Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
/áěżáp/Ž
Q
Smlouva č. 2 075 18 10
Zpracování osobních údaj.uO pracovníků přepravní kontroly
Dopravni podnik měst Liberce a Jablonce nad Nisou, a.s.
ıćoz 47311975
Dıćz cZ47:-311975
Sídlo: Mrštíkova 3, 461 71 Liberec Ill
Zastoupená: na základě plné moci lng. Milanem Červenkou, ekonomickým ředitelem
Zapsána v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, oddíl B, vložka 372
(dále jen ,,Správce“)
a
GLOBDATA a.s.
ıčoz 05642381
Dıćz cZo5842361
siøııøz Na Příkøpè 393/11, 110 oo Praha 1
Zastoupená: lng. Janem Kolouškem, předsedou představenstva a Mgr. Martinem Hausnerem, členem
představenstva
Zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 23165
(dále jen ,,Zpracovatel“)
níže uvedeného dne, měsíce a roku uzavřeli dle nařízení EU č. 2016/679 obecného nařízenío ochraně
osobních údajů (dále takéjen ,,nařízení“) tuto smlouvu
O Zpracováníosobních údajů (dále takéjen ,,smlouva“)
Článek I.
1_ Správce je ve smyslu obecného narˇı, zení správcem osobních údajů, nebot' vsouvislosti se svojí
činností zpracovává osobní údaje svých zaměstnanců - revizorů, kteří provádí přepravní kontrolu
cestujících V rozsahu: jméno a přümení, datum narození, místo trvalého pobytu a IP adresa zařízení.
Zákonným důvodem zpracování osobních údajů je skutečnost, že toto zpracování je nezbytné
v souvislosti s plněním povinnostíz pracovně právních vztahů mezi Správcem ajeho zaměstnancem.
2. Zpracovatel poskytuje správci službu související s prodejem jízdních dokladů cestujícím
prostřednictvím Premium SMS případně mobilní aplikace provozované Sejf provozované
Zpracovatelem a zajištění přepravní kontroly cestujících prostřednictvím mobilního Zařízení, které
užívá každý revizor stím, že každé mobilnízářízení pro přepravní kontrolu je identifikovánojménem
a přümením konkrétního revizora. Údaje o mobilních zařízeních pro přepravní kontrolu včetnějména
a přümení konkrétního revizora, kterému byly přiděleny, a jím provedených přepravních kontrolách
jsou uložena na serverech Zpracovatelé a jsou poskytována Správci zabezpečeným přístupem
prostřednictvím sítě internet.
3. Zpracovatel je ve smyslu obecného nařízení osobou, která poskytuje dostatečné Záruky zavedení
vhodných technických a organizačních opatření při prováděnízpracování osobních údajů.
4. Smluvní strany mají zájem upravit touto smlouvou svá vzájemná práva a povinnosti při zpracování
osobních údajù podle čl. 28 obecného nařízení.
5. Pojmy používané v této smlouvě majítotožný význam, jako pojmy užité v nařízení, ev. mají význam,
kterýjejim přisuzovánjinými závaznými právními předpisy.
Strana 1 (celkem 5)
v
Článek ıı.
Správce nyní touto smlouvou pověřuje Zpracovatele prováděním zpracování osobních údajů
subjektů údajů (revizorü) v přímé či nepřímé souvislosti se zajištěním přepravní kontroly jízdních
dokladů cestujících, jež byly uhrazeny prostřednictvím PR SMS nebo Aplikace Sejf, a to za účelem
kontroly plnění povinností revizorü V pracovnéprávním vztahu ke Správci.
Zpracovatel se zavazuje poskytovat Správci služby zpracování osobních údajů a služby se
zpracováním související a dále se zavazuje, že při zpracovávání osobních údajů bude postupovat
v souladu S nařízením, s touto smlouvou a doloženými pokyny Správce.
Doba, po kterou bude Zpracovatel provádět zpracování pro Správce, se stanoví na dobu účinnosti
této smlouvy.
Zpracováním se rozumí zejména shromáždění, zaznamenání, uspořádání, strukturováni, uložení,
vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šfiení nebo jakékoliv jiné zpřístupnění,
seřazeníči zkomblnování, omezení, výmaz nebo zničení.
Zpracovatel bude dle této smlouvy zpracovávat pro Správce osobní údaje revizorů v rozsahu jejich
jména a přümení, kněmuž je přlřazeno telefonní číslo, které náleží Správci a které revizor
v souvislosti s výkonem své funkce užívá a osobní číslo, jež Správce revizorovi přidëlil.
Obě strany se zavazují se navzájem bez prodlení informovat o všech okolnostech významných
pro plnění předmětu této smlouvy.
Článek lll.
Správce prohlašuje a Zpracovateli se zavazuje, že:
a) ve vztahu ke všem osobním údajům, na které se vztahuje tato smlouva, disponuje řádným
právním titulem pro zpracování a je tedy oprávněn povèřit Zpracovatele zpracováním
předmětných osobních údajů dle této smlouvy,
b) souhlasí s technickými a organizačními bezpečnostními opatřeními Zpracovatele uvedenými
v článku IV. a V. této smlouvy a shledává je vhodnými a dostatečnými k ochraně
zpracovávaných osobních údajů před náhodným nebo protiprávním zničením nebo náhodnou
ztrátou, změnou, neoprávněným zveřejněním nebo přístupem,
C) zajistí na své straně dodržování bezpečnostních opatření k ochraně osobních údajů v nejvyšší
možné mñe,
cl) splní vůči subjektům údajů, jejichž osobní údaje zpracovává jako správce, v plném rozsahu
informační povinnost ve smyslu čl. 13 anebo 14 nařízení.
Správce bude osobní údaje zpracovávat maximálně po dobu trvání pracovněprávního vztahu mezi
revizorem a Správcem.
Článek ıv.
Zpracovatel prohlašuje, že Služby, prostřednictvím které zpracovává osobní ůdaje uvedené vtěto
smlouvě, zajišťuje na svých serverech.
Zpracovatel dále prohlašuje, že kserverům mají přístup výlučně osoby specifikované ve smlouvě
mezi vlastnflkem serverů a provozovatelem. Za provozovatele serverů může umožnit přístup pouze
jednatel.
Zálohování a archivace dat na straně zpracovatele probíhá podle vnitřních směrnic zpracovatele.
Zpracovatel prohlašuje, že servery jsou umístěny v hostingovém centru O2 Nagano, které je
certifikovánojako TIER Ill. Datové centrum dále splňuje normu PCI-DSS.
Zpracovatel prohlašuje, že splnil podmínky uvedené v článku 32 Nařízení. Komplexní systém
pro kontrolu přístupu a pohybu v rámci datového centra obsahuje:
~ omezení vstupu do datového centra na jeho zaměstnance a návštěvníky autorizované
jednotlivými klienty,
I elektronické identifikačnívstupní karty se záznamem pohybu,
0 přítomnost bezpečnostní agentury v režimu 24×7×365,
I záznam návštěv na recepci,
Strana 2 (celkem 5)
_* Ň
0 systém průmyslové televize včetně nočního videnís 30denním záznamem,
0 alarm narušenívstupu a vnitřních prostor,
Článek V.
Zpracovatel se zavazuje, že nezapojí do zpracování osobních údajů žádného dalšího zpracovatele
bez předchozflqo konkrétnflwo nebo obecného povolení správce. V případě obecného písemného
povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí
dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto
změnám námitky.
Zpracovatel bude zpracovávat osobní údaje pouze na základě doložených pokynů správce.
Zpracovatel se zavazuje, že k osobním údajům cestujících a k jejich zpracování budou mít přístup
výlučně osoby, které se zpracovateli písemně zavázali v souladu S Nařízením k povinnosti zachovat
mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
zabezpečení osobních údajů a že tato mlčenlivost trvá i po ukončení pracovního poměru u
zpracovatele nebo při ukončení práce s osobními údaji.
Zpracovatel vede záznamy O všech činnostech zpracování prováděných pro správce, jež obsahují:
a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a správce, pro něhož Zpracovatel
jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních
údajů,
b) kategorie zpracování prováděného pro správce,
c) obecný popis technických a organizačních bezpečnostních opatření s přihlédnutím ke stavu
techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování:
0 pseudonymizace a šifrování osobních údajů,
0 schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a
služeb zpracování,
0 schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě
fyzických či technických incidentů,
0 proces pravidelného testování, posuzování a hodnocení účinnosti zavedených
technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Při posuzování vhodné úrovně bezpečnosti zpracovatel zohlední zejména rizika, která představuje
zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné
zpřístupnění předávaných, uložených nebojinak zpracovávaných osobních údajů, nebo neoprávněný
přístup k nim.
Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, je povinen tuto skutečnost ohlásit
bez zbytečného odkladu správci a dozorovému úřadu. Ohlášení musíobsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to
možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného
množstvídotčených záznamů osobních údajů,
b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního
místa, které může poskytnout bližší informace,
c) popis pravdépodobných důsledků porušení zabezpečení osobních údajů,
d) popis opatření, která zpracovatel přijal nebo navrhl k přijetí S cílem vyřešit dané porušení
zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných
nepříznivých dopadů.
Není-li možné poskytnout informace současně, může je zpracovatel poskytnut postupně bez dalšího
zbytečného odkladu. Zpracovatel je povinen poskytnout záznamy na požádání dozorového úřadu. Jez
li pravděpodobné, že zjištěné porušení zabezpečení osobních údajů bude mít za následek vysoké
riziko pro práva a svobody fyzických Osob, je zaměstnanec zpracovatele, který bezpečnostní incident
nahlásil dozorovému úřadu povinen bez zbytečného odkladu oznámit porušení zabezpečení
osobních údajů subjektu údajů a V kopii správci osobních údajů včetně informace o provedených
opatřeních, které zpracovatel přijal scílem vyřešit dané porušení zabezpečení osobních údajů
včetně případných opatření ke zmírnění možných nepříznivých dopadů.
V případě ukončení smluvního vztahu mezi správcem a zpracovatelem je zpracovatel povinen bez
zbytečného odkladu provést likvidaci všech osobních údajů, a to i ze všech zálohovaných souborů v
Strana 3 (celkem 5)
rozsahu, které pro správce zpracovával. Zpracovatel je povinen správci tuto skutečnost písemně
potvrdit. V písemné potvrzeníje zpracovatel povinen konkretizovat formu a způsob, jakým způsobem
provedl likvidaci osobních údajů.
7. Zpracovatel neprodleně informuje Správce o:
a) jakémkoliv určitém pokynu Správce, který dle jeho názoru porušuje nařízení nebo jiné
právní předpisy,
b) jakékoli právně závazné žádosti O zpřístupněnízpracovávaných osobních údajů orgány
veřejné moci, není-li to příslušným právním předpisem zakázáno,
c) jakémkoliv náhodném nebo protiprávním zničení, ztrátě, pozmënění, neoprávněném
zpřístupnění třetím osobám nebo O neoprávněném přístupu ke zpracovávaným osobním
údajům,
d) jakékoli žádosti týkajícíse zpracováníosobních údajů obdržené přímo od subjektu údajů.
8. Zpracovatel se dále zavazuje:
a) bezodkladně a řádně vyřídí veškeré dotazy a oprávněné požadavky Správce týkající se
zpracování osobních údajů,
b) bude Správci v případě potřeby nápomocen při zajišťování souladu S povinnostmi podle
článků 32 až 36 nařízení, a to při zohlednění povahy zpracování a informací, jež má
zpracovatel k dispozici, tj. zpracovatel je povinen poskytnout Správci veškerou součinnost
pri:
0 zavádění a udržování vhodných technických a organizačních opatření k zabezpečení
osobních údajů,
0 posuzovánívlivu zpracování na ochranu osobních údajů, pokud se vyžaduje,
0 předchozích konzultacís dozoro\/ým úřadem.
c) poskytne Správci informace potřebné k doložení toho, že byly splněny povinnosti
stanovené vtéto smlouvě a na Žádost Správce umožní provádění inspekcí a auditů ze
strany Správce, případně auditora pověřeného Správcem, a ktěmto auditům poskytne
součinnost,
d) bude neprodleně informovat Správce O existenci jakékoli skutečnosti, která brání
prováděníauditu podle či. V. odst. 10 písm. c).
článek vı.
1. Zpracovatel souhlasís uložením kopie této smlouvy u dozorového úřadu, pokud O to Správce požádá
nebo pokud toje/bude vyžadováno dle závazných právních předpisů.
2. Strany prohlašují, že dozorový úřad má právo provádět kontrolu Zpracovatele a jakéhokoli Dalšmo
zpracovatele, V rozsahu vyplývajícím ze závazných právních předpisů.
článek vıı.
Článek vııı.
1. Tato smlouva se na základě dohody smluvních stran uzavírá na dobu, po níž bude Zpracovatel
poskytovat Správci službu, kterou zajišťuje prodej jízdních dokladů prostřednictvím Premium SMS
nebo aplikace Sejf.
2. Každá smluvní strana je oprávněna od této smlouvy odstoupit, pokud druhá smluvní Strana poruší
svoji povinnost vyplývající Z této smlouvy podstatným způsobem a nezjedná nápravu ani v přiměřené
lhůtě určené jí v písemné výzvě dotčenou smluvní stranou.
Strana 4 (celkem 5)
'ìľà
3. sSpepordnámevílczneekoopbuoedjpíprtiosbeepzomszktpyérttaoocvsoámvnláíontuíěvocsyhobbSenlríuecžhevbýúsdZlaporjvaůncěsouvnbaajteekvltěeůdouúmvdíea,djůeŽ.neýcehxivstčelnácnekutétI.otéstmolosumvlyoujvey,nepzřibyntincohuž
4. Tuto smlouvu lze měnit, doplňovat či rušit pouze písemnými číslovanými dodatky.
5. Tato smlouva nabývá platnosti a účinnosti dnem podpisu smluvními stranami.
6. jSzPemerdáljnvmooaéunvvaayahpojpřteoíovsvvileynunnhšíoonstýatmoizivpeurtnsaoactuoatvvonaeotvse2emlnlíovomýbutidivrsoožcbuíícčjhae,nndesnupokpřéirvhčayoevhmoeZžtnáoékvvoešnsneíeíckhsunřmíalydoízumávoakyjb.oíencapnlěoatonzcoáhsvtraaznonrěýigmoiisnoálbpunr.íácvShnpírúmádiavjcůpe.řeodbpdirsyž,í
7.
8. oSSTdammptlloouovvuísndvmaíuljoíspuctřívreaačdentynolabypbı,rýýosvmhjáleajmšpíulrjmaaít,onvobůsžsmteiahtaaaetúmzočáissnsonmauolhdsoltáauimsvída,pnouebcjymtleiadvpnéosáhdenoppíissooáubbnscapahožospedlonnedíádlhenvoíjtzeéesjttiosyckmhsulm,sulkvonunuaítvceěhčdnůspéktoarvaazanž.Sučjveíohbozoaždunpjéřeidpvonůjálunej.íi
9.
vlastnoruční podpisy.
„if/zšjă
V Liberci dne: V Praze dne: ....................... ._
ředitel DPMLJ, a.s. i předseda a člen predstavenstva GLOBDATA a.s.
(za správce) /
(Za zpracovatele)
Strana 5 (oelkem 5)