Smlouva o poskytování služeb pověřence GDPR

Tato smlouva o výkonu funkce pověřence pro ochranu osobních údajů dle nařízení evropského parlamentu a rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „smlouva“) byla uzavřena níže uvedeného dne, měsíce a roku mezi těmito smluvními stranami

Město Lanškroun, IČO: 00279102

zastoupené: Mgr. Xxxxxxx Xxxxxxx, starostou

se sídlem: Nám. X.X.Xxxxx 12, 563 01 Lanškroun – Vnitřní město bankovní spojení: Komerční Banka a.s., číslo účtu: 19-2725611/0100 kontaktní osoba: Xxx. Xxxxx Xxxxxxxxxx, tajemnice

tel.: 000 000 000, e-mail: xxxxx.xxxxxxxxxx@xxxxxxxxx.xx (dále jako „objednatel“ nebo „správce“)

……………………., IČO:

se sídlem ……………………………

bankovní spojení:………………… číslo účtu: …………………….

(dále jako „poskytovatel“ nebo „pověřenec“) (společně také jako „smluvní strany“)

I. Předmět smlouvy

1. Předmětem této smlouvy je závazek poskytovatele zajistit poskytování služby externího pověřence pro ochranu osobních údajů pro objednatele podle Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení GDPR“).

2. Předmětem této smlouvy je dále posouzení směrnic a postupů při zpracování osobních údajů, příp. identifikace souvisejících bezpečnostních rizik včetně IT oblasti a návrh opatření k jejich eliminaci.

3. Poskytovatel bude na základě této smlouvy vykonávat funkci pověřence i pro tyto organizace zřízené a založené objednatelem:

- Dům dětí a mládeže XXXXXX, Lanškroun

- Mateřská škola, Lanškroun, Na Výsluní 312

- Mateřská škola, Xxxxxxxxx, Xxxxxxxxx 00

- Mateřská škola, Lanškroun, Žižkova 365

- Základní škola a Mateřská škola, Lanškroun Dolní Třešňovec

- Základní škola Lanškroun, Xxxxxxxx Xxxxxxx 460

- Základní škola Lanškroun, Xxxxxxxxxxx 000

- Základní škola Lanškroun, nám. Xxxxxx Xxxxxxx 000

- Sociální služby Lanškroun

- Kulturní centrum Lanškroun

- Městské muzeum Lanškroun

- Městská knihovna Lanškroun

- Základní umělecká škola Jindřicha Pravečka, Lanškroun

- Školní jídelna MADORET, Lanškroun

Vyjmenované organizace souhlasí s výběrem a se jmenováním shora uvedeného pověřence a k uzavření této smlouvy udělili městu Lanškroun plnou moc. Plné moci jsou přílohami této smlouvy.

4. Poskytovatel je povinen řídit se pokyny objednatele, pokud takové pokyny nejsou v rozporu s Nařízením GDPR nebo s jinými právními předpisy České republiky.

5. Smluvní strany jsou povinny dodržovat Nařízení GDPR a veškeré právní předpisy související s ochranou osobních údajů.

II. Povinnosti poskytovatele v oblasti posouzení stávajících směrnic

1. Poskytovatel provede:

1.1. analýzu stávajících směrnic organizace souvisejících s registry rizik (GDPR, finanční kontrola),

1.2. identifikaci a hodnocení aktiv,

1.3. identifikaci hrozeb a zranitelností,

1.4. identifikaci a hodnocení rizikových oblastí a jejich klasifikaci a vyhodnocení,

1.5. poskytovatel zpracuje tyto výstupní dokumentace:

- Metodika Identifikace rizikových oblastí

- Registr rizikových oblastí v podmínkách organizace (jako příloha metodiky)

- Připomínky k řešení

- Předávací a akceptační protokol.

2. Poskytovatel dále provede:

2.1. analýzu aktuálního stavu evidence rizik v organizaci, zohlednění stávajících identifikovaných rizik a návrhu opatření v rámci organizace,

2.2. stanovení metodiky řízení rizik vycházející z identifikace rizikových oblastí,

2.3. identifikaci a hodnocení rizik v podmínkách organizace souvisejících s GDPR vycházejících z identifikace rizikových oblastí.

III. Povinnosti poskytovatele v pozici pověřence

1. Poskytovatel se zavazuje pro objednatele vykonávat funkci pověřence pro ochranu osobních údajů, přičemž obsahem tohoto závazku pověřence je zejména:

1.1. poskytovat informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů,

1.2. monitorovat soulad s nařízením GDPR, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů,

1.3. poskytovat poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35 GDPR,

1.4. spolupracovat s dozorovým úřadem,

1.5. působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci,

1.6. dle čl. 38 odst. 4 GDPR se subjekty údajů mohou obracet na Pověřence ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv.

IV. Povinnosti poskytovatele v pozici pověřence na Městském úřadě Lanškroun

1. Poskytovatel bude dále na Městském úřadě Lanškroun v rozsahu 48 hodin ročně:

1.1. poskytovat 2x měsíčně konzultace pověřence v prostorách úřadu (dle vzájemné dohody lze realizovat i vzdálenou elektronickou/telefonickou konzultací) – operativní řešení požadavků pracovníků úřadu ve vztahu na ochranu osobních údajů, kontrola řešení stanovených opatření vedoucí ke snížení, nebo eliminaci identifikovaných rizik, konzultace,

1.2. průběžně předávat informace o legislativních změnách v oblasti ochrany osobních údajů, metodických pokynech kontrolních a metodických orgánů úřadu,

1.3. zajišťovat průběžné mailové a telefonické konzultace. U případů, ke kterým se může vztahovat povinnost hlášení na Úřad na ochranu osobních údajů (dále ÚOOÚ) nebo subjektu údajů s reakcí nejpozději do 24 hodin,

1.4. vypracovávat, nebo připomínkovat posouzení vlivu na osobní údaje u činností, ke kterým se vztahuje,

1.5. 1x ročně provede audit veškerých činností, v rámci kterých dochází ke zpracování osobních údajů, příp. i identifikace nových, příp. v dřívější době neidentifikovaných činností včetně identifikace rizik a projednání návrhů opatření k jejich snížení nebo eliminaci s odpovědným pracovníkem úřadu,

1.6. 1 x ročně provede vyškolení zaměstnanců úřadu na GDPR, zákon 110/2019 Sb. o zpracování osobních údajů v platném znění, metodické pokyny a kontroly ÚOOÚ na úřadech a jejich závěry, rozhodnutí soudů související s osobními údaji a to v rámci ČR i soudního dvora EU, metodické pokyny MV ČR, MMR ČR a SMO ČR, nejčastější chyby a jejich řešení ve vztahu na zpracování osobních údajů,

1.7. připomínkovat, příp. doporučovat úpravy formulářů a směrnic úřadu.

2. Z jednotlivých jednání vyhotoví poskytovatel zápisy.

3. Poskytovatel vyhotoví výstupní dokumenty z auditů a realizovaných kontrolních činností vč. návrhů řešení nálezů.

V. Povinnosti poskytovatele v pozici pověřence v základní škole

1. Poskytovatel bude dále v jednotlivých základních školách v rozsahu 18 hodin ročně:

1.1. poskytovat konzultace pověřence v prostorách školy dle aktuálních požadavků školy (předpoklad 1x měsíčně) včetně kontroly řešení stanovených opatření vedoucí ke snížení nebo eliminaci identifikovaných rizik, nebo telefonická/mailová konzultace,

1.2. průběžně předávat informace o legislativních změnách v oblasti ochrany osobních údajů, metodických pokynech kontrolních a metodických orgánů školy,

1.4. vypracovávat, nebo připomínkovat posouzení vlivu na osobní údaje u činností, ke kterým se vztahuje,

1.6. na základě požadavku ředitele 1 x ročně provede vyškolení zaměstnanců školy na GDPR, zákon 110/2019 Sb. o zpracování osobních údajů v platném znění, metodické pokyny a kontroly ÚOOÚ na úřadech a jejich závěry, rozhodnutí soudů související s osobními údaji a to v rámci ČR i soudního dvora EU, metodické pokyny MV ČR, MŠMT ČR, nejčastější chyby a jejich řešení ve vztahu na zpracování osobních údajů,

1.7. připomínkovat formuláře a směrnice školy.

2. Z jednotlivých jednání vyhotoví poskytovatel zápisy.

3. Poskytovatel vyhotoví výstupní dokumenty z auditů a realizovaných kontrolních činností vč. návrhů řešení nálezů.

VI. Povinnosti poskytovatele v pozici pověřence v mateřské škole

1. Poskytovatel bude dále v jednotlivých mateřských školách v rozsahu 12 hodin ročně:

1.1. poskytovat konzultace pověřence v prostorách školy 1 – 2 x ročně dle aktuálních požadavků školy,

1.2. průběžně předávat informace o legislativních změnách v oblasti ochrany osobních údajů, metodických pokynech kontrolních a metodických orgánů školy,

1.4. vypracovávat, nebo připomínkovat posouzení vlivu na osobní údaje u činností, ke kterým se vztahuje,

1.7. připomínkovat formuláře a směrnice školy.

2. Z jednotlivých jednání vyhotoví poskytovatel zápisy.

3. Poskytovatel vyhotoví výstupní dokumenty z auditů a realizovaných kontrolních činností vč. návrhů řešení nálezů.

VII. Povinnosti poskytovatele v pozici pověřence v ostatních organizacích

1. Poskytovatel bude dále v jednotlivých organizacích v rozsahu 12 hodin ročně:

1.1. poskytovat konzultace pověřence v prostorách organizace 1 – 2 x ročně dle aktuálních požadavků organizace,

1.2. průběžně předávat informace o legislativních změnách v oblasti ochrany osobních údajů, metodických pokynech kontrolních a metodických orgánů organizace,

1.3. zajišťovat průběžné telefonické a mailové konzultace. U případů, ke kterým se může vztahovat povinnost hlášení na Úřad na ochranu osobních údajů (dále ÚOOÚ) nebo subjektu údajů s předpokládanou reakcí do 1 dne,

1.4. vypracovávat, nebo připomínkovat posouzení vlivu na osobní údaje u činností, ke kterým se vztahuje,

1.6. na základě požadavku ředitele 1 x ročně provede vyškolení zaměstnanců na GDPR, zákon 110/2019 Sb. o zpracování osobních údajů v platném znění, metodické pokyny a kontroly ÚOOÚ na úřadech a jejich závěry, rozhodnutí soudů související s osobními údaji a to v rámci ČR i soudního dvora EU, metodické pokyny, nejčastější chyby a jejich řešení ve vztahu na zpracování osobních údajů,

1.7. připomínkovat formuláře a směrnice.

2. Z jednotlivých jednání vyhotoví poskytovatel zápisy.

3. Poskytovatel vyhotoví výstupní dokumenty z auditů a realizovaných kontrolních činností vč. návrhů řešení nálezů.

VIII. Povinnosti objednatele

1. Objednatel se zavazuje poskytnout poskytovateli následující součinnosti k realizaci projektu:

1.1. Poskytnout stávající směrnice úřadu v oblasti řízení rizik.

1.2. Poskytnout informace v oblasti zabezpečení budov, IT, osobních údajů vč. kontrolních mechanismů organizace atp. potřebných pro realizaci analýzy.

1.3. Zajistit účast klíčových pracovníků na identifikaci a hodnocení jednotlivých oblastí.

1.4. Připomínkovat návrh řešení.

1.5. Ostatní součinnost dle požadavků pověřence v souladu s GDPR a zákonem č. 110/2019 Sb. o zpracování osobních údajů, v platném znění.

IX. Odměna a platební podmínky

1. Objednatel se zavazuje zaplatit poskytovateli za služby podle této smlouvy odměnu ve výši

……………,- Kč bez DPH za každý jeden kalendářní měsíc.

2. K výše uvedené částce bude připočteno DPH v aktuálně platné výši.

3. Odměna bude objednateli vyúčtována jedenkrát měsíčně, a to vždy k poslednímu dni měsíce, za který bude vyúčtování provedeno. Vyúčtování je splatné vždy do 15 dnů od jeho vystavení. Vyúčtování bude provedeno fakturou s náležitostmi řádného daňového dokladu. Povinnou přílohou faktury bude rozpis provedených prací.

4. Smluvní strany se na základě ustanovení § 1881 odst. 1 občanského zákoníku, dohodli, že veškeré pohledávky vyplývající z této smlouvy i pohledávky na ně navazující nelze postoupit novému věřiteli.

X. Trvání a ukončení smlouvy

1. Tato smlouva se uzavírá na dobu neurčitou, a to od ………………….

2. Xxxxxxxxxx smluvní strana má právo tuto smlouvu vypovědět písemnou výpovědí s tříměsíční výpovědní lhůtou, která počíná běžet prvního dne měsíce následujícího po měsíci, ve kterém je výpověď doručena druhé smluvní straně.

3. Po ukončení této smlouvy se poskytovatel zavazuje vrátit objednateli veškeré písemné dokumenty, veškeré věci a pomůcky mu svěřené pro plnění povinností dle této smlouvy, a dále veškeré věci a podklady, které poskytovatel nabyl, vytvořil či získal v souvislosti s plněním povinností dle této smlouvy, a to včetně veškeré spisové smluvní dokumentace a všech dalších věcí.

4. Po ukončení této smlouvy jsou smluvní strany a kterékoliv třetí osoby zajišťující funkci pověřence na straně pověřence povinny dodržovat povinnost mlčenlivosti a nevyužívat informace, dokumenty, vzory dokumentů získané u správce za dobu trvání této smlouvy.

5. Objednatel má právo odstoupit od této smlouvy, jestliže poskytovatel neplní povinnosti stanovené touto smlouvou.

XI. Závěrečná ustanovení

1. Tuto smlouvu lze měnit pouze písemnými dodatky podepsanými oběma smluvními stranami.

2. Poskytovatel si je vědom, že se podílí na dodávkách služeb hrazených z veřejných výdajů, tudíž je ve smyslu § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, osobou povinnou spolupůsobit při výkonu finanční kontroly.

3. Poskytovatel si je dále vědom, že při poskytování informace, která se týká používání veřejných prostředků, se nepovažuje poskytnutí informace o rozsahu a příjemci těchto prostředků za porušení obchodního tajemství.

4. Smluvní strany prohlašují, že souhlasí se zveřejněním smlouvy v Registru smluv Ministerstva vnitra ČR. Zveřejnění zajistí město Lanškroun.

5. Pověřenec byl jmenován radou města Lanškroun dne ………….. usnesením č Uzavření této

smlouvy schválila rada města Lanškroun dne …………….. usnesením č……

6. Tato smlouva je vyhotovena ve dvou stejnopis, kdy každá ze smluvních stran obdrží po jednom vyhotovení.

7. Smluvní strany prohlašují, že smlouva byla sepsána podle jejich pravé, vážné a svobodné vůle, nebyla uzavřena v tísni či za nápadně nevýhodných podmínek a na důkaz toho připojují své podpisy.

8. Potvrzuje se podle ustanovení § 41 zákona č. 128/2000 Sb., o obcích, ve znění pozdějších předpisů, že pověřenec byl vybrán v souladu s „Pokynem pro zadávání veřejných zakázek malého rozsahu Městem Lanškroun“ schváleným usnesením Rady města Lanškroun č. 37/RM/2020 ze dne 27.01.2020.

V Lanškrouně dne …………………………. V …………………….…… dne ………………..

………………………………………………………. ………………………………………………………. Město Lanškroun

Xxx. Xxxxx Xxxxxx starosta

Příloha: Plné moci

Document Metadata

Table of Contents

Smlouva o poskytování služeb pověřence GDPR

Document Metadata