Smlouva o ochraně osobních údajů

Smlouva o ochraně osobních údajů

a jejich zpracovávání a uchovávání v ZÍSKEJ

Správce osobních údajů Národní technická knihovna

sídlem 000 00 Xxxxx 0, Xxxxxxx, Xxxxxxxxx 0/0000, příspěvková organizace zřízená Ministerstvem školství, mládeže a tělovýchovy

IČ: 61387142

DIČ: CZ61387142

zastoupená ředitelem Ing. Xxxxxxxx Xxxxxxxx

(dále jen „Správce”) a

Zpracovatel osobních údajů

název instituce: …………………………………………………………………………………………………………………………………………

adresa: ………………………………………………………………………………………………………………………………………………………

kontaktní e-mailová adresa: …………………………………………………………

IČ: ………………………………………………………………

DIČ: ……………………………………………………………

zastoupená: ……………………………………………………………………………………………………………………………………………..

(dále jen „Zpracovatel”)

se v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Nařízení) a se Zákonem o zpracování osobních údajů č. 110/2019 Sb., dohodli takto:

1. Základní ustanovení

1.1 Zpracovatel na základě Smlouvy o poskytování a využívání služeb ZÍSKEJ ze dne …........................

(dále jen Smlouva) uzavřené s Národní technickou knihovnou (NTK) jako Servisním centrem ZÍSKEJ (SC ZÍSKEJ) může potencionálně zpracovávat osobní údaje koncového zákazníka jiné Spolupracující

instituce zapojené v ZÍSKEJ (subjektu údajů), jež mu byly předány Správcem za účelem poskytnutí služby dodávání dokumentů ve formě subdodávky pro systém ZÍSKEJ.

1.2 Předmět, dobu a způsob zpracování a kategorii subjektů údajů v systému určuje Knihovní řád společnosti TECH1, Provozní řád ZÍSKEJ2 a příslušná legislativa. Na základě Smlouvy nejsou zpracovávány zvláštní kategorie osobních údajů ani osobní údaje, které se týkají rozsudků v trestních věcech a trestných činů.

Osobní údaje, které jsou, ale nemusí být, předávány Zpracovateli za účelem poskytnutí zvolené služby jsou: jméno a příjmení zákazníka, e-mailový kontakt, číslo uživatelského konta v ZÍSKEJ; v případě Spolupracujících institucí též kontaktní osoba.

1.3 Zpracování osobních údajů bude probíhat v souvislosti s poskytováním služeb v systému ZÍSKEJ, které jsou popsané ve článku 4.2. Smlouvy pod body 3, 4 a 7.

2. Zpracování osobních údajů

Osobní údaje se zpracovávají v souladu s Nařízením.

2.1 Zpracovatel pro Správce na základě Smlouvy zajišťuje činnosti, při kterých dochází ke zpracování osobních údajů třetích osob spravovaných Správcem.

2.2 Osobní údaje jsou Zpracovatelem zpracovávány pouze pro účely a v rozsahu nezbytném pro plnění předmětu Smlouvy.

2.3 Osobní údaje budou v ZÍSKEJ i na straně Zpracovatele uchovávány pouze po dobu nezbytně nutnou. Jakmile pomine účel, pro který byly osobní údaje zpracovávány, Zpracovavatel osobní údaje v souladu s platnou skartační směrnicí dané instituce skartuje či anonymizuje; anonymizování osobních údajů v registrační databázi NTK a v ZÍSKEJ je plně v kompetenci SC ZÍSKEJ.

3. Povinnosti Zpracovatele

3.1 Zpracovatel je při zpracování osobních údajů na základě Xxxxxxx povinen postupovat s náležitou odbornou péčí tak, aby neporušil žádné ustanovení Nařízení.

3.2 Zpracovatel je povinen řídit se při zpracování osobních údajů pouze písemně doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného sdělení Správce, že Správce trvá na provedení takových pokynů, jinak Zpracovatel odpovídá Správci za případnou škodu způsobenou vznikem povinnosti Správce hradit škodu nebo nemajetkovou újmu v penězích subjektu osobních údajů či pokutu Úřadu na ochranu osobních údajů (ÚOOÚ).

Pokud se subjekt osobních údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho osobních údajů v rozporu s Nařízením a požádá-li Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.

1 xxxxx://xxx.xxxxxxx.xx/xxxxx/xxxxxxxx/xx/00000/

2 xxxxx://xxxxxx-xxxx.xxxxxxx.xx/xxxxxxx

3.3 Zpracovatel je povinen Správci neprodleně oznámit provádění kontroly ze strany ÚOOÚ ve věci osobních údajů zpracovávaných pro Správce a poskytnout Správci na jeho žádost podrobné informace

o průběhu kontroly a kopii kontrolního protokolu.

Zpracovatel je povinen Správci neprodleně oznámit každý případ porušení zabezpečení osobních údajů, který v souvislosti se zpracováním zjistí, a to telefonicky na číslo 232 002 437 a na e-mailovou adresu xxx.xxxxxxx@xxxxxxx.xx. V oznámení uvede veškeré informace dle čl. 33, odst. 3 Nařízení, které mu jsou známy. V případě změny kontaktních údajů dle tohoto článku bude Správce Zpracovatele neprodleně písemně informovat.

Zpracovatel je povinen, pokud je to možné při zohlednění povahy zpracování osobních údajů, být prostřednictvím vhodných technických a organizačních opatření nápomocen Správci při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektů osobních údajů, zejména na žádost o přístup k osobním údajům, o opravu či výmaz osobních údajů a o přenositelnost osobních údajů. Zpracovatel se zavazuje nepoužívat chráněné údaje pro žádné jiné účely než ty, které stanovil Správce, zejména pak pro své vlastní účely.

3.4 Zpracovatel je povinen na vyžádání ze strany Správce dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů; Správce je oprávněn si takovou dokumentaci od Zpracovatele kdykoliv vyžádat k nahlédnutí. Zpracovatel je povinen umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, avšak po předchozí písemné domluvě obou smluvních stran tak, aby nedošlo k narušení provozních a běžných činností Zpracovatele, a k těmto auditům přispěje.

3.5 Zpracovatel je Správci nápomocen při posuzování vlivu na ochranu osobních údajů při ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ či subjektům údajů a při předchozích konzultacích s ÚOOÚ, to vše při zohlednění povahy zpracování a informací, jež má k dispozici.

4. Povinnosti správce

4.1 Správce se zavazuje poskytovat Zpracovateli při plnění této Smlouvy nezbytnou součinnost.

4.2 Správce se zavazuje poskytnout Zpracovateli jakékoli podklady, jsou-li nutné pro plnění této Smlouvy, a to bezprostředně poté, co o ně Zpracovatel požádá.

4.3 Správce se zavazuje plnit informační povinnost vůči subjektům údajů podle čl. 13 a 14 Nařízení.

5. Zapojení dalšího Zpracovatele

Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele.

6. Opatření k zabezpečení ochrany osobních údajů

Zpracovatel se zavazuje, že přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů vhodná technická a organizační opatření, aby vyloučil možnost neoprávněného

nebo nahodilého přístupu k osobním údajům, k jejich změně, zničení či ztrátě, jakož i k jinému zneužití osobních údajů, zejména:

6.1 zaváže své zaměstnance a další osoby oprávněné zpracovávat osobní údaje k mlčenlivosti a poučí je o jejich dalších povinnostech, které jsou povinni dodržovat, aby nedošlo k porušení zabezpečení;

6.2 bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;

6.3 osobní údaje služby ZÍSKEJ v elektronické podobě jsou uchovávány na zabezpečených serverech NTK; přístup k nim ze strany Zpracovatele (spolupracující účastnické knihovny) budou mít pouze pověření zaměstnanci na základě přístupových kódů či hesel;

6.4 pokud pověření zaměstnanci Zpracovatele převádějí objednávky, které jim systém ZÍSKEJ přiřadil k vyřízení, do papírové či elektronické formy vně chráněného systému, zavazuje se Zpracovatel, že při jejich zpracování, manipulaci a uchování dodrží předpisy vyplývající z Nařízení a osobní data v nich obsažená bude archivovat jen po dobu nezbytně nutnou se zřetelem k vlastní spisové a skartační směrnici.

7. Odpovědnost za škody

7.1 Zpracovatel odpovídá Správci za škodu způsobenou v důsledku porušení povinností uložených Zpracovateli Nařízením nebo touto Smlouvou, zejména je-li v důsledku porušení povinností Zpracovatele Správce povinen hradit náhradu škody nebo nemajetkové újmy subjektu osobních údajů či pokutu ÚOOÚ.

7.2 Rovněž Správce je povinen řídit se Nařízením i veškerou platnou legislativou vztahující se k této problematice a odpovídá za škody způsobené v důsledku porušení těchto povinností, jakožto administrátora služby ZÍSKEJ.

7.3 Zpracovatel je i po zániku Xxxxxxx povinen dodržovat veškeré povinnosti plynoucí mu z Nařízení, zejména předejít jakémukoliv neoprávněnému nakládání s osobními údaji.

8. Závěrečná ustanovení

8.1 Uzavřením této Smlouvy se ostatní body Smlouvy nemění.

8.2 Smluvní strany shodně prohlašují, že si tuto Smlouvu řádně přečetly, rozumí jejímu obsahu, souhlasí a zavazují se k jejímu plnění, což stvrzují svými podpisy.

8.3 Tato Smlouva je vypracována ve 2 vyhotoveních s platností originálu; každá ze smluvních stran obdrží po jednom vyhotovení.

V Praze V ………………………………………………………..

dne……………………………………………………….. dne…………………………………………………….

…………………………………………………………….. ……………………………………………………………. podpis a razítko Správce podpis a razítko Zpracovatele