Smlouva o zpracování osobích údajů při komplexní dodávce softwarového řešení pro interní grantovou agenturu

č. Xxxxxxx Xxxxxxxxxxxx: SOJ001/22

Smlouva o zpracování osobích údajů

při komplexní dodávce
softwarového řešení pro interní grantovou agenturu

Níže uvedeného dne, měsíce a roku uzavřely Smluvní strany

Univerzita Hradec Králové

veřejná vysoká škola vedená v registru vysokých škol a uskutečňovaných studijních programů Ministerstva školství, mládeže a tělovýchovy pod RID 18000

se sídlem: Rokitanského 62/26, Hradec Králové, PSČ 500 03

IČO (DIČ): 62690094 (CZ62690094)

jíž zastupuje: xxx

dále jen jako „Správce“

na straně jedné

a

DERS Group s.r.o.

společnost vedená u Městského soudu v Praze pod sp. zn. C 205820

se sídlem: Xxxxxxxx 000/00, Xxxxx 0 – Xxxxxx, PSČ 130 00

IČO (DIČ): 27513149 (CZ27513149)

jíž zastupuje: xxx

dále jen jako „Zpracovatel“

na straně druhé

tuto

smlouvu o zpracování osobních údajů

při komplexní dodávce softwarového řešení pro interní grantovou agenturu

ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679

dále jen jako „Smlouva“

1. Úvodní ustanovení

   1. Smluvní strany uzavřely na základě zadávacího řízení ve smyslu zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, k veřejné zakázce s názvem „Dodávka softwarového řešení pro interní grantovou agenturu“, uveřejněného ve Věstníku veřejných zakázek pod evidenčním číslem zakázky Z2020-044768 smlouvu na komplexní dodávku softwarového řešení pro interní grantovou agenturu, na jejímž základě bude Zpracovatel provádět dodávku tohoto aplikačního software, jeho provozní údržbu a rozvoj (dále jen „Smlouva o poskytování služeb”).

   2. Pro řádné plnění Smlouvy o poskytování služeb je rovněž nezbytné provést zpracování osobních údajů subjektů údajů (dále jen „Osobní údaje“), které bude pro Správce provádět Zpracovatel.

   3. S ohledem na výše uvedené uzavírají Smluvní strany v souladu s článkem 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“) tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva“).

   4. Ujednává se, že v případě rozporu mezi zněním této Smlouvy a Xxxxxxx o poskytování služeb mají přednost ustanovení této Smlouvy.

2. Předmět Smlouvy

   1. Smlouva upravuje vzájemné vztahy mezi Správcem a Zpracovatelem, vymezuje předmět zpracování a typ zpracovávaných Osobních údajů, povahu a účel zpracování, kategorie subjektů údajů, dobu trvání zpracování a práva a povinnosti Správce a Zpracovatele.

   2. Správce tímto pověřuje Zpracovatele ke zpracování Osobních údajů subjektů údajů, a to v rozsahu a za podmínek dále uvedených.

3. Předmět zpracování a typ Osobních údajů

   1. Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje subjektů údajů. Jedná se o následující kategorie Osobních údajů:

      1. adresní a identifikační údaje (zejména jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, titul, státní příslušnost, adresa (včetně elektronické), telefonní číslo, číslo osobního dokladu, digitální identifikátor, podpis);

      2. popisné údaje (zejména vzdělání, znalost cizích jazyků, odborná kvalifikace, znalosti a dovednosti, portrétní fotografie, video/audio záznam o osobě, předchozí zaměstnání, členství v zájmových organizacích);

      3. studijní údaje (zejména záznamy o studiu a studijních aktivitách, studijní výsledky, studijní ocenění);

      4. ekonomické/transakční údaje (zejména bankovní spojení, mzda, odměny, poplatky, závazky a pohledávky, objednávky, nákupy, daně);

      5. pracovní údaje (zejména záznamy o práci a pracovních aktivitách, nadřízený pracovník, pracoviště, pracovní zařazení a pozice, pracovní hodnocení, pracovní ocenění);

      6. provozní a lokační údaje (zejména údaje z elektronických systémů vztahujících se ke konkrétnímu subjektu údajů – např. údaje o využití informačních systémů, o datovém provozu a elektronické komunikaci);

      7. údaje o aktivitách subjektu (zejména publikační činnost, údaje o odborných aktivitách, účasti na konferencích, zapojení do projektů, údaje o pracovních či studijních cestách);

      8. elektronické identifikátory (uživatelské jméno a heslo, IP adresa).

   2. Zpracovatel bude dle této Smlouvy zpracovávat Zvláštní kategorie osobních údajů subjektů údajů ve smyslu článku 9 Nařízení. Jedná se o následující zvláštní kategorie osobních údajů:

- vlastnoruční podpis.

4. Povaha a účel zpracování Osobních údajů

   1. Účelem zpracování Osobních údajů dle Smlouvy je dodávka, správa, údržba a rozvoj elektronického informačního systému Správce, v němž bude Správce interně plánovat, vyhlašovat a vyhodnocovat soutěže a u realizovaných projektů řídit jejich celkový životní cyklus – samotné provádění, kontrolu a vyhodnocení, a ukládání Osobních údajů zpracovávaných Správcem.

   2. Za účely uvedenými výše je Zpracovatel zejména oprávněn Osobní údaje v nezbytném rozsahu prohlížet, uspořádávat, uchovávat, případně s nimi provádět i jiné procesy zpracování, které jsou nezbytné ke splnění předmětu Smlouvy a účelům zpracování uvedeným výše. Tyto procesy zpracování budou Zpracovatelem prováděny elektronicky.

5. Kategorie subjektů údajů

   1. Zpracovatel bude dle této Smlouvy zpracovávat Osobní údaje následujících subjektů údajů:

      1. zaměstnanci Správce (osoba v pracovněprávním vztahu se Správcem) nebo jiných spolupracovníků (zejména školitel, spoluřešitel, spoluautor publikace);

      2. studenti Správce;

      3. bývalí studenti Správce včetně absolventů;

      4. účastníci programu celoživotního vzdělávání nebo Univerzity třetího věku;

      5. studenti jiné vysoké školy nebo studenti na krátkodobém studijním pobytu u Správce;

      6. obchodní partneři (dodavatelé, odběratelé) a zákazníci;

      7. účastníci vědeckých a výzkumných činností;

      8. návštěvníci nebo účastníci akcí pořádaných Správcem; a

      9. jiné osoby.

6. Doba trvání zpracování

Osobní údaje subjektů údajů bude Zpracovatel zpracovávat po dobu trvání Smlouvy o poskytování služeb.

7. Práva a povinnosti Správce

   1. Správce přijme opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření Správce nebo Zpracovatele a má přístup k Osobním údajům, zpracovávala tyto Osobní údaje pouze na pokyn Správce, pokud jí jejich zpracování již neukládá právo Evropské Unie nebo členského státu.

   2. Správce se zavazuje poskytnout Zpracovateli součinnost nezbytnou pro plnění ustanovení této Smlouvy, Smlouvy o poskytování služeb a pro zajištění technických a organizačních podmínek zabezpečení ochrany Osobních údajů.

8. Práva a povinnosti Zpracovatele

   1. Zpracovatel je povinen se při zpracování Osobních údajů řídit Nařízením, zákonem č. 110/2019 Sb., o zpracování osobních údajů („ZZOÚ“), dalšími relevantními právními předpisy, Xxxxxxxx o poskytování služeb a touto Smlouvou.

   2. Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení, ZZOÚ a dalších relevantních právních předpisů.

   3. Zpracovatel je povinen zpracovávat Osobní údaje pouze za účelem a způsobem uvedeným v článku IV. této Smlouvy a pouze v souladu s níže uvedenými pokyny Správce. Pokud Zpracovatel tyto pokyny překročí a/nebo sám určí účel a prostředky zpracování, považuje se za správce a odpovídá v souladu s článkem 28 odst. 10 Nařízení za splnění všech povinností správce dle Nařízení.

   4. Zpracovatel je povinen řídit se při zpracování Osobních údajů na základě této Smlouvy doloženými písemnými pokyny Správce, a to včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci. Tuto povinnost Zpracovatel nemá, pokud mu toto zpracování již ukládají právo Evropské Unie nebo české právní předpisy, které se na Zpracovatele vztahují. V takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

   5. Ujednává se, že Zpracovatel bude pro Správce zpracování Osobních údajů provádět dle pokynů uvedených ve Xxxxxxx o poskytování služeb.

   6. Pokud Správce dodatečně udělí Zpracovateli další pokyny ohledně zpracování Osobních údajů, které nejsou výslovně uvedené ve Smlouvě o poskytování služeb, či v této Smlouvě, je povinen Zpracovatel tyto pokyny evidovat tak, aby byly doložitelné.

   7. Pokud by Zpracovatel zjistil, že pokyn Správce porušuje Nařízení, české právní předpisy nebo jiné předpisy Evropské Unie týkající se ochrany Osobních údajů, je ve smyslu článku 28 odst. 3. písm. h) Nařízení povinen neprodleně o této skutečnosti Správce informovat.

   8. V souladu s článkem 29 Nařízení se ujednává, že Zpracovatel a jakákoliv osoba, která jedná z pověření Správce nebo Zpracovatele a má přístup k Osobním údajům, může tyto Osobní údaje zpracovávat pouze na pokyn Správce, ledaže jí jejich zpracování ukládá přímo právo Evropské unie nebo členského státu Evropské unie. V souladu s článkem 32 odst. 4. Nařízení se k zajištění tohoto požadavku Zpracovatel zavazuje přijmout vhodná opatření. Tato opatření mohou rovněž zahrnovat opatření a postupy uvedené v článku X. této Smlouvy.

   9. Zpracovatel je povinen zohlednit povahu zpracování a být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při plnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektů údajů podle článků 12 až 23 Nařízení, zejména na žádost ohledně přístupu k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů, včetně práva vznést námitku proti zpracování Osobních údajů.

   10. Zpracovatel se zavazuje být Správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 Nařízení (tj. povinnost zabezpečit zpracování Osobních údajů, povinnost ohlásit případ porušení zabezpečení Osobních údajů, povinnost vypracovat posouzení vlivu na ochranu Osobních údajů a povinnost provést předchozí konzultaci s dozorovým úřadem), a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

   11. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování Osobních údajů dle Nařízení, ZZOÚ, dalších relevantních právních předpisů, Smlouvy o poskytování služeb a této Smlouvy a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří. Správce je povinen se na podrobnostech provedení auditu (popřípadě inspekce), zejména co do termínu jeho provedení, domluvit předem se Zpracovatelem.

   12. Pokud Správce dojde k závěru, že je nezbytné provést další opatření v této Smlouvě výslovně neuvedená (např. na základě provedení posouzení vlivu na ochranu osobních údajů podle článku 35 Nařízení, ale nikoliv pouze na základě tohoto posouzení), je Zpracovatel povinen taková opatření provést a obě Smluvní strany se zavazují takovou změnu uskutečnit formou změny této Smlouvy.

   13. V případě, že dozorový orgán zahájí jakékoliv řízení vůči kterékoliv ze Smluvních stran v souvislosti se zpracováním Osobních údajů dle této Smlouvy, zavazují se Smluvní strany se vzájemně neprodleně informovat. Smluvní strany se zavazují poskytnout si veškerou součinnost při jednáních s dozorovými úřady nebo se subjekty údajů.

9. Zapojení dalších zpracovatelů do zpracování Osobních údajů

   1. V souladu s článkem 28 odst. 2. Nařízení se ujednává, že Zpracovatel může zapojit do zpracování Osobních údajů dalšího zpracovatele (dále jen „Další zpracovatel“). Zpracovatel je však povinen písemně informovat Správce o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení, a to bez zbytečného odkladu, nejdéle však do 3 dnů od okamžiku, kdy se o dané skutečnosti dozvěděl, a zároveň poskytne Správci příležitost vyslovit vůči těmto změnám námitky.

   2. V případě, že Zpracovatel zapojí Dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, je povinen Dalšího zpracovatele písemně smluvně zavázat k plnění stejných povinností na ochranu Osobních údajů, k jakým se Zpracovatel sám v této Smlouvě zavázal, a to zejména poskytnutím dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení. Splnění této povinnosti je Zpracovatel povinen Správci kdykoliv na vyžádání doložit.

   3. Zpracovatel odpovídá Správci za případné porušení povinností při ochraně Osobních údajů ze strany Dalšího zpracovatele, a to v souladu s článkem 28 odst. 4. Nařízení.

10. Technické a organizační zabezpečení ochrany Osobních údajů

    1. Zpracovatel se zavazuje, že ve smyslu článku 32 Nařízení přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či jiných závazných právních předpisech, k vyloučení rizika náhodného nebo protiprávního zničení Osobních údajů, jejich ztráty, pozměnění, neoprávněného nebo nahodilého přístupu k Osobním údajům, neoprávněného přenosu či ukládání, jakož i jiného neoprávněného zpracování Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.

    2. Zpracovatel se zavazuje, že přijme zejména, nikoliv však výlučně, následující organizační a technická opatření:

       1. Zpracovatel, v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců nebo jiných osob, pověří touto činností pouze své vybrané zaměstnance nebo takové osoby, které prokazatelně poučí o jejich povinnosti zachovávat mlčenlivost ohledně zpracování Osobních údajů, jakož i o bezpečnostních a technických opatřeních, která Zpracovatel přijal a která jsou povinni dodržovat, stejně i o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení Nařízení, relevantních právních předpisů, znění Smlouvy o poskytování služeb nebo této Smlouvy; zpracováním budou pověřeni pouze ti zaměstnanci Zpracovatele nebo takové osoby, do jejichž pracovní náplně spadají činnosti, jejichž odůvodněným předpokladem je zpracování Osobních údajů, a to v nezbytném rozsahu. Zpracovatel zároveň přijme opatření pro zajištění toho, aby tito zaměstnanci Zpracovatele nebo jiné osoby zpracovávali Osobní údaje pouze na pokyn Správce, pokud jim toto zpracování již neukládá právo Evropské unie nebo České republiky.

       2. Zpracovatel k zajištění důvěrnosti systémů a služeb zpracování přijme vhodná opatření v podobě vytvoření systému úrovní oprávnění, autentizace a autorizace přístupů fyzických osob k Osobním údajům (zejména přidělením přístupových hesel, kódů, klíčů či karet), eventuálně včetně technik šifrování a pseudonymizace zpracování Osobních údajů. Za tímto účelem bude používat odpovídající technická zařízení a programová vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než osob pověřených Zpracovatelem. Rovněž za tímto účelem zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích.

       3. Zpracovatel k zajištění integrity systémů a služeb zpracování přijme vhodná opatření chránící Osobní údaje před neoprávněným zničením, ztrátou nebo odcizením. Jedná se zejména o zajištění přístupu k Osobním údajům pouze oprávněným osobám a monitorování přístupu fyzických osob k Osobním údajům. K tomuto účelu se Zpracovatel zavazuje Osobní údaje zpracovávat v náležitě zabezpečených objektech a místnostech. Osobní údaje v elektronické podobě bude Zpracovatel uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby. Osobní údaje v listinné podobě bude Zpracovatel zpracovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o zpracování takovýchto písemných dokumentů, včetně míst zpracování těchto dokumentů.

       4. Zpracovatel k zajištění dostupnosti systému a služeb zpracování přijme taková opatření, díky kterým v případě výpadku systému či služby bude zajištěna náhradní funkcionalita tohoto systému či služby (například rozprostření mezi větší počet serverů).

       5. Zpracovatel k zajištění odolnosti systémů a služeb zpracování přijme taková opatření, která zajistí odolnost vůči útokům, selháním a která zajistí funkcionalitu a bezpečnost zpracování Osobních údajů po celou dobu zpracování.

       6. Zpracovatel k zajištění izolovanosti zpracování Osobních údajů, zejména pokud zpracovává Osobní údaje několika správců či zpracovatelů, zajistí, aby nedošlo k jejich sloučení, záměně nebo k jinému procesu, který by měl za následek porušení bezpečnosti zpracování Osobních údajů.

       7. Zpracovatel k zajištění schopnosti obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů přijme opatření zahrnující zejména pravidelné zálohování Osobních údajů, vytvoření a uplatňování pohotovostních nebo havarijních plánů a interních postupů pro případ bezpečnostních incidentů.

       8. Zpracovatel rovněž zajistí pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, například zavedením politiky pravidelného sledování a posuzování rizik a přijatých bezpečnostních opatření.

       9. V souladu s článkem 33 odst. 2. Nařízení je Zpracovatel povinen informovat Správce o jakémkoliv porušení zabezpečení Osobních údajů (dále jen jako „Porušení zabezpečení Osobních údajů“), jako je především ztráta či únik Osobních údajů, neoprávněná manipulace s Osobními údaji, přístup neoprávněné osoby k Osobním údajům, nedostupnost Osobních údajů nebo i jiné porušení zabezpečení Osobních údajů, a to bez zbytečného odkladu, nejpozději však do 24 hodin od vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozby, jestliže Zpracovatel mohl vědět o tomto Porušení zabezpečení Osobních údajů či o takovéto hrozbě při vynaložení odborné péče měl vědět. Nemohl-li Zpracovatel zjistit případ skutečného či hrozícího Porušení zabezpečení Osobních údajů před uplynutím lhůty uvedené výše v tomto odstavci, informuje Správce nejpozději do 24 hodin od okamžiku, kdy se o vzniku Porušení zabezpečení Osobních údajů nebo jeho hrozbě Zpracovatel dozvěděl.

       10. Informace dle předchozího písmene tohoto odstavce musí zejména obsahovat:

           1. popis povahy daného případu Porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů, pokud je to možné/pokud jsou Zpracovateli tyto údaje známy;

           2. popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;

           3. popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

       11. Při ukončení zpracování Osobních údajů zajistí Zpracovatel bez zbytečného odkladu dle dohody se Správcem bezpečnou likvidaci Osobních údajů nebo tyto Osobní údaje předá Správci a zároveň zajistí bezpečnou likvidaci všech kopií Osobních údajů, pokud právo Unie nebo členského státu nepožaduje uložení daných Osobních údajů.

11. Zajištění a utvrzení závazku, náhrada škody

    1. V případě porušení povinností Zpracovatele dle čl. VIII. odst. 1., 3., 4. nebo 8., čl. IX. odst. 1. a 2. a čl. X. odst. 1. písm. a), b), c), e), g), i), j) nebo k) této Smlouvy může Správce požadovat po Zpracovateli zaplacení smluvní pokuty ve výši 100.000,00 Kč, a to i opakovaně.

    2. V případě porušení povinností Zpracovatele dle čl. VIII. odst. 9., 10. nebo 11., čl. X. odst. 1. písm. d), f) nebo h) této Smlouvy může Správce požadovat po Zpracovateli zaplacení smluvní pokuty ve výši 50.000,00 Kč, a to i opakovaně.

    3. Smluvní pokuta je splatná do 21 kalendářních dnů od doručení výzvy k zaplacení. Uplatněním smluvní pokuty není dotčeno právo Správce na náhradu škody nebo újmy, které je Správce oprávněn uplatnit vedle smluvní pokuty.

    4. Správce má právo na náhradu škody či jiné újmy, která mu vznikla v důsledku porušení povinností Zpracovatele vyplývajících z této Smlouvy, Smlouvy o poskytování služeb, Nařízení nebo jiných relevantních právních předpisů.

    5. Zpracovatel k zajištění svých povinností vyplývajících z této Smlouvy nebo Xxxxxxx o poskytování služeb má povinnost sjednat pojištění své odpovědnosti, ev. pojištění IT rizik (Cyber Risks) a toto pojištění udržovat po celou dobu trvání Smlouvy nebo Smlouvy o poskytování služeb. Zpracovatel má povinnost kdykoliv na požádání Správci tuto skutečnost doložit, a to předložením uzavřené pojistné smlouvy.

12. Zpracování osobních údajů Zpracovatele

    1. Zpracovatel bere na vědomí, že Správce bude za účelem plnění předmětu Smlouvy o poskytování služeb a této Smlouvy zpracovávat Osobní údaje Zpracovatele, případně též fyzických osob jednajících jménem Zpracovatele uvedené ve Smlouvě o poskytování služeb nebo v této Smlouvě (identifikační a kontaktní údaje); dále identifikační a kontaktní údaje zaměstnanců Zpracovatele (kontaktních osob), a to za účelem komunikace ve věci plnění Smlouvy o poskytování služeb nebo této Smlouvy. Tyto Osobní údaje budou za uvedenými účely zpracovávány na právním základě splnění smlouvy dle článku 6 odst. 1. písm. b) Nařízení. Tyto Osobní údaje budou pro uvedený účel zpracovávány po dobu trvání Smlouvy o poskytování Služeb nebo Smlouvy.

    2. Zpracovatel bere na vědomí, že Správce za účelem výkonu a obhajoby právních nároků bude zpracovávat identifikační a kontaktní údaje Zpracovatele. Tyto Osobní údaje budou k uvedenému účelu zpracovávány na právním základě oprávněného zájmu Správce dle článku 6 odst. 1. písm. f) Nařízení. Oprávněným zájmem v tomto případě je výkon a obhajoba právních nároků Správce. Tyto Osobní údaje budou pro uvedený účel zpracovávány po dobu běhu lhůty k uplatnění práv z vadného plnění (reklamace), a dále po dobu běhu promlčecích a prekluzivních lhůt u jednotlivých práv vymezených v zákoně č. 89/2012 Sb., občanském zákoníku, ve znění pozdějších předpisů. V případě uplatnění těchto práv u soudu nebo u jiných orgánů veřejné moci pak po dobu trvání těchto řízení.

    3. Zpracovatel bere na vědomí, že Správce za účelem vedení seznamu zpracovatelů a kontroly jejich činnosti bude zpracovávat Osobní údaje Zpracovatele, případně též fyzických osob jednajících jménem Zpracovatele (identifikační a kontaktní údaje), uvedené ve Smlouvě o poskytování služeb nebo v této Smlouvě; dále identifikační a kontaktní údaje zaměstnanců Zpracovatele (kontaktních osob), a to za účelem komunikace a kontroly ve věci plnění Smlouvy o poskytování služeb, této Smlouvy, povinností vyplývajících pro Zpracovatele z Nařízení nebo jiných právních předpisů týkajících se ochrany a zpracování Osobních údajů. Tyto Osobní údaje budou k uvedenému účelu zpracovávány na právním základě oprávněného zájmu Správce dle článku 6 odst. 1. písm. f) Nařízení. Oprávněným zájmem Správce je v tomto případě plnění povinností Správce dle článků 5, 24, 25 a 28 Nařízení a rovněž ochrana zájmů a základních práv a svobod subjektů údajů. Tyto Osobní údaje budou pro uvedený účel zpracovávány po dobu trvání Smlouvy o poskytování Služeb nebo Smlouvy a dále po dobu běhu promlčecích a prekluzivních lhůt u jednotlivých práv vymezených v zákoně č. 89/2012 Sb., občanském zákoníku, ve znění pozdějších předpisů. V případě uplatnění těchto práv u soudu nebo u jiných orgánů veřejné moci pak po dobu trvání těchto řízení.

    4. V souladu s článkem 21 odst. 4 Nařízení Správce tímto upozorňuje Zpracovatele na jeho právo podat kdykoliv a bezplatně námitku proti zpracování Osobních údajů prováděného na základě Oprávněného zájmu Správce.

    5. Zpracovatel bere na vědomí, že v případě, že bude třeba tuto Smlouvu uveřejnit v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (dále jen jako „Zákon o registru smluv“), budou Osobní údaje Zpracovatele, případně též fyzických osob jednajících jménem Zpracovatele uvedené ve Smlouvě o poskytování služeb nebo v této Smlouvě (identifikační a kontaktní údaje), a dále identifikační a kontaktní údaje zaměstnanců Zpracovatele (kontaktních osob), uveřejněny v tomto registru, a to v nezbytném rozsahu v souladu se Zákonem o registru smluv. Toto Zpracování Osobních údajů provádí Správce na právním základě splnění právní povinnosti dle článku 6 odst. 1 písm. c) Nařízení.

    6. Osobní údaje uvedené v tomto článku budou zpřístupněny Správci a jeho vybraným oprávněným zaměstnancům, a to pouze v rozsahu nezbytném pro uvedené účely zpracování. V případě uveřejnění této Smlouvy v registru smluv dle Zákona o registru smluv budou Osobní údaje uveřejněny pouze v omezeném v rozsahu v souladu s ustanovením § 3 tohoto zákona.

    7. Pověřence pro ochranu osobních údajů Správce je možno kontaktovat na adrese Xxx. Xxxxx Xxxxxx, Univerzita Hradec Králové, Xxxxxxxxxxxx 00/00, Xxxxxx Xxxxxxx, PSČ 500 03, nebo na e-mailové adrese xxxx@xxx.xx.

13. Závěrečná ustanovení

    1. Smlouva nabývá platnosti dnem jejího podpisu a účinnosti dnem uveřejnění v registru smluv.

    2. Smluvní strany si ujednaly, že uveřejnění této Smlouvy v registru smluv zajistí Správce.

    3. Xxxxxx touto Smlouvou výslovně neupravené se řídí Nařízením, ZZOÚ a dalšími relevantními právními předpisy.

    4. Smlouva je vyhotovena v elektronickém originále, přičemž, každá ze Smluvních stran obdrží po jednom.

    5. Jakékoliv změny nebo doplňky této Smlouvy a je možno činit pouze formou písemných číslovaných dodatků.

    6. Smluvní strany prohlašují, že s obsahem Xxxxxxx souhlasí a že smlouva byla sepsána na základě pravdivých údajů, nikoliv v tísni ani za nápadně nevýhodných podmínek pro kteroukoliv ze Smluvních stran.

V Hradci Králové dne 5. 8. 2021 V Praze dne 4. 8. 2021

za Správce: za Zpracovatele:

xxx xxx

xxx xxx

- podepsáno elektronicky –