Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
4
DODATEK Č. 1 K RÁMCOVÉ SMLOUVĚ O DÍLO ZE DNE
21.5.2018
VÝsTAvIŠTĚ PRAHA, A.S.
A
DM $OLUTIONS, S.R.O.
r
TENTO DODATEK Č. 1 (DÁLE JEN „DODATEK“) K RÁMCOVÉ SMLOUVĚ O DÍLO UZAVŘENÉ DNE 21.5.2018
UZAVÍRAJÍ NÁSLEDUJÍCÍ SMLUVNÍ STRANY:
1. Výstaviště Praha, a.s., IČO: 25649329, se sídlem Výstaviště 67, 170 00 Praha 7, zapsaná
v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 5231, zastoupená Ing.
Pavlem Klaškou, předsedou představenstva a Ing. Pavlem Jarošem, místopředsedou představenstva
(dále jen „objednatel“ nebo jen „Správce“)
2. DM Solutíons, s.r.o., IČO: 27462447, se sídlem Sadovská 457/7, 500 02 Hradec Králové zapsaná
v obchodním rejstříku vedeném Krajským soudem v Hradci Králové, oddíl C, vložka 20339, zastoupená
Milošem Hrubým.
(dále jen „zhotovitel“ nebo jen „Zpracovatel“)
(objednatel nebo Správce a zhotovitel nebo Zpracovatel dále též jen „Smluvní strany“ jednotlivě déle jen
„Smluvní strana“).
VZHLEDEM K TOMU, ŽE:
(A) objednatel uzavřel se zhotovitelem rámcovou smlouvu o dílo ze dne 2 1.5.2018 (dále jen
„Smlouva“);
(B) objednatel je správcem osobních údajů ve smyslu nařízení Evropského parlamentu a Rady (EU)
2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů) (dále jen „Nařízení“) a zhotovitel je zpracovatelem osobních údajů ve smyslu
Nařízení;
(C) Smluvní strany mají povinnost uzavřít smlouvu o zpracování osobních údajů a chtějí si na základě
tohoto Dodatku podrobně vytyčit vztahy, práva a povinnosti vznikající mezi nimi při zpracování
osobních údajů;
SE SMLUVNÍ STRANY DOHODLY TAKTO:
1. Účel Dodatku
1.1. Účelem tohoto Dodatku je doplnit Smlouvu o práva a povinnosti Smluvních stran spojená se
zpracováním osobních údajů objednatele pro zhotovitele, které Zpracovatel provádí v souvislosti
s plněním Smlouvy, zejména zajistit bezpečnost a ochranu osobních údajů.
2. Předmět Dodatku — zpracování osobních údajů
2.1. Na základě této Smlouvy Správce osobních údajů uděluje oprávnění a pokyn Zpracovateli ke
zpracování osobních údajů zákazníků, a to v rozsahu uvedeném v příloze č. 1 za účelem plnění
Smlouvy na dobu nezbytně nutnou pro plnění Smlouvy, v žádném případě přesahující dobu trvání
účinnosti Smlouvy.
2.2. Zpracování osobních údajů spočívá zejména v zaznamenání, uspořádání, uložení, přizpůsobení,
použití, seřazení, výmazu a zničení, a to v rozsahu, jak je nutné ke splnění Smlouvy za využití
informačních systémů nebo tiskem.
3. Práva a povinnosti Smluvních stran
3.1. Zpracovatel není oprávněn bez předchozího písemného pokynu Správce předat osobní údaje získané
na základě této Smlouvy do třetích zemí, tzn. zemí mimo prostor EU, nebo mezinárodním
organizacím, ledaže mu takové zpracování ukládá právní předpis; o takovém právním požadavku je
Zpracovatel povinen informovat Správce před zpracováním osobních údajů, ledaže by to vylučovaly
právní předpisy.
3.2. Zpracovatel se zavazuje přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo
nahodilému přístupu k osobním údajům, kjejich změně, zničení či ztrátě, neoprávněným přenosům,
kjejich jinému neoprávněnému zpracování, jakož i kjinému zneužití osobních údajů. Zpracovatel je
povinen taková opatření Správci na jeho žádost doložit. Zpracovatel se rovněž zavazuje přijmout
opatření navržená Správcem, která zajistí bezpečnost osobních údajů, a to zejména s ohledem na
předávání osobních údajů mezi Správcem a Zpracovatelem.
3.3. Zpracovatel cestou vydání svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních
ujednání, zajistí, že jeho zaměstnanci ajiné osoby, které budou zpracovávat osobní údaje na základě
smlouvy s ním, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu Zpracovatelem
stanoveném a odpovídajícím této Smlouvě uzavírané mezi Zpracovatelem a Správcem a platné
a účinné právní úpravě, zejména bude sám zachovávat mlčenlivost o osobních údajích
a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
3.4. Zpracovatel je povinen při zohlednění povahy jím prováděného zpracování osobních údajů být
Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to
možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů, zejména
nikoli však výlučně práv subjektu údajů na informace, na opravu či výmaz osobních údajů, na
přenositelnost údajů apod.
3.5. Zpracovatel je povinen na výzvu Správce poskytnout Správci jakoukoli součinnost spojenou
s činností Úřadu pro ochranu osobních údajů v souvislosti s prokazováním plnění povinností při
zpracování osobních údajů, konzultacemi mezi Správcem a Úřadem pro ochranu osobních údajů
apod.
3.6. Zpracovatel je povinen poskytnout Správci součinnost s ohledem na zabezpečení osobních údajů,
zejména doporučovat Správci přijetí bezpečnostních opatření, procesů a jiných technologicko-
administrativních opatření za účelem zvýšení efektivity zajištění zabezpečení osobních údajů
a plnění povinností Správce stanovených právními předpisy.
3.7. Zpracovatel je s ohledem na povahu zpracování osobních údajů povinen v souladu s rozhodnutím
Správce všechny osobní údaje buď vymazat, neboje vrátit Správci po ukončení poskytování služeb
spojených se zpracováním, a vymazat existující kopie, ledaže by právní řad stanovil jinak.
3.8. Zpracovatel je povinen poskytnout Správci veškeré informace potřebné k doložení toho, že byly
splněny povinnosti stanovené právními předpisy v souvislosti se zpracováním osobních údajů
Zpracovatelem, umožnit audity, včetně inspekcí, prováděných Správcem nebo jiným auditorem,
kterého Správce pověřil, a k těmto auditům přispět.
4. Provádění auditu a záznamy o činnostech zpracování
4.1. Audity budou zaměřeny zejména na ověření, zda:
4.1.1. osobní údajejsou zpracovávány v souladu s touto Smlouvou a právními předpisy;
4.1.2. jsou řádně řízena rizika a bezpečnost (včetně oblasti přístupových práv do systémů,
přístupů do budov, IT infrastruktury), oblast vnitřní kontroly;
4.1.3. Zpracovatel pravidelně prověřuje funkčnost a dostatečnost svých mechanismů vnitřní
kontroly a řízení rizik včetně řízení rizika výskytu mimořádných událostí, které by
mohly mít za následek porušení zabezpečení osobních údajů.
4.2. Audit bude prováděn na základě včasného písemného oznámení, které bude zasláno Zpracovateli
alespoň pět (5) pracovních dní předem, pokud se Smluvní strany nedohodnou jinak.
4.3. Zpracovatel poskytne Správci nebo jím pověřeným osobám přístup k dokladům a předpisům
popisujícím a souvisejícím zejména s poskytováním služeb, s řízením rizik a bezpečnosti, s vnitřní
kontrolou, s organizační strukturou a dále přístup k dalším informacím a skutečnostem dle této
Smlouvy, případně poskytne též kopie těchto dokladů a předpisů tak, aby umožnil Správci nebo jím
pověřeným osobám provést řádnou kontrolu (audit) činností vztahujících se k plnění povinností dle
této Smlouvy v oblasti ochrany osobních údajů.
4.4. Správce nebojím pověřené osoby jsou v rámci provádění auditu oprávněny vstupovat do míst plnění
a zařízení, jež jsou užívána pro plnění povinností dle této Smlouvy, a dále získávat informace od
zaměstnanců Zpracovatele či dalších osob (např. subkontraktorů) formou písemné či ústní
komunikace v rozsahu potřebném pro audit dle tohoto článku.
4.5. Zpracovatel je povinen vést záznamy o činnostech zpracování osobních údajů, které provádí na
základě této Smlouvy, a tyto na žádost předložit Správci. Tyto záznamy obsahují minimálně:
4.5.1. jméno a kontaktní údaje zpracovatele;
4.5.2. účely a charakter zpracování;
4.5.3. popis kategorií subjektů údajů a kategorií osobních údajů;
4.5.4. obecný popis technických a organizačních bezpečnostních opatření přijatých za účelem
zabezpečení osobních údajů.
4.6. Smluvní strany se dohodly, že žádná ze Smluvních stran nemá nárok na úhradu nákladů, které jí při
plnění povinností dle tohoto článku Smlouvy mohou vzniknout.
5. Povinnosti spojené s ochranou informačního systému
5.1. S ohledem na povahu osobních údajů, které mohou být v informačním systému zpracovávána, bude
Zpracovatel věnovat zvláštní pozornost tornu, aby zajistil fyzickou a logickou bezpečnost
informačního systému, který pro zpracování osobních údajů používá, ato zejména:
5.1.1. ochranu, důvěrnosti, dostupnost a integritu svého informačního systému;
5.1.2. zálohování dat nezbytných pro vlastní poskytování služby dle Smlouvy;
5.1.3. aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné
osoby;
5.1.4. aby fyzické osoby oprávněné k používání informačního systému měly přístup pouze
k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních
uživatelských oprávnění zřízených výlučně pro tyto osoby;
5.1.5. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a zjakého důvodu byly
osobní údaje zaznamenány nebo jinak zpracovány;
5.1.6. zabránit neoprávněnému přístupu k datovým nosičům.
6. Další zpracovatel a jiné osoby podílející se na zpracování
6.1. Zpracovatel je oprávněn do zpracování osobních údajů dle této Smlouvy zapojit dalšího
zpracovatele, k čemuž mu Správce podpisem této Smlouvy dává svůj souhlas.
6.2. Zpracovatel je povinen na žádost Správce sdělit, které zpracovatele pro zpracování dle této Smlouvy
využívá.
6.3. Pokud Zpracovatel využije při zpracování osobních údajů dalšího zpracovatele osobních údajů. je
povinen Správce informovat o veškerých změnách na straně dalšího zpracovatele majících význam
pro otázku zpracování osobních údajů, ato zejména zajištění zabezpečení osobních údajů.
6.4. Zpracovatel je povinen s dalším zpracovatelem osobních údajů uzavřít takovou smlouvu, která
dalšího zpracovatele zaváže v rozsahu, jak je zavázán Zpracovatel dle této Smlouvy, zejména
s ohledem na přijetí takových opatření, která zajistí zabezpečení osobních údajů.
6.5. Správce má právo vznést vůči dalšímu zpracovateli či způsobu, jakým jsou osobní údaje
zpracovávány, námitky. Pokud Zpracovatel nezajistí nápravu, kterou Správce vůči dalšímu
zpracovateli požaduje, je Zpracovatel povinen ukončit spolupráci s tímto dalším zpracovatelem bez
zbytečného odkladu, nejpozději však do třiceti (30) dnů o doručení výzvy Správce k zajištění
nápravy. Pokud Zpracovatel toto nesplní, je Správce oprávněn od této Smlouvy odstoupit.
6.6. Zpracovatel je povinen zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly
k mlčenlivosti, pokud taková povinnost mlčenlivosti nevyplývá pro tyto osoby již z právních
předpisů.
6.7. V případě porušení povinností v oblasti ochrany údajů odpovídá Správci za plnění povinností
dalšího zpracovatele Zpracovatel.
7. Oznamování porušení zabezpečení osobních údajů
7.1. Zpracovatel je povinen Správci oznámit nejpozději do dvaceti čtyř (24) hodin jakékoliv porušení
zabezpečení osobních údajů. Ohlášení Zpracovatele musí obsahovat popis povahy oznamovaného
případu porušení zabezpečení osobních údajů, včetně kategorií a přibližného počtu dotčených
subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů, popis
pravděpodobných důsledků porušení zabezpečení osobních údajů, popis opatření, které Zpracovatel
přijal nebo bez zbytečného odklady přijme s cílem vyřešit dané porušení zabezpečení osobních
údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Oznámení může být
činěno elektronickou formou na e-mailovou adresu gdprprahaeipo. Cz.
7.2. Zpracovatel je povinen vést záznamy o porušení zabezpečení osobních údajů, a to včetně záznamů
o skutečnostech, které se týkají daného porušení, jeho účinků a přijatých nápravných opatření.
Uvedenou dokumentaci je Zpracovatel povinen Správci předložit bez zbytečného odkladu od výzvy
Správce, nejpozději však do tří (3) dnů od doručení žádosti, která může být učiněna rovněž
elektronickou formou, zaslanou na e-mailovou adresu gdpr®prahaexpo.cz.
7.3. Správce je oprávněn určit Zpracovateli taková nápravná opatření, která povedou ke zvýšení
zabezpečení osobních údajů. Zpracovatel je povinen taková opatření přijmout nejpozději do třiceti
(30) dnů od výzvy Správce.
7.4. Správce je oprávněn od této Smlouvy odstoupit, pokud Zpracovatel porušuje své povinnosti stanové
tímto článkem a nezjedná nápravu ani v dodatečné přiměřené lhůtě stanovené Správcem, která
nebude kratší než třicet (30) dnů.
8. Povinnost mlčenlivosti
8.1. Smluvní strany potvrzují, že všechny informace, které se Smluvní strana při plnění a/nebo v
souvislosti s plněním Smlouvy dozví, včetně osobních údajů předaných v souvislosti s plněním
Smlouvy a opatření sloužících kjejich ochraně, jsou důvěrné povahy (dále jen „Důvěrné
informace“).
8.2. Smluvní strany jsou povinny zachovávat mlčenlivost o Důvěrných informacích a Důvěrné informace
použít pouze za účelem plnění předmětu Smlouvy.
8.3. Povinnost zachovávat mlčenlivost dle Smlouvy znamená zejména povinnost zdržet se jakéhokoli
jednání, kterým by Důvěrné informace byly jakoukoliv formou sděleny nebo zpřístupněny třetí
osobě nebo by byly Důvěrné informace využity v rozporu s jejich účelem pro vlastní potřeby nebo
potřeby třetí osoby anebo by bylo umožněno třetí osobě jakékoliv využití těchto Důvěrných
informací.
8.4. Smluvní strany odpovídají za plnění svých povinností podle příslušných ujednání Smlouvy kromě
případů, kdy povinnost zpřístupnit Důvěrné informace vyplývá z platných právních předpisů nebo
z pravomocného rozhodnutí soudu, rozhodčího orgánu či správního orgánu.
8.5. Po odpadnutí účelu, pro který byly Důvěrné informace předány ainebo po zániku účinnosti této
Smlouvy, jsou Smluvní strany povinny neprodleně po doručení písemné žádosti druhé Smluvní
strany jí předat veškeré originální hmotné nosiče Důvěrných informací v písemné a elektronické
podobě, a kopie těchto Důvěrných informací zničit ihned poté, co uvedené skutečnosti nastanou.
8.6. Tímto ustanovením nejsou dotčeny zákonné povinnosti Smluvních stran týkající se archivace
Důvěrných informací.
8.7. Smluvní strany jsou povinny dodržovat povinnosti plynoucí z tohoto článku Smlouvy bez časového
omezení i po zániku Smlouvy.
9. Další ujednání
9.1. Zpracovatel prohlašuje, že zavedl taková technická a organizační opatření, aby zpracování osobních
údajů na základě této Smlouvy splňovalo požadavky obecného nařízení o ochraně osobních údajů
a byla zajištěna ochrana práv subjektu údajů.
9.2. Zpracovatel je povinen poskytnout Správci nezbytnou součinnost při ochraně práv a oprávněných
zájmů Správce proti subjektu údajů či Úřadu pro ochranu osobních údajů z titulu porušování
pravidel zpracování a zabezpečení osobních údajů.
10. Smluvní pokuty a odpovědnost Zpracovatele
10.1. Zpracovatel odpovídá Správci za škodu, která mu vznikla v důsledku porušení této Smlouvy,
zejména v důsledku porušení tohoto Dodatku Zpracovatelem. Zpracovatel je povinen nahradit
Správci zejména pokuty uložené Správci z důvodu porušování pravidel ochrany osobních údajů, či
finanční kompenzace, které byl Správce povinen uhradit subjektu údajů.
11. Závěrečná ujednání
11.1. Tento Dodatek se vyhotovuje ve dvou (2) stejnopisech, každý splatností originálu, přičemž každá ze
Smluvních stran obdrží po jednom (1) stejnopisu.
11.2. Tento Dodatek nabývá platnosti a účinnosti dnem jeho podpisu oběma Smluvními stranami.
11.3. Smluvní strany prohlašují, že tento Dodatek uzavírají po vzájemné dohodě na základě jejich pravé a
svobodné vůle a nikoli v tísni ani za jinak nápadně nevýhodných podmínek, že si tento Dodatek
přečetly a sjeho obsahem souhlasí ana důkaz toho připojují své podpisy.
raze dne 16. S. 2018 V Praze dne 16. 5. 2018
Výstaviště Praha, a.s. DM Solutions, s.r.o.
Ing. Pavel Klaška Miloš Hrubý
předseda představenstva jednatel společnosti
V Praze dne 16. 5. 2018
Výstavištaha, a.s.
Ing. ‚el Jaroš
místopředaa představenstva Výstaviště Praha, a . s.
Výstaviště 67. 170 00 Praha 7
iČ: 25649329, DIČ: C225649329
r
Příloha č. 1 — Seznam osobních údajů DM Solutions, s.r.o., IČO: 274 62 447, se sídlem
Sadovská 457/7, 500 02 Hradec Králové, zapsaná
Zpracovatel: v obchodni‚m rejstriku vedene‚m Mestsky‚ m soudem
v Praze, oddíl C, vložka 20339
Činnost: Tisk obálek a dopisů pro zasílání objednaných
Subjekty údajů: plnění zákazníků Klienta (lístky na akce) a zajištění
Osobrn‚ u‚ daje: jejich odeslání skrze Českou poštu, s.p.
Prostředky zpracování: Zákazníci
Jméno a příjmení
Adresa doruceni
Elektronicky, tiskem (natištění obálek)