S M L O U V A

S M L O U V A

o zpracování osobních údajů v mySAP

uzavřená níže uvedeného dne mezi těmito smluvními stranami

1. Ostravské komunikace, a.s.

se sídlem Novoveská 0000/00, Xxxxxxxxx Xxxx, 000 00 Xxxxxxx IČO 25396544

registrace v obchodním rejstříku vedeném u Krajského soudu v Ostravě pod sp. zn. B 1886 zast. Xxxxxxxx Xxxxxx, funkce předsedou představenstva

(dále jen „Správce“)

a

2. KCT Data s.r.o.

se sídlem Průmyslová 11 Praha 10.

IČO 25730878

registrace v obchodním rejstříku vedeném u Městského soudu Praha pod sp. Zn. C 65086 zast. xxxxxxxxxxxxxxxxxxx, funkce prokurista

(dále jen „Zpracovatel“)

zní takto:

Pro účely této smlouvy se:

I.

Výklad pojmů

a) GDPR rozumí nařízení Evropského parlamentu a Rady EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);

b) osobními údaji rozumí informace o fyzické osobě uvedené v čl. III. odst. 1 této smlouvy.

c) právními předpisy České republiky upravujícími ochranu osobních údajů rozumí právní předpisy platné a účinné na území České republiky, jejichž účelem je ochrana osobních údajů a nakládání s nimi;

d) správcem rozumí Správce, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;

e) zpracováním osobních údajů rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění přenosem, seřazení či zkombinování, omezení, výmaz nebo zničení;

f) zpracovatelem rozumí jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro Správce;

g) zvláštní kategorií osobních údajů rozumí osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaj, který umožňuje přímou identifikaci fyzické osoby, údaje o odsouzení za trestný čin, údaje o zdravotním stavu, o sexuálním životě či sexuální orientace fyzické osoby.

II.

Účel a předmět smlouvy

1. Obě smluvní strany shodně prohlašují, že účelem této smlouvy je upravit podmínky zpracování osobních údajů a uspořádat práva a povinností vyplývajících jim z platné a účinné právní úpravy ochrany osobních údajů, a to zejména z GDPR a z právních předpisů České republiky upravujících ochranu osobních údajů.

2. Obě smluvní strany shodně prohlašují, že se touto smlouvou zavazují řídit při jejich vzájemné spolupráci vyplývající ze smluvních vztahů vzniklých mezi nimi na základě dříve či v budoucnu uzavřených smluv, pro jejichž řádné plnění je nezbytné Zpracovateli umožnit zpracování osobních údajů fyzických osob zpracovávaných Správcem.

3. Smlouvami uzavřenými mezi Správcem a Zpracovatelem dle odst. 2 se rozumí zejména:

a. Smlouva o poskytnutí služeb 239/17/EU-I/O a 141/17/EU-I/O a Rámcová smlouva o poskytování konzultačních služeb v oblasti IS SAP 57/19/EU-I/J, vč. všech jejich dodatků, na základě které Zpracovatel Správci poskytuje opravu dat nebo vyřešení technického nebo softwarového problému v informačním systému dle požadavků Správce na servisní podporu (dále jen „Servisní smlouva“).

4. Předmětem této smlouvy je závazek Zpracovatele provádět zpracování osobních údajů v rámci poskytované servisní podpory pro Správce v souladu s GDPR, právními předpisy České republiky upravující ochranu osobních údajů, touto smlouvou a dle pokynů Správce.

5. Správce prohlašuje, že veškeré osobní údaje poskytované Zpracovateli za účelem uvedeným v odst. 2 poskytuje v souladu s GDPR a právními předpisy České republiky upravující ochranu osobních údajů.

6. Správce tímto pověřuje Zpracovatele za účelem uvedeným v odst. 2 zpracováním osobních údajů uvedených v čl. III odst. 1 této smlouvy, k němuž může docházet v rámci poskytování podpory vyplývající ze Servisní smlouvy

III.

Zpracovávané osobní údaje

1. Zpracovatel je pro Správce oprávněn zpracovávat pouze osobní údaje těchto subjektů údajů:

a. Zaměstnanci Správce,

b. Zákazníci Správce.

2. Zpracovatel je oprávněn pro Správce zpracovávat tyto osobní údaje:

a. Identifikační údaje zaměstnanců nebo zákazníků Správce (zejména jméno, příjmení, titul, datum narození, údaje zaměstnanců o zdravotní způsobilosti k výkonu práce, osobní údaje rodinných příslušníků nebo osob žijících ve společné domácnosti se zaměstnancem nezbytně nutné pro splnění právní povinnosti

b. Kontaktní údaje zaměstnanců nebo zákazníků (adresa, e-mailová adresa, telefonní číslo)

3. Osobní údaje budou Zpracovatelem zpracovávány pouze v elektronické podobě v rámci nezbytné servisní podpory poskytované na základě Servisní smlouvy uvedené v čl. II odst. 3 písm. a. této smlouvy.

IV.

Práva a povinnosti Správce

1. Správce je povinen při plnění této smlouvy postupovat v souladu s GDPR a právními předpisy České republiky upravujícími ochranu osobních údajů.

2. Správce se zavazuje Zpracovateli poskytnout součinnost nezbytnou pro plnění této smlouvy.

3. Správce je oprávněn uzavřít smlouvu se třetí osobou, na základě níž bude tato třetí osoba oprávněna přistupovat k osobním údajům zpracovávaným Zpracovatelem.

V.

Pokyny Správce

1. Správce je oprávněn udělovat Zpracovateli pokyny pro zpracování osobních údajů, které mu poskytuje za účelem uvedeným v čl. II odst. 2 této smlouvy.

2. Zpracovatel se zavazuje, že bude zpracovávat osobní údaje v souladu se zásadami zpracování osobních údajů dle čl. 5 GDPR a pouze na základě doložených pokynů Správce.

3. Zpracovatel je povinen přijmout vhodná opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z jeho pověření a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn Správce, pokud jí jejich další zpracování neukládá právní předpis Evropské unie a/nebo České republiky.

4. Bude-li mít Zpracovatel za to, že určitý pokyn Správce ohledně zpracování osobních údajů porušuje GDPR a/nebo jiné právní předpisy Evropské unie a/nebo České republiky týkající se ochrany osobních údajů, je o tom Zpracovatel povinen informovat Správce, a to neprodleně, nejpozději však do 24 hodin od okamžiku, kdy tuto skutečnost zjistil.

VI.

Práva a povinnosti Zpracovatele

1. Zpracovatel je povinen při plnění této smlouvy postupovat v souladu s GDPR a právními předpisy České republiky upravujícími ochranu osobních údajů.

2. Zpracovatel se zavazuje zajistit, aby osoby oprávněné zpracovávat osobní údaje byly proškoleny, jak správně nakládat s osobními údaji a jak zajišťovat jejich ochranu tak, aby tyto osobní údaje nevystavovali riziku zneužití. Zpracovatel se rovněž zavazuje poučit osoby oprávněné zpracovávat osobní údaje o tom, že jsou povinny zachovávat mlčenlivost o všech osobních údajích poskytnutých Správcem Zpracovateli.

3. O proškolení a poučení osob oprávněných zpracovávat osobní údaje dle odst. 2 je Zpracovatel povinen učinit písemný záznam, který kdykoli na žádost Správce Správci předloží.

4. Zpracovatel se zavazuje přijmout všechna opatření dle čl. 32 GDPR, tj. přijmout všechna vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající danému riziku.

5. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost, a to zejména v případě:

a) výkonu práv subjektů údajů ve smyslu čl. 28 odst. 3 písm. e) GDPR a čl. 12 – čl. 22 GDPR tak, jak je dále stanoveno v odst. 5,

b) zajišťování souladu zpracování osobních údajů s povinnostmi stanovenými v čl. 32 – čl. 36 GDPR tj. zabezpečení zpracování, ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu, oznamování případů porušení zabezpečení osobních údajů subjektu údajů, posouzení vlivu na ochranu osobních údajů a předchozí konzultace u dozorového úřadu;

c) ukončení poskytování služeb spojených se zpracováním osobních údajů ve smyslu čl. 28 odst. 3 písm. g) GDPR;

d) kdy je třeba doložit splnění povinností stanovených GDPR, právními předpisy České republiky upravujícími ochranu osobních údajů a touto smlouvou, a umožnit kontrolu souladu zpracování osobních údajů Zpracovatelem s těmito právními předpisy a smlouvou.

6. Zpracovatel je povinen Správci na základě jeho žádosti poskytnout bez zbytečného odkladu součinnost při výkonu práv subjektů údajů. Zpracovatel je povinen na základě pokynu Správce bez zbytečného odkladu reflektovat do zpracování osobních údajů rozhodnutí Správce o vyřízení žádosti subjektu údajů dle čl. 12 – čl. 22 GDPR.

Zpracovatel je bez zbytečného odkladu po reflektování rozhodnutí Správce o vyřízení žádosti subjektu údajů povinen informovat Správce o tom, k jakému dni byla provedena realizace rozhodnutí Správce Zpracovatelem.

7. Povinnost součinnosti Zpracovatele se uplatní i pro případy, kdy subjekt údajů žádost dle čl. 12 – čl. 22 GDPR podá u Zpracovatele. V takovém případě Zpracovatel bez zbytečného odkladu, nejpozději však do 1 týdne:

a. předá předmětnou žádost Xxxxxxx společně s kopií vyrozumění subjektu údajů o postoupení jeho žádosti Správci;

b. vyrozumí subjekt údajů o postoupení žádosti Správci.

8. Zpracovatel je oprávněn zpracovávat osobní údaje zejména formou jejich ukládání do IT systému,

, zpřístupňováním osobám určeným Správcem aj. způsobem dle smlouvy uvedené v čl. II odst. 3 písm a. této smlouvy.

9. Obdrží-li Zpracovatel od Správce informaci o tom, že Správce uzavřel smlouvu o zpracování osobních údajů se třetí osobou, je povinen umožnit této třetí osobě přístup k osobním údajům zpracovávaným dle této smlouvy, a to dle pokynů Správce.

10. Zpracovatel je povinen bez zbytečného odkladu informovat Správce v případě, že vůči Zpracovateli je ze strany dozorového úřadu zahájeno šetření vztahující se ke zpracování osobních údajů.

VII.

Technické a organizační opatření

1. Zpracovatel je povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:

a) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

b) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

c) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3. Zpracovatel je povinen zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné, a aby nebyly sdružovány osobní údaje, které byly získány k rozdílným účelům. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických nebo právnických osob, a aby zároveň byla eliminována možnost zničení či ztráty osobních údajů, jejich neoprávněných přenosů, jinému neoprávněnému zpracování či zneužití těchto osobních údajů.

4. Zpracovatel prohlašuje, že přijal a zavazuje se dodržovat tato opatření pro zajištění bezpečnosti zpracování osobních údajů po celou dobu zpracování:

a) Organizační opatření: Všechny osoby oprávněné zpracovávat osobní údaje (zejména zaměstnanci Zpracovatele) jsou a budou Zpracovatelem pravidelně školeni na to, jak nakládat s osobními údaji a jak je zabezpečovat, přičemž jsou seznámeni především s pravidly pro kybernetickou bezpečnost. Všechny osoby oprávněné zpracovávat osobní údaje jsou

Zpracovatelem poučeny o povinnosti mlčenlivosti ve vztahu ke zpracovávaným osobním údajům. Zpracovatel přijal vnitropodnikovou směrnici pro ochranu osobních údajů a nakládání s nimi, se kterou seznámil všechny osoby oprávněné zpracovávat osobní údaje.

b) Technická opatření: Volbu typu vzdáleného přístupu, způsob a délku připojení, způsob ochrany a zabezpečení vzdáleného přístupu, provádí Správce. Vzdálený přístup použije za Zpracovatele pouze osoba oprávněná zpracovávat osobní údaje (zejména zaměstnanec Zpracovatele), a to ze zabezpečeného počítače chráněného antivirovým programem, firewallem, heslem a případně dalšími prostředky k zabránění přístupu neoprávněným osobám.

c) Práce s databází: S databází Správce manipuluje vždy pouze pověřený zaměstnanec Zpracovatele, a to pouze na zabezpečeném serveru Správce a po dohodě s odpovědným zaměstnancem Správce. Databáze je chráněna bezpečným heslem. Veškerá komunikace ohledně databáze bude probíhat pouze přes zabezpečenou podporu Zpracovatele. S databází bude za Zpracovatele pracovat pouze osoba oprávněná zpracovávat osobní údaje (zejména zaměstnanec Zpracovatele), a to ze zabezpečeného počítače chráněného antivirovým programem, firewallem, heslem a případně dalšími prostředky k zabránění přístupu neoprávněným osobám.

VIII.

Doba zpracování

1. Smluvní strany se dohodly, že Zpracovatel je oprávněn zpracovávat osobní údaje uvedené v čl. III. odst. 1 této smlouvy po dobu trvání smluvních vztahů uvedených v čl. II odst. 2 této smlouvy.

2. Jakmile smluvní vztahy uvedené v čl. II odst. 2 této smlouvy pozbydou platnosti či jinak zaniknou, je Zpracovatel povinen veškeré zpracovávané osobní údaje dle pokynu Správce bez zbytečného odkladu vymazat nebo je vrátit Správci, jakož i vymazat existující kopie osobních údajů, není-li jejich uložení vyžadováno jinými právními předpisy.

IX.

Zpracování dalším zpracovatelem

1. Zpracovatel se zavazuje, že bez písemného souhlasu Správce do zpracování osobních údajů zpřístupněných mu Správcem nezapojí žádného dalšího zpracovatele s výjimkou zpracovatelů uvedených v odst. 2 tohoto článku.

2. Zpracovatel je oprávněn do zpracování osobních údajů zpřístupněných mu Správcem zapojit další zpracovatele, kteří se mohou podílet na provádění servisní podpory dle smlouvy uvedené v čl. II odst. 3 písm. a.

3. Obdrží-li Zpracovatel od Správce informaci o tom, že Správce uzavřel se třetí osobou smlouvu, na základě níž, je třetí osoba oprávněna přistupovat k osobním údajům zpracovávaným Zpracovatelem, je Zpracovatel povinen umožnit této třetí osobě přístup k osobním údajům zpracovávaným dle této smlouvy, a to dle pokynů Správce.

4. Zpracovatel se zavazuje, že osobám uvedeným v odst. 3 umožní přístup k osobním údajům zpracovávaným dle této smlouvy.

X.

Odměna za zpracování

1. Pro vyloučení všech pochybností smluvní strany společně prohlašují, že za zpracování osobních údajů za účelem uvedeným v čl. II odst. 2 této smlouvy nenáleží ani jedné ze smluvních stran odměna, není-li mezi stranami dohodnuto jinak.

XI.

Audit

1. Správce je oprávněn kontrolovat soulad zpracování osobních údajů poskytnutých Zpracovateli s GDPR, právními předpisy České republiky upravujícími ochranu osobních údajů a touto smlouvou.

2. Zpracovatel je ve smyslu čl. 28 odst. 3 písm. h) GDPR povinen poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené GDPR, právními předpisy upravujícími ochranu osobních údajů a touto smlouvou. Za tímto účelem je Zpracovatel povinen umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, (dále jen „Audit“), a k těmto přispět.

3. Správce je oprávněn zejména v případě nedostatku potřebné součinnosti Zpracovatele požádat o:

a) vyjádření k těmto skutečnostem,

b) doložení dokladu o tom, že osoby pověřené Zpracovatelem ke zpracování osobních údajů byly náležitě proškoleny o zpracování osobních údajů dle GDPR, právních předpisů České republiky upravující ochranu osobních údajů a dle pokynů Správce,

přičemž Zpracovatel je povinen se vyjádřit dle písm. a) popř. doložit doklad dle písm. b) do 15 dnů od doručení žádosti Správce.

4. Nevyjádří-li se Zpracovatel ve lhůtě dle odst. 4, popř. nedoloží-li v této lhůtě ani doklad dle odst. 4 písm. b), je Správce oprávněn přistoupit k provedení Auditu u Zpracovatele.

5. Náklady na provedení Auditu si nese každá ze Smluvních stran sama.

XII.

Porušení podmínek pro zpracování osobních údajů

1. Zpracovatel je povinen, v případě, že přestane splňovat podmínky pro zpracování osobních údajů stanovené GDPR, právními předpisy České republiky upravujícími ochranu osobních údajů a/nebo touto smlouvou, bez zbytečného odkladu o této skutečnosti informovat Správce.

2. V rámci informační povinnosti vyplývající z odst. 1 je Zpracovatel povinen uvést důvod nastalého nesplňování podmínek pro zpracování osobních údajů, a zda a jak je toto nesplnění podmínek Zpracovatelem způsobilé přivodit porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR.

3. Zpracovatel je dále ve smyslu čl. 28 odst. 3 písm. f) GDPR a čl. 33 odst. 2 GDPR povinen bez zbytečného odkladu písemně ohlásit Správci zjištěné porušení zabezpečení osobních údajů.

4. Do ohlášení při zjištěném porušení zabezpečení osobních údajů je Zpracovatel povinen Správci uvést:

a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

c) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

XIII.

Sankce

1. V případě porušení povinností Zpracovatele technicky a organizačně zabezpečit ochranu zpracovávaných osobních údajů dle čl. VII má Správce právo uplatnit vůči Zpracovateli smluvní pokutu ve výši 5.000,- Kč za každý jednotlivý případ porušení některé z povinností uvedené v čl. VII této smlouvy.

2. V případě porušení povinnosti vyplývající z čl. XV odst. 2 a 4 spočívající v nezlikvidování osobních údajů ve stanovené lhůtě, má Správce právo uplatnit vůči Zpracovateli smluvní pokutu ve výši 1.000,- Kč za každý započatý den prodlení.

3. V případě porušení dalších povinností vyplývajících Zpracovateli z této smlouvy, je Správce oprávněn uplatnit vůči Zpracovateli smluvní pokutu ve výši 5.000,- Kč za každé jednotlivé porušení povinnosti.

4. Smluvní pokuta je splatná ve lhůtě sedmi dnů od doručení písemné výzvy Správce Zpracovateli.

5. Ujednáním o smluvní pokutě není dotčeno právo poškozené smluvní strany domáhat se náhrady škody v plné výši.

XIV.

Kontaktní informace

1. Veškerá komunikace mezi Správcem a Zpracovatelem ohledně zpracovávaných osobních údajů bude probíhat elektronicky prostřednictvím emailu, datové schránky, popř. ústně mezi těmito kontaktními osobami:

a. Správce

kontaktní osoba: Xxx. Xxxx Xxxxxxxx email: xxxxxxxxxxxxx

xxxxxx xxxxxxxx: muut5qe

telefon: x000 000000000

x. Xxxxxxxxxxxx

kontaktní osoba: xxxxxxxxxxxxx

email: xxxxxxxxxxxxx

xxxxxx xxxxxxxx: 5sxfe8e

telefon: xxx xxx xxx

XV.

Ukončení smlouvy

1. Tato smlouva zaniká dnem zániku smluvního vztahu uvedeného v čl. II odst. 2 této smlouvy.

2. Zanikne-li tato smlouva způsobem dle odst. 1, je Zpracovatel ve smyslu čl. 28 odst. 3 písm. g) GDPR dle pokynu Správce povinen všechny zpracovávané osobní údaje bez zbytečného odkladu vymazat nebo je vrátit Správci, jakož i vymazat existující kopie osobních údajů, není-li jejich uložení vyžadováno jinými právními předpisy.

3. Správce v pokynu dle odst. 2 uvede

a. důvod ukončení zpracování osobních údajů,

b. zda požaduje poskytnuté osobní údaje vymazat či vrátit, popř. uvede v jaké formě a na jakých nosičích,

c. termín, v němž je Zpracovatel povinen poskytnuté osobní údaje Správci vrátit nebo vymazat.

4. Zpracovatel ve lhůtě dle odst. 3 písm. c. vymaže nebo vrátí Správci poskytnuté osobní údaje a o tomto výmazu a/nebo vrácení vyhotoví Správci potvrzení, v němž uvede, ke kterému dni poskytnuté osobní údaje vrátil a/nebo vymazal.

XVI.

Závěrečná ustanovení

1. Tato smlouva nahrazuje všechna předchozí ujednání smluvních stran týkající se ochrany Správcem poskytnutých osobních údajů Zpracovateli a může být měněna pouze písemně formou dodatků.

2. Stane-li se z jakéhokoli důvodu některé z ustanovení této smlouvy neplatným nebo nevymahatelným, nebude mít taková neplatnost nebo nevymahatelnost ujednání vliv na platnost zbývajících ujednání této smlouvy, pokud z povahy takového ujednání nebo z jeho obsahu nevyplývá, že nelze od ostatního obsahu této smlouvy oddělit od ostatního obsahu této smlouvy.

3. Tato smlouva nabývá účinnosti dnem jejího uzavření oběma smluvními stranami.

4. Tato smlouva je sepsána ve dvou originálech, přičemž každá ze smluvních stran obdrží po jednom.

V Ostravě dne        2018 V Praze dne      2018

Správce: Zpracovatel:

Jméno: Xxx. Xxxxxx Xxxxx Jméno: xxxxxxxxxxxxxxxxx

Funkce: předseda představenstva Funkce: Prokurista