Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Smlouva o zpracování osobních údajů č. CTU/2021_101
A. Česká republika – Český telekomunikační úřad
se sídlem: Sokolovská 58/219, Praha 9 – Vysočany
doručovací adresa: pošt. přihrádka 02, 225 02 Praha 025
IČO: 701 06 975
DIČ: CZ70106975 (osoba identifikovaná k dani)
zastoupený: Mgr. Ing. Hanou Továrkovou
předsedkyní Rady Českého telekomunikačního úřadu
Bankovní spojení: Česká národní banka, pobočka Praha
Číslo účtu: 725001/0710
Číslo smlouvy: CTU/2021_101
(dále také „Objednatel“)
a
B. CHAPS spol. s r.o.
se sídlem: Bráfova 1617/21, Žabovřesky, 616 00 Brno
IČO: 475 47 022
DIČ: CZ47547022
zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 17631
zastoupená: Ing. Tomášem Vackem, jednatelem
Martinem Siegelem, DiS, jednatelem
Bankovní spojení: Komerční banka, a.s.
Číslo účtu: 27-0502800227/0100
Číslo smlouvy: 2021/223/DŠ
(dále také „Zhotovitel“)
(Objednatel a Zhotovitel dále společně také „Strany“ nebo jednotlivě „Strana“),
uzavřely tuto smlouvu o zpracování osobních údajů (dále také „Zpracovatelská smlouva“):
1. ÚVODNÍ USTANOVENÍ
1.1. Zhotovitel se na základě smlouvy o dílo č. CTU/2020_017 uzavřené dne 9. července 2020, ve
znění dodatku č. 1 (dále také „Smlouva“) zavázal provést pro Objednatele Dílo tak, jak je
uvedeno v čl. I Smlouvy, a dále mu poskytovat podporu Díla za podmínek stanovených v Příloze
č. 2 Smlouvy, k čemuž uzavřeli Objednatel a Zhotovitel smlouvu o servisní podpoře
č. CTU/2021_014 (dále také „Smlouva o servisní podpoře“) a další činnosti, při kterých může
docházet k práci s osobními údaji (vše výše uvedené dále také „Služby“). Osobními údaji se pro
účely této Zpracovatelské smlouvy rozumí osobní údaje nebo jakékoli identifikátory subjektů
údajů, kterými jsou zejména zaměstnanci a pracovníci Objednatele, uživatelé Srovnávacího
nástroje, subjekty údajů, o kterých Srovnávací nástroj uchovává data a další subjekty údajů,
jejichž osobní údaje byly Zhotoviteli předány či případně zpřístupněny pro účel poskytnutí Služeb
a plnění dalších povinností dle Smlouvy (dále také „Osobní údaje“).
1.2. V rámci poskytování Služeb může docházet ke zpracování Osobních údajů Zhotovitelem. Tato
Zpracovatelská smlouva upravuje v návaznosti na čl. V odst. 2 Smlouvy, resp. čl. XI odst. 2
Smlouvy o servisní podpoře podmínky zpracování osobních údajů Objednatelem jako správcem
Osobních údajů a Zhotovitelem jako zpracovatelem Osobních údajů ve smyslu čl. 28 nařízení
Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob
v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (dále jen „GDPR“).
2. ÚLOHY A POKYNY PRO ZPRACOVÁNÍ ÚDAJŮ
2.1. Strany berou na vědomí a souhlasí s tím, že:
a) Zhotovitel je zpracovatelem Osobních údajů,
b) Objednatel je správcem, případně zpracovatelem Osobních údajů,
c) obě Strany se zavazují plnit své povinnosti vyplývající z platných právních předpisů, které
se vztahují na zpracování Osobních údajů.
2.2. Zhotovitel bude zpracovávat Osobní údaje pouze v souladu s platnými právními předpisy a za
účelem: a) poskytování Služeb pro Objednatele, a b) jak je dále uvedeno v dalších písemných
pokynech udělených Objednatelem.
2.3. Za písemný pokyn dle čl. 2.2. této Zpracovatelské smlouvy se považuje také pokyn učiněný
prostřednictvím komunikačních nástrojů (HelpDesk, Trello) uvedených ve Smlouvě o servisní
podpoře.
3. DOBA TRVÁNÍ ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3.1. Zhotovitel bude Osobní údaje zpracovávat pouze po dobu trvání Smlouvy a Smlouvy o servisní
podpoře nebo do doby výmazu všech Osobních údajů ze strany Zhotovitele dle této
Zpracovatelské smlouvy, a to vždy na základě jednoznačného požadavku Objednatele
k provedení této činnosti.
4. POVAHA A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
4.1. Zhotovitel může pro účely poskytování Služeb Objednateli zpracovávat Osobní údaje, a to
v elektronické a písemné formě, přičemž předmětem zpracování může být migrace dat (včetně
realizace exitové politiky), analýza, tvorba rozhraní a dokumentace a další činnosti potřebné pro
poskytování Služeb.
4.2. Účelem zpracování osobních údajů bude poskytování Služeb.
5. DRUHY OSOBNÍCH ÚDAJŮ
5.1. Předmětem zpracování podle této Zpracovatelské smlouvy budou všechny Osobní údaje, které
jsou uchovávány ve Srovnávacím nástroji, a k jejichž zpracování byl na základě písemného
zmocnění či Zpracovatelské smlouvy Zhotovitel pověřen. Objednatel vždy vymezí rozsah a účel
pověření, dobu zpřístupnění a případná bezpečnostní opatření a zapojení dalších osob odlišných
od autorizovaných osob Zhotovitele.
6. KATEGORIE SUBJEKTŮ ÚDAJŮ
6.1. Osobní údaje se budou týkat těchto kategorií subjektů údajů:
a) zaměstnanci a pracovníci Objednatele;
b) uživatelé Srovnávacího nástroje;
c) subjekty údajů, o kterých Srovnávací nástroj uchovává data;
d) další subjekty údajů, jejichž osobní údaje byly Zhotoviteli předány pro účel poskytnutí
Služeb a plnění dalších povinností dle Smlouvy.
7. PRÁVA A POVINNOSTI STRAN
7.1. Zhotovitel prohlašuje a zavazuje se, že:
a) dozví-li se o porušení nebo hrozícím porušení zabezpečení Osobních údajů, náhodném
nebo protiprávním zničení, ztrátě, změně nebo neoprávněném poskytnutí či zpřístupnění
zpracovávaných Osobních údajů, neprodleně, nejpozději však do 24 (dvaceti čtyř) hodin,
písemně informuje Objednatele a co nejlépe popíše vzniklé či hrozící bezpečnostní riziko,
přičemž Objednateli sdělí vhodná opatření pro zabránění nebo minimalizaci porušení
zabezpečení Služby a přijme veškerá potřebná opatření pro minimalizaci škody;
b) bude Osobní údaje zpracovávat pouze v rámci EU či EHP;
c) Osobní údaje budou zabezpečeny v souladu s čl. 8 této Zpracovatelské smlouvy;
d) Osobní údaje bude zpracovávat pouze v souladu s touto Zpracovatelskou smlouvou, nebo
na základě jiných písemných pokynů Objednatele; pro případné další účely zpracování je
nutný vždy předchozí písemný souhlas Objednatele;
e) zajistí, aby osoby, které se budou na straně Zhotovitele podílet na plnění této
Zpracovatelské smlouvy, při styku nebo nakládání s Osobními údaj nepořizovaly kopie
Osobních údajů bez předchozího písemného souhlasu Objednatele a aby jejich činností
nebo opomenutím nedošlo k náhodnému nebo protiprávnímu zničení, ztrátě či pozměnění
Osobních údajů, nebo k jejich neoprávněnému zpřístupnění třetím osobám;
f) bude Objednateli nápomocen při zavádění a udržování vhodných technických
a organizačních opatření k zabezpečení Osobních údajů, při ohlašování porušení
zabezpečení osobních údajů dozorovému úřadu nebo subjektu údajů, při posuzování vlivu
na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem;
g) zajistí Objednateli prostřednictvím vhodných technických a organizačních opatření
součinnost, nejpozději do 14 (čtrnácti) dnů od vznesení požadavku Objednatele, pro
splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů či
poskytnutí informace o zpracování osobních údajů;
h) poskytne Objednateli na jeho žádost neprodleně, nejpozději však do jednoho týdne,
veškerou součinnost nutnou k prokázání, že jsou Osobní údaje dostatečně organizačně
a technicky zabezpečeny a poskytne veškerou součinnost v případech, kdy je
u Objednatele zahájena kontrola dozorového orgánu a zaváže k této povinnosti i své
pracovníky, od kterých bude potřebná součinnost.
7.2. Pokud Zhotovitel při zpracovávání Osobních údajů obdrží od subjektu údajů ve vztahu k Osobním
údajům jakoukoliv žádost, sdělí Zhotovitel subjektu údajů, aby se s žádostí obrátil přímo na
Objednatele. Zhotovitel se zavazuje poskytnout Objednateli veškerou součinnost potřebnou pro
vyřízení práva subjektů údajů.
7.3. Zhotovitel se zavazuje nevyužívat pro zpracování Osobních údajů jakéhokoliv dalšího
zpracovatele bez předchozího písemného povolení Objednatele a v případě zapojení těchto
dalších zpracovatelů zajistí, aby dodržovali stejné povinnosti na ochranu údajů, jaké jsou uvedeny
v této Zpracovatelské smlouvě. Zhotovitel se rovněž zavazuje nesdělovat a nezpřístupňovat
Osobní údaje třetím stranám a poddodavatelům, kteří nejsou uvedeni v žádné z příloh Smlouvy
bez předchozího písemného souhlasu Objednatele. Objednatel vždy souhlasí se zapojením
dalších zpracovatelů, kteří jsou výslovně uvedeni ve Smlouvě.
7.4. Zhotovitel je povinen umožnit Objednateli či jím pověřené osobě kontrolu (včetně auditu či
inspekce) dodržování této Zpracovatelské smlouvy, zejména povinností pro zpracování Osobních
údajů z nich vyplývajících, a k těmto kontrolám přispěje dle důvodných pokynů Objednatele či
kontrolující osoby. Zhotovitel je povinen zajistit možnost provedení kontroly také u osob, které se
společně se Zhotovitelem podílejí na plnění povinností.
7.5. Jakoukoliv žádost o audit je Objednatel povinen zaslat písemně Zhotoviteli. Po obdržení žádosti
o audit se Zhotovitel a Objednatel dopředu dohodnou na: (a) možném termínu provedení auditu,
bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu,
a (b) předpokládaném začátku, rozsahu a době trvání auditu. V případě, že k dohodě nedojde ani
do 30 dnů ode dne odeslání žádosti, určí podmínky auditu Objednatel.
7.6. Zhotovitel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen
Objednatelem, pokud není auditor podle názoru Zhotovitele dostatečně kvalifikován, není
nezávislý, je v soutěžním postavení vůči Zhotoviteli nebo je jinak zjevně nevhodný. Na základě
vznesené námitky má Objednatel povinnost pověřit jiného auditora, nebo provést audit sám.
7.7. Zhotovitel může být v souvislosti s kontrolou písemně požádán o předložení svých písemných
technických a organizačních bezpečnostních opatření v souvislosti s poskytováním Služby,
přičemž má povinnost této výzvě vyhovět.
7.8. Objednatel je odpovědný za plnění všech povinností ve vztahu ke zpracování Osobních údajů,
zejména za řádné informování subjektů údajů o zpracování Osobních údajů, získání souhlasu se
zpracováním Osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících
se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování,
vznést námitku apod.).
8. BEZPEČNOST OSOBNÍCH ÚDAJŮ
8.1. Zhotovitel přijal níže uvedená opatření a zavazuje se je udržovat pro zajištění zabezpečení
zpracování Osobních údajů po celou dobu zpracování.
8.2. Organizační opatření:
a) Zhotovitel a pracovníci Zhotovitele jsou pravidelně školeni na zásady a principy ochrany
osobních údajů a kybernetickou bezpečnost;
b) Zhotovitel a pracovníci Zhotovitele jsou zavázáni k mlčenlivosti v souvislosti s prací
s Osobními údaji;
c) Povinnost Zhotovitele hlásit jakékoliv kybernetické bezpečnostní incidenty související
s poskytováním Služeb;
8.3. Technická opatření:
a) Strany konstatují, že na jejich smluvní vztah se vztahují požadavky zákona
č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon
o kybernetické bezpečnosti), ve znění pozdějších předpisů, a zejména přílohy č. 7 vyhlášky
č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech,
reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci
dat (vyhláška o kybernetické bezpečnosti)
b) kontrola a monitorování a zajištění přístupu ke Srovnávacímu nástroji umožňující přesné
zaznamenání, kdo měl možnost s Osobními údaji pracovat;
c) ochrana pracovních zařízení Zhotovitele prostřednictvím vhodného antivirového programu
a prostředku firewall, příp. dalšími technickými ochrannými prostředky;
d) zajištění dostatečně silných hesel na pracovních stanicích Zhotovitele pro přístup ke
Srovnávacímu nástroji.
8.4. Zhotovitel zabezpečí Službu před kybernetickými útoky nejvhodnějším způsobem s přihlédnutím
k povaze Osobních údajů a stavu techniky. Zhotovitel se zároveň zavazuje přijmout veškerá
opatření v souladu s čl. 32 GDPR tak, aby s přihlédnutím ke stavu techniky, nákladům na
provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě
závažným rizikům pro práva a svobody fyzických osob, zajistil úroveň zabezpečení odpovídající
danému riziku. Zhotovitel současně odpovídá za poškození Osobních údajů třetí stranou, pokud
se prokáže, že nebyly odpovědně zabezpečeny v souladu s tímto článkem Zpracovatelské
smlouvy.
9. PŘEDÁNÍ OSOBNÍCH ÚDAJŮ PO SKONČENÍ ZPRACOVÁNÍ
9.1. Po skončení Smlouvy bez ohledu na způsob a důvod jejího skončení je Zhotovitel povinen
všechny Osobní údaje včetně dalších kategorií chráněných údajů a souvisejících metadat předat
Objednateli včetně všech existujících kopií a Osobní údaje včetně všech dalších kategorií
chráněných údajů a souvisejících metadat na všech ostatních zařízeních a nosičích mimo
zařízení a nosičů ve vlastnictví či užívání Objednatele trvale zničí, s výjimkou případů, kdy je
uložení Osobních údajů vyžadované právem České republiky nebo Evropské unie. Provedení
likvidace Osobních údajů a dalších kategorií chráněných údajů a souvisejících metadat, je
Zhotovitel povinen doložit Objednateli vhodným způsobem, z něhož bude vyplývat přesně
definovaný způsob likvidace konkrétních údajů či metadat.
10. DALŠÍ UJEDNÁNÍ
10.1. Zhotovitel není oprávněn vyúčtovat Objednateli vynaložené náklady spojené s vyřizováním
jakékoliv žádosti uvedené v čl. 7 této Zpracovatelské smlouvy a není oprávněn požadovat
dodatečnou odměnu za zpracování osobních údajů při poskytování Služeb.
10.2. V případě prodlení se splněním jakékoli lhůty dle této Zpracovatelské smlouvy se Zhotovitel
zavazuje Objednateli uhradit smluvní pokutu ve výši 50.000 Kč za každý započatý den prodlení.
Smluvní pokuta je splatná okamžikem porušení příslušné povinnosti, přičemž uhrazení smluvní
pokuty nevylučuje nárok na náhradu škody v plné výši.
10.3. V případě porušení povinností Zhotovitele dle čl. 7., 8. či 9. této Zpracovatelské smlouvy případně
jiných povinností Zhotovitele vyplývajících z této Zpracovatelské smlouvy se Zhotovitel zavazuje
Objednateli uhradit smluvní pokutu ve výši 50.000 Kč za každé jednotlivé porušení. Smluvní
pokuta je splatná okamžikem porušení příslušné povinnosti, přičemž uhrazení smluvní pokuty
nevylučuje nárok na náhradu škody v plné výši.
10.4. Poruší-li Zhotovitel či osoba, která spolupracuje se Zhotovitelem při poskytování Služeb
(poddodavatel) kteroukoliv povinnost týkající se či související se zpracováním Osobních údajů,
ať již vyplývá z GDPR či jiných předpisů či ze Zpracovatelské smlouvy, a Objednateli bude
v důsledku takového porušení pravomocně uložena pokuta, zejména ze strany Úřadu pro
ochranu osobních údajů, zavazuje se Zhotovitel na výzvu Objednatele, k níž bude dále přiloženo
rozhodnutí o uložení pokuty, uhradit Objednateli peněžitou náhradu ve výši uložené pokuty, a to
bez zbytečného odkladu po prokázání zavinění Zhotovitele a obdržení písemné výzvy
k zaplacení, nejpozději však do 5 pracovních dní od tohoto prokázání a obdržení písemné výzvy.
10.5. Poruší-li Zhotovitel či osoba, která spolupracuje se Zhotovitelem při poskytování Služeb
(poddodavatel) kteroukoliv povinnost týkající se či související se zpracováním Osobních údajů,
ať již vyplývá z GDPR či jiných předpisů či ze Zpracovatelské smlouvy, a vznikne-li v souvislosti
s takovým porušením třetí osobě jako subjektu údajů materiální či nemateriální újma a Objednatel
uhradí této poškozené třetí osobě pohledávku na náhradu materiální či nemateriální újmy,
zavazuje se Zhotovitel na výzvu Objednatele, uhradit Objednateli peněžitou náhradu ve výši
uplatněné materiální či nemateriální újmy ze strany třetí osoby, a to bez zbytečného odkladu po
prokázání zavinění Zhotovitele a obdržení písemné výzvy k zaplacení, nejpozději však do
5 pracovních dní od tohoto prokázání a obdržení písemné výzvy.
10.6. Strany se dohodly, že porušením kterékoliv povinnosti Zhotovitele plynoucí z právních předpisů
v oblasti bezpečnosti informací a ochrany osobních údajů, zejména GDPR či dalších právních
předpisů či ze Zpracovatelské smlouvy, představuje podstatné porušení Smlouvy.
10.7. Smlouva je vyhotovena v elektronické podobě s elektronickými podpisy zástupců obou Stran.
Tato smlouva vzniká dnem podpisu oprávněnými zástupci Stran a nabývá účinnosti uveřejněním
této smlouvy podle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv,
uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších
předpisů. Uveřejnění zajistí Objednatel.
……………………………....................……… ……………………………...................
Mgr. Ing. Hana Továrková Ing. Tomáš Vacek
předsedkyně Rady Českého telekomunikačního úřadu jednatel CHAPS spol. s r.o.
..
Martin Siegel, DiS.
jednatel CHAPS spol. s r.o.