Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
*MMFMX01MAGXO*
S/0327/2022/OIT
Smlouva o zpracování osobních údajů
agendové č.: S/0327/2022/OIT
uzavřená ve smyslu ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu
a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů
1. Smluvní strany
statutární město Frýdek-Místek
Radniční 1148, Frýdek, 738 0l Frýdek-Místek
IČO: 00296643
DIČ: CZ00296643
zastoupené Petrem Kročem, primátorem
dále též jen „Správce“ na straně jedné
a
CES EA s.r.o.
Vinohradská 1511/230, 100 00 Praha 10
IČO: 08028656, DIČ: CZ08028656
Spisová značka: C 324520 vedená u Městského soudu v Praze
zastoupená Janem Matušem, jednatelem
dále též jen „Zpracovatel“ na straně druhé,
dále společně jen „Smluvní strany“.
2. Preambule
(A) Zpracovatel poskytuje Správci služby související s podporou provozu informačního systému (dále jen
„Služby“) na základě smlouvy o poskytování servisních služeb číslo VYV-2010-Z006 a ji
upravujících dodatků smlouvy (dále označovány souhrnně jako „Servisní smlouva“)
(B) Řádné poskytování Služeb zahrnuje mimo jiné i aktivity, při kterých může docházet ke zpracování
osobních údajů náležících Správci (dále jen „Osobní údaje”), které bude pro Správce provádět
Zpracovatel.
S ohledem na výše uvedené uzavírají Smluvní strany ve smyslu Nařízení Evropského parlamentu a Rady
(EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), tuto Smlouvu.
3. Předmět Smlouvy
3.1. Předmětem této Smlouvy je úprava vzájemných práv a povinností Smluvních stran při zpracování
Osobních údajů, se kterými Zpracovatel nakládá v souvislosti s poskytováním svých Služeb.
3.2. Zpracovatel se zavazuje zpracovávat Osobní údaje v souladu s požadavky této Smlouvy a v souladu
s povinnostmi uloženými GDPR zpracovateli osobních údajů, zejména:
3.2.1. zpracovávat Osobní údaje pouze na základě doložených pokynů Správce;
3.2.2. provést s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování technická a organizační
opatření k zabezpečení Osobních údajů specifikovaná touto Smlouvou;
Obecné obchodní podmínky AutoCont CZ Systems, s.r.o. v 1.0 1/6
Smlouva o zpracování osobních údajů
3.2.3. být Správci nápomocen, pokud je to možné, při vyřizování žádostí o výkon práv subjektu údajů,
3.2.4.
3.2.5. být Správci nápomocen v plnění povinností dle čl. 32 až 36 GDPR;
umožnit Správci audity, včetně inspekcí prováděných Správcem či jím pověřenou osobou a
poskytnout součinnost u těchto auditů.
4. Podmínky zpracování
4.1. Správce pověřuje Zpracovatele zpracováváním Osobních údajů v rozsahu nezbytném pro poskytování
Služeb a výhradně za účelem vyplývajícím z účelu Servisní smlouvy, a to na základě pokynů Správce.
4.2. Zpracovatel není oprávněn Osobní údaje zpracovávat pro žádné jiné účely, než pro účely poskytování
Služeb.
4.3. Typ zpracovávaných Osobních údajů a kategorie subjektů údajů jsou uvedeny v příloze č. 2 této
Smlouvy.
4.4. Předmětem zpracování Osobních údajů na základě této Smlouvy nejsou zvláštní kategorie osobních
údajů ve smyslu GDPR.
4.5. Osobní údaje budou zpracovávány po dobu poskytování Služeb s tím, že ukončením poslední ze
smluv uvedených v příloze č. 1 této Smlouvy bez dalšího zaniká i tato Smlouva. Zánikem této
Smlouvy nezanikají povinnosti Zpracovatele týkající se zabezpečení Osobních údajů až do okamžiku
jejich protokolární úplné likvidace či protokolárnímu předání Správci nebo jinému pověřenému
zpracovateli.
4.6. Smluvní strany se dohodly, že zpracování Osobních údajů na základě této Smlouvy je bezplatné. Tím
není dotčen nárok Zpracovatele na odměnu za poskytování Služeb. Zpracovatel má nárok na náhradu
nákladů, které Zpracovateli vznikly v souvislosti s plněním dle této Smlouvy v případech, kdy Správce
vyzval Zpracovatele:
4.6.1. provést technické nebo organizační opatření nad rámec sjednaného zabezpečení Osobních údajů,
které specifikuje čl. 6.1 této Smlouvy, nebude-li toto zabezpečení vycházet z právních předpisů;
4.6.2. k součinnosti (například z důvodu auditu)
4.7. Správce se zavazuje chránit Zpracovatele před vznikem nákladů v důsledku zjevně nedůvodných nebo
nepřiměřených požadavků subjektů údajů týkajících se plnění informačních a sdělovacích povinností
či provádění specifických úkonů Správce (vyžadujících součinnost Zpracovatele) se zpracovávanými
osobními údaji.
5. Povinnosti Smluvních stran
5.1. Správce je při plnění této Smlouvy povinen:
5.1.1. určit účely a prostředky zpracování Osobních údajů;
5.1.2. zajistit, že Osobní údaje budou zpracovávány vždy v souladu s GDPR, že tyto údaje budou
přesné a v případě potřeby aktualizované, přiměřené, relevantní a omezené na nezbytný rozsah ve
vztahu k účelu, pro který jsou zpracovávány;
5.1.3. poskytnout subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným
způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace
o zpracování a učinit veškerá sdělení požadovaná GDPR.
5.2. Zpracovatel je při plnění této Smlouvy povinen:
5.2.1. zajistit, pokud zapojí do zpracování Osobních údajů dalšího zpracovatele, že tento další
zpracovatel bude poskytovat dostatečné záruky, pokud jde o zavedení vhodných technických a
organizačních opatření tak, aby zpracování splňovalo požadavky GDPR; zapojení dalšího
zpracovatele je možné pouze se souhlasem správce.
5.2.2. zpracovávat Osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách
předání Osobních údajů do třetí země nebo mezinárodní organizaci;
Smlouva o zpracování osobních údajů 2/6
Smlouva o zpracování osobních údajů
5.2.3. zohledňovat povahu zpracování Osobních údajů a být Správci nápomocen pro splnění jeho
povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších
povinností ve smyslu GDPR;
5.2.4. zajistit, aby systémy pro automatizovaná zpracování Osobních údajů používaly pouze oprávněné
osoby, které budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a
to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
5.2.5. zajistit, že jeho zaměstnanci budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu
stanoveném Zpracovatelem i Správcem a odpovídajícím této Smlouvě;
5.2.6. na žádost Správce umožnit provedení auditu zpracování Osobních údajů;
5.2.7. po skončení této Smlouvy protokolárně zlikvidovat či protokolárně předat Správci nebo jinému
pověřenému zpracovateli všechny Osobní údaje zpracovávané po dobu poskytování Služeb.
5.3. Smluvní strany jsou při plnění této Smlouvy povinny:
5.3.1. zavést technická a organizační opatření k zabezpečení Osobních údajů v souladu se specifikací
dle čl. 6.1 této Smlouvy, aby zajistily a byly schopny doložit, že zpracování Osobních údajů je
prováděno v souladu s GDPR;
5.3.2. vést záznamy o činnostech zpracování Osobních údajů v rozsahu dle čl. 30 GDPR;
5.3.3. řádně ohlašovat a oznamovat případná porušení zabezpečení Osobních údajů způsobem dle čl. 33
a 34 GDPR a spolupracovat v nezbytném rozsahu s Úřadem pro ochranu osobních údajů;
5.3.4. navzájem se informovat o všech okolnostech významných pro plnění předmětu této Smlouvy;
5.3.5. zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by
ohrozilo zabezpečení Osobních údajů, a to i po skončení této Smlouvy;
5.3.6. postupovat v souladu s dalšími požadavky GDPR, zejména dodržovat obecné zásady zpracování
osobních údajů, plnit své informační povinnosti, nepředávat Osobní údaje třetím osobám bez
potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti
nezbytnou součinnost;
5.4. Nahrazuje se pouze skutečně vzniklá škoda. V rozsahu povoleném platnými právními předpisy nenese
žádná ze smluvních stran odpovědnost za jakékoli nepřímé, nahodilé nebo následné škody nebo škody
spočívající ve ztrátě ušlého zisku nebo výnosů nebo jiné finanční ztrátě.
6. Zabezpečení Osobních údajů
6.1. Smluvní strany se dohodly, že ve smyslu čl. 32 GDPR a čl. 5.3.1 této Smlouvy provedou
k zabezpečení Osobních údajů následující technická a organizační opatření:
6.1.1. pověřit zpracováním Osobních údajů pouze své vybrané zaměstnance, které poučí o jejich
povinnosti zachovávat mlčenlivost ohledně Osobních údajů, povinnosti znát a dodržovat předpisy
zaměstnavatele k ochraně osobních údajů a o dalších povinnostech vyplývajících z GDPR či
jiných obecně závazných právních předpisů;
6.1.2. používat odpovídající technické zařízení a programové vybavení způsobem, který v nejvyšší
možné míře vyloučí neoprávněný nebo nahodilý přístup k Osobním údajům ze strany jiných
osob, než pověřených osob Smluvních stran;
6.1.3. uchovávat Osobní údaje na místech s odpovídajícím zabezpečením, ať již se bude jednat o místa
fyzická či virtuální;
6.1.4. uchovávat Osobní údaje v elektronické podobě na zabezpečených serverech nebo na nosičích dat,
ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel;
6.1.5. zajistit dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo
prostřednictvím zabezpečeného přenosu po veřejných sítích;
6.1.6. zajistit, aby osoby oprávněné k používání systémů pro automatizovaná zpracování Osobních
údajů měly přístup pouze k Osobním údajům odpovídajícím oprávnění těchto osob, a to na
základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
Smlouva o zpracování osobních údajů 3/6
Smlouva o zpracování osobních údajů
6.1.7. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly
Osobní údaje zaznamenány nebo jinak zpracovány.
6.2. Smluvní strany prohlašují, že technická a organizační opatření k zabezpečení Osobních údajů
specifikovaná čl. 6.1 této Smlouvy považují za dostatečná pro zpracování Osobních údajů, jak je
prováděno ke dni uzavření této Smlouvy. V případě, že v budoucnu nastane potřeba změn opatření
k zabezpečení Osobních údajů, Smluvní strany se dohodnou písemným dodatkem k této Smlouvě na
jejich změně a náhradě nákladů vzniklých Zpracovateli provedením změn.
6.3. Pokud Zpracovatel zapojí ve smyslu článku 5.2.1 této Smlouvy dalšího zpracovatele, aby provedl
určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy stejné
povinnosti na zabezpečení Osobních údajů, jaké jsou uvedeny v této Smlouvě.
7. Platnost, odstoupení a zánik Smlouvy
7.1. Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Smluvními stranami.
V případě, že smlouva podléhá evidenci v registru smluv, nabývá účinnosti nejdříve dnem jejího
zveřejnění v registru smluv. Tato Smlouva se uzavírá na dobu poskytování Služeb podle poslední ze
smluv uvedených v příloze č. 1 této Smlouvy. V případě, že Smluvní strany v budoucnu uzavřou jinou
smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, zaniká tato Smlouva
současně se zánikem této jiné smlouvy, resp. se zánikem poslední z takto uzavřených smluv.
7.2. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy. Po ukončení
této Smlouvy budou Osobní údaje v souladu s rozhodnutím Správce buď vymazány nebo mu budou
vráceny.
8. Řešení sporů
8.1. Jakýkoli právní postup, nebo soudní spor vedený v souvislosti s touto smlouvou, bude zahájen a veden
u příslušného soudu České republiky.
9. Závěrečná ustanovení
9.1. Tato Smlouva a právní poměry z ní vzešlé a s ní související se řídí GDPR a právními předpisy České
republiky.
9.2. Tuto Smlouvu lze měnit jen dohodou Smluvních stran a to vždy jen písemnými dodatky.
9.3. Tato Smlouva se vyhotovuje ve třech (3) stejnopisech, přičemž dvě (2) vyhotovení jsou určeny pro
Správce a jedno (1) pro Zpracovatele.
9.4. Smluvní strany prohlašují, že si návrh této Smlouvy pozorně a pečlivě přečetly, že dobře rozumí jeho
obsahu a že ten odpovídá jejich skutečné vůli, na důkaz čehož připojují své podpisy a uzavírají tuto
Smlouvu.
9.5. Tato Smlouva je uzavřena na základě rozhodnutí 103. schůze Rady města Frýdku-Místku ze dne 26.
dubna 2022.
9.6. Nedílnou součástí této smlouvy jsou přílohy:
Příloha č.1 – Seznam smluv
Příloha č.2 – Typ zpracovávaných Osobních údajů a kategorie subjektů údajů
Ve Frýdku Místku dne V Praze dne
.................................................. ...................................................
Petr Korč Ing. Jan Matuš
primátor jednatel
Smlouva o zpracování osobních údajů 4/6
Smlouva o zpracování osobních údajů
Příloha č.1 – Seznam smluv
1. Smlouva o poskytování servisních služeb, agendové číslo smlouvy MMFMP0030EWV
Smlouva o zpracování osobních údajů 5/6
Smlouva o zpracování osobních údajů
Příloha č.2 – Typ zpracovávaných Osobních údajů a kategorie
subjektů údajů
1. Kategorie subjektů údajů
Předmětem zpracování Osobních údajů Zpracovatelem jsou údaje o osobách (dále též „subjekt“), které
Správce shromažďuje a zpracovává:
• Klienti (děti)
• Rodinní příslušníci
• Žadatelé o formu pěstounské péče
2. Účely zpracovávání
3. Podpora informačních systémů dle Smlouvy o poskytování servisních služeb (agendové
číslo smlouvy MMFMP0030EWV)
4. Typy osobních údajů
Zpracování Osobních údajů Zpracovatelem podle této Smlouvy může zahrnovat následující typy údajů:
• Jméno
• Příjmení
• Rodné příjmení
• Datum narození
• Místo narození
• Datum úmrtí
• Rodné číslo
• Pohlaví
• Trvalá adresa
• Místo pobytu
• Mateřský jazyk
• Národnost
• Titul
• Zaměstnání
• Telefon
• Email
• Dále údaje o příbuzných – otec, matka, vlastní či nevlastní sourozenci. U rodičů též rodinný stav
(např. ženatý, rozvedený).
Smlouva o zpracování osobních údajů 6/6