Příloha č. 4, Smlouva o dodávce a podpoře informačního systému SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A ZACHOVÁNÍ MLČENLIVOSTI uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v...

Příloha č. 4, Smlouva o dodávce a podpoře informačního systému

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A ZACHOVÁNÍ MLČENLIVOSTI

uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ“) mezi následujícími smluvními stranami (dále jen „Smlouva“):

Čtyřlístek – centrum pro osoby se zdravotním postižením Ostrava, příspěvková organizace

zastoupená: PhDr. Xxxxxxxxxxx Xxxxxxx, ředitelem organizace

se sídlem: Xxxxxxxxxx 000/000, XXX 712 00 Ostrava - Muglinov

IČ: 706 31 808

DIČ: CZ70631808

Registrace: Zřizovací listina organizace ze dne 22. 5. 2014, ve znění pozdějších dodatků. Zřizovatelem Statutární město Ostrava.

(dále jen „Správce“)

a

Core Trade s.r.o.

zastoupená: Xxxxxxxx Xxxxxxxxx, jednatel

se sídlem: Xxxxx 000/00, 00000 Xxxxxx

IČ: 27794954

DIČ: CZ27794954

zapsána:  V Obchodním rejstříku, vedeném u Krajského soudu v Ostravě, sp. zn. C 29893.

(dále jen „Zpracovatel“)

(Správce a Zpracovatel dále jen „smluvní strany“ a jednotlivě „smluvní strana“)

v následujícím znění:

Čl. I

Úvodní ustanovení

1. Správce předává Zpracovateli ke zpracování osobní údaje na základě Smlouvy o dodávce a podpoře informačního systému, uzavřené dne …………. 2019 (dále jen „Hlavní smlouva“), za účelem dodávky informačního systému včetně implementace a přizpůsobení podmínkám Správce (customizace), zajištění migrace dat ze stávajícího systému, bude-li to nezbytné, a k následné technické podpoře (dále jen „Plnění“). Tato Xxxxxxx je smlouvou akcesorickou k Hlavní smlouvě, a tudíž v případě neplatnosti Hlavní smlouvy bude neplatná také tato Smlouva s výjimkou ustanovení, která výslovně zůstanou v platnosti i po skončení této Smlouvy.

2. Správce a Zpracovatel uzavírají tuto Smlouvu v souladu s požadavkem čl. 28 GDPR a požadavky ZZOÚ, jakož i za účelem ochrany dat ze strany Zpracovatele. Účelem této Smlouvy je úprava práv a povinností smluvních stran při zpracování osobních údajů, zejména s ohledem na zajištění odpovídající úrovně jejich zabezpečení a na jejich ochranu.

Čl. II

Předmět zpracování, kategorie osobních údajů a subjektů údajů, doba zpracování

1. V souvislosti s Plněním jsou Zpracovatelem zpracovávány osobní údaje následujících kategorií fyzických osob - subjektů údajů: osoby vstupující do zařízení, zákazníci, dobrovolníci, stážisti, praktikanti, zaměstnanci, zaměstnanci dodavatelů, účastníci rekvalifikačních kurzů a dalších akcí, odběratelé stravy, dárci a bývalí zaměstnanci.

2. V souvislosti s Plněním jsou Zpracovatelem zpracovávány osobní údaje fyzických osob za následujícím účelem: implementace a provoz informačního systému.

3. V souvislosti s Plněním jsou Zpracovatelem zpracovávány následující kategorie osobních údajů fyzických osob: identifikační údaje (jméno a příjmení, datum narození, pracovní pozice/funkční místo, podoba, podpis), adresní údaje (bydliště, adresa pro doručování), kontaktní údaje (telefonní číslo, e-mailová adresa, identifikátor datové schránky), případně další údaje fyzických osob (bankovní účet, platová třída aj.)].

4. V souvislosti s Plněním jsou osobní údaje zpracovávány Zpracovatelem pouze po dobu nezbytně nutnou (včetně archivační doby dle Spisového a skartačního plánu, který je Přílohou č. 3 Hlavní smlouvy). Zpracovatel je povinen kompletně vymazat osobní údaje osoby do 72 hodin, pokud v tomto směru obdrží od Správce pokyn, a to i ze záložních systémů.

5. O rozsahu a době zpracování osobních údajů v souvislosti s poskytováním Plnění Zpracovatele rozhoduje vždy výhradně Správce.

6. Osobní údaje jsou zpracovávány Zpracovatelem prostřednictvím automatizovaných prostředků.

Čl. III

Prohlášení smluvních stran

1. Správce prohlašuje, že je v postavení správce osobních údajů zpracovávaných Zpracovatelem na základě této Smlouvy.

2. Správce prohlašuje, že ke dni uzavření této Smlouvy plní všechny své povinnosti dle právních předpisů o ochraně osobních údajů, zejména zpracovává osobní údaje výhradně na základě platných právních titulů, v rozsahu a způsobem odpovídajícím sledovanému účelu, informuje subjekty údajů o prováděném zpracování, umožňuje subjektům údajů výkon jejich práv v rozsahu předvídaném GDPR a ZZOÚ. Správce se současně zavazuje k plnění těchto povinností také po celou dobu platnosti této Smlouvy.

3. Zpracovatel prohlašuje, že je v postavení zpracovatele osobních údajů zpracovávaných na základě této Smlouvy.

Čl. IV

Práva a povinnosti smluvních stran

1. Zpracovatel zpracovává osobní údaje výlučně za účelem poskytování Plnění, přičemž Správce ke zpracování může udělit podrobnější pokyny. Zpracovatel se zavazuje neužít zpracovávané osobní údaje pro své vlastní potřeby a účely odlišné od poskytování Plnění.

2. Zpracovatel je povinen zachovávat mlčenlivost o zpracovávaných osobních údajích, jakož i všech dalších údajích, které jsou mu k dispozici z důvodu trvání Hlavní smlouvy. Zpracovatel zajistí, aby jeho zaměstnanci i další osoby (podzpracovatelé) podílející se na jeho straně na zpracování byli v souladu s účinnými právními předpisy poučeni o povinnosti mlčenlivosti a o možných následcích pro případ porušení této povinnosti. Povinnost zachování mlčenlivosti Zpracovatele trvá i po ukončení platnosti této Smlouvy. Pokud Zpracovatel zapojí do zpracování osobních údajů podle této Smlouvy podzpracovatele, zavazuje se uložit mu prostřednictvím vlastních smluvních ujednání podmínky zpracování a povinnosti na ochranu osobních údajů i dalších zpřístupněných údajů alespoň v rozsahu povinností, jaké plynou z této Smlouvy Zpracovateli.

3. Zpracovatel je oprávněn předat zpracovávané osobní údaje třetí osobě výhradně na základě písemného požadavku nebo souhlasu Správce.

4. Zpracovatel je oprávněn přistupovat ke zpracovávaným osobním údajům pouze za účelem poskytování Plnění a pouze v nezbytném rozsahu.

5. Zpracovatel je povinen poskytovat Správci požadovanou součinnost při splnění povinnosti Správce reagovat na žádosti subjektu údajů ve smyslu čl. 12 až 23 GDPR (např. na žádost o přístup ke zpracovávaným osobním údajům, žádost o opravu nesprávně zpracovávaných osobních údajů, žádost o výmaz osobních údajů, žádost o omezení zpracování osobních údajů). K zajištění plnění této povinnosti je Zpracovatel povinen aplikovat vhodná organizační a technická opatření.

6. Zpracovatel je povinen zajišťovat náležité zabezpečení zpracovávaných osobních údajů a poskytovat Správci nezbytnou součinnost k plnění jeho povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR a oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 GDPR. Zpracovatel je za tímto účelem zejména povinen oznámit Správci bezodkladně, nejpozději však do 24 hodin od okamžiku zjištění, porušení zabezpečení zpracovávaných osobních údajů včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků.

7. Zpracovatel je povinen poskytnout Správci požadovanou součinnost a veškeré informace k doložení skutečnosti, že byly splněny povinnosti stanovené v této Smlouvě a je povinen umožnit provedení auditů, kontrol a inspekcí.

8. Zpracovatel je povinen postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právu na zachování lidské důstojnosti.

9. Pokud nestanoví právní řád nebo písemná smlouva jinak, je Zpracovatel povinen po skončení platnosti Smlouvy předat (vrátit) veškeré zpracovávané osobní údaje zpět Správci ve strojově čitelném formátu, a je povinen vymazat veškeré předané/zpracovávané osobní údaje a jejich kopie, kterými disponuje.

Čl. V.

Zabezpečení údajů

1. Zpracovatel přijal a zavazuje se udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním i jiným údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, dočasné nedostupnosti, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití údajů. Na požádání je Zpracovatel povinen kdykoliv Správci písemně sdělit způsob zabezpečení ochrany údajů pro posouzení míry dostatečnosti tohoto zabezpečení.

2. Za účelem naplnění požadavku uvedeného v odst. 5.1 této Smlouvy Zpracovatel přijal a zavazuje se udržovat zejména následující opatření:

1. písemnosti a digitální záznamová média, která obsahují údaje, musí být uložena výhradně v uzamykatelných prostorách, to platí i pro kopie písemností obsahující údaje;

2. na pracovišti Zpracovatele je povinnost dodržovat pravidla bezpečnosti práce včetně požárních a poplachových pravidel tak, aby nedošlo ke zničení uložených písemností a digitálních záznamových médií v důsledku požáru, potopy nebo jiné havárie;

3. data obsahující zpracovávané údaje, která jsou uložena v pracovních počítačích Zpracovatele (jeho zaměstnanců a osob v obdobném postavení), musí být zabezpečena před volným přístupem neoprávněných osob prostřednictvím povinné autentizace, platí zákaz sdělení nebo zpřístupnění autentizačních údajů pověřených osob Zpracovatele třetí osobě;

4. přístup k údajům bude umožněn výlučně omezenému počtu pověřených osob Zpracovatele a jeho smluvních podzpracovatelů, kteří budou předem prokazatelně seznámeni s povahou, rozsahem a účelem zpracování osobních údajů a budou povinni zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním údajů;

5. osobní údaje budou pověřeným osobám Zpracovatele i dalším podzpracovatelům zpřístupněny pouze v rozsahu nezbytném pro realizaci Plnění;

6. zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti zpracovávaných osobních i jiných údajů, zavedená opatření a jejich korektní fungování bude Zpracovatel pravidelně kontrolovat;

7. schopnost obnovit dostupnost osobních i jiných údajů a přístup k nim včas v případě fyzických či technických incidentů, a to zejména pravidelným zálohováním;

8. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

9. pravidelná školení zaměstnanců;

10. odpovídající antivirová ochrana při zpracování v rámci inf. systému;

11. šifrovaný přenos zpracovávaných údajů v rámci užívaného inf. systému; a

12. servery se zpracovávanými osobními a jinými údaji umístěny v uzamčené serverovně, nebo smluvně zajištěna minimálně stejně vysoká úroveň bezpečnostních opatření.

3. Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě stanovené Správcem další záruky za účelem dosažení odpovídající úrovně technického a organizačního zabezpečení osobních údajů, zejména přijmout další opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.

4. Zpracovatel se zavazuje vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů dle požadavků GDPR, přičemž zajišťuje, kontroluje a odpovídá zejména za:

1. plnění pokynů osobami, které mají bezprostřední přístup k osobním údajům;

2. zabránění neoprávněným osobám přistupovat k osobním údajům;

3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.

5. Zpracovatel se zavazuje vést písemné přehledy o typových činnostech zpracování osobních údajů pro Správce, které obsahují:

1. název a kontaktní údaje Zpracovatele a Správce,

2. kategorie zpracování osobních údajů pro Správce včetně dotčených kategorií subjektů údajů,

3. obecný popis zabezpečení osobních údajů.

6. V případě zjištění porušení záruk dle odst. 5.2 této Smlouvy je Zpracovatel povinen zajistit bezodkladně stav odpovídající stanoveným zárukám, nejpozději však do 3 (třech) pracovních dnů poté, co je k tomu Správcem vyzván, nehrozí-li riziko z prodlení.

7. Zpracovatel jmenuje následující kontaktní osobu pro účely plnění této Smlouvy, resp. řešení otázek souvisejících se zpracováním osobních údajů Zpracovatelem na základě této Smlouvy (pokud je jmenován u Zpracovatele pověřenec, bude uveden):

Jméno a příjmení: Xx. Xxxxx Xxxxxxx

Pracovní pozice: manažer kvality sociálních služeb

E-mail:

Telefon:

Změnu kontaktní osoby včetně příslušných údajů je Zpracovatel povinen písemně oznámit Xxxxxxx, a to nejpozději 3 kalendářní dny před nabytím účinnosti této změny. Tato změna nevyžaduje uzavření dodatku k této Smlouvě.

Čl. VI

Doba trvání této Smlouvy

1. Tato Xxxxxxx je uzavírána současně s Hlavní smlouvou, na které je závislá a tedy i účinnosti nabývá Smlouva dnem účinnosti Hlavní smlouvy.

2. Smlouva je uzavřena na dobu neurčitou.

3. Ukončení účinnosti této Smlouvy se však nedotýká ustanovení, která mají ze své povahy nebo výslovného ujednání přetrvat i po ukončení její účinnosti (typicky povinnost zachování mlčenlivosti dle odst. 4.2 této Smlouvy).

Čl. VII

Závěrečná ustanovení

1. Tato Smlouva může být doplněna a pozměněna pouze písemným dodatkem podepsaným oběma smluvními stranami.

2. Pokud některé z ustanovení této Smlouvy je neplatné, nebo se stane později neplatným, nemá to vliv na platnost ostatních ustanovení této Smlouvy. V případě, že některé z ustanovení této Smlouvy je neplatné, nebo se stane později neplatným nebo neúčinným, zavazují se smluvní strany, že ho nahradí ustanovením, které nejvíce odpovídá původní vůli smluvních stran a účelu podle této Smlouvy.

3. Smluvní strany prohlašují, že tuto Xxxxxxx uzavírají svobodně a vážně, že jejich smluvní volnost není omezena. Smluvní strany prohlašují, že tato Smlouva nebyla uzavřena za nevýhodných podmínek nebo v tísni, že si ji řádně přečetly, jejímu obsahu porozuměly a na znamení souhlasu s jejím obsahem připojují své vlastnoruční podpisy.

V Ostravě dne 11.9.2019 V Hlučíně dne 13.9.2019

________________________________ ________________________________

PhDr. Xxxxxxxxx Xxxxx, ředitel Xxxxxx Xxxxxxx, jednatel