Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Příloha č. 2
Podmínky zpracování osobních údajů
Toto Ujednání o zpracování osobních údajů („Ujednání”) bylo uzavřeno podle čl. 28 (3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“).
Objednatel je správcem osobních údajů, Dodavatel jako Zpracovatel bude při činnosti pro Správce podle Smlouvy zpracovávat dále specifikované osobní údaje ve smyslu GDPR (dále jen „Osobní údaje“).
Smluvní strany se dohodly na následujícím:
1. Prohlášení Smluvních stran
1.1. Zpracovatel prohlašuje, že je oprávněn uzavřít toto Ujednání a plnit povinnosti Zpracovatele v něm uvedené.
1.2. Správce prohlašuje, že je oprávněn uzavřít a plnit toto Ujednání a pověřit Zpracovatele zpracováním Osobních údajů za podmínek dále sjednaných.
2. Předmět a účel Ujednání
2.
2.1. Účelem tohoto Ujednání je vymezení práv a povinností Smluvních stran v souvislosti se zpracováním Osobních údajů tak, aby (a) zpracování Osobních údajů probíhalo v souladu s GDPR a souvisejícími právními předpisy; a zároveň (b) byla zajištěna dostatečná a účinná ochrana zpracovávaných Osobních údajů.
2.2. Správce pověřuje Zpracovatele zpracováním Osobních údajů za podmínek dále sjednaných. Zpracovatel pověření Správce přijímá.
2.3. Zpracovatel nemá nárok na zvláštní odměnu za plnění jeho povinností podle tohoto Ujednání. Taková odměna je zahrnuta v odměně Zpracovatele podle Smlouvy.
3. Doba trvání zpracování
3.
3.1. Zpracovatel bude Osobní údaje zpracovávat po dobu trvání Smlouvy.
3.2. Nedohodnou-li se Smluvní strany písemně jinak, nejpozději do 10 pracovních dnů po uplynutí doby zpracování Osobních údajů podle čl. 3 tohoto Ujednání Zpracovatel vrátí všechny Osobní údaje a jejich kopie Správci, včetně nosičů poskytnutých Správcem, a to tak, aby po této době Zpracovatel nedisponoval žádnými osobními údaji, které získal od Správce.
4. Povaha a účel zpracování
4.
4.1. Ke zpracování Osobních údajů ze strany Zpracovatele bude docházet výlučně v souvislosti s plněním Smlouvy, tj. Zpracovatel je oprávněn zpracovávat osobní údaje účastníků e-learningového kurzu za účelem provozování systému sloužícího k objednávání těchto kurzů, evidenci průběhu vzdělávání zaměstnanců Správce a vydávání osvědčení o absolvování kurzu. Bez předchozího písemného souhlasu Správce není Zpracovatel oprávněn zpracovávat Osobní údaje pro žádné další účely.
4.2. Zpracovatel se zavazuje provádět zpracování Osobních údajů pouze na základě pokynů Správce, v rozsahu, za účelem, po dobu a při dodržení záruk stanovených tímto Ujednáním. Správce odpovídá za pokyny udělené Zpracovateli ve vztahu ke zpracování Osobních údajů; to nezbavuje Zpracovatele povinnosti informovat Správce v případě, že podle jeho názoru konkrétní pokyn porušuje obecně závazné právní předpisy týkající se ochrany osobních údajů.
4.3. Zpracování Osobních údajů podle tohoto Ujednání může probíhat jen v zemích Evropské unie nebo Evropského hospodářského prostoru. Jakékoliv předání Osobních údajů do třetí země (mimo EU a EHP) vyžaduje předchozí souhlas Správce.
5. Osobní údaje
5.
5.1. Zpracovatel bude zpracovávat Osobní údaje poskytnuté Zpracovateli Správcem v souvislosti se Smlouvou a za účelem jejího plnění.
5.2. Zpracovatel bude zpracovávat Osobní údaje výhradně v rozsahu nezbytném pro naplnění účelu zpracování podle čl. 4 tohoto Ujednání.
5.3. Subjekty osobních údajů jsou: zaměstnanci hl. města Prahy zařazeni do Magistrátu hl. m. Prahy (dále jen „zaměstnanci Magistrátu hl. m. Prahy“).
5.4. Zpracovatel bude zpracovávat osobní údaje v rozsahu poskytnutém Správcem. Jedná se o následující typy osobních údajů: jméno, příjmení a akademický titul; datum a místo narození; e-mail; pracovní zařazení v rámci Magistrátu hl. m. Prahy; datum nástupu do zaměstnání; začátek tříletého cyklu pro vzdělávání dle zákona o úřednících.
5.5. Zpracovatel je oprávněn provádět s osobními údaji následující operace: shromáždění, vyhledávání, uchovávání, používání, likvidace, výmaz, zničení, ukládání na nosiče dat, zaznamenávání, třídění, srovnávání, oprava, úprava, doplnění.
6. Zabezpečení Osobních údajů
6.
6.1. Zpracovatel prohlašuje a zavazuje se, že jím přijatá opatření k zabezpečení Osobních údajů splňují požadavky GDPR na zabezpečení Osobních údajů a že bude zpracovávat Osobní údaje v souladu s GDPR, jakož i souvisejícími právními předpisy na ochranu osobních údajů.
6.2. Zpracovatel přijme a bude dodržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich neoprávněné změně, zničení, ztrátě, zpracování či zneužití. Zpracovatel provede a po dobu účinnosti tohoto Ujednání bude dodržovat minimálně následující technická a organizační opatření k zabezpečení Osobních údajů: zámky, elektronické zabezpečení, přístupová práva, bezpečnostní zálohy, antivirová ochrana, uživatelské profily a logy. Zpracovatel v případě potřeby provede další vhodná technická a organizační opatření, aby zajistil odpovídající a vhodnou úroveň zabezpečení Osobních údajů (s ohledem na stav techniky, nutné náklady, povahu, rozsah, kontext, účely a rizika prováděného zpracování).
6.3. Zpracovatel bude zpracovávat Osobní údaje manuálně v listinné podobě a v elektronické podobě pomocí prostředků informačních technologií.
6.4. Při manuálním zpracování Osobních údajů Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů:
0. v době mimo aktivní práci s Osobními údaji musí být Osobní údaje uloženy v uzamčených prostorách. Klíče od uzamčených prostor mají pouze Zpracovatelem určené osoby oprávněné zpracovávat Osobní údaje (pověření zaměstnanci Zpracovatele, dále jen „Oprávněné osoby“);
0. v době aktivní práce s Osobními údaji odpovídá za ochranu Osobních údajů Oprávněná osoba, která s nimi pracuje, zejména odpovídá za to, že se s Osobními údaji neseznámí neoprávněná osoba;
0. o předání Osobních údajů musí být učiněn záznam, který umožní určit, kdy, komu a proč byly Osobní údaje předány;
0. Osobní údaje nelze posílat faxem;
0. pokud je k výkonu činností podle Smlouvy potřebné vytvořit kopii Osobních údajů, bude s takovou kopií nakládáno jako s originálem a aplikují se na ni ustanovení tohoto Ujednání.
6.5. Při zpracování Osobních údajů v elektronické podobě Zpracovatel přijme a bude dodržovat zejména níže uvedené zásady zabezpečení Osobních údajů:
(a) elektronická data obsahující Osobní údaje budou ukládána a dále zpracovávána výhradně na nosičích (např. přenosných či nepřenosných datových nosičích, síťových datových úložištích), které jsou v majetku či v oprávněném užívání Správce nebo Zpracovatele;
(b) přístup k Osobním údajům mají pouze příslušné Oprávněné osoby s využitím individuálních přístupových údajů, a to v rozsahu odpovídajícím oprávnění příslušné Oprávněné osoby;
(c) o zpracování Osobních údajů budou pořizovány elektronické záznamy, které umožní určit, kdy, kým a z jakého důvodu byly Osobní údaje zpracovány;
(d) nosiče Osobních údajů budou zabezpečeny a chráněny před neoprávněným přístupem.
6.6. Zpracovatel je povinen vést seznam Oprávněných osob. Zpracovatel je povinen dokumentovat technická a organizační opatření přijatá k ochraně Osobních údajů, pravidelně tuto dokumentaci aktualizovat a na vyžádání ji předložit Správci ke kontrole. Zpracovatel předloží Správci na vyžádání veškeré zprávy dokumentující bezpečnostní audity provedené Zpracovatelem nebo Zpracovatelem určeným auditorem. Zpracovatel umožní audity a inspekce prováděné Správcem nebo jiným auditorem k prověření zabezpečení osobních údajů, a to po předchozím oznámení ze strany Správce.
6.7. Zpracovatel má povinnost předcházet porušení zabezpečení Osobních údajů. Pokud na straně Zpracovatele přesto dojde k porušení zabezpečení Osobních údajů, je Zpracovatel povinen:
(a) okamžitě přijmout veškerá vhodná nápravná opatření s cílem odstranit příčiny takového porušení;
(b) neprodleně, v každém případě nejpozději do 24 hodin od narušení zabezpečení osobních údajů informovat Správce spolu s uvedením podrobností (zejména odhadovaný počet dotčených subjektů údajů, rozsah dotčených osobních údajů, dopady narušení zabezpečení osobních údajů a popis opatření přijatých Zpracovatelem). Oznámení je Zpracovatel povinen učinit též telefonicky a emailem na kontaktní údaje Správce uvedené v záhlaví Smlouvy. V otázkách ochrany osobních údajů je také možné kontaktovat pověřence pro ochranu osobních údajů, který je u správce ustanoven, e-mail: poverenecgdpr@praha.eu;
(c) bezodkladně přijmout taková opatření, aby se narušení bezpečnosti osobních údajů nemohlo v budoucnu opakovat, včetně opatření požadovaných Správcem;
(d) na žádost Správce poskytnout Správci součinnost při oznamování porušení zabezpečení Osobních údajů dozorovému úřadu a/nebo Subjektům údajů.
6.8. Splněním povinností Zpracovatele podle čl. 6.7 tohoto Ujednání není dotčena jeho povinnost nahradit v plném rozsahu případnou újmu vzniklou v souvislosti s narušením zabezpečení osobních údajů zpracovávaných Zpracovatelem pro Správce.
6.9. Zpracovatel bude neprodleně informovat Správce v případě, že na straně Zpracovatele hrozí či dojde k porušení tohoto Ujednání.
7. Odpovědnost Zpracovatele
7.
7.1. Zpracovatel nese plnou odpovědnost za újmu vzniklou Správci a/nebo Subjektu údajů v případě, že (a) nesplní povinnosti stanovené mu tímto Ujednáním; (b) nesplní povinnosti stanovené konkrétně pro zpracovatele GDPR nebo jiným obecně závazným právním předpisem; a/nebo (c) jedná nad rámec či v rozporu s pokyny Správce podle tohoto Ujednání.
7.2. V případě vzniku újmy podle čl. 7 se Zpracovatel zavazuje (a) nahradit Správci veškerou vzniklou újmu (zahrnující též skutečnou škodu a ušlý zisk) a veškeré náklady vynaložené Správcem v příčinné souvislosti s porušením tohoto Ujednání ze strany Zpracovatele; a (b) nahradit Subjektu údajů vzniklou škodu a/nebo odčinit nemajetkovou újmu přiměřeným zadostiučiněním v penězích, a to bez zbytečného odkladu poté, co jej k tomu Správce vyzve, nejpozději však do 20 pracovních dnů od výzvy Správce.
7.3. V případě, že Zpracovatel poruší některou z níže uvedených povinností podle tohoto Ujednání, zavazuje se zaplatit Správci smluvní pokuty ve sjednané výši, a to za každé jednotlivé porušení takové povinnosti. Zpracovatel zaplatí Správci smluvní pokutu do 10 pracovních dnů poté, co jej Správce k jejímu zaplacení vyzve. Sjednáním a zaplacením smluvní pokuty není dotčen nárok Správce na náhradu škody vzniklé z porušení povinnosti, ke kterému se smluvní pokuta vztahuje. Smluvní strany sjednávají následující smluvní pokuty:
1. smluvní pokutu ve výši 20 000,-Kč Kč pro případ porušení povinnosti Zpracovatele podle čl. 3, 3.2, 4 nebo 4.3 tohoto Ujednání a dále ve výši 2 000,- Kč za každý den trvání takového porušení až do jeho odstranění Zpracovatelem; a
1. smluvní pokutu ve výši 40 000,-Kč Kč pro případ porušení povinnosti Zpracovatele podle čl. 6, 6.2, 6.4, 6.5, 6.7, 6.9, 8.2 nebo 9.2 tohoto Ujednání.
8. Důvěrnost
8.
8.1. Zpracování osobních údajů podle tohoto Ujednání má důvěrnou povahu.
8.2. Zpracovatel není bez předchozího písemného souhlasu Správce oprávněn zpřístupňovat či předávat Osobní údaje třetím osobám. Správce výslovně souhlasí s tím, aby Zpracovatelem zpracovávané Osobní údaje byly v potřebném rozsahu zpřístupněny Oprávněným osobám. Zpracovatel odpovídá za to, aby se Oprávněné osoby zavázaly k mlčenlivosti; to neplatí, pokud se na příslušné Oprávněné osoby vztahuje povinnost mlčenlivosti podle obecně závazných právních předpisů.
8.3. Zpracovatel bere na vědomí, že jej Správce za účelem splnění svých povinností podle GDPR bude uvádět jako svého zpracovatele a příjemce Osobních údajů.
9. Práva a povinnosti Smluvních stran
9.
9.1. Smluvní strany jsou při zpracování osobních údajů podle tohoto Ujednání povinny postupovat tak, aby neporušily žádnou povinnost uloženou jim GDPR či jiným obecně závazným právním předpisem.
9.2. Zpracovatel nesmí sdružovat osobní údaje zpracovávané podle tohoto Ujednání s osobními údaji, které zpracovává pro jiné správce nebo k rozdílným účelům.
9.3. Zpracovatel je povinen předem a v dostatečném předstihu oznámit Správci zahájení kontroly či šetření ze strany Úřadu pro ochranu osobních údajů nebo jiného dozorového orgánu a poskytovat Správci podrobné informace o průběhu takové kontroly, jakož i o případných navazujících správních či soudních řízeních. V případě, že Úřad pro ochranu osobních údajů nebo jiný dozorový orgán zahájí kontrolu či šetření Správce, je Zpracovatel povinen poskytovat Správci při této kontrole veškerou potřebnou součinnost.
9.4. Zpracovatel poskytne Správci včasnou součinnost v případě, kdy Subjekt údajů uplatňuje svá práva na přístup k osobním údajům, na opravu, na výmaz, na omezení zpracování a na přenositelnost Osobních údajů, a to v rozsahu, v jakém se právo uplatněné ze strany Subjektu údajů týká zpracování prováděného Zpracovatelem. Zpracovatel poskytne požadovanou součinnost nejpozději do 5 pracovních dnů od doručení žádosti Správce o její poskytnutí.
9.5. Zpracovatel je povinen vést záznamy o činnostech zpracování podle čl. 30 odst. 2 GDPR. Zpracovatel předloží Správci na jeho žádost záznamy o činnostech zpracování, které jsou prováděny pro Správce.
10. Závěrečná ustanovení
10.
10.1. Vztahy tímto Ujednáním výslovně neupravené se řídí GDPR a dalšími obecně závaznými právními předpisy České republiky v platném a účinném znění.
10.2. Smluvní strany vylučují použití ustanovení § 557, § 558 odst. 2 věta druhá (obchodní zvyklosti nemají přednost před dispozitivními ustanoveními zákona), § 1740 odst. 3 věta první, § 1765, § 1766 a § 1798 zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, na vztahy založené touto Smlouvou.
10.3. V případě, že kterékoliv ustanovení tohoto Ujednání je nebo se stane či bude shledáno neplatným, zdánlivým nebo nevymahatelným, neovlivní to (v maximálním rozsahu povoleném právními předpisy) platnost a vymahatelnost zbývajících ustanovení tohoto Ujednání. Smluvní strany se v takovém případě zavazují nahradit neplatné, zdánlivé či nevymahatelné ustanovení sjednáním ustanovení platného a vymahatelného, které bude mít do nejvyšší možné míry stejný a právními předpisy přípustný význam a účinek, jako mělo ustanovení, jež má být nahrazeno.