Textová podoba smlouvy Smlouva č. 28853640: I/53 Znojmo - Lechovice - Odborná technická pomoc po ukončení

                        l ŘEDITELSTVÍ s
= [z] č ILNIC A DÁLNIC $.P.
: £ PID: RSDEXALVTF
AN ní [R]! Doručeno: 21.05.2024 13:05

Listu dokumentu: 1

MW p: ine 35856 PRILOHA: 1(1)

OBJEDNÁVKA

Číslo objednávky: 03PT-005845
Evidenční číslo (ISPROFIN/ISPROFOND): 327 112 6319
Název veřejné zakázky:
„I/53 Znojmo - Lechovice - Odborná technická pomoc po ukončení smluvního vztahu
pro výkon ÚOZI-O stavby“

Objednatel: Dodavatel:

Ředitelství silnic a dálnic s. p. KVADRANT, spol. s r.o.
Závod Brno, Sumavská 31, 602 00 Brno Pechova 44, 615 00 Brno
IČO: 65993390 IČO: 46904468

DIC: CZ65993390 DIC: CZ46904468

zapsaný v obchodním rejstříku pod sp. zn.: A 80478
vedenou u Městského soudu v Praze

Tato objednávka Objednatele zavazuje po jejím potvrzení Dodavatelem obě smluvní strany ke
splnění stanovených závazků a nahrazuje smlouvu. Dodavatel se zavazuje provést na svůj
náklad a nebezpečí pro Objednatele služby specifikované níže. Objednatel se zavazuje zaplatit
za služby poskytnuté v souladu s touto objednávkou cenu uvedenou níže.

Místo dodání: silnice 1/53 Znojmo - Lechovice

Fakturujte: Ředitelství silnic a dálnic s. p., Na Pankráci 56, 140 00 Praha 4

Faktury v elektronické formě zasílejte: datovou schránkou (ID DS zjg4rhz) nebo e-mailem

v národním standardu pro elektronickou fakturaci ISDOC verze 5.2.
až 6.0.2 (preferovaný formát) nebo ve formátu Portable Document Format for the Long-term
Archiving, tzv. PDF/A a vyšší. Na faktuře bude uvedeno číslo objednávky Objednatele, pokud
je faktura ve formátu ISDOC v příslušných elementech, případně u faktur ve formátu PDF
V poznámce.

Obchodní a platební podmínky: Objednatel uhradí cenu jednorázovým bankovním převodem
na účet Dodavatele uvedený na faktuře, termín splatnosti je stanoven na 30 dnů ode dne
doručení faktury Objednateli. Fakturu lze předložit nejdříve po protokolárním převzetí služeb
Objednatelem bez vad či nedodělků. Faktura musí obsahovat veškeré náležitosti stanovené
platnými právními předpisy, číslo objednávky 03PT-005845, místo dodání a Evidenční číslo

Stránka 123

(ISPROFIN/ISPROFOND) 327 112 6319. Objednatel neposkytuje žádné zálohy na cenu, ani
dílčí platby ceny. Potvrzením přijetí (akceptací) této objednávky se Dodavatel zavazuje plnit
veškeré povinnosti v této objednávce uvedené. Objednatel výslovně vylučuje akceptaci
objednávky Dodavatelem s jakýmikoliv změnami jejího obsahu, k takovému právnímu jednání
Dodavatele se nepřihlíží. Dodavatel poskytuje souhlas s uveřejněním objednávky a jejího
potvrzení v registru smluv zřízeným zákonem č. 340/2015 Sb., o zvláštních podmínkách
účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších
předpisů (dále jako „zákon o registru smluv“), Objednatelem. Objednávka je účinná
okamžikem zveřejnění v registru smluv. Objednatel je oprávněn kdykoliv po uzavření
objednávky tuto objednávku vypovědět s účinky od doručení písemné výpovědi Dodavateli, a

sv wr

poskytnuté plnění včetně práv a povinností z něj vyplývajících. Tuto objednávku je možné
měnit pouze prostřednictvím vzestupně číslovaných dodatků uzavřených v listinné podobě.

Pokud se na jakoukoliv část plnění poskytovanou Poskytovatelem vztahuje GDPR (Nařízení
Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)), je Poskytovatel povinen
zajistit plnění svých povinností v GDPR stanovených. V případě, kdy bude Poskytovatel v
kterémkoliv okamžiku plnění svých smluvních povinností zpracovatelem osobních údajů
poskytnutých Objednatelem nebo získaných pro Objednatele, je povinen na tuto skutečnost
Objednatele upozornit a bezodkladně (vždy však před zahájením zpracování osobních údajů) s
ním uzavřít Smlouvu o zpracování osobních údajů, která tvoří přílohu č. 2 této Objednávky.
Smlouvu dle předcházející věty je dále Poskytovatel s Objednatelem povinen uzavřít vždy,
když jej k tomu Objednatel písemně vyzve.

Objednatel použije přijaté plnění pro účely, které nejsou předmětem DPH a ve vztahu k danému
plnění nevystupuje jako osoba povinná k této dani.

Objednáváme u Vás: odbornou technickou pomoc po ukončení smluvního vztahu pro výkon
UOZIT-O stavby 1/53 Znojmo - Lechovice.

Lhůta pro dodání či termín dodání: plnění dodejte ve lhůtě do 06/2024, konkrétní datum a
čas dodávky v rámci stanovené lhůty předem dohodněte
s kontaktní osobou Objednatele.

Požadované výstupy: závěrečná zpráva.

Celková hodnota objednávky v Kč bez DPH / vč. DPH: 84 500 Kč / 102 245 Kč

V případě akceptace objednávky Objednatele Dodavatel objednávku podepíše a zašle
písemně 2x potvrzené vyhotovení objednávky zpět na adresu Objednatele. Následně obdrží 1
vyhotovení podepsané oběma Smluvními stranami Objednatel a 1 vyhotovení podepsané
oběma Smluvními stranami Dodavatel

Dodavatel akceptací této objednávky současně čestně prohlašuje, že

w

(1) není ve střetu zájmů dle $ 4b zákona č. 159/2006 Sb., o střetu zájmů, ve znění
pozdějších předpisů, tj. není obchodní společností, ve které veřejný funkcionář uvedený

Stránka 223


v $ 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů
(člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády)
nebo jím ovládaná osoba vlastní podíl představující alespoň 25 % účasti společníka
v obchodní společnosti,

(2) žádné finanční prostředky, které obdrží za služby poskytnuté v souladu s touto
objednávkou, nepoužije v rozporu s mezinárodními sankcemi uvedenými v $ 2 zákona č.
69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů, zejména, že
tyto finanční prostředky přímo ani nepřímo nezpřístupní osobám, subjektům či orgánům s
nimi spojeným uvedeným v sankčních seznamech" v souvislosti s konfliktem na Ukrajině
nebo v jejich prospěch a

(3) zavazuje se poskytnout veškerou součinnost vůči Objednateli, Státnímu fondu dopravní
infrastruktury a Ministerstvu dopravy ČR v rámci výkonu jejich kontrolní činnosti a to
zejména dle zákona č. 104/2000 Sb., o Státním fondu dopravní infrastruktury, zákona č.
320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon
o finanční kontrole), ve znění pozdějších předpisů, zákona č. 255/2012 Sb., o kontrole
(kontrolní řád), ve znění pozdějších předpisů, zákona č. 13/1997 Sb., o pozemních
komunikacích, ve znění pozdějších předpisů a vyhlášky č. 104/1997 Sb., kterou se provádí
zákon o pozemních komunikacích. V rámci poskytnuté součinnosti Dodavatel mimo jiné
poskytne Objednateli, Státnímu fondu dopravní infrastruktury nebo Ministerstvu dopravy

ČR veškeré podklady a údaje potřebné pro prováděnou kontrolu.

Nedílnou součástí této objednávky jsou následující přílohy:
Příloha č. 1 Soupis prací a služeb
Příloha č. 2 Smlouva o zpracování osobních údajů (vzor)

VBrnědne 2 -15- 2024 V Brně dne 16. 5. 2024

Za Objednatele: Za Dodavatele:

! Zejména, ale nikoli výlučně, v přílohách nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014 o omezujících
opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost
Ukrajiny a nařízení Rady (EU) č. 208/2014 ze dne 5. března 2014 o omezujících opatřeních vůči některým osobám,
subjektům a orgánům vzhledem k situaci na Ukrajině, resp. ve vnitrostátním sankčním seznamu vydaném podle
zákona č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů.

Stránka3z3

Příloha č. 1 - Soupis prací a služeb
Název akce: I/53 Znojmo - Lechovice

Odborná technická pomoc po ukončení smluvního vztahu pro výkon ÚOZI-O stavby

03PT-005845

počet cena/
Popis činnosti jednotka jednotek | jednotka cena v Kč
Kontrola realizace stavby -geodetická dokumentace stavby
(GDSPS)před předáním investorovi, zpracování vad a nedodělků
Součinnost při řešení změn v rozsahu prací, jejich dokumentace v |
rámci GDSP, jejich vypořádání
Příprava a poskytnutí dokladů (v součinnosti s TDI)k vyřízení ]
kolaudačního souhlasu pro stabu, zejména potřeba geometrických
plánů (GP) z]
Součinnost a poskytnutí podkladů pro kontrolní činnost autorského
dozoru (AD) |
Pracovní jednání za účasti zhotovitele, TDI a sorávce stavby
Celkem bez DPH 84 500
DPH 21% 17 745
Celkem s DPH 102 245

V Brně dne 16. 5. 2024

ZN

MI“

Smlouva o zpracování osobních údajů

H

uzavřená níže uvedeného dne, měsíce a roku mezi:

Ředitelství silnic a dálnic s. p.

se sídlem Na Pankráci 546/56, 140 00 Praha 4
ičo: 65993390

DIČ: CZ65993390

právní forma: státní podnik

zapsaný v obchodním rejstříku pod sp. zn.: A 80478 vedenou u Městského soudu v Praze

(dále jen „Správce")
a

KVADRANT, spol. s r.o.

se sídlem Pechova 44, 615 00 Brno

čo: 46904468

DIČ: CZ46904468

zápis v obchodním rejstříku: vedeném u KS Brno oddíl C, vložka 6065
právní forma: sruč ý
bankovní spojení:

zastoupen:

kontaktní osoba ve věcech smluvních:
e-mail:

tel:
kontaktní osoba ve věcech technických:
e-mail:
tel:
(dále jen „Zp: nebo „Prvotní Zp )
(Správce a Zpi polečně dále také jako „Smluvní strany“)
ý “ se rozumějí: (a) Podzpracovatelé uvedení v příloze č. 3 této
Pisné i předání O údajů Sprá a (b) další dílčí
předem pí: í v souladu se kapii 6 této Smlouvy.

Nejedná se o osoby, které zpřáčovávájí osobní údaje pro zpracovatele na základě pracovní
smlouvy, dohody o provedení práce či dohody o pracovní činnosti nebo osoby, které se při
provádění svých služeb, tj. plnění smlouvy s obj (jinak zpi údajů),
mohou pouze nahodile dostat do styku s osobními údaji, aniž by osobní údaje jakkoliv
zpracovávaly.

„Službami“ se rozumí Služby, které má Zpracovatel poskytnout Správci podle Hlavní smlouvy.

se rozumí standardní smluvní doložky pro předávání

údajů zpi telům ým ve třetích zemích
komise 2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení schválených
Evropskou komisí, který je mění, doplňuje nebo nahrazuje.

„Třetí zemí“ se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy je tato země
ého a účinného rozhodnutí Evropské komise o odpovídající ochraně
údajů ve třetích zemích.

se rozumí ění nebo zničení O: údajů Spi tak, aby být
obnoveny nebo rekonstruovány.

zp á i údajů“ se rozumí zásada zákonnosti, korektnosti,
p. i, účelovéh inimali údajů, p : í uložení, integrity
a důvěrnosti. Smluvní strany berou na vědomí, že i á údajů či jakýkoli
výklad této Smlouvy musí být v souši s těmito i. Dx Zásady zp í 1
údajů je k disp na ý www.rsd.cz v záložce Organizace pod odkazem
GDPR.

li 2 “, „subjekt údajů“, „osobní údaje“, „zvláštní kategorie
osobních údajů“ a jakékoli další obecné definice neuvedené v této Smlouvě nebo v Hlavní
smlouvě mají stejný význam jako v GDPR.

2 | Podmínky zpracování Osobních údajů Správce

2.1. Vprůběhu poskytování Služeb a/nebo Produktů Pl. nh Hlavní smlouvy je Zpracovatel
oprávněn zpracovávat Osobní údaje Správce jménem pouze za p této
Smlouvy a na základě Pokynů Sp . Zp že bude po celou dobu

p dodrž: í ní týkající se stoctirany Osobních údajů Správce.

2.2 V rozsahu požadovaném platnými a účinnými Předpisy o ochraně osobních „údajů n

Zp skot a uchovávat veškeré p licence, op ap
p údajů Sprá včetně údajů ých v příloze č. 1 job
Smlouvy.
23 Zp musí veškerá a ření pro splnění
žadavků ých v této Sml a jejích pi I je dále povinen dbát
Zásad zpracování osobních údajů a za všech okolností em zásady dodržovat.
2.4 hs účely komunikace a zajištění či aZ

(zej
í údajů, předávání žádostí subjektů údajů), honí.
M v konkrétním případě určeno jinak, pověřily Smluvní strany tyto osoby:

2.41

strana 3 | stran 14

Preambule

i k tomu, že Z I v průběhu poskytování Služeb a/nebo Produktů Správci může
ávat Osobní údaje pi , považují Smluvní strany za zásadní, aby při zpracování těchto

osobních údajů byla zajištěna vysoká úroveň ochrany práv a svobod fyzických osob ve vztahu

k zpi údajů a toto zp bylo v souladu s Předpisy na ochranu

osobních údajů, a to zejm. s Nařízením Evropského parlamentu a uRadý (EU) č. 2016/679 ze dne

27. dubna 2016 o ochraně fyzických osob v islosti se údajů a o volném

pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů),

a proto Smluvní strany ají tuto o ochraně údajů (dále jen „Smlouva“).

1. Definice

Pro účely této Smlouvy se následující pojmy vykládají takto:
„EHP“ se rozumí Evropský hospodářský prostor.

„GDPR“ se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna
2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve znění

opravy ji v Úředním věstník pské unie L 119 ze dne 4. května 2016.

„Hlavní smlouvou“ se rozumí smluvní vztah či smluvní vztahy založené mezi Správcem
aZp na základě ých platných a účinných smluv ých v příloze č. 1 této
Smlouvy.

„Osobními údaji Správce" se rozumí osobní údaje popsané v příloze č. 1 této Smlouvy a veškeré
další osobní údaje zpí ávané Zpi telem jménem Správce podle a/nebo v souvislosti s
Hlavní smlouvou.

„Podzpracovatelem“ se rozumí jakýkoli zpracovatel osobních údajů (včetně jakékoli třetí strany)

ipojený Zpi do zp í O: údajů Správce jménem Správce. Za podmínek
ých touto Sml je F pi ěn zapojit do zpi ání O: údajů
Správce dalšího F le (tzv. řetězení p 1ů).
se rozumí ý pokyn Spi Zp týkající se zp o ích údajů
Správos: Zpracovatel je povinen kdykoliv v průběhu zp: ání údajů pi i i
a obsah Pokynu.
čení údajů“ se rozumí takové p í čení h
tajů, které vede r nebo může přímo vést k neoprávněnému přístupu nebo k neoprávněné
či nahodilé změně, zničení, v či ztrátě údajů, pří k é

vyzrazení nebo přístupu k uloženým, přenášeným nebo jinak zpracovávaným Osobním údajům
Správce.

„Produkty“ se rozumí Produkty, které má Zpracovatel poskytnout Správci dle Hlavní smlouvy.

„Předpisy o ochraně osobních údajů" se rozumí Nařízení Evropského parlamentu a Rady (EU)
č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním

osobních údajů a o volném pohybu těchto údajů a o zrušení l (obecné naří:
o ochraně osobních údajů) ve znění opravy řejněné v Úředním ku Evropské unie L 119
ze dne 4. května 2016, jakož i veškeré národní předpisy upravují hi údajů.

strana 2 | stran 14

2.4.2. osoba jn = aa účpinizzprácavátéh, e-mail: (HoBAEZPračovatéh,
tel: L

Obě strany jsou povinny na zaslání podání neprodleně reagovat nejpozději však do 48 hodin od
zaslání.

3. Zpracování Osobních údajů Správce

3.1 | Zpracovatel zpracovává Osobní údaje Správce pouze pro účely plnění Hlavní smlouvy nebo
> plnění poskytované na základě Hlavní smlouvy (viz příloha č. 1 této Smlouvy).

nesmí zp at, předávat, upi nebo měnit Osobní údaje Správce

jako řejnit či povolit © ích údajů Sprá jiné třetí osobě jinak než

v souladu s touto Smlouvou nebo s Pokyny Správce, pokud takové v není

vyžadováno právem EU nebo členského státu, kterému Zp I podléhá. Z v
rozsahu p tkovým a prá: o tomto žadavk

údajů Sprá a je pokyny Sp aby

před
co nejvíce omezil | rozsah zveřejnění

3.2 Zpracovatel neprodleně nebo bez zbytečného odkladu od obdržení Pokynu informuje
Správce v případě, kdy podle jeho názoru vzhledem k jeho odborným znalostem
a zkušenostem takový Pokyn porušuje Předpisy o ochraně osobních údajů.

3.3 | Zpracovatel bere na vědomí, že není oprávněn určit účely a pi y zpi ©
údajů Správce a pokud by Zp toto porušil, považuje se ve vztahu k takovému
Zpracování za správce.

3.4 | Pro účely zpracování uvedeného výše tímto Sprá-ce i j aby pi
Osobní údaje Správce příjemcům ve třetích zemích uvedených v O Dřioze č. 3 této Smlouvy
(Autorizované předávání Osobních údajů Správce) vždy za předpokladu, že taková osoba
splní požadavky uvedené v kapitole 6 této Smlouvy.

>

Spolehlivost Zpracovatele

4.1. Zpracovatel učiní přiměřené kroky, aby zajistil sp
zástupce nebo dodavatele, kteří mohou mít přístup k Osobním údajům Správce, nčomě
zajistí, aby byl přístup omezen výhradně na ty osoby, jejichž činnost vyžaduje přístup k
příslušným Osobním údajům Správce. Zpracovatel vede seznam osob oprávněných
zpracovávat osobní údaje Správce a osob, které mají k těmto osobním údajům přístup,
přičemž sleduje a pravidelně přezkoumává, že se jedná o osoby dle tohoto odstavce.

4.2 | Zpracovatel musí zajistit, aby všechny osoby, které zapojil do zpracování Osobních údajů
Správce:

4.2.1. byly informovány o důvěrné povaze Osobních údajů Správce a byly si vědomy
povinností Zpracovatele vyplývajících z této Smlouvy, Hlavní smlouvy, Pokynů a
platných a účinných Předpisů o ochraně osobních údajů, a zavázaly se tyto
povinnosti dodržovat ve stejném rozsahu, zejm. aby zachovávaly mlčenlivost o

údajích a pi k jejich ochraně, a to i po čení jejich
pracovněprávního nebo jiného s ího vztahu ke Zp i;
4.2.2 byly přiměřeně školeny/certifikovány ve vztahu k F isům o ochraně
údajů nebo dle Pokynů Správce;
423 závazku dů nebo p ím či ým poví zachovávat
mlčenlivost;
4.2.4. používaly pouze a a žovaly zásady bezpečné

používání výpočetní (ono

strana 4 | stran 14

4.2.5 y procesům uživatelů a přihlašování při přístupu k Osobním
údajům Správce v souladu s touto Smlouvou, Hlavní smlouvou, Pokyny a platnými a
účinnými Předpisy o ochraně osobních údajů;

4.2.6. zabránily právněnému čtení, í, í či znepř ění Osobních
údajů Správce, nevytvářely kopie nosičů osobních údajů pro jinou než pracovní
potřebu a neumožnily takové jednání ani jiným osobám a případně neprodleně,
nejpozději však do 24 hodin od vzniku, hlásily jakékoliv důvodné podezření na
ohrožení bezpečnosti osobních údajů, a to osobě uvedené v kapitole 2 této Smlouvy.

5 Zabezpečení osobních údajů

51

5.2

5.3

5.4

6.2

82

83

9 Posouzení vlivu na ochranu

9.1

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu

a účelům zpracování i k různě pi a různě závaži rizikům pro práva

a svobody fyzických osob, provede Zp I vhodná i ao0rc opatření

(příloha č. 2 této Smlouvy), aby zajistil úroveň zabezpečení odpovídající danému riziku,

případně včetně:

5.1.1. pseudonymizace a šifrování osobních údajů;

5.1.2 schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a
služeb zpracování;

5.1.3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě
fyzických či technických incidentů;

5.1.4. procesu pravi é á ání a í účinnosti zavt ý

ických a izač p: í pro zajištění bezpečnosti zpracování.

Při posuzování mth úrovně bezpečnosti se zohlední rizika, která představuje zpracování,
p: í zničení, ztráta, pozměňování, neoprávněné zpřístupnění

předávaných, kožených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný

přístup k nim.

V případě zpracování osobních údajů více správců je Zp

takové osobní údaje odděleně.

I povinen zpi

čení

jsou deny v příloze č. 2 této Smlouvy a dále

Z

v Pokynech.

Další Podzpracovatelé

Zpracovatel je oprávněn použít ke zpracování Osobních údajů Správce další

Podzpracovatele uvedené v příloze č. 3 této Smlouvy. Jiné Podzpracovatele j je Zpracovatel

oprávněn zapojit do zpracování pouze s pi lením Správce.

Zpracovatel je povinen u každého Podzpracovatele:

6.2.1. poskytnout Správci úplné informace o zpracování, které má provádět takový
Podzpracovatel;

6.2.2 zajistit náležitou úroveň ochrany © ko , včetně d
záruk pro ý opatření dle této
Smlowy, Hlavní Smlouvy, Pokynů a platných a účinných Předpisů na ochranu
osobních údajů;

6.2.3 zahrnout do smlouvy mezi Zpracovatelem a každým dalším Podzpracovatelem
podmínky, které jsou shodné s podmínkami stanovenými v této Smlouvě. Pro
vyloučení pochybností si Smluvní strany ujednávají, že v případě tzv. řetězení
zpracovatelů (tj. uzavírání smlouvy o zpracování osobních údajů mezi
podzpracovateli) musí tyto vy splňovat ít dle této Smlouvy. Na
požádání poskytne Zpracovatel Správci kopii svých smluv s dílčími Podzpracovateli

strana 5 | stran 14

8.1.4 popisovat opatření přijatá nebo navržená k řešení porušení zabezpečení osobních
údajů.

á a podniká takové přiměřené kroky, které jsou řízeny
pkro aby nanomáhal vyšetřování, zmírňování a nápravě každého porušení osobních
údajů.

V případě porušení

údajů Zp: | nei je žádnou třetí
stranu bez při ího pí: Správce, , pokud takové oznámení nevyžaduje
právo EU nebo členského státu, které se na Zp kovém případě je
Zpracovatel povinen, v rozsahu povoleném takovým právem, informovat Správce o tomto
právním požadavku, poskytnout kopii navrhovaného oznámení a zvážit veškeré připomínky,
které provedl Správce před tím, než porušení zabezpečení osobních údajů oznámí.

údajů a předchozí

Zp I p Správci při pomoc ve všech případech posouzení vlivu na
ochranu k údajů, které jsou vyžadovány čl. 35 GDPR, a s veškerými předchozími

ým úřadem Správce, které jsou požadovány podle čl. 36
GDPR, ato vždy pouze ve vztahu ke zpracovávání Osobních údajů Správce Zpracovatelem
a s ohledem na povahu zpracování a informace, které má Zpracovatel k dispozici.

10 Vymazání nebo vrácení Osobních údajů Správce

10.1 Zpracovatel musí neprodleně av každém případě do 90 (devadesáii) kalendářních dnů po:

10.

hoj

nebo (ii) Hlavní
i Pokynem

(i) ukončení zpracování O lajů Zpr:
smlouvy, podle volby Správce (tato volba bude á pi
Správce) buď:

10.1.1 vrátit úplnou kopii všech Osobních údajů Správce Správci zabezpečeným přenosem
datových souborů v takovém formátu, jaký oznámil Správce Zpracovateli a dále
bezpečně a prokazatelně vymazat P ostatní kopie Osobních údajů Správce

ných Zp jaký ý dílčím
Podzpracovatelem; nebo

10.1.2 bezpečně a prokazatelně smazat všechny kopie Osobních údajů Správce

ých Zp nebo jaký i dalším Podzpr lem, přičemž
zp l Správci pí: ědě že plně splnil požadavky
kapitoly 10 této Smlouvy.

Zpracovatel může uchovávat Osobní údaje Správce v rozsahu požadovaném právními
předpisy Unie nebo členského státu a pouze v rozsahu a po dobu požadovanou právními

y Unie nebo státu a za pi že Zpi I zajistí důvěrnost
všech těchto osobních údajů Správce a zajistí, aby tyto osobní údaje Správce byly
zpracovávány pouze pro účely vp i Unie nebo státu,
které vyžadují jejich ukládání, a nikoliv pro žádný jiný účel.

11 Právo na audit

11.1. Zpracovatel na požádání zpřístupní Správci veškeré i

kp

souladu s platnými a účinnými Předpisy o ochraně osobních údajů, touto Smlouvou : a Pokyny
a dále umožní audity a inspekce ze strany Správce nebo jiného auditora pověřeného
Správcem ve všech místech, kde probíhá zpracování Osobních údajů Správce. Zpracovatel
umožní Správci nebo jinému auditorovi p , auditovat a
kopírovat výpohny příslušné záznamy, procesy a systémy, aby Správce mohl ověřit, že

ích údajů Správce je v souladu s platnými a účinnými Předpisy o ochraně
osobních bt touto Smlouvou a Pokyny. Zpracovatel poskytne Správci plnou spolupráci
a na žádost Správce poskytne Správci důkazy o plnění svých povinností podle této Smlouvy.
Zpracovatel neprodleně uvědomí Správce, pokud podle jeho názoru zde uvedené právo na

strana 7 | stran 14

2

73

74

8
81

11.2

12
12.1

12.2

13

13.1

13.2
13.3

13.4

13.5

13.6

13.7

13.8

a v případě řetězení podzpracovatelů i kopii smluv uzavřených mezi dalšími
Podzpracovateli;

6.2.4 v případě předání Osobních údajů Správce mimo EHP zajistit ve smlouvách mezi
Zpracovatelem a každým dalším Podzpracovatelem Standardní smluvní doložky
nebo jiný mechanismus, který předem schválí Správce, aby byla zajištěna
odpovídající ochrana předávaných Osobních údajů Správce;

6.2.5 zajistit plnění všech povinností nezbytných pro zachování plné odpovědnosti vůči

ale za každé selhání dílčího Poc při plnění jeho povinností
islosti se zpr áním O ích údajů Správce.

Plnění práv subjektů údajů

Subjekt údajů má na základě své žádosti zejména právo získat od Správce informace týkající
se zpracování svých osobních údajů, žádat jejich opravu či doplnění, podávat námitky proti
zpracování svých osobních údajů či žádat jejich výmaz.

V k povaze zpi ávání Zpi tel r Správci při provádění vhodných
technických a organizačních opatření pro splnění povinností Správce reagovat na žádosti o
uplatnění práv subjektu údajů.

Zpracovatel neprodleně oznámí Správci, pokud obdrží od subjektu údajů, orgánu dohledu
a/nebo jiného příslušného orgánu žádost podle platných a účinných Předpisů o ochraně
osobních údajů, pokud se jedná o Osobní údaje Správce.

Zpracovatel spolupracuje se Správcem dle jeho potřeb a Pokynů tak, aby Správci umožnil
jakýkoli výkon práv subjektu údajů podle Předpisů o ochraně osobních údajů, pokud jde o
Osobní údaje Správce, a vyhověl j i požadavku, dotazu, í nebo šetření dle
Předpisů o ochraně osobních údajů nebo dlet této Šiouvy což Zpmje

7.4.1. poskytnutí veškerých údajů požad č 'ém období
specifikovaném Správcem, a to ve všech případech a a včetně úplných podrobností a
kopií stížnosti, sdělení nebo žádosti a ý údajů Správce, které
Zpracovatel ve vztahu k subjektu údajů Šas ký

7.4.2. poskytnutí takové asistence, kterou může Správce rozumně požadovat, aby mohl
vyhovět příslušné žádosti ve lhůtách stanovených Předpisy o ochraně osobních
údajů;

743 i dodatečných ý izačních opatření, které může
Správce rozumně požadovat, aby mohl účinně reagovat na příslušné stížnosti,
sdělení nebo žádosti.

Porušení zabezpečení osobních údajů

Zpracovatel je povinen bez zbytečného odkladu a v každém případě nejpozději do 24 hodin
od zjištění porušení informovat Správce o tom, že došlo k porušení rý Osobních
údajů Správce nebo existuje důvodné p íz porušení b. údajů

. Zpi rávci , které mu I linoční splnit
veškeré povi ti týkající ohlašování a ozi ání případů porušení zabezpečení
osobních údajů podle Předpisů o ochraně osobních údajů. Takové oznámení musí
přinejmenším:

8.1.1. popisovat povahu porušení čení í údajů, a počty
dotčených subjektů údajů a kategorie a i ůo údajích;

8.1.2 jménoa í údaje pověře pro ochranu ích údajů Zp nebo
Jméno příslušného kontaktu, od něhož lze získat více informací;

8.1.3. popi dhad: é riziko a p důsledky porušení p
osobních údajů;

strana 6 | stran 14

audit porušuje Předpisy o ochraně osobních údajů. Zpracovatel může prokázat plnění
dohodnutých povinností týkajících se ochrany údajů, důkazem o dodržování schváleného
mechanizmu certifikace ISO norem, kontroly se pak mohou omezit pouze na vybrané
procesy.

Zpracovatel je povinen zajistit výkon práva Sprá dle p ího odst také u všech
Podzpracovatelů.

Mezinárodní předávání Osobních údajů Správce

Zpracovatel nesmí zpracovávat Osobní údaje Správce sám ani prostřednictvím
Podzpracovatele ve třetí zemi, s výjimkou těch příjemců ve třetích zemích (pokud existují)
uvedených v příloze č. 3 této Smlouvy (autorizované předání Osobních údajů Správce), není-
lito předem písemně schváleno Správcem.

Zpracovatel na žádost Správce okamžitě se Správcem uzavře (nebo zajistí, aby uzavřel
jakýkoli příslušný dílčí Podzpracovatel) smlouvu včetně Standardních smluvních doložek
a/nebo obdobných doložek, které mohou vyžadovat Předpisy o ochraně osobních údajů,
pokud jde o jakékoli zpracování Osobních údajů Správce ve třetí zemi.

Všeobecné podmínky

Smluvní strany si ujednaly, že tato Sml| zanikne s účinnosti Hlavní smlouvy.
Tím nejsou dotčeny povinnosti Zpracovatele, které dle této Smlouvy či ze své povahy trvají
i po jejím zániku.

Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.

Jakékoli porušení této Sml představuje závažné í Hlavní smlouvy. V případě
existence více smluvních vztahů se jedná o porušení (každé smlouvy, dle které probíhalo
zpracování Osobních údajů Správce.

V případě nesrovnalostí mezi ustanoveními této Smlouvy a jakýchkoli jiných dohod mezi
Smluvními stranami, včetně, avšak nikoliv výlučně, Hlavní smlouvy, mají ustanovení této
Smlouvy přednost před povinnostmi Srmluvních stran týkajících se ochrany osobních údajů.

Pokud se ukáže některé ustanovení této Smlouvy neplatné, neúčinné nebo nevymahatelné,
zbývající části Smlouvy zůstávají v platnosti. Ohledně neplatného, neúčinného nebo
nevymahatelného ustanovení se Smluvní strany zavazují, že (i) dodatkem k této Smlouvě
upraví tak, aby byla zajištěna jeho platnost, účinnost a a to při co největší!
zachování původních záměrů Smluvních stran nebo, pokud to není možné, (ii) budou
vykládat toto ustanovení způsobem, jako by neplatná, neúčinná nebo nevymahatelná část
nebyla nikdy v této Smlouvě obsažena.

"S

Tato Smlouva je v4 ji přičemž Sp
a Zpracovatel 2 vyhotovení.

obdrží po 2 vyhotovení

Veškeré změny této Smlouvy je možné provést formou čísl ých ý
dodatků ých oběma l i. Pro vyloučení všech pochybností si
Smluvní strany ujed: jí, že tímto ust: ím není dotčeno udělení Pokynu Správce
ke zpracování Osobních údajů Správce, který tato Smlouva předvídá.

Tato Smlouva nabývá platnosti a účinnosti dnem podpisu obou Smluvních stran.

dne V dne

(„Správce“)

(„Zpracovatel“)

strana 8 | stran 14

strana 9 | stran 14

PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ

1. Organizační bezpečnostní opatření

1.1. Správa zabezpečení

a. Bezpečnostní politika a postupy: Zp I musí mít
politiku týkající se zpracování osobních údajů.

b. Role a odpovědnosti:

i. © role a odpovědnosti isející se zp á údajů jsou jasně
definovány a přiděleny v souladu s bezpečnostní politikou;

ii. © během i izací nebo při a změně ání je ve
shodě s příslušnými postupy jasně definováno zrušení práv a povinností.

c. Politika řízení přístupu: každé roli, která se podílí na zpracování osobních údajů, jsou
přidělena specifická práva k řízení přístupu podle zásady "need-to-know.“

d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro zpracování
údajů a sítě). Je určena konkrétní osoba, která je
á za udržování a izaci tohoto registru (např. manažer IT).

p

e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly registrovány
a monitorovány konkrétní osobou (např. IT nebo i). Je
zavedeno pravidelné monitorování tohoto procesu.

1.2. Reakce na a pi
a. Řízení incidentů / porušení osobních údajů:

i. © je definován plán reakce na incidenty s podrobnými postupy, aby byla zajištěna
účinná a včasná reakce na incidenty týkající se osobních údajů;

i Zpracovatel bude bez čného odkladu infc t
bezpečnostním incidentu, který vedl ke ztrátě, zneužití nebo n m
získání jakýchkoli osobních údajů.

b. inuita p : Zpí stanoví hlavní postupy a opatření, které jsou
dodržovány pro zajištění p é úrovně inuity a d i
zpracování osobních údajů (v případě incidentu / porušení osobních údajů).

1.3. Lidské zdroje

a. Důvěr P álu: Zp el zajišťuje, aby všichni zaměstnanci rozuměli svým
pově a i se ání údajů; role
a odpovědi jsou Jasně l y během procesu před nástupem do zaměstnání

al nebo při zácviku;
b. eh Zpracovatel zajišťuje, že všichni i jsou čně ání
IT sy která se vztahují k jejich každodenní práci;

pon kteří se podílejí na zpracování osobních údajů, jsou rovněž řádně

strana 11 | stran 14

PŘÍLOHA č. 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE

Tato příloha 1 je některé p i o zpi údajů správce, jak vyžaduje
čl. 28 odst. 3 GDPR.

[konkrétní výčet smluvních vztahů doplní zpracovatel)

1. Předmět a trvání zpr ání bních údajů Sprá

F zp údajů jsou tyto kategorie:

Doba trvání zp ání ích údajů Sp je totožná s dobou trvání Hlavní smlouvy, pokud

z ustanovení Smlouvy nebo z Pokynu Správce nevyplývá, že mají trvat i po zániku její účinnosti.

2 Povaha a účel zpracování osobních údajů správce

Povaha zp Jj h údajů Správce Zp lem je: PROSTRUZASKARGTGNVAHYKAENBE
D Zpracování

O Automatizované zpracování

=; nebo

Účelem zp údajů Správce Zp lem je:

[Popište zde, např. příprava stavby,...]

3. Druh osobních údajů správce, které mají být zpracovány
Druh osobních údajů (zaškrtněte):

D Osobní údaje (viz výše odst. 1)

DI Osobní údaje zvláštní kategorie dle či. 9 GDPR (OZVE

4 | Kategorie subjektů údajů, které jsou zpr ávány pro sprá

strana 10 | stran 14

i o pří: ých p naoch údajů a právních závazcích

2. Technická bezpečnostní opatření
2.1. Kontrola přístupu a autentizace

a. Je implementován systém řízení přístupu, který je použitelný pro Mý uživatele
k IT é Systém žňuje vytvářet, sch:
a odstraňovat uživatelské účty.

b. Jevy používání ý ých účtů. V p kdy je to je
zajištěno, že všichni uživatelé společného účtu mají stejné role a povinnosti.

c. Při poskytování přístupu nebo přiřazování uži rolí je nutno rž zásadu
"need-to-know", aby se omezil počet uživatelů, kteří mají přístup k „osobním údajům
pouze na ty, kteří je potřebují pro cílů zp

d. Tam, kde jsou i i na heslech, Zp: zajišťuje, aby

heslo mělo alespoň osm znaků a vyhovovalo požadavkům na velmi silná hesla, včetně
délky, složitosti znaků a neopakovatelnosti.

e. Autentifikační pověření (například uživatelské jméno a heslo) se nikdy nesmějí předávat
přes síť.

2.2. Logování a monitorování

a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro zpracování
osobních údajů. Log soubory obsahují všechny typy přístupu k údajům (zobrazení,
modifikace, odstranění).

2.3. Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze

i. Databázové a aplikační servery jsou ény tak, aby góvály
pomocí účtu s mini práv n pro
zajištění řádné funkce.

ii. D% é a aplikační servery ají pouze osobní údaje, které jsou

pro naplnění účelů zp k
b. Zabezpečení pracovní stanice
i. © Uživatelé nemohou deaktivovat nebo obejít nastavení zabezpečení.

ii. © Jsoup y a Signatury.

li, Uživatelé nemají oprávnění k instalaci nebo aktivaci neoprávněných
softwarových aplikací.

iv. Systém má nastaveny časové limity pro odhlášení, pokud uživatel není po
určitou dobu aktivní.

strana 12 | stran 14

v. Jsou pravidelně instalovány kritické bezp í i vydané
vývojářem operačního systému.

2.4. Z sítě /

a. Kdykoli je přístup prováděn přes internet, je komunikace šifrována pomocí
kryptografických protokolů.

b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a IDS (Intrusion
Detection Systems).

2.5. Zálohování

a. Jsou definovány postupy zálohování a ob [ údajů, jsou vány a jasně
spojeny s úlohami a povinnostmi.

b. Zálohování je poskytována odpovídající úroveň fyzické ochrany a ochrany životního
prostředí.

©. Je monitorována úplnost prováděních záloh.
2.6. Mobilní / přenosná zařízení

a. Jsou definovány a dokumentovány postupy pro řízení mobilních a přenosných zařízení
a jsou stanovena jasná pravidla pro jejich správné používání.

b. Jsou předem registrována a předem autorizována mobilní zařízení, která mají přístup
k informačnímu systému.

2.7. Zabezpečení životního cyklu aplikace

a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepší a nejmodernějších
postupy a uznávané postupy bezpečného vývoje nebo odpovídající normy.

2.8. Vymazání / odstranění údajů

a. Předvy médií bude p deno jejich přepsání při použití V případech,
kdy to není možné (CD, DVD atd.), bude provedena jejich fyzická likvidace / destrukce.

b. Je prováděna skartace papírových dokumentů a přenosných médií sloužících k ukládání
osobních údajů.

2.9. Fyzická bezpečnost

a. Fyzický perimetr infrastruktury informačního systému není přístupný neoprávněným
osobám. Musí být zavedena vhodná technická opatření (např. turniket ovládaný čipovou
kartou, vstupní zámky) nebo organizační opatření (např. bezpečnostní ostraha) pro
ochranu zabezpečených oblastí a jejich přístupových míst proti vstupu neoprávněných
osob.

strana 13 | stran 14

PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE

“*

Seznam schválených podzpracovatelů. Uveďte prosím (i) úplný název podzpracovatele;

(ii) činnosti zp ání; (iii) ění isek služeb.
Č. | Schválený Činnost zp á t i isek služeb
podzpracovatel
1. | ápinzprácovaten

strana 14 | stran 14