SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen „Nařízení”) a § 4 a násl. zákona č. 110/2019 Sb., o zpracování osobních údajů.
(dále jen „smlouva“)
mezi
VOP CZ, s.p.
IČO: 00000493
DIČ: CZ00000493
se sídlem Xxxxxxxx 00, 000 00 Xxxxxxxxx
zastoupena BUDE DOPLNĚNO PŘI PODPISU SMLOUVY
(dále jen „správce“)
a
(*)
IČO: (*)
DIČ: (*)
se sídlem (*)
zastoupena (*)
zapsaná v (*) rejstříku vedeném (*) soudem v (*) pod sp. zn. (*)
(dále jen „zpracovatel“)
(společně jako „smluvní strany“)
I.Úvodní ustanovení
Smluvní strany uzavřely dne ______________ Xxxxxxx o dílo a smlouvu o poskytnutí licence a souvisejících služeb (dále jen „smlouva o dílo“), na jejímž základě se zpracovatel zavázal poskytovat správci služby specifikované v Příloze č. 1 smlouvy o dílo – Funkční a technická specifikace, a také služby a činnosti blíže specifikované ve smlouvě o dílo (dále v textu jen „služby”).
Řádné poskytování služeb vyžaduje mimo jiné i zpracování osobních údajů zaměstnanců (uživatelů podnikového informačního systému) správce (dále jen „osobní údaje“), které bude pro správce provádět zpracovatel.
II.Předmět smlouvy
Předmětem této smlouvy je úprava vzájemných práv a povinností smluvních stran při zpracování osobních údajů, které zpracovatel získá v souvislosti s poskytováním svých služeb.
III.Vymezení zpracování
Účelem zpracování osobních údajů je realizace podnikového informačního systému, personálního systému a plánovacího systému (dále jen „systém“) správce.
Osobní údaje uživatelů systému správce budou zpracovávány v rozsahu:
jméno, příjmení a titul,
rodné číslo,
datum narození,
číslo pojištěnce a údaje o zdravotní pojišťovně,
poštovní adresa,
e-mailová adresa,
telefonní číslo.
Předmětem zpracování osobních údajů na základě této smlouvy jsou též osobní údaje zvláštní kategorie ve smyslu Nařízení.
Zpracováním osobních údajů ve smyslu této smlouvy se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků (specializovaného softwaru systému) v rozsahu nezbytném pro zajištění řádného poskytování služeb.
Osobní údaje budou zpracovány po dobu poskytování služeb s tím, že ukončením smlouvy o dílo bez dalšího zaniká i tato smlouva. Po uplynutí doby zpracování není zpracovatel dále oprávněn Osobní údaje zpracovávat a je povinen je předat Správci a veškeré jejich kopie zničit nejpozději do 14 dnů od uplynutí doby zpracování, s výjimkou případů, kdy má zpracovatel zákonnou povinnost určité osobní údaje zpracovávat.
Smluvní strany se dohodly, že zpracování osobních údajů na základě této smlouvy bude bezplatné, přičemž zpracovatel nemá nárok na náhradu nákladů spojených s plněním této smlouvy. Tím není dotčen nárok zpracovatele na odměnu za poskytování služeb.
IV.Práva a povinnosti Zpracovatele
Zpracovatel je povinen zpracovávat osobní údaje podle doložených pokynů správce, v souladu s touto smlouvou a s právními předpisy upravujícími ochranu osobních údajů, zejména Nařízením. Zpracovatel je povinen správce neprodleně upozornit, pokud by jeho pokyny porušovaly Nařízení či jiné právní předpisy týkající se ochrany osobních údajů.
Zpracovatel je povinen zpracovávat osobní údaje výhradně ve svých provozovnách na území EU. Osobní údaje nesmějí být bez předchozího písemného souhlasu správce předány do třetích zemí.
Správce tímto uděluje zpracovateli obecné povolení zapojit do zpracování další zpracovatele osobních údajů. Zpracovatel je povinen sdělit správci ke dni uzavření této smlouvy seznam všech dalších zpracovatelů, které do zpracování zapojí. Správce je dále povinen správce předem písemně informovat o všech zamýšlených změnách v osobách dalších zpracovatelů a poskytnout správci možnost vyslovit vůči těmto změnám námitky. Zpracovatel zajistí a odpovídá za to, že všichni jeho subdodavatelé budou zpracovávat osobní údaje v souladu s touto smlouvou a zajistí vhodná technická a organizační opatření k tomu, aby zpracování splňovalo požadavky Nařízení a aby byla dostatečně zajištěna ochrana práv subjektů osobních údajů.
Zpracovatel je povinen zajistit, aby všechny fyzické osoby, které ke zpracování využívá, byly vázány povinností mlčenlivosti, ať už smluvní či zákonnou, ve vztahu k osobním údajům a ke zpracování. Splnění této povinnosti je zpracovatel povinen na vyžádání správce prokázat.
Zpracovatel je srozuměn s tím, že správce je podle právních předpisů upravujících ochranu osobních údajů povinen plnit povinnosti vůči subjektům osobních údajů a Úřadu pro ochranu osobních údajů. Zpracovatel se zavazuje poskytnout správci veškerou součinnost potřebnou ke splnění jeho povinností vůči subjektům osobních údajů a Úřadu pro ochranu osobních údajů, tedy zejména jeho povinností uvedených v čl. 32 až 36 Nařízení.
Zpracovatel je povinen vést záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
jméno/obchodní firmu a kontaktní údaje zpracovatele a správce, a jejich případné zástupce a/nebo pověřence pro ochranu osobních údajů;
kategorie zpracování prováděného pro správce;
informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace a případného doložení vhodných záruk;
obecný popis technických a organizačních bezpečnostních opatření.
V.Zabezpečení Osobních údajů
Zpracovatel je povinen přijmout vhodná technická a organizační opatření přiměřená okolnostem zpracování, která zabrání ztrátě, zničení či pozměnění osobních údajů a neoprávněnému či nahodilému přístupu k nim nebo jejich neoprávněnému či nahodilému zpřístupnění na straně zpracovatele.
Zpracovatel je povinen přijmout zejména, nikoliv však výlučně, tato opatření:
omezení přístupu,
přístupové logy,
odůvodnění přístupu do systému ze strany zpracovatele při dotazu správce systému na základě rozboru přístupových logů.
Na žádost správce je zpracovatel povinen vhodným způsobem doložit správci opatření přijatá k zabezpečení osobních údajů.
Zpracovatel prohlašuje, že při své činnosti postupuje v souladu s technickými standardy ISO 27001 o zajištění bezpečnosti informací. Tyto standardy budou uplatněny i na zabezpečení osobních údajů.
V případě narušení zabezpečení osobních údajů jakýmkoliv ze způsobů popsaných v odst. 1 tohoto článku je zpracovatel povinen bezodkladně, nejpozději do dvou pracovních dnů, informovat správce a přijmout opatření nezbytná k zamezení či minimalizaci škod. O takto přijatých opatřeních je zpracovatel taktéž povinen bezodkladně informovat správce.
VI.Sankce a odškodnění
Zpracovatel odpovídá za zabezpečení osobních údajů. V případě, že dojde k narušení zabezpečení (čl. V odst. 1 této smlouvy) na straně zpracovatele, nahradí zpracovatel správci škodu tímto způsobenou.
Pro případ, že zpracovatel nesplní řádně a včas své povinnosti při uplynutí doby zpracování (čl. III odst. 6 této smlouvy) se zpracovatel zavazuje zaplatit správci smluvní pokutu ve výši 100.000, - Kč.
Pro případ, že zpracovatel nesplní řádně a včas svou povinnost informovat správce o narušení zabezpečení osobních údajů podle čl. V odst. 5 této smlouvy, zavazuje se zaplatit správci smluvní pokutu ve výši 100.000, - Kč za každý neohlášený případ narušení zabezpečení.
Smluvní pokuty podle této smlouvy nevylučují právo poškozené strany na náhradu škody v plném rozsahu.
Pro vyloučení pochybností smluvní strany uvádějí, že pro účely náhrady škody způsobené porušením povinností podle této smlouvy se škodou rozumí i vznik dluhu smluvní strany z titulu odpovědnosti za delikt, ať už soukromoprávní (zejména za zásah do práv subjektu údajů) či veřejnoprávní (zejména za přestupek na úseku ochrany osobních údajů).
VII.Mlčenlivost
Smluvní strany se zavazují zachovat mlčenlivost o všech skutečnostech, které se dozvěděly či dozví v souvislosti s uzavíráním či plněním této smlouvy, zejména o skutečnostech týkajících se zabezpečení osobních údajů. Porušením povinnosti mlčenlivosti není poskytnutí či zpřístupnění informací, které (i) jsou veřejně dostupné, (ii) je smluvní strana povinna poskytnout či zpřístupnit na základě právního předpisu či rozhodnutí orgánu veřejné moci, (iii) poskytne smluvní strana svým právním či jiným odborným poradcům vázaným zákonnou povinností mlčenlivosti.
VIII.Závěrečná ustanovení
Tato smlouva se uzavírá na dobu trvání smlouvy o dílo specifikované v čl. I odst. 1 této smlouvy, přičemž povinnost zachovávat mlčenlivost dle této smlouvy trvá i po ukončení platnosti této smlouvy.
Tato smlouva a právní poměry z ní vzešlé a s ní související se řídí Nařízením a právními předpisy České republiky, zejména pak ustanoveními zákona o zpracování osobních údajů.
Podstatné porušení této smlouvy se považuje za podstatné porušení smlouvy o dílo, na jejímž základě zpracovatel poskytuje správci služby.
Pro vyloučení pochybností smluvní strany uvádějí, že z této smlouvy nevzniká žádné smluvní straně právo na odměnu. Tímto ustanovením nejsou dotčena ustanovení této smlouvy upravující sankce a odpovědnost.
Smluvní strany se zavazují poskytnout si veškerou potřebnou součinnost k dosažení účelu této smlouvy. Zpracovatel mimo jiné umožní správci nebo jím pověřené osobě, aby v provozovnách zpracovatele prováděly audit plnění jeho povinností, a za tím účelem jim zpřístupní potřebné podklady. Žádost o umožnění auditu musí být doručena zpracovateli alespoň tři pracovní dny předem.
Tuto smlouvu lze měnit, doplňovat nebo zrušit pouze písemně, nikoliv ovšem prostřednictvím elektronických zpráv bez kvalifikovaného elektronického podpisu ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (eIDAS).
Tato dohoda je sepsána ve dvou stejnopisech, přičemž každá smluvní strana obdrží po jednom.
Svými podpisy smluvní strany potvrzují, že se s obsahem této smlouvy seznámily, porozuměly mu a přejí si jím být vázány.
Za správce
V ………… dne ………….. |
Za zpracovatele
V ………….. dne ………….. |
______________________________ BUDE DOPLNĚNO PŘI PODPISU SMLOUVY |
______________________________
|
______________________________ BUDE DOPLNĚNO PŘI PODPISU SMLOUVY |
|