SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) a...
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená níže uvedeného dne podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „ZZOÚ“) mezi následujícími smluvními stranami (dále jen „Smlouva“):
název: statutární město Brno
zastoupené: JUDr. Xxxxxxxx Xxxxxxxx, primátorkou města Brna
se sídlem: Dominikánské nám. 196/1, 602 00 Brno
IČO: 44992785
DIČ: CZ44992785
bankovní spojení: ______________
číslo účtu: ______________
(dále jen „Správce“)
a
[doplnit název/obchodní firmu]
IČO: [doplnit]
se sídlem: [doplnit]
zapsaná v: [doplnit údaje z obchodního rejstříku]
zastoupená: [doplnit]
(dále jen „Zpracovatel“)
(Správce a Zpracovatel dále jen „smluvní strany“ a jednotlivě „smluvní strana“)
v následujícím znění:
Čl. I
Správce předává Zpracovateli ke zpracování osobní údaje za účelem výkonu následující činnosti / plnění následující smlouvy uzavřené mezi Správcem a Zpracovatelem: [vybrat z uvedených variant a doplnit specifikaci] (dále jen „Plnění“).
Správce a Zpracovatel uzavírají tuto Smlouvu v souladu s požadavkem čl. 28 GDPR a požadavky ZZOÚ. Účelem této Smlouvy je úprava práv a povinností smluvních stran při zpracování osobních údajů, zejména s ohledem na zajištění odpovídající úrovně jejich zabezpečení a na jejich ochranu.
Čl. II
Předmět zpracování, kategorie osobních údajů a subjektů údajů, doba zpracování
V souvislosti s Plněním jsou Správcem předávány Zpracovateli osobní údaje následujících kategorií fyzických osob - subjektů údajů: [doplnit – např. zákazníci].
V souvislosti s Plněním jsou Zpracovatelem zpracovávány osobní údaje fyzických osob za následujícím účelem: [doplnit – provoz informačního systému].
V souvislosti s Plněním jsou Zpracovatelem zpracovávány následující kategorie osobních údajů fyzických osob: [doplnit – např. identifikační údaje (jméno a příjmení, datum narození, pracovní pozice/funkční místo), adresní údaje (bydliště, adresa pro doručování), kontaktní údaje (telefonní číslo, e-mailová adresa, identifikátor datové schránky), případně další údaje fyzických osob (bankovní účet, platová třída aj.)].
V souvislosti s Plněním jsou osobní údaje zpracovávány Zpracovatelem pouze po dobu nezbytně nutnou k poskytování Plnění, nejdéle však do [doplnit, případně upravit], pokud nebude mezi smluvními stranami dohodnuto v průběhu trvání Smlouvy písemně jinak.
O rozsahu a době zpracování osobních údajů v souvislosti s poskytováním Plnění Zpracovatele rozhoduje vždy výhradně Správce.
Pokud není sjednáno jinak, je Zpracovatel oprávněn zpracovávat osobní údaje pouze na území Evropského hospodářského prostoru.
Osobní údaje jsou / nejsou [vybrat jednu z variant] zpracovávány Zpracovatelem prostřednictvím automatizovaných prostředků.
Čl. III
Prohlášení smluvních stran
Správce prohlašuje, že je v postavení správce osobních údajů zpracovávaných Zpracovatelem na základě Smlouvy.
Správce prohlašuje, že ke dni uzavření Smlouvy plní všechny své povinnosti dle právních předpisů o ochraně osobních údajů, zejména zpracovává osobní údaje výhradně na základě platných právních titulů, v rozsahu a způsobem odpovídajícím sledovanému účelu, informuje subjekty údajů o prováděném zpracování, umožňuje subjektům údajů výkon jejich práv v rozsahu předvídaném GDPR. Správce se současně zavazuje k plnění těchto povinností také po celou dobu platnosti Smlouvy.
Zpracovatel prohlašuje, že je v postavení zpracovatele osobních údajů zpracovávaných na základě Smlouvy.
Čl. IV
Práva a povinnosti smluvních stran
Zpracovatel zpracovává osobní údaje výlučně na základě pokynů Správce, a to za účelem poskytování Plnění. Zpracovatel se zavazuje neužít zpracovávané osobní údaje pro své vlastní potřeby a účely odlišné od poskytování Plnění.
Zpracovatel je povinen zachovávat mlčenlivost o zpracovávaných osobních údajích. Zpracovatel zajistí, aby jeho zaměstnanci i další osoby (podzpracovatelé) podílející se na na zpracování byli v souladu s účinnými právními předpisy poučeni o povinnosti mlčenlivosti a o možných následcích pro případ porušení této povinnosti. Povinnost zachování mlčenlivosti Zpracovatele trvá i po ukončení platnosti Smlouvy. Pokud Zpracovatel zapojí do zpracování osobních údajů podle Xxxxxxx podzpracovatele, zavazuje se uložit mu prostřednictvím vlastních smluvních ujednání podmínky zpracování a povinnosti na ochranu osobních údajů alespoň v rozsahu povinností, jaké plynou ze Smlouvy Zpracovateli.
Zpracovatel je oprávněn předat zpracovávané osobní údaje třetí osobě výhradně na základě písemného požadavku nebo písemného souhlasu Správce.
Zpracovatel je oprávněn přistupovat ke zpracovávaným osobním údajům pouze za účelem poskytování Plnění a pouze v nezbytném rozsahu.
Zpracovatel je povinen respektovat práva subjektů údajů a poskytovat Správci požadovanou součinnost při splnění povinností Správce reagovat na žádosti subjektu údajů ve smyslu čl. 12 až 23 GDPR (např. na žádost o přístup ke zpracovávaným osobním údajům, žádost o opravu nesprávně zpracovávaných osobních údajů, žádost o výmaz osobních údajů, žádost o omezení zpracování osobních údajů). K zajištění plnění této povinnosti je Zpracovatel povinen aplikovat vhodná organizační a technická opatření.
Zpracovatel je povinen zajišťovat náležité zabezpečení zpracovávaných osobních údajů a poskytovat Správci nezbytnou součinnost k plnění jeho povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR a oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 GDPR. Zpracovatel je za tímto účelem zejména povinen oznámit Správci bezodkladně, nejpozději však do 24 hodin od okamžiku zjištění, porušení zabezpečení zpracovávaných osobních údajů včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků.
Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizace Smlouvy, a to zejména jednání s Úřadem pro ochranu osobních údajů nebo s jinými orgány veřejné správy. V rámci součinnosti Zpracovatel umožní Správci provést kontrolu zavedených opatření v místě zpracování údajů, a to kdykoliv si to Správce vyžádá a nejpozději do 5 pracovních dnů od žádosti či termínu stanoveným Správcem.
Zpracovatel je povinen postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právu na zachování lidské důstojnosti.
Pokud nestanoví právní řád nebo písemná smlouva jinak, je Zpracovatel povinen po skončení platnosti Smlouvy předat (vrátit) veškeré zpracovávané osobní údaje zpět Správci, a je povinen vymazat veškeré předané/zpracovávané osobní údaje a jejich kopie, kterými disponuje.
Čl. V.
Zabezpečení osobních údajů
Zpracovatel přijal a zavazuje se udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, dočasné nedostupnosti, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Na požádání je Zpracovatel povinen kdykoliv Správci písemně sdělit způsob zabezpečení ochrany osobních údajů pro posouzení míry dostatečnosti tohoto zabezpečení.
Za účelem naplnění požadavku uvedeného v odst. 5.1 Smlouvy Zpracovatel přijal a zavazuje se udržovat zejména následující opatření: [Konkrétní opatření a záruky uvedené níže k úpravě/odstranění/doplnění s ohledem na konkrétního Zpracovatele a povahu jeho zpracování]:
písemnosti a digitální záznamová média, která obsahují osobní údaje, musí být uložena výhradně v uzamykatelných prostorách Zpracovatele, to platí i pro kopie písemností obsahující osobní údaje;
na pracovišti Zpracovatele je povinnost dodržovat pravidla bezpečnosti práce včetně požárních a poplachových pravidel tak, aby nedošlo ke zničení uložených písemností a digitálních záznamových médií v důsledku požáru, potopy nebo jiné havárie;
data obsahující zpracovávané osobní údaje, která jsou uložena v pracovních počítačích Zpracovatele (jeho zaměstnanců a osob v obdobném postavení), musí být zabezpečena před volným přístupem neoprávněných osob prostřednictvím povinné autentizace, platí zákaz sdělení nebo zpřístupnění autentizačních údajů pověřených osob Zpracovatele třetí osobě;
přístup k osobním údajům bude umožněn výlučně omezenému počtu pověřených osob Zpracovatele, které budou v pracovněprávním či jiném obdobném smluvním poměru ke Zpracovateli, budou předem prokazatelně seznámeny s povahou, rozsahem a účelem zpracování osobních údajů a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů;
osobní údaje budou pověřeným osobám Zpracovatele zpřístupněny pouze v rozsahu nezbytném pro realizaci Plnění;
zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti zpracovávaných osobních údajů, zavedená opatření a jejich korektní fungování bude Zpracovatel pravidelně kontrolovat;
schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to zejména pravidelným zálohováním;
proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
pravidelná školení zaměstnanců;
odpovídající antivirová ochrana při zpracování v rámci inf. systému;
šifrovaný přenos zpracovávaných osobních údajů v rámci užívaného inf. systému;
servery se zpracovávanými osobními údaji umístěny v uzamčené serverovně;
opatření, která umožní i zpětně určit a ověřit, komu byly zpřístupněné osobní údaje předány, kým byly zpracovány, pozměněny nebo smazány; a
zajištění pseudonymizace a šifrování osobních údajů.
Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě stanovené Správcem další záruky za účelem dosažení odpovídající úrovně technického a organizačního zabezpečení osobních údajů, zejména přijmout další opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.
Zpracovatel se zavazuje vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů dle požadavků GDPR, přičemž zajišťuje, kontroluje a odpovídá zejména za:
plnění pokynů osobami, které mají bezprostřední přístup k osobním údajům;
zabránění neoprávněným osobám přistupovat k osobním údajům;
zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
název a kontaktní údaje Zpracovatele a Správce,
kategorie zpracování osobních údajů pro Správce včetně dotčených kategorií subjektů údajů,
obecný popis zabezpečení osobních údajů.
V případě zjištění porušení záruk dle odst. 5.2 Smlouvy je Zpracovatel povinen zajistit bezodkladně stav odpovídající stanoveným zárukám, nejpozději však do 3 (třech) pracovních dnů poté, co je k tomu Správcem vyzván, nehrozí-li riziko z prodlení.
Zpracovatel jmenuje následující kontaktní osobu pro účely plnění Smlouvy, resp. řešení otázek souvisejících se zpracováním osobních údajů Zpracovatelem na základě Xxxxxxx (pokud je jmenován u Zpracovatele pověřenec, bude uveden):
Xxxxx a příjmení: [bude doplněno]
Pracovní pozice: [bude doplněno]
E-mail: [bude doplněno]
Telefon: [bude doplněno]
Změnu kontaktní osoby včetně příslušných údajů je Zpracovatel povinen písemně oznámit Xxxxxxx, a to nejpozději 3 kalendářní dny před nabytím účinnosti této změny. Tato změna nevyžaduje uzavření dodatku ke Smlouvě.
Doba trvání této smlouvy
Smlouva vstupuje v platnost a nabývá účinnosti dnem podpisu oprávněnými zástupci smluvních stran. V případě, že Xxxxxxx podléhá uveřejnění v registru smluv podle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů, nabývá Xxxxxxx účinnosti dnem jejího uveřejnění v registru smluv. Smluvní strany se dohodly, že uveřejnění Smlouvy v registru smluv zajistí zpracovatel.
Smlouva je uzavřena na dobu neurčitou.
Smlouvu může kterákoliv smluvní strana ukončit výpovědí, výpovědní doba činí šest kalendářních měsíců ode dne jejího doručení druhé smluvní straně. Odst. 6.4 smlouvy tímto není dotčen.
V případě, že Zpracovatel v důsledku změny legislativy, interních předpisů Správce nebo ukončení jiných souvisejících smluv uzavřených se Správcem přestane vykonávat Plnění, je kterákoliv smluvní strana oprávněna ukončit Smlouvu výpovědí s výpovědní dobou jeden kalendářní měsíc ode dne doručení druhé smluvní straně. Výpověď z tohoto důvodu může být podána až poté, co Zpracovatel přestane vykonávat Plnění.
Ukončení účinnosti Xxxxxxx se však nedotýká ustanovení, která mají ze své povahy nebo výslovného ujednání přetrvat i po ukončení její účinnosti (typicky povinnost zachování mlčenlivosti dle odst. 4.2 Smlouvy).
Čl. VII
Závěrečná ustanovení
Smlouva může být doplněna a pozměněna pouze písemným dodatkem podepsaným oběma smluvními stranami.
Pokud některé z ustanovení Smlouvy je neplatné, nebo se stane později neplatným, nemá to vliv na platnost ostatních ustanovení Smlouvy. V případě, že některé z ustanovení Smlouvy je neplatné, nebo se stane později neplatným nebo neúčinným, zavazují se smluvní strany, že ho nahradí ustanovením, které nejvíce odpovídá původní vůli smluvních stran a účelu podle Xxxxxxx.
Smluvní strany prohlašují, že Xxxxxxx uzavírají svobodně a vážně, že jejich smluvní volnost není omezena. Smluvní strany prohlašují, že Smlouva nebyla uzavřena za nevýhodných podmínek nebo v tísni, že si ji řádně přečetly, jejímu obsahu porozuměly a na znamení souhlasu s jejím obsahem připojují své vlastnoruční podpisy.
V __________________dne __________________ V _________________ dne ____________________
________________________________ ________________________________