Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů
uzavřená ve smyslu ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů
Krajská nemocnice X. Xxxx, a. s.
1. Smluvní strany
Sídlo: | Havlíčkovo nábřeží 600, 762 75 Zlín |
Jednající: IČ: | XXXx. Xxxxxxx Xxxxxxx, předseda představenstva; Xxx. Xxxxx Xxxxxxxxxx. MBA, členka představenstva 276 61989 DIČ: CZ276 61989 |
dále též jen „Správce“ na straně jedné
ZLKSEC Společnost založená podle § 2716 OZ
Název: | AUTOCONT a.s. |
Sídlo: | Hornopolní 3322/34, Moravská Ostrava, 702 00 Ostrava |
Zastoupena: IČ: | na základě plné moci 04308697 DIČ: CZ04308697 |
spisová značka OR: | Krajský soud v Ostravě, oddíl B, vložka 11012 |
Název: | AEC a.s. |
Sídlo: | Veveří 2581/102, 616 00 Brno |
IČ: spisová značka OR: | 26236176 DIČ CZ26236176 KS v Brně, sp. zn. B7337 |
dále též jen „Zpracovatel“ na straně druhé, dále společně jen „Smluvní strany“.
2. Preambule
(A) Zpracovatel poskytuje Správci služby související s podporou provozu informačního systému (dále jen
„Služby“) na základě smlouvy nebo smluv, jejichž seznam je uveden v příloze č. 1 této Smlouvy (pro účely této Smlouvy budou smlouvy uvedené v příloze č. 1 dále označovány souhrnně jako „Servisní smlouva“ nebo „Servisní smlouvy“). Smluvní strany se dohodly, že seznam smluv v příloze č. 1 může být rozšířen i jednostranným písemným oznámením některé ze smluvních stran, přičemž takové rozšíření přílohy č. 1 bude účinné jen tehdy, pokud druhá smluvní strana vůči němu neuplatní své námitky do 14 dnů ode dne doručení písemného oznámení o rozšíření přílohy č. 1.
(B) Řádné poskytování Služeb zahrnuje mimo jiné i aktivity, při kterých může docházet ke zpracování osobních údajů náležících Správci (dále jen „Osobní údaje”), které bude pro Správce provádět Zpracovatel.
S ohledem na výše uvedené uzavírají Smluvní strany ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), tuto Smlouvu.
3. Předmět Smlouvy
3.1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování Osobních údajů, se kterými Zpracovatel nakládá v souvislosti s poskytováním svých Služeb.
3.2. Zpracovatel se zavazuje zpracovávat Osobní údaje v souladu s požadavky této Smlouvy a v souladu s povinnostmi uloženými GDPR zpracovateli osobních údajů, zejména:
3.2.1. zpracovávat Osobní údaje pouze na základě doložených pokynů Správce;
3.2.2. provést s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování technická a organizační opatření k zabezpečení Osobních údajů specifikovaná touto Smlouvou;
3.2.3. být Správci nápomocen, pokud je to možné, při vyřizování žádostí o výkon práv subjektu údajů.
3.2.4. být Správci nápomocen v plnění povinností dle čl. 32 až 36 GDPR;
3.2.5. umožnit Správci audity, včetně inspekcí prováděných Správcem či jím pověřenou osobou a poskytnout součinnost u těchto auditů.
4. Podmínky zpracování
4.1. Správce pověřuje Zpracovatele zpracováváním Osobních údajů v rozsahu nezbytném pro poskytování Služeb a výhradně za účelem vyplývajícím z účelu Servisních smluv, a to na základě pokynů Správce.
4.2. Zpracovatel není oprávněn Osobní údaje zpracovávat pro žádné jiné účely, než pro účely poskytování Služeb.
4.3. Typ zpracovávaných Osobních údajů a kategorie subjektů údajů jsou uvedeny v příloze č. 2 této Smlouvy.
4.4. Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou zvláštní kategorie osobních údajů ve smyslu GDPR.
4.5. Osobní údaje budou zpracovávány po dobu poskytování Služeb s tím, že ukončením poslední ze smluv uvedených v příloze č. 1 této Smlouvy bez dalšího zaniká i tato Smlouva. Zánikem této Smlouvy
nezanikají povinnosti Zpracovatele týkající se zabezpečení Osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárnímu předání Správci nebo jinému pověřenému zpracovateli.
4.6. Smluvní strany se dohodly, že zpracování Osobních údajů na základě této Smlouvy je bezplatné. Tím není dotčen nárok Zpracovatele na odměnu za poskytování Služeb. Zpracovatel má nárok na náhradu nákladů, které Zpracovateli vznikly v souvislosti s plněním dle této Smlouvy v případech, kdy Správce vyzval Zpracovatele:
4.6.1. provést technické nebo organizační opatření nad rámec sjednaného zabezpečení Osobních údajů, které specifikuje čl. 6.1 této Smlouvy;
4.6.2. být nápomocen při vyřizování žádosti o výkon práv subjektu údajů;
4.6.3. být nápomocen v plnění některé z povinností dle čl. 32 až 36 GDPR;
4.6.4. umožnit provedení auditu zpracování Osobních údajů a poskytnout součinnost u tohoto auditu.
5. Povinnosti Smluvních stran
5.1. Správce je při plnění této Smlouvy povinen:
5.1.1. určit účely a prostředky zpracování Osobních údajů;
5.1.2. zajistit, že Osobní údaje budou zpracovávány vždy v souladu s GDPR, že tyto údaje budou přesné a v případě potřeby aktualizované, přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
5.1.3. poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o zpracování a učinit veškerá sdělení požadovaná GDPR.
5.2. Zpracovatel je při plnění této Smlouvy povinen:
5.2.1. zajistit, pokud zapojí do zpracování Osbních údajů dalšího zpracovatele, že tento další zpracovatel bude poskytovat dostatečné záruky, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR;
5.2.2. zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;
5.2.3. zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění jeho povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve smyslu GDPR;
5.2.4. zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné osoby, které budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
5.2.5. zajistit, že jeho zaměstnanci budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu stanoveném Zpracovatelem a odpovídajícím této Smlouvě;
5.2.6. na žádost Správce umožnit provedení auditu zpracování Osobních údajů;
5.2.7. po skončení této Smlouvy protokolárně zlikvidovat či protokolárně předat Správci nebo jinému pověřenému zpracovateli všechny Osobní údaje zpracovávané po dobu poskytování Služeb.
5.3. Smluvní strany jsou při plnění této Smlouvy povinny:
5.3.1. zavést technická a organizační opatření k zabezpečení Osobních údajů v souladu se specifikací dle čl. 6.1 této Smlouvy, aby zajistily a byly schopny doložit, že zpracování Osobních údajů je
prováděno v souladu s GDPR;
5.3.2. vést záznamy o činnostech zpracování Osobních údajů v rozsahu dle čl. 30 GDPR;
5.3.3. řádně ohlašovat a oznamovat případná porušení zabezpečení Osobních údajů způsobem dle čl. 33 a 34 GDPR a spolupracovat v nezbytném rozsahu s Úřadem pro ochranu osobních údajů;
5.3.4. navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
5.3.5. zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
5.3.6. postupovat v souladu s dalšími požadavky GDPR, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost;
5.4. Nahrazuje se pouze skutečně vzniklá škoda. V rozsahu povoleném platnými právními předpisy nenese žádná ze smluvních stran odpovědnost za jakékoli nepřímé, nahodilé nebo následné škody nebo škody spočívající ve ztrátě ušlého zisku nebo výnosů nebo jiné finanční ztrátě.
5.5. Smluvní strany se dohodly, že celková výše náhrady škody z jedné škodní události nebo série vzájemně propojených škodných událostí, která by v příčinné souvislosti s plněním Smlouvy mohla vzniknout, se limituje do částky 100.000,-Kč.
5.6. Pokud Subjekt údajů uplatní vůči Správci své právo na opravu, aktualizaci, doplnění, omezení zpracování, výmaz nebo blokaci Osobních údajů, Správce informuje Zpracovatele a ten se zavazuje bez zbytečného odkladu opravit, aktualizovat, doplnit, omezit zpracování, blokovat nebo vymazat osobní údaje podle instrukcí Správce a poskytnout mu další nezbytnou součinnost maximálně do 4 člověkohodin čtvrtletně. Pokud časová náročnost zajištění plnění součinností při zpracování osobních údajů přesáhne hodnotu uvedenou v předcházející větě, dohodnou se smluvní strany na náhradě nákladů vzniklých Zpracovateli. Pokud Subjekt údaje takové své právo uplatí vůči Zpracovateli, Zpracovatel je bez zbytečného odkladu, povinen informovat Správce a následně se řídit jeho pokyny. Po provedení opravy, aktualizace, doplnění, omezení zpracování, blokace nebo výmazu osobního údaje Subjektu údajů, případně po provedení jiného příslušného opatření, poskytne Zpracovatel veškeré informace o provedeném opatření Správci tak, aby o něm mohl Správce informovat Subjekt údajů.
6. Zabezpečení Osobních údajů
6.1. Smluvní strany se dohodly, že ve smyslu čl. 32 GDPR a čl. 5.3.1 této Smlouvy provedou k zabezpečení Osobních údajů následující technická a organizační opatření:
6.1.1. pověřit zpracováním Osobních údajů pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů, povinnosti znát a dodržovat předpisy
zaměstnavatele k ochraně osobních údajů a o dalších povinnostech vyplývajících z GDPR či jiných obecně závazných právních předpisů;
6.1.2. používat odpovídající technické zařízení a programové vybavení způsobem, který v nejvyšší možné míře vyloučí neoprávněný nebo nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených osob Smluvních stran;
6.1.3. uchovávat Osobní údaje na místech s odpovídajícím zabezpečením, ať již se bude jednat o místa fyzická či virtuální;
6.1.4. uchovávat Osobní údaje v elektronické podobě na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel;
6.1.5. zajistit dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
6.1.6. zajistit, aby osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních údajů měly přístup pouze k Osobním údajům odpovídajícím oprávnění těchto osob, a to na základě
zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
6.1.7. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zaznamenány nebo jinak zpracovány.
6.2. Smluvní strany prohlašují, že technická a organizační opatření k zabezpečení Osobních údajů specifikovaná čl. 6.1 této Smlouvy považují za dostatečná pro zpracování Osobních údajů, jak je prováděno ke dni uzavření této Smlouvy. V případě, že v budoucnu nastane potřeba změn opatření k
zabezpečení Osobních údajů, Smluvní strany se dohodnou písemným dodatkem k této Smlouvě na jejich změně a náhradě nákladů vzniklých Zpracovateli provedením změn.
6.3. Pokud Zpracovatel zapojí ve smyslu článku 5.2.1 této Smlouvy dalšího zpracovatele, aby provedl určité
činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na zabezpečení Osobních údajů, jaké jsou uvedeny v této Smlouvě.
7. Platnost, odstoupení a zánik Smlouvy
7.1. Tato Xxxxxxx nabývá platnosti a účinnosti ke dni jejího podpisu oběma Smluvními stranami. Tato Xxxxxxx se uzavírá na dobu poskytování Služeb podle poslední ze smluv uvedených v příloze č. 1 této Smlouvy. V případě, že Smluvní strany v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, zaniká tato Smlouva současně se zánikem této jiné smlouvy, resp. se zánikem poslední z takto uzavřených smluv.
7.2. Kterákoliv ze Smluvních stran je oprávněna tuto Smlouvu vypovědět ve lhůtě patnácti (15) dnů v případě, že druhá Smluvní strana porušuje povinnosti vyplývající z GDPR a této Smlouvy a nezjedná nápravu
závadného stavu do třiceti (30) dnů od oznámení první Smluvní strany.
7.3. Kterákoliv ze Smluvních stran je oprávněna tuto Smlouvu vypovědět bez udání důvodu, a to s výpovědní dobou v délce tří (3) měsíců, která začne běžet prvním dnem měsíce následujícího po měsíci, kdy byla výpověď doručena druhé Smluvní straně.
7.4. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
8. Řešení sporů
8.1. Jakýkoli právní postup, nebo soudní spor vedený v souvislosti s touto smlouvou, bude zahájen a veden u příslušného soudu České republiky s tím, že Smluvní strany v této souvislosti ve smyslu ustanovení § 89a občanského soudního řádu sjednávají pro všechny spory, u nichž jsou křížení v prvním stupni příslušné okresní soudy místní příslušnost Obvodního soudu pro Prahu 9 a pro všechny spory, u nichž jsou k řízení v prvním stupni příslušné krajské soudy místní příslušnost Městského soudu v Praze.
9. Závěrečná ustanovení
9.1. Tato Xxxxxxx a právní poměry z ní vzešlé a s ní související se řídí GDPR a právními předpisy České republiky.
9.2. Tuto Smlouvu lze měnit jen dohodou Smluvních stran a to vždy jen písemnými dodatky.
9.3. Tato Smlouva se vyhotovuje ve dvou (2) stejnopisech, přičemž jedno (1) vyhotovení je určeno pro Správce a jedno (1) pro Zpracovatele.
9.4. Smluvní strany prohlašují, že si návrh této Xxxxxxx pozorně a pečlivě přečetly, že dobře rozumí jeho obsahu a že ten odpovídá jejich skutečné vůli, na důkaz čehož připojují své podpisy a uzavírají tuto Smlouvu.
9.5. Nedílnou součástí této smlouvy jsou přílohy:
Příloha č.l - Seznam smluv
Příloha č.2- Typ zpracovávaných Osobních údajů a kategorie subjektů údajů Příloha č. 3 — Plná moc
Ve Zlíně dne 5. 3. 2020 Ve Zlíně dne 25.2. 2020
Za Správce:
XXXx. Xxxxxxx Xxxxxxx, předseda představenstva; Xxx. Xxxxx Xxxxxxxxxx, MBA
Za Zpracovatele:
na základě plné moci
na základě plné moci
Přílohy
Příloha č.1 - Seznam smluv
• Smlouva o dodávce a implementaci systému managementu bezpečnosti informací a poskytování služeb
• Technické požadavky na předmět plnění
• Realizační tým
• Specifikace Proprietárního software
• Cenová kalkulace
Příloha č.2 - Typ zpracovávaných Osobních údajů a kategorie subjektů údajů
1. Kategorie subjektu údajů
Předmětem zpracování Osobních údajů Zpracovatelem jsou údaje o fyzických osobách (dále též „subjekt“), které Správce shromažďuje a zpracovává:
• zákazníci - osoby poptávající zboží nabízené prostřednictvím informačního systému Zpracovatele;
• uživatelé - zaměstnanci Správce se zřízeným uživatelským účtem v informačním systému Zpracovatele.
2. Typ osobních údajů
Zpracování Osobních údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů:
2.1. Základní identifikační údaje subjektu
Jméno a příjmení, u podnikajících osob navíc IČ, DIČ a adresa sídla.
2.2. Kontaktní údaje subjektu
Adresa pro doručení zboží, telefonní číslo a/nebo telefonní čísla, e-mail anebo jiná elektronická adresa.
2.3. Údaje o poptávaném zboží
Charakteristika a technické parametry zboží, cena zboží, termín dodání.
PLNÁ MOC
Zmocnitel: | AUTOCONT a.s. Ostrava - Moravská Ostrava, Hornopolní 3322/34, PSČ 702 00 IČ 04308697 zapsaný do obchodního rejstříku u KS v Ostravě, oddíl B, vložka 11012 Zastoupená Xxxxxxxx Xxxxxxxxxx, členem představenstva, třídy A a Xxxxxxxx Xxxxxxxxxx, členem představenstva, třídy B |
Zmocněnec: | |
Funkce: ředitel krajského obchodního zastoupení ve Zlíně r. č. trvale bytem: |
Zmocnitel uděluje tímto zmocněnci plnou moc k tomu, aby jednal:
za zmocnitele ve věci podpisu smluv týkající se zakázky „Implementace systému managementu bezpečnosti informací pro nemocnice Zlínského kraje" nadlimitní veřejná zakázka na služby zadávaná v otevřeném zadávacím řízení podle ust. §
56zákona č.134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ") do celkové výše plnění 115.000.000 Kč bez DPH.
Tato plná moc se uděluje na období ode dne jejího vystavení do 30. 6. 2020. Zmocnitel je oprávněn tuto plnou moc kdykoli písemně odvolat.
AUTOCONT a.s.
Xxxxxx Xxxxxxxx, člen představenstva třídy B
AUTOCONT a.s.
Xxxxxx Xxxxxxxx, člen představenstva třídy A
Plnou moc přijímám
Ve Zlíně 20. 2. 2020
ředitel krajského obchodního zastoupení ve Zlíně
Společnost: | AEC a.s. |
Sídlo: | Voctářova 2500/20a, Libeň, 180 00 Praha |
IČ: DIČ: | 26236176 CZ26236176 |
Spisová značka: | B 25070/MSPH Městský soud v Praze |
Zastoupeno: | Ing. Xxxxx Xxxxxxx, člen představenstva Xxx. Xxxxxxx Xxxxxxx, člen představenstva |
Mandatář (dále jen zmocnitel):
PLNA MOC
Xxxxxxx (dále jen zmocněnec, zaměstnanec společnosti AEC a.s.
Xxxxx a příjmení: |
Trvalé bydliště: |
Datum narození: |
Rodné číslo: |
Text plné moci:
Zmocnitel uděluje tímto zmocněnci plnou moc k tomu, aby jednal:
za zmocnitele ve věci podpisu smluv týkající se zakázky „Implementace systému managementu bezpečnosti informací pro nemocnice Zlínského kraje" nadlimitní veřejná zakázka na služby zadávaná v otevřeném zadávacím řízení podle ust. § 56zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ") do celkové výše plnění 115.000.000 Kč bez DPH.
Tato plná moc se uděluje na období ode dne jejího vystavení do 31.12. 2020. Zmocnitel je oprávněn tuto plnou moc kdykoli písemně odvolat.
V Brně dne 21.2.2020
Ing. Xxxxx Xxxxxxx, člen představenstva
mandant
Xxx. Xxxxxxx Xxxxxxx, člen představenstva