Zmluva o spracúvaní osobných údajov
Zmluva o spracúvaní osobných údajov
v súlade s nariadením EPaR EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Názov: Obec Tvarožná
Právna forma: Obec - Základná škola Adresa sídla: Xxxxxxxx 00
IČO: 00326640
Čl. I
Zmluvné strany
Štatutárny zástupca: Xxx. Xxxxxx Xxxxxxxx
ďalej len „prevádzkovateľ"
a
Názov: aSc Applied Software Consultants s.r.o. Adresa sídla: Xxxxxxxxx 0, 00000 Xxxxxxxxxx
IČO: 31361161
Štatutárny zástupca: Xxx. Xxx Xxxxxxxx, konateľ
ďalej len „sprostredkovateľ"
uzatvárajú podľa článku 28 nariadenia EPaR EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie EPaR EÚ 2016/679“) túto zmluvu o sprostredkovaní spracúvania osobných údajov v informačných systémoch aScAgenda, aScEduPage, aScRozvrhy vrátane ich rozširujúcich modulov a mobilných aplikácií.
ďalej len „Informačné systémy aSc“
Čl. II
Predmet zmluvy
1. Prevádzkovateľ je podľa článku 4 bodu 7 nariadenia EPaR EÚ 2016/679 prevádzkovateľom spracúvania osobných údajov v Informačných systémoch aSc. Osobné údaje ako aj všetky ostatné dáta zadávané do Informačných systémoch aSc patria prevádzkovateľovi. Sprostredkovateľ v rámci svojej služby poskytovania softwaru ako služby (SaaS) neprichádza do priameho kontaktu s údajmi. V rámci servisu alebo opravy databáz však môže dôjsť ku kontaktu s osobnými údajmi uloženými prevádzkovateľom.
2. Prevádzkovateľ týmto poveruje sprostredkovateľa spracúvaním osobných údajov v mene
Prevádzkovateľa v Informačných systémoch aSc, ako informačných systémoch školy/ školského zariadenia podľa § 157 zákona č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov (ďalej len zákon č. 245/2008 Z. z.“).
3. Sprostredkovateľ je oprávnený spracúvať osobné údaje odo dňa nadobudnutia účinnosti tejto zmluvy.
4. Účelom spracúvania osobných údajov je uchovávanie a údržba Informačných systémov aSc, v ktorých spracúva osobné údaje prevádzkovateľ a ktoré sú fyzicky uložené na technických prostriedkoch sprostredkovateľa formou SaaS (softvér ako služba).
5. Sprostredkovateľ je oprávnený spracúvať osobné údaje, ktoré mu poskytol prevádzkovateľ alebo ich sprostredkovateľ získal v mene prevádzkovateľa, len počas dohodnutej doby, v rozsahu, na účel spracúvania a za podmienok dojednaných s prevádzkovateľom v tejto Zmluve a spôsobom podľa Nariadenia EPaR EÚ 2016/679.
Čl. III
Zoznam osobných údajov a okruh dotknutých osôb
1. Sprostredkovateľ je si vedomý, že obsahom databáz sú osobné údaje z nasledovného zoznamu osobných údajov, tento zoznam môže Prevádzkovateľ kedykoľvek rozšíriť o ďalšie položky:
a. meno, priezvisko, dátum narodenia, rodné číslo, bydlisko, rodič, zákonný zástupca, štátna príslušnosť, národnosť, vyučovací jazyk, zdravotné znevýhodnenie a nadanie, sociálne znevýhodnenie, podporné opatrenia, závery vyšetrení poradenských zariadení, vyučovanie vo väzbe, športová príprava, obrazové a zvukové dokumenty, fotografie a videá,
b. hodnotenie, študijný odbor, vzdelanie, údaje o skúškach a prijímacích konaniach, dochádzka,
c. typ zamestnanca, číslo pracovnej zmluvy, úväzok, kariérová pozícia, platová trieda, typ poberaného dôchodku.
2. Sprostredkovateľ spracúva osobné údaje dotknutých osôb na základe poverenia prevádzkovateľa.
Čl. IV
Spôsob výkonu a oprávnenia sprostredkovateľa
1. Sprostredkovateľ vykonáva spracúvanie osobných údajov prostredníctvom Informačných systémov aSc, ktoré sú prevádzkované u prevádzkovateľa, v príslušnej škole/školskom zariadení a/alebo v cloudovom priestore (riešenie Software ako Služba, SaaS) u renomovaných poskytovateľov hostingu v krajinách EU, prednostne fa. HETZNER AG, 91710 Gunzenhausen, prevádzka podľa ISO 27001:2013.
2. Osobné údaje o dotknutých osobách sa získavajú od zákonných zástupcov žiakov alebo od plnoletých žiakov, od zamestnancov alebo spolupracovníkov.
3. Na spracúvanie osobných údajov vymedzených § 11 (vedenie pedagogickej a ďalšej
dokumentácie) a v § 157 ods. 7 (poskytovanie údajov do centrálneho registra) zákona č. 245/2008 Z. z.. sa nevyžaduje súhlas dotknutej osoby.
4. Sprostredkovateľ je oprávnený na pokyn prevádzkovateľa:
1. kontrolovať konzistentnosť používateľských databáz,
2. vyhľadávať osobné údaje o dotknutej osobe za účelom ich opravy alebo zabezpečenia vecnej a časovej logickosti údajov,
3. zálohovať osobné údaje, a to na technických prostriedkoch prevádzkovateľa alebo na vlastných alebo zmluvných technických prostriedkoch sprostredkovateľa v priestore EU,
4. spracúvať osobné údaje za účelom vytvárania agregovaných štatistických zostáv po dohode s prevádzkovateľom,
5. blokovať a mazať údaje, ak sú na to splnené podmienky podľa nariadenia.
5. Sprostredkovateľ je oprávnený spracúvať osobné údaje dotknutých osôb po dobu trvania účelu spracúvania. Následnú likvidáciu údajov na pokyn prevádzkovateľa zabezpečí v súlade s ustanoveniami nariadenia EPaR EÚ 2016/679. Sprostredkovateľ pri vymazaní údajov postupuje podľa plánu výmazu, ak je tento prevádzkovateľom stanovený.
6. Sprostredkovateľ zabezpečí, že všetky ním určené oprávnené osoby boli pred spracúvaním osobných údajov poučené o zásadách spracúvania osobných údajov a o zachovaní mlčanlivosti.
Čl. V
Vyhlásenie prevádzkovateľa
Prevádzkovateľ vyhlasuje, že pri výbere sprostredkovateľa dbal na odbornú, technickú, organizačnú a personálnu spôsobilosť sprostredkovateľa a jeho schopnosť zaručiť ochranu práv dotknutých osôb.
Čl. VI
Podmienky spracúvania osobných údajov
1. Prevádzkovateľ súhlasí, aby sprostredkovateľ spracúval osobné údaje prostredníctvom inej osoby, za splnenia nasledujúcich podmienok:
a. Sprostredkovateľ môže poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa iba na základe osobitného písomného súhlasu prevádzkovateľa; pri zapojení ďalšieho sprostredkovateľa do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa je mu povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov,
b. spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, sprostredkovateľ môže umožniť prenos osobných údajov tretej strane alebo tretej krajine iba za doloženého pokynu prevádzkovateľa.
c. vykonať opatrenia na zaistenie úrovne bezpečnosti spracúvania osobných údajov,
d. poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností
bezpečnosti osobných údajov; pri zistení porušenia ochrany osobných údajov je sprostredkovateľ povinný bez zbytočného odkladu o tomto informovať prevádzkovateľa, aby bola dodržaná lehota na oznámenie dozornému orgánu do 72 hodín,
e. vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie,
f. poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
Čl. VII
Ostatné dohodnuté podmienky
1. Sprostredkovateľ postupuje pri spracúvaní osobných údajov v súlade s nariadením EPaR EÚ 2016/679.
2. Sprostredkovateľ je povinný zabezpečiť osobné údaje pred odcudzením, xxxxxxx, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia obsiahnuté v bezpečnostnej dokumentácii.
3. Prevádzkovateľ je oprávnený požadovať od sprostredkovateľa preukázanie vykonania všetkých predpísaných bezpečnostných opatrení na ochranu osobných údajov podľa ods. 2 tohto článku.
4. Sprostredkovateľ sa zaväzuje nahradiť prevádzkovateľovi všetky škody, ktoré mu vzniknú v súvislosti s nedodržaním tejto zmluvy zo strany sprostredkovateľa ak mu bol preukázaný zlý úmysel.
5. V mene Prevádzkovateľa je zodpovednou osobou určenou na vykonávanie dohodnutých vecných vzťahov a úkonov podľa tejto zmluvy: osobnyudaj.sk-sro. Prípadnú zmenu prevádzkovateľ bezodkladne oznámi sprostredkovateľovi, následne aj v písomnej forme.
6. V mene sprostredkovateľa je zodpovednou osobou určenou na vykonávanie dohodnutých vecných vzťahov a úkonov podľa tejto zmluvy Xxx. Xxx Xxxxxxxx, e-mail: xxxxxxx@xxxxx.xxx. Prípadnú zmenu prevádzkovateľ bezodkladne oznámi sprostredkovateľovi, následne aj v písomnej forme.
Čl. VIII
Záverečné ustanovenia
1. Táto zmluva sa uzatvára na dobu neurčitú.
2. Obe zmluvné strany môžu vypovedať zmluvu aj bez udania dôvodu na základe písomného oznámenia druhej strane a výpovedná lehota je tri mesiace. Výpovedná lehota začne plynúť prvý deň nasledujúceho mesiaca po mesiaci, v ktorom bola písomná výpoveď doručená druhej zmluvnej strane.
3. Oprávnené osoby sprostredkovateľa resp. subdodávateľa, ktoré budú mať prístup k osobným
údajom sú viazaní povinnosťou mlčanlivosti o týchto údajoch a to aj po zániku štátnozamestnaneckého pomeru, pracovného pomeru uzatvoreného v súlade so zákonníkom práce resp. v súlade so zákonom o výkone práce vo verejnom záujme alebo dohody o práci vykonávanej mimo pracovného pomeru v súlade so zákonníkom práce.
4. Táto zmluva sa vyhotovuje v dvoch rovnopisoch, po jednej pre každú zmluvnú stranu.
5. Práva a povinnosti neupravené touto zmluvou sa budú riadiť príslušnými ustanoveniami právnych predpismi platnými na území SR.
6. Osoby podľa článku VII. odseku 5 a 6 tejto zmluvy štandardne komunikujú prostredníctvom elektronickej pošty. V prípadoch, keď to vyžaduje zmluva, všeobecne záväzný právny predpis alebo jedna zo zmluvných strán, doručí sa aj listinná podoba požiadavky, súhlasu a pod.
7. Táto zmluva je platná po podpise oboch zmluvných strán a účinná nasledujúci deň po dni zverejnenia.
8. Zmluvné strany sa dohodli, že prípadné spory vyplývajúce z tejto zmluvy budú riešiť predovšetkým vzájomným rokovaním zástupcov zmluvných strán, v prípade pretrvávajúcich sporov vzniknutých z tohto zmluvného vzťahu bude na konanie príslušný vecne a miestne príslušný súd SR.
9. Zmeny a doplnenia tejto zmluvy možno uskutočniť len na základe dohody zmluvných strán písomným a očíslovaným dodatkom k zmluve.
10. Zmluvné strany vyhlasujú, že túto zmluvu pred jej podpísaním prečítali, že bola uzatvorené po vzájomnej dohode, podľa ich slobodnej vôle a nie v tiesni, ani za inak nápadne nevýhodných podmienok.
V .................................... dňa ................ V Bratislave dňa 24. 05. 2018
...z.a....p.r..e..v..á..d.z..k..o..v..a..t.e..ľ.a..:...
Xxx. Xxxxxx Xxxxxxxx
......................z..a...s..p..r.o..s..t.r.e..d..k..o..v.a..t.e..ľ.a..:......................
Xxx. Xxx Xxxxxxxx, konateľ aSc