SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Státní fond rozvoje bydlení
se sídlem: Xxxxxxxxxxx 0000/00, 000 00 Xxxxx 0
zastoupená: *****
IČO: 708 56 788
Bankovní spojení: *****
Číslo účtu: *****
odkaz na pověřence pro ochranu osobních údajů: ***** (dále jen "Správce")
na straně jedné a
Pilscom, s.r.o.
zaps. v obchodním rejstříku vedeném Krajským soudem v Plzni, v odd. C vl 9762, se sídlem: Xxxxxxxxx xxxx 00, 000 00 Xxxxx
zastoupené: *****
IČO: 25219103 DIČ: CZ25219103
bankovní spojení:***** číslo účtu:*****
(dále jen "Zpracovatel")
na straně druhé.
(společně dále jen „Smluvní strany“)
Smluvní strany uzavřely dále uvedeného dne, měsíce a roku ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) tuto
smlouvu o zpracování osobních údajů (dále jen „Smlouva“)
PREAMBULE
(A) Mezi Stranami byla dne 18. 2. 2010 uzavřena Smlouva o poskytování služeb, jejímž předmětem je zajištění provozu aplikačního programového vybavení „Elektronická spisová služba AthenA včetně integrace s IS DS pro 1 datovou schránku“ (dále jen “Smlouva o poskytování služeb“).
(B) Služby poskytované na základě Smlouvy o poskytování služeb zahrnují aktivity, při kterých může docházet ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“) přímo aplikovatelného od 25. 5. 2018.
(C) Smluvní strany mají zájem na tom dostát všem povinnostem, které jim vyplývají (i) z Nařízení a (ii) z adaptačního právního předpisu, který bude navazovat na Nařízení a zároveň zruší a nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „Adaptační právní předpis“).
(D) Na základě článku 28 Nařízení je Správce povinen uzavřít se Zpracovatelem písemnou smlouvu
o zpracování osobních údajů, ve které Zpracovatel mimo jiné poskytne dostatečné záruky
o technickém a organizačním zabezpečení ochrany osobních údajů.
(E) Smluvní strany uzavírají tuto Smlouvu za účelem splnění povinnosti dle Nařízení a zabezpečení ochrany osobních údajů zpracovávaných Smluvními stranami v rámci vzájemných smluvních vztahů.
(F) Smluvní strany mají zájem na tom, aby tato Smlouva pokrývala veškeré činnosti zpracování osobních údajů, které Zpracovatel provádí pro Správce v souvislosti s poskytováním služeb na základě Smlouvy o poskytování služeb.
1. ÚČEL SMLOUVY
1.1 Smluvní strany se dohodly, že Zpracovatel bude dle čl. 4 odst. 2 Nařízení pro Správce zpracovávat osobní údaje, které Správce získal nebo získá v souvislosti se svou činností (dále jen „Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících ze Smlouvy o poskytování služeb.
1.2 Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování.
2. PŘEDMĚT SMLOUVY
2.1 Předmětem této Smlouvy je vymezení vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů ve smyslu odst. 1.1 Smlouvy.
2.2 Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.
3. XXXX, ROZSAH A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3.1 Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele dle Xxxxxxx o poskytování služeb.
3.2 Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje zaměstnanců, klientů a dodavatelů Správce (dále jen „Subjekty údajů“) v rozsahu stanoveném v Příloze č. 1, v níž je rovněž definován typ Osobních údajů a kategorie Subjektů údajů.
3.3 V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími (i) z Nařízení a (ii) z Adaptačního právního předpisu a (iii) z této Smlouvy.
3.4 Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy.
4. ODMĚNA ZA SLUŽBY ZPRACOVATELE
Smluvní strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli zvláštní odměna. Zpracovateli rovněž nevzniká nárok na náhradu jakýchkoliv nákladů, které Zpracovateli v souvislosti se zpracováním Osobních údajů dle této Smlouvy vzniknou.
5. PRÁVA A POVINNOSTI ZPRACOVATELE
5.1 Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení či Adaptačního právního předpisu.
5.2 Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.
5.3 Jakmile pomine účel, pro který byly Osobní údaje zpracovány, zejména v případě zániku Smlouvy
o poskytování služeb, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci nebo předání Osobních údajů Správci včetně všech existujících kopií těchto Osobních
údajů s výjimkou případů, kdy je dle práva Unie nebo členského státu Zpracovatel povinen tyto Osobní údaje uchovávat.
5.4 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu s právním předpisem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo o odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
5.5 Zpracovatel je povinen Správci neprodleně oznámit provedení kontroly ze strany dozorového úřadu v oblasti ochrany osobních údajů, zejména Úřadu pro ochranu osobních údajů a poskytnout Správci na jeho žádost podrobné informace o průběhu kontroly a kopii kontrolního protokolu. V případě zahájení správního řízení o uložení opatření k nápravě a/nebo uložení pokuty (dále jen „Správní řízení“) je Zpracovatel rovněž povinen tuto skutečnost neprodleně oznámit Správci a poskytnout Správci na jeho žádost podrobné informace o průběhu a výsledcích Správního řízení, popř. Správci poskytnout plnou moc k nahlížení do spisu týkajícího se Správního řízení. Zpracovatel je povinen plnit povinnosti kontrolované osoby dle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, a zavazuje se poskytnout Správci kopii rozhodnutí o odstranění nebo prevenci nedostatků zjištěných kontrolou, pokud je takové opatření k nápravě kontrolním orgánem či kontrolujícím uloženo.
5.6 Zpracovatel je povinen informovat Správce o každém případu ztráty či úniku Osobních údajů, neoprávněné manipulace s Osobními údaji nebo jiného porušení zabezpečení Osobních údajů (dále jen „Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu, nejpozději do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo i pouhé hrozby, jestliže Zpracovatel mohl o tomto Porušení zabezpečení Osobních údajů či i o hrozbě vzniku Porušení zabezpečení Osobních údajů vědět při vynaložení veškeré odborné péče. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty dle předchozí věty tohoto článku, informuje Zpracovatel Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozví. Zpracovatel je i po poskytnutí informace Správci povinen být maximálně nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.
5.7 Informace dle odst. 5.6 této Smlouvy musí přinejmenším obsahovat:
(a) popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;
(b) popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;
(c) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
5.8 Za nesplnění povinnosti Zpracovatele dle odst. 5.4, 5.6 a 5.7 může Správce požadovat po Zpracovateli zaplacení smluvní pokuty ve výši pokuty v daném konkrétním případě uložené ze strany dozorového orgánu. Smluvní pokuta dle předchozí věty je splatná ve lhůtě patnácti (15) dnů ode dne písemného vyrozumění Zpracovatele Správcem. Uplatněním nároku na smluvní pokutu není nijak dotčen případný nárok Správce na náhradu škody přesahující smluvní pokutu. Ustanovení o smluvní pokutě přetrvává i v případě zániku účinnosti této Smlouvy.
6. ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
6.1 Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.
6.2 Zpracovatel se zavazuje zejména, xxxxxxx však výlučně, že přijme následující organizační a technická opatření:
(a) zajistí závazek mlčenlivosti u osob oprávněných a podílejících se na zpracování Osobních údajů dle Smlouvy o poskytování služeb, případně dalších smluv uzavřených mezi Smluvními stranami v budoucnu. Povinnost mlčenlivosti se nevztahuje na informace, které:
- je Zhotovitel povinen sdělit ze zákona,
- jsou veřejně známé, a to ne v důsledku porušení této povinnosti,
- jsou Objednatelem vysloveně označeny jako nedůvěrné. Tento závazek platí i po zániku účinnosti této Smlouvy;
(b) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než pověřených zaměstnanců Zpracovatele;
(c) bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
(d) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel, a bude Osobní údaje pravidelně zálohovat;
(e) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
(f) písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;
(g) bude v co největší míře zpracovávat pouze pseudonymizované a šifrované Osobní údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucích ze zpracování Osobních údajů;
(h) zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
(i) prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
(j) zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a
(k) při ukončení zpracování Osobních údajů zajistí Zpracovatel dle čl. 5.3 této Smlouvy bezpečnou fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.
6.3 Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Mimo Další zpracovatele, vůči kterým Správce nic nenamítal, Zpracovatel nesvěří zpracování Osobních údajů žádné třetí osobě.
6.4 Pokud Zpracovatel zapojí ve smyslu předchozího odst. 6.3 této Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy povinnosti na ochranu Osobních údajů alespoň v rozsahu, v jakém jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Neplní-li Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel.
6.5 Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s právními předpisy.
6.6 Zpracovatel odpovídá Správci za škodu vzniklou v důsledku porušení povinností v souvislosti se zpracováváním Osobních údajů v souladu s touto Smlouvou.
7. DOBA TRVÁNÍ A UKONČENÍ SMLOUVY
7.1 Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Smluvními stranami a její platnost a účinnost skončí nejdříve se zánikem účinnosti Xxxxxxx o poskytování služeb. Platnost a účinnost Smlouvy neskončí v případě, že Smluvní strany uzavřely nebo v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů dle čl. 3.2. Platnost
a účinnost této Smlouvy skončí současně se zánikem účinnosti této jiné smlouvy, resp. se zánikem účinnosti poslední z takto uzavřených smluv.
7.2 Povinnost zachování důvěrné povahy Osobních údajů dle čl. 6.1 a závazek zachování mlčenlivosti dle čl. 6.2 písm. (a) trvá i po ukončení této Smlouvy.
7.3 Tato Smlouva může být ukončena dohodou Smluvních stran.
8. USTANOVENÍ SOUVISEJÍCÍ S NABYTÍM ÚČINNOSTI NAŘÍZENÍ
8.1 Zpracovatel se zavazuje být Správci nápomocen při zajišťování povinností dle Nařízení, především povinnosti zabezpečit zpracování Osobních údajů, ohlašovat případy Porušení zabezpečení Osobních údajů, zajištění posouzení vlivu na ochranu Osobních údajů či předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
8.2 Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů.
8.3 Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů včetně zpracování prostřednictvím Dalších zpracovatelů, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.
9. ZÁVĚREČNÁ USTANOVENÍ
9.1 Správce zpracovává osobní údaje fyzických osob oprávněných zastupovat Zpracovatele za účelem a v rozsahu nezbytném pro plnění této Smlouvy a za účelem a v rozsahu nezbytném pro splnění dalších právních povinností. Správce zpracovává dané osobní údaje pouze po dobu nezbytně nutnou pro naplnění stanovených účelů. Při zpracovávání těchto osobních údajů postupuje Správce v souladu s Nařízením.
9.2 Rozsah a další podrobnosti ohledně postupu zpracování osobních údajů fyzických osob oprávněných zastupovat Poskytovatele Objednatelem a jejich práv v souvislosti s ochranou osobních údajů jsou uvedeny v Informačním memorandu o zpracování osobních údajů dle čl. 13 a
14 Nařízení GDPR, které je uveřejněno na internetových stránkách Objednatele: xxxx://xxx.xxxx.xx/x-xxxx/xxxxxxx-xxxxxxxx-xxxxx-xxxx/.(xxxx jen „Informační memorandum“).
9.3 Zpracovatel podpisem této Smlouvy stvrzuje, že se seznámil se zněním Informačního memoranda.
9.4 Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad, se budou řídit právním řádem České republiky, zejména Nařízením a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
9.5 Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Smluvní strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
9.6 Smluvní strany se zavazují vyřešit jakýkoli spor vzniklý v souvislosti s plněním této Smlouvy smírnou cestou. V případě, že se Smluvním stranám nepodaří vyřešit spor smírnou cestou do třiceti (30) dnů, je kterákoli ze Smluvních stran oprávněna předložit spor věcně a místně příslušnému soudu dle platných a účinných právních předpisů.
9.7 Jakékoliv doplňky či změny této Smlouvy s výjimkou změny Přílohy č. 1 musí být učiněny formou vzestupně číslovaných písemných dodatků podepsaných oprávněnými zástupci obou Smluvních stran. Rozsah zpracovávaných Osobních údajů stanovený v Příloze č. 1 může Správce rozšířit či jinak změnit při zachování písemné formy i bez nutnosti uzavírat dodatek této Smlouvy (oznámení o změně Přílohy č. 1 doručené Zpracovateli prostřednictvím e-mailu bude dostačující).
9.8 Tato Smlouva je vyhotovena a podepsána ve dvou (2) shodných vyhotoveních v českém jazyce, přičemž každá ze Smluvních stran obdrží jedno vyhotovení.
9.9 Smluvní strany tímto výslovně prohlašují, že si tuto Smlouvu před jejím podpisem přečetly, že byla uzavřena po vzájemném projednání a že vyjadřuje jejich pravou a svobodnou vůli, na důkaz čehož připojují oprávnění zástupci Smluvních stran níže své vlastnoruční podpisy.
9.10 Nedílnou součást této Smlouvy tvoří následující příloha:
Příloha č. 1 – Rozsah zpracovávaných Osobních údajů
Místo: Praha Datum: 25. 9. 2018 | Místo: Plzeň Datum: 6. 9. 2018 | |
Jméno: ***** Funkce: ředitel Státní fond rozvoje bydlení | Jméno:***** Funkce: jednatelka firmy Pilscom s.r.o. |
PŘÍLOHA Č. 1
ROZSAH ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ
Zpracovatel bude zpracovávat Osobní údaje následujících Kategorií Subjektů údajů dle Smlouvy zejména v následujícím rozsahu:
• Zaměstnanci
• Klienti
• Dodavatelé
Zpracovatel bude zpracovávat Osobní údaje Subjektů údajů dle Smlouvy zejména v následujícím rozsahu:
(a) jméno a příjmení;
(b) datum narození;
(c) rodné číslo;
(d) adresa trvalého pobytu;
(e) místo narození;
(f) číslo občanského průkazu;
(g) státní občanství;
(h) rodinný stav
(i) výše příjmu;
(j) zaměstnavatel;
(k) kontaktní adresa;
(l) další kontaktní údaje (telefonní číslo, e-mailová adresa);
(m) číslo bankovního účtu;
(n) pozice;
(o) IČ;
(p) DIČ;
(q) razítko;
(r) číslo smlouvy;
(s) počátek splácení;
(t) výše pohledávky;
(u) údaje o platbách;
(v) údaje o úvěrovaných nemovitostech;
(w) údaje o dosavadním vymáhání;
(x) údaje o stavu úvěrového závazku;
(y) datum převzetí zásilky o vyčíslení pohledávky po odstoupení od smlouvy;
(z) oprávnění; (aa) podpis;
(bb) číslo autorizace;
(cc) údaje třetích osob vztahujících se k subjektu údajů (manžel, manželka, ručitel, dítě, xxxxx)
(dd) dokumenty vztahující se k osobám, jejichž osobní údaje jsou zpracovávány ve spisové službě Athena