Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
36866
ŘEDITELSTVÍ SILNIC A
DÁLNIC CR
OBJEDNÁVKA
číslo objednávky: 03PU-002886
ŘEDITELSTVÍ SILNIC A
DÁLNIC ČR
PID: RSOCXXTPVC
Doručeno:
13.05.2022 12:15
Listu dokumentu: 1
PRILOHA: 1(1)
Evidenční číslo (ISPROFIN/ISPROFOND): 500 121 0002
JMK I/54, I/55 Hodonín - měření hluku a akustické podklady pro KHS JMK
Objednatel: Dodavatel:
Reditelství silnic a dálnic ČR, Závod Brno, Hygienická laboratoř, s.r.o.
Sumavská 31, 602 00 Brno Plucárna 3560/1, 695 Ol Hodonín
Bankovní spojení: XXX IČO: 28280768
číslo účtu: XXXXX DIČ: CZ28280768
IČO: 65993390 Kontaktní osoba: XXXXXX
DIČ: CZ65993390
ISPROFIN: 500 121 0002
Tato objednávka Objednatele zavazuje po jejím potvrzení Dodavatelem obě smluvní strany ke
splnění stanovených závazků a nahrazuje smlouvu. Dodavatel se zavazuje provést na svůj
náklad a nebezpečí pro Objednatele služby specifikované níže. Objednatel se zavazuje zaplatit
za služby poskytnuté v souladu s touto objednávkou cenu uvedenou níže.
Místo dodání: Ředitelství silnic a dálnic ČR, Závod Brno, Šułnavská 31, 602 OO Brno
Kontaktní osoba Objednatele: XXXXXXX
Fakturujte: Ředitelství silnic a dálnic ČR, Na Pankráci 56, 140 00 Praha 4
Faktury zasílejte na adresu: Reditelství silnic a dálnic ČR, Závod Brno, Šumavská 31,
602 OO Brno
Obchodní a platební podmínky: Objednatel se zavazuje zaplatit Dodavateli za poskytnutí
Služeb Cenu postupně na základě několika faktur vystavených Dodavatelem vždy po řádném
poskytnutí jednotlivých částí Služeb uvedených na faktuře, termín splatnosti je stanoven na 30
dnů ode dne doručení faktury Objednateli. Fakturu lze předložit nejdříve po protokolárním
Stránka 1 z 3
převzetí služeb Objednatelem bez vad či nedodělků. Faktura musí obsahovat veškeré náležitosti
stanovené platnými právními předpisy, číslo objednávky 03PU-002886, místo dodání a
Evidenční číslo (ISPROFIN/ISPROFOND). Objednatel neposkytuje žádné zálohy na cenu.
Potvrzením přijetí (akceptací) této objednávky se Dodavatel zavazuje plnit veškeré povinnosti
v této objednávce uvedené, Objednatel výslovně vylučuje akceptaci objednávky Dodavatelem
s jakýmikoliv změnami jejího obsahu, k takovému právnímu jednání Dodavatele se nepřihlíží.
Dodavatel poskytuje souhlas s uveřejněním objednávky a jejího potvrzení v registru smluv
zřízeným zákonem č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv,
uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů (dále jako „zákon
o registru smluv"), Objednatelem. Objednávka je účinná okamžikem zveřejnění v registru
smluv, Objednatel je oprávněn kdykoliv po uzavření objednávky tuto objednávku vypověděl s
účinky od doručení písemné výpovědi Dodavateli, a to i bez uvedení důvodu. Výpověď
objednávky dle předcházející věty nemá vliv na již řádně poskytnuté plnění včetně práv a
povinností z něj vyplývajících.
Pokud se na jakoukoliv část plnění poskytovanou Poskytovatelel vztahuje GDPR (Nařízení
Evropského parlamentu a Rady (EU) č, 2016/679 ze dne 27. dubna 2016 0 ochraně fyzických
osob v souvislosti se zpracováním osobních údqjů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)), je Poskytovatel povinen
zajistit plnění svých: povinností v GDPR stanovených, V případě, kdy bude Poskytovatel v
kterémkoliv okamžiku plnění svých smluvních. povinností zpracovatelem osobních údajů
poskytnutých Objednatelem nebo získaných pro Objednatele, je povinen na tuto skutečnost
Objednatele upozornit a bezodkladně (vždy však před zahájením zpracování osobních údajů)
s ním uzavřít Smlouvu o zpracování osobních údajů, která tvoří přílohu č. 2 této Objednávky.
SmloŮvu dle předcházející věty je dále Poskytovatel s Objednatelem povinen uzavřít vždy,
když jej k tomu Objednatel písemně vyzve.
Objednáváme u Vás:
Potřebné akusfické akreditované nrěřenĺ hluku a konkrétně:
1/54 Bzenec
1/54 Moravský Písek
1/54 Veselí n/M
1/54 Vracov
I/55 Petrop další akredilované akustické práce dle požadavku RSD ČR (s ohledan na
aktuálnost situace) usilnic I. třídy v JůnK
Lhůta pro dodání či termín dodání: Plnění dodejte od výzvy objednatele do 12/2022
Celková hodnota objednávky v Kč bez DPH / vč. DPH: 234000,00 Kč bez DPH / 283140,00 Kč
vč. DPH
V případě akceptace objednávky Objednatele Dodavatel ob.jednávku podepíše a zašle
písemně 2x potvrzené vyhotovení objednávky zpět na adresu Objednatele. Následně obdrží I
vyhotovení podepsané oběma Smluvními stranami Objednatel a. I vyhotovení podepsané
oběma Smluvními stranami Dodavatel.
Dodavatel akceptací této ohiednávky současně potvrzuje, že není ve střetu zájmů dle 4b
zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů, tj. není obchodní
Stránka 2 z 3
společností, Ve k.teré veřejný funkcionář uvedený v S 2 odst. I písm. c) zákona č. 159/2006
Sb., o střetu zájmů, ve znění pozdějších předpisů (člen vlády nebo vedoucí jiného ústředního
správního úřadu, v jehož čele není člen vlády) nebo jím ovládaná osoba vlastní podíl
představující alespoň 25 % účasti společníka v obchodní společnosti.
Nedílnou součástí této objednávky jsou následující přílohy:
Příloha č. I — Položkový rozpis ceny
Příloha č. 2 — Smlouva o zpracování osobních údajů (vzor)
V Brně dne 2 6 -05- 2022
Za Objednatele:
XXX
ředitel Závodu Brno
XXXX
V Hodoníně dne 12. 5.
2022 Za Dodavatele:
XXXXXX
XXX
jednatel společnosti
Stránka 3 z 3
XX X X
X
X X
,0 ,0 ,0
E 亡
0 C
0
ČESTNÉ PROHLÁŠENÍ KE STŘETU ZÁJMŮ
Obchodní firma: Hygienická laboratoř, s.r.o.
Sídlo: Plucárna 3560/1, 695 Ol Hodonín
IČO: 28280768
Jméno a příjmení osoby zastupující XXXX
dodavatele, včetně uvedení titulu jednatel společnosti
opravňujícího k zastupování dodavatele:
Dodavatel prohlašuje, že není ve střetu zájmů dle ss 4b zákona č. 159/2006 Sb., o střetu
zájmů, ve znění pozděiších předpisů, tj.
není obchodní společností, ve které veřejný funkcionář uvedený v ss 2 odst. I písm. c) zákona
č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (člen vlády nebo vedoucí jiného
ústředního správního úřadu, v jehož čele není člen vlády) nebo jím ovládaná osoba vlastní
podíl představující alespoň 25 % účasti společníka v obchodní společnosti; poddodavatel,
prostřednictvím kterého prokazuje způsobilost (existuje-li takový), není obchodní společností,
ve které veřejný funkcionář uvedený v Š 2 odst. I písm. c) zákona č. 159/2006 Sb., o střetu
zájmů, ve znění pozdějších předpisů (člen vlády nebo vedoucí
jiného ústředního správního úřadu, v jehož čele není člen vlády) nebo jím ovládaná osoba
vlastní podíl představující alespoň 25 % účasti společníka v obchodní společnosti.
Hodonín 12. 5. 2022
Ing. XXX XXXXX
jednatel společnosti XXXXX
Smlouva o zpracování osobních údajů uzavřená níže.
uvedeného dne, měsíce a roku mezi:
Ředitelství silnic zápis v obchodním
rejstříku: právní
a dálnic ČR se forma:
bankovní
sídlem IČO: DIČ:
právní spojení: zastoupen:
forma:
bankovní kontaktní osoba ve věcech
spojení: smluvních: e-mail:
zastoupeno:
kontaktní osoba ve věcech tel:
smluvních: e-mail:
kontaktní osoba ve věcech
tel: technických:
kontaktní osoba ve věcech
technických: e-mail: tel: e-mail:
(dále jen „Správce”) tel:
Na Pankráci 546/56, 140 OO
Praha 4
65993390 CZ65993390
příspěvková
organizace XXXX
XXXXXX
[zpracovatel doplní
svůj název]
se Pověřenec pro ochranu osobních
sídlem údajů (DPO) XXXXX
XXXXXXXX
ICO:
DIČ:
(dále jen „Zpracovatel” nebo „Prvotní Zpracovatel”)
(Správce a Zpracovatel společně dále také jako „Smluvní strany")
Preambule
Vzhledem k tomu, že Zpracovatel v průběhu poskytování Služeb
a/nebo Produktů Správci může zpracovávat Osobní údaje Správcet
považují Smluvní strany za zásadní, aby při zpracování těchto
osobních údajů byla zajištěna vysoká úroveň ochrany práv a
svobod fyzických osob ve vztahu k takovému zpracování osobních
údajů a toto zpracování bylo v souladu s Předpisy na ochranu
osobních údajů, a to zejm. s Nařízením Evropského parlamentu a
Rady (EU) č. 2016/679 ze dne 274 dubna 2016 0 ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajú a o zrušení směrnice 96/46/ES (obecné
nařízení o ochraně osobních údajů), a proto Smluvní strany
uzavírají 'tuto smlouvu o ochraně osobních údajů (dále jen
„Smlouva').
| strana 1 stran 13
1 Definice
Pro účely této Smlouvy se následující pojmy vykládají takto:
„EHP" se rozumí Evropský hospodářský prostor.
„GDPR" se rozumí Nařízení Evropského parlamentu a Rady (EU) č.
2016/679 ze dne 27. dubna 2016 0 ochraně fyzických osob v
souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o
ochraně osobních údajů) ve znění opravy uveřejněné v Úředním
věstníku Evropské unieL 119 ze dne 4, května 2016.
„Hlavní smlouvou” se rozumí smluvní vztah či smluvní vztahy
založené mezi Správcem a Zpracovatelem na základě uzavřených
platných a účinných smluv vymezených v příloze č. 1 této
SmEouvy.
„Osobními údaji Správce” se rozumí osobní údaje popsané v
příloze č. 1 této Smlouvy a veškeré další osobní údaje
zpracovávané Zpracovatelem jménem Správce podle a/nebo v
souvislosti s Hlavní smlouvou.
„Podzpracovatelem" se rozumí jakýkoli zpracovatel osobních
údajů (včetně jakékoli třetí strany) zapojený Zpracovatelem do
zpracování Osobních údajů Správce jménem Správce. Za podmínek
stanovených touto Smlouvou je Podzpracovate' oprávněn zapojit
do zpracování Osobních údajů Správce dalšího Podzpracovatele
(tzv. řetězení podzpracovatelů).
„Pokynem” se rozumí písemný pokyn Správce Zpracovateli týkající
se zpracování Osobních údajů Správce. Zpracovatel je povinen
kdykoliv v průběhu zpracování osobních údajů prokázat existenci
a obsah Pokynu,
„Porušením zabezpečení osobních údajů" se rozumí takové porušení
zabezpečení osobních údajů, které vede nebo může přímo vést k
neoprávněnému přístupu nebo k neoprávněné či nahodilé změně,
zničení, vyzrazení či ztrátě osobních údajů, případně k
neoprávněnému vyzrazení nebo přístupu k uloženým, přenášeným
nebo jinak zpracovávaným Osobním údajům Správce.
„Produkty” se rozumí Produkty, které má Zpracovatel poskytnout
Správci dle Hlavní smlouvy.
„Předpisy o ochraně osobních údajů” se rozumí Nařízení
Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna
2016 0' ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve
znění opravy uveřejněné v Úředním věstníku Evropské unie L 119
ze dne 4. května 201 6, jakož i veškeré národní předpisy
upravující ochranu osobních údajů.
[
„Schválenými Podzpracovateii” se rozumějí: (a) Podzpracovatelé
uvedení v příloze č. 3 této Smlouvy (autorizované předání
Osobních údajů Správce); a (b) případně další dílčí
Podzpracovatelé předem písemně povolení Správcem v souladu se
strana 2 stran 13
kapitolou 6 'této Smlouvy, Nejedná se o osoby, které
zpracovávají osobní údaje pro zpracovatele na základě pracovní
smlouvy, dohody o provedení práce či dohody o pracovní činnosti
nebo osoby, které se při provádění svých služeb; tj. plnění
smlouvy s objednatelem (jinak zpracovatelem osobních údajů),
mohou pouze nahodile dostat do styku s osobními údaji, aniž by
osobní údaje jakkoliv zpracovávaly.
„Službami” se rozumí Služby, které má Zpracovatel poskytnout
Správci podle Hlavní smlouvy,
„Standardními smluvními doložkami” se rozumí standardní smluvní
doložky pro předávání osobních údajů zpracovatelům usazeným ve
.třetĺch zemích schválené rozhodnutím Evropské komise
2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení
schválených Evropskou komisí, který je mění, doplňuje nebo
nahrazuje.
„Třetí zemí” se rozumí jakákoli země mimo EU/EHP, s výjimkou
případů, kdy je tato země předmětem platného a účinného
rozhodnutí Evropské komise o odpovídající ochraně osobních údajů
ve třetích zemích,
„Vymazáním” se rozumí odstranění nebo zničení Osobních údajů
Správce tak, aby nemohly být obnoveny nebo rekonstruovány.
„Zásadami zpracování osobních údajů" se rozumí zásada
zákonnosti, korektnosti, transparentnosti, účelového omezení,
minimalizace údajů, přesnosti, omezení uložení, integrity a
důvěrnosti, Smluvní strany berou na vědomí, že jakékoliv
zpracování osobních údajů či jakýkoliv výklad této Smlouvy musí
být v souladu s těmito zásadami. Dokument Zásady zpracování
osobních údajů je k dispozici na internetových stránkách
www.rsd.cz v záložce Organizace pod odkazem GDPR.
„Zpracování”, „správcef', „zpracovatel”, „subjekt údajů”,
„osobní údaje", „zvláštní kategorie osobních údajů" a jakékoli
další obecné definice neuvedené v této Smlouvě nebo v Hlavní
smlouvě mají stejný význam jako v GDPR
2 Podmínky zpracování Osobních údajů Správce
2.1 V průběhu poskytování Služeb a/nebo Produktů Správci podle
Hlavní smlouvy je Zpracovatel oprávněn zpracovávat Osobní
údaje Správce jménem Správce pouze za podmínek této Smlouvy
a na základě Pokynů Správce. Zpracovatel se zavazuje, že
bude po celou dobu zpracování dodržovat následující
ustanovení týkající se ochrany Osobních údajů Správce.
22 V rozsahu požadovaném platnými a účinnými Předpisy o ochraně
osobních údajů musí Zpracovatel získat a uchovávat veškeré
potřebné licence, oprávnění a povolení potřebné k
zpracování Osobních údajů Správce včetně osobních údajů
uvedených v příloze ö. 1 této Smlouvy.
| strana 3 stran 13
2.3 Zpracovatel musí dodržovat veškerá technická a organizační
opatření pro splnění požadavků uvedených v této Smlouvě a
jejích přílohách, Zpracovatel je dále povinen dbát Zásad
zpracování osobních údajů a za všech okolností tyto zásady
dodržovat.
24 Pro účely komunikace a zajištění součinnosti Správce a
Zpracovatele navzájem (zejm. v případech porušení
zabezpečení osobních údajů, předávání žádostí subjektů
údajú), není-li v konkrétním případě určeno jinak, pověřily
Smluvní strany tyto osoby:
2.4.1 osoba pověřená Správcem: XXXXX
24.2 osoba pověřená Zpracovatelem:
e-mail: , tel: .
Obě strany jsou povinny na zaslání podání neprodleně reagovat
nejpozději však do 48 hodin od zaslání.
3 Zpracování Osobních údajů Správce
3.1 Zpracovatel zpracovává Osobní údaje Správce pouze pro účely
plnění Hlavní smlouvy
nebo pro plnění poskytované na. základě Hlavní smlouvy (viz
příloha č. 1 této Smlouvy), Zpracovatel nesmí zpracovávat,
předávat, upravovat nebo měnit Osobní údaje Správce nebo
zveřejnit či povolit zveřejnění Osobních údajů Správce jiné
třetí osobě jinak než v souladu s touto Smlouvou nebo s
Pokyny Správce, pokud takové zveřejnění není vyžadováno
právem EU nebo členského státu, kterému Zpracovatel podléhá.
Zpracovatel v rozsahu povoleném takovým zákonem informuje
Správce o tomto zákonném požadavku před zahájením
zpracování Osobních údajů Správce a dodržuje. pokyny
Správce, aby co nejvíce omezil rozsah zveřejnění
3.2 Zpracovatel neprodleně nebo bez zbytečného odkladu od
obdržení Pokynu informuje Správce v případě* kdy podle jeho
názoru vzhledem k jeho odborným znalostem a zkušenostem
takový Pokyn porušuje Předpisy o ochraně osobních údajů.
3.3 Zpr.acovatel bere na vědomí, že není oprávněn určit účely a
prostředO' zpracování Osobních údajů Správce a pokud by
Zpracovatel toto porušil, považuje se ve vztahu k takovému
zpracování za správce.
3.4 Pro účely zpracování uvedeného výše tímto Správce instruuje
Zpracovatele, aby předával Osobní údaje Správce příjemcům
ve třetích zemích uvedených v příloze č. 3 této Smlouvy
(Autorizované předávání Osobních údajů Správce) vždy za
předpokladu, že taková osoba splní požadavky uvedené v
kapitole 6 této Smlouvy.
4 Spolehlivost Zpracovatele
4.1 Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost
každého zaměstnance, jeho zástupce nebo dodavatele, kteří
mohou mít přístup k Osobním údajům Správce, přičemž zajistí,
aby byl přístup omezen výhradně na ty osoby, jejichž činnost
vyžaduje přístup k příslušným Osobním údajům Správce,
strana 4 stran 13
Zpracovatel vede seznam osob oprávněných zpracovávat osobní
údaje Správce a osob, které mají k těmto osobním údajům
přístup, přičemž sleduje a pravidelně přezkoumává, že se
jedná o osoby dle tohoto odstavce.
42 Zpracovatel- musí zajistit, aby všechny osoby, které zapojil
do zpracování Osobních údajů Správce:
4.2.1 byty informovány o důvěrné povaze Osobních údajů
Správce a byly si vědomy povinností Zpracovatele
vyplývajících z této Smlouvy, Hlavní smlouvy, Pokynů a
platných a účinných Předpisů o ochraně osobních údajů,
a zavázaly se tyto povinnosti dodržovat ve stejném
rozsahu, zejm. aby zachovávaly mlčenlivost o osobních
údajích a přijatých opatřeních k jejich ochraně, a to
i po skončení jejich pracovněprávního nebo jiného
smluvního vztahu ke Zpracovateli;
422 byly přiměřeně školeny/certifikovány ve vztahu k
Předpisům o ochraně osobních údajů nebo dle Pokynů
Správce;
42.3 podléhaly závazku důvěrnosti nebo profesním či zákonným
povinnostem zachovávat mlčenlivost;
4.2.4 používaly pouze bezpečný hardware a software a
dodržovaly zásady bezpečného používání výpočetní
techniky;
4.25 podléhaly procesům autentizace uživatelů a
přihlašování při přístupu k Osobním údajům Správce v
souladu s touto Smlouvou, Hlavní smlouvou, Pokyny a
platnými a účinnými Předpisy o ochraně osobních údajů;
42.6 zabránily neoprávněnému čtení, pozměnění, smazání či
znepřístupnění Osobních údajů Správce, nevytvářely
kopie nosičů osobních údajů pro jinou než pracovní
potřebu a neumožnily takové jednání ani jiným osobám a
případné neprodlené, nejpozději však do 24 hodin od
vzniku, hlásily jakékoliv důvodné podezření na
ohrožení bezpečnosti osobních údajů, a to osobě uvedené
v kapitole 2 této Smlouvy.
5 Zabezpečení osobních údajů
5.1 S přihlédnutím ke stavu techniky, nákladům na provedení,
povaze, rozsahu, kontextu a účelům zpracování' i k různě
pravděpodobným a různě závažným rizikům pro práva a svobody
fyzických osob, provede Zpracovatel vhodná technická a
organizační opatření (příloha č. 2 této Smlouvy), aby
zajistil úroveň zabezpečení odpovídající danému. riziku,
případně včetně:
5. 1 .1 pseudonymizace a šifrování osobních údajů;
5.12 schopnosti zajistit neustálou důvěrnost, integritu,
dostupnost a odolnost systémů a služeb zpracování;
| strana 5 stran 13
5.1 .3 schopnosti obnovit dostupnost osobních údajů a přístup k
nim včas v případě fyzických či technických incidentů;
procesu pravidelného testování, posuzování a hodnocení
účinnosti zavedených technických a organizačních
opatření pro zajištění bezpečnosti zpracování.
5.2 Při posuzování vhodné úrovně bezpečnosti se zohlední
rizika, která představuje zpracování, zejména náhodné. nebo
protiprávní zničení; ztráta, pozměňování, neoprávněné
zpřístupnění předávaných, uložených nebo jinak
zpracovávaných osobních údajů, nebo neoprávněný přístup k
nim.
5.3 V případě zpracování osobních údajů více správců je
Zpracovatel povinen zpracovávat takové osobní údaje
odděleně.
5.4 Konkrétní podmínky zabezpečení jsou uvedeny v příloze č. 2
této Smlouvy a dále v Pokynech.
6 Další Podzpracovatelé
6.1 Zpracovatel je oprávněn použít ke zpracování Osobních údajů
Správce další Podzpracovatele uvedené v příloze č. 3 této
Smlouvy. Jiné Podzpracovatele je- Zpracovatel oprávněn
zapojit do zpracování pouze s předchozím písernným povolením
Správce.
62 Zpracovatel je povinen u každého Podzpracovatele:
6.2.1 poskytnout Správci úplné informace o zpracování, které má
provádět takový Podzpracovatel;
6.2.2 zajistit náležitou úroveň ochrany Osobních údajů
Správce, včetně dostatečných záruk pro provedení
vhodných technických a organizačních opatření dle této
Smlouvy, Hlavní Smlouvy, Pokynú a platných a účinných
Předpisů na ochranu osobních údajů;
6.2.3 zahrnout do smlouvy mezi Zpracovatelem a každým dalším
Podzpracovatelem podmínky, které jsou shodné s
podmínkami stanovenými v této Smlouvě. Pro vyloučení
pochybností si Smluvní' strany ujednávají, že v případě
tzv. řetězení zpracovatelů (tj. uzavírání smlouvy o
zpracování osobních údajů mezi podzpracovateli) musí
tyto smlouvy splňovat podmínky dle této Smlouvy. Na
požádání poskytne Zpracovatel Správci kopii svých smluv
s dílčími Podzpracovateli
a v případě řetězení podzpracovatelů i kopii smluv
uzavřených mezi dalšími Podzpracovateli;
62.4 v případě předání Osobních údajú Správce. mimo EHP
zajistit ve smlouvách mezi Zpracovatelem a každým
dalším Podzpracovatelem Standardní smluvní doložky nebo
jiný mechanismus, který předem schválí Správce, aby
byla zajištěna odpovídající ochrana předávaných
Osobních údajů Správce;
6.2.5 zajistit plnění všech povinností nezbytných pro
zachování plné odpovědnosti vůči Správci za každé
strana 6 stran 13
selhání: každého dílčího Podzpracovatele při plnění
jeho povinností v souvislosti se zpracováním Osobních
údajů Správce,
7 Plnění práv subjektů údajů
7.1 Subjekt údajů má na základě své žádosti zejména právo získat
od Správce informace týkající se zpracování svých osobních
údajů, žádat jejich opravu či doplněni, podávat námitky
proti zpracování svých osobních údajů či žádat jejich výmaz
72 Vzhledem k povaze zpracovávání Zpracovatel napomáhá Správci
při provádění vhodných technických a organizačních opatření
pro splnění povinností Správce reagovat na žádosti o
uplatnění práv subjektu údajů.
7.3 Zpracovatel neprodleně oznámí Správci, pokud obdrží od
subjektu údajů, orgánu dohledu a/nebo jiného. příslušného
orgánu žádost podie platných a účinných Předpisů o ochraně
osobních údajů, pokud se jedná o Osobní údaje Správce.
7.4 Zpracovatel spolupracuje se Správcem dle jeho potřeb a
Pokynů tak, aby Správci umožnil jakýkoli výkon práv subjektu
údajů podie Předpisů o ochraně osobních údajů, pokud jde o
Osobní údaje Správce, a vyhověl jakémukoli požadavku,
dotazu, oznámení nebo šetření dle Předpisů o ochraně
osobních údajů nebo dle této Smlouvy, což zahrnujet
7.4.1 poskytnutí veškerých údajů požadovaných Správcem v
přiměřeném časovém období specifikovaném Správcem, a
to v.e všech případech a včetně úplných podrobností a
kopií stížnosti; sdělení nebo žádosti a jakýchkoli
Osobních údajů Správce, které Zpracovatel ve vztahu k
subjektu údajů zpracovává;
7.4.2 poskytnutí takové asistence, kterou může Správce
rozumně požadovat, aby mohl vyhovět příslušné žádosti
ve lhůtách stanovených Předpisy o ochraně osobních
údajů;
7.4.3 implementaci dodatečných technických a organizačních
opatření, které může Správce rozumně požadovat, aby
mohl účinně reagovat na příslušné stížnosti, sdělení
nebo žádosti!
8 Porušení zabezpečení osobních údajů
8.1 Zpracovatel je povinen bez zbytečného odkladu a v každém
případě nejpozději do 24 hodin od zjištění porušení
informovat Správce o tom, že došlo k porušení zabezpečení
Osobních údajů Správce nebo existuje důvodné podezření' z
porušení zabezpečení Osobních údajů Správce, Zpracovatel
poskytne Správci dostatečné informace, které mu umožní
splnit veškeré povinnosti týkající ohlašování a oznamování
případů porušení zabezpečení osobních údajů podle Předpisů
o ochraně osobn(ch údajů. Takové oznámení musí přinejmenším:
8.1š popisovat povahu porušení zabezpečení osobních údajů,
kategorie a počty
| strana 7 stran 13
dotčených subjektů údajů a kategorie a specifikace
záznamů o osobních údajích;
8.1 .2 jméno a kontaktní údaje. pověřence pro ochranu osobních
údajů Zpracovatele nebo jiného příslušného kontaktu, od
něhož lze získat více informací;
8.1.3 popisovat odhadované riziko a pravděpodobné důsledky
porušení zabezpečení osobních údajů;
|
popisovat opatření přijatá nebo navržená k řešení
porušení zabezpečení osobních údajů.
8.2 Zpracovatel spolupracuje se Správcem a podniká takové
přiměřené kroky, které jsou řízeny Správcem, aby napomáhal
vyšetřování, zmírňování a nápravě každého porušení osobních
údajů.
V případě porušení zabezpečení osobních údajů Zpracovatel
neinformuje žádnou třetí stranu bez předchozího písemného
souhlasu Správcei pokud takové oznámení nevyžaduje právo EU
nebo členského státu, které se na Zpracovatele vztahuje. V
takovém případě je Zpracovatel povinen, v rozsahu povoleném
takovým právem, informovat Správce o tomto právním
požadavku, poskytnout kopii navrhovaného oznámení a zvážit
veškeré připomínk% které provedl Správce před tím, než
porušení zabezpečení osobních údajů oznámí.
9 Posouzení vlivu na ochranu osobních údajů a
předchozí konzultace
9.1 Zpracovatel poskytne Správci přiměřenou pomoc ve všech
případech posouzení vlivu na ochranu osobních údajů, které
jsou vyžadovány čl. '35 GDPR, a s veškerými předchozími
konzultacemi s jakýmkoli dozorovým úřadem Správce, které
jsou požadovány podte čl. 36 GDPR, a to vždy pouze ve vztahu
ke zpracovávání Osobních údajů Správce Zpracovatelem a s
ohledem na povahu zpracování a informace, které má
Zpracovatel k
10 Vymazání nebo vrácení Osobních údajů Správce
10.1 Zpracovatel musí neprodlené a v každém případě do 90
(devadesáti) kalendářních dnů po: (i) ukončení zpracování
Osobních údajů Správce Zpracovatelem nebo (ii) ukončení
Hlavní smlouvy, podle volby Správce (tato volba bude písemně
oznámena Zpracovateli Pokynem Správce) buď:
10.1.1 vrátit úplnou kopii všech Osobních údajů Správce
Správci zabezpečeným přenosem datových souborů v
takovém formátu, jaký oznámii Správce Zpracovateli a
dále. bezpečně a prokazatelně vymazat všechny ostatní
kopie Osobních údajů Správce zpracovávaných
strana 8 stran 13
Zpracovatelem nebo jakýmkoli' autorizovaným dílčím
Podzpracovatelem; nebo
10,1.2 bezpečně a prokazatelně smazat všechny kopie Osobních
údajů Správce zpracovávaných Zpracovatelem nebo
jakýmkoli dalším Podzpracovatelem, přičemž Zpracovatel
poskytněte Správci písemné osvědčení, že plně splnil
požadavky kapitoly 10 této Smlouvy,
102 Zpracovatel může uchovávat Osobní údaje Správce v rozsahu
požadovaném právními předpisy Unie nebo členského státu a
pouze v rozsahu a po dobu požadovanou právními předpisy Unie
nebo členského státu a za předpokladu, že Zpracovatel
zajistí důvěrnost všech těchto osobních údajů Správce a
zajistí, aby tyto osobní údaje Správce byly zpracovávány
pouze pro účely uvedené v právních předpisech Unie nebo
členského státu, které vyžadují jejich ukládání, a nikoliv
pro žádný jiný účel.
11 Právo na audit
11 .1 Zpracovatel na požádání zpřístupní Správci veškeré
informace nezbytné k prokázání souladu s platnými a účinnými
Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny
a dále umožní audity a inspekce ze strany Správce nebo jiného
auditora pověřeného Správcem ve všech místech, kde probíhá
zpracování Osobních údajů Správce. Zpracovatel umožní
Správci nebo jinému auditorovi pověřenému Správcem
kontrolovat, auditovat a kopírovat všechny příslušné
záznamy, procesy a systémyr aby Správce mohl ověřit, že
zpracování Osobních údajú Správce je v souladu s platnými a
účinnými Předpisy o ochraně osobních údajů, touto Smlouvou
a Pokyny. Zpracovatel
| strana 9 stran 13
poskytne Správci plnou spolupráci a na žádost Správce
poskytne Správci důkazy o plnění svých povinností podle této
Smlouvy. Zpracovatel neprodleně uvědomí' Správce, pokud podle
jeho názoru zde uvedené právo na audit porušuje Předpisy o
ochraně osobních údajů. Zpracovatel mÚŽe prokázat plnění
dohodnutých povinností týkajících se ochrany údajů, důkazem
o dodržování schváleného mechanizmu certifikace ISO norem,
kontroly se pak mohou omezit pouze na vybrané procesy,
112 Zpracovatel je povinen zajistitNýkon práva Správce dle
předchozího odstavce také u všech Podzpracovatelü.
12 Mezinárodní předávání Osobních údajů Správce
12.1 Zpracovatel nesmí zpracovávat Osobní údaje Správce sám ani
prostřednictvím Podzpracovatele ve třetí zemi, s výjimkou
těch příjemců ve třetích zemích (pokud existují) uvedených v
příloze č. 3 této Smlouvy (autorizované předání Osobních
údajů Správce), není-li to předem písemně schváleno Správcem.
122 Zpracovatel na žádost Správce okamžitě se Správcem uzavře
(nebo zajistí, aby uzavřel jakýkoli příslušný díčí
Podzpracovatel) smlouvu včetně Standardních smluvních doložek
a/nebo obdobných doložek, které mohou vyžadovat Předpisy o
ochraně osobních údajů, pokud jde o jakékoli zpracování
Osobních údajů Správce ve třetí zemi.
13 Všeobecné podmínky
13.1 Smluvní strany si ujednaly, že tato Smlouva zanikne s
ukončením účinnosti Hlavní smlouvy. Tím nejsou dotčeny
povinnosti Zpracovatele, které dle této Smlouvy či ze své
povahy trvají i po jejím zániku.
13.2 Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.
13.3 Jakékoli porušení této Smlouvy představuje závažné porušení
Hlavní smlouvy. V případě existence více smluvních vztahů se
jedná o porušení každé smlouvy, dle které probíhalo
zpracování Osobních údajů Správce.
13,4 V případě nesrovnalostí mezi ustanoveními této Smlouvy a
jakýchkoli jiných dohod mezi
Smluvními stranami, včetně, avšak nikoliv výlučně, Hlavní
smlouvy, mají ustanovení této Smlouvy přednost před
povinnostmi Smluvních stran týkajících se ochrany osobních
údajů.
13.5 Pokud se ukáže některé ustanovení této Smlouvy neplatné,
neúčinné nebo nevymahatelné, zbývající části Smlouvy
zůstávají v platnosti. Ohledně neplatného, neúčinného nebo
nevymahatelného ustanovení se Smluvní strany zavazují, že (i)
dodatkem k této Smlouvě upraví tak, aby byla zajištěna jeho
platnost, účinnost a vymahatelnost; a to při co největším
zachování původních záměrů Smluvních stran nebo, pokud to
není možné, (ii) budou vykládat toto ustanovení způsobem,
jako by neplatná, neúčinná nebo nevymahatelná část nebyla
nikdy v této Smlouvě obsažena.
strana stran 13
13.6 Tato Smtouva• je sepsána v 4 stejnopisech, přičemž Správce
obdrží po 2 vyhotovení a Zpracovatel 2 vyhotovení.
1 Veškeré změny této Smlouvy je možné provést formou vzestupně
číslovaných písemných dodatků podepsaných oběma. Smluvními
stranami. Pro vyloučení všech pochybností si Smluvní strany
ujednávají, že tímto ustanovením není dotčeno udělení Pokynu
Správce ke zpracování Osobních údajů Správce, který tato
Smlouva předvídá*
13.8 Tato Smlouva nabývá platnosti a účinnosti dnem podpisu obou
Smluvních stran.
(„Správce”) („Zpracovatel”)
PŘÍLOHA č. 1 : PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH
ÚDAJŮ SPRÁVCE
Tato příloha 1 obsahuje některé podrobností o zpracování osobních
údajů jak vyžaduje čl. 28 odst. 3 GDPR,
Předmět a trvání zpracování osobních údajů
Správce
Předmětem zpracování osobních údajů jsou tyto kategorie:
Doba tNání zpracování osobních údajů Správce je totožná s dobou
trvání Hlavní smlouvy, pokud z ustanovení Smlouvy nebo z Pokynu
Správce nevyplývá, že mají trvat i po zániku její účinnosti.
2 Povaha a účel zpracování osobních údajů správce
Povaha zpracování osobních údajů Správce
Zpracovatelem je:
Zpracování
Automatizované zpracování
Profilování nebo automatizované rozhodování
| strana 11 stran 13
Účelem zpracování osobních údajů Správce Zpracovatelem je:
3 Druh osobních údajů správce, které mají být
zpracovány
Druh osobních údajů (zaškrtněte):
E Osobní údaje (viz výše odst. 1)
ü Osobní údaje zvláštní kategorie
dle ČI, 9 GDPR
4 Kategorie subjektů údajů, které jsou zpracovávány
pro správce
PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
1. Organizační bezpečnostní opatření
1 .1, Správa zabezpečení
a. Bezpečnostní politika a postupy: Zpracovatel musí mít.
dokumentovanou bezpečnostní politiku týkající se
zpracování osobních údajú.
b. Role a odpovědnosti:
role a odpovědnosti související se zpracováním osobních
údajů jsou jasně definovány a přiděleny v souladu s
bezpečnostní politikou;
ii. během interních reorganizací nebo při ukončení a
změně zaměstnání je ve shodě s příslušnými postupy
jasně definováno zrušení práv a povinností.
c. Politika řízení přístupu: každé roli, která se podílí na
zpracování osobních údajů, jsou přidělena specifická práva
k řízení přístupu podle zásady 'I need-to-know. tl
Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT
používaných pro zpracování osobních údajů (hardwaru,
softwaru a sítě), Je určena konkrétní osoba, která je
odpovědná za udržování a aktualizaci tohoto registru
(např.. manažer IT).
e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT
systémů byly registrovány a monitorovány konkrétní osobou
(např. IT manažer nebo manažer bezpečnosti). Je zavedeno
pravidelné monitorování tohoto procesu.
12. Reakce na incidenty a kontinuita provozu
a. Řízení incidentů / porušení osobních údajů:
| strana 12 stran 13
je definován plán reakce na incidenty s podrobnými
postupy, aby byla zajištěna účinná a včasná reakce na
incidenty týkající se osobních údajů;
ii. Zpracovatel bude bez zbytečného odkladu informovat
Správce o. jakémkoli bezpečnostním incidentu, který
vedl ke ztrátě, zneužití nebo neoprávněnému získání
jakýchkoli osobních údajů.
b. Kontinuita provozu: Zpracovatel stanoví hlavní postupy a
opatření, které jsou dodržovány pro zajištění požadované úrovně
kontinuity a dostupnosti systému zpracování. osobních údajů (v
případě incidentu / porušení osobních údajů).
1.3. Lidské zdroje
a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby
všichni- zaměstnanci rozuměli svým odpovědnostem a
povinnostem týkajících se zpracování osobních údajů; role
a odpovědnost jsou jasně komunikovány během procesu před
nástupem do zaměstnání a / nebo při zácviku;
b. Školení: Zpracovatel zajišťuje, že všichni zaměstnanci
jsou dostatečně informováni o bezpečnostních opatřeních IT
systému, která se vztahují k jejich každodenní práci;
zaměstnanci, kteří se podílejí na zpracování osobních
údajů, jsou rovněž řádně informováni o příslušných
požadavcích na ochranu osobních údajů. a právních závazcích
prostřednictvím pravidelných informačních kampaní.
2. Technická bezpečnostní opatření
2.1. Kontrola přístupu a autentizace
a. Je implementován systém řízení přístupu, který je použitelný
pro všechny uživatele přistupující k IT systému. Systém umožňuje
vytvářet, schvalovat, kontrolovat a odstraňovat uživatelské
účty.
b, Je- vyloučeno používání sdílených uživatelských účtů. V
případech, kdy je to nezbytné je zajištěno, že všichni
uživatelé společného účtu mají stejné role a povinnosti.
c. Při poskytování přístupu nebo přiřazování uživatelských
rolí je nutno dodržovat zásadu il need mto-knowIE , aby se
omezil počet uživatelů, kteří mají přístup k osobním údajům
pouze na ty, kteří je potřebují pro naplnění procesních
cílů zpracovatele.
d. Tam, kde jsou mechanismy autentizace založeny na heslech,
Zpracovatel zajišťuje, aby heslo mělo alespoň osm znaků a
vyhovovalo požadavkům na velmi silná hesla, včetně délky,
složitosti znaků a neopakovatelnosti,
| strana 13 stran 13
e. Autentifikační pověření (například uživatelské jméno a
heslo) se nikdy nesmějí předávat přes sít.
2.2. Logování a monitorování
a. Log soubory jsou ukládány pro každý systém / aplikaci
používanou pro zpracování osobních údajů. Log soubory
obsahují všechny typy přístupu k údajům (zobrazení,
modifikace, odstranění).
2.3. Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze
i. Databázové a aplikační' servery jsou nakonfigurovány
tak, aby fungovaly pomocí samostatného účtu s
minimálním oprávněním operačního systému pro
zajištění řádné funkce.
ii. Databázové a aplikační servery zpracovávají pouze
osobní údaje, které jsou pro naplnění účelů
zpracování skutečně nezbytné.
b. Zabezpečení pracovní stanice
Uživatelé nemohou deaktivovat nebo obejít nastavení
zabezpečení.
ii.Jsou pravidelně aktualizovány antivirové aplikace a
detekční signatury.
Uživatelé nemají oprávnění k instalaci nebo aktivaci
neoprávněných softwarových aplikací.
iv, Systém má nastaveny časové limity pro odhlášení*
pokud uživatel není po určitou dobu aktivní.
| strana 14 stran 13
V. Jsou pravidelné instalovány kritické bezpečnostní
aktualizace vydané vývojářem operačního systému.
2.4. Zabezpečení sítě / komunikace
a. Kdykoli je přístup prováděn přes internet, je komunikace
šifrována pomocí kryptografických protokolů,
b. Provoz do a z IT systému je sledován a řízen
prostřednictvím Firewallů a IDS (Intrusion Detection
Systems).
2.5. Zálohování
a. Jsou definovány postupy zálohování a obnovení údajů* jsou
zdokumentovány a jasně spojeny s úlohami a povinnostmi.
b. Zátohování je poskytována odpovídající úroveň fyzické
ochrany a ochrany životního prostředí.
c. Je monitorována úplnost prováděních záloh.
2.6. Mobilní / přenosná zařízení
a. Jsou definovány a dokumentovány postupy pro řízení
mobilních a přenosných zařízení a jsou stanovena jasná
pravidla pro jejich správné používání.
b. Jsou předem registrována a předem autorizována mobilní zařízení,
která mají přístup k informačnímu systému.
2.7. Zabezpečení životního cyklu aplikace
a. V průběhu životního cykiu vývoje aplikací jsou využívány
nejlepší a nejmodernějších postupy a uznávané postupy
bezpečného vývoje nebo odpovídající normy.
2.8. Vymazání I odstranění údajů
a. Před vyřazením médií bude provedeno jejich přepsání při
použití software. V případech, kdy to není možné (CD, DVD
atd.), bude provedena jejich fyzická likvidace / destrukce.
b. Je prováděna skartace papírových dokumentů a přenosných
médií sloužících k ukládání osobních údajů.
2.9. Fyzická bezpečnost
a. Fyzický perimetr infrastruktury informačního systému není
přístupný neoprávněným osobám. Musí být zavedena vhodná
technická opatření (např. turniket ovládaný čipovou kartou,
vstupní zámky) nebo organizační opatření (např. bezpečnostní
| strana 15 stran 13
ostraha) pro ochranu zabezpečených oblastí a jejich přístupových
míst proti vstupu neoprávněných osob.
PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDÁNÍ OSOBNÍCH ÚDAJŮ
SPRÁVCE
Seznam schválených podzpracovatelů. Uveďte prosím (i). úplný
název podzpracovatele; (ii) činnosti zpracováníi (iii) umístění
středisek služeb.
Č. Schválený Činnost Umístění
podzpracovatel zpracování středisek služeb
strana 16 stran 13