SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Níže uvedeného dne, měsíce a roku uzavřely smluvní strany:
Společnost:
Se sídlem:
IČO:
DIČ:
Zastoupená:
Kontaktní email:
Společnost je zapsána v obchodním rejstříku vedeném Krajským soudem v , sp. zn.
(dále též „Správce“) a
Společnost: MiCoS SOFTWARE s.r.o.
Se sídlem: Daliborova 426/25, 709 00 Ostrava - Mariánské Hory IČO: 25900749
DIČ: CZ25900749
Zastoupená: Ing. Xxxxxxx Xxxxxxxxx, jednatelem Kontaktní email: xxxxxxxx@xxxxx-xx.xx
Společnost je zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě, sp. zn. C 25000 (dále též „Zpracovatel“)
(Zpracovatel a Správce dále společně také jako „Strany“ nebo jednotlivě jako „Strana“) tuto smlouvu o zpracování osobních údajů (dále též „Smlouva“):
1. Úvodní ustanovení
1.1 Na základě Smlouvy o Poskytování Podpory a následné písemné objednávky nebo požadavku v Helpdesk supportu Zpracovatel poskytuje Správci opravu dat nebo vyřešení technického problému (dále též
„Služba“).
1.2 V rámci poskytování Služby mohou být poskytována, užívána či dotčena data, obsahující osobní údaje ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále též jako „GDPR“).
2. Předmět Smlouvy
2.1 Tato Smlouva upravuje práva a povinnosti Stran ve vztahu ke zpracování osobních údajů v rámci Služby.
3. Předmět, povaha a účel zpracování
3.1 Účelem zpracování osobních údajů je výlučně plnění požadavku Služby, a to online přístupem do databáze Správce pomocí prostředků vzdálené správy (např. Teamviewer) nebo zasláním databáze Zpracovateli.
1
Xxxxx Xxxxxxxxxxxxxx smlouvy:
3.2 Předmětem zpracování podle Smlouvy mohou být následující osobní údaje:
a) Identifikační údaje zaměstnanců nebo zákazníků (zejména jméno, příjmení, tituly, osobní číslo);
b) Kontaktní údaje zaměstnanců nebo zákazníků (zejména email, telefon);
c) Technické údaje (zejména IP adresy počítače a mobilních zařízení).
3.3 Kategorie subjektů údajů, jejichž osobní údaje mohou být zpracovávány, jsou následující:
a) Zaměstnanci;
b) Zákazníci.
3.4 Osobní údaje budou zpracovávány pouze v elektronické podobě.
4. Práva a povinnosti Zpracovatele
4.1 Zpracovatel prohlašuje a zavazuje se, že:
a) dozví-li se o porušení nebo hrozícím porušení zabezpečení osobních údajů, náhodném nebo protiprávním zničení, ztrátě, změně nebo neoprávněném poskytnutí či zpřístupnění zpracovávaných osobních údajů, neprodleně, nejpozději však do 24 (dvaceti čtyř) hodin, písemně informuje Správce a co nejlépe popíše vzniklé či hrozící bezpečnostní riziko, přičemž Správci sdělí vhodná opatření pro zabránění nebo minimalizaci porušení zabezpečení Služby a přijme veškerá potřebná opatření pro minimalizaci škody;
b) bude osobní údaje zpracovávat pouze v rámci EU či EHP;
c) osobní údaje budou zabezpečeny v souladu s čl. 5 Smlouvy;
d) osobní údaje bude zpracovávat pouze v souladu se Smlouvou nebo na základě jiných doložených pokynů Správce;
e) bude Správci nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů a ohlašování porušení tohoto zabezpečení;
f) zajistí Správci prostřednictvím vhodných technických a organizačních opatření součinnost, nejpozději do 14 (čtrnácti) dnů od vznesení požadavku Správce, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů;
g) poskytne Správci na jeho žádost neprodleně, nejpozději však do jednoho týdne, veškerou součinnost nutnou k prokázání, že jsou osobní údaje dostatečně organizačně a technicky zabezpečeny;
h) bude vést záznamy o všech kategoriích činností zpracování dle čl. 30 odst. 2 GDPR prováděných pro Správce.
4.2 Zpracovatel se zavazuje v případě přijetí jakékoliv žádosti třetí osoby týkající se zpracování osobních údajů, zejména žádosti subjektu údajů, týkající se výkonu jeho práv, Správce neprodleně, nejpozději však do jednoho týdne od přijetí, o takové skutečnosti informovat a poskytnout mu nezbytnou součinnost pro její vyřízení v souladu s GDPR.
4.3 Zpracovatel se zavazuje nevyužít pro zpracování osobních údajů jakéhokoliv dalšího zpracovatele bez předchozího písemného povolení Správce, které bude uděleno pro konkrétní osobu dalšího zpracovatele. Správce nesmí povolení k využití dalšího zpracovatele bezdůvodně odmítnout.
4.4 Zpracovatel je povinen umožnit Správci či jím pověřené osobě kontrolu (včetně auditu či inspekce podle pravidel auditů uvedených v příloze A) dodržování Smlouvy, zejména povinností pro zpracování osobních údajů z ní vyplývajících, a k těmto kontrolám přispěje.
5. Bezpečnost osobních údajů
5.1 Zpracovatel přijal a zavazuje se udržovat tato opatření pro zajištění zabezpečení zpracování osobních údajů po celou dobu zpracování:
a) Organizační opatření:
o pracovníci Zpracovatele jsou pravidelně školeni na zásady a principy ochrany osobních údajů a kybernetickou bezpečnost;
o Zpracovatel přijal vnitropodnikové směrnice pro nakládání s osobními údaji a hodnotnými informacemi jeho partnerů;
o všichni pracovníci Zpracovatele jsou zavázáni k mlčenlivosti minimálně v rozsahu předaných osobních údajů.
b) Technická opatření:
o Vzdálený přístup (do uživatelského prostředí Správce):
▪ volbu typu vzdáleného přístupu, způsob připojení, délku připojení, způsob ochrany a zabezpečení vzdáleného přístupu provádí Správce;
▪ vzdálený přístup použije za Zpracovatele pouze pověřená osoba, a to ze zabezpečeného počítače, chráněného antivirovým programem, firewallem, heslem a případně dalšími prostředky k zabránění přístupu neoprávněným osobám.
o Zaslání databáze:
▪ databázi Strany uloží vždy pouze na zabezpečený FTPS server Zpracovatele;
▪ databáze bude vždy chráněna heslem;
▪ databáze bude uložena na zabezpečeném FTPS serveru Zpracovatele co nejkratší dobu, nejdéle 24 hodin v rámci pracovního týdne;
▪ veškerá komunikace ohledně databáze bude probíhat pouze přes zabezpečený Helpdesk support Zpracovatele;
▪ s databází bude za Zpracovatele pracovat pouze oprávněná osoba, a to ze zabezpečeného počítače, chráněného antivirovým programem, firewallem, heslem a případně dalšími prostředky k zabránění přístupu neoprávněným osobám.
5.2 Zpracovatel zabezpečí Službu před kybernetickými útoky nejnovějším a nejlepším způsobem s přihlédnutím k povaze osobních údajů a stavu techniky. Zpracovatel odpovídá za poškození osobních údajů třetí stranou, pokud se prokáže, že nebyly odpovědně zabezpečeny v souladu s čl. 5. Smlouvy.
6. Doba trvání Smlouvy
6.1 Osobní údaje budou zpracovávány po dobu trvání Smlouvy nebo do doby výmazu všech Osobních údajů dle Smlouvy.
6.2 Po skončení Smlouvy bez ohledu na způsob a důvod jejího skončení Zpracovatel veškeré osobní údaje zpracovávané na základě Smlouvy trvale zničí, s výjimkou případů, kdy je uložení osobních údajů vyžadované právem České republiky nebo Evropské unie.
7. Další ujednání
7.1 Zpracovatel je oprávněn vyúčtovat Správci vynaložené náklady spojené s kontrolou podle čl. 4.4. Smlouvy. Tyto náklady Zpracovatel vyúčtuje Správci do 30 (třiceti) dnů od jejich vzniku na základě faktury, jejíž nále- žitosti budou odpovídat fakturaci poskytování Služby.
7.2 Strany se dohodly, že veškerá komunikace mezi Stranami, týkající se zpracování osobních údajů podle Xxxxxxx, tedy zejména při poskytování součinnosti a poskytování informací, bude probíhat prostřednictvím e-mailu uvedeného v hlavičce této Smlouvy u Správce a Zpracovatele. Tím však není dotčena povinnost Správce dodržet dohodnutý způsob komunikace při samotném poskytování podpory podle aktuálních Podmínek poskytování podpory Zpracovatele uvedených na webu xxxxx://xxx.xxxxx-xx.xx/x/xxxxxxxx- podminky, zejména prostřednictvím webové aplikace Helpdesk support.
7.3 Správce má právo na náhradu škody, která mu vznikne v souvislosti s porušením povinností Zpracovatele. Zpracovatel však není povinen nahradit Správci škodu, jež převyšuje škodu, kterou v době uzavření Xxxxxxx Zpracovatel jako možný důsledek porušení svých povinností předvídal nebo kterou bylo možno předvídat s přihlédnutím ke skutečnostem, jež v uvedené době Zpracovatel znal nebo měl znát při obvyklé péči.
V Ostravě, dne V , dne
MiCoS SOFTWARE s.r.o.
Xxx. Xxxxx Xxxxxxx, jednatel
Příloha A
PRAVIDLA AUDITŮ
1. Xxxxxxxxxx žádost o audit je Správce povinen zaslat výhradně na emailovou adresu Zpracovatele xxxx@xxxxx-xx.xx
2. Po obdržení žádosti o audit se Správce a Zpracovatel dopředu dohodnou na: (a) možném termínu provedení auditu, bezpečnostních opatření a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a (b) předpokládaném začátku, rozsahu a době trvání auditu a bezpečnostních opatření a způsobu zajištění dodržení závazků mlčenlivosti během auditu.
3. Zpracovatel může po Správci požadovat uhrazení poplatku (založeného na opodstatněných nákladech) za jakýkoliv audit vyžádaný Správcem. Před započetím auditu sdělí Zpracovatel Správci podrobnosti ohledně tohoto poplatku nebo způsobu jeho výpočtu. Veškeré náklady auditorů jmenovaných Správcem k provedení auditu nese Správce.
4. Zpracovatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není auditor podle názoru Zpracovatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Zpracovateli nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Správce povinnost pověřit jiného auditora, nebo provést audit sám.