SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“)...

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) mezi následujícími smluvními stranami (dále jen „smlouva“):

vzor smlouvy k úpravě v návaznosti na výběr dodavatele a jeho řešení


Statutární město Ostrava

se sídlem: Xxxxxxxxx xxxxxxx 0000/0, Xxxxxxxx Ostrava a Přívoz, 729 30 Ostrava

IČO: 00845451

zastoupené: ___________________________-

(dále jen „Správce“)


a


[doplnit název/obchodní firmu]

IČO: [doplnit]

se sídlem: [doplnit]

zapsaná v: [doplnit údaje z obchodního rejstříku]

zastoupená: [doplnit]

(dále jen „Zpracovatel“)

(Správce a Zpracovatel dále jen „smluvní strany“ a jednotlivě „smluvní strana“)



v následujícím znění:

Čl. I

Úvodní ustanovení

    1. Správce předává Zpracovateli ke zpracování osobní údaje za účelem výkonu následující činnosti / plnění následující smlouvy uzavřené mezi Správcem a Zpracovatelem: [vybrat z uvedených variant a doplnit specifikaci] (dále jen Plnění“).

    2. Správce a Zpracovatel uzavírají tuto smlouvu v souladu s požadavkem čl. 28 GDPR. Účelem této smlouvy je úprava práv a povinností smluvních stran při zpracování osobních údajů, zejména s ohledem na zajištění odpovídající úrovně jejich zabezpečení a na jejich ochranu.

Čl. II

Předmět zpracování, kategorie osobních údajů a subjektů údajů, doba zpracování

    1. V souvislosti s Plněním jsou Zpracovatelem zpracovávány osobní údaje následujících kategorií fyzických osob - subjektů údajů: [doplnit – např. zákazníci].

    2. V souvislosti s Plněním jsou Zpracovatelem zpracovávány osobní údaje fyzických osob za následujícím účelem: [doplnit – provoz informačního systému].

    3. V souvislosti s Plněním jsou Zpracovatelem zpracovávány následující kategorie osobních údajů fyzických osob: [doplnit – např. identifikační údaje (jméno a příjmení, datum narození), adresní údaje (bydliště, adresa pro doručování), kontaktní údaje (telefonní číslo, e-mailová adresa, identifikátor datové schránky), případně další údaje fyzických osob (bankovní účet)].

    4. V souvislosti s Plněním jsou osobní údaje zpracovávány Zpracovatelem pouze po dobu nezbytně nutnou k poskytování Plnění, nejdéle však do [doplnit, případně upravit], pokud nebude mezi smluvními stranami dohodnuto v průběhu trvání smlouvy písemně jinak.

    5. O rozsahu a době zpracování osobních údajů v souvislosti s poskytováním Plnění Zpracovatele rozhoduje vždy výhradně Správce.

    6. Osobní údaje jsou / nejsou [vybrat jednu z variant] zpracovávány Zpracovatelem prostřednictvím automatizovaných prostředků.

Čl. III

Prohlášení smluvních stran

    1. Správce prohlašuje, že je v postavení správce osobních údajů zpracovávaných Zpracovatelem na základě této smlouvy.

    2. Správce prohlašuje, že ke dni uzavření této smlouvy plní všechny své povinnosti dle právních předpisů o ochraně osobních údajů, zejména zpracovává osobní údaje výhradně na základě platných právních titulů, v rozsahu a způsobem odpovídajícím sledovanému účelu, informuje subjekty údajů o prováděném zpracování, umožňuje subjektům údajů výkon jejich práv v rozsahu předvídaném GDPR. Správce se současně zavazuje k plnění těchto povinností také po celou dobu platnosti této smlouvy.

    3. Zpracovatel prohlašuje, že je v postavení zpracovatele osobních údajů zpracovávaných na základě této smlouvy.

Čl. IV

Práva a povinnosti smluvních stran

    1. Zpracovatel zpracovává osobní údaje výlučně na základě pokynů Správce, a to za účelem poskytování Plnění. Zpracovatel se zavazuje neužít zpracovávané osobní údaje pro své vlastní potřeby a účely odlišné od poskytování Plnění.

    2. Zpracovatel je povinen zachovávat mlčenlivost o zpracovávaných osobních údajích. Zpracovatel zajistí, aby jeho zaměstnanci i další osoby podílející se na jeho straně na zpracování byli v souladu s účinnými právními předpisy poučeni o povinnosti mlčenlivosti a o možných následcích pro případ porušení této povinnosti. Povinnost zachování mlčenlivost Zpracovatele trvá i po ukončení platnosti této smlouvy.

    3. Zpracovatel je oprávněn předat zpracovávané osobní údaje třetí osobě výhradně na základě písemného požadavku nebo souhlasu Správce.

    4. Zpracovatel je oprávněn přistupovat ke zpracovávaným osobním údajům pouze za účelem poskytování Plnění a pouze v nezbytném rozsahu.

    5. Zpracovatel je povinen poskytovat Správci požadovanou součinnost při splnění povinnosti Správce reagovat na žádosti subjektu údajů ve smyslu čl. 12 až 23 GDPR (např. na žádost o přístup ke zpracovávaným osobním údajům, žádost o opravu nesprávně zpracovávaných osobních údajů, žádost o výmaz osobních údajů, žádost o omezení zpracování osobních údajů). K zajištění plnění této povinnosti je Zpracovatel povinen aplikovat vhodná organizační a technická opatření.

    6. Zpracovatel je povinen zajišťovat náležité zabezpečení zpracovávaných osobních údajů a poskytovat Správci nezbytnou součinnost k plnění jeho povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR a oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 GDPR. Zpracovatel je za tímto účelem zejména povinen oznámit Správci bezodkladně, nejpozději však do 24 hodin od okamžiku zjištění, porušení zabezpečení zpracovávaných osobních údajů včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků.

    7. Zpracovatel je povinen poskytnout Správci požadovanou součinnost a veškeré informace k doložení skutečnosti, že byly splněny povinnosti stanovené v této smlouvě a je povinen umožnit provedení auditů, kontrol a inspekcí.

    8. Zpracovatel je povinen postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právu na zachování lidské důstojnosti.

    9. Pokud nestanoví právní řád nebo písemná smlouva jinak, je Zpracovatel povinen po skončení platnosti smlouvy předat (vrátit) veškeré zpracovávané osobní údaje zpět Správci, a je povinen vymazat veškeré kopie předaných/zpracovávaných osobních údajů.

Čl. V.

Zabezpečení osobních údajů

    1. Zpracovatel přijal a zavazuje se udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, dočasné nedostupnosti, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Na požádání je Zpracovatel povinen kdykoliv Správci písemně sdělit způsob zabezpečení ochrany osobních údajů pro posouzení míry dostatečnosti tohoto zabezpečení.

    2. Za účelem naplnění požadavku uvedeného v odst. 5.1 této smlouvy Zpracovatel přijal a zavazuje se udržovat zejména následující opatření: [Konkrétní opatření a záruky uvedené níže k úpravě/odstranění/doplnění s ohledem na konkrétního Zpracovatele a povahu jeho zpracování]:

      1. písemnosti a digitální záznamová média, která obsahují osobní údaje, musí být uložena výhradně v uzamykatelných prostorách Zpracovatele, to platí i pro kopie písemností obsahující osobní údaje;

      2. na pracovišti Zpracovatele je povinnost dodržovat pravidla bezpečnosti práce včetně požárních a poplachových pravidel tak, aby nedošlo ke zničení uložených písemností a digitálních záznamových médií v důsledku požáru, potopy nebo jiné havárie;

      3. data obsahující zpracovávané osobní údaje, která jsou uložena v pracovních počítačích Zpracovatele (jeho zaměstnanců a osob v obdobném postavení), musí být zabezpečena před volným přístupem neoprávněných osob prostřednictvím povinné autentizace, platí zákaz sdělení nebo zpřístupnění autentizačních údajů pověřených osob Zpracovatele třetí osobě;

      4. přístup k osobním údajům bude umožněn výlučně omezenému počtu pověřených osob Zpracovatele, které budou v pracovněprávním či jiném obdobném smluvním poměru ke Zpracovateli, budou předem prokazatelně seznámeny s povahou, rozsahem a účelem zpracování osobních údajů a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů;

      5. osobní údaje budou pověřeným osobám Zpracovatele zpřístupněny pouze v rozsahu nezbytném pro realizaci Plnění;

      6. zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti zpracovávaných osobních údajů, zavedená opatření a jejich korektní fungování bude Zpracovatel pravidelně kontrolovat;

      7. schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to zejména pravidelným zálohováním;

      8. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

      9. odpovídající antivirová ochrana při zpracování v rámci inf. systému;

      10. šifrovaný přenos zpracovávaných osobních údajů v rámci užívaného inf. systému; a

      11. servery se zpracovávanými osobními údaji umístěny v uzamčené serverovně.

    1. Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě stanovené Správcem další záruky za účelem dosažení odpovídající úrovně technického a organizačního zabezpečení osobních údajů, zejména přijmout další opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.

    2. Zpracovatel se zavazuje vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů dle požadavků GDPR, přičemž zajišťuje, kontroluje a odpovídá zejména za:

      1. plnění pokynů osobami, které mají bezprostřední přístup k osobním údajům;

      2. zabránění neoprávněným osobám přistupovat k osobním údajům;

      3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.

    1. V případě zjištění porušení záruk dle odst. 5.2 této smlouvy je Zpracovatel povinen zajistit bezodkladně stav odpovídající stanoveným zárukám, nejpozději však do 3 (třech) pracovních dnů poté, co je k tomu Správcem vyzván, nehrozí-li riziko z prodlení.

Čl. VI

Doba trvání této smlouvy

    1. Tato smlouva vstupuje v platnost a nabývá účinnosti dnem podpisu oprávněnými zástupci smluvních stran.

    2. Tato smlouva je uzavřena na dobu neurčitou.

    3. Tuto smlouvu může kterákoliv smluvní strana ukončit výpovědí, výpovědní doba činí šest kalendářních měsíců ode dne jejího doručení druhé smluvní straně. Odst. 6.4 smlouvy tímto není dotčen.

    4. V případě, že Zpracovatel v důsledku změny legislativy, interních předpisů Správce nebo ukončení jiných souvisejících smluv uzavřených se Správcem přestane vykonávat Plnění, je kterákoliv smluvní strana oprávněna ukončit tuto smlouvu výpovědí s výpovědní dobou jeden kalendářní měsíc ode dne doručení druhé smluvní straně. Výpověď z tohoto důvodu může být podána až poté, co Zpracovatel přestane vykonávat Plnění

    5. Ukončení účinnosti této smlouvy se však nedotýká ustanovení, která mají ze své povahy nebo výslovného ujednání přetrvat i po ukončení její účinnosti (typicky povinnost zachování mlčenlivosti dle odst. 4.2 této smlouvy).

Čl. VII

Závěrečná ustanovení

    1. Tato smlouva je vyhotovena ve dvou stejnopisech, přičemž každá ze smluvních stran obdrží po jednom vyhotovení.

    2. Tato smlouva může být doplněna a pozměněna pouze písemným dodatkem podepsaným oběma smluvními stranami.

    3. Pokud některé z ustanovení této smlouvy je neplatné, nebo se stane později neplatným, nemá to vliv na platnost ostatních ustanovení této smlouvy. V případě, že některé z ustanovení této smlouvy je neplatné, nebo se stane později neplatným nebo neúčinným, zavazují se smluvní strany, že ho nahradí ustanovením, které nejvíce odpovídá původní vůli smluvních stran a účelu podle této smlouvy.

    4. Smluvní strany prohlašují, že tuto smlouvu uzavírají svobodně a vážně, že jejich smluvní volnost není omezena. Smluvní strany prohlašují, že tato smlouva nebyla uzavřena za nevýhodných podmínek nebo v tísni, že si ji řádně přečetly, jejímu obsahu porozuměly a na znamení souhlasu s jejím obsahem připojují své vlastnoruční podpisy.

V Ostravě dne __________________ V _________________ dne ____________________





________________________________ ________________________________

Správce Zpracovatel


Document Metadata

Filed: July 30th, 2018