ZPRACOVATELSKÁ SMLOUVA
ZPRACOVATELSKÁ SMLOUVA
Č.j. UKRUK/…./2024
Název: Univerzita Karlova
IČO: 00216208
DIČ: CZ00216208
Sídlo: Xxxxxx xxx 000/0, 000 00 Xxxxx 0 – Xxxxx Město Zastoupená: Mgr. Xxxxxxxx Xxxxxxxx, kvestorem
(dále tako jako „správce“)
a
Název: ……………
IČO: ……………
DIČ: ……………
Sídlo: ……………
Zastoupená: ……………
(dále tako jako „zpracovatel“)
Správce a zpracovatel dále také každý jako „smluvní strana“ nebo oba jako „smluvní strany“
uzavírají níže uvedeného dne, měsíce a roku podle čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), ve znění II. a III. Korigenda (dále jen „nařízení“) a podle § 34 odst. 2 zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon o ochraně osobních údajů“)
tuto ZPRACOVATELSKOU SMLOUVU
I. Úvodní ustanovení
Smluvní strany jsou si vědomy významu ochrany osobních údajů a prohlašují, že vynaloží veškeré úsilí, aby při plnění této smlouvy respektovaly právo subjektu údajů na ochranu osobních údajů.
II. Prohlášení správce
Správce prohlašuje, že osobní údaje, které má pro něj zpracovatel zpracovávat, získal oprávněně.
III. Prohlášení zpracovatele
(1) Zpracovatel prohlašuje, že mu není známa žádná skutečnost, která by mu neumožňovala plnit povinnosti podle této smlouvy, zejména pak taková, na základě které by se správce mohl oprávněně domnívat, že zpracovatel není schopen poskytnout správci dostatečnou záruku, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavede technická a organizační opatření, která budou splňovat podmínky nařízení, včetně požadavků na bezpečnost zpracování.
(2) Ukáže-li se prohlášení zpracovatele jako nepravdivé, nesprávné nebo neúplné, odpovídá
správci za způsobenou újmu.
IV. Zapojení dalšího zpracovatele
(1) Zpracovatel je oprávněn zapojit dalšího zpracovatele jen s předchozím písemným
souhlasem správce.
(2) I tak musí zpracovatel uzavřením smlouvy s tímto dalším zpracovatelem zajistit, aby tento další zpracovatel prováděl činnosti zpracování podle stejných podmínek, za jakých zpracování provádí zpracovatel pro správce.
(3) Za plnění povinností dalším zpracovatelem odpovídá správci zpracovatel.
(4) Poruší-li zpracovatel povinnosti podle odstavců 1 a 2, odpovídá správci za způsobenou
újmu.
V. Předmět smlouvy
(1) Předmětem této smlouvy je závazek zpracovatele zpracovávat pro správce osobní údaje v rozsahu uvedeném v čl. VI. této smlouvy a závazek správce vytvořit pro to zpracovateli podmínky stanovené touto smlouvou.
(2) Smluvní strany se zavazují, že budou, s výjimkou plnění zákonné povinnosti,
o skutečnostech stanovených v této smlouvě zachovávat mlčenlivost, jinak si vzájemně odpovídají za způsobenou újmu.
VI. Osobní údaje a subjekty údajů
(1) Osobními údaji se pro účely této smlouvy rozumí:
a. jméno/jména a příjmení,
b. osobní číslo UK,
c. datum narození,
d. adresa trvalého bydliště,
e. ID datové schránky,
f. státní občanství, subjektu údajů (dále jen „osobní údaje“).
VII. Účel zpracování
(1) Správce dne …………… uzavřel se zpracovatelem smlouvu …………… (dále jako „smlouva
hlavní“). Smlouva hlavní je u Správce vedena pod č. j. ……………
(2) Účelem zpracování osobních údajů je tak plnění povinnosti zpracovatele vyplývající ze
smlouvy hlavní.
(3) Účelem zpracování je vyšší zabezpečení přístupů do významných informačních systému
Univerzity Karlovy.
(4) Zpracovatel zpracovává osobní údaje shromažďováním, ukládáním, slučováním, analyzováním a vizualizováním ve formě elektronické.
VIII. Doba trvání zpracování
(1) Zpracovatel je oprávněn zpracovávat osobní údaje nejdéle po dobu účinnosti této smlouvy.
(2) Bezprostředně po uplynutí doby trvání zpracování zpracovatel buď vymaže nebo vrátí osobní údaje ze všech svých systémů elektronických i fyzických, a to včetně kopií osobních údajů, jinak odpovídá správci za způsobenou újmu. Věta první platí obdobně i pro případ písemného odstoupení od této smlouvy některou ze smluvních stran a pro případ písemné výpovědi smlouvy uplatněné některou ze smluvních stran.
IX. Komunikace
(1) Smluvní strany mezi sebou ve věcech této smlouvy komunikují v listinné podobě na adresy svých sídel uvedených v záhlaví této smlouvy nebo elektronicky na níže uvedené e-mailové adresy.
(2) Smluvní strany sjednávají, že ve věcech týkajících se této smlouvy spolu mohou komunikovat také prostřednictvím kontaktních osob, kterými jsou:
Za Správce
Xxxxx a příjmení: ……………..
Pracovní zařazení: ……………..
E-mail: ……………..
Telefon: ……………..
Kontaktní e-mailová adresa správce, pokud jde o hlášení porušení zabezpečení osobních údajů, ke kterému došlo na straně zpracovatele v souvislosti s touto smlouvou, je xxxx@xxxx.xx.
Za Zpracovatele
…………… |
…………… |
…………… |
…………… |
Xxxxx a příjmení:
Pracovní zařazení:
E-mail:
Telefon:
(3) Smluvní strany se shodně dohodly, že změna v osobě pro komunikaci uvedené v tomto článku není změnou smlouvy a tuto změnu si smluvní strany sdělí písemně na adresu sídla uvedeného v záhlaví této smlouvy.
(4) Smluvní strany jsou povinny vzájemně se neprodleně informovat o veškerých skutečnostech, které by mohly mít vliv na plnění této smlouvy.
X. Povinnosti správce
(1) Správce se zavazuje poskytovat zpracovateli při plnění této smlouvy nezbytnou součinnost.
(2) Správce se zavazuje poskytnout zpracovateli jakékoli podklady, jsou-li nutné pro plnění této
smlouvy, a to bezprostředně poté, co o ně zpracovatel požádá.
(3) Správce se zavazuje plnit informační povinnost vůči subjektům údajů podle čl. 13 a 14
nařízení.
XI. Povinnosti zpracovatele
(1) Zpracovatel se zavazuje zpracovávat osobní údaje jen podle této smlouvy a podle doložených pokynů správce, které mu správce předává prostřednictvím osoby uvedené v čl. IX. odst. 2 této smlouvy.
(2) Zpracovatel se při plnění této smlouvy zavazuje jednat v souladu s nařízením, právními předpisy České republiky, s odbornou péčí a v souladu se zájmy správce.
(3) Zpracovatel se zavazuje splnit povinnosti kladené mu v čl. 28 odst. 3 nařízení, tedy že
zpracovatel:
a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Evropské unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu,
b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
c) přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, vhodná technická a organizační zabezpečení, aby zajistil odpovídající úroveň zabezpečení odpovídající danému riziku, případně učinil opatření dle čl. 32 odst. 1 písm. a) až d) nařízení,
d) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III nařízení,
e) je správci nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 nařízení, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici,
f) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 odst. 3 nařízení, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
(4) Přijetím technických a organizačních opatření, která je zpracovatel povinen přijmout podle odstavce 3 písm. c) se rozumí taková opatření, která zamezí nebezpečí náhodného nebo neoprávněného přístupu k osobním údajům, zamezí jejich zničení nebo ztrátě, neoprávněnému zveřejnění nebo zpřístupnění bez ohledu na formu osobních údajů, v jaké jsou zpracovávány. Takovými vhodnými opatřeními může být zejména:
a) přijetí vnitřních předpisů či pravidel pro práci se zpracovávanými osobními údaji,
b) stanovení pravidel pro přístup k osobním údajům v informačních systémech nebo jinde jen k tomu pověřeným osobám,
c) monitorování práce osob při nakládání s osobními údaji, zejména kdo, kdy a
z jakého důvodu k osobním údajům přistupoval,
d) zabezpečení informačních systémů heslem, přístupovými právy, šifrováním nebo
jinak,
e) zabezpečení osobních údajů ve fyzické podobě v uzamykatelných skříních,
s vhodnými zámky, za mřížemi apod.,
f) proškolení zaměstnanců ohledně povinností vyplývajících pro ně ze zpracování
osobních údajů,
g) zajištění dálkového přenosu osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích,
h) pravidelné zálohování osobních údajů.
(5) Zpracovatel odpovídá za své zaměstnance, kterým v souladu s plněním této smlouvy umožnil zpracovávat osobní údaje. Zejména je povinen zavázat smluvně své zaměstnance povinností mlčenlivosti, která trvá i po skončení této smlouvy. Zároveň je povinen kontrolovat, zda zaměstnanci dodržují povinnosti uložené jim zpracovatelem podle této smlouvy.
(6) Zpracovatel je xxxxxxx v souladu s čl. 33 odst. 2 nařízení neprodleně, jakmile to zjistí, způsobem podle čl. IX. odst. 2 oznámit správci jakékoli porušení zabezpečení osobních údajů a uvést veškeré informace dle čl. 33 odst. 3 nařízení, pokud mu jsou známy. V případě porušení zabezpečení osobních údajů zpracovatel neprodleně vynaloží veškeré úsilí k napravení nežádoucího stavu.
(7) Zpracovatel je povinen neprodleně informovat správce způsobem podle čl. IX. odst. 2 v případě, že jakýkoliv jeho pokyn porušuje nařízení, právní předpisy České republiky či jiné právně závazné dokumenty.
(8) Zpracovatel je dále povinen oznámit správci neprodleně jakékoli další skutečnosti, které by mohly bránit řádnému plnění této smlouvy.
(9) Určí-li zpracovatel účel a prostředky zpracování v rozporu s touto smlouvou, považuje se
ve vztahu k takovému zpracování za správce.
XII. Teritoriální působnost a předávání osobních údajů do zahraničí
Ke zpracování osobních údajů podle této smlouvy dochází v rámci Evropského hospodářského prostoru. Předávání osobních údajů mimo Evropský hospodářský prostor je zapovězeno.
XIII. Sankční ujednání
(1) Zpracovatel odpovídá správci za jakoukoliv újmu způsobenou v důsledku jakéhokoliv porušení povinností uložených zpracovateli nařízením, právními předpisy České republiky nebo touto smlouvou, zejména je-li v důsledku porušení povinností zpracovatele správce povinen hradit náhradu újmy subjektu osobních údajů či sankce uložené správci ze strany orgánu veřejné moci.
(2) Zpracovatel se zavazuje uhradit správci smluvní pokutu v částce ve výši 1.000,- Kč, a to za každé prokázané porušení povinnosti zpracovatele uvedené v nařízení, právních předpisech České republiky nebo v této smlouvě.
(3) Ustanovením o smluvní pokutě není dotčeno právo na náhradu škody, a to včetně náhrady škody přesahující smluvní pokutu.
XIV. Trvání a zánik smlouvy
(1) Tato smlouva se uzavírá na dobu trvání smlouvy hlavní.
(2) Tato smlouva nabývá platnosti dnem jejího podepsání, účinnosti dnem uveřejnění ve veřejném registru smluv podle zákona č. 340/2015 Sb., ve znění pozdějších předpisů.
(3) Tato smlouva zaniká:
a) uplynutím doby, na kterou byla uzavřena,
b) zánikem smlouvy hlavní,
c) písemnou dohodou smluvních stran, jejíž součástí je i vypořádání vzájemných práv a povinností smluvních stran z této smlouvy,
d) písemným odstoupením některé ze smluvních stran od smlouvy v případě jejího podstatného porušení druhou smluvní stranou. V takovémto případě smluvní strany neprodleně zahájí jednání k bezprostřednímu uzavření nové zpracovatelské smlouvy,
e) uplynutím výpovědní doby v délce 3 měsíců v případě, že se některá ze smluvních stran rozhodne tuto smlouvu písemně vypovědět. Výpovědní doba počíná běžet prvním dnem kalendářního měsíce následujícího po dni, ve kterém byla výpověď doručena druhé smluvní straně.
(4) Podstatným porušením této smlouvy jsou následující případy porušení:
a) čl. II.,
b) čl. III. odst. 1,
c) čl. IV. odst. 1,
d) čl. X. odst. 2,
e) čl. XI. odst. 3,
f) čl. XI. odst. 6,
g) čl. XI. odst. 7,
h) čl. XII.
(5) Správce je dále oprávněn od této smlouvy odstoupit, jestliže se u Zpracovatele jeho vlastnická struktura v průběhu trvání závazku podle této smlouvy změní v tom smyslu, že bude Zpracovatel z více než 50 % přímo nebo nepřímo vlastněný nebo ovládaný ruským státním příslušníkem, fyzickou či právnickou osobou nebo jiným subjektem či orgánem se sídlem v Rusku.
(6) Odstoupení musí být písemné, musí v něm být přesně specifikován důvod pro odstoupení podle odstavce 4 a musí být doručeno druhé smluvní straně, kdy odstoupení nabývá účinnosti.
(7) Odstoupením není dotčeno právo na zaplacení smluvní pokuty nebo na náhradu újmy.
XV. Závěrečná ustanovení
(1) Požaduje-li tato smlouva, aby něco bylo provedeno bezprostředně, strany vynaloží veškeré úsilí, aby se tak stalo bez zbytečného odkladu, nejpozději však do 30 dnů.
(2) Požaduje-li tato smlouva, aby něco bylo provedeno písemně, jednání je platné, pokud je učiněno nebo doručeno v listinné podobě na adresu sídla uvedeného v záhlaví této smlouvy nebo učiněno nebo doručeno elektronicky na e-mailovou adresu uvedenou v čl. IX této smlouvy.
(3) V otázkách touto smlouvou neupravených se smlouva řídí nařízením a občanským zákoníkem.
(4) Z této smlouvy nevyplývá pro zpracovatele žádný nárok na zaplacení ceny, ani žádný nárok
na náhradu nákladů vynaložených na zajištění plnění povinností vyplývajících z předmětné smlouvy.
(5) Veškeré změny této smlouvy lze provést pouze formou písemných vzestupně číslovaných dodatků.
(6) Správce tuto smlouvu zveřejní v registru smluv, pokud povinnosti zveřejnění podléhá. Rozhodne-li se tak správce, je oprávněn zveřejnit tuto smlouvu v registru smluv, i když by jinak zveřejnění v registru smluv nepodléhala.
(7) Neplatnost nebo nevymahatelnost některého ustanovení této smlouvy nemá vliv na platnost a účinnost ostatních ustanovení. Neplatné nebo nevymahatelné ustanovení se smluvní strany zavazují bezprostředně nahradit ustanovením bezvadným, a to tak, aby byl zachován původní účel smlouvy.
(8) Tato Smlouva je uzavřena elektronicky, a to tak, že je opatřena uznávanými elektronickými podpisy oprávněných zástupců smluvních stran (dle § 6 odst. 2 zák. č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů).
V Praze dne | V Praze dne | |
Xxx. Xxxxxx Xxxxxxx kvestor | Za zpracovatele |