SMLOUVA OZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA OZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ
Tato smlouva o zpracovávání osobních údajů (dále jen „ Smlouva“) byla uzavřena níže uvedeného dne, měsíce
a roku podle ustanovení čl. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES, v platném znění (dále jen „Nařízení”), mezi těmito smluvními stranami:
International Education Society Ltd.,
se sídlem One Xxxxxx Yard, London EC3V 9DF, Velká Británie,
zapsaná v Obchodním rejstříku pro Anglii a Wales Companies House v sekci 710A, číslo společnosti (company nr.): 05209753,
organizační složka: International Education Society Ltd. – odštěpný závod zahraniční právnické osoby, se sídlem Xxxxxxxx 000, Xxxx, PSČ: 619 00, Česká republika,
zapsaná v Obchodním rejstříku vedeného Krajským soudem v Brně, oddíl A, vložka 17230,
IČ: 269 43 948, DIČ: CZ26943948
zastoupená Xxxxxxx Xxxxxxxxx, vedoucím organizační složky (dále jako „Zpracovatel“)
a
Název vzdělávacího subjektu: Gymnázium Malacky
Adresa vzdělávacího subjektu: Ulica 1. Mája 8, 901 01 Malacky, Slovenská republika Jméno a funkce zastupující osoby: RNDr. Xxxxx Xxxxxxxxxx, ředitelka
IČ: 160229 DIČ:
(dále jako „Správce“)
(Zpracovatel a Správce dále též společně jako „Smluvní strany“ a každý jednotlivě jako „Smluvní strana“)
1. Úvodní ustanovení
Smluvní strany uzavřely dne 19. 5. 2004 smlouvu o spolupráci (dále jako „Smlouva o spolupráci“), na základě které se Zpracovatel zavázal poskyt ovat Správci služby (dále jen „Služby”).
Řádné poskytování Služeb vyžaduje mimo jiné i zpracování osobních údajů Subjektů údajů Správce (dále jen „Osobní údaje“), které bude pro Správce provádět Zpracovatel.
2. Předmět smlouvy
Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů, které Zpracovatel získá v souvislosti s poskytováním svých Služeb.
3. Podmínky zpracování Osobních údajů
Správce tímto pověřuje Zpracovatele zpracováním Osobních údajů, a to kontaktních informací o:
◻ samotném správci – v případě Fyzických osob (dále jen „FO“);
◻ klientech či studentech správce (jméno, příjmení, datum narození, email);
◻ zaměstnancích či spolupracovnících správce – lektoři, pedagogové (jméno, příjmení, datum narození, email, doklady o dosažené kvalifikaci);
◻ obchodních partnerech správce – v případě FO.
Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou citlivé údaje ve smyslu Nařízení. Účelem zpracování Osobních údajů je plnění Smlouvy o spolupráci.
Zpracováním Osobních údajů ve smyslu této Smlouvy se rozumí zejména jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků (např. specializovaného softwaru) v rozsahu nezbytném pro zajištění řádného poskytování Služeb.
Osobní údaje je možné zpracovávat pouze na programovém vybavení Zpracovatele nebo Správce a to na území Evropské unie. Zpracovatel je povinen zpracovávat Osobní údaje v souladu s právními předpisy a dále pak pouze na základě doložených pokynů Správce.
Doba trvání zpracování a doba uchování osobních údajů je totožná s dobou platnosti Smlouvy o spolupráci. Po ukončení poskytovaných služeb spojených se zpracováním Osobních údajů budou osobní údaje v souladu s písemným rozhodnutím Správce Zpracovatelem buď vymazány nebo vráceny Správci (pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů). V souladu s písemným rozhodnutím Správce mohou být Osobní údaje také nadále uchovávány i přesto, že právo Unie nebo členského státu nepožaduje uložení daných osobních údajů.
4. Zapojení dalších zpracovatelů
Správce tímto uděluje Zpracovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů. Zpracovatel musí uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů tak, jak jsou stanoveny v této Smlouvě.
Konkrétní výčet dalších zpracovatelů Osobních údajů je k nahlédnutí ve vnitřních dokumentech Zpracovatele.
5. Povinnosti Správce
Správce je při plnění této Smlouvy povinen:
5.1.1. zajistit, že Osobní údaje budou zpracovány vždy v souladu s Nařízením, že tyto údaje budou aktuální, přesné a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování;
5.1.2. přijmout vhodná opatření, aby poskytl od Subjektu údajů veškeré informace stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků a učinil veškerá sdělení požadovaná Nařízením.
6. Povinnosti Zpracovatele
Zpracovatel je při plnění této Smlouvy povinen:
6.1.1. zpracovávat Osobní údaje pouze na základě doložených pokynů Správce ;
6.1.2. zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv Subjektu údajů, jakož i pro splnění dalších povinností ve smyslu Nařízení;
6.1.3. zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby, které budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
6.1.4. zajistit, že jeho zaměstnanci budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu Zpracovatelem stanoveném a odpovídajícím této Smlouvě;
6.1.5. na žádost Správce kdykoliv umožnit provedení auditu či inspekce týkají cí se zpracování Osobních údajů.
Zpracovatel je dále při plnění této Smlouvy povinen být nápomocen Správci při:
6.2.1. zabezpečení zpracování;
6.2.2. ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu;
6.2.3. oznamování případů porušení zabezpečení osobních údajů Subjektu údajů;
6.2.4. posouzení vlivu na ochranu osobních údajů.
7. Technické a organizační zabezpečení ochrany osobních údajů
Zpracovatel se zavazuje přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po skončení zpracování osobních údajů zpracovatelem.
Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technicko -organizační opatření k zajištění ochrany osobních údajů v souladu s Nařízením a jinými právní předpisy, přičemž zajišťuje, kontroluje a odpovídá za:
7.2.1. plnění pokynů pro zpracování osobních údajům osobami, které mají bezprostřední přístup k osobním údajům;
7.2.2. zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování;
7.2.3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje;
7.2.4. opatření, která umožní určit a ověřit, komu byly osobní údaje předány;
7.2.5. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systému a služeb zpracování;
7.2.6. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
Zpracovatel cestou vydání svých vnitřních předpisů, případně prostřednictvím zvláštních smluvních ujednání zajistí, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě smlouvy se zpracovatelem, budou zpracovávat Osobní údaje pouze za podmínek v rozsahu zpracovatelem stanoveném a odpovídajícím této smlouvě uzavírané mezi Zpracovatelem a Správcem . Zpracovatel zejména bude sám (a závazně uloží zaměstnancům i jiným osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i v době po skončení zaměstnání nebo příslušných prací.
V případě zjištění narušení zabezpečení ochrany zpracovávaných osobních údajů, neoprávněného nebo nahodilého přístupu k osobním údajům, zničení či ztráty, neoprávněného přenosu, nebo jiného neoprávněného zpracování nebo zneužití, je Zpracovatel povinen bezodkladně inform ovat Správce a je povinen bezodkladně přijmout opatření k odstranění závadného stavu. O přijatých opatřeních je Zpracovatel povinen bezodkladně písemně informovat Správce.
8. Povinnosti smluvních stran
Smluvní strany jsou povinny:
8.1.1. vést a průběžně revidovat a aktualizovat záznamy o zpracování Osobních údajů ve smyslu Nařízení;
8.1.2. řádně a včas ohlašovat případná porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a spolupracovat s tímto úřadem v nezbytném rozsahu;
8.1.3. navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
8.1.4. zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
8.1.5. postupovat v souladu s dalšími požadavky Nařízení a zákona o zpracování osobních údajů, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost.
9. Závěrečná ustanovení
Tato Xxxxxxx se uzavírá na dobu účinnosti Smlouvy o spolupráci uzavřené mezi Správcem a Zpracovatelem.
Změny nebo doplňky této Smlouvy včetně jejich příloh musejí být vyhotoveny písemně formou dodatku, datovány a podepsány oběma smluvními stranami s podpisy smluvních stran na jedné listině, ledaže Smlouva v konkrétních případech stanoví jinak. Jakékoliv změny kontaktních údajů, bankovních údajů a oprávněných osob je příslušná smluvní strana oprávněna provádět jednostranně a je povinna tyto změny neprodleně písemně oznámit druhé smluvní straně.
Tato Smlouva je vyhotovena ve dvou stejnopisech, z nichž Správce i Zpracovatel obdrží jedno vyhotovení.
Tato Smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami (může být i elektronicky) a účinnosti dne 25. 5. 2018.
V Brně 25. 5. 2018
Zpracovatel Správce
XXXXX XXXXXXX
Jméno tiskacím písmem Jméno tiskacím písmem