údaje zvláštní kategorie (dříve citlivé osobní údaje), např. údaje o zdravotním stavu, údaje o politických názorech, údaje o členství v odborech, biometrické údaje atp.

  1. Dotčenými osobami, jejichž osobní údaje budou zpracovávány zpracovatelem, jsou:

  1. Doplnit popis osob (subjektů údajů), kterých se zpracování týká, např. klienti, žáci, zaměstnanci, atp.

případně jejich zákonní zástupci.

  1. Zpracovatel pro plnění původní smlouvy využívá dalšího subzpracovatele, kterým je:

  1. doplnit název, se sídlem: doplnit, IČO: doplnit

Zpracovatel prohlašuje, že ochrana osobních údajů je zajištěna i pro zpracování osobních údajů s výše uvedeným subzpracovatelem v rozsahu dle následujícího článku této smlouvy.

  1. Zpracovatel není oprávněn bez předchozího písemného souhlasu správce zapojit do zpracování osobních údajů žádného dalšího zpracovatele. Zpracovatel je povinen zajistit, aby jakýkoli další zpracovatel, zapojený se souhlasem správce do zpracování, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto smlouvou, zejména co se týče povinnosti mlčenlivosti nebo zavedení technických a organizačních opatření.

IV.
Zpracování na pokyn správce

  1. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě doložených pokynů správce. Pokyny správce jsou uvedeny v této smlouvě a dále mohou být uděleny ad hoc způsobem uvedeným v odst. 3 tohoto článku.

  2. Zpracovatel je povinen zpracovávat osobní údaje v rozsahu a za podmínek této smlouvy.

  3. Vedle zpracování osobních údajů dle této smlouvy může zpracovatel zpracovávat osobní údaje na základě samostatného ad hoc pokynu správce v písemné formě, též elektronicky prostřednictvím e-mailu se zaručeným elektronickým podpisem nebo prostřednictvím datové schránky. Zpracovatel není oprávněn provádět zpracování na základě pokynů udělených mu jinou formou, než jaká je sjednána v tomto odstavci (zejména ústně, telefonicky nebo prostřednictvím „prostého“ e-mailu). Zpracovatel je povinen případné ad hoc pokyny doložit, za tím účelem je povinen je archivovat.

  4. Pro účely tohoto článku smlouvy správce stanovil osoby nebo kategorie osob oprávněných udělit zpracovateli ad hoc pokyn ke zpracování osobních údajů (dále jen „oprávněná osoba“), jejichž seznam je uveden v odst. 5 tohoto článku smlouvy. V případě, že pokyn udělí jiná osoba, je zpracovatel povinen zamítnout provedení zpracování osobních údajů a neprodleně tuto skutečnost oznámit kterékoliv oprávněné osobě a sdělit jí rovněž veškeré údaje, které obdržel od neoprávněného (zejména jeho identifikační údaje a jím požadované operace zpracování).

  5. Seznam oprávněných osob:

  1. statutární orgán správce;

  2. pracovníci, pověření statutárním orgánem správce dle písm. a) tohoto článku smlouvy (lze doplnit dle potřeby o konkrétní pracovní pozice; nikdy však neuvádějte konkrétní jména osoba zastávající onu konkrétní pozici.

  1. Bez doloženého pokynu správce je zpracovatel oprávněn provádět zpracování pouze tehdy, pokud mu toto zpracování ukládá ve smyslu čl. 28 odst. 3 písm. a) Nařízení právo EU nebo členského státu EU, které se na správce vztahuje; v takovém případě zpracovatel informuje správce o tomto právním požadavku před zpracováním, ledaže by právní předpisy toto informování zakazovaly z důvodu veřejného zájmu.

  2. Pokud zpracovatel usoudí, že určitý pokyn správce porušuje Nařízení nebo jiné právní předpisy týkající se ochrany osobních údajů, je povinen o tom neprodleně informovat správce.

V.
Doba trvání zpracování

  1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení plnění původní smlouvy, ledaže z konkrétních okolností vyplyne, že povinnosti vyplývající z této smlouvy mají trvat i po ukončení plnění původní smlouvy.

  2. Zpracovatel je povinen na základě rozhodnutí správce po ukončení plnění původní smlouvy, provést výmaz nebo vrácení všech osobních údajů správci, a dále provést výmaz veškerých existujících kopií, pokud právní předpisy nepožadují uložení příslušných osobních údajů.

VI.
Místo zpracování, předávání osobních údajů do třetích zemí

  1. Místem zpracování je sídlo zpracovatele. Zpracovatel není oprávněn v souvislosti se zpracováním prováděném pro správce předávat osobní údaje do zemí mimo Českou republiku, do třetích zemí nebo mezinárodní organizaci, ani provádět zpracování na prostředcích výpočetní techniky umístěných mimo Českou republiku.

  2. Případné zpracování mimo Českou republiku je možné pouze s předchozím písemným souhlasem správce a současně pouze tehdy, že jsou splněny podmínky pro předání osobních údajů do třetí země stanovené v čl. 44 a násl. Nařízení; ustanovení čl. IV odst. 3 této smlouvy se pro účely tohoto článku užije přiměřeně. V případě zpracování v rámci členských států EU je zpracovatel povinen takové zpracování oznámit správci bez zbytečného odkladu a není potřeba jeho předchozího písemného souhlasu.

VII.
Povinnost mlčenlivosti

  1. Zpracovatel je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s plněním původní smlouvy, zejména mlčenlivost ohledně osobních údajů, které mu byly na základě plnění původní smlouvy a této smlouvy zpřístupněny. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání původní smlouvy.

  2. Zpracovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny pracovníky, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti a se skutečností, že tato povinnost mlčenlivosti je časově neomezená. Zpracovatel je povinen na žádost správce doložit, že příslušné osoby byly s povinností mlčenlivosti seznámeny.

VIII.
Technická a organizační opatření na ochranu osobních údajů

  1. Zpracovatel je povinen přijmout v souladu s čl. 32 Nařízení vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování dle původní smlouvy i k rizikům pro práva a svobody fyzických osob.

  2. Zpracovatel je dále povinen přijmout vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů, zejména (níže je uveden příkladný výčet opatření, v konkrétním případě se upraví dle potřeby):

  1. neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup);

  2. nepoužije žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu správce,

  3. zajistí veškeré úložiště, zařízení nebo služby používané ke zpracování osobních údajů heslem;

  4. zajistí jednoznačnou identifikaci přístupu každého uživatele, které v Systému vykonal,

  5. na veškerých zařízeních používaných ke zpracování osobních údajů dle této smlouvy zavede elektronické prostředky ochrany ve formě antivirového a anti‑malware software;

  6. stanoví vnitřní pravidla ochrany osobních údajů v souladu s Nařízením, své zaměstnance s těmito pravidly seznámí a zajistí kontrolu jejich dodržování.

  1. Zpracovatel umožní správci nebo jím pověřeným osobám kontrolu dodržování jeho povinností dle této smlouvy.

IX.
Součinnost zpracovatele, povinnost být nápomocen

  1. Zpracovatel je povinen poskytnout správci veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů zpracovatelem je v souladu s Nařízením a zpracovatel i správce naplňují základní zásady a principy uvedené v Nařízení. Zpracovatel je povinen umožnit audity, včetně inspekcí, prováděné správcem nebo jiným auditorem pověřeným správcem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.

  2. Zpracovatel je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen správci v případech porušení zabezpečení osobních údajů k tomu, aby mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby správce mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit je subjektům údajů. Při výkonu této povinnosti je zpracovatel povinen reagovat bez zbytečného odkladu na pokyny a požadavky správce.

  3. Zjistí-li zpracovatel jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnost neprodleně, nejpozději však do 48 hodin, informovat správce, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které zpracovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.

  4. Zpracovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj.

  5. V případě ukončení zpracování osobních údajů je zpracovatel povinen postupovat v souladu s pokyny správce. Nestanoví-li správce ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení zpracování osobních údajů je zpracovatel povinen tyto vymazat ze všech datových úložišť, vytvořit o této skutečnosti záznam a poskytnout tento záznam správci. Záznamy o výmazu je možné vytvářet souhrnně za určité období a mohou být správci poskytovány periodicky.

X.
Závěrečná ustanovení

  1. Tato smlouva nabývá platnosti a účinnosti dnem, kdy vyjádření souhlasu s obsahem návrhu smlouvy dojde druhé smluvní straně.

  2. Doplňování nebo změnu této smlouvy lze provádět jen se souhlasem obou smluvních stran, a to pouze formou písemných, vzestupně číslovaných dodatků.

  3. Tato smlouva je vyhotovena ve třech stejnopisech s platností originálu, přičemž správce obdrží tři a zpracovatel jeden.

V……………dne:


V …………… dne:




za správce


za zpracovatele


1


Document Metadata

Filed: October 4th, 2024