Smlouva

Smlouva

o zpracování osobních údajů

Obchodní firma: TVARBET MORAVIA, a.s.

Sídlo: Dolní Valy 3739/4, 695 01 Hodonín

IČO: 136 90 558

DIČ: CZ136 90 558

Zapsaná ve veřejném rejstříku: sp. zn. B 255, vedená u Krajského soudu v Brně Zastoupená:

(dále jen „Správce“) a

Obchodní firma:

Sídlo:

IČO:

DIČ:

Zapsaná ve veřejném rejstříku:

Zastoupená:

(dále jen „Zpracovatel“)


(Správce a Zpracovatel společně dále jen „smluvní strany“)


I. Předmět a doba trvání zpracování

1) Tato smlouva upravuje zpracování osobních údajů Zpracovatelem pro Správce na základě níže uvedených podmínek. Zpracovatel se touto smlouvou zavazuje zpracovávat osobní údaje pro Správce způsobem a za podmínek uvedených v této smlouvě a podle obecně závazných právních předpisů, především pak podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) a předpisů souvisících.

2) Při zpracování osobních údajů je Zpracovatel povinen řídit se pokyny a zájmy Správce, pokud nebudou v rozporu s relevantními právními předpisy, a také chránit osobní údaje a oprávněné zájmy subjektů údajů. V případě, že by nebylo zřejmé, zda má přednost zájem Správce nebo subjektu údajů, je Zpracovatel takovou situaci povinen neprodleně konzultovat se Správcem.

3) Zpracování osobních údajů se sjednává na dobu neurčitou, počínaje datem 25.05.2018.

II. Povaha a účel zpracování

1) Zpracování osobních údajů podle této smlouvy má povahu upravenou v příloze č. 1 této smlouvy.

2) Účelem zpracování je plnění smluvních povinností na základě smlouvy, či smluv, uzavřených mezi Správcem a Zpracovatelem před uzavřením této smlouvy, nebo kdykoli v budoucnu, nebude-li výslovně ujednáno jinak (dále jen „Kontrakt“).

3) Účel zpracování je podrobněji uveden v příloze č. 1 této smlouvy.


III. Kategorie subjektů údajů

1) Subjektem zpracování osobních údajů jsou zaměstnanci Správce, případně jiné fyzické osoby, které jsou ve smluvním vztahu ke správci, nebo vůči nimž Správce uplatňuje své oprávněné nároky, nebo které uplatňují nároky vůči správci (dále jen „Subjekt“).

2) Bližší informace o subjektech zpracování osobních údajů jsou uvedeny v příloze č. 1 této smlouvy.


IV. Typy osobních údajů, které budou zpracovávány

1) Osobní údaje Subjektů budou zpracovány v rozsahu uvedeném v příloze č. 1. Obvykle to budou jméno, příjmení, firemní emailová adresa zaměstnance / soukromá emailová adresa zaměstnance (pokud bude k dispozici), osobní číslo přidělené Subjektu správcem, adresa pracoviště, nákladové středisko, oddělení, IP adresa, výběr benefitů vč. jejich historie a hodnoty objednávek, případně další údaje nezbytně nutné k plnění účelu Kontraktu.

2) V některých případech poskytnutí zaměstnanecké výhody ve formě zdravotní služby či jiného zdravotnického či obdobného zákroku, mohou být zpracovány i zvláštní kategorie osobních údajů vypovídající o zdravotním stavu Subjektu. Takové údaje jsou vyžadovány jen v nezbytně nutném rozsahu, pokud není možné zaměstnaneckou výhodu bez jejich vyžádání poskytnout. Takové údaje jsou dle čl. 9, odst. 2, písm. e) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen „GDPR“) považované za zjevně zveřejněné ze strany Subjektu, případně za poskytování zdravotní péče či léčby na základě českého práva, ve smyslu čl. 9 odst. 2, písm. h) GDPR.


V. Práva a povinnosti správce

1) V rámci rozsahu této smlouvy ponese Správce odpovědnost za zákonnost zpracování, dodržení zákonných předpisů a nařízení na ochranu osobních údajů, včetně ochrany práv při zpracování osobních údajů.

2) Veškeré konkrétní požadavky na zpracování osobních údajů vystaví Správce písemně. Správce má právo vydat pokyny Zpracovateli ohledně rozsahu, typu a účelu zamýšleného zpracování osobních údajů a podobně.

3) Správce je povinen Zpracovatele neprodleně informovat, pokud se vyskytnou chyby nebo nepravidelnosti ve zpracování osobních údajů.

4) Správce je povinen poskytnout veškeré informace v dohodnutém formátu, který Zpracovatel potřebuje ke zpracování.

5) Správce je povinen zacházet důvěrně se všemi získanými znalostmi o obchodních tajemstvích a opatřeních na ochranu osobních údajů Zpracovatele, tj. zachovávat o nich mlčenlivost.



1) Obecné povinnosti

VI. Povinnosti Zpracovatele

a) Zpracovatel tímto potvrzuje, že zná a je si vědom příslušných předpisů o ochraně osobních údajů. Zpracovatel prohlašuje, že veškeré jeho vnitřní dokumenty jsou v souladu s konkrétními požadavky na efektivní řízení ochrany osobních údajů;

b) Zpracovatel nese odpovědnost za zákonnost zpracování osobních údajů, respektování zákonů a ostatních právních předpisů o ochraně osobních údajů;

c) v případě potřeby Zpracovatel písemně jmenuje pověřence pro ochranu osobních údajů a dle potřeby ustanoví zástupce v rámci Unie (článek 27 GDPR). Zpracovatel odpovídá za to, že pověřencem bude pouze osoba s patřičnými znalostmi a zkušenostmi v oblasti ochrany osobních údajů a dat;

d) Zpracovatel bude zpracovávat osobní údaje pouze v rozsahu prací pro Správce a dle doložených pokynů k zpracování vydaných Správcem, pokud není ze zákona povinen učinit jinak. V tomto případě informuje Správce o těchto právních předpisech a své povinnosti. Zpracovatel bude zaznamenávat všechny pokyny vydané Správcem v písemné nebo elektronické podobě, aby se předešlo případným změnám;

e) Zpracovatel bude zohledňovat povahu zpracování, bude Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv Subjektů;

f) Zpracovatel bude Správci nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež bude mít Zpracovatel k dispozici;

g) Zpracovatel je povinen zpracovávat osobní údaje získané od Správce pouze pro účely, pro které je získal;

h) Zpracovatel nesmí vytvářet žádné kopie ani duplikáty osobních údajů bez vědomí a souhlasu Správce. To se nevztahuje na záložní kopie, které jsou nezbytné pro zajištění řádného zpracování dat, zajištění funkčnosti systému, pro který jsou data zpracovávána, ani na jakákoliv data nezbytná pro splnění zákonných zásad uchovávání;

i) Zpracovatel smí poskytovat informace třetím osobám nebo Subjektům osobních údajů pouze na základě předchozího písemného souhlasu Správce, případně na základě své výslovně stanovené zákonné povinnosti;

j) pokud se Subjekt obrátí na Zpracovatele s cílem uplatnění svého nároku na základě zákonů o ochraně osobních údajů, Zpracovatel je povinen takovou žádost neprodleně předat Správci;

k) Zpracovatel poskytne na požádání Správci součinnost při udržování a aktualizaci záznamů Správce;

l) Zpracovatel rovněž povede záznamy o činnostech dle čl. 30 odstavec 2 GDPR;

m) Zpracovatel je povinen poskytnout Správci informace nezbytné pro doložení splnění povinností Zpracovatele, a umožní audity včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.


2) Další zpracovatelé

a) Zpracovatel není oprávněn využívat další zpracovatele bez předchozího konkrétního nebo obecného písemného souhlasu Správce. V případě obecného písemného souhlasu je Zpracovatel povinen Správce informovat o zamýšlených změnách ohledně zadání nebo výměny dalších zpracovatelů, přičemž Správci poskytne příležitost uplatnit vůči takovým změnám námitky;

b) přístup k příslušným osobním údajům smí být poskytnut pouze, pokud další zpracovatel splňuje nebo zajistí dodržování povinností vůči Správci dle této smlouvy a Zpracovatel bude pravidelně kontrolovat dodržování těchto povinností ze strany dalšího zpracovatele;

c) pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel;

d) pomocné služby, které jsou poskytovány Zpracovateli nebo jeho jménem nezávislým poskytovatelem služeb a jejichž účelem je poskytování podpory pro Zpracovatele při plnění svěřených služeb, nebudou dle této smlouvy považovány za další zpracovatele. Takové služby mohou zahrnovat například telekomunikační služby, úklidové služby a správu zařízení. Zpracovatel je nicméně povinen uzavřít právně závazné dohody ohledně ochrany a zabezpečení osobních údajů Správce přístupných pro nezávislé poskytovatele služeb a uplatnit odpovídající kontrolní opatření.


3) Subdodavatelé

a) Zpracovatel využívá pro účely plnění Kontraktu služeb svých subdodavatelů – poskytovatelů konkrétních služeb pro zaměstnance Správce. Tito subdodavatelé jsou považováni pro účel této smlouvy i pro účel plnění Kontraktu za příjemce osobních údajů.

4) Povinnost zachování důvěrnosti (mlčenlivosti) zaměstnanými osobami nebo obecnými zástupci

Zpracovatel je povinen zajistit, aby veškeré osoby, které mají přístup k osobním údajům patřícím Správci a které jsou pověřeny zajištěním zpracování těchto osobních údajů, přijaly závazek zachování důvěrnosti (mlčenlivosti) a musí být informovány o veškerých speciálních požadavcích na ochranu osobních údajů vyplývajících z této smlouvy, nařízení o ochraně dle GDPR a jiných právních předpisů. Povinnost zachování důvěrnosti (mlčenlivosti) zůstává v platnosti i po skončení této smlouvy.


5) Technická a organizační opatření

a) Zpracovatel má v rámci své oblasti odpovědnosti vytvořenou interní strukturu organizace zpracovatele tak, aby byla v souladu se specifickými požadavky na ochranu osobních údajů. Zpracovatel zavede a bude udržovat technická a organizační opatření a odpovídající ochranu osobních údajů správce v souladu s platnými právními předpisy o ochraně osobních údajů;

b) Zpracovatel zajistí, aby přístupová práva Zpracovatele k systémům a datům Správce byla odpovídajícím způsobem chráněna a aby k nim nezískaly přístup a nemohly je používat neoprávněné osoby;

c) Zpracovatel se zavazuje zajistit pravidelnou zálohu dat týkajících se údajů zpracovávaných jménem Správce. Zpracovatel zejména zajistí přijetí odpovídajících opatření na ochranu proti ztrátě dat, nedostupnosti dat nebo jejich zasažení malwarem;

d) Zpracovatel zajistí dostatečné oddělení dat od dat a přístupových práv dalších smluvních partnerů Zpracovatele;

e) Zpracovatel se zavazuje přijmout všechna opatření požadovaná podle čl. 32 GDPR. Popis opatření, která mají zajistit úroveň zabezpečení odpovídající rizikům, včetně, kromě jiného, případně i:

1. opatření pseudonymizace a šifrování osobních údajů

2. opatření pro zajištění průběžné důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracování a služeb

3. opatření pro obnovení včasné dostupnosti a přístupu k osobním údajům v případě fyzického nebo technického incidentu

4. proces pro pravidelné testování, hodnocení a posouzení efektivity technických a organizačních opatření pro zajištění zabezpečení zpracování, implementace opatření pro získání certifikace dle ČSN ISO/IEC 27001:2014.


6) Povinnosti v případě porušení nařízení na ochranu osobních údajů

a) Zpracovatel je povinen neprodleně informovat Správce o jakémkoli porušení zabezpečení osobních údajů Správce, o každém hrubém porušení nařízení na ochranu osobních údajů Správce, jehož se dopustí Zpracovatel nebo osoba zaměstnávaná, či sjednaná Zpracovatelem, nebo pokud se domnívá, že došlo k porušení zákonných předpisů na ochranu osobních údajů a dat. To samé platí, pokud Zpracovatel zjistí, že jeho technická a organizační opatření nejsou v souladu se zákonnými požadavky;

b) oznámení Zpracovatele musí být v souladu s článkem 33 oddílem 3 GDPR;

c) pokud se Zpracovatel domnívá, že Zpracování osobních údajů je nezákonné, musí o tom Správce neprodleně informovat;

d) Zpracovatel poskytne Správci součinnost v případě dotazů ze strany dozorčích orgánů.


7) Povinnosti inspekce

a) Zpracovatel souhlasí, že Správce nebo pověřenec pro ochranu osobních údajů Správce jsou oprávněni provádět kontrolu souladu s nařízeními a požadavky na ochranu osobních údajů, provádět inspekce implementace a efektivních opatření přijatých Zpracovatelem v jeho provozovnách, aniž by tím způsobili narušení probíhajícího provozu během normální pracovní doby. Za tímto účelem mohou Správce nebo pověřenec pro ochranu osobních údajů správce vstupovat do všech obchodních prostor, kde dochází ke zpracování objednaných činností. To vše však vždy po předchozí vzájemné domluvě;

b) na výslovnou žádost Správce Zpracovatel v rozumné lhůtě zajistí předložení důkazů formou aktuálních atestací, zpráv nebo výpisů z nich.


8) Vymazání dat a vrácení datových médií

a) Zpracovatel nesmí opravovat, vymazávat ani blokovat osobní údaje poskytnuté Správcem, pokud nejde o plnění smluvní povinnosti nebo mu k tomu nedá Správce písemný pokyn;

b) jsou-li v IT systémech Zpracovatele uloženy osobní údaje předané Správcem, vrácení dat Zpracovatelem Správci musí probíhat ve formátu schopném migrace, a to po dokončení smluvních prací nebo na žádost Správce. Vymazání dat u Zpracovatele musí být zajištěno tak, že bude vyloučena pozdější rekonstrukce vymazaných dat. Záznam o vymazání musí být na vyžádání předložen Správci. Správce musí Zpracovateli v písemné podobě potvrdit vrácení těchto údajů ve formátu schopném migrace;

c) po dokončení smluvních prací nebo na žádost Správce, musí Zpracovatel vrátit veškeré osobní údaje, které má k dispozici, včetně veškerých produktů zpracování osobních údajů vypracovaných v souvislosti s touto smlouvou uzavřenou se Správcem, nebo je zlikvidovat v souladu příslušnými právními předpisy po předchozím souhlasu Správce a vymaže existující kopie, pokud není příslušnými právními předpisy vyžadováno uložených daných osobních údajů.

d) Zpracovatel není oprávněn uchovávat údaje, které byly zpracovány v rámci smluvních činností, déle, než si písemně dohodnul se Správcem. V případě, že Zpracovatel musí ukládat data od Správce z důvodu splnění zákonné archivační lhůty, musí být tato data po uplynutí doby uchovávání vymazána.

9) Využití dalších zpracovatelů

Zpracovatel prohlašuje, že pro účel plnění Kontraktu bude využívat následující partnery:

Partner (obchodní firma, právní stav,

místo podnikání)

Místo zpracování

(úplná adresa)

Typ služby













Další zpracovatelé budou doplňováni do přílohy č. 1 této smlouvy.


VII. Ukončení smlouvy

1) Správce je oprávněn ukončit smluvní vztah okamžitým odstoupením i bez předchozího upozornění, pokud se Zpracovatel dopustí podstatného porušení této smlouvy nebo ustanovení právních předpisů na ochranu osobních údajů a od Správce tak nelze rozumně očekávat, že by řádně pokračoval ve zpracování osobních údajů až do vypršení výpovědní lhůty nebo sjednaného ukončení smlouvy.

2) Tato smlouva se uzavírá na dobu od data její účinnosti po dobu, dokud Zpracovatel zpracovává osobní údaje jménem Xxxxxxx, případně do té doby, dokud Zpracovatel nesplní povinnost dokumenty či osobní údaje vrátit a smazat, nebo dokud nezanikne jiným způsobem.


VIII. Závěrečná ustanovení

1) Tato smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami.

2) Tato smlouva nijak neomezuje povinnosti smluvních stran zachovávat mlčenlivost o důvěrných informacích a obchodních tajemstvích, které nespadají mezi osobní údaje.

3) Nevynutitelnost nebo neplatnost kteréhokoli článku, odstavce, pododstavce nebo ustanovení této smlouvy neovlivní vynutitelnost nebo platnost ostatních ustanovení této smlouvy. V případě, že jakýkoli takovýto článek, odstavec, pododstavec nebo ustanovení by mělo z jakéhokoli důvodu pozbýt platnosti (zejména z důvodu rozporu s aplikovatelnými českými zákony a ostatními právními normami), provedou Smluvní strany konzultace a dohodnou se na právně přijatelném způsobu provedení záměrů obsažených v takové části smlouvy, jež pozbyla platnosti.

4) Změny a doplňky této smlouvy je možno činit pouze písemnou formou, dodatky k této smlouvě budou číslovány a řazeny chronologicky za sebou, jinak je taková změna neplatná.

5) Tato smlouva platí také pro a proti eventuálním právním nástupcům obou Smluvních stran.

6) Smluvní strany prohlašují, že smlouvu přečetly, souhlasí s ní v celém rozsahu, že tato smlouva je projevem jejich pravé a svobodné vůle, je srozumitelná a není ani pro jednu stranu nápadně nevýhodnou a nebyla sepsána pod jednostranným nátlakem či v tísni.


V Hodoníně dne 24.05.2018 V ………… dne ………………….


Správce:

Zpracovatel:


………………………………….

Příloha č. 1 ke Smlouvě o zpracování osobních údajů

1) Povaha zpracování osobních údajů

manuální zpracování

zápis osobních údajů

shromažďování osobních údajů

ukládání osobních údajů

změny osobních údajů

kopírování osobních údajů

tisk osobních údajů

nahlížení do osobních údajů


2) Účel

Účelem zpracování osobních údajů podle této smlouvy je uzavření smlouvy o zájezdu, informování o změnách související se smlouvou o zájezdu a předání pokynů k zájezdu.

vnitřní komunikace mezi subjektem a zpracovatelem


3) Subjekty osobních údajů

zákazníci

potencionální zákazníci


4) Rozsah zpracování osobních údajů

nezbytný pro naplnění stanoveného účelu

běžné osobní údaje

jméno a příjmení

emailová adresa

telefonní číslo

akademický titul

adresa bydliště

datum narození

údaj o pohlaví

citlivé osobní údaje

zdravotní stav

Document Metadata

Filed: July 17th, 2018