SMLOUVA
SMLOUVA
o ochraně informací
uzavřená v souladu nařízením Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů) a rovněž v souladu s Bezpečnostní politikou informací statutárního města Karviné mezi
statutární město Karviná
Sídlo: Fryštátská 72/1, 733 24 Karviná-Fryštát
Zastoupeno: Ing. Xxxxx Xxxxxx, primátorem
K podpisu oprávněn: XXXx. Xxxx Xxxxxxxxx, MPA, vedoucí Odboru organizačního, na základě pověření ze dne 2. 1. 2018
IČO: 00297534
(dále jen „správce“)
a
zpracovatel...
Sídlo: …doplnit...
Zastoupen: …doplnit...
K
podpisu oprávněn: …doplnit...
IČO: …doplnit...
(dále
jen „zpracovatel“)
Úvodní ustanovení
Zvláštní smlouvou se rozumí smlouva, uzavřená mezi správcem a zpracovatelem za účelem poskytování dodávek nebo služeb zpracovatele správci.
Bezpečnostní politikou dle této smlouvy se rozumí vnitřní směrnice správce, upravující postupy při ochraně informací a řízení informační a kybernetické bezpečnosti, zejména „Bezpečnostní směrnice pro dodavatele“, která je přílohou této smlouvy.
Informacemi dle této smlouvy se rozumí veškeré informace, údaje a data, které se zpracovatel doví v přímé i nepřímé souvislosti s plněním předmětu zvláštní smlouvy nebo přístupem zpracovatele k prostředkům pro zpracování informací správce nebo při poskytnutí informací správcem ke zpracování zpracovateli, zejména všechna data, dokumenty, počítačová média a informace všech druhů a v jakékoliv formě, hmotné či nehmotné, které jsou vzájemně poskytovány smluvními stranami písemně nebo ústně, při prezentaci či jinak v souladu se zvláštní smlouvou nebo k nim zpracovatel získal nahodilý přístup. Obsahem informací mohou být též osobní údaje podle nařízení Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“).
Předmět smlouvy a pověření
Předmětem této smlouvy je závazek zpracovatele zajistit ochranu informací správce a dodržovat při tom nařízení a bezpečnostní politiku správce při plnění předmětu zvláštní smlouvy. Za tímto účelem bude mít dodavatel přístup k některým informacím a osobním údajům objednatele.
Správce pověřuje zpracovatele, aby z důvodu plnění předmětu zvláštní smlouvy zpracovával a uchovával informace pouze po dobu, která je nezbytná k účelu jejich zpracování, zejména ke splnění předmětu zvláštní smlouvy.
Povinnosti zpracovatele
Zpracovatel je povinen:
zpracovávat informace v souladu s účelem, k němuž byly shromážděny;
přijmout taková opatření, aby při zpracovávání a uchovávání informací nemohlo dojít k neoprávněnému nebo nahodilému přístupu k informacím, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování nebo jinému zneužití;
zlikvidovat ty informace, které u dodavatele v průběhu zpracování vznikly, jakmile pomine účel, pro který byly zpracovávány.
Zpracovatel není oprávněn bez souhlasu správce pověřit jiný subjekt zpracováním a uchováváním informací dle této smlouvy. Zpracovatel není taktéž oprávněn umožnit přístup informacím a k prostředkům pro zpracování informací správce jiným osobám, které nejsou zaměstnanci zpracovatele.
Bezpečnostní politika
Zpracovatel se zavazuje při zpracování a ukládání informací anebo při přístupu k prostředkům pro zpracování informací správce dodržovat bezpečnostní politiku.
Zpracovatel ručí za to, že všichni jeho zaměstnanci, kteří přicházejí do styku s informacemi dle této smlouvy anebo mají přístup k prostředkům pro zpracování informací správce, budou s bezpečnostní politikou seznámeni a budou ji dodržovat.
V případě, že správce vydá novou verzi bezpečnostní politiky, uvědomí o tom zpracovatele doručením jejího nového znění do datové schránky zpracovatele, příp. jiným prokazatelným způsobem. Doručením nového znění bezpečnostní politiky se má za to, že zpracovatel a jeho zaměstnanci se s ním prokazatelně seznámili. Zpracovatel a jeho zaměstnanci jsou povinni dodržovat ustanovení nového znění bezpečnostní politiky od následujícího pracovního dne po jeho doručení.
Záruka zpracovatele
Zpracovatel výslovně prohlašuje, že má dostatečné technické a organizační zabezpečení ochrany informací a prostředků pro zpracování informací dle této smlouvy a za tato zabezpečení dává plnou záruku.
Zpracovatel se zavazuje poskytnout správci veškeré informace potřebné k doložení splnění všech povinností dle této smlouvy a za tím účelem umožní správci audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil.
Závěrečná ujednání
Poruší-li zpracovatel jakoukoliv povinnost dle této smlouvy, nařízení nebo bezpečnostní politiky, je správce oprávněn požadovat po zpracovateli smluvní pokutu ve výši 50.000,-Kč (slovy: padesát tisíc korun českých) za každé porušení povinnosti. Tím není dotčen nárok na náhradu škody.
Tato smlouva se uzavírá na dobu neurčitou. Xxxxxxxxxx ze smluvních stran může bez udání důvodů smlouvu písemně vypovědět. Výpověď je účinná dnem následujícím po dni doručení výpovědi druhé smluvní straně, přičemž závazky a povinnosti dodavatele přetrvávající i po zániku smlouvy, jak z textu této smlouvy vyplývají, zůstávají i nadále v platnosti.
Tato smlouva nabývá platnosti a účinnosti dnem podpisu obou smluvních stran.
Tato smlouva je vyhotovena elektronicky a podepsána uznávanými elektronickými podpisy oprávněných osob. Za datum podpisu se považuje údaj uvedený v časovém razítku, pokud není, pak datum uvedené v elektronickém podpisu podepisující strany.
|
|
……………………………………… …doplnit... …doplnit... |
……………………………………… XXXx. Xxxx Xxxxxxxxx, MPA vedoucí Odboru organizačního |
Příloha – Bezpečnostní politika
STATUTÁRNÍ MĚSTO
KARVINÁ
Bezpečnostní
politika informací SMK
Bezpečnostní
směrnice pro dodavatele (verze 4)
Úvodní ustanovení
Pro účely této směrnice se rozumí:
správcem orgán statutárního města Karviné nebo jím zřízená příspěvková organizace, v níž se uplatňuje tato bezpečnostní politika,
zpracovatelem subjekt, který má se správcem uzavřenu smlouvu za účelem poskytování dodávek nebo služeb (dále jen „zvláštní smlouva“) a smlouvu o ochraně informací,
informacemi veškeré informace, údaje a data, které se zpracovatel doví v přímé i nepřímé souvislosti s plněním předmětu zvláštní smlouvy nebo přístupem zpracovatele k prostředkům pro zpracování informací správce nebo při poskytnutí informací správcem ke zpracování zpracovateli, zejména všechna data, dokumenty, počítačová média a informace všech druhů a v jakékoliv formě, hmotné či nehmotné, které jsou vzájemně poskytovány smluvními stranami písemně nebo ústně, při prezentaci či jinak v souladu se zvláštní smlouvou nebo k nim zpracovatel získal nahodilý přístup; obsahem informací mohou být též osobní údaje podle zvláštního předpisu1,
uživatelem zaměstnanec zpracovatele, jemuž byly zpřístupněny informace nebo prostředky pro zpracování informací správce,
prostředky pro zpracování informací jakékoliv analogové nebo digitální zařízení nebo počítačový program, který slouží k pořizování, ukládání, zpracování či likvidaci informací,
sjednaným úkonem se rozumí činnost zpracovatele, která spočívá ve zpracování informací nebo provedení změny v prostředcích pro zpracování informací v souvislosti s plnění zvláštní smlouvy,
škodlivým kódem počítačový program určený ke vniknutí do počítačového systému, získání neoprávněného přístupu k informacím nebo poškození počítačového systému,
bezpečnostní událostí každá událost, která může ohrozit bezpečnost informací, prostředků nebo služeb v důsledku selhání bezpečnostních opatření nebo porušení bezpečnostní politiky,
bezpečnostním incidentem narušení bezpečnosti informací, služeb nebo prostředků v důsledku bezpečnostní události,
bezpečnostní slabinou zjištěný stav prostředků nebo prostředí, který může způsobit vznik bezpečnostního incidentu.
Tato směrnice stanovuje povinnosti zpracovatele spojené s přístupem k informacím správce nebo jeho prostředkům pro zpracování informací (dále jen „prostředky“). Je závazná pro všechny zaměstnance zpracovatele, kteří mají přístup k informacím a prostředkům správce. Xxxx zaměstnanci zpracovatele (dále jen „uživatelé“) mají povinnost seznámit se a dodržovat tuto bezpečnostní směrnici.
Obecná pravidla pro nakládání s informacemiZpracovatel je povinen přijmout a zavést všechna opatření, aby zajistil důvěrnost, dostupnost, integritu a odolnost systémů, služeb a prostředků a byl schopen obnovit dostupnost informací a přístup k nim v případě bezpečnostního incidentu.
Uživatel musí se všemi informacemi správce, se kterými přijde do styku, zacházet jako s informacemi chráněnými, bez ohledu na jejich skutečné zařazení do stupně klasifikace, která je definována v Celkové bezpečnostní politice. Tato klasifikace se na uživatele dle této bezpečnostní směrnice nevztahuje.
Uživatel nesmí bez souhlasu správce ukládat jakékoliv informace získané z prostředků správce mimo tyto prostředky.
Informace, které byly uloženy mimo prostředky správce, musí uživatel po ukončení provádění sjednaného úkonu zničit (skartovat). Skartací informací a dat se rozumí zničení jejich fyzického nosiče nebo smazání z datových úložišť tak, aby je nebylo možné znovu obnovit.
Uživatel nesmí bez souhlasu správce jakýmkoliv způsobem sdělovat nebo poskytovat jiným osobám jakékoliv informace získané od správce nebo z jeho prostředků.
Ochrana informací se nevtahuje na informace, které jsou zjevně informacemi veřejnými, a nevztahuje se na ně ochrana dle jiného předpisu1.
Pravidla pro zpracování osobních údajůZpracovatel je povinen zajistit, aby všichni uživatelé byli zavázáni k mlčenlivosti.
Uživatelé smí zpracovávat osobní údaje pouze na základě doložených pokynů správce.
Zpracovatel bez předchozího písemného povolení správce nesmí zapojit do zpracování osobních údajů další subjekt. V případě zapojení dalšího subjektu, je zpracovatel povinen na základě smlouvy mu stanovit povinnosti a odpovědnosti ve stejném rozsahu, jak stanovuje tato bezpečnostní politika zpracovateli.
Zpracovatel je povinen se správcem spolupracovat při naplňování práv subjektů údajů.
Pravidla pro zálohování datUživatel je povinen vždy před provedením sjednaného úkonu zajistit bezpečné zálohování dat, která by mohla být při prováděným úkonem dotčena. Záloha dat musí být provedena takovým způsobem, aby umožňovala obnovení stavu před provedením sjednaného úkonu.
Záložní data nesmí být bez souhlasu správce uložena mimo jeho prostředky. Uživatel musí správce informovat o umístění záložních dat.
Smazání záložních dat provádí buď správce, nebo uživatel na základě souhlasu správce. Dobu uchování záložních dat určuje správce.
Pravidla pro uživatelské účtyPro přístup k některým prostředkům správce zřizuje uživateli uživatelský účet. Uživatelský účet je vždy identifikován jménem a příjmením uživatele a smí jej používat pouze osoba, pro kterou byl zřízen.
Uživatelský účet může být zřízen pouze na dobu nezbytnou pro provádění činností sjednaných ve zvláštní smlouvě.
Zřízení a změny uživatelských účtů schvaluje vždy bezpečnostní správce. Ten ověřuje, že byly splněny podmínky udělení přístupu uživateli, zejména, že jsou se zpracovatelem řádně uzavřeny smlouvy o ochraně informací.
Žádost o zřízení nebo změnu uživatelského účtu podává uživatel. Vzor žádosti stanoví bezpečnostní správce.
V případě zřízení nového uživatelského účtu předá správce uživateli jeho identifikační údaje: přihlašovací jméno a jednorázové heslo, které si musí uživatel po prvním přihlášení změnit.
Identifikační údaje k uživatelskému účtu, zejména přístupové heslo, musí uživatel udržovat v tajnosti a nesmí je poskytovat žádným dalším osobám.
Identifikační údaje k uživatelskému účtu, zejména přístupové heslo, uživatel nesmí zapisovat na lehce přístupná místa. V případě, že si chce pro vlastní potřebu uložit záznam o přihlašovacích údajích, musí to učinit tak, aby nebyl přístupný žádné jiné osobě.
Uživatel nesmí umožnit žádné další osobě pracovat s prostředky správce prostřednictvím svého uživatelského účtu.
V případě podezření na vyzrazení hesla je uživatel povinen neprodleně své heslo změnit.
Požadavky na kvalitu přístupového hesla:
Minimální délka: 8 znaků;
Minimální složitost (komplexita): alespoň jeden znak z každé skupiny: velká písmena, malá písmena, číslice.
Uživatelský účet smí být aktivní pouze na dobu nezbytnou pro provedení sjednaného úkonu. Mimo tuto dobu bude účet znepřístupněn.
Uživatel je povinen vždy předem informovat správce o termínu zahájení provádění sjednaného výkonu. Na základě toho mu správce zpřístupní jeho uživatelský účet.
Uživatel je povinen vždy bezodkladně informovat správce o skončení provádění sjednaného výkonu. Na základě toho mu správce znepřístupní jeho uživatelský účet.
Pokyny správceUživatel je povinen dbát všech pokynů správce v souvislosti s provozem prostředků. Pokyny zasílané e-mailem musí být důvěryhodné, tzn., že jsou opatřeny kvalifikovaným elektronickým podpisem.
Pokyny, které nejsou zajištěny způsobem dle předchozího odstavce, musí být uživatelem považovány za nedůvěryhodné a uživatel je povinen jejich pravost ověřit.
Pokyny správce nesmí být v rozporu s touto bezpečnostní směrnicí, zvláštní smlouvou, smlouvou o ochraně informací nebo jinými právními předpisy. V případě, že pokyny nesplňují tento požadavek, uživatel se těmito pokyny neřídí a o přijetí takových pokynů informuje bezpečnostního správce.
Podmínky přístupu k prostředkům správceUživatelé jsou povinni:
využívat přidělený přístup k prostředkům správce pouze pro plnění předmětu zvláštní smlouvy, a to v souladu se smluvním ujednáním;
konzultovat se správcem veškeré změny v prostředcích a jejich nastavení, které jsou nutné pro provedení sjednaného úkonu a implementovat je až po jejich vzájemném odsouhlasení;
provádění sjednaného úkonu může probíhat jen s vědomím správce, který je v případě potřeby fyzického přístupu k informacím a prostředkům vybaví identifikační kartou „SERVIS“. Tuto kartu musí nosit uživatel viditelně po celou dobu provádění sjednaného úkonu;
po skončení sjednaného úkonu informovat správce o skutečně provedených úkonech a předat mu aktualizovanou provozní dokumentaci, pokud došlo v důsledku provedených úkonů k její změně.
Uživatelům je zakázáno:
bez vědomí správce jakkoliv přistupovat k informacím nebo prostředkům správce;
jakkoliv neoprávněně manipulovat s informacemi nebo prostředky správce.; neoprávněnou manipulací se rozumí vše, co bezprostředně nesouvisí s plněním předmětu zvláštní smlouvy;
obcházet zabezpečení informací a prostředků a zneužívat zjištěných slabin v jejich zabezpečení;
používat jiné prostředky vlastní nebo cizí, pokud tyto prostředky neslouží k plnění předmětu zvláštní smlouvy;
provádět jiné aktivity, než ty, které jsou vymezeny zvláštní smlouvou.
Uživatelé si musí být vědomi toho, že jejich činnost v rámci prostředků správce může být monitorována a logována.
Veškeré sjednané úkony, které vyžadují přítomnost uživatele v chráněných zónách správce (serverovna apod.), smějí být prováděny pouze za přítomnosti správcem určené osoby.
Podmínky vzdáleného přístupuUživatel, který přistupuje k prostředkům správce vzdáleně, musí zajistit bezpečnost a ochranu prostředí, z něhož vzdáleně přistupuje. Xxxxxxx je povinen zajistit, že
prostředky, z nichž vzdáleně přistupuje, nejsou napadeny škodlivým kódem a je na nich nainstalována funkční a aktuální antivirová ochrana,
prostředky, z nichž vzdáleně přistupuje, jsou plně pod jejich kontrolou, tzn., že k těmto prostředkům nemá přístup žádná jiná osoba,
v prostředcích, ze kterých uživatel vzdáleně přistupuje, ani na jiná úložiště nebudou bez souhlasu správce ukládány žádné informace získané z prostředků správce,
celá komunikace vzdáleného přístupu probíhá šifrovaně prostřednictvím zabezpečeného protokolu (např. https).
Uživatel nesmí používat pro vzdálený přístup veřejné prostředky a prostředky zapůjčené od jiných neznámých osob.
Hlášení poruch a závadUživatel je povinen hlásit poruchy a závady na prostředcích správce správci. Poruchy se oznamují e-mailem nebo telefonicky.
Uživatel je povinen účinně spolupracovat se správcem při odstraňování poruch a závad a dodržovat jeho pokyny.
Bezpečnostní události, incidenty a slabinyUživatel je povinen neprodleně oznámit správci všechny zjištěné bezpečnostní události, incidenty a slabiny nebo podezření na ně.
Hlášení bezpečnostních událostí, incidentů a slabin je možné písemně e-mailem, telefonicky nebo osobně. Příjemce oznámení je povinen oznamovateli písemně e-mailem potvrdit přijetí jeho oznámení. Ohlašovací povinnost uživatele je splněna, pokud bylo hlášení bezpečnostní události, incidentu nebo slabiny písemně e-mailem potvrzeno příjemcem oznámení.
Uživatel nesmí o bezpečnostních událostech, incidentech a slabinách informovat žádnou jinou osobu.
Uživatel je povinen účinně spolupracovat se správcem při řešení bezpečnostních událostí, incidentů a slabin, zejména poskytovat jim úplné a pravdivé informace a dodržovat jeho pokyny.
Porušení povinností vyplývajících z bezpečnostní směrnicePorušení povinností vyplývajících z této bezpečnostní směrnice bude posuzováno jako zvláště závažné porušení zvláštní smlouvy a smlouvy o ochraně informací.
Na základě individuálního posouzení závažnosti, míry zavinění a konkrétního rizika, případně míry dopadu a následků bezpečnostního incidentu způsobeného porušením výše uvedených bezpečnostních předpisů uživatelem, budou uskutečněna potřebná opatření v souladu s uzavřenou smlouvou. Tím není dotčena případná trestně právní odpovědnost uživatele či zpracovatele.
Verze a schvalovací doložkaTato Bezpečnostní směrnice pro dodavatele (verze 4) ruší Bezpečnostní směrnici pro dodavatele (verze 3), kterou vydala Rada města Karviné dne 21.6.2017.
Tato Bezpečnostní směrnice pro dodavatele (verze 4) byla schválena Radou města Karviné dne 28.5.2018, č. usnesení 4757 s účinností od 29.5.2018.
Xxx. Xxx Xxxx v. r.
primátor
Xxxxx Xxxxxxxxx v. r.
náměstek primátora
1 Nařízení Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů).
Stránka 1 z 7