IČO: 72050365
Smlouva o zpracování osobních údajů
uzavřená dle § 44 zákona č. 110/2019 Sb., o zpracování osobních údajů a o změně některých zákonů, ve
znění pozdějších předpisů (dále jen „Zákon“)
Smluvní strany:
Technologická agentura České republiky
se sídlem: Evropská 1692/37, 160 00 Praha 6
IČO: 72050365
Zastoupena: Xxxxxxxx Xxxxxxxx, ředitelem Kanceláře TA ČR
(dále jen „Správce“) na straně jedné
a
Certisys s.r.o.
Místo podnikání: Vodičkova 000/00, Xxxx Xxxxx, 000 00 Xxxxx 0 XXX: 02029081
(dále jen „Zpracovatel“) na straně druhé
(nebo též společně jako “Strany” či „Smluvní strany“, a každý jednotlivě „Strana“)
uzavřely níže uvedeného dne, měsíce a roku v souladu s § 44 Zákona v souvislosti s výběrem nejvhodnější nabídky ve veřejné zakázce Sdílený informační systém TA ČR, tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva“).
Preambule
Smluvní strany spolu uzavřely Rámcovou dohodu k veřejné zakázce „Sdílený informační systém TA ČR“ (dále jen „Dohoda“) na základě které Zpracovatel poskytuje Informační systém Technologické agentury ČR - ISTA (dále jen „IS“) pro Správce.
Služby poskytované na základě Dohody zahrnují aktivity, při kterých dochází ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu Zákona, resp. ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení“).
Článek I. Účel smlouvy
1. Strany se dohodly, že Zpracovatel bude ve smyslu článku 4 bodu 2 Nařízení pro Správce zpracovávat osobních údaje, které Správce získal nebo získá v souvislosti se svou činností v rámci plnění povinností Zpracovatele vyplývajících z Dohody.
2. Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele souvisejících se zajištěním
ochrany osobních údajů při jejich zpracování v rámci plnění předmětu Dohody.
Článek II.
Předmět smlouvy
1. Předmětem této Smlouvy je vymezení vzájemných práv a povinností při zpracování osobních údajů, ke kterému dochází v důsledku výkonu činností vymezených v článku 3 této Smlouvy.
2. Tato Xxxxxxx dále stanoví rozsah osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení osobních údajů.
Článek III.
Účel a rozsah zpracování osobních údajů
1. Osobní údaje jsou pro Správce zpracovávány Zpracovatelem pro účely a v rozsahu nezbytném pro
a) plnění povinností vyplývajících z Dohody, a to zejména vývoje a poskytnutí IS k využívání Správcem pro podporu plnění úkolů poskytovatele účelové podpory ve smyslu zákona č. 130/2002 Sb., konkrétně:
- Zpracování osobních údajů zaměstnanců Správce pro účely administrace uživatelů pro přístup do informačního systému, a v souvislosti s provozem informačního systému
- Zpracování osobních údajů oponentů projektů
- Zpracování osobních údajů žadatelů a příjemců dotace (dále též souhrnně jako „Osobní údaje“)
b) řešení dalších provozních požadavků, a dále opravu dat a dalších chyb IS včetně dat obsahujících Osobní údaje,
c) poskytování služeb jako jsou analýzy, projekty, programátorské práce, datové převody, konzultace a podobné činnosti v dohodnutém rozsahu, a
d) a další zásahy do IS či souvisejících datových souborů.
2. Za účelem uvedeným v článku 3 odst. 1 této Smlouvy pověřuje Správce Zpracovatele zpracováním osobních údajů externích uživatelů IS (expertů, příjemců a uživatelů výsledků (dále též „Subjekty údajů“) v rozsahu
a) jméno, příjmení, rodné číslo, kontaktní údaje: telefon a e-mail, síťový identifikátor a další identifikační a adresní údaje
b) dalších údajů, které mohou být poskytnuty Subjekty údajů Správci a jsou zpracovány v rámci
IS.
Dále je Zpracovatel oprávněn zpracovávat tyto kategorie osobních údajů - hlavní výčet uvedených osobních údajů– identifikační (jméno, příjmení, datum narození, adresa trvalého pobytu), identifikační rozšířené (akademický titul, rodné příjmení, číslo dokladu totožnosti), kontaktní (e- mail, telefon), pracovní (pracovní zařazení, pozice, zaměstnavatel), elektronické (přihlašovací jméno, heslo, typy oprávnění), dotační (osobní údaje vyplývající z požadavků dotačních pravidel), ekonomické (výše vyplacené částky dotace/odměny hodnotiteli, číslo účtu) a další údaje, které mohou být poskytnuty Subjekty údajů Správci a jsou zpracovány v rámci IS.
3. Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy, pokud není jejich další zpracování spojené s plněním právních povinností, které se na Zpracovatele vztahuje.
Článek IV.
Povinnosti zpracovatele
1. Zpracovatel zpracovává Osobní údaje na základě této Smlouvy pouze na základě doložených pokynů Správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na Správce vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
2. Zpracovatel zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti
nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
3. Zpracovatel se v souladu s čl. 28 bodem 3 Nařízení zavazuje, že přijme všechna opatření požadovaná podle článku 32 Nařízení.
4. Zpracovatel bude dodržovat podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2
a 4 čl. 28 Nařízení, které jsou rovněž uvedeny v ust. čl. IV bodě 5 a 6 této Smlouvy.
5. Zpracovatel není oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“) bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí každého Dalšího zpracovatele nebo jeho/jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
6. Pokud Zpracovatel zapojí Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Zákona či Nařízení. Neplní-li uvedený Další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně prvotní Zpracovatel.
7. Zpracovatel je povinen na žádost Správce kdykoli umožnit provedení auditu či monitoringu týkající
se zpracování osobních údajů.
8. Zpracovatel je povinen zohledňovat povahu zpracování, je povinen být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III Nařízení.
9. Zpracovatel se zavazuje, že bude Správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 Nařízení, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
10. Jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů je Zpracovatel ve smyslu § 48 Zákona povinen na základě a v souladu s pokyny Správce provést výmaz Osobních údajů nebo tyto Osobní údaje předat Správci.
11. Zpracovatel je povinen v souladu s rozhodnutím Správce všechny osobní údaje buď vymazat, nebo je vrátit Správci po ukončení poskytování služeb spojených se zpracováním, a vymazat existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů. Případné předání všech osobních údajů zpět Správci ze strany Zpracovatele proběhne na základě protokolu.
12. Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené čl. 28 Nařízení, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.
Článek V.
Záruky o technickém a organizačním zabezpečení ochrany osobních údajů
1. Zpracovatel se zavazuje, že ve smyslu § 46 Zákona, resp. článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření zabezpečení ochrany Osobních údajů způsobem uvedeným v Zákoně, Nařízení či v jiných závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení do odevzdání nebo zničení dle čl. IV odst. 5 zpracování Osobních údajů.
2. Zpracovatel se zavazuje zejména, nikoliv však výlučně, že přijme následující organizační a technická opatření:
a) aniž by byl dotčen článek 5 odst. 3 této Smlouvy, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Zákona, Nařízení či této Smlouvy;
b) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených zaměstnanců Zpracovatele;
c) Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel a bude Osobní údaje pravidelně zálohovat;
d) zajistí důvěrnost, integritu, dostupnost, odolnost systémů a služeb zpracování.
Článek VI.
Doba trvání a ukončení smlouvy
1. Tato Smlouva nabývá platnosti a účinnosti dnem vložení Dohody do registru smluv a vyprší nejdříve se zánikem účinnosti Dohody.
2. Správce je oprávněn tuto Smlouvu vypovědět ve lhůtě tří (3) dnů v případě, že Zpracovatel poruší některou ze svých povinností podle této Smlouvy a toto porušení nenapraví do 15 dnů od písemného vyrozumění Správcem. Zánik této Smlouvy na základě výpovědi podle tohoto odstavce
bude mít současně za následek zánik Xxxxxxx o poskytování služeb se stejnými účinky, jako kdyby byla Smlouva o poskytování služeb ukončena výpovědí.
3. Zpracovatel je oprávněn tuto Smlouvu vypovědět ve lhůtě tří (3) dnů v případě, že Správce porušuje povinnosti vyplývající pro něj ze Zákona či Nařízení a Správce nezjedná nápravu závadného stavu do patnácti (15) dnů od oznámení Zpracovatele.
4. Kterákoli ze Stran je oprávněna tuto Smlouvu vypovědět bez udání důvodu, a to s výpovědní dobou v délce tří (3) měsíců, která začne běžet prvním dnem měsíce následujícího po měsíci, kdy byla výpověď doručena druhé Straně.
5. Zpracovatel je nabytím účinnosti výpovědi dle článku VI odst. 2, 3 a 4 této Smlouvy nebo dnem ukončení Smlouvy o poskytování služeb povinen Správci veškeré zpracovávané Osobní údaje vrátit nebo je vymazat ve smyslu článku IV odst. 11 této Smlouvy, pokud není jejich další zpracování spojené s plněním právních povinností, které se na Zpracovatele vztahuje.
6. Povinnost zachování mlčenlivosti a důvěrné povahy Osobních údajů trvá i po ukončení této
Smlouvy.
Článek VII.
Závěrečná ustanovení
1. Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad, se budou řídit právním řádem České republiky, zejména Zákonem a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
2. Strany se zavazují vzájemně spolupracovat a poskytovat si informace potřebné pro plnění svých povinností z této Smlouvy, a to v souladu s pravidly uvedenými ve Smlouvě o poskytování služeb.
3. Bude-li jakékoliv ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem zdánlivým, neplatným, neúčinným nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy.
4. Strany se zavazují vyřešit jakýkoliv spor vzniklý v souvislosti s plněním této Smlouvy smírnou cestou. V případě, že se Stranám nepodaří vyřešit spor smírnou cestou do třiceti (30) dnů, je kterákoli ze Stran oprávněna předložit spor věcně a místně příslušnému soudu dle platných a účinných právních předpisů.
5. Jakékoliv doplňky či změny této Smlouvy musí být učiněny písemně formou číslovaných dodatků.
6. Tato Smlouva je vyhotovena a podepsána ve dvou (2) shodných vyhotoveních v jazyce českém, přičemž každá Strana obdrží po jednom vyhotovení.
7. Zpracovatel není oprávněn svá práva z této Smlouvy postoupit na třetí osobu bez souhlasu Správce.
8. Strany této Smlouvy si její obsah přečetli a na důkaz toho připojují své podpisy.
V Praze dne 26. 5. 2020 | V Praze dne 20. 5. 2020 | |
Správce Xxxxxx Xxxxxx ředitel Kanceláře TA ČR | Zpracovatel Xxx. Xxxx Xxxxxxx jednatel Certisys s.r.o. |