Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Dodatek č. 1
k rámcové dohodě
Číslo Rámcové dohody: 01CS-000212 z 10.12.2019
Evidenční číslo (ISPROFIN/ISPROFOND): 500 115 0009
Název související veřejné zakázky: Nákup kamenné soli (NaCl) na posyp komunikací pro
ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
uzavřený níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami (dále
jako „Dodatek č. 1“):
1. Ředitelství silnic a dálnic ČR
se sídlem Na Pankráci 546/56, 140 00 Praha 4
IČO: 65993390
DIČ: CZ65993390
právní forma: příspěvková organizace
bankovní spojení: ........... ....... ........... ........................
zastoupeno: ........ ........... .................................
kontaktní osoba ve věcech smluvních: ...................................
e-mail: .........................................
tel: .......... .................
kontaktní osoba ve věcech technických: .........................
e-mail: ..............................
tel: .......... .................
(dále jen „ŘSD”)
a
2. MINFAR, spol. s r.o.
se sídlem: 741 01 Nový Jičín, Suvorovova č.p. 909/114
IČO: 25390686
DIČ: CZ25390686
zápis v obchodním rejstříku: Krajský soud v Ostravě,
oddíl C, vložka 17497
právní forma: společnost s ručením omezeným
bankovní spojení: . ............................
zastoupen: .......................................................
kontaktní osoba ve věcech smluvních: .................. ........
e-mail: ...........................
tel: . ...................
kontaktní osoba ve věcech technických: . ....... ..................
e-mail: ...........................
tel: ............... .....
(dále jen „Dodavatel“)
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
(ŘSD a Dodavatel společně dále jen „Smluvní strany“ nebo každý samostatně jen
„Smluvní strana“)
1. nahrazuje je se na str. 1 Rámcové dohody:
jméno „.................. ........................ .........
jménem . ........ ...................“
2. Doplňuje se příloha č. 7 v tomto znění:
Smlouva o zpracování osobních údajů (vzor)
uzavřená níže uvedeného dne, měsíce a roku mezi:
Ředitelství silnic a dálnic ČR Na Pankráci 546/56, 140 00 Praha 4
se sídlem 65993390
IČO: CZ65993390
DIČ: příspěvková organizace
právní forma: .......... ..........................................
bankovní spojení: ........ ...........................................
zastoupeno: ............. .............
osoba oprávněná k podpisu smlouvy: [bude doplněno]
kontaktní osoba ve věcech smluvních: [bude doplněno]
e-mail: [bude doplněno]
tel: Pověřenec pro ochranu osobních údajů (DPO)
kontaktní osoba ve věcech technických: dpo@rsd.cz
e-mail: 241 084 420
tel:
(dále jen „Správce”)
a
[zpracovatel doplní svůj název]
se sídlem [doplní zpracovatel]
IČO: [doplní zpracovatel]
DIČ: [doplní zpracovatel]
zápis v obchodním rejstříku: [doplní zpracovatel]
právní forma: [doplní zpracovatel]
bankovní spojení: [doplní zpracovatel]
zastoupen: [doplní zpracovatel]
kontaktní osoba ve věcech smluvních: [doplní zpracovatel]
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
kontaktní osoba ve věcech technických: [doplní zpracovatel]
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
(dále jen „Zpracovatel“ nebo „Prvotní Zpracovatel“)
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
(Správce a Zpracovatel společně dále také jako „Smluvní strany“)
Preambule
Vzhledem k tomu, že Zpracovatel v průběhu poskytování Služeb a/nebo Produktů Správci může
zpracovávat Osobní údaje Správce, považují Smluvní strany za zásadní, aby při zpracování těchto
osobních údajů byla zajištěna vysoká úroveň ochrany práv a svobod fyzických osob ve vztahu
k takovému zpracování osobních údajů a toto zpracování bylo v souladu s Předpisy na ochranu
osobních údajů, a to zejm. s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne
27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů),
a proto Smluvní strany uzavírají tuto smlouvu o ochraně osobních údajů (dále jen „Smlouva“).
1. Definice
Pro účely této Smlouvy se následující pojmy vykládají takto:
„EHP“ se rozumí Evropský hospodářský prostor.
„GDPR“ se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna
2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve znění
opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016.
„Hlavní smlouvou1se rozumí smluvní vztah či smluvní vztahy založené mezi Správcem a Zpra
covatelem na základě uzavřených platných a účinných smluv vymezených v příloze č. 1 této
Smlouvy.
„Osobními údaji Správce“ se rozumí osobní údaje popsané v příloze č. 1 této Smlouvy a veškeré
další osobní údaje zpracovávané Zpracovatelem jménem Správce podle a/nebo v souvislosti s
Hlavní smlouvou.
„Podzpracovatelem“ se rozumí jakýkoli zpracovatel osobních údajů (včetně jakékoli třetí strany)
zapojený Zpracovatelem do zpracování Osobních údajů Správce jménem Správce. Za podmínek
stanovených touto Smlouvou je Podzpracovatel oprávněn zapojit do zpracování Osobních údajů
Správce dalšího Podzpracovatele (tzv. řetězení podzpracovatelů).
„Pokynem“ se rozumí písemný pokyn Správce Zpracovateli týkající se zpracování Osobních údajů
Správce. Zpracovatel je povinen kdykoliv v průběhu zpracování osobních údajů prokázat existenci
a obsah Pokynu.
„Porušením zabezpečení osobních údajů“ se rozumí takové porušení zabezpečení osobních
údajů, které vede nebo může přímo vést k neoprávněnému přístupu nebo k neoprávněné či naho
dilé změně, zničení, vyzrazení či ztrátě osobních údajů, případně k neoprávněnému vyzrazení
nebo přístupu k uloženým, přenášeným nebo jinak zpracovávaným Osobním údajům Správce.
„Produkty“ se rozumí Produkty, které má Zpracovatel poskytnout Správci dle Hlavní smlouvy.
„Předpisy o ochraně osobních údajů“ se rozumí Nařízení Evropského parlamentu a Rady (EU)
č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osob
ních údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o
ochraně osobních údajů) ve znění opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze
dne 4. května 2016, jakož i veškeré národní předpisy upravující ochranu osobních údajů.
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
„Schválenými Podzpracovateli“ se rozumějí: (a) Podzpracovatelé uvedení v příloze č. 3 této
Smlouvy (autorizované předání Osobních údajů Správce); a (b) případně další dílčí Podzpracova
telé předem písemně povolení Správcem v souladu se kapitolou 6 této Smlouvy. Nejedná se o
osoby, které zpracovávají osobní údaje pro zpracovatele na základě pracovní smlouvy, dohody o
provedení práce či dohody o provedení činnosti nebo osoby, které se při provádění svých služeb,
tj. plnění smlouvy s objednatelem (jinak zpracovatelem osobních údajů), mohou pouze nahodile
dostat do styku s osobními údaji, aniž by osobní údaje jakkoliv zpracovávaly.
„Službami“ se rozumí Služby, které má Zpracovatel poskytnout Správci podle Hlavní smlouvy.
„Standardními smluvními doložkami1se rozumí standardní smluvní doložky pro předávání osob
ních údajů zpracovatelům usazeným ve třetích zemích schválené rozhodnutím Evropské komise
2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení schválených Evropskou ko
misí, který je mění, doplňuje nebo nahrazuje.
„Třetí zemí“ se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy je tato země před
mětem platného a účinného rozhodnutí Evropské komise o odpovídající ochraně osobních údajů
ve třetích zemích.
„Vymazáním11se rozumí odstranění nebo zničení Osobních údajů Správce tak, aby nemohly být
obnoveny nebo rekonstruovány.
„Zásadami zpracování osobních údajů“ se rozumí zásada zákonnosti, korektnosti, transparent
nosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity
a důvěrnosti. Smluvní strany berou na vědomí, že jakékoliv zpracování osobních údajů či jakýkoliv
výklad této Smlouvy musí být v souladu s těmito zásadami. Dokument Zásady zpracování osob
ních údajů je k dispozici na internetových stránkách www.rsd.cz v záložce Organizace pod odka
zem GDPR.
„Zpracování1, „správce“, „zpracovatel1, „subjekt údajů“, „osobní údaje“, „zvláštní kategorie
osobních údajů“ a jakékoli další obecné definice neuvedené v této Smlouvě nebo v Hlavní
smlouvě mají stejný význam jako v GDPR.
2. Podmínky zpracování Osobních údajů Správce
2.1. V průběhu poskytování Služeb a/nebo Produktů Správci podle Hlavní smlouvy je Zpracova
tel oprávněn zpracovávat Osobní údaje Správce jménem Správce pouze za podmínek této
Smlouvy a na základě Pokynů Správce. Zpracovatel se zavazuje, že bude po celou dobu
zpracování dodržovat následující ustanovení týkající se ochrany Osobních údajů Správce.
2.2. V rozsahu požadovaném platnými a účinnými Předpisy o ochraně osobních údajů musí Zpra
covatel získat a uchovávat veškeré potřebné licence, oprávnění a povolení potřebné k zpra
cování Osobních údajů Správce včetně osobních údajů uvedených v příloze č. 1 této
Smlouvy.
2.3. Zpracovatel musí dodržovat veškerá technická a organizační opatření pro splnění poža
davků uvedených v této Smlouvě a jejích přílohách. Zpracovatel je dále povinen dbát Zásad
zpracování osobních údajů a za všech okolností tyto zásady dodržovat.
2.4. Pro účely komunikace a zajištění součinnosti Správce a Zpracovatele navzájem (zejm. v pří
padech porušení zabezpečení osobních údajů, předávání žádostí subjektů údajů), není-li
v konkrétním případě určeno jinak, pověřily Smluvní strany tyto osoby:
2.4.1. osoba pověřená Správcem: ................... ................ ........... ....................................
..........................
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
2.4.2. osoba pověřená Zpracovatelem: [doplní zpracovatel], e-mail: [doplní zpracovatel],
tel: [doplní zpracovatel].
Obě strany jsou povinny na zaslání podání neprodleně reagovat nejpozději však do 48 hodin od
zaslání.
3. Zpracování Osobních údajů Správce
3.1. Zpracovatel zpracovává Osobní údaje Správce pouze pro účely plnění Hlavní smlouvy nebo
pro plnění poskytované na základě Hlavní smlouvy (viz příloha č. 1 této Smlouvy). Zpraco
vatel nesmí zpracovávat, předávat, upravovat nebo měnit Osobní údaje Správce nebo zve
řejnit či povolit zveřejnění Osobních údajů Správce jiné třetí osobě jinak než v souladu s touto
Smlouvou nebo s Pokyny Správce, pokud takové zveřejnění není vyžadováno právem EU
nebo členského státu, kterému Zpracovatel podléhá. Zpracovatel v rozsahu povoleném ta
kovým zákonem informuje Správce o tomto zákonném požadavku před zahájením zpraco
vání Osobních údajů Správce a dodržuje pokyny Správce, aby co nejvíce omezil rozsah zve
řejnění.
3.2. Zpracovatel neprodleně nebo bez zbytečného odkladu od obdržení Pokynu informuje
Správce v případě, kdy podle jeho názoru vzhledem k jeho odborným znalostem a zkuše
nostem takový Pokyn porušuje Předpisy o ochraně osobních údajů.
3.3. Zpracovatel bere na vědomí, že není oprávněn určit účely a prostředky zpracování Osobních
údajů Správce a pokud by Zpracovatel toto porušil, považuje se ve vztahu k takovému zpra
cování za správce.
3.4. Pro účely zpracování uvedeného výše tímto Správce instruuje Zpracovatele, aby předával
Osobní údaje Správce příjemcům ve třetích zemích uvedených v příloze č. 3 této Smlouvy
(Autorizované předávání Osobních údajů Správce) vždy za předpokladu, že taková osoba
splní požadavky uvedené v kapitole 6 této Smlouvy.
4. Spolehlivost Zpracovatele
4.1. Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost každého zaměstnance, jeho zá
stupce nebo dodavatele, kteří mohou mít přístup k Osobním údajům Správce, přičemž zajistí,
aby byl přístup omezen výhradně na ty osoby, jejichž činnost vyžaduje přístup k příslušným
Osobním údajům Správce. Zpracovatel vede seznam osob oprávněných zpracovávat osobní
údaje Správce a osob, které mají k těmto osobním údajům přístup, přičemž sleduje a pravi
delně přezkoumává, že se jedná o osoby dle tohoto odstavce.
4.2. Zpracovatel musí zajistit, aby všechny osoby, které zapojil do zpracování Osobních údajů
Správce:
4.2.1. byly informovány o důvěrné povaze Osobních údajů Správce a byly si vědomy po
vinností Zpracovatele vyplývajících z této Smlouvy, Hlavní smlouvy, Pokynů a plat
ných a účinných Předpisů o ochraně osobních údajů, a zavázaly se tyto povinnosti
dodržovat ve stejném rozsahu, zejm. aby zachovávaly mlčenlivost o osobních úda
jích a přijatých opatřeních k jejich ochraně, a to i po skončení jejich pracovněprávního
nebo jiného smluvního vztahu ke Zpracovateli;
4.2.2. byly přiměřeně školeny/certifikovány ve vztahu k Předpisům o ochraně osobních
údajů nebo dle Pokynů Správce;
4.2.3. podléhaly závazku důvěrnosti nebo profesním či zákonným povinnostem zachovávat
mlčenlivost;
4.2.4. používaly pouze bezpečný hardware a software a dodržovaly zásady bezpečného
používání výpočetní techniky;
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
4.2.5. podléhaly procesům autentizace uživatelů a přihlašování při přístupu k Osobním úda
jům Správce v souladu s touto Smlouvou, Hlavní smlouvou, Pokyny a platnými a
účinnými Předpisy o ochraně osobních údajů;
4.2.6. zabránily neoprávněnému čtení, pozměnění, smazání či znepřístupnění Osobních
údajů Správce, nevytvářely kopie nosičů osobních údajů pro jinou než pracovní po
třebu a neumožnily takové jednání ani jiným osobám a případně neprodleně, nejpoz
ději však do 24 hodin od vzniku, hlásily jakékoliv důvodné podezření na ohrožení
bezpečnosti osobních údajů, a to osobě uvedené v kapitole 2 této Smlouvy.
5. Zabezpečení osobních údajů
5.1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a úče
lům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody
fyzických osob, provede Zpracovatel vhodná technická a organizační opatření (příloha č. 2
této Smlouvy), aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:
5.1.1. pseudonymizace a šifrování osobních údajů;
5.1.2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a
služeb zpracování;
5.1.3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzic
kých či technických incidentů;
5.1.4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených
technických a organizačních opatření pro zajištění bezpečnosti zpracování.
5.2. Při posuzování vhodné úrovně bezpečnosti se zohlední rizika, která představuje zpracování,
zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění
předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný pří
stup k nim.
5.3. V případě zpracování osobních údajů více správců je Zpracovatel povinen zpracovávat ta
kové osobní údaje odděleně.
5.4. Konkrétní podmínky zabezpečení jsou uvedeny v příloze č. 2 této Smlouvy a dále v Poky
nech.
6. Další Podzpracovatelé
6.1. Zpracovatel je oprávněn použít ke zpracování Osobních údajů Správce další Podzpracova-
tele uvedené v příloze č. 3 této Smlouvy. Jiné Podzpracovatele je Zpracovatel oprávněn za
pojit do zpracování pouze s předchozím písemným povolením Správce.
6.2. Zpracovatel je povinen u každého Podzpracovatele:
6.2.1. poskytnout Správci úplné informace o zpracování, které má provádět takový Pod-
zpracovatel;
6.2.2. zajistit náležitou úroveň ochrany Osobních údajů Správce, včetně dostatečných zá
ruk pro provedení vhodných technických a organizačních opatření dle této Smlouvy,
Hlavní Smlouvy, Pokynů a platných a účinných Předpisů na ochranu osobních údajů;
6.2.3. zahrnout do smlouvy mezi Zpracovatelem a každým dalším Podzpracovatelem pod
mínky, které jsou shodné s podmínkami stanovenými v této Smlouvě. Pro vyloučení
pochybností si Smluvní strany ujednávají, že v případě tzv. řetězení zpracovatelů (tj.
uzavírání smlouvy o zpracování osobních údajů mezi podzpracovateli) musí tyto
smlouvy splňovat podmínky dle této Smlouvy. Na požádání poskytne Zpracovatel
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
Správci kopii svých smluv s dílčími Podzpracovateli a v případě řetězení podzpraco-
vatelů i kopii smluv uzavřených mezi dalšími Podzpracovateli;
6.2.4. v případě předání Osobních údajů Správce mimo EHP zajistit ve smlouvách mezi
Zpracovatelem a každým dalším Podzpracovatelem Standardní smluvní doložky
nebo jiný mechanismus, který předem schválí Správce, aby byla zajištěna odpovída
jící ochrana předávaných Osobních údajů Správce;
6.2.5. zajistit plnění všech povinností nezbytných pro zachování plné odpovědnosti vůči
Správci za každé selhání každého dílčího Podzpracovatele při plnění jeho povinností
v souvislosti se zpracováním Osobních údajů Správce.
7. Plnění práv subjektů údajů
7.1. Subjekt údajů má na základě své žádosti zejména právo získat od Správce informace týkající
se zpracování svých osobních údajů, žádat jejich opravu či doplnění, podávat námitky proti
zpracování svých osobních údajů či žádat jejich výmaz.
7.2. Vzhledem k povaze zpracovávání Zpracovatel napomáhá Správci při provádění vhodných
technických a organizačních opatření pro splnění povinností Správce reagovat na žádosti o
uplatnění práv subjektu údajů.
7.3. Zpracovatel neprodleně oznámí Správci, pokud obdrží od subjektu údajů, orgánu dohledu
a/nebo jiného příslušného orgánu žádost podle platných a účinných Předpisů o ochraně
osobních údajů, pokud se jedná o Osobní údaje Správce.
7.4. Zpracovatel spolupracuje se Správcem dle jeho potřeb a Pokynů tak, aby Správci umožnil
jakýkoli výkon práv subjektu údajů podle Předpisů o ochraně osobních údajů, pokud jde o
Osobní údaje Správce, a vyhověl jakémukoli požadavku, dotazu, oznámení nebo šetření dle
Předpisů o ochraně osobních údajů nebo dle této Smlouvy, což zahrnuje:
7.4.1. poskytnutí veškerých údajů požadovaných Správcem v přiměřeném časovém období
specifikovaném Správcem, a to ve všech případech a včetně úplných podrobností a
kopií stížnosti, sdělení nebo žádosti a jakýchkoli Osobních údajů Správce, které
Zpracovatel ve vztahu k subjektu údajů zpracovává;
7.4.2. poskytnutí takové asistence, kterou může Správce rozumně požadovat, aby mohl
vyhovět příslušné žádosti ve lhůtách stanovených Předpisy o ochraně osobních
údajů;
7.4.3. implementaci dodatečných technických a organizačních opatření, které může
Správce rozumně požadovat, aby mohl účinně reagovat na příslušné stížnosti, sdě
lení nebo žádosti.
8. Porušení zabezpečení osobních údajů
8.1. Zpracovatel je povinen bez zbytečného odkladu a v každém případě nejpozději do 24 hodin
od zjištění porušení informovat Správce o tom, že došlo k porušení zabezpečení Osobních
údajů Správce nebo existuje důvodné podezření z porušení zabezpečení Osobních údajů
Správce. Zpracovatel poskytne Správci dostatečné informace, které mu umožní splnit veš
keré povinnosti týkající ohlašování a oznamování případů porušení zabezpečení osobních
údajů podle Předpisů o ochraně osobních údajů. Takové oznámení musí přinejmenším:
8.1.1. popisovat povahu porušení zabezpečení osobních údajů, kategorie a počty dotče
ných subjektů údajů a kategorie a specifikace záznamů o osobních údajích;
8.1.2. jméno a kontaktní údaje pověřence pro ochranu osobních údajů Zpracovatele nebo
jiného příslušného kontaktu, od něhož lze získat více informací;
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
8.1.3. popisovat odhadované riziko a pravděpodobné důsledky porušení zabezpečení
osobních údajů;
8.1.4. popisovat opatření přijatá nebo navržená k řešení porušení zabezpečení osobních
údajů.
8.2. Zpracovatel spolupracuje se Správcem a podniká takové přiměřené kroky, které jsou řízeny
Správcem, aby napomáhal vyšetřování, zmírňování a nápravě každého porušení osobních
údajů.
8.3. V případě porušení zabezpečení osobních údajů Zpracovatel neinformuje žádnou třetí stranu
bez předchozího písemného souhlasu Správce, pokud takové oznámení nevyžaduje právo
EU nebo členského státu, které se na Zpracovatele vztahuje. V takovém případě je Zpraco
vatel povinen, v rozsahu povoleném takovým právem, informovat Správce o tomto právním
požadavku, poskytnout kopii navrhovaného oznámení a zvážit veškeré připomínky, které
provedl Správce před tím, než porušení zabezpečení osobních údajů oznámí.
9. Posouzení vlivu na ochranu osobních údajů a předchozí konzultace
9.1. Zpracovatel poskytne Správci přiměřenou pomoc ve všech případech posouzení vlivu na
ochranu osobních údajů, které jsou vyžadovány čl. 35 GDPR, a s veškerými předchozími
konzultacemi s jakýmkoli dozorovým úřadem Správce, které jsou požadovány podle čl. 36
GDPR, a to vždy pouze ve vztahu ke zpracovávání Osobních údajů Správce Zpracovatelem
a s ohledem na povahu zpracování a informace, které má Zpracovatel k dispozici.
10. Vymazání nebo vrácení Osobních údajů Správce
10.1. Zpracovatel musí neprodleně a v každém případě do 90 (devadesáti) kalendářních dnů po:
(i) ukončení zpracování Osobních údajů Správce Zpracovatelem nebo (ii) ukončení Hlavní
smlouvy, podle volby Správce (tato volba bude písemně oznámena Zpracovateli Pokynem
Správce) buď:
10.1.1. vrátit úplnou kopii všech Osobních údajů Správce Správci zabezpečeným přenosem
datových souborů v takovém formátu, jaký oznámil Správce Zpracovateli a dále bez
pečně a prokazatelně vymazat všechny ostatní kopie Osobních údajů Správce zpra
covávaných Zpracovatelem nebo jakýmkoli autorizovaným dílčím Podzpracovate-
lem; nebo
10.1.2. bezpečně a prokazatelně smazat všechny kopie Osobních údajů Správce zpracová
vaných Zpracovatelem nebo jakýmkoli dalším Podzpracovatelem, přičemž Zpraco
vatel poskytněte Správci písemné osvědčení, že plně splnil požadavky kapitoly 10
této Smlouvy.
10.2. Zpracovatel může uchovávat Osobní údaje Správce v rozsahu požadovaném právními před
pisy Unie nebo členského státu a pouze v rozsahu a po dobu požadovanou právními před
pisy Unie nebo členského státu a za předpokladu, že Zpracovatel zajistí důvěrnost všech
těchto osobních údajů Správce a zajistí, aby tyto osobní údaje Správce byly zpracovávány
pouze pro účely uvedené v právních předpisech Unie nebo členského státu, které vyžadují
jejich ukládání, a nikoliv pro žádný jiný účel.
11. Právo na audit
11.1. Zpracovatel na požádání zpřístupní Správci veškeré informace nezbytné k prokázání sou
ladu s platnými a účinnými Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny a
dále umožní audity a inspekce ze strany Správce nebo jiného auditora pověřeného Správ
cem ve všech místech, kde probíhá zpracování Osobních údajů Správce. Zpracovatel
umožní Správci nebo jinému auditorovi pověřenému Správcem kontrolovat, auditovat a ko
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
pírovat všechny příslušné záznamy, procesy a systémy, aby Správce mohl ověřit, že zpra
cování Osobních údajů Správce je v souladu s platnými a účinnými Předpisy o ochraně
osobních údajů, touto Smlouvou a Pokyny. Zpracovatel poskytne Správci plnou spolupráci a
na žádost Správce poskytne Správci důkazy o plnění svých povinností podle této Smlouvy.
Zpracovatel neprodleně uvědomí Správce, pokud podle jeho názoru zde uvedené právo na
audit porušuje Předpisy o ochraně osobních údajů. Zpracovatel může prokázat plnění do
hodnutých povinností týkajících se ochrany údajů, důkazem o dodržování schváleného me
chanizmu certifikace ISO norem, kontroly se pak mohou omezit pouze na vybrané procesy.
11.2. Zpracovatel je povinen zajistit výkon práva Správce dle předchozího odstavce také u všech
Podzpracovatelů.
12. Mezinárodní předávání Osobních údajů Správce
12.1. Zpracovatel nesmí zpracovávat Osobní údaje Správce sám ani prostřednictvím Podzpraco-
vatele ve třetí zemi, s výjimkou těch příjemců ve třetích zemích (pokud existují) uvedených
v příloze č. 3 této Smlouvy (autorizované předání Osobních údajů Správce), není-li to pře
dem písemně schváleno Správcem.
12.2. Zpracovatel na žádost Správce okamžitě se Správcem uzavře (nebo zajistí, aby uzavřel ja
kýkoli příslušný dílčí Podzpracovatel) smlouvu včetně Standardních smluvních doložek
a/nebo obdobných doložek, které mohou vyžadovat Předpisy o ochraně osobních údajů, po
kud jde o jakékoli zpracování Osobních údajů Správce ve třetí zemi.
13. Všeobecné podmínky
13.1. Smluvní strany si ujednaly, že tato Smlouva zanikne s ukončením účinnosti Hlavní smlouvy.
Tím nejsou dotčeny povinnosti Zpracovatele, které dle této Smlouvy či ze své povahy trvají i
po jejím zániku.
13.2. Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.
13.3. Jakékoli porušení této Smlouvy představuje závažné porušení Hlavní smlouvy. V případě
existence více smluvních vztahů se jedná o porušení každé smlouvy, dle které probíhalo
zpracování Osobních údajů Správce.
13.4. V případě nesrovnalostí mezi ustanoveními této Smlouvy a jakýchkoli jiných dohod mezi
Smluvními stranami, včetně, avšak nikoliv výlučně, Hlavní smlouvy, mají ustanovení této
Smlouvy přednost před povinnostmi Smluvních stran týkajících se ochrany osobních údajů.
13.5. Pokud se ukáže některé ustanovení této Smlouvy neplatné, neúčinné nebo nevymahatelné,
zbývající části Smlouvy zůstávají v platnosti. Ohledně neplatného, neúčinného nebo nevy-
mahatelného ustanovení se Smluvní strany zavazují, že (i) dodatkem k této Smlouvě upraví
tak, aby byla zajištěna jeho platnost, účinnost a vymahatelnost, a to při co největším zacho
vání původních záměrů Smluvních stran nebo, pokud to není možné, (ii) budou vykládat toto
ustanovení způsobem, jako by neplatná, neúčinná nebo nevymahatelná část nebyla nikdy
v této Smlouvě obsažena.
13.6. Tato Smlouva je sepsána v 4 stejnopisech, přičemž Správce obdrží po 2 vyhotovení
a Zpracovatel 2 vyhotovení.
13.7. Veškeré změny této Smlouvy je možné provést formou vzestupně číslovaných písemných
dodatků podepsaných oběma Smluvními stranami. Pro vyloučení všech pochybností si
Smluvní strany ujednávají, že tímto ustanovením není dotčeno udělení Pokynu Správce
ke zpracování Osobních údajů Správce, který tato Smlouva předvídá.
13.8. Tato Smlouva nabývá účinnosti dnem podpisu obou Smluvních stran.
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
(„Správce“) („Zpracovatel“)
V dne V dne
[bude doplněno] [jméno a funkce doplní zpracovatel]
PŘÍLOHA č. 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE
Tato příloha 1 obsahuje některé podrobnosti o zpracování osobních údajů správce, jak vyžaduje
čl. 28 odst. 3 GDPR.
[konkrétní výčet smluvních vztahů doplní zpracovatel]
1 Předmět a trvání zpracování osobních údajů Správce
Předmětem zpracování osobních údajů jsou tyto kategorie:
[Zde uveďte kategorie zpracovávaných osobních údajů - např. adresní a identifikační údaje; po
pisné (výška, váha, atd.; údaje třetích osob; zvláštní kategorie os. údajů; jiné (fotografie, kame
rové záznamy)]
Doba trvání zpracování osobních údajů Správce je totožná s dobou trvání Hlavní smlouvy, pokud
z ustanovení Smlouvy nebo z Pokynu Správce nevyplývá, že mají trvat i po zániku její účinnosti.
2 Povaha a účel zpracování osobních údajů správce
Povaha zpracování osobních údajů Správce Zpracovatelem je: prosím zaškrtněte Vás týkající se
□ Zpracování
□ Automatizované zpracování
□ Profilování nebo automatizované rozhodování
Účelem zpracování osobních údajů Správce Zpracovatelem je:
[Popište zde, např. příprava stavby,...]
3 Druh osobních údajů správce, které mají být zpracovány
Druh osobních údajů (zaškrtněte):
□ Osobní údaje (viz výše odst. 1)
□ Osobní údaje zvláštní kategorie dle čl. 9 GDPR [Uveďte zde konkrétní typy údajů]
4 Kategorie subjektů údajů, které jsou zpracovávány pro správce
[Uveďte zde kategorie subjektů údajů - např. vlastníci pozemků, zaměstnanci.]
Pozn. takto podbarvené části slouží k doplnění zpracovatelem, před podpisem tento text vy
mažte.
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
14. Organizační bezpečnostní opatření
14.1. Správa zabezpečení
a. Bezpečnostní politika a postupy: Zpracovatel musí mít dokumentovanou bezpečnostní
politiku týkající se zpracování osobních údajů.
b. Role a odpovědnosti:
i. role a odpovědnosti související se zpracováním osobních údajů jsou jasně defi
novány a přiděleny v souladu s bezpečnostní politikou;
ii. během interních reorganizací nebo při ukončení a změně zaměstnání je ve
shodě s příslušnými postupy jasně definováno zrušení práv a povinností.
c. Politika řízení přístupu: každé roli, která se podílí na zpracování osobních údajů, jsou
přidělena specifická práva k řízení přístupu podle zásady "need-to-know."
d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro zpracování osob
ních údajů (hardwaru, softwaru a sítě). Je určena konkrétní osoba, která je odpovědná
za udržování a aktualizaci tohoto registru (např. manažer IT).
e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly registrovány
a monitorovány konkrétní osobou (např. IT manažer nebo manažer bezpečnosti). Je za
vedeno pravidelné monitorování tohoto procesu.
14.2. Reakce na incidenty a kontinuita provozu
a. Řízení incidentů / porušení osobních údajů:
i. je definován plán reakce na incidenty s podrobnými postupy, aby byla zajištěna
účinná a včasná reakce na incidenty týkající se osobních údajů;
ii. Zpracovatel bude bez zbytečného odkladu informovat Správce o jakémkoli bez
pečnostním incidentu, který vedl ke ztrátě, zneužití nebo neoprávněnému získání
jakýchkoli osobních údajů.
b. Kontinuita provozu: Zpracovatel stanoví hlavní postupy a opatření, které jsou dodržovány
pro zajištění požadované úrovně kontinuity a dostupnosti systému zpracování osobních
údajů (v případě incidentu / porušení osobních údajů).
14.3. Lidské zdroje
a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby všichni zaměstnanci rozuměli svým
odpovědnostem a povinnostem týkajících se zpracování osobních údajů; role a odpo
vědnost jsou jasně komunikovány během procesu před nástupem do zaměstnání a /
nebo při zácviku;
b. Školení: Zpracovatel zajišťuje, že všichni zaměstnanci jsou dostatečně informováni
o bezpečnostních opatřeních IT systému, která se vztahují k jejich každodenní práci; za
městnanci, kteří se podílejí na zpracování osobních údajů, jsou rovněž řádně informováni
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
o příslušných požadavcích na ochranu osobních údajů a právních závazcích prostřed
nictvím pravidelných informačních kampaní.
15. Technická bezpečnostní opatření
15.1. Kontrola přístupu a autentizace
a. Je implementován systém řízení přístupu, který je použitelný pro všechny uživatele při
stupující k IT systému. Systém umožňuje vytvářet, schvalovat, kontrolovat a odstraňovat
uživatelské účty.
b. Je vyloučeno používání sdílených uživatelských účtů. V případech, kdy je to nezbytné je
zajištěno, že všichni uživatelé společného účtu mají stejné role a povinnosti.
c. Při poskytování přístupu nebo přiřazování uživatelských rolí je nutno dodržovat zásadu
"need-to-know", aby se omezil počet uživatelů, kteří mají přístup k osobním údajům
pouze na ty, kteří je potřebují pro naplnění procesních cílů zpracovatele.
d. Tam, kde jsou mechanismy autentizace založeny na heslech, Zpracovatel zajišťuje, aby
heslo mělo alespoň osm znaků a vyhovovalo požadavkům na velmi silná hesla, včetně
délky, složitosti znaků a neopakovatelnosti.
e. Autentifikační pověření (například uživatelské jméno a heslo) se nikdy nesmějí předávat
přes síť.
15.2. Logování a monitorování
a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro zpracování osob
ních údajů. Log soubory obsahují všechny typy přístupu k údajům (zobrazení, modifi
kace, odstranění).
15.3. Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze
i. Databázové a aplikační servery jsou nakonfigurovány tak, aby fungovaly po
mocí samostatného účtu s minimálním oprávněním operačního systému pro
zajištění řádné funkce.
ii. Databázové a aplikační servery zpracovávají pouze osobní údaje, které jsou
pro naplnění účelů zpracování skutečně nezbytné.
b. Zabezpečení pracovní stanice
i. Uživatelé nemohou deaktivovat nebo obejít nastavení zabezpečení.
ii. Jsou pravidelně aktualizovány antivirové aplikace a detekční signatury.
iii. Uživatelé nemají oprávnění k instalaci nebo aktivaci neoprávněných softwa
rových aplikací.
iv. Systém má nastaveny časové limity pro odhlášení, pokud uživatel není po
určitou dobu aktivní.
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
v. Jsou pravidelně instalovány kritické bezpečnostní aktualizace vydané vývo
jářem operačního systému.
15.4. Zabezpečení sítě / komunikace
a. Kdykoli je přístup prováděn přes internet, je komunikace šifrována pomocí kryptografic-
kých protokolů.
b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a IDS (Intrusion
Detection Systems).
15.5. Zálohování
a. Jsou definovány postupy zálohování a obnovení údajů, jsou zdokumentovány a jasně
spojeny s úlohami a povinnostmi.
b. Zálohování je poskytována odpovídající úroveň fyzické ochrany a ochrany životního pro
středí.
c. Je monitorována úplnost prováděních záloh.
15.6. Mobilní / přenosná zařízení
a. Jsou definovány a dokumentovány postupy pro řízení mobilních a přenosných zařízení
a jsou stanovena jasná pravidla pro jejich správné používání.
b. Jsou předem registrována a předem autorizována mobilní zařízení, která mají přístup
k informačnímu systému.
15.7. Zabezpečení životního cyklu aplikace
a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepší a nejmodernějších po
stupy a uznávané postupy bezpečného vývoje nebo odpovídající normy.
15.8. Vymazání / odstranění údajů
a. Před vyřazením médií bude provedeno jejich přepsání při použití software. V případech,
kdy to není možné (CD, DVD atd.), bude provedena jejich fyzická likvidace / destrukce.
b. Je prováděna skartace papírových dokumentů a přenosných médií sloužících k ukládání
osobních údajů.
15.9. Fyzická bezpečnost
a. Fyzický perimetr infrastruktury informačního systému není přístupný neoprávněným oso
bám. Musí být zavedena vhodná technická opatření (např. turniket ovládaný čipovou
kartou, vstupní zámky) nebo organizační opatření (např. bezpečnostní ostraha) pro
ochranu zabezpečených oblastí a jejich přístupových míst proti vstupu neoprávněných
osob.
Nákup kamenné soli (NaCl) na posyp komunikací pro ZÚ 2020/21 - 2022/23 - SSÚD 6, 7 a 20
PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE
Seznam schválených podzpracovatelů. Uveďte prosím (i) úplný název podzpracovatele; (ii) čin
nosti zpracování; (iii) umístění středisek služeb.
Č. Schválený podzpracovatel Činnost zpracování Umístění středisek služeb
1. [doplní zpracovatel]