Dodatek o zpracování údajů ke smlouvě o dílo
Dodatek o zpracování údajů ke smlouvě o dílo
Vývoj aplikace „ADIS – Legislativní a procesní změny v roce 2016 a 2017“
uzavřený podle ustanovení § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, v platném znění a v souladu s § 222 zákona č. 134/2016 Sb., o zadávání veřejných zakázek
Číslo zákazníka: 794484
Číslo smlouvy o dílo: CES012P
Číslo dodatku: CES012P/D1
Evidenční číslo GFŘ: 1122E7/16/7500-40175-050225
Smluvní strany
Česká republika – Generální finanční ředitelství
se sídlem Xxxxxxxx 00/0, 000 00 Xxxxx 0
zastoupená generálním ředitelem
Pověřeným pro věcná jednání v rámci tohoto dodatku za Objednatele je Xxx. Xxxx Xxxxxxxx, ředitel Sekce informatiky.
Bankovní spojení: DIČ: CZ7208004E
IČO: 7208004E
dále jen „Objednatel“ nebo „Zákazník“
a
IBM Česká republika, spol. s r.o.
se sídlem X Xxxxx 0000/0, 000 00 Xxxxx 0 – Xxxxxx
registrovaná Obchodní rejstřík vedený Městským soudem v Praze, oddíl C, vložka č. 692 zastoupená jednatelem společnosti, nebo
jednatelem společnosti
Pověřeným pro věcná jednání v rámci tohoto dodatku za Zhotovitele je Xxx. Xxxxx Xxxxx, XxX. Bankovní spojení:
DIČ: CZ14890992
IČO: 14890992
dále jen „Zhotovitel“ nebo „IBM“
Objednatel a Zhotovitel se dohodli na uzavření dodatku č. CES012P/D1 (dále jen „Dodatek“ nebo
„DPA“) ke Smlouvě o dílo č. CES012P (dále jen „Smlouva“) v následujícím znění:
Tento Dodatek o zpracování údajů (DPA) a Příloha k DPA se vztahují ke Zpracování osobních údajů společností IBM jménem Objednatele – dále jen Zákazníka (Osobních údajů Zákazníka) za účelem poskytování služeb dohodnutých ve Smlouvě (dále jen Služba) Vývoj aplikace „ADIS – Legislativní a procesní změny v roce 2016 a 2017“ se zákaznickým číslem: 1122E7/16/7500-40175-050225 podepsané Zákazníkem dne: 2. 11. 2016. Tento DPA podléhá podmínkám Smlouvy (pojmy s počátečními velkými písmeny, které zde nejsou definovány, mají význam uvedený v Obecném nařízení o ochraně osobních údajů 2016/679 (General Data Protection Regulation, GDPR)). V případě rozporu bude mít Příloha k DPA přednost před DPA, který má přednost před Smlouvou, s výjimkou situací výslovně stanovených ve Smlouvě a označujících relevantní Oddíl DPA, před nímž má přednost.
.1 Zpracování
výhradním Správcem Osobních údajů Zákazníka nebo (b) obdržel instrukce a oprávnění příslušných Správců, aby vyjádřil souhlas se Zpracováním osobních údajů Zákazníka společností IBM, jak je stanoveno v tomto DPA. Zákazník jmenuje společnost IBM Zpracovatelem, který bude Zpracovávat osobní údaje Zákazníka. Pokud existují další Správci, Zákazník je identifikuje a informuje společnost IBM o existenci těchto dalších Správců ještě před poskytnutím jejich Osobních údajů, jak je stanoveno v čl. 7. Přílohy k DPA.
Subjektů údajů, typů Osobních údajů Zákazníků, Zvláštních kategorií osobních údajů a činností při zpracování je uveden v Příloze k DPA pro danou Službu. Doba trvání Zpracování odpovídá době trvání Služby, pokud není v Příloze k DPA uvedeno jinak. Povahou, účelem a předmětem Zpracování je poskytování Služby, jak je popsáno v příslušné Smlouvě.
Zpracovávat Osobní údaje Zákazníka podle písemných pokynů Zákazníka. Rozsah pokynů Zákazníka týkajících se Zpracování Osobních údajů Zákazníka je vymezen Smlouvou, tímto DPA a používáním a konfigurací a případně funkcí Služby ze strany Zákazníka a jeho oprávněných uživatelů. Zákazník může poskytnout i další pokyny, pokud je k tomu ze zákona povinen (Další pokyny). Pokud je společnost IBM přesvědčena, že tyto Další pokyny porušují GDPR nebo jiná platná nařízení na ochranu osobních údajů, společnost IBM informuje o této skutečnosti bez zbytečného prodlení Zákazníka a může pozastavit poskytování služeb, dokud Zákazník nezmění nebo písemnou formou nepotvrdí zákonnost těchto Dalších pokynů. Pokud společnost IBM oznámí Zákazníkovi, že Další pokyny není možné uskutečnit, nebo pokud Zákazník informuje společnost IBM, že neakceptuje nabídku Dalších pokynů připravených v souladu s Oddílem 10.2, Zákazník může ukončit předmětnou Službu v souladu se Smlouvou.
jediné kontaktní místo pro IBM. Protože ostatní Správci mohou mít ve vztahu ke společnosti IBM určitá přímá práva, Zákazník se zavazuje uplatňovat všechna tato práva jejich jménem a získat veškerá potřebná oprávnění od ostatních Správců. Společnost IBM bude zproštěna své povinnosti informovat nebo uvědomit jiného Správce, pokud takové informace nebo oznámení poskytne Zákazníkovi. Podobně bude i společnost IBM sloužit jako jediné kontaktní místo pro Zákazníka ve vztahu k jeho povinnostem Zpracovatele podle tohoto DPA.
vztahu ke Službám dodržovat veškeré právní předpisy a nařízení v EHP (Právní předpisy na ochranu osobních údajů) platné pro Zpracovatele. Společnost IBM neodpovídá za zjištění zákonných požadavků, které jsou platné pro činnost Zákazníka, ani za zjištění, zda poskytování Služeb ze strany společnosti IBM splňuje požadavky těchto právních předpisů. Ve vztahu mezi stranami je za soulad Zpracování Osobních údajů Zákazníka se zákonem odpovědný Zákazník. Zákazník nebude využívat Služby ve spojení s Osobními údaji, pokud by tak došlo k porušení příslušných Právních předpisů na ochranu osobních údajů.
.2 Technická a organizační opatření
implementuje a bude udržovat technická a organizační opatření stanovená v Příloze k DPA (TOM), aby byla zajištěna odpovídající úroveň zabezpečení vzhledem k rizikům a rozsahu odpovědnosti společnosti IBM. TOM podléhají technickému a jinému vývoji. Proto si společnost IBM vyhrazuje právo upravit TOM, za předpokladu, že tato úprava nijak nenaruší funkčnost a zabezpečení Služeb. IBM Zákazníkovi písemně oznámí každou jednotlivou úpravu TOM a Zákazník má právo proti každé jednotlivé úpravě TOM vznést námitku do E0 dnů od oznámení. V případě podané námitky bude IBM hledat alternativní TOM, který by byl pro Zákazníka akceptovatelný. Pokud takový TOM neexistuje a je zároveň pro poskytování služeb dle Xxxxxxx nezbytný, bude o tom IBM Zákazníka neprodleně informovat. V takovém případě budou smluvní strany jednat o možnosti úpravy TOM a dohodnutou změnu potvrdí formou písemného dodatku ke Smlouvě.
TOM představují odpovídající úroveň ochrany Osobních údajů Zákazníka s ohledem na rizika spojená se Zpracováním osobních údajů Zákazníka.
.3 Práva a požadavky Subjektů údajů
zákona bude společnost IBM informovat Zákazníka o požadavcích Subjektů údajů vyplývajících z výkonu jejich práv Subjektů údajů (např. na opravu, výmaz a blokování údajů), adresovaných přímo společnosti IBM ve vztahu k Osobním údajům zákazníka. Zákazník odpovídá za reakce na tyto požadavky Subjektů údajů. Společnost IBM poskytne Zákazníkovi přiměřenou součinnost při reakcích na tyto požadavky Subjektů údajů v souladu s Oddílem 10.2.
vznese nárok přímo vůči společnosti IBM kvůli porušení svých práv, Zákazník odškodní společnost IBM za veškeré náklady, poplatky, náhrady škody, výdaje nebo ztráty vyplývající z tohoto nároku, za předpokladu, že společnost IBM informovala Zákazníka o tomto nároku a dala Zákazníkovi příležitost spolupracovat se společností IBM při obraně před tímto nárokem a na jeho narovnání a zároveň k porušení práv Subjektu údajů nedošlo v důsledku porušení povinností společnosti IBM. V souladu s podmínkami této Smlouvy může Zákazník vznést nárok na částky zaplacené společností IBM Subjektu údajů za porušení jeho práv Subjektu údajů způsobené porušením povinností společnosti IBM dle GDPR.
.4 Požadavky třetích osob a důvěrnost
neposkytne Osobní údaje Zákazníka žádné třetí osobě, pokud ji k tomu Zákazník nezmocní nebo to nebude vyžadovat zákon. Pokud si vláda nebo Dozorový orgán vyžádají přístup k Osobním údajům zákazníka, společnost IBM informuje Zákazníka o této skutečnosti ještě před poskytnutím těchto údajů, pokud to není zákonem zakázáno.
vyžaduje, aby se všichni její pracovníci, kteří jsou oprávněni Zpracovávat Osobní údaje Zákazníků, zavázali k zachování důvěrnosti a aby nezpracovávali tyto Osobní údaje Zákazníků k žádným jiným než Smlouvou sjednaným účelům, s výjimkou situace, kdy si to vyžádá Zákazník nebo to bude požadováno platným zákonem.
.5 Audit
a usnadní audity, včetně kontrol, prováděné Zákazníkem nebo jiným auditorem, kterého Zákazník pověří, u Společností IBM, které zpracovávají Osobní údaje Zákazníků, v souladu s následujícími postupy:
.a Na základě písemné žádosti Zákazníka společnost IBM poskytne Zákazníkovi nebo jím pověřenému auditorovi aktuální certifikace anebo souhrnné sestavy auditů, které nechala společnost IBM provést za účelem pravidelného testování, posuzování a vyhodnocování efektivity TOM.
.b Společnost IBM poskytne Zákazníkovi přiměřenou součinnost v podobě poskytnutí dostupných dalších informací týkajících se TOM, aby Zákazník těmto opatřením lépe porozuměl.
.c Pokud Zákazník bude potřebovat další informace, aby mohl splnit vlastní povinnosti (nebo povinnosti ostatních Správců) ve vztahu k auditu nebo požadavek kompetentního Dozorového orgánu, Zákazník bude písemně informovat společnost IBM, aby mu mohla společnost IBM tyto informace poskytnout nebo mu k nim umožnit přístup.
.d Pokud nebude možné splnit povinnost auditu nařízenou platnými právními předpisy jiným způsobem, mohou subjekty, jimž to nařizuje zákon (např. vládní regulační agentura vykonávající dohled nad provozem Zákazníka), Zákazník nebo jím pověřený auditor provést fyzickou návštěvu v prostorách, kde je poskytována Služba, a sice během běžné pracovní doby a pouze takovým způsobem, který bude co nejméně narušovat provoz IBM, s tím, že načasování této návštěvy bude koordinováno tak, aby se snížilo riziko pro ostatní Zákazníky IBM.
své vlastní náklady ve vztahu k odstavcům a. a b. Oddílu 5.1. Jakákoli další podpora bude poskytnuta v souladu s ustanoveními Oddílu 10.2.
.6 Vrácení nebo odstranění Osobních údajů Zákazníka
nebo po uplynutí její platnosti společnost IBM buď odstraní, nebo vrátí Osobní údaje Zákazníka do jeho vlastnictví, jak je uvedeno v Příloze k DPA, pokud není platnými právními předpisy upraveno jinak.
.7 Dílčí zpracovatelé
společnost IBM k tomu, aby zapojila smluvní partnery do Zpracování osobních údajů Zákazníka (Dílčí zpracovatelé). Seznam aktuálních Dílčích zpracovatelů je uveden v Příloze k DPA. Společnost IBM předem informuje Zákazníka o veškerých změnách Dílčích zpracovatelů, jak je uvedeno v Příloze k DPA. Do E0 dnů od oznámení společnosti IBM o zamýšlené změně může Zákazník vznést námitku proti přidání Dílčího zpracovatele z důvodu, že by toto přidání mělo za následek porušení platných právních požadavků Zákazníkem nebo v případě, že na straně Zákazníka existuje oprávněný zájem, aby nedošlo k přidání konkrétního Dílčího zpracovatele. Námitka Zákazníka bude vznesena písemně a bude zahrnovat specifické důvody Zákazníka pro danou námitku a možnosti, jak případně danou situaci řešit. Pokud Zákazník v daném období nevznese žádnou námitku, může být příslušný Dílčí zpracovatel pověřen Zpracováním osobních údajů Zákazníka. Společnost IBM bude od všech schválených Dílčích zpracovatelů před vlastním Zpracováním jakýchkoli Osobních údajů Zákazníků těmito Dílčími zpracovateli vyžadovat v zásadě podobné povinnosti týkající se ochrany osobních údajů, jako jsou stanoveny v DPA.
oprávněnou námitku vůči přidání Dílčího zpracovatele a společnost IBM nebude schopna úplně přerušit spolupráci s touto osobou, potom IBM v souladu s požadavkem zákazníka nepoužije tuto osobu jako Dílčího zpracovatele, ale může ji využít jako subdodavatele bez přístupu k osobním údajům zákazníka. V tom případě IBM informuje o této skutečnosti Zákazníka. Každá ze smluvních stran pak může ukončit předmětnou Službu v souladu se Smlouvou.
.8 Přeshraniční zpracování údajů
tímto DPA Zákazník uzavírá Standardní smluvní doložky EU s Dílčími zpracovateli usazenými buď mimo Evropský hospodářský prostor, nebo v zemích, jejichž úroveň ochrany osobních údajů považuje Evropská komise za dostatečnou (Dovozci údajů). Dovozci údajů, kteří jsou Společnostmi IBM, jsou tzv. "Dovozci údajů IBM". Seznam Dílčích zpracovatelů a Dovozců údajů je uveden v Příloze k DPA, jejím čl. 5.
informuje společnost IBM o jiném Správci a společnost IBM proti tomu do E0 dnů po tomto oznámení Zákazníka nevznese námitku, Zákazník vyjádří jménem těchto ostatních Správců souhlas, nebo pokud nemůže vyjádřit souhlas, obstará si jej od těchto ostatních Správců, a ti se stanou dalšími vývozci údajů ve smyslu Standardních smluvních doložek EU uzavřených mezi Dovozci údajů IBM a Zákazníkem. Společnost IBM zajistila přijetí souhlasu těchto ostatních Správců ze strany Dovozců údajů IBM. Zákazník poskytne souhlas a v relevantních případech zajistí souhlas ostatních Správců s tím, že Standardní smluvní doložky EU, včetně veškerých nároků, které z nich vyplývají, podléhají podmínkám stanoveným v této Smlouvě, včetně vyloučení a omezení odpovědnosti. V případě rozporu mají přednost Standardní smluvní doložky EU.
zapojí v souladu s Oddílem 7. nového Dílčího zpracovatele, který je Dovozcem údajů IBM, společnost IBM si obstará souhlas tohoto nového Dovozce údajů IBM se Standardními smluvními doložkami EU a Zákazník svým jménem anebo jménem ostatních Správců, pokud to lze uplatnit, předem odsouhlasí, že tento Dovozce údajů IBM může být dalším dovozcem údajů v souladu se Standardními smluvními doložkami EU. Pokud Zákazník nemůže vyjádřit souhlas za Správce, zajistí Zákazník souhlas daného Správce. Pokud nový Dovozce údajů není Společností IBM (Dovozce údajů, který je třetí osobou), dle uvážení společnosti IBM (i) Zákazník uzavře samostatné Standardní smluvní doložky EU, jak je poskytne společnost IBM, nebo (ii) Dovozce údajů IBM uzavře s tímto Dovozcem údajů, který je třetí osobou, písemnou smlouvu, která bude zavazovat Dovozce údajů, který je třetí osobou, stejnými povinnostmi, jaké jsou kladeny na Dovozce údajů IBM podle Standardních smluvních doložek EU.
.9 Porušení ochrany osobních údajů
zjistí, že došlo k Porušení ochrany osobních údajů v souvislosti s poskytováním Služeb, informuje o tom Zákazníka bez zbytečného odkladu. Společnost IBM co nejrychleji vyšetří případ Porušení ochrany osobních údajů, pokud k němu došlo v infrastruktuře IBM nebo v jiné oblasti, za kterou odpovídá IBM, a poskytne Zákazníkovi podporu, jak je stanoveno v Oddílu 10.
.10 Podpora
v přiměřeném rozsahu pomáhat Zákazníkovi za pomoci TOM za účelem splnění závazků
Zákazníka ve věci práv Subjektů údajů a při zajišťování souladu se závazky Zákazníka vztahujícími se k zabezpečení Zpracování, oznámení o Porušení ochrany osobních údajů a k Hodnocení dopadu na ochranu osobních údajů, přičemž společnost IBM bude brát v úvahu všechny informace, které má k dispozici.
jakoukoli podporu uvedenou v tomto DPA písemnou formou. V případě, že požadovaná podpora bude nad rámec této Smlouvy, bude tato podpora poskytnuta IBM v souladu s ustanovením § 222 zákona č. 1E4/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů a bude pro tuto podporu vyžadováno uzavření dodatku ke Smlouvě, a to s výjimkou podpory poskytované v důsledku Porušení ochrany osobních údajů v infrastruktuře IBM, která je poskytována bezplatně. Poplatky musí být stanoveny v nabídce a odsouhlaseny oběma stranami písemně, nebo jak je stanoveno v příslušném ustanovení o řízení změn v této Smlouvě.
.11 Závěrečná ustanovení
byla změněna nebo modifikována v tomto Dodatku, platí v plném rozsahu všechna ustanovení Smlouvy o dílo č. CES012P a Změnových řízení č. CES012P/ZŘ1, CES012P/ZŘ2, CES012P/ZŘE, CES012P/ZŘ4, CES012P/ZŘ5 a CES012P/ZŘ6 .
.11.2 Nedílnou součástí tohoto
Dodatku je Příloha k DPA, která obsahuje obchodní tajemství.
.11.E Smluvní strany potvrzují,
že si tento Dodatek přečetly, rozumí mu, a souhlasí s jeho podmínkami.
platnosti a účinnosti dnem jeho podpisu oběma smluvními stranami a je vyhotoven ve třech stejnopisech s platností originálu, z nichž dva obdrží Objednatel a jeden obdrží Zhotovitel.
Za Zhotovitele: Za Objednatele:
Razítko Razítko
IBM Česká republika, spol. s r.o. Česká republika –
Generální finanční ředitelství
6.8.2018 24.9.2018
Jméno (čitelně) Datum Jméno (čitelně) Datum