Smlouva o zpracování osobních údajů č. [DOPLNIT SPRÁVCE]
Smlouva o zpracování osobních údajů č. [DOPLNIT SPRÁVCE]
Tato Smlouva o zpracování osobních údajů („Smlouva”) byla uzavřena podle čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“) mezi následujícími smluvními stranami:
Městská část Praha [DOPLNIT SPRÁVCE]
se sídlem: [DOPLNIT SPRÁVCE]
IČO: [DOPLNIT SPRÁVCE], DIČ: [DOPLNIT SPRÁVCE]
bank. spojení: [DOPLNIT SPRÁVCE], č. účtu: [DOPLNIT SPRÁVCE]
zastoupená [DOPLNIT SPRÁVCE]
(dále jen „Správce“)
a
Hlavní město Praha
se sídlem: Mariánské nám. 2/2, 110 00 Praha 1 IČO: 00064581, DIČ: CZ00064581
bank. spojení: PPF banka, a.s., č. účtu: 00-0000000/6000
zastoupené Ing. Xxxxxxx Xxxxxx, ředitelem odboru informatických aplikací Magistrátu
hl. m. Prahy (dále jen „Zpracovatel“; Správce a Zpracovatel jednotlivě dále též jen „Smluvní strana“ a společně jen „Smluvní strany“)
Preambule
Vzhledem k tomu, že:
(A) Správce a Zpracovatel mezi sebou uzavřeli Veřejnoprávní smlouvu č. [DOPLNIT] o poskytování IT služby, jejímž účelem je poskytování služeb v rámci realizace pilotního projektu elektronické před- registrace do škol (dále jen „Hlavní smlouva“);
(B) Zpracovatel při činnosti pro Správce podle Hlavní smlouvy bude zpracovávat informace týkající se identifikovaných nebo identifikovatelných fyzických osob (dále jen „Subjekt údajů“). Takové informace představují tzv. osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“);
(C) Zpracovatel bude zpracovávat Osobní údaje za účelem plnění Hlavní smlouvy, a to k účelům a prostředky stanovenými Správcem;
(D) čl. 28 odst. 3 GDPR vyžaduje, aby spolu Smluvní strany uzavřely smlouvu o zpracování osobních údajů; dohodly se Smluvní strany na následujícím:
1. Prohlášení Smluvních stran
1.1. Zpracovatel prohlašuje, že je oprávněn uzavřít tuto Smlouvu a plnit povinnosti Zpracovatele v ní uvedené.
1.2. Správce prohlašuje, že je oprávněn uzavřít a plnit tuto Smlouvu a pověřit Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této Smlouvě.
2. Předmět a účel Smlouvy
2.1. Účelem této Smlouvy je vymezení práv a povinností Smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů.
2.2. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek sjednaných v této Smlouvě. Zpracovatel pověření Správce přijímá.
2.3. Zpracovatel nemá nárok na zvláštní odměnu za plnění jeho povinností podle této Xxxxxxx.
3. Doba trvání zpracování
3.1 Smlouvy Zpracovatel vrátí všechny Osobní údaje a jejich kopie Správci v souladu s Hlavní smlouvou.
4. Povaha a účel zpracování
4.2. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených touto Smlouvou. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů.
4.3. Zpracování Osobních údajů podle této Smlouvy může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (tj. mimo EU nebo EHP) vyžaduje předchozí souhlas Správce.
5. Osobní údaje
5.1. Zpracovatel bude zpracovávat Osobní údaje (a) poskytnuté Zpracovateli Správcem v souvislosti s Hlavní smlouvou a za účelem jejího plnění; (b) získané Zpracovatelem při plnění Hlavní smlouvy, včetně Osobních údajů poskytnutých Zpracovateli přímo či nepřímo ze strany Subjektu údajů.
5.2. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle odst. 4.1 této Smlouvy.
5.3. Kategorie Subjektů údajů a typ zpracovávaných Osobních údajů jsou uvedeny v Příloze 1 této Smlouvy. V Příloze 1 je dále uveden přehled operací prováděných Zpracovatelem s Osobními údaji.
6. Zabezpečení Osobních údajů
6.1. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů.
6.2. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti této Smlouvy bude dodržovat minimálně technická a organizační opatření k zabezpečení Osobních údajů uvedená v Příloze 2 této Smlouvy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování).
6.3. Zpracovatel bude zpracovávat Osobní údaje v elektronické podobě pomocí prostředků informačních technologií.
6.4. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat níže uvedené zásady zabezpečení Osobních údajů:
elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně na nosičích (např. přenosných či nepřenosných datových nosičích, síťových datových úložištích), které jsou v majetku či v oprávněném užívání Správce nebo Zpracovatele;
přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby;
o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány;
nosiče Osobních údajů budou zabezpečeny a chráněny před neoprávněným přístupem.
6.5. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení osobních údajů, a to po předchozím oznámení ze strany Správce.
6.6. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen:
okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení;
bezodkladně přijmout taková opatření, aby se narušení bezpečnosti Osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem;
na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů.
6.7. Splněním povinností Zpracovatele podle odst. 6.6 této Smlouvy není dotčena jeho povinnost podle čl. 7 nahradit v plném rozsahu případnou újmu vzniklou na úkor Subjektu údajů v souvislosti s narušením zabezpečení Osobních údajů zpracovávaných Zpracovatelem pro Správce.
6.8. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení této Smlouvy.
7. Odpovědnost Zpracovatele
7.1. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že
(a) nesplní povinnosti stanovené mu touto Smlouvou; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle této Smlouvy.
7.2. V případě vzniku újmy podle předchozího odst. 7.1 se Zpracovatel zavazuje nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu.
8. Důvěrnost
8.1. Zpracování osobních údajů podle této Smlouvy má důvěrnou povahu.
8.2. Každá Smluvní strana je povinna (a) nakládat s veškerými informacemi, které jsou obsahem této Smlouvy nebo které získala v souvislosti s jednáním o této Smlouvě, jejím uzavřením nebo plněním, jako s informacemi přísně důvěrnými; (b) bez předchozího písemného souhlasu druhé Smluvní strany tyto důvěrné informace nezveřejnit ani jinak nezpřístupnit žádné třetí osobě; a (c) nepoužít tyto důvěrné informace k jinému účelu, než je jednání o této Smlouvě a její plnění.
8.3. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám a dalším zpracovatelům v souladu s odst. 9.5 této Smlouvy. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů.
8.4. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů.
9. Práva a povinnosti Smluvních stran
9.1. Smluvní strany jsou při zpracování Osobních údajů podle této Smlouvy povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem.
9.2. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané podle této Xxxxxxx s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům.
9.3. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření
ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost.
9.4. Zpracovatel poskytne Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí.
9.5. Zpracovatel je oprávněn použít další zpracovatele pouze na základě předchozího konkrétního písemného povolení Správce. Zpracovatel odpovídá za to, že (a) případnému dalšímu zpracovateli budou při zpracování Osobních údajů Subjektů údajů uloženy písemnou smlouvou alespoň stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny ve Smlouvě, a to zejména povinnosti uvedené v čl. 6 této Smlouvy; (b) že se další zpracovatel písemně zaváže k povinnosti mlčenlivosti nebo že se na něj vztahuje zákonná povinnost mlčenlivosti; a že (c) další zpracovatel plní své povinnosti v oblasti ochrany osobních údajů. Zpracovatel odpovídá za zpracování Osobních údajů Subjektů údajů ze strany dalšího zpracovatele tak, jako by takové zpracování prováděl sám.
9.6. Zpracovatel je povinen vést záznamy o činnostech zpracování podle čl. 30 odst. 2 GDPR. Zpracovatel předloží Správci na jeho žádost záznamy o činnostech zpracování, které jsou prováděny pro Správce.
10. Doba trvání Smlouvy
10.1. Tato Smlouva nabývá platnosti připojením platného uznávaného elektronického podpisu dle zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, do této Smlouvy a všech jejích jednotlivých příloh, nejsou-li součástí jediného elektronického dokumentu (tj. všech samostatných souborů tvořících tuto Smlouvu), oprávněnými zástupci obou smluvních stran a účinnosti uveřejněním v registru smluv dle čl. 12 odst. 12.10 této Smlouvy.
10.2. Tato Smlouva se uzavírá na dobu zpracování Osobních údajů Zpracovatelem sjednanou v čl. 3 Smlouvy a zanikne splněním povinnosti Zpracovatele podle odst. 3.2 této Smlouvy.
10.3. Správce je oprávněn vypovědět Hlavní smlouvu bez dalšího, pokud Zpracovatel (a) poruší své povinnosti podle této Smlouvy opakovaně a/nebo (b) poruší tuto Smlouvu podstatným způsobem. Výpověď Hlavní smlouvy ze strany Správce nabývá účinnosti doručením této písemné výpovědi Zpracovateli.
11. Oznámení
11.1. Veškeré žádosti, oznámení, výzvy nebo jiná sdělení podle této Smlouvy budou doručovány na níže uvedené kontaktní adresy Smluvních stran:
Oznámení určená Správci:
Adresa: [DOPLNIT SPRÁVCE]
k rukám: [DOPLNIT SPRÁVCE]
E-mail: [DOPLNIT SPRÁVCE]
Telefon: [DOPLNIT SPRÁVCE]
Oznámení určená Zpracovateli:
Adresa: Xxxxx 0, Xxxx Xxxxx, Xxxxxxxxxxx 00, 000 00 k rukám: Xxx. Xx. Xxxx Xxxxxxxx
E-mail: xxxx.xxxxxxxx@xxxxx.xx Telefon: x000 000 00 0000
a
Adresa: Xxxxx 0, Xxxxx Xxxxx, Xxxxxxxxx xxxxxxx 0/0, 000 00 x rukám: Xxx. Xxxxxxxxx Xxxxxxx
E-mail: xxxxxxxxx.xxxxxxx@xxxxx.xx, xxxxxxxxxxxxx@xxxxx.xx Telefon: x000 000 000 000, x000 000 000 000
11.2. Došlá oznámení budou považována za řádně doručená příslušné Smluvní straně nejpozději třetí (3.)
pracovní den po jejich odeslání na shora uvedené kontaktní údaje, nebo okamžikem, kdy je jejich adresát odmítne převzít.
11.3. Nestanoví-li tato Smlouva výslovně jinak, písemná forma nezahrnuje doručování elektronickými prostředky či faxem.
11.4. Každá Smluvní strana je oprávněna jednostranně změnit své kontaktní údaje, a to písemným oznámením doručeným druhé Smluvní straně, za písemnou formu se pro tyto účely považuje též výměna adresáty potvrzených e-mailových zpráv. Oznámení o změně kontaktních údajů nabývá účinnosti desátý (10.) pracovní den po jeho doručení druhé Smluvní straně nebo v pozdější den uvedený v oznámení o změně kontaktních údajů.
12. Závěrečná ustanovení
12.1. Vztahy touto Smlouvou výslovně neupravené se řídí GDPR a dalšími obecně závaznými právními předpisy České republiky v platném a účinném znění.
12.2. Smluvní strany vylučují použití ustanovení § 557, § 558 odst. 2 věta druhá (obchodní zvyklosti nemají přednost před dispozitivními ustanoveními zákona), § 1740 odst. 3 věta první, § 1765, § 1766 a § 1798 zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, na vztahy založené touto Smlouvou.
12.3. Zpracovatel není oprávněn postoupit jakékoli své pohledávky z této Xxxxxxx na třetí osobu. Zpracovatel není oprávněn započíst jakékoli své pohledávky vůči pohledávkám Správce z této Smlouvy.
12.4. V případě, že kterékoliv ustanovení této Smlouvy je nebo se stane či bude shledáno neplatným, zdánlivým nebo nevymahatelným, neovlivní to (v maximálním rozsahu povoleném právními předpisy) platnost a vymahatelnost zbývajících ustanovení této Smlouvy. Smluvní strany se v takovém případě zavazují nahradit neplatné, zdánlivé či nevymahatelné ustanovení sjednáním ustanovení platného a
vymahatelného, které bude mít do nejvyšší možné míry stejný a právními předpisy přípustný význam a účinek, jako mělo ustanovení, jež má být nahrazeno.
12.5. Tato Xxxxxxx představuje úplnou dohodu Smluvních stran ve vztahu k předmětu této Smlouvy a ruší a nahrazuje jakékoliv předchozí písemné a ústní dohody a ujednání vzniklé v souvislosti s předmětem této Smlouvy.
12.6. Nedílnou součástí této Smlouvy jsou následující přílohy:
Příloha 1 | Kategorie Subjektů údajů, typ zpracovávaných Osobních údajů a operace zpracování |
Příloha 2 Příloha 3 | Technická a organizační opatření k zabezpečení Osobních údajů Další zpracovatel |
12.7. Smlouva může být měněna nebo doplňována pouze formou písemných dodatků podepsaných oběma Smluvními stranami. Smlouva může být zrušena pouze písemnou formou. Změna či zrušení Smlouvy jakoukoli jinou než shora uvedenou formou se vylučuje.
12.8. Smluvní strany výslovně souhlasí s tím, aby Xxxxxxx byla uvedena v Centrální evidenci smluv (CES) vedené Zpracovatelem. Tato evidence je veřejně přístupná a obsahuje údaje o smluvních stranách, předmět Smlouvy, text Smlouvy, číselné označení Smlouvy a datum jejího podpisu.
12.9. Smluvní strany výslovně sjednávají, že uveřejnění této Smlouvy v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů (zákon o registru smluv) zajistí Zpracovatel. Smluvní strany berou na vědomí, že uveřejněním Smlouvy v registru smluv může dojít ke zveřejnění některých osobních údajů uvedených v této Smlouvě. Zpracovatel je povinen před odesláním Xxxxxxx správci registru smluv ve Xxxxxxx znečitelnit informace, na něž se nevztahuje povinnost zveřejnění podle zákona o registru smluv.
12.10. Na důkaz svého souhlasu s obsahem této Smlouvy k ní smluvní strany připojily své uznávané elektronické podpisy dle zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů.
V dne Zpracovatel Podpis: Jméno: Xxx. Xxxxx Xxxx Funkce: ředitel odboru informatických aplikací | V dne Správce Podpis: Jméno: [DOPLNIT SPRÁVCE] Funkce: [DOPLNIT SPRÁVCE] |
Příloha 1
Kategorie Subjektů údajů, typ zpracovávaných Osobních údajů a operace zpracování
Osobní údaje jsou získávány od [DOPLNIT SPRÁVCE] („Správce“). Účelem zpracování Osobních údajů je zajištění elektronické podpory přijímacího řízení do mateřských škol na základě plnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR (zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů; zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů). Dále jsou získávány údaje nepovinné na základě souhlasu Subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR.
1. Kategorie Subjektů údajů
Předmět zpracování Osobních údajů Zpracovatelem jsou údaje o osobách („Subjekt údajů“), které Správce shromažďuje a zpracovává:
• Dítě
• Zákonný zástupce dítěte (pokud je to možné, tak standardně od obou zákonných zástupců dítěte)
• Sourozenci dítěte
2. Typy osobních údajů
Zpracování Osobních údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů: Sbírané údaje od zákonného zástupce
• Pohlaví dítěte
• Jméno a příjmení dítěte
• Datum narození dítěte
• Trvalý pobyt dítěte
• Adresa bydliště, pokud se liší od adresy trvalého pobytu
• Místo narození dítěte
Údaje zákonného zástupce – platí pro matku i otce:
• Jméno a příjmení zákonného zástupce dítěte
• Trvalý pobyt zákonného zástupce dítěte
• Doručovací adresa zákonného zástupce dítěte, pokud se liší od adresy trvalého pobytu
• Telefon
• Datová schránka
Pro vyhodnocení kritérií pro přijetí lze sbírat:
• Každodenní docházka dítěte
• Jméno a příjmení sourozence, třída a název školy, kterou sourozenec navštěvuje
Další nepovinné údaje:
• Názvy škol v preferenčním pořadí
• Zdravotní pojišťovna dítěte
• Jestli dítě již chodilo do nějaké školy (ano/ne), název školy
Přehled operací prováděných Zpracovatelem s Osobními údaji | |
(a) shromažďování Osobních údajů | (b) zaznamenávání a uchovávání |
(c) kopírování | (d) čtení |
(e) výmaz | (f) anonymizace pro statistické zpracování |
Příloha 2
Technická a organizační opatření k zabezpečení Osobních údajů
Technická a organizační opatření k zabezpečení Osobních údajů | |
(a) zámky, mříže | (b) centrální pult ochrany |
(c) elektronické zabezpečení | (d) kamerové systémy |
(e) přístupová práva | (f) uživatelské profily a logy |
(g) bezpečnostní zálohy | (h) antivirová ochrana |
(i) pseudonymizace | (j) šifrování |
Příloha 3
Další zpracovatel
RedWeb s.r.o., zapsaná v OR vedeném u Krajského soudu v Brně, sp. zn. C 53700
se sídlem: | Brno – Brno střed, Kozí 684/8, 602 00 |
zastoupená: | Ing. Xxxxxx Xxxxxxx, jednatelem |
IČO: | 27709841 |
DIČ: kontaktní osoba: | CZ27709841 Ing. Xxxx Xxxxxx Jednatel xxxxxxx@xxxxxx.xx x000 000 000 000 Xxxxx Xxxxxxxxxxx, DiS. Konzultantka projektu xxxxxxxxxxxx@xxxxxx.xx x000 000 000 000 |