SMLOUVA O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMLOUVA O OCHRANĚ OSOBNÍCH ÚDAJŮ

Smluvní strany

Objednatel:

Střední škola stavebních řemesel Brno-Bosonohy, příspěvková organizace

se sídlem: Pražská 636/38b, 642 00 Brno-Bosonohy

zastoupená: Ing. Xxxxx Xxxxxxxx, ředitelem

IČ: 00173843

číslo účtu: 62733621 / 0100, KB Brno-město

osoba oprávněná jednat ve věcech realizace smlouvy:

Xxx. Xxxxxxxx Xxxxxx, tel.: 000 000 000, e‑mail: xxxxxx@xxxxxxxxxxx.xx

Dodavatel:

Obchodní firma

se sídlem: [DOPLNÍ ÚČASTNÍK]

zastoupena: [DOPLNÍ ÚČASTNÍK]

IČ: [DOPLNÍ ÚČASTNÍK]

DIČ: [DOPLNÍ ÚČASTNÍK]

číslo účtu: [DOPLNÍ ÚČASTNÍK]

osoba oprávněná jednat ve věcech realizace smlouvy:

příjmení jméno [DOPLNÍ ÚČASTNÍK], tel.: [DOPLNÍ ÚČASTNÍK], e‑mail: [DOPLNÍ ÚČASTNÍK],

přičemž objednatel a dodavatel jsou dále společně označováni jako smluvní strany.

Článek I.

Účel ochrany osobních údajů

1. Smluvní strany jsou si vědomy a souhlasně prohlašují, že současně s touto smlouvou uzavřely Smlouvu o poskytování služeb (dále jako „Smlouva“), v rámci jejíhož plnění mu budou zpřístupněna a bude evidovat data a informace charakteru osobních údajů
   ve smyslu Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jako „GDPR“), a v souladu s tímto vědomím si sjednávají pravidla a podmínky pro zajištění požadované úrovně ochrany a bezpečnosti osobních údajů.

2. Pro účely smlouvy se „zpracováním“ osobních údajů v souvislosti s poskytováním služeb rozumí nejen zpracování osobních údajů dodavatelem ve smyslu čl. 4 odst. 2 GDPR, ale také prosté vedení osobních údajů, které nemusí představovat zpracování osobních údajů dodavatelem ve smyslu čl. 4 odst. 2 GDPR (dále jednotně jako „zpracování“).

3. V případě, že bude při plnění Smlouvy docházet ke zpracování osobních údajů dodavatelem ve smyslu čl. 4 odst. 2 GDPR, představuje tato příloha zároveň smlouvu o zpracování osobních údajů ve smyslu čl. 28 odst. 3 GDPR. Objednatel je v takovém případě v postavení správce osobních údajů, dodavatel je v postavení zpracovatele osobních údajů.

Článek II.

Kategorie osobních údajů a subjektů údajů, povaha, účel a doba zpracování

1. V rámci poskytování služeb dle Xxxxxxx dodavatelem jsou zpracovávány osobní údaje následujících kategorií fyzických osob - subjektů údajů: účastníci kurzů, tj. žáci
   a pedagogičtí pracovníci. Osobní údaje jsou následující jméno, příjmení, datum narození, číslo průkazu totožnosti.

2. Dodavatelem jsou osobní údaje zpracovávány pouze po dobu, kdy je to nezbytné pro účely plnění povinnosti dle Smlouvy (tj. pořádání kurzů), nebude-li ke dni skončení platnosti Smlouvy dohodnuto mezi smluvními stranami písemně jinak. Výjimkou je povinnost mlčenlivosti dodavatele stanovená v odst. 3.2, která trvá i po skončení platnosti smlouvy.

Článek III.

Práva a povinnosti smluvních stran

1. Dodavatel zpracovává osobní údaje pouze za účelem svých povinností vyplývajících
   ze Smlouvy. Dodavatel se zavazuje nevyužívat zpracovávané osobní údaje pro své vlastní potřeby a účely.

2. Dodavatel je povinen zachovávat mlčenlivost o zpracovávaných osobních údajích. Dodavatel zajistí, aby jeho zaměstnanci i další osoby podílející se na jeho straně na plnění předmětu Smlouvy byli v souladu s účinnými právními předpisy poučeni o povinnosti mlčenlivosti a o možných následcích pro případ porušení této povinnosti.

3. Dodavatel je oprávněn předat zpracovávané osobní údaje třetí osobě pouze na základě písemného požadavku nebo souhlasu objednatele.

4. Dodavatel je oprávněn přistupovat k osobním údajům pouze za účelem plnění účelu Smlouvy a pouze v nezbytném rozsahu.

5. Dodavatel je povinen poskytovat objednateli požadovanou součinnost při splnění povinnosti objednatele reagovat na žádosti o výkon oprávnění subjektu údajů ve smyslu čl. 12 až 23 GDPR (např. na žádost o přístup ke zpracovávaným osobním údajům, žádost o opravu nesprávně zpracovávaných osobních údajů, žádost o výmaz osobních údajů). K tomu je dodavatel povinen aplikovat vhodná organizační a technická opatření.

6. Dodavatel je povinen zajišťovat náležité zabezpečení zpracovávaných osobních údajů
   a poskytovat objednateli nezbytnou součinnost k plnění jeho povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR a oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 GDPR. Dodavatel je za tímto účelem zejména povinen oznámit objednateli bezodkladně, nejpozději však do 24 hodin od okamžiku zjištění, porušení zabezpečení zpracovávaných osobních údajů, včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků.

7. Dodavatel je povinen poskytovat požadovanou součinnost Pověřenci pro ochranu osobních údajů na straně objednatele při plnění jeho úkolů stanovených GDPR a interními předpisy objednatele. Dodavatel je současně povinen poskytovat nezbytnou součinnost při zpracování a aktualizaci dokumentu „Posouzení vlivu zpracování“ na ochranu osobních údajů ve smyslu čl. 35 GDPR.

8. Dodavatel je povinen poskytnout požadovanou součinnost a veškeré informace k doložení skutečnosti, že byly splněny povinnosti stanovené v této smlouvě a je povinen umožnit provedení auditů, kontrol a inspekcí.

9. Dodavatel je povinen postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právu na zachování lidské důstojnosti.

10. Pokud nestanoví právní řád nebo písemná smlouva jinak, je dodavatel povinen
    po skončení platnosti smlouvy předat (vrátit) veškeré zpracovávané osobní údaje zpět objednateli a je povinen vymazat veškeré kopie předaných/zpracovávaných osobních údajů.

Článek IV.

Zabezpečení ochrany osobních údajů

1. Dodavatel přijal a zavazuje se udržovat taková technická a organizační opatření,
   aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k zpracovávaným osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Na požádání je dodavatel povinen kdykoliv objednateli písemně sdělit způsob zabezpečení ochrany osobních údajů pro posouzení míry dostatečnosti zabezpečení.

2. Dodavatel se za účelem ochrany zpracovávaných osobních údajů zavazuje dále zajistit zejména:

   1. Přístup k osobním údajům bude umožněn výlučně omezenému počtu pověřených osob, které budou v pracovněprávním, příkazním či jiném obdobném smluvním poměru k dodavateli, budou předem prokazatelně seznámeny s povahou, rozsahem a účelem zpracování osobních údajů a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů (dále jen „Pověřené osoby“). Splnění této povinnosti zajistí dodavatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání. Dodavatel dále vhodným způsobem zajistí, že Pověřené osoby budou zachovávat mlčenlivost o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací Pověřených osob.

   2. Osobní údaje budou dostatečně zabezpečené.

   3. Osobní údaje budou Pověřeným osobám zpřístupněny pouze v rozsahu nezbytném pro plnění smlouvy.

3. Dodavatel se zavazuje na písemnou žádost objednatele přijmout v přiměřené lhůtě stanovené objednatelem další záruky za účelem dosažení odpovídající úrovně technického a organizačního zabezpečení osobních údajů, zejména přijmout další opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.

4. Dodavatel se zavazuje vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů dle požadavků GDPR, přičemž zajišťuje, kontroluje a odpovídá zejména za:

   1. Plnění pokynů osobami, které mají bezprostřední přístup k osobním údajům.

   2. Zabránění neoprávněným osobám přistupovat k osobním údajům.

   3. Zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě
      či vymazání záznamů obsahujících osobní údaje.

5. V případě zjištění porušení záruk dle čl. IV. je dodavatel povinen zajistit bezodkladně stav odpovídající stanoveným zárukám, nejpozději však do 3 pracovních dnů poté, co je k tomu objednatelem vyzván, nehrozí-li riziko z prodlení.

Článek V.

Závěrečná ustanovení

1. Tato smlouva je uzavřená dle ust. § 1746 odst. 2 zákona č. 89/2012 Sb. občanský zákoník, ve znění pozdějších předpisů a dle GDPR.

2. Tato smlouva je platná a účinná dnem podpisu oprávněnými zástupci obou smluvních stran.

3. Povinnost mlčenlivosti dodavatele stanovená v odst. 3.2 této smlouvy trvá bez ohledu
   na skončení platnosti a účinnosti smlouvy.

4. Tato smlouva je sepsána ve čtyřech vyhotoveních, z nichž každá smluvní strana obdrží po dvou vyhotoveních.

5. Tuto smlouvu lze měnit výhradně prostřednictvím písemných vzestupně číslovaných dodatků podepsaných oběma smluvními stranami.

6. Smluvní strany obsahu této smlouvy a svým povinnostem z ní vyplývajícím porozuměly, uzavírají ji na základě skutečné, svobodné a vážné vůle, nikoliv v tísni ani za nápadně nevýhodných podmínek, což dokládají níže podpisy svých oprávněných zástupců.

V Brně dne V Brně dne

________________________________ ________________________________

za objednatele za dodavatele

Xxx. Xxxx Xxxxxx, ředitel