Zpracovatelská smlouva
Tato zpracovatelská smlouva (dále jen Smlouva“) je uzavřená v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a dle zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů mezi Správcem a Zpracovatelem ode dne uzavření Smlouvy o užívání Aplikace Manažer veřejných zakázek, na jejímž základě mu poskytuje služby spočívající v poskytnutí Aplikace (dále jen „Smlouva hlavní“), na jejímž základě Zpracovatel zpracovává osobní údaje Správce.
I. Předmět smlouvy
1. Předmětem této Smlouvy je závazek Zpracovatele zpracovávat pro Správce osobní údaje uvedené v čl. III. této Smlouvy, k nimž získá Zpracovatel přístup na základě uzavřené Smlouvy hlavní a dále závazek Smluvních stran zachovávat mlčenlivost o těchto vzájemně poskytnutých informacích, a to v rozsahu a za podmínek stanovených touto Smlouvou.
II. Prohlášení Správce
1. Správce je správcem osobních údajů dle nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále též jen „Obecné nařízení o ochraně osobních údajů“ nebo „GDPR“). Správce prohlašuje, že osobní údaje uvedené v odst. 1. článku III. této Smlouvy jsou Správcem získávány a zpracovávány v souladu s GDPR, jsou přesné, odpovídají stanovenému účelu a jsou v rozsahu nezbytném pro naplnění stanoveného účelu.
2. Správce je oprávněn pověřit Zpracovatele ke zpracovávání osobních údajů ve smluvně stanoveném rozsahu, za smluvně stanoveným účelem a na dobu ve Smlouvě stanovenou.
3. Za plnění z této Smlouvy nenáleží Zpracovateli žádná odměna.
III. Zpracování údajů
1. Správce pověřuje Zpracovatele po dobu účinnosti Smlouvy ke zpracování osobních údajů v souvislosti s plněním povinností dle Smlouvy hlavní v následujícím rozsahu:
- kontaktní údaje příslušné osoby,
- cookies,
- IP adresa subjektu údajů.
2. Osobní údaje specifikované v odstavci 1. tohoto článku je Zpracovatel oprávněn zpracovávat za účelem plnění Smlouvy hlavní v následujícím rozsahu – poskytnutí Aplikace Uživatelům Správce.
3. Zpracovatel bude zpracovávat osobní údaje pouze způsoby nutnými ke splnění účelu uvedeného výše v odstavci 2. tohoto článku a pouze v nezbytně nutném rozsahu.
Explicitně zakázáno je provádění následujících operací zpracování:
- změna či jiné pozměnění poskytnutých dat Správce,
- kombinování, seřazení nebo jakékoliv jiné zkombinování dat Správce,
- uspořádání dat Správce,
- strukturování dat Správce,
- nahlížení nebo jiné vyhledávání v datech Správce,
- použití dat Správce,
- zpřístupnění dat Správce; zpřístupnění dat Správce třetím osobám; zpřístupnění dat Správce přenosem,
- šíření nebo jakékoliv jiné zpřístupnění dat Správce,
- omezení, výmaz nebo zničení dat Správce.
IV. Společná práva a povinnosti smluvních stran
1. Smluvní strany se zavazují vzájemně si neprodleně ohlašovat všechny jim známé skutečnosti, které by mohly nepříznivě ovlivnit řádné a včasné plnění závazků vyplývajících z této Smlouvy.
2. Informační povinnost dle čl. 13 a čl. 14 GDPR, ve vztahu k subjektům údajů, jejichž osobní údaje jsou zpracovávány dle této Smlouvy, bude plněna Správcem, nedohodnou-li se Smluvní strany jinak.
V. Práva a povinnosti správce
1. Správce je povinen v případě, že pro plnění povinností Zpracovatele dle této Smlouvy jsou nutné jakékoli písemné podklady, předat tyto podklady Zpracovateli bez zbytečného odkladu poté, co o to bude Zpracovatelem požádán.
2. Dojde-li z jakéhokoli důvodu (např. z důvodu legislativních změn, rozhodnutí státního orgánu atd.) k nutnosti změny dohodnutých pravidel při plnění předmětu této Smlouvy, zavazuje se Správce neprodleně o této skutečnosti Zpracovatele informovat. Smluvní strany jsou povinny v takovém případě zahájit jednání o změně této Smlouvy.
VI. Práva a povinnosti zpracovatele
1. Zpracovatel se zavazuje poskytnout Správci součinnost nezbytnou pro plnění této Smlouvy, zejména je Zpracovatel Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32 až čl. 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
2. Zpracovatel je povinen s přihlédnutím „ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně učinil opatření dle čl. 32 odst .1 písm. a) až d) GDPR.“
3. Zpracovatel je povinen zohlednit zejména rizika a spolu s vnitřními postupy vedoucí k odhalování a zvládání případů porušení zabezpečení přijmout taková opatření, která představuje zpracování přenášených, uložených nebo jinak zpracovávaných osobních údajů, zejména jejich náhodné nebo protiprávní zničení, ztrátu, změnu nebo neoprávněné poskytnutí nebo zpřístupnění. Mezi taková opatření může patřit mimo jiné:
- osobní údaje uchovávané v elektronické podobě chránit před neoprávněným přístupem pomoc vytvoření přístupových práv a kontroly přístupu do sítě včetně technologie firewallů, jak hardwarových, tak i softwarových komponent, technologie detekce síťových průniků, pseudonymizace a šifrovací technologie, vybrané podle jejich vhodnosti,
- zajistit ochranu, udržování a monitorování zabezpečení a integrity sítě Zpracovatele,
- pravidelné zálohování dat včetně zajištění potřebného software a hardware pro provádění bezpečnostních záloh,
- určit pověřené fyzické osoby ke zpracování Osobních údajů, přičemž pouze tyto osoby budou oprávněny k přístupu a zpracování Osobních údajů v souladu s ustanoveními této Smlouvy,
- pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zobrazeny, zaznamenány nebo jinak zpracovány,
- přijmout případně další technická opatření, která jsou obecně uznávána jako vhodná bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.
4. Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany Osobních údajů v souladu se Zákonem o ochraně osobních údajů a jinými právními předpisy, zejména GDPR, a udržovat takovou dokumentaci aktuální.
5. Zpracovatel je povinen v souladu s čl. 33 odst. 2 GDPR bez zbytečného odkladu, jakmile zjistí porušení zabezpečení osobních údajů ohlásit toto porušení Správci. Ohlášení bude provedeno s použitím kontaktních informací uvedených v záhlaví této smlouvy.
6. Zpracovatel se zavazuje, že nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky.
7. Pokud Zpracovatel zapojí dalšího zpracovatele, který by jménem Správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této smlouvě mezi Správcem a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Neplní-li uvedený další Zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále Zpracovatel dle této smlouvy.
8. Zpracovatel je povinen postupovat při poskytování plnění dle této Smlouvy v souladu s GDPR a dalšími národními předpisy, s odbornou péčí, řídit se pokyny Správce a jednat v souladu se zájmy Správce.
9. Zpracovatel se dále zavazuje:
a) zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na Správce vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu,
b) zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
c) zohledňovat povahu zpracování, být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,
d) být Správci nápomocen při zajišťování souladu s povinnostmi podle odstavců 2 až 6 tohoto článku, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici,
e) v souladu s rozhodnutím Správce všechny osobní údaje buď vymazat, nebo je vrátit Správci po ukončení poskytování služeb spojených se zpracováním, a vymazat existující kopie, pokud není zákonný důvod k uložení daných osobních údajů,
f) poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět.
10. Pokud Zpracovatel poruší tuto smlouvu tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.
11. Zpracovatel odpovídá za své zaměstnance, kteří v rámci plnění stanovených oprávnění a povinností přicházejí do styku s osobními údaji u Zpracovatele a jsou povinni v souladu s touto smlouvou a GDPR zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Zpracovatel je povinen dohlížet na plnění uvedených povinností ze strany jeho zaměstnanců.
12. Zpracovatel je povinen včas oznámit Správci všechny problémy, které by mohly bránit řádnému a včasnému poskytování předmětu plnění dle této Smlouvy.
13. Jakmile pomine účel zpracování osobních údajů ve smyslu této Smlouvy o zpracování osobních údajů a Smlouvy hlavní, nebude Zpracovatel osobní údaje dále zpracovávat. V tomto případě budou údaje nenávratně zlikvidovány dle pokynů Správce a v souladu s GDPR a ostatními relevantními předpisy.