Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SMLOUVA O ZPRACOVÁNÍ
OSOBNÍCH ÚDAJŮ
Dodatek ke smlouvě: CSPSD/28/2018
Ze dne: 6. 4. 2018
Dodatek číslo: 1
Správce: Zpracovatel:
Centrum služeb pro silniční Centrum AMAVET
dopravu Junior Brno
Smlouva o zpracování osobních údajů Stránka 1 z 8
Správce: Centrum služeb pro silniční Zpracovatel: Centrum AMAVET
Název a adresa dopravu Název a adresa Junior Brno
nábř. L. Svobody 1222/12, Cacovická 364/6
110 15 Praha 1, IČO: 614 00 Brno
DIČ: 65765885
IČO: 70898219 Bankovní spojení Neplátce DPH
Číslo účtu:
DIČ: CZ70898219 Zástupce pro věci Ing. Pavel Čížek
smluvní
Bankovní ČNB
spojení 14237201/0710
Číslo účtu:
Zástupce pro Ing. Lenka Zborníková,
věci smluvní: ředitelka
dále též jen „CSPSD“ nebo „Správce“ dále též jen „Koordinátor“ nebo „Zpracovatel“
(Správce a Zpracovatel dále též společně jako „smluvní strany“)
VZHLEDEM K TOMU, ŽE
i. Správce a Zpracovatel uzavřeli dne 3.11.2011 smlouvu č. CSPSD/28/2018 (dále jen„Smlouva“);
ii. při plnění práv a povinností Zpracovatele z uvedené Smlouvy má Zpracovatel přístup
k souvisejícím osobním údajům, jichž je CSPSD Správcem nebo Zpracovatelem (dále jen
„Osobní údaje Správce“);
iii. dne 25. 5. 2018 nabylo účinnosti NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU)
2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů (dále jen
„Nařízení“ nebo „GDPR“);
iv. Smluvní strany mají zájem upravit své vztahy ze Smlouvy za účelem naplnění požadavků dle
čl. 28 odst. 3 Nařízení;
UZAVÍRAJÍ TUTO SMLOUVU O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (dále jen „Zpracovatelská smlouva“):
1. Základní ustanovení
1.1. CSPSD se považuje za Správce osobních údajů, který určuje účel a prostředky zpracování, a
v těchto případech je Koordinátor Zpracovatelem osobních údajů, který jedná z pověření
Správce. V případech, kdy CSPSD zpracovává osobní údaje pro svého zřizovatele,
Ministerstvo dopravy, (zejména osobní údaje dětí v souvislosti s organizací soutěží v oblasti
BESIP), které je Správcem osobních údajů, a pověří v těchto případech dalším zpracováním
Koordinátora, považuje se Koordinátor za sub-zpracovatele CSPSD. Pro účely této smlouvy se
ve všech případech zpracování osobních údajů CSPSD označuje jako Správce a Koordinátor
jako Zpracovatel.
1.2. Zpracovatel v souvislosti s předmětem Smlouvy zpracovává osobní údaje fyzických osob,
které Správce získal v souvislosti se svou činností nebo činností pro svého zřizovatele,
Ministerstvo dopravy, (zejména osobní údaje dětí v souvislosti s organizací soutěží v oblasti
Smlouva o zpracování osobních údajů Stránka 2 z 8
BESIP), a ke kterým má Zpracovatel přístup za účelem splnění svých povinností vyplývajících
ze Smlouvy.
1.3. Předmětem Zpracovatelské smlouvy je závazek Zpracovatele zpracovávat osobní údaje
uvedené v čl. 2 Zpracovatelské smlouvy na základě pověření Správcem, podle čl. 28 Nařízení,
k nimž má Zpracovatel přístup v souvislosti s poskytováním plnění na základě Smlouvy, jakož
i úprava dalších vzájemných práv a povinností při zpracování osobních údajů po dobu
účinnosti Smlouvy.
1.4. Zpracovatel je oprávněn zpracovávat Osobní údaje Správce pouze v rozsahu vymezeném v
čl. 2 pro účely vymezené v čl. 3 Zpracovatelské smlouvy. Jakékoli zpracování Osobních údajů
Správce nad tento rámec Zpracovatel neprovádí z pověření Správce a Správce za takové
zpracování neodpovídá.
2. Předmět zpracování
2.1. Zpracovatel je oprávněn zpracovávat Osobní údaje Správce v následujícím rozsahu:
osobní údaje zaměstnanců, spolupracovníků a smluvních partnerů (dodavatelů,
zákazníků) v souvislosti s poskytováním služeb v oblasti provádění prevence v oblasti
bezpečnosti silničního provozu a provádění dopravní výchovy a dalších služeb
specifikovaných ve Smlouvě, týkajících se osob uvedených na účetních a smluvních
dokladech Správce (smlouvy, objednávky, faktury apod.) a kontaktních osob zákazníků
a dodavatelů Správce pouze v rozsahu potřebném pro poskytování služeb Správci, tj.
základní identifikační údaje (jméno, příjmení, datum narození, IČ, DIČ bydliště, místo
podnikání), kontaktní údaje (email, tel. číslo), název a adresa zaměstnavatele,
kontaktní údaje fyzických osob jednajících za právnické osoby, případně další osobní
údaje pro zpracování smluvního vztahu.
osobní údaje účastníků školení a účastníků soutěží organizovaných Správcem nebo
Ministerstvem dopravy, včetně osobních údajů dětí a případně dalších osob, jejichž
Osobní údaje Správce v této souvislosti zpracovává, základní identifikační údaje
(jméno, příjmení, rok narození), základní škola, reportážní fotografie, z akcí
organizovaných Správcem.
2.2. CSPSD získalo a zpracovává Osobní údaje Správce na základě smlouvy se svými smluvními
partnery a zaměstnanci, tedy v souladu s čl. 6 odst. 1 písm. b) Nařízení a / nebo za účelem
plnění povinností stanovených právními předpisy, tedy v souladu s čl. 6 odst. 1 písm. c)
Nařízení.
3. Účel zpracování
3.1. Účelem zpracování Osobních údajů Správce je zajistit zpracování dat při plnění Smlouvy a
poskytnutí služby Zpracovatele na základě Smlouvy, tj. zejména zabezpečení a provádění
prevence v oblasti bezpečnosti silničního provozu a souvisejících služeb.
4. Cena
4.1. Cena za plnění povinností Zpracovatele dle Zpracovatelské smlouvy je zahrnuta v ceně plnění
poskytovaného na základě Smlouvy.
Smlouva o zpracování osobních údajů Stránka 3 z 8
5. Práva a povinnosti smluvních stran při zpracování Osobních údajů Správce
5.1. Správce je povinen poskytnout Zpracovateli pouze přesné a úplné osobní údaje a odpovídá
za jejich přesnost. Pokud osobní údaje získá Zpracovatel přímo od subjektů údajů v souvislosti
s poskytováním služeb dle Smlouvy, odpovídá za správnost a přesnost údajů sám, a současně
je povinen zajistit, aby zpracování osobních údajů probíhalo na základě zákonného titulu
(plnění smlouvy, plnění právní povinnosti, oprávněný zájem, souhlas), a aby subjekt údajů
obdržel veškeré informace ohledně zpracování osobních údajů v souladu s Nařízením.
5.2. Zpracovatel je povinen zpracovávat Osobní údaje Správce výhradně na základě pokynů
Správce a v souladu s právními předpisy, které upravují zpracování osobních údajů,
a v souladu s vnitřními předpisy Správce na ochranu osobních údajů, se kterými byl
seznámen. Pokud bude Zpracovatel zpracovávat Osobní údaje Správce nad rámec pokynů
Správce, bude jeho aktivita kvalifikována jako určení účelu či prostředků zpracování a jeho
postavení jako postavení Správce osobních údajů.
5.3. Zpracovatel je povinen neprodleně informovat Správce o tom že, podle jeho názoru, určitý
pokyn Správce porušuje Nařízení nebo jiné předpisy EU nebo členského státu, které se týkají
ochrany osobních údajů. V takovém případě je Zpracovatel oprávněn tyto pokyny neprovádět
do té doby, než Správce písemně potvrdí, že na provedení těchto namítaných pokynů trvá.
5.4. Zpracovatel se zavazuje přijmout taková technická, personální a jiná potřebná opatření, která
jsou nutná k zajištění důvěrnosti, integrity a dostupnosti osobních údajů. Zejména je povinen
přijmou opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním
údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému
neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i
po ukončení zpracování Osobních údajů Správce Zpracovatelem.
5.5. Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technicko-
organizační opatření k zajištění ochrany osobních údajů v souladu s Nařízením a jinými
právními předpisy a vést záznamy o činnostech zpracování ve smyslu čl. 30 odst. 2 Nařízení,
přičemž zajišťuje, kontroluje a odpovídá za:
a) plnění pokynů pro zpracování osobních údajů pouze k tomu oprávněnými osobami,
které k osobním údajům mají bezprostřední přístup,
b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro
jejich zpracování,
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání
záznamů obsahujících osobní údaje,
d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány, kým byly
zpracovány, pozměněny nebo smazány.
5.6. Zpracovatel je dále povinen:
a) využívat další Zpracovatele pouze s předchozím písemným souhlasem Správce a na
základě písemné smlouvy;
b) zachovávat mlčenlivost o zpracovávaných osobních údajích a zajistit, aby zaměstnanci
Zpracovatele, případně třetí osoby zpracovávající údaje podle Smlouvy, podléhaly
povinnosti mlčenlivosti;
Smlouva o zpracování osobních údajů Stránka 4 z 8
c) přijmout vhodná opatření k zajištění bezpečnosti zpracování v rozsahu stanoveném
v čl. 32 Nařízení s tím, že záruky Zpracovatele o technickém a organizačním
zabezpečení ochrany jsou specifikován v příloze 1 této Zpracovatelské smlouvy;
d) poskytnout Správci součinnost při uplatňování práv ze strany subjektů údajů
stanovených v kapitole III. Nařízení, zejména při zajištění práva na přístup k osobním
údajům tak, aby Správce dodržel lhůty stanovené Nařízením;
e) napomáhat Správci při plnění povinností vyplývajících z Nařízení ve vztahu
k bezpečnosti zpracování, oznamování porušení osobních údajů, a posouzení dopadů
zpracování na práva subjektů údajů;
f) bezodkladně informovat Správce o veškerých bezpečnostních incidentech tak, aby
byl Správce schopen splnit své oznamovací povinnosti dle čl. 33 a 34 Nařízení;
g) neprodleně písemně informovat Správce o jakémkoliv kontaktování subjektem
údajů, které lze materiálně považovat za žádost subjektu údajů, resp. za uplatnění jeho
práv postupovat podle následných písemných pokynů Správce;
h) neprodleně písemně informovat Správce o jakémkoliv kontaktování Úřadem pro
ochranu osobních údajů s tím, že o nahlášení nebo zahájení kontroly je Zpracovatel
povinen Správce informovat neprodleně i telefonicky; od kontrolujících zajistit
protokoly, zprávy, opatření a další písemnosti týkající se kontroly, a tyto poskytnout
Správci, stejně jako pro tyto účely Správci i vystavit plnou moc k nahlížení do spisů
Úřadu pro ochranu osobních údajů.
i) umožnit Správci nebo jím pověřené osobě realizaci auditů a inspekcí zpracování
osobních údajů Zpracovatelem a poskytnout Správci veškeré informace, které jsou
nezbytné k doložení, že Správce i Zpracovatel splňují své povinnosti podle článku 28
Nařízení.
j) podle rozhodnutí Správce po ukončení Smlouvy všechny osobní údaje buď vymazat,
nebo je vrátit Správci, a vymazat existující kopie, pokud právní předpisy nepožadují
uložení (archivaci) daných osobních údajů.
5.7. Zpracovatel se zavazuje vydáním vlastních vnitřních předpisů, příp. prostřednictvím
zvláštních smluvních ujednání zajistit, že jeho zaměstnanci a jiné osoby, které budou
zpracovávat osobní údaje na základě smlouvy u Zpracovatele, budou zpracovávat osobní
údaje pouze za podmínek a v rozsahu Zpracovatelem stanoveném a odpovídajícím této
Smlouvě, uzavírané mezi Zpracovatelem a Správcem, a dále v souladu s Nařízením.
Zpracovatel bude sám (a závazně uloží i těmto uvedeným osobám) zejména zachovávat
mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
zabezpečení osobních údajů, a to i po skončení zaměstnání nebo příslušných prací u
Zpracovatele
5.8. Smluvní strany se zavazují neprodleně se vzájemně informovat o všech skutečnostech, které
by mohly bránit řádné a včasné realizaci předmětu Smlouvy nebo Zpracovatelské smlouvy a
poskytovat si vzájemnou součinnost při plnění povinností, vyplývajících pro Správce nebo
Zpracovatele z Nařízení.
5.9. Zpracovatel prohlašuje, že jeho zaměstnanci a jiné osoby, kteří zajišťují zpracování dat při
plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby Zpracovatele pro Správce,
vymezené ve Smlouvě, a zpracovávají tedy Osobní údaje Správce, byli poučeni o své
povinnosti zachovávat mlčenlivost o těchto Osobních údajích Správce a souvisejících
bezpečnostních opatřeních na ochranu těchto Osobních údajů Správce. Zpracovatel
Smlouva o zpracování osobních údajů Stránka 5 z 8
5.10. prohlašuje, že tito zaměstnanci a jiné osoby byli poučeni i o tom, že povinnost zachovávat
5.11. mlčenlivost trvá i po skončení zaměstnání nebo smluvního vztahu i plnění Smlouvy.
Zpracovatel rovněž prohlašuje, že ve stejném rozsahu poučí do budoucna všechny své ostatní
5.12. zaměstnance a jiné osoby, kteří budou pověřeni zajišťováním zpracování dat při plnění
5.13. Smlouvy, poskytnutí produktu nebo poskytnutí služby Zpracovatele pro Správce vymezené
ve Smlouvě, a to před tím, než jim bude umožněn přístup k Osobním údajům Správce.
Zpracovatel se zavazuje, že Osobní údaje Správce využije výhradně v rámci splnění
vymezeného účelu zpracování.
Zpracovatel se zavazuje, že Osobní údaje Správce v žádném případě nevyužije pro sebe ani
někoho jiného ani je neposkytne žádné třetí osobě, včetně dalšího zpracovatele, ledaže
takové zpracování vyžadují závazné právní předpisy nebo pokud k tomu od Správce dostane
předchozí písemné povolení.
Zpracovatel se zavazuje, že bude zachovávat důvěrný charakter všech Osobních údajů
Správce, a to v souladu s platnými právními předpisy.
Pro případ porušení povinností Zpracovatele stanovených ve Zpracovatelské smlouvě se
sjednává smluvní pokuta ve výši 5000,- Kč za každý jednotlivý případ porušení. Zpracovatel
se zavazuje na výzvu Správce zaplatit smluvní pokutu ve lhůtě, kterou mu Správce určí
v písemné výzvě zaslané na adresu sídla Zpracovatele uvedenou v obchodním rejstříku.
Zaplacením smluvní pokuty není dotčen nárok Správce nebo jiné společnosti ze skupiny
Správce na náhradu škody, která vznikla porušením povinnosti, na niž se smluvní pokuta
vztahuje.
6. Trvání Zpracovatelské smlouvy a ukončení zpracování Osobních údajů Správce
6.1. Trvání Zpracovatelské smlouvy, je závislé na trvání Smlouvy, tedy účinnost Zpracovatelské
smlouvy (jako dodatku Smlouvy) je omezena nejdéle na dobu účinnosti Smlouvy s tím, že:
a) pokud dojde k ukončení účinnosti Smlouvy, účinnost Zpracovatelské smlouvy tentýž
den zaniká;
b) pokud dojde ke změně Smlouvy spočívající v tom, že Zpracovatel nebude nadále
zajišťovat zpracování Osobních údajů Správce při plnění Smlouvy, poskytnutí produktu
nebo poskytnutí služby vymezené ve Smlouvě, účinnost Zpracovatelské smlouvy
zaniká.
6.2. V případě, že Správce nebo Zpracovatel zjistí, že druhá Smluvní strana porušuje povinnosti
stanovené Nařízením nebo touto Zpracovatelskou smlouvou, přičemž nebude sjednána
náprava ani v dodatečně stanovené lhůtě určené dotčenou Smluvní stranou, která nesmí být
kratší než 10 dnů, je oprávněn po marném uplynutí lhůty pro nápravu Zpracovatelskou
smlouvu vypovědět písemným oznámením učiněným druhé Smluvní straně, a to bez
výpovědní doby.
6.3. Zpracovatel se zavazuje, že při ukončení účinnosti Zpracovatelské smlouvy, nebo na žádost
Správce i kdykoli dříve, ukončí zpracování Osobních údajů Správce. V takovém případě vrátí
Správci veškeré záznamy obsahující Osobní údaje Správce, ať už v listinné nebo elektronické
podobě, a zničí všechny existující kopie těchto záznamů nebo, po dohodě se Správcem, zajistí
Zpracovatel zničení těchto záznamů a vydá Správci o jejich zničení písemné potvrzení.
6.4. Zpracovatel se zavazuje, že i po ukončení účinnosti Zpracovatelské smlouvy bude zachovávat
mlčenlivost o Osobních údajích Správce dle čl. 6 Zpracovatelské smlouvy, k nimž v souvislosti
s plněním Smlouvy získal přístup, a nadále bude dodržovat bezpečnostní opatření k ochraně
těchto Osobních údajů Správce dle Zpracovatelské smlouvy, přičemž se zároveň zavazuje
zachovávat mlčenlivost o těchto bezpečnostních opatřeních.
Smlouva o zpracování osobních údajů Stránka 6 z 8
6.5. Po ukončení účinnosti této Zpracovatelské Smlouvy jsou smluvní strany povinny s osobními
údaji shromážděnými na základě Smlouvy naložit v souladu s příslušnými ustanoveními
Nařízení a této Smlouvy o zpracování. Ukončením trvání této Smlouvy o zpracování také
nezaniká povinnost Zpracovatele zachovávat mlčenlivost ve vztahu k osobním údajům, které
Zpracovatel zpracovával v souvislosti s předmětem Smlouvy. Ukončením Smlouvy o
zpracování dále nezanikají nároky Správce vzniklé na základě porušení povinnosti
Zpracovatele dle této smlouvy a Nařízení, včetně práva na zaplacení smluvní pokuty.
7. Závěrečná ustanovení
7.1. Tato Zpracovatelská smlouva se uzavírá na dobu neurčitou.
7.2. Měnit, doplňovat nebo rušit tuto smlouvu je možné jen formou písemných číslovaných
dodatků podepsaných oběma smluvními stranami.
7.3. Smluvní strany sjednávají, že v případě rozporu mezi Smlouvou a touto Zpracovatelskou
smlouvou a dosavadními smluvními ujednáními uzavřenými mezi stranami a týkajícími se
oblasti zpracování osobních údajů, má přednost tato Zpracovatelská smlouva o zpracování.
Dosavadní smluvní ujednání týkající se zpracování osobních údajů, která nevyhovují
požadavkům Nařízení nebo této Zpracovatelské smlouvy, pozbývají účinnosti.
7.4. Ve věcech v této Zpracovatelské smlouvě výslovně neupravených, se práva a povinnosti stran
řídí ustanoveními příslušných právních předpisů, zejména Nařízením.
7.5. Tato Zpracovatelská smlouva je vypracovaná ve dvou vyhotoveních, ze kterých si jedno
ponechá Správce a jedno Zpracovatel.
7.6. Obě smluvní strany stvrzují svým podpisem, že obsah této smlouvy je výsledkem jejich
vzájemného ujednání učiněného vážně, určitě, pro obě strany srozumitelně, nikoliv v tísni za
nápadně nevýhodných podmínek a že je výrazem jejich pravé a svobodné vůle.
7.7. Seznam příloh: Příloha č. 1 – Bezpečnostní záruky Zpracovatele
V Praze dne 17. 12. 2018 V Brně dne 6. 12. 2018
Správce: Zpracovatel:
_________________________________ __________ __
Centrum služeb pro silniční dopravu
Ing. Lenka Zborníková, ředitelka Centrum AMAVET
Ing. Pavel Čížek
Smlouva o zpracování osobních údajů Stránka 7 z 8
Příloha 1 Smlouvy o zpracování osobních údajů
ZÁRUKY ZPRACOVATELE O TECHNICKÉM A ORGANIZAČNÍM ZABEZPEČENÍ OCHRANY
Zpracovatel prohlašuje, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby
vymezené ve Smlouvě pro Správce v prostorách svého sídla nebo v cloudovém úložišti umístěného v rámci EU,
přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců. Zpracovatel prohlašuje, že
ochrana Osobních údajů Správce je v jeho prostorách zajištěna takto:
1. ☒ Politika a/nebo směrnice o zabezpečení informací
2. ☒ Zabezpečení objektu a místností:
☒ zámky
☐ mříže
☐ fyzická ochrana
☐ centrální pult ochrany
☐ elektronické zabezpečovací zařízení
☐ jiné: __________________________________________________________________
3. ☒ Zabezpečení manuálního zpracování:
☒ určení osob, které mají přístup k dokumentům pro manuální zpracování osobních údajů;
☒ zajištění, aby fyzické osoby oprávněné k používání dokumentů pro manuální zpracování
osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a
to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek
dostupných výlučně pro tyto osoby;
☐ pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje
zaznamenány nebo jinak zpracovány;
☒ zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje;
☒ opatření umožňující určit, komu byly osobní údaje předány;
☐ jiné: ________________________________________________________________
4. ☒ Zabezpečení automatizovaného zpracování:
☒ určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů;
☒ zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování
osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a
to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému
zřízených výlučně pro tyto osoby;
☐ pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu
byly osobní údaje zaznamenány nebo jinak zpracovány;
☒ zabránění neoprávněnému přístupu k datovým nosičům;
☐ opatření umožňující určit, komu byly osobní údaje předány;
☐ jiné: ________________________________________________________________________
Smlouva o zpracování osobních údajů Stránka 8 z 8