Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
027/2019-12201
OBJEDNÁVKA
Číslo objednávky: 17ZA-002749
Název objednávky: 511 mechanizace – oprava vozidla Iveco Trakker, VIN:
WJMF2NPS40C198567
Objednatel: Dodavatel:
Ředitelství silnic a dálnic ČR Název: PROFI AUTO CZ a. s.
SSÚD 1 Mirošovice, Adresa: Kolovratská 1367, 251 01 Říčany
Hlavní 199, 251 66 Senohraby Bankovní spojení:
Bankovní spojení: ČNB Číslo účtu:
Číslo účtu: 20001-15937031/0710 IČO: 26178559
IČO: 65993390 DIČ: CZ26178559
DIČ: CZ65993390 Kontaktní osoba:
Tato objednávka Objednatele zavazuje po jejím potvrzení Dodavatelem obě smluvní strany ke
splnění stanovených závazků a nahrazuje smlouvu. Dodavatel se zavazuje provést na svůj
náklad a nebezpečí pro Objednatele služby specifikované níže. Objednatel se zavazuje zaplatit
za služby poskytnuté v souladu s touto objednávkou cenu uvedenou níže.
Místo poskytnutí služeb: PROFI AUTO CZ a. s.
Kontaktní osoba Objednatele:
Fakturujte: Ředitelství silnic a dálnic ČR, SSÚD 1 Mirošovice, Hlavní 199, 251 66 Senohraby.
Obchodní a platební podmínky: Objednatel uhradí cenu jednorázovým bankovním převodem
na účet Dodavatele uvedený na faktuře, termín splatnosti je stanoven na 30 dnů ode dne
doručení faktury Objednateli. Fakturu lze předložit nejdříve po protokolárním převzetí služeb
Objednatelem bez vad či nedodělků. Faktura musí obsahovat veškeré náležitosti stanovené
platnými právními předpisy, číslo objednávky a místo dodání. Objednatel neposkytuje žádné
zálohy na cenu, ani dílčí platby ceny. Potvrzením přijetí (akceptací) této objednávky se
Dodavatel zavazuje plnit veškeré povinnosti v této objednávce uvedené. Objednatel výslovně
vylučuje akceptaci objednávky Dodavatelem s jakýmikoliv změnami jejího obsahu,
k takovému právnímu jednání Dodavatele se nepřihlíží. Dodavatel poskytuje souhlas s
uveřejněním objednávky a jejího potvrzení v registru smluv zřízeným zákonem č. 340/2015
Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru
smluv, ve znění pozdějších předpisů (dále jako „zákon o registru smluv“), Objednatelem.
Objednávka je účinná okamžikem zveřejnění v registru smluv. Objednatel je oprávněn
kdykoliv po uzavření objednávky tuto objednávku vypovědět s účinky od doručení písemné
Stránka 1 z 21
výpovědi Dodavateli, a to i bez uvedení důvodu. Výpověď objednávky dle předcházející věty
nemá vliv na již řádně poskytnuté plnění včetně práv a povinností z něj vyplývajících.
Objednáváme u Vás: oprava vozidla Iveco Trakker, VIN: WJMF2NPS40C198567 – oprava
převodové skříně (výměna synchronů, ložisek, oprava tyče řazení atd.).
Lhůta pro dodání či termín dodání: Plnění poskytněte ve lhůtě do 31.5.2019.
Celková hodnota objednávky v Kč bez DPH / s DPH: 75.311,88 Kč / 91.127,37Kč
V případě akceptace objednávky Objednatele Dodavatel objednávku podepíše a zašle
písemně 3x potvrzené vyhotovení objednávky zpět na adresu Objednatele. Následně obdrží 2
vyhotovení podepsaná oběma Smluvními stranami Objednatel a 1 vyhotovení podepsaná
oběma Smluvními stranami Dodavatel.
Jméno a příjmení oprávněné osoby objednatele: Šimon Stanislav, vedoucí SSÚD 1
Nedílnou součástí této objednávky jsou následující přílohy:
Příloha č. 1 – Rozpis Ceny Služeb
Smlouva o zpracování osobních údajů
V Mirošovicích dne 11.2.2019 V Říčanech dne 6.2.2019
Za Objednatele: Za Dodavatele:
Podpis oprávněné osoby Podpis oprávněné osoby
Stránka 2 z 21
Příloha č. 1 - Rozpis Ceny Služeb
VIN vozidla typ vozidla aktuální stav tachometru (km) cena bez DPH
WJMF2NPS40C198567 Iveco TRAKKER AD260T36 73.936 0,00 Kč
celkem bez DPH 75 311,88 Kč
DPH 21%
15 815,49 Kč
celkem s DPH 91 127,37
Kč
podrobný rozpis opravy výměna synchronů, výměna kamene tyče řazení, výměna kolíčku spínače,
převodovky Iveco výměna těsnění komplet + okroužků, výměna simerinku unašeče, výměna
TRAKKER Cursor 8 ložisek, výměna pružinek, výměna těsnění PTO, výměna oleje převodovky,
spojovací a spotřební materiál, mazivo plastické, tmel, demontáž + revize.
razítko a podpis oprávněného zástupce poskytovatele:
datum: 7.2.2019
Stránka 3 z 21
[Pozn. pro dodavatele: Tato vzorová smlouva se jako příloha smlouvy na plnění předmětu
veřejné zakázky do nabídky přikládá nevyplněná a nepodepsaná]
Smlouva o zpracování osobních údajů
uzavřená níže uvedeného dne, měsíce a roku mezi:
Ředitelství silnic a dálnic ČR
se sídlem Na Pankráci 546/56, 140 00 Praha 4
IČO: 65993390
DIČ: CZ65993390
právní forma: příspěvková organizace
bankovní spojení:
zastoupeno:
osoba oprávněná k podpisu smlouvy:
kontaktní osoba ve věcech smluvních:
e-mail:
tel:
kontaktní osoba ve věcech technických:
e-mail:
tel:
(dále jen „Správce”)
a
[zpracovatel doplní svůj název]
se sídlem [doplní zpracovatel]
IČO: [doplní zpracovatel]
DIČ: [doplní zpracovatel]
zápis v obchodním rejstříku: [doplní zpracovatel]
právní forma: [doplní zpracovatel]
bankovní spojení: [doplní zpracovatel]
zastoupen: [doplní zpracovatel]
kontaktní osoba ve věcech smluvních: [doplní zpracovatel]
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
kontaktní osoba ve věcech technických: [doplní zpracovatel]
Stránka 4 z 21
e-mail: [doplní zpracovatel]
tel: [doplní zpracovatel]
(dále jen „Zpracovatel“ nebo „Prvotní Zpracovatel“)
(Správce a Zpracovatel společně dále také jako „Smluvní strany“)
Stránka 5 z 21
Preambule
Vzhledem k tomu, že Zpracovatel v průběhu poskytování Služeb a/nebo Produktů
Správci může zpracovávat Osobní údaje Správce, považují Smluvní strany za
zásadní, aby při zpracování těchto osobních údajů byla zajištěna vysoká úroveň
ochrany práv a svobod fyzických osob ve vztahu k takovému zpracování osobních
údajů a toto zpracování bylo v souladu s Předpisy na ochranu osobních údajů, a
to zejm. s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné
nařízení o ochraně osobních údajů), a proto Smluvní strany uzavírají tuto smlouvu
o ochraně osobních údajů (dále jen „Smlouva“).
1 Definice
Pro účely této Smlouvy se následující pojmy vykládají takto:
„EHP“ se rozumí Evropský hospodářský prostor.
„GDPR“ se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679
ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES
(obecné nařízení o ochraně osobních údajů) ve znění opravy uveřejněné
v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016.
„Hlavní smlouvou“ se rozumí smluvní vztah či smluvní vztahy založené mezi
Správcem a Zpracovatelem na základě uzavřených platných a účinných smluv
vymezených v příloze č. 1 této Smlouvy.
„Osobními údaji Správce“ se rozumí osobní údaje popsané v příloze č. 1 této
Smlouvy a veškeré další osobní údaje zpracovávané Zpracovatelem jménem
Správce podle a/nebo v souvislosti s Hlavní smlouvou.
„Podzpracovatelem“ se rozumí jakýkoli zpracovatel osobních údajů (včetně
jakékoli třetí strany) zapojený Zpracovatelem do zpracování Osobních údajů
Správce jménem Správce. Za podmínek stanovených touto Smlouvou je
Podzpracovatel oprávněn zapojit do zpracování Osobních údajů Správce dalšího
Podzpracovatele (tzv. řetězení podzpracovatelů).
„Pokynem“ se rozumí jakýkoliv pokyn Správce Zpracovateli týkající se
zpracování Osobních údajů Správce. Zpracovatel je povinen kdykoliv v průběhu
zpracování osobních údajů prokázat existenci a obsah Pokynu.
„Porušením zabezpečení osobních údajů“ se rozumí takové porušení
zabezpečení osobních údajů, které vede nebo může přímo vést k neoprávněnému
Stránka 6 z 21
přístupu nebo k neoprávněné či nahodilé změně, zničení, vyzrazení či ztrátě
osobních údajů, případně k neoprávněnému vyzrazení nebo přístupu k uloženým,
přenášeným nebo jinak zpracovávaným Osobním údajům Správce.
„Produkty“ se rozumí Produkty, které má Zpracovatel poskytnout Správci dle
Hlavní smlouvy.
„Předpisy o ochraně osobních údajů“ se rozumí Nařízení Evropského
parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve
znění opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4.
května 2016, jakož i veškeré národní předpisy upravující ochranu osobních údajů.
„Schválenými Podzpracovateli“ se rozumějí: (a) Podzpracovatelé uvedení v
příloze č. 3 této Smlouvy (autorizované předání Osobních údajů Správce); a (b)
případně další dílčí Podzpracovatelé předem písemně povolení Správcem v
souladu se kapitolou 6 této Smlouvy.
„Službami“ se rozumí Služby, které má Zpracovatel poskytnout Správci podle
Hlavní smlouvy.
„Standardními smluvními doložkami“ se rozumí standardní smluvní doložky
pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích
schválené rozhodnutím Evropské komise 2010/87/EU ze dne 5. února 2010, nebo
jakýkoli soubor ustanovení schválených Evropskou komisí, který je mění,
doplňuje nebo nahrazuje.
„Třetí zemí“ se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy
je tato země předmětem platného a účinného rozhodnutí Evropské komise o
odpovídající ochraně osobních údajů ve třetích zemích.
„Vymazáním“ se rozumí odstranění nebo zničení Osobních údajů Správce tak,
aby nemohly být obnoveny nebo rekonstruovány.
„Zásadami zpracování osobních údajů“ se rozumí zásada zákonnosti,
korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti,
omezení uložení, integrity
a důvěrnosti. Smluvní strany berou na vědomí, že jakékoliv zpracování osobních
údajů či jakýkoliv výklad této Smlouvy musí být v souladu s těmito zásadami.
Dokument Zásady zpracování osobních údajů je k dispozici na internetových
stránkách xxx v záložce Organizace pod odkazem GDPR.
Stránka 7 z 21
„Zpracování“, „správce“, „zpracovatel“, „subjekt údajů“, „osobní údaje“,
„zvláštní kategorie osobních údajů“ a jakékoli další obecné definice neuvedené
v této Smlouvě nebo v Hlavní smlouvě mají stejný význam jako v GDPR.
2 Podmínky zpracování Osobních údajů Správce
2.1 V průběhu poskytování Služeb a/nebo Produktů Správci podle Hlavní smlouvy je Zpracovatel oprávněn
zpracovávat Osobní údaje Správce jménem Správce pouze za podmínek této Smlouvy a na základě
Pokynů Správce. Zpracovatel se zavazuje, že bude po celou dobu zpracování dodržovat následující
ustanovení týkající se ochrany Osobních údajů Správce.
2.2 V rozsahu požadovaném platnými a účinnými Předpisy o ochraně osobních údajů musí Zpracovatel
získat a uchovávat veškeré potřebné licence, oprávnění a povolení potřebné k zpracování Osobních
údajů Správce včetně osobních údajů uvedených v příloze č. 1 této Smlouvy.
2.3 Zpracovatel musí dodržovat veškerá technická a organizační opatření pro splnění požadavků
uvedených v této Smlouvě a jejích přílohách. Zpracovatel je dále povinen dbát Zásad zpracování
osobních údajů a za všech okolností tyto zásady dodržovat.
2.4 Pro účely komunikace a zajištění součinnosti Správce a Zpracovatele navzájem (zejm. v případech
porušení zabezpečení osobních údajů, předávání žádostí subjektů údajů), není-li v konkrétním případě
určeno jinak, pověřily Smluvní strany tyto osoby:
2.4.1 osoba pověřená Správcem:
2.4.2 osoba pověřená Zpracovatelem: [doplní zpracovatel], e-mail: [doplní zpracovatel], tel:
[doplní zpracovatel].
3 Zpracování Osobních údajů Správce
3.1 Zpracovatel zpracovává Osobní údaje Správce pouze pro účely plnění Hlavní smlouvy nebo pro plnění
poskytované na základě Hlavní smlouvy (viz příloha č. 1 této Smlouvy). Zpracovatel nesmí zpracovávat,
předávat, upravovat nebo měnit Osobní údaje Správce nebo zveřejnit či povolit zveřejnění Osobních
údajů Správce jiné třetí osobě jinak než v souladu s touto Smlouvou nebo s Pokyny Správce, pokud
takové zveřejnění není vyžadováno právem EU nebo členského státu, kterému Zpracovatel podléhá.
Zpracovatel v rozsahu povoleném takovým zákonem informuje Správce o tomto zákonném požadavku
před zahájením zpracování Osobních údajů Správce a dodržuje pokyny Správce, aby co nejvíce omezil
rozsah zveřejnění.
3.2 Zpracovatel neprodleně nebo bez zbytečného odkladu od obdržení Pokynu informuje Správce
v případě, kdy podle jeho názoru vzhledem k jeho odborným znalostem a zkušenostem takový Pokyn
porušuje Předpisy o ochraně osobních údajů.
3.3 Zpracovatel bere na vědomí, že není oprávněn určit účely a prostředky zpracování Osobních údajů
Správce a pokud by Zpracovatel toto porušil, považuje se ve vztahu k takovému zpracování za správce.
3.4 Pro účely zpracování uvedeného výše tímto Správce instruuje Zpracovatele, aby předával Osobní údaje
Správce příjemcům ve třetích zemích uvedených v příloze č. 3 této Smlouvy (Autorizované předávání
Osobních údajů Správce) vždy za předpokladu, že taková osoba splní požadavky uvedené v kapitole 6
této Smlouvy.
4 Spolehlivost Zpracovatele
4.1 Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost každého zaměstnance, jeho zástupce nebo
dodavatele, kteří mohou mít přístup k Osobním údajům Správce, přičemž zajistí, aby byl přístup
omezen výhradně na ty osoby, jejichž činnost vyžaduje přístup k příslušným Osobním údajům Správce.
Stránka 8 z 21
Zpracovatel vede seznam osob oprávněných zpracovávat osobní údaje Správce a osob, které mají
k těmto osobním údajům přístup, přičemž sleduje a pravidelně přezkoumává, že se jedná o osoby dle
tohoto odstavce.
4.2 Zpracovatel musí zajistit, aby všechny osoby, které zapojil do zpracování Osobních údajů Správce:
4.2.1 byly informovány o důvěrné povaze Osobních údajů Správce a byly si vědomy povinností
Zpracovatele vyplývajících z této Smlouvy, Hlavní smlouvy, Pokynů a platných a účinných
Předpisů o ochraně osobních údajů, a zavázaly se tyto povinnosti dodržovat ve stejném
rozsahu, zejm. aby zachovávaly mlčenlivost o osobních údajích a přijatých opatřeních k jejich
ochraně, a to i po skončení jejich pracovněprávního nebo jiného smluvního vztahu ke
Zpracovateli;
4.2.2 byly přiměřeně školeny/certifikovány ve vztahu k Předpisům o ochraně osobních údajů nebo
dle Pokynů Správce;
4.2.3 podléhaly závazku důvěrnosti nebo profesním či zákonným povinnostem zachovávat
mlčenlivost;
4.2.4 používaly pouze bezpečný hardware a software a dodržovaly zásady bezpečného používání
výpočetní techniky;
4.2.5 podléhaly procesům autentizace uživatelů a přihlašování při přístupu k Osobním údajům
Správce v souladu s touto Smlouvou, Hlavní smlouvou, Pokyny a platnými a účinnými
Předpisy o ochraně osobních údajů;
4.2.6 zabránily neoprávněnému čtení, pozměnění, smazání či znepřístupnění Osobních údajů
Správce, nevytvářely kopie nosičů osobních údajů pro jinou než pracovní potřebu a
neumožnily takové jednání ani jiným osobám a případně neprodleně, nejpozději však do 24
hodin od vzniku, hlásily jakékoliv důvodné podezření na ohrožení bezpečnosti osobních
údajů, a to osobě uvedené v kapitole 2 této Smlouvy.
5 Zabezpečení osobních údajů
5.1 S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům
zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob,
provede Zpracovatel vhodná technická a organizační opatření (příloha č. 2 této Smlouvy), aby zajistil
úroveň zabezpečení odpovídající danému riziku, případně včetně:
5.1.1 pseudonymizace a šifrování osobních údajů;
5.1.2 schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb
zpracování;
5.1.3 schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či
technických incidentů;
5.1.4 procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických
a organizačních opatření pro zajištění bezpečnosti zpracování.
5.2 Při posuzování vhodné úrovně bezpečnosti se zohlední rizika, která představuje zpracování, zejména
náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných,
uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
5.3 V případě zpracování osobních údajů více správců je Zpracovatel povinen zpracovávat takové osobní
údaje odděleně.
5.4 Konkrétní podmínky zabezpečení jsou uvedeny v příloze č. 2 této Smlouvy a dále v Pokynech.
Stránka 9 z 21
6 Další Podzpracovatelé
6.1 Zpracovatel je oprávněn použít ke zpracování Osobních údajů Správce další Podzpracovatele uvedené
v příloze č. 3 této Smlouvy. Jiné Podzpracovatele je Zpracovatel oprávněn zapojit do zpracování pouze
s předchozím písemným povolením Správce.
6.2 Zpracovatel je povinen u každého Podzpracovatele:
6.2.1 poskytnout Správci úplné informace o zpracování, které má provádět takový
Podzpracovatel;
6.2.2 zajistit náležitou úroveň ochrany Osobních údajů Správce, včetně dostatečných záruk pro
provedení vhodných technických a organizačních opatření dle této Smlouvy, Hlavní Smlouvy,
Pokynů a platných a účinných Předpisů na ochranu osobních údajů;
6.2.3 zahrnout do smlouvy mezi Zpracovatelem a každým dalším Podzpracovatelem podmínky,
které jsou shodné s podmínkami stanovenými v této Smlouvě. Pro vyloučení pochybností si
Smluvní strany ujednávají, že v případě tzv. řetězení zpracovatelů (tj. uzavírání smlouvy o
zpracování osobních údajů mezi podzpracovateli) musí tyto smlouvy splňovat podmínky dle
této Smlouvy. Na požádání poskytne Zpracovatel Správci kopii svých smluv s dílčími
Podzpracovateli a v případě řetězení podzpracovatelů i kopii smluv uzavřených mezi dalšími
Podzpracovateli;
6.2.4 v případě předání Osobních údajů Správce mimo EHP zajistit ve smlouvách mezi
Zpracovatelem a každým dalším Podzpracovatelem Standardní smluvní doložky nebo jiný
mechanismus, který předem schválí Správce, aby byla zajištěna odpovídající ochrana
předávaných Osobních údajů Správce;
6.2.5 zajistit plnění všech povinností nezbytných pro zachování plné odpovědnosti vůči Správci za
každé selhání každého dílčího Podzpracovatele při plnění jeho povinností v souvislosti se
zpracováním Osobních údajů Správce.
7 Plnění práv subjektů údajů
7.1 Subjekt údajů má na základě své žádosti zejména právo získat od Správce informace týkající se
zpracování svých osobních údajů, žádat jejich opravu či doplnění, podávat námitky proti zpracování
svých osobních údajů či žádat jejich výmaz.
7.2 Vzhledem k povaze zpracovávání Zpracovatel napomáhá Správci při provádění vhodných technických
a organizačních opatření pro splnění povinností Správce reagovat na žádosti o uplatnění práv subjektu
údajů.
7.3 Zpracovatel neprodleně oznámí Správci, pokud obdrží od subjektu údajů, orgánu dohledu a/nebo
jiného příslušného orgánu žádost podle platných a účinných Předpisů o ochraně osobních údajů,
pokud se jedná o Osobní údaje Správce.
7.4 Zpracovatel spolupracuje se Správcem dle jeho potřeb a Pokynů tak, aby Správci umožnil jakýkoli
výkon práv subjektu údajů podle Předpisů o ochraně osobních údajů, pokud jde o Osobní údaje
Správce, a vyhověl jakémukoli požadavku, dotazu, oznámení nebo šetření dle Předpisů o ochraně
osobních údajů nebo dle této Smlouvy, což zahrnuje:
7.4.1 poskytnutí veškerých údajů požadovaných Správcem v přiměřeném časovém období
specifikovaném Správcem, a to ve všech případech a včetně úplných podrobností a kopií
stížnosti, sdělení nebo žádosti a jakýchkoli Osobních údajů Správce, které Zpracovatel ve
vztahu k subjektu údajů zpracovává;
7.4.2 poskytnutí takové asistence, kterou může Správce rozumně požadovat, aby mohl vyhovět
příslušné žádosti ve lhůtách stanovených Předpisy o ochraně osobních údajů;
Stránka 10 z 21
7.4.3 implementaci dodatečných technických a organizačních opatření, které může Správce
rozumně požadovat, aby mohl účinně reagovat na příslušné stížnosti, sdělení nebo žádosti.
8 Porušení zabezpečení osobních údajů
8.1 Zpracovatel je povinen bez zbytečného odkladu a v každém případě nejpozději do 24 hodin informovat
Správce o tom, že došlo k porušení zabezpečení Osobních údajů Správce nebo existuje důvodné
podezření z porušení zabezpečení Osobních údajů Správce. Zpracovatel poskytne Správci dostatečné
informace, které mu umožní splnit veškeré povinnosti týkající ohlašování a oznamování případů
porušení zabezpečení osobních údajů podle Předpisů o ochraně osobních údajů. Takové oznámení
musí přinejmenším:
8.1.1 popisovat povahu porušení zabezpečení osobních údajů, kategorie a počty dotčených
subjektů údajů a kategorie a specifikace záznamů o osobních údajích;
8.1.2 jméno a kontaktní údaje pověřence pro ochranu osobních údajů Zpracovatele nebo jiného
příslušného kontaktu, od něhož lze získat více informací;
8.1.3 popisovat odhadované riziko a pravděpodobné důsledky porušení zabezpečení osobních
údajů;
8.1.4 popisovat opatření přijatá nebo navržená k řešení porušení zabezpečení osobních údajů.
8.2 Zpracovatel spolupracuje se Správcem a podniká takové přiměřené kroky, které jsou řízeny Správcem,
aby napomáhal vyšetřování, zmírňování a nápravě každého porušení osobních údajů.
8.3 V případě porušení zabezpečení osobních údajů Zpracovatel neinformuje žádnou třetí stranu bez
předchozího písemného souhlasu Správce, pokud takové oznámení nevyžaduje právo EU nebo
členského státu, které se na Zpracovatele vztahuje. V takovém případě je Zpracovatel povinen, v
rozsahu povoleném takovým právem, informovat Správce o tomto právním požadavku, poskytnout
kopii navrhovaného oznámení a zvážit veškeré připomínky, které provedl Správce před tím, než
porušení zabezpečení osobních údajů oznámí.
9 Posouzení vlivu na ochranu osobních údajů a předchozí konzultace
9.1 Zpracovatel poskytne Správci přiměřenou pomoc ve všech případech posouzení vlivu na ochranu
osobních údajů, které jsou vyžadovány čl. 35 GDPR, a s veškerými předchozími konzultacemi s
jakýmkoli dozorovým úřadem Správce, které jsou požadovány podle čl. 36 GDPR, a to vždy pouze ve
vztahu ke zpracovávání Osobních údajů Správce Zpracovatelem a s ohledem na povahu zpracování a
informace, které má Zpracovatel k dispozici.
10 Vymazání nebo vrácení Osobních údajů Správce
10.1 Zpracovatel musí neprodleně a v každém případě do 90 (devadesáti) kalendářních dnů po: (i) ukončení
zpracování Osobních údajů Správce Zpracovatelem nebo (ii) ukončení Hlavní smlouvy, podle volby
Správce (tato volba bude písemně oznámena Zpracovateli Pokynem Správce) buď:
10.1.1 vrátit úplnou kopii všech Osobních údajů Správce Správci zabezpečeným přenosem datových
souborů v takovém formátu, jaký oznámil Správce Zpracovateli a dále bezpečně a
prokazatelně vymazat všechny ostatní kopie Osobních údajů Správce zpracovávaných
Zpracovatelem nebo jakýmkoli autorizovaným dílčím Podzpracovatelem; nebo
10.1.2 bezpečně a prokazatelně smazat všechny kopie Osobních údajů Správce zpracovávaných
Zpracovatelem nebo jakýmkoli dalším Podzpracovatelem, přičemž Zpracovatel poskytněte
Správci písemné osvědčení, že plně splnil požadavky kapitoly 10 této Smlouvy.
10.2 Zpracovatel může uchovávat Osobní údaje Správce v rozsahu požadovaném právními předpisy Unie
nebo členského státu a pouze v rozsahu a po dobu požadovanou právními předpisy Unie nebo
Stránka 11 z 21
členského státu a za předpokladu, že Zpracovatel zajistí důvěrnost všech těchto osobních údajů
Správce a zajistí, aby tyto osobní údaje Správce byly zpracovávány pouze pro účely uvedené v právních
předpisech Unie nebo členského státu, které vyžadují jejich ukládání, a nikoliv pro žádný jiný účel.
11 Právo na audit
11.1 Zpracovatel na požádání zpřístupní Správci veškeré informace nezbytné k prokázání souladu
s platnými a účinnými Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny a dále umožní
audity a inspekce ze strany Správce nebo jiného auditora pověřeného Správcem ve všech místech, kde
probíhá zpracování Osobních údajů Správce. Zpracovatel umožní Správci nebo jinému auditorovi
pověřenému Správcem kontrolovat, auditovat a kopírovat všechny příslušné záznamy, procesy
a systémy, aby Správce mohl ověřit, že zpracování Osobních údajů Správce je v souladu s platnými a
účinnými Předpisy o ochraně osobních údajů, touto Smlouvou a Pokyny. Zpracovatel poskytne Správci
plnou spolupráci a na žádost Správce poskytne Správci důkazy o plnění svých povinností podle této
Smlouvy. Zpracovatel neprodleně uvědomí Správce, pokud podle jeho názoru zde uvedené právo na
audit porušuje Předpisy o ochraně osobních údajů.
11.2 Zpracovatel je povinen zajistit výkon práva Správce dle předchozího odstavce také u všech
Podzpracovatelů.
12 Mezinárodní předávání Osobních údajů Správce
12.1 Zpracovatel nesmí zpracovávat Osobní údaje Správce sám ani prostřednictvím Podzpracovatele ve
třetí zemi, s výjimkou těch příjemců ve třetích zemích (pokud existují) uvedených v příloze č. 3 této
Smlouvy (autorizované předání Osobních údajů Správce), není-li to předem písemně schváleno
Správcem.
12.2 Zpracovatel na žádost Správce okamžitě se Správcem uzavře (nebo zajistí, aby uzavřel jakýkoli
příslušný dílčí Podzpracovatel) smlouvu včetně Standardních smluvních doložek a/nebo obdobných
doložek, které mohou vyžadovat Předpisy o ochraně osobních údajů, pokud jde o jakékoli zpracování
Osobních údajů Správce ve třetí zemi.
13 Kodexy chování a certifikace
13.1 Na žádost Správce je Zpracovatel povinen dodržovat relevantní kodex chování schválený podle čl. 40
GDPR a získat relevantní osvědčení podle čl. 42 GDPR, pokud se týká zpracování Osobních údajů
Správce a bez zbytečného odkladu zajistit dodržování takového kodexu nebo jeho příslušných částí u
Podzpracovatelů a dále zajistit získání takových osvědčení Podzpracovateli.
14 Všeobecné podmínky
14.1 Smluvní strany si ujednaly, že tato Smlouva zanikne s ukončením účinnosti Hlavní smlouvy. Tím nejsou
dotčeny povinnosti Zpracovatele, které dle této Smlouvy či ze své povahy trvají i po jejím zániku.
14.2 Tato Smlouva se řídí rozhodným právem Hlavní smlouvy.
14.3 Jakékoli porušení této Smlouvy představuje závažné porušení Hlavní smlouvy. V případě existence více
smluvních vztahů se jedná o porušení každé smlouvy, dle které probíhalo zpracování Osobních údajů
Správce.
14.4 V případě nesrovnalostí mezi ustanoveními této Smlouvy a jakýchkoli jiných dohod mezi Smluvními
stranami, včetně, avšak nikoliv výlučně, Hlavní smlouvy, mají ustanovení této Smlouvy přednost před
povinnostmi Smluvních stran týkajících se ochrany osobních údajů.
14.5 Pokud se ukáže některé ustanovení této Smlouvy neplatné, neúčinné nebo nevymahatelné, zbývající
části Smlouvy zůstávají v platnosti. Ohledně neplatného, neúčinného nebo nevymahatelného
Stránka 12 z 21
ustanovení se Smluvní strany zavazují, že je buď (i) dodatkem k této Smlouvě upraví tak, aby byla
zajištěna jeho platnost, účinnost a vymahatelnost, a to při co největším zachování původních záměrů
Smluvních stran nebo, pokud to není možné, (ii) budou vykládat toto ustanovení způsobem, jako by
neplatná, neúčinná nebo nevymahatelná část nebyla nikdy v této Smlouvě obsažena.
14.6 Tato Smlouva je sepsána v 4 stejnopisech, přičemž Správce obdrží po 2 vyhotovení
a Zpracovatel 2 vyhotovení.
14.7 Veškeré změny této Smlouvy je možné provést formou vzestupně číslovaných písemných dodatků
podepsaných oběma Smluvními stranami. Pro vyloučení všech pochybností si Smluvní strany
ujednávají, že tímto ustanovením není dotčeno udělení Pokynu Správce ke zpracování Osobních údajů
Správce, který tato Smlouva předvídá.
14.8 Tato Smlouva nabývá účinnosti dnem podpisu obou Smluvních stran.
_____________________(„Správce“)
_____________________(„Zpracovatel“)
V _________________ dne ________ V _________________ dne
________
______________________________
______________________________
[bude doplněno] [jméno a funkce doplní
zpracovatel]
Stránka 13 z 21
PŘÍLOHA č. 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE
Tato příloha 1 obsahuje některé podrobnosti o zpracování osobních údajů správce,
jak vyžaduje čl. 28 odst. 3 GDPR.
[konkrétní výčet smluvních vztahů doplní zpracovatel]
1 Předmět a trvání zpracování osobních údajů Správce
Předmětem zpracování osobních údajů jsou tyto kategorie:
[Zde uveďte kategorie zpracovávaných osobních údajů – např. adresní a
identifikační údaje; popisné (výška, váha, atd.; údaje třetích osob; zvláštní
kategorie os. údajů; jiné (fotografie, kamerové záznamy)]
Doba trvání zpracování osobních údajů Správce je totožná s dobou trvání Hlavní
smlouvy, pokud z ustanovení Smlouvy nebo z Pokynu Správce nevyplývá, že
mají trvat i po zániku její účinnosti.
2 Povaha a účel zpracování osobních údajů správce
Povaha zpracování osobních údajů Správce Zpracovatelem je: prosím
zaškrtněte Vás týkající se
☐ Zpracování
☐ Automatizované zpracování
☐ Profilování nebo automatizované rozhodování
Účelem zpracování osobních údajů Správce Zpracovatelem je:
[Popište zde, např. příprava stavby,…]
3 Druh osobních údajů správce, které mají být zpracovány
Druh osobních údajů (zaškrtněte):
☐ Osobní údaje (viz výše odst. 1)
☐ Osobní údaje zvláštní kategorie dle čl. 9 GDPR [Uveďte zde konkrétní typy
údajů]
Stránka 14 z 21
4 Kategorie subjektů údajů, které jsou zpracovávány pro správce
[Uveďte zde kategorie subjektů údajů – např. vlastníci pozemků,
zaměstnanci…]
Pozn. takto podbarvené části slouží k doplnění zpracovatelem, před podpisem
tento text vymažte.
Stránka 15 z 21
PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
1. Organizační bezpečnostní opatření
1.1.Správa zabezpečení
a. Bezpečnostní politika a postupy: Zpracovatel musí mít dokumentovanou
bezpečnostní politiku týkající se zpracování osobních údajů.
b. Role a odpovědnosti:
i. role a odpovědnosti související se zpracováním osobních údajů
jsou jasně definovány a přiděleny v souladu s bezpečnostní
politikou;
ii. během interních reorganizací nebo při ukončení a změně
zaměstnání je ve shodě s příslušnými postupy jasně definováno
zrušení práv a povinností.
c. Politika řízení přístupu: každé roli, která se podílí na zpracování osobních
údajů, jsou přidělena specifická práva k řízení přístupu podle zásady
"need-to-know."
d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro
zpracování osobních údajů (hardwaru, softwaru a sítě). Je určena
konkrétní osoba, která je odpovědná za udržování a aktualizaci tohoto
registru (např. manažer IT).
e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly
registrovány a monitorovány konkrétní osobou (např. IT manažer nebo
manažer bezpečnosti). Je zavedeno pravidelné monitorování tohoto
procesu.
1.2.Reakce na incidenty a kontinuita provozu
a. Řízení incidentů / porušení osobních údajů:
i. je definován plán reakce na incidenty s podrobnými postupy, aby
byla zajištěna účinná a včasná reakce na incidenty týkající se
osobních údajů;
Stránka 16 z 21
ii. Zpracovatel bude bez zbytečného odkladu informovat Správce
o jakémkoli bezpečnostním incidentu, který vedl ke ztrátě, zneužití
nebo neoprávněnému získání jakýchkoli osobních údajů.
b. Kontinuita provozu: Zpracovatel stanoví hlavní postupy a opatření, které
jsou dodržovány pro zajištění požadované úrovně kontinuity a
dostupnosti systému zpracování osobních údajů (v případě incidentu /
porušení osobních údajů).
1.3.Lidské zdroje
a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby všichni
zaměstnanci rozuměli svým odpovědnostem a povinnostem týkajících se
zpracování osobních údajů; role a odpovědnost jsou jasně komunikovány
během procesu před nástupem do zaměstnání a / nebo při zácviku;
b. Školení: Zpracovatel zajišťuje, že všichni zaměstnanci jsou dostatečně
informováni o bezpečnostních opatřeních IT systému, která se vztahují k
jejich každodenní práci; zaměstnanci, kteří se podílejí na zpracování
osobních údajů, jsou rovněž řádně informováni o příslušných
požadavcích na ochranu osobních údajů a právních závazcích
prostřednictvím pravidelných informačních kampaní.
2. Technická bezpečnostní opatření
2.1.Kontrola přístupu a autentizace
a. Je implementován systém řízení přístupu, který je použitelný pro všechny
uživatele přistupující k IT systému. Systém umožňuje vytvářet,
schvalovat, kontrolovat a odstraňovat uživatelské účty.
b. Je vyloučeno používání sdílených uživatelských účtů. V případech, kdy
je to nezbytné je zajištěno, že všichni uživatelé společného účtu mají
stejné role a povinnosti.
c. Při poskytování přístupu nebo přiřazování uživatelských rolí je nutno
dodržovat zásadu "need-to-know", aby se omezil počet uživatelů, kteří
mají přístup k osobním údajům pouze na ty, kteří je potřebují pro
naplnění procesních cílů zpracovatele.
Stránka 17 z 21
d. Tam, kde jsou mechanismy autentizace založeny na heslech, Zpracovatel
zajišťuje, aby heslo mělo alespoň osm znaků a vyhovovalo požadavkům
na velmi silná hesla, včetně délky, složitosti znaků a neopakovatelnosti.
e. Autentifikační pověření (například uživatelské jméno a heslo) se nikdy
nesmějí předávat přes síť.
2.2.Logování a monitorování
a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro
zpracování osobních údajů. Log soubory obsahují všechny typy přístupu
k údajům (zobrazení, modifikace, odstranění).
2.3.Zabezpečení osobních údajů v klidu
a. Bezpečnost serveru / databáze
i. Databázové a aplikační servery jsou nakonfigurovány tak, aby
fungovaly pomocí samostatného účtu s minimálním oprávněním
operačního systému pro zajištění řádné funkce.
ii. Databázové a aplikační servery zpracovávají pouze osobní údaje,
které jsou pro naplnění účelů zpracování skutečně nezbytné.
b. Zabezpečení pracovní stanice
i. Uživatelé nemohou deaktivovat nebo obejít nastavení
zabezpečení.
ii. Jsou pravidelně aktualizovány antivirové aplikace a detekční
signatury.
iii. Uživatelé nemají oprávnění k instalaci nebo aktivaci
neoprávněných softwarových aplikací.
iv. Systém má nastaveny časové limity pro odhlášení, pokud
uživatel není po určitou dobu aktivní.
v. Jsou pravidelně instalovány kritické bezpečnostní aktualizace
vydané vývojářem operačního systému.
2.4.Zabezpečení sítě / komunikace
Stránka 18 z 21
a. Kdykoli je přístup prováděn přes internet, je komunikace šifrována
pomocí kryptografických protokolů.
b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a
IDS (Intrusion Detection Systems).
2.5. Zálohování
a. Jsou definovány postupy zálohování a obnovení údajů, jsou
zdokumentovány a jasně spojeny s úlohami a povinnostmi.
b. Zálohování je poskytována odpovídající úroveň fyzické ochrany a
ochrany životního prostředí.
c. Je monitorována úplnost prováděních záloh.
2.6.Mobilní / přenosná zařízení
a. Jsou definovány a dokumentovány postupy pro řízení mobilních a
přenosných zařízení a jsou stanovena jasná pravidla pro jejich správné
používání.
b. Jsou předem registrována a předem autorizována mobilní zařízení, která
mají přístup k informačnímu systému.
2.7.Zabezpečení životního cyklu aplikace
a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepší
a nejmodernějších postupy a uznávané postupy bezpečného vývoje nebo
odpovídající normy.
2.8.Vymazání / odstranění údajů
a. Před vyřazením médií bude provedeno jejich přepsání při použití
software. V případech, kdy to není možné (CD, DVD atd.), bude
provedena jejich fyzická likvidace / destrukce.
b. Je prováděna skartace papírových dokumentů a přenosných médií
sloužících k ukládání osobních údajů.
2.9.Fyzická bezpečnost
a. Fyzický perimetr infrastruktury informačního systému není přístupný
neoprávněným osobám. Musí být zavedena vhodná technická opatření
Stránka 19 z 21
(např. turniket ovládaný čipovou kartou, vstupní zámky) nebo
organizační opatření (např. bezpečnostní ostraha) pro ochranu
zabezpečených oblastí a jejich přístupových míst proti vstupu
neoprávněných osob.
Stránka 20 z 21
PŘÍLOHA č. 3: AUTORIZOVANÉ PŘEDÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE
Seznam schválených podzpracovatelů. Uveďte prosím (i) úplný název
podzpracovatele; (ii) činnosti zpracování; (iii) umístění středisek služeb.
Č. Schválený Činnost zpracování Umístění středisek
podzpracovatel služeb
1. [doplní zpracovatel]
Stránka 21 z 21
