Smlouva o zpracování osobních údajů
Aperus
Podni ov 1nform cni syst my
Smlouva o zpracování osobních údajů
Společnost: IČ:
DIČ:
Sídlem: Zastoupená: Zapsaná:
Aperus, s.r.o. 28863976 CZ28863976
Xxxxx 000, Xxxxx 0, 000 00
Xxxxxx Xxxxxxxxx, jednatelem společnosti
V obchodním rejstříku vedeném Městským soude v Praze, oddíl C, vložka 149869
(dále jen „Poskytovatel" nebo „Zpracovatel") a
Společnost: IČ:
DIČ:
Sídlem: Zastoupená:
Zapsaná
česká republika - Nejvyšší kontrolní úřad 49370227
není plátce DPH
Jankovcova 1518/2, 170 04 Praha 7
Mgr. Xxxxxxx Xxxxx, ředitelem odboru informatiky v OR nezapsán
(dále jen „Zákazník")
uzavřely dne Xxxxxxx o poskytování služeb náhradového systému Xxxxxxxx.xx
Zpracování osobních údajů společností Aperus s.r.o.
1. ÚVODNÍ USTANOVENÍ
1.1. Zákazník uzavřel s Poskytovatelem Xxxxxxx o poskytování služeb náhradového systému Xxxxxxxx.xx, na základě které užívá Softwarový produkt vytvořený Poskytovatelem. Vztah mezi Zákazníkem a Poskytovatelem se řídí uzavřenou smlouvou.
1.2. Zákazník užívá služby náhradového a rezervačního systému, přičemž veškerá data jsou ukládána na serverech Poskytovatele.
1.3. Vzhledem k tomu, že Zákazník v postavení Správce v souvislosti s výkonem práv a povinností vyplývajících ze Smlouvy o poskytování služeb náhradového systému Xxxxxxxx.xx zpřístupňuje Zpracovateli osobní údaje nebo jejich část a ty jsou za přesně vymezeným účelem a po omezenou dobu ukládány na serverech Poskytovatele, má Poskytovatel postavení Zpracovatele ve smyslu čl. 4 odst. 8 obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen „Nařízení").
1.5. Tato Smlouva o zpracování osobních údajů je přílohou č. 3 Smlouvy o poskytování náhradového a rezervačního systému Xxxxxxxx.xx a dále bude v textu této Smlouvy označována pojmem „Smlouva".
2. PŘEDMĚT ZPRACOVÁNÍ
2.1. Předmětem zpracování jsou osobní údaje poskytnuté Zákazníkovi (Správci) jeho zákazníky: Povinné osobní údaje identifikační - jméno, příjmení, emailová adresa, popř. jméno a příjmení dětí
1
Aperus
Podnikové infOfm tni 1ysttmy
Nepovinné osobní údaje (popisné) - nepovinné údaje: adresa, telefonní číslo, občanství, zdravotní stav, datum narození, pohlaví a poznámky
2.2. Předmětem zpracování je databáze obsahující osobní údaje, uložená na serverech Zpracovatele, nahlížení do osobních údajů, a provedení automatického výmazu databáze po uplynutí doby uložení, k čemuž dochází v souvislosti
s ukončením Smlouvy o poskytování náhradového a rezervačního systému Xxxxxxxx.xx. Účelem zpracování je zajištění smluvních povinností Správce, vyplývajících pro něj z provozování náhradového a rezervačního systému Xxxxxxxx.xx ve vztahu k jeho zákazníkům.
2.3. Smluvní strany berou na vědomí, že Zpracovatel bude mít v souvislosti s poskytováním služeb dle Xxxxxxx o poskytování náhradového a rezervačního systému Xxxxxxxx.xx přístup a na základě pokynu Správce bude po omezenou dobu zpracovávat následující kategorie osobních údajů:
2.3.1. osobní údaje identifikační, adresné (včetně e-mailové adresy a tel. nebo mobilního čísla),
2.3.2. popisné
2.3.3. vybrané údaje finanční povahy (personální a mzdové údaje, platby, pohledávky a bankovní výpisy a účetní doklady zahrnující osobní údaje).
2.4. Dotčenými osobami, jejichž osobní údaje budou zpracovávány Zpracovatele, jsou zákazníci a zaměstnanci Správce.
2.5. Zpracovatel je oprávněn i bez předchozího písemného souhlasu Správce zapojit do zpracování osobních údajů dalšího zpracovatele. Zpracovatel je však povinen zajistit, aby jakýkoli další zpracovatel, zapojený do zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto Smlouvou, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 8 této Smlouvy. O zapojení dalšího zpracovatele je Zpracovatel povinen informovat bez zbytečného odkladu na svých internetových stránkách.
2.6. Zpracování osobních údajů je vedlejším závazkem Zpracovatele vyplývajícím ze smlouvy dle čl. 1.1 této Smlouvy. Úplata za zpracování je proto zahrnuta v ceně za poskytování individuálních služeb, jak je uvedena v Ceníku, případně jak byla sjednána mezi Správcem a Zpracovatelem.
3. ZPRACOVÁNÍ NA POKYN SPRÁVCE
3.1. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě a v intencích Smlouvy o poskytování náhradového a rezervačního systému Xxxxxxxx.xx.
3.2. Správce prohlašuje, že od všech Subjektů údajů (svých zákazníků a zaměstnanců) má veškeré potřebné souhlasy se zpracováním jejich osobních údajů. Za tuto povinnost Správce nenese Zpracovatel jakoukoli odpovědnost.
4. DOBA TRVÁNÍ ZPRACOVÁNÍ
4.1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do uplynutí 30 dní po ukončení poskytování služeb dle Xxxxxxx o poskytování služeb náhradového systému Xxxxxxxx.xx.
4.2. Zpracovatel je si vědom toho, že bez existence platné Xxxxxxx o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu Správcem.
4.3. Zpracovatel je povinen po uplynutí lhůty uvedené v čl. 4.1 této Smlouvy provést výmaz a dále provést výmaz veškerých existujících kopií, pokud právo Unie nebo členského státu EU nepožaduje uložení daných osobních údajů.
5. MÍSTO ZPRACOVÁNÍ, ZÁKAZ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
5.1. Místem zpracování osobních údajů je česká republika nebo jiný členský stát Evropské unie. Zpracovatel není oprávněn v souvislosti se zpracováním osobních údajů prováděném pro Správce předávat osobní údaje do třetích zemí nebo mezinárodní organizaci ani provádět zpracování osobních údajů na prostředcích umístěných v třetích zemích.
2
Aperus
Podni ove ínformacni systemy
5.2. Případné zpracování osobních údajů v třetí zemi mimo EU je možné pouze s předchozím písemným souhlasem Správce a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.
6. POVINNOST MLČENLIVOSTI
6.1. Zpracovatel je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění souvisejících s užíváním náhradového a rezervačního systému Xxxxxxxx.xx , zejména mlčenlivost ohledně osobních údajů, které mu byly Správcem zpřístupněny nebo jinak poskytnuty v souvislosti s užíváním tohoto systému. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání smlouvy mezi Zpracovatelem a Správcem.
6.2. Zpracovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny své zaměstnance, kterým by mohly být osobní údaje zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je neomezená.
7. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ NA OCHRANU OSOBNÍCH ÚDAJŮ
7.1. Zpracovatel je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování této Smlouvy i k rizikům pro práva a svobody fyzických osob.
7.2. Zpracovatel tímto prohlašuje, že přijal vhodná technická opatření uvedená na jeho internetových stránkách.
7.3. Zpracovatel tímto prohlašuje, že přijal vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Přílohy, zejména:
7.3.1. Seznámil příslušné zaměstnance s povinností zachovávat mlčenlivost o osobních údajích a jakýchkoliv jiných důvěrných informacích nebo obchodním tajemství, se kterými přijdou do styku, jakož i zachovávat mlčenlivost o bezpečnostních, technických či organizačních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, důvěrných informací nebo obchodního tajemství Správce.
7.3.2. Neposkytuje žádné neoprávněné osobě (i kdyby se jednalo o neoprávněnou osobu z řad vlastních zaměstnanců), přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim nebo k on-line službám třetích osob používaných pro účely poskytování individuálních služeb ve smyslu této Přílohy).
8. SOUČINNOST ZPRACOVATELE
8.1. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů ze strany Zpracovatele je v souladu s Nařízením a Správce i Zpracovatel naplňují základní zásady a principy uvedené v Nařízení.
8.2. Zpracovatel je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Správce mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Správce mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit je subjektům údajů. Při výkonu této povinnosti je Zpracovatel povinen reagovat bez zbytečného odkladu na pokyny a požadavky Správce.
3
Aperus
Podn e 1nformacní syst my
8.3. Zjistí-li Zpracovatel v souvislosti s poskytováním individuálních služeb Objednateli jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnosti neprodleně, nejpozději však do 24 hodin, informovat Správce, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které Zpracovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.
8.4. Zpracovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj. Pokud bude Správce požadovat pomoc ve smyslu tohoto článku této Smlouvy, provede Zpracovatel tyto činnosti za přiměřenou úplatu, která bude vycházet z aktuálního ceníku zveřejněného na jeho internetových stránkách.
8.5. V případě ukončení poskytování služeb spojených se zpracováním osobních údajů je Zpracovatel povinen postupovat v souladu s pokyny Správce a čl. 4.1. této Smlouvy. Nestanoví-li Správce ve vztahu ke konkrétním osobním údajům nebo jejich kategorii jinak, při ukončení služeb spojených se zpracováním osobních údajů je Zpracovatel povinen tyto vymazat ze všech datových úložišť.
9. USTANOVENÍ SPOLEČNÁ A ZÁVĚREČNÁ
9.1. Tato Smlouva představuje úplnou dohodu smluvních stran o předmětu této Smlouvy. Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků této Smlouvy, podepsaných za každou smluvní stranu osobou nebo osobami oprávněnými jednat jménem smluvní strany.
9.2. Pokud by se kterékoliv ustanovení této Smlouvy ukázalo být neplatným nebo nevynutitelným nebo se jím stalo po uzavření této Smlouvy, pak tato skutečnost nepůsobí neplatnost ani nevynutitelnost ostatních ustanovení této Smlouvy, nevyplývá-li z donucujících ustanovení právních předpisů jinak. Smluvní strany se zavazují takové neplatné či nevynutitelné ustanovení nahradit platným a vynutitelným ustanovením, které je svým obsahem nejbližší účelu neplatného či nevynutitelného ustanovení.
9.3. Tato smlouva je sepsána ve třech (3) vyhotoveních s platností originálu v jazyce českém, z nichž Poskytovatel obdrží po jednom (1) vyhotovení a Zákazník obdrží po dvou (2) vyhotoveních.
Zpracovatel
V Praze dne � 1 -06- 2018
Správce
dne - 4 �os- 201a
Aperus, s.r.o.
Osetá 632, Praha ostavice, 198 00
a � 155
6, DI : -tí28863976
......................h.ttp�//www.ap.:m.is.au...........
Za Aperus, s.r.o. Xxxxx Xxxxxxxx Jednatel
Za ČR - Nejvyšší kontrolní Úřad Mgr. Xxxxxx xxx
Ředitel odboru informatiky
4