PREAMBULE

Dohoda o zpracovaní osobních údajů

Dodavatel a EA jsou dále taktéž označováni společně jako „ Smluvní strany“ nebo jednotlivě jako „Smluvní strana“)

uzavírají v souladu s ustanovením zákona č. 110/2019 Sb., o zpracování osobních údajů a o změně některých zákonů, v platném znění (dále jen „ZZOÚ“) a v souladu s čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „Nařízení“), tuto dohodu o zpracování osobních údajů (dále jen „ Dohoda“).

.

PREAMBULE

VZHLEDEM K TOMU, ŽE

a) Smluvní strany uzavřely Xxxxxxx (dále jen „Hlavní smlouva“), k níž Smluvní strany formou přílohy sjednávají tuto dohodu o zpracování osobních údajů, na jejímž základě budou ze strany Dodavatele poskytovány EA služby definované v Hlavní smlouvě;

b) za účelem plnění Hlavní smlouvy, bude docházet ke zpracování osobních údajů zákazníků EA;

c) Smluvní strany dospěly k úplné a vzájemné shodě v níže uvedených skutečnostech a rozhodly se uzavřít v souladu s ustanovením ZZOÚ a v souladu s čl. 28. odst. 3 Nařízení tuto Dohodu, v rámci níž blíže definují zpracování osobních údajů Dodavatelem pro a dle pokynů EA a práva a povinnosti obou Smluvních stran.

DEFINICE UŽITÝCH POJMŮ

Hlavní smlouva: Hlavní smlouva je Smlouva, k níž Smluvní strany formou přílohy sjednávají tuto dohodu o zpracování osobních údajů.

Objednatel: EA (dále také jako „Objednatel“) správcem osobních údajů ve smyslu ustanovení čl.

4 bod 7) Nařízení.

Poskytovatel: Dodavatel (dále také jako „Poskytovatel“), je zpracovatelem osobních údajů ve smyslu ustanovení čl. 4 bod 8) Nařízení.

Dozorový úřad: Dozorový úřad je ve smyslu čl. 4 bod 21) a bod 22) Nařízení nezávislý orgán veřejné moci zřízený členským státem, Úřad na ochranu osobních údajů.

Subjekt údajů: Subjektem údajů je ve smyslu ustanovení čl. 4 bod 1) Nařízení fyzická osoba, k níž se osobní údaje vztahují.

I.

Účel a předmět dohody

1.1. Účelem této Dohody je v souladu se ZZOÚ a Nařízením zpracování osobních údajů, ke kterému dochází v rámci plnění Hlavní smlouvy a jednotlivých Příloh k této Hlavní smlouvě náležejících, Smluvními stranami za účelem specifikovaným v Hlavní smlouvě.

1.2. Předmětem této Dohody je závazek Poskytovatele provádět zpracování osobních údajů pro Objednatele v souladu s touto Dohodou, s příslušnými ustanoveními ZZOÚ a Nařízení a pokyny Objednatele.

II.

Zpracování osobních údajů

2.1. Smluvní strany jsou za účelem specifikovaným v čl. I odst. 1.1. Dohody oprávněny zpracovávat všechny osobní údaje potřebné pro splnění tohoto účelu, přičemž zejména se bude jednat o tyto osobní údaje:

a. jméno;

b. příjmení;

c. titul;

d. údaje o adrese;

e. datum narození;

f. rodné číslo;

g. telefonní a faxové číslo;

h. e-mailová adresa;

x. xxxxx bankovního účtu.

2.2. Smluvní strany tímto prohlašují, že za účelem definovaným v čl. I odst. 1.1. Dohody nebudou zpracovávány citlivé osobní údaje (údaje o zdravotním stavu Subjektu údajů) resp. osobní údaje zvláštních kategorií ve smyslu čl. 9 Nařízení.

2.3. Objednatel prohlašuje, že poskytování veškerých osobních údajů Poskytovateli za účelem zpracování osobních údajů uvedených v čl. I odst. 1.1. Dohody je v souladu se ZZOÚ a s Nařízením.

2.4. Objednatel tímto pověřuje Poskytovatele za účelem uvedeným v čl. I odst. 1.1. Dohody zpracováním osobních údajů demonstrativně uvedených v čl. II. odst. 2.1. této Dohody.

2.5. Veškerá komunikace mezi Objednatelem a Poskytovatelem v rámci této Dohody bude probíhat elektronicky, formou emailu mezi určenými osobami za Objednatele a Poskytovatele, nebude-li dále v této Dohodě stanoveno jinak.

2.6. Smluvní strany tímto prohlašují, že za zpracování osobních údajů za účely uvedenými v čl. I odst. 1.1. Dohody nevzniká ani jedné ze Smluvních stran nárok na odměnu, není-li dále v této Dohodě stanoveno jinak.

III.

Práva a povinnosti Objednatele

3.1. Objednatel je povinen při plnění této Dohody postupovat v souladu se ZZOÚ a s Nařízením.

3.2. Objednatel se zavazuje Poskytovateli poskytnout součinnost nezbytnou pro plnění této Dohody. Objednatel je zejména povinen v případě, že pro plnění povinností Poskytovatele dle této Dohody jsou nutné jakékoli písemné podklady od Objednatele, a to včetně vystavení plné moci či jiného pověření či oprávnění pro Poskytovatele, poskytnout tyto dokumenty Poskytovateli bez zbytečného odkladu ode dne, kdy o to bude Poskytovatelem požádán.

3.2.1. Žádost Poskytovatele o dodání dokumentu nezbytného pro plnění Dohody je Poskytovatel povinen zaslat Objednateli.

3.2.2. V žádosti Poskytovatele musí být uveden důvod potřeby poskytnutí požadovaného dokumentu, specifikace požadovaného dokumentu, účel dokumentu a informace a údaje potřebné pro přípravu dokumentu Objednatelem.

3.2.3. Objednatel je oprávněn požadavek Poskytovatele na poskytnutí relevantního dokumentu odmítnout jen ze závažných důvodů, kterými jsou zejména nedůvodnost požadavku a nedoplnění informací uvedených v čl. III odst. 3.2 bodu Dohody ve lhůtě 15 kalendářních dnů od doručení výzvy Objednatele Poskytovateli.

3.3. Objednatel je oprávněn uzavřít smlouvu o zpracování osobních údajů se třetí osobou, na základě, níž bude tato třetí osoba oprávněna přistupovat k osobním údajům zpracovávaným Poskytovatelem.

3.3.1. Poskytovatel, obdrží-li od Objednatele informaci o uzavření předmětné smlouvy se třetí osobou, je povinen umožnit této třetí osobě přístup k osobním údajům zpracovávaným dle této Dohody, a to dle pokynů Objednatele.

3.3.2. Pokyn Objednatele musí být v souladu se ZZOÚ, Nařízením a Dohodou a Objednatel je povinen jej zaslat Poskytovateli.

IV.

Práva a povinnosti Poskytovatele

4.1. Poskytovatel je povinen při plnění této Dohody postupovat v souladu se ZZOÚ a s Nařízením.

4.2. Poskytovatel je dále povinen při plnění této Dohody dodržovat obecně závazné právní předpisy. Rovněž je povinen postupovat v souladu se závazky Objednatele týkajícími se předmětu této Dohody, vyplývajícími z rozhodnutí soudů, rozhodčích či správních orgánů, vnitřních předpisů Objednatele nebo smluv uzavřených Objednatelem, za předpokladu, že s těmito povinnostmi byl ze strany Objednatele seznámen, nebo že mu jsou prokazatelně známy z jiného zdroje.

4.3. Poskytovatel se zavazuje poskytnout Objednateli veškerou potřebnou součinnost a to zejména:

• v případě výkonu práv subjektů údajů ve smyslu čl. 28 odst. 3 písm. e) Nařízení a čl. 12 – čl. 22 Nařízení;

• v případě zajišťování souladu zpracování osobních údajů s povinnostmi stanovenými v čl. 32 – čl. 36 Nařízení, tj. zabezpečení zpracování, ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu, oznamování případů porušení zabezpečení osobních údajů subjektu údajů, posouzení vlivu na ochranu osobních údajů a předchozí konzultace u dozorového úřadu;

• v případě ukončení poskytování služeb spojených se zpracováním osobních údajů ve smyslu čl. 28 odst. 3 písm. g) Nařízení;

• v případě doložení splnění povinností stanovených ZZOÚ, Nařízením, Dohodou, a to ve smyslu čl. 28 odst. 3 písm. h) Nařízení.

Zapojení dalšího zpracovatele

4.4. Poskytovatel je oprávněn zapojit do zpracování osobních údajů definovaného v čl. I a II Dohody dalšího zpracovatele ve smyslu čl. 28 odst. 2 Nařízení výhradně na základě výslovné souhlasu Objednatele.

4.4.1. Souhlas Objednatele může být vysloven pro konkrétní případ dalšího zpracovatele, anebo může Objednatel vyslovit obecné povolení k zapojení dalších zpracovatelů.

4.4.2. Souhlas Objednatele musí být v obou případech písemný, a musí obsahovat informaci, zda je konkrétní či obecný, a zda se vztahuje na celé zpracování osobních údajů specifikovaného v čl. I a II Dohody, nebo jen na některou jeho část.

4.4.3. V případě obecného písemného souhlasu je Poskytovatel povinen Objednatele informovat o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení. Stejně je povinen Poskytovatel postupovat v případě vyslovení souhlasu Objednatele pro konkrétní případ dalšího zpracovatele.

4.4.4. Objednatel má po obdržení informace uvedené v čl. IV odst. 4.4 bod 4.4.3. Dohody lhůtu 30 kalendářních dnů na vyslovení námitek proti Poskytovatelem navrhovaným změnám v osobách zpracovatelů.

4.4.5. Poskytovatel je povinen v případě zapojení dalšího zpracovatele smluvně zajistit předmětné zpracování osobních údajů dalším zpracovatelem za stejných nebo přísnějších podmínek stanovených touto Dohodou. Poskytovatel je dále povinen požadovat od dalšího zpracovatele poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky ZZOÚ a Nařízení.

4.4.6. Za zpracování osobních údajů dalším zpracovatelem, kterého do zpracování osobních údajů zapojil Poskytovatel s výslovným souhlasem Objednatele, je ve smyslu čl. 28 odst. 4 Nařízení zcela odpovědný Poskytovatel.

4.4.7. Objednatel je oprávněn ze závažného důvodu odvolat svůj konkrétní či obecný souhlas s využitím dalšího zpracovatele. Závažným důvodem je v těchto případech zejména porušení ZZOÚ a/nebo Nařízení a/nebo jiných obecných právních předpisů při zpracování osobních údajů tímto dalším zpracovatelem.

4.4.7.1. Odvolání souhlasu musí být Objednatelem učiněno písemně vůči Poskytovateli, a to s uvedením důvodu pro odvolání souhlasu.

4.4.7.2. Poskytovatel je povinen po obdržení odvolání souhlasu bez zbytečného odkladu vypovědět spolupráci s dalším zpracovatelem a následně bezodkladně tuto spolupráci vypořádat ve smyslu čl. V této Dohody.

Předávání osobních údajů do třetích zemí

4.5. Poskytovatel je oprávněn k předávání osobních údajů do třetích zemí nebo mezinárodním organizacím ve smyslu čl. 44 až 50 Nařízení výhradně na základě výslovné souhlasu Objednatele.

4.5.1. Pro udělení souhlasu Objednatele, případných námitek Objednavatele a odvolání souhlasu Objednatele se přiměřeně použije ustanovení čl. IV odst. 4.4. Dohody.

Pokyny od Objednatele

4.6. Poskytovatel se zavazuje zpracovávat osobní údaje pro Objednatele v souladu se zásadami zpracování osobních údajů dle čl. 5 Nařízení.

4.7. Poskytovatel je povinen ve smyslu čl. 29 Nařízení zpracovávat osobní údaje pouze na základě doložených pokynů od Objednatele.

4.7.1. Poskytovatel je povinen přijmout vhodná opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z jeho pověření a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn Objednatele, pokud jí jejich zpracování již neukládá právní předpis Evropské unie a/nebo český právní předpis.

4.7.2. Poskytovatel je povinen neprodleně informovat Objednatele o skutečnosti, že dle názoru Poskytovatele určitý pokyn Objednatele ohledně zpracování osobních údajů porušuje Nařízení a/nebo jiné právní předpisy Evropské unie a/nebo české právní předpisy týkající se ochrany osobních údajů.

Zpracování osobních údajů Poskytovatelem

4.8. Poskytovatel je oprávněn zpracovávat osobní údaje zejména formou jejich ukládání do IT systému, na nosiče dat, správou a uchováváním (archivací), zálohováním, blokováním, zpřístupňováním osobám určenými Objednatelem.

4.9. Poskytovatel je ve smyslu čl. 28 odst. 3 písm. c) Nařízení a čl. 32 Nařízení povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:

• pseudonymizace a šifrování osobních údajů;

• schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

• schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

• procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

4.9.1. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

4.10.Poskytovatel je povinen zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné, a aby nebyly sdružovány osobní údaje, které byly získány k rozdílným účelům. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických nebo právnických osob, a aby zároveň byla eliminována

možnost zničení či ztráty osobních údajů, jejich neoprávněných přenosů, jinému neoprávněnému zpracování či zneužití těchto osobních údajů.

Mlčenlivost Poskytovatele

4.11.Poskytovatel a osoby zabývající se u/pro Poskytovatele zpracováním osobních údajů jsou ve smyslu čl.

28 odst. 3 písm. b) Nařízení vázáni mlčenlivostí co do zpracování osobních údajů.

Porušení zpracování osobních údajů

4.12.Poskytovatel je povinen, v případě, že přestane splňovat podmínky pro zpracování osobních údajů stanovené ZZOÚ a/nebo Nařízením a/nebo Dohodou, bez zbytečného odkladu o této skutečnosti informovat Objednatele.

4.12.1. V rámci informace pro Objednatele je Poskytovatel povinen uvést důvod nastalého nesplňování podmínek pro zpracování osobních údajů dle ZZOÚ a/nebo Nařízením a/nebo Dohody a zda (a případně jak) je toto nesplnění podmínek Poskytovatelem způsobilé způsobit porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení.

4.13.Poskytovatel je dále ve smyslu čl. 28 odst. 3 písm. f) Nařízení a čl. 33 odst. 2 Nařízení povinen bez zbytečného odkladu ohlásit Objednateli zjištěné porušení zabezpečení osobních údajů, a to takovým způsobem, aby Objednatel mohl postupovat dle čl. 33 odst. 1 Nařízení.

4.13.1. Do ohlášení při zjištěném porušení zabezpečení osobních údajů je Poskytovatel povinen Objednateli uvést:

4.13.1.1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

4.13.1.2. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

4.13.1.3. popis opatření, která Poskytovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.13.2. Není-li možné poskytnout informace současně, mohou být poskytnuty bez dalšího zbytečného odkladu.

4.14. Poskytovatel je dále povinen bez zbytečného odkladu informovat Objednatele v případě, že vůči Poskytovateli je ze strany dozorového úřadu zahájeno šetření vztahující se ke zpracování osobních údajů Poskytovatelem.

Součinnost Poskytovatele při výkonu práv subjektů

4.15. Poskytovatel je povinen Objednateli, na základě jeho žádosti, poskytnout bez zbytečného odkladu součinnosti dle čl. IV odst. 4.3. Dohody při výkonu práv subjektů.

4.16. Poskytovatel je dále ve smyslu čl. IV odst. 4.3. Dohody povinen na základě pokynu od Objednatele bez zbytečného odkladu reflektovat do zpracování osobních údajů rozhodnutí Objednatele o vyřízení žádosti subjektu údajů dle čl. 12 – čl. 22 Nařízení Objednatelem.

4.16.1. Pokyn Objednatele musí obsahovat:

• nezaměnitelnou specifikaci subjektu údajů;

• popis žádosti subjektu údajů;

• rozhodnutí Objednatele o žádosti subjektu údajů.

4.16.2. Poskytovatel je bez zbytečného odkladu po reflektování rozhodnutí Objednatele o vyřízení žádosti subjektu údajů povinen informovat Objednatele o tom, k jakému dni byla provedena realizace rozhodnutí Objednatele Poskytovatelem.

4.17. Povinnost součinnosti Poskytovatele se uplatní i pro případy, kdy subjekt údajů žádost dle čl. 12 – čl. 22 Nařízení nesprávně podá u Poskytovatele.

4.17.1. V tomto případě bez zbytečného odkladu Poskytovatel:

• předá předmětnou žádost Objednateli společně s kopií vyrozumění subjektu údajů o postoupení jeho žádosti Objednateli;

• vyrozumí subjekt údajů o postoupení žádosti Objednateli.

Prohlášení Poskytovatele

4.18. Poskytovatel podpisem této Dohody prohlašuje, že:

• ke dni podepsání této Dohody vykonává svoji činnost zcela v souladu se ZZOÚ a Nařízením;

• má ke dni podepsání této Dohody a ke každému následnému dni jejího trvání po dobu zpracování osobních údajů dle pokynů Objednatele dostatečné technické, věcné a osobní předpoklady k tomu, aby byl schopen zajistit zpracování osobních údajů dle této Dohody a pokynů Objednatele v souladu se ZZOÚ a Nařízením.

Kontrola Poskytovatele ze strany Objednatele

4.19. Poskytovatel je ve smyslu čl. 28 odst. 3 písm. h) Nařízení povinen poskytnout Objednateli veškeré informace potřebné k doložení toho, že splňuje všechny povinnosti mu dané touto Dohody a Nařízením. Zároveň je Poskytovatel povinen ve smyslu zmíněného ustanovení Nařízení umožnit audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem, kterého Objednatelem k tomuto pověří.

4.20. Poskytovatel je povinen umožnit následující kontroly souladu jeho zpracování osobních údajů se ZZOÚ, Nařízením a Dohodou Objednatelem:

a) žádost Objednatele

4.20.1. Objednatel je oprávněn v případě zejména nedostatku potřebné součinnosti nebo při častých administrativních nesrovnalostech Poskytovatele, zejména v případě realizace čl. II odst. 2.7 Dohody a čl. IV. odst. 4.11., 4.14., 4.16. – 4.17. Dohody, požádat Poskytovatele zejména o:

• vyjádření k těmto skutečnostem;

• doložení proškolení osob pověřených Poskytovatelem ke zpracování osobních údajů dle pokynu Objednatele dle ZZOÚ a Nařízení;

• zodpovězení otázek týkajících se souladnosti zpracování osobních údajů Poskytovatelem s ZZOÚ a Nařízením.

4.20.2. Poskytovatel je povinen na žádost Objednatele reagovat ve lhůtě 15 dní.

4.20.3. Nevyjádří-li se Poskytovatel ve stanovené lhůtě, ani toto své jednání v dané lhůtě nijak neodůvodní, je Objednavatel oprávněn přistoupit k provedení auditu / inspekce u Poskytovatele.

4.20.4. V případě zjištění nesouladu zpracování osobních údajů Poskytovatelem se ZZOÚ a/nebo Nařízením a/nebo Dohodou v rámci uplatnění žádosti Objednatele, je Objednatel podle charakteru zjištěného nesouladu oprávněn:

(i) požadovat nápravu zjištěného stavu Poskytovatelem;

(ii) přistoupit k provedení auditu / inspekce ve smyslu čl. IV. odst. 4.20. bod 4.20.6. Dohody;

(iii) uplatnit smluvní pokutu ve smyslu čl. 4.21. Dohody;

(iv) ve zvlášť závažných pochyběních Poskytovatele při zpracování osobních údajů pro Objednatele je Objednatel oprávněn odstoupit od Dohody ve smyslu čl. V. Dohody.

4.20.5. Případné náklady spojené s kontrolou Poskytovatele formou písemné žádosti si každá ze Smluvních stran nese sama.

b) audit / inspekce Objednatelem

4.20.6. Objednatel je oprávněn zejména v případě šetření Poskytovatele dozorovým úřadem, na základě vlastního šetření Objednatele, na základě podnětu od subjektu údajů a postupem dle čl. IV. odst.

4.20. bod 4.20.3 a bod 4.20.4. (ii) Dohody provést u Poskytovatele audit / inspekci.

4.20.6.1. Za účelem provedení auditu / inspekce kontaktuje Objednatel Poskytovatele min. 7 pracovní dny před realizací auditu / inspekce.

4.20.6.1.1. V rámci informace o chystaném auditu / inspekci sdělí Objednatel Poskytovateli následující údaje:

• termín auditu / inspekce;

• důvod auditu / inspekce;

• místo auditu / inspekce, kterým může být zejména sídlo Poskytovatele nebo provozovny, kde probíhá zpracování osobních údajů, jsou-li tyto provozovny odlišné od sídla Poskytovatele;

• identifikaci zástupců Objednatele, včetně informace, zda se jedná o interní či externí zástupce;

• zaměření auditu / inspekce, přičemž zejména se bude jednat o dodržování čl. IV. odst. 4.1., odst. 4.4. – 4.5 a odst. 4.8 – 4.10 Dohody;

4.20.7. Zástupci Objednatele, kteří budou provádět audit u Poskytovatele, jsou povinni dodržovat veškeré právní předpisy a interní právní předpisy Poskytovatele, se kterými budou Poskytovatelem seznámeni.

4.20.8. Poskytovatel je oprávněn určit své zástupce, kteří budou po celou dobu účastni auditu / inspekce.

4.20.9. Všechny osoby účastnící se auditu / inspekce za Poskytovatele a za Objednatele, včetně samotného Poskytovatele a Objednatele jsou vázáni mlčenlivostí.

4.20.10. Objednatel o všech zjištěních v rámci auditu / inspekce sepíše protokol, jehož obsahem bude:

• přesné uvedení data a času, kdy byl audit / inspekce realizován;

• místo, kde byl audit / inspekce proveden;

• identifikaci zástupců Objednatele (včetně informace, zda se jedná o interní či externí zástupce) a Poskytovatele, kteří se na auditu / inspekci podíleli;

• jaké skutečnosti byly v rámci auditu / inspekce objeveny;

• závěr, zda byl objeven nesoulad se ZZOÚ a/nebo Nařízením a/nebo Dohodou;

• v případě zjištěného nesouladu tzn. prokázaného porušení, informace o:

o uplatnění práva Objednatele na nápravu zjištěného stavu včetně návrhu Poskytovatele na nápravu zjištěného stavu a/nebo uplatnění smluvní pokuty včetně uvedení její výše a/nebo ve zvlášť závažných pochybeních odstoupení od Dohody ve smyslu čl. V. Dohody;

o stanovení lhůty pro realizaci nápravy, je-li toto právo Objednatelem v rámci protokolu uplatněno;

• podpis zástupce Poskytovatele a Objednatele.

4.20.11. Náklady na provedení auditu / inspekce si nese každá ze Smluvních stran sama.

4.20.11.1. V případě zjištění prokázaného porušení povinností při zpracování osobních údajů Poskytovatelem se ZZOÚ a/nebo Nařízením a/nebo Dohody v rámci auditu / inspekce, je Objednatel oprávněn:

(i) požadovat nápravu zjištěného stavu Poskytovatelem;

(ii) uplatnit smluvní pokutu ve smyslu čl. 4.21. Dohody;

(iii) ve zvlášť závažných porušení Poskytovatele při zpracování osobních údajů pro Objednatele je Objednatel oprávněn odstoupit od Dohody ve smyslu čl. V. Dohody.

4.20.12. Za „prokázané porušení povinností“ se pro účely ustanovení sankcí myslí zejména porušení povinností Poskytovatele uvedených v čl. IV odst. 4.1. – 4.2, odst. 4.4. – 4.7., odst. 4.13., odst. 4.18., odst. 4.20.

Smluvní pokuta

4.21.V případě prokázaného porušení povinností Poskytovatele ohledně zpracování osobních údajů stanovených ZOOÚ a/nebo Nařízením a/nebo Dohody, je Objednatel oprávněn uplatnit vůči Poskytovateli smluvní pokutu ve výši 50.000 Kč (slovy: padesát tisíc korun českých) za každé jednotlivé porušení, a Poskytovatel je povinen ji ve lhůtě 30 kalendářních dnů ode dne doručení výzvy k jejímu zaplacení zaslané Objednatelem Poskytovateli uhradit. Tímto ujednáním není dotčena povinnost k náhradě škody, a to včetně škody přesahující smluvní pokutu.

V.

Trvání a zánik dohody o zpracování osobních údajů

5.1. Tato dohoda trvá po dobu trvání Hlavní smlouvy.

5.2. Touto dohodou se ruší všechny předchozí smlouvy o zpracování osobních údajů uzavřené mezi Smluvními stranami za účelem specifikovaným v čl. I Dohody.

5.3. Tuto Dohodu lze ukončit písemnou dohodou Smluvních stran nebo písemnou výpovědí s výpovědní lhůtou dva měsíce, která počíná běžet prvním dnem měsíce následujícího po měsíci, v němž byla výpověď doručena druhé Smluvní straně.

5.4. Objednatel je oprávněn od této Dohody a Hlavní smlouvy kdykoliv písemně odstoupit, pokud Poskytovatel zvlášť závažným způsobem poruší jakékoliv závazky dané mu touto Dohodou a/nebo ZOOÚ a/nebo Nařízením.

5.4.1. Za zvlášť závažné porušení této Dohody je považováno opakované porušení jakýchkoliv povinností dle této Dohody. Účinky odstoupení nastávají dnem doručení písemného odstoupení druhé Smluvní straně a působí od tohoto dne do budoucna.

5.4.2. Odstoupení od Dohody se nedotýká nároku na zaplacení smluvní pokuty, úroků z prodlení, popř. nároku na náhradu škody. Odstoupením od Dohody nebo Hlavní smlouvy nebo zánikem práv a povinností z této Dohody vyplývajících z jakéhokoliv jiného důvodu nevzniká Smluvním stranám povinnost vrátit uhrazené smluvní pokuty či úroky z prodlení, na něž Smluvním stranám vznikl nárok v době účinnosti této Dohody.

5.5. Bude-li tato Dohoda ukončena, Poskytovatel je povinen bez zbytečného odkladu ve smyslu čl. 28 odst. 3 písm. g) Nařízení všechny osobní údaje, včetně všech případně existujících kopií, dle pokynů Objednatele buď vymazat, nebo je vrátit Objednateli.

5.5.1. Objednatel v pokynu pro Poskytovatele specifikuje:

• důvod ukončení zpracování osobních údajů;

• zda požaduje výmaz nebo vrácení osobních údajů, případně na jakých nosičích, v jaké formě;

• nejpozději do jakého termínu má tak být ze strany Poskytovatele učiněno.

5.5.2. Poskytovatel ve stanovené lhůtě vymaže nebo vrátí Objednateli osobních údaje, o čemž poskytne Objednateli potvrzení, v rámci kterého zejména uvede, k jakému datu byl pokyn Objednatele realizován.

VI.

Závěrečná ujednání

6.4. Vztahy mezi Smluvními stranami výslovně v této Dohodě neupravené se řídí právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, ZZOÚ a Nařízením a dále podmínkami sjednanými v Hlavní smlouvě a jednotlivých Přílohách k této Hlavní smlouvě náležejících.

6.5. Veškeré změny této Dohody je možné provést pouze formou písemných vzestupně číslovaných dodatků, které se po jejich podpisu oprávněnými zástupci Smluvních stran stanou nedílnou součástí této Dohody.