Textová podoba smlouvy Smlouva č. 10973340: Smlouva o přístupu do informačních systémů provozovaných Zlínským

                        Smlouva o přístupu do informačních systémů provozovaných Zlínským krajem
                                   a o zpracování osobních údajů

Zlínský kraj
se sídlem: tř. Tomáše Bati 21, 761 90 Zlín
zastupuje: xxxxxxxxxxxxxxxxxxxxxx
IČO: 70891320
(dále jen „ZK“)

a

Základní umělecká škola F. X. Richtera Holešov
se sídlem: Bezručova 675/7, 76901 Holešov
organizaci zastupuje: xxxxxxxxxxxxxxx
IČO: 63414937
(dále jen jako „Organizace")

(dále společně jako „smluvní strany“)

uzavírají podle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění
pozdějších předpisů, níže specifikovanou smlouvu o přístupu do informačních systémů
provozovaných Zlínským krajem a o zpracování osobních údajů (dále jen „smlouva"):

                                                             l.
                                                 Předmět smlouvy

1. Předmětem plnění této smlouvy je závazek ZK umožnit Organizaci přístup do informačního
   systému (dále jen jako „IS“) Krajského úřadu Zlínského kraje (dále jen jako „KÚZK“)
   v rozsahu a za podmínek stanovených touto smlouvou a závazek Organizace užívat IS
   podle pravidel přístupu stanovených touto smlouvou, za účelem využívání aplikací, systémů
   a datových zdrojů pořízených ZK, vytvoření a užívání společné datové báze.

2. Smluvní strany tímto dále sjednávají podle čl. 28 NAŘÍZENÍ EVROPSKÉHO
   PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se
   zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice
   95/46/ES, obecné nařízení o ochraně osobních údajů (dále jen jako „NAŘÍZENÍ“) smlouvu
   o zpracování osobních údajů, které jsou zpracovávány v rámci IS KÚZK.

                                                             II.
                                         Pravidla přístupu do IS KÚZK

1. ZK se zavazuje umožnit Organizaci přístup do vybraných IS KÚZK, které pro ni zpřístupňuje
   přes stránku „Přístup do informačních systémů provozovaných Zlínským krajem“. Seznam
   informačních systémů a aplikací uvedený v příloze č. 1 této smlouvy je přístupný na Portále
   pro organizace zřizované ZK a je průběžně aktualizován. ZK se zavazuje provozovat
   všechny informační systémy a aplikace v souladu s požadavky obecně závazných právních
   předpisů a obecnými bezpečnostními standardy.
2. Organizace je povinna zajistit, že se všichni její zaměstnanci budou při práci v IS KÚZK řídit
   pravidly pro práci v IS KÚZK, které jsou přístupné přes přihlašovací stránku k informačním
   systémům. Pravidla pro práci v informačních systémech Krajského úřadu Zlínského kraje
   jsou uvedena v příloze č. 2 této smlouvy.

3. Organizace se zavazuje vést a průběžně aktualizovat evidenci svých zaměstnanců, kteří
   mají přístup do IS KÚZK podle této smlouvy a tuto evidenci na požádání ZK předložit.
   Organizace umožní přístup do IS KÚZK podle této smlouvy pouze svým zaměstnancům.

4. Organizace odpovídá ZK za škodu, kterou způsobí porušením svých povinností sjednaných
   touto smlouvou či povinností stanovených obecně závaznými právními předpisy.

5. Organizace je povinna zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví
   od ZK v souvislosti s využíváním IS KÚZK a zavazuje se uhradit ZK či třetí straně, kterou
   porušením povinnosti mlčenlivosti poškodí, veškeré škody tímto porušením způsobené.

6. Organizace se zavazuje při užívání přístupu do IS KÚZK podle této smlouvy dbát pokynů
   oprávněných osob ZK.

                                                            III.
                                   Zpracování a ochrana osobních údajů

1. ZK a Organizace se zavazují, v souvislosti s touto smlouvou, zpracovávat osobní údaje
   v souladu s NAŘÍZENÍM. Zpracováním osobních údajů se rozumí zejména jejich
   shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování,
   blokování a likvidace s využitím automatizovaných prostředků v rozsahu nezbytném pro
   zajištění plnění předmětu smlouvy podle článku I odst. 1 této smlouvy.

2. Organizace bere na vědomí, že se ve smyslu všech výše uvedených právních předpisů
   považuje a bude považovat za správce osobních údajů, se všemi pro něj vyplývajícími
   důsledky a povinnostmi. ZK je a bude nadále považován za zpracovatele osobních údajů,
   se všemi pro něj vyplývajícími důsledky a povinnostmi.

3. Ustanovení o vzájemných povinnostech Organizace a ZK při zpracování osobních údajů
   zajišťuje, že nedojde k protiprávnímu použití osobních údajů týkajících se subjektů údajů
   ani k jejich předání do rukou neoprávněné třetí strany. Smluvní strany se dohodly na
   podmínkách zajištění odpovídajících opatření k zabezpečení ochrany osobních údajů a
   základních práv a svobod subjektů údajů při zpracování osobních údajů.

4. ZK se zavazuje zpracovávat pouze a výlučně ty osobní údaje, které jsou nutné k řádnému
   plnění smluvních povinností. Seznam IS KÚZK, ve kterých jsou zpracovávány osobní údaje,
   je uveden v příloze č. 3.

5. ZK je oprávněn zpracovávat osobní údaje dle této smlouvy pouze a výlučně po dobu
   účinnosti této smlouvy.

6. ZK je oprávněn zpracovávat osobní údaje pouze za stanoveným účelem zpracování,
   uvedeným v příloze č. 3 této smlouvy.

7. ZK je povinen se při zpracování osobních údajů řídit výslovnými pokyny Organizace, budou-
   li mu takové uděleny, ať již ústní či písemnou formou. Za písemnou formu se považuje
   i elektronická komunikace, včetně emailu. ZK je povinen neprodleně Organizaci informovat,
   pokud dle jeho názoru udělený pokyn Organizace porušuje NAŘÍZENÍ nebo jiné právní
   předpisy.
8. ZK je povinen zajistit zachování mlčenlivosti u osob, které budou fakticky provádět plnění
   dle této smlouvy, resp. se tyto osoby zavážou k mlčenlivosti ohledně veškeré činnosti
   související s touto smlouvou, zejména k mlčenlivosti ve vztahu ke všem osobním údajům,
   ke kterým budou mít přístup, nebo s kterými přijdou do kontaktu.

9. ZK je povinen ve smyslu čl. 32 NAŘÍZENÍ přijmout, s ohledem na stav techniky, náklady na
   provedení, povahu, rozsah, kontext a účely zpracování i k různě pravděpodobným a různě
   závažným rizikům pro práva a svobody fyzických osob, vhodná technická a organizační
   opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, zejména pak osobní
   údaje zabezpečit vůči náhodnému či nezákonnému zničení, ztrátě, změně, zpřístupnění
   neoprávněným stranám, zneužití či jinému způsobu zpracování v rozporu s NAŘÍZENÍM.

10. ZK se zavazuje zejména, nikoliv však výlučně, přijmout následující technická a organizační
   opatření:

   a) ZK v případě zpracování osobních údajů prostřednictvím vlastních zaměstnanců pověří
       touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti
       zachovávat mlčenlivost ohledně osobních údajů a o dalších povinnostech, které jsou
       povinni dodržovat tak, aby nedošlo k porušení předpisů na ochranu osobních údajů,
       NAŘÍZENÍ či této smlouvy;

   b) ZK bude používat odpovídající technické zařízení a programové vybavení způsobem,
       který vyloučí neoprávněný či nahodilý přístup k osobním údajům ze strany jiných osob
       než pověřených zaměstnanců ZK;

   c) ZK bude osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;

   d) Osobní údaje v elektronické podobě bude ZK uchovávat na zabezpečených serverech
       nebo na nosičích dat, ke kterým budou mít přístup pouze pověření zaměstnanci ZK na
       základě přístupových kódů a hesel a bude osobní údaje pravidelně zálohovat;

   e) ZK zajistí dálkový přenos osobních údajů buď pouze prostřednictvím veřejně nepřístupné
       sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;

   f) ZK bude v co největší míře zpracovávat pouze pseudoanonymizované a šifrované osobní
       údaje, je-li takové opatření vhodné a nezbytné ke snížení rizik plynoucí ze zpracování
       osobních údajů;

   g) ZK zajistí neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb
       zpracování;

   h) ZK prostřednictvím vhodných technických prostředků zajistí schopnost obnovit
       dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických
       incidentů;

11. ZK je povinen písemně seznámit Organizaci s jakýmkoliv podezřením na porušení nebo
   skutečným porušením bezpečnosti zpracování osobních údajů podle ustanovení této
   smlouvy, např. jakoukoliv odchylkou od udělených pokynů, odchylkou od sjednaného
   přístupu pro Organizaci, plánovaným zveřejněním, upgradem, testy apod., kterými může
   dojít k úpravě nebo změně zabezpečení nebo zpracování osobních údajů, jakýmkoliv
   podezřením z porušení důvěrnosti, jakýmkoliv podezřením z náhodného či nezákonného
   zničení, ztráty, změny, zpřístupnění neoprávněným stranám, zneužití či jiného způsobu
   zpracování osobních údajů v rozporu s NAŘÍZENÍM. Organizace bude neprodleně
   seznámena s jakýmkoliv podstatným porušením těchto ustanovení o zpracování osobních
   údajů.
12. Organizace tímto dává ZK pokyn, aby případně pověřil zpracováním osobních údajů dle
   této smlouvy také pověřené osoby, které mají přístup k osobním údajům z titulu zajištění
   údržby a komplexní provozní podpory informačních systémů. Tyto pověřené osoby jsou
   uvedené v příloze č. 3 této smlouvy. Neplní-li uvedené pověřené osoby své povinnosti
   v oblasti ochrany osobních údajů, odpovídá Organizaci za plnění povinností dotčené
   pověřené osoby i nadále plně prvotně ZK.

13. ZK je povinen a zavazuje se k veškeré součinnosti s Organizací, o kterou bude požádán
   v souvislosti se zpracováním osobních údajů nebo která mu přímo vyplývá z NAŘÍZENÍ. ZK
   je povinen na vyžádání zpřístupnit Organizaci svá písemná technická a organizační
   bezpečnostní opatření a umožnit mu případnou kontrolu, audit či inspekci dodržování
   předložených technických a organizačních bezpečnostních opatření.

14. ZK je po zániku této smlouvy povinen dodržovat veškeré povinnosti dle právních předpisů
   na zpracování a ochranu osobních údajů a dle NAŘÍZENÍ, vedoucí zejména k předejítí
   neoprávněnému nakládání s osobními údaji do doby, než dle pokynů Organizace tyto
   osobní údaje ZK předá Organizaci nebo provede jejich bezpečnou likvidaci.

15. Po skončení účinnosti této smlouvy je ZK povinen v souladu s rozhodnutím Organizace
   všechny osobní údaje, které má v držení buď vymazat, nebo je vrátit Organizaci po
   ukončení poskytování služeb spojených se zpracováním a vymazat všechny existující
   kopie, pokud právní předpis EU, případně vnitrostátní právní předpis nepožaduje uložení
   daných osobních údajů.

                                                            IV.
                                      Náklady a bezúplatnost smlouvy

1. Smluvní strany si nesou samostatně své náklady spojené s plněním povinností podle této
   smlouvy.

2. Smluvní strany sjednávají, že za plnění této smlouvy nenáleží žádné z nich odměna nebo
   úplata, není-li výslovně ujednáno jinak.

                                                            V.
                                              Závěrečná ustanovení

1. Veškeré změny a doplňky této smlouvy lze činit pouze písemnými, vzestupně číslovanými
   dodatky.

2. Ukončení této smlouvy je možné výpovědí s 90 denní výpovědní lhůtou, která začíná běžet
   1. dnem měsíce následujícího po doručení výpovědi druhé smluvní straně.

3. Tato smlouva je vyhotovena ve čtyřech stejnopisech, přičemž obě smluvní strany obdrží
   dvě vyhotovení.

4. Smluvní strany sjednávají, že ZK je oprávněn jednostranně aktualizovat znění příloh této
   smlouvy. Aktualizace jsou vůči Organizaci účinné od 31. dne ode dne prokazatelného
   obeznámení Organizace se zněním aktualizace.

5. Tato smlouva nabývá platnosti dnem podpisu poslední ze smluvních stran a účinnosti dnem
   jejího zveřejnění v registru smluv.
6. Smluvní strany se dohodly, že ZK v zákonné lhůtě odešle smlouvu k řádnému uveřejnění
   do registru smluv vedeného Ministerstvem vnitra ČR. O uveřejnění smlouvy ZK
   bezodkladně telefonicky informuje druhou smluvní stranu.

7. Rozhodnout o uzavření této smlouvy a oprávnění uzavřít jménem ZK tuto smlouvu bylo
   xxxxxxxxxxxxxxxxx, svěřeno usnesením Rady Zlínského kraje č. 0400/R13/18 ze dne 21.
   5. 2018.

Přílohy:
Příloha č. 1 – Seznam informačních systémů a aplikací
Příloha č. 2 – Pravidla pro práci v IS KÚZK
Obsah příloh č. 1 a 2 je dostupný na odkaze http://zo.kr-zlinsky.cz/pristup-do-is-zk
Příloha č. 3 – Seznam IS KÚZK, ve kterých se zpracovávají osobní údaje

Ve Zlíně dne             Ve Zlíně dne

…………………………………..          …………………………………..
            xxxxxxxxxxx              xxxxxxxxxxx
Příloha č. 1
Seznam informačních systémů a aplikací
Webové aplikace provozované KÚZK jsou přístupné na portálu informačních systémů
Zlínského kraje, který je dostupný na adrese: vpn.kr-zlinsky.cz. Po přihlášení získáte přístup
ke všem webovým aplikacím, ke kterým máte nastavena přístupová práva. Vytváření
uživatelských účtů a přidělení práv zajišťují lokální správci z věcně příslušných odborů. Žádosti
o nové uživatelské účty a změnu oprávnění mohou podávat pouze ředitelé zřizovaných
organizací.
FaMa+
Ekonomika: Informační systém pro evidenci pozemků a staveb ve vlastnictví Zlínského kraje.
Garantem aplikace je informační manažer pro majetek na odboru EKO.

KDR
Kultura: Krajský digitální repositář pro dlouhodobé bezpečné ukládání digitálních obrazů a
metadat.

MIS
Zdravotnictví: Manažerský informační systém.

Portál pro zřizované organizace
Informace: Informační portál pro zřizované organizace Zlínského kraje.

Portál zdravotnictví
Informace: Informační portál pro zdravotnické organizace Zlínského kraje.

Spisová služba GEOVAP
Správa dokumentů: Hostovaná spisová služba pro zřizované organizace Zlínského kraje.

Týmnet
DMS: Portál zaměřený na spolupráci při realizaci projektů.

ZDO
Zpřístupnění digitálního obsahu.
Příloha č. 2

Pravidla pro práci v IS KÚZK

Každý uživatel musí používat pouze jemu přidělené uživatelské jméno. Používání jiných účtů
(např. účtů kolegů nebo bývalých zaměstnanců) je nepřípustné.

    1. Každý uživatel je osobně odpovědný za způsob používání svého účtu a za všechny
         operace a úkony, které byly pod jeho účtem provedeny.

    2. Přístupové heslo musí být uchováváno v tajnosti a nesmí být sděleno žádné jiné osobě.

    3. Přístupový účet smí být používán pouze k účelu, ke kterému byl zřízen. Je přísně
         zakázáno provádět jakékoliv testování, zkoušet rozsah přidělených oprávnění,
         provádět pokusy o jejich překonání a zkoumání případných slabých míst a
         zranitelností.

    4. Uživatelé jsou povinní neprodleně informovat správce systému o zjištěných chybách a
         bezpečnostních incidentech, které při používání IS KÚZK účtu nastaly.

    5. Při přerušení nebo ukončení práce s IS KÚZK a opuštění pracoviště je vždy nutné
         provést vhodným způsobem jeho zajištění.

    6. Informace získané z IS KÚZK jsou neveřejné a nesmí být sdělovány neoprávněným
         osobám.

    7. Uložená neveřejné data ze systému KÚZK, musí být přiměřeně zabezpečena proti
         fyzickému přístupu nebo musí být šifrována.
Příloha č. 3
Seznam IS KÚZK, ve kterých se zpracovávají osobní údaje („OÚ“)

Předmět zpracování    Doba trvání  Účel zpracování          Typ OÚ (Kategorie)       Kategorie         Osoby
- systém              zpracování                                                     subjektů OÚ       pověřené ZK
FaMa+ (hostovaný                   Evidence majetku                                                    na pokyn
informační systém     Po dobu      v aplikaci FaMa+                                                    Organizace
pro evidenci          účinnosti                                                                        zpracováním
pozemků a staveb      smlouvy                                                                          OÚ z titulu
ve vlastnictví                                                                                         poskytování
Zlínského kraje                                                                                        IT podpory
svěřeného
k hospodaření                                               jméno, příjmení, titul,  Zaměstnanci       TESCO SW
Organizaci)                                                 tel. číslo, email;       Organizace,       a.s.,
                                                            adresa, IČO, DIČ,        smluvní strany    IČO:
                                                            číslo účtu                                 25892533

Spisová služba        Po dobu      Vedení spisové služby v  jméno, příjmení,         _odesilatel       GEOVAP,
GEOVAP                účinnosti    aplikaci GEOVAP          adresa, případně IČO     dokumentu,        spol. s r.o.,
(hostovaná spisová    smlouvy                               pro odlišení FO          _příjemce         IČO:
služba pro zřizované                                        podnikající (údaje ve    dokumentu, _jiná  15049248
organizace                                                  jmenném rejstříku)       osoba, jíž se
Zlínského kraje)                                                                     dokument týká