Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Smlouva o zpracování osobních údajů
uzavřená dle čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679
o ochraně fyzických osob vsouvislosti se zpracováním osobních údajů a 0 volném pohybu těchto
údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále jen
„Nařízení“
Smluvní strany
Vysoká škola báňská — Technická univerzita Ostrava
se sídlem: 17. listopadu 2172/15, 708 00 Ostrava-Poruba
zastoupená: prof. RNDr. Václavem Snášelem, CSc., rektorem
IČO: 61989100
DIČ: CZ 61989100
dále jen „Správce“
a
Obchodní firma/Název: Vladimír Moráň
se sídlem: Dolní Domaslavice 242
zastoupená= _
IČO: 72995751
DIČ: CZ7503144935
dále jen „Zpracovatel“
dále společně jen „Smluvní strany“
I.H
Předjnět a účel smlouvy
Smluvní strany uzavřely dne 5. 6. 201gsmlouvu č. S33/19-987o-01, jejímž předmětem je
poskytování dodavatelských služeb a při jejich plnění jsou Správcem zpřístupněny Zpracovateli
osobní údaje subjektů získané činnostmi Správce.
2. Tato Smlouva se uzavírá za účelem vymezení rozsahu práv a povinností, které pro její
účastníky vyplývají z příslušných právních předpisů regulujících ochranu osobních údajů, tj.
zejména Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (GDPR) a související
národní legislativy,při plnění služeb podle předchozího odstavce a zpracovávání osobních
údajů.
3. Předmětem Smlouvy je zajištění zpracování osobních údajů Zpracovatelem, a to v rozsahu dle
čl. II odst. 3 Smlouvy (dále také „zpřístupněné osobní údaje“).
4. Tato Smlouva se uzavírá za účelem ochrany zpřístupněných osobních údajů při jejich
zpracovávání Zpracovatelem v rámci poskytování služeb Správci.
1/6
Zpracovatel se zavazuje zpracovávat pro Správce zpřístupněné osobní údaje, které Správce
získal nebo získá vsouvislosti se svou činností, a které za tím účelem Zpracovateli předá
v rozsahu a postupy dle této Smlouvy.
II.
Rozsah zpracovávaných úda'ů
Smluvní strany berou na vědomí a činí mezi nimi nesporným, že Správce (a nikoliv
Zpracovatel) je ten, kdo je odpovědný za určení:
1.1. které osobní údaje subjektů údajů budou zpracovávány,
1.2. na základě jakých právních důvodů (titulů) budou tyto údaje zpracovávány,
1.3. doby uchování, tj. po jakou dobu budou osobní údaje zpracovávány a jak dlouho mají
být uchovány,
1.4. kategorii subjektů údajů,
1.5. kategorii příjemců údajů.
Účelem zpracování osobních údajů je výroba čipových identifikačních karet, vsouladu se
smlouvou o dodávce bezkontaktních karet s personalizaci a bez personalizace a s obecně
závaznými právními předpisy.
Osobní údaje budou Zpracovatelem zpracovávány v rozsahu:
jméno, příjmení
datum narození
osobní číslo
fotografie
ESI
číslo průkazu
typ karty
druh čipu v kartě
platnost karty
ODIS kód
licence ISIC,ITIC, ALIVE
ESC id (QR kéd)
4. Kategorie subjektů údajů jsou:
zaměstnanci
externí zaměstnanci
studenti
externí studenti
absolventi
občané
5. Smluvní strany se dohodly, že zpracování osobních údajů dle této smlouvy je realizováno
bezplatně, nárok Zpracovatele na odměnu za poskytování Služeb je zachován.
6.
2/6
III.
Oprávněné osoby
Mezi oprávněné osoby, které budou na straně Zpracovatele osobní údaje zpracovávat, patří:
1.1. zaměstnanci Zpracovatele
IV.
Práva a povinnosti stran
Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně
v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci.
V případě, že Zpracovatel dojde k závěru, že určitý pokyn Správce porušuje Nařízení nebo jiný
právní předpis, je povinen o tom Správce neprodleně informovat.
Zpracovatel je povinen neprodleně Správce informovat o zániku oprávnění nebo smluv,
podstatných pro plnění Smlouvy.
Zpracovatel je povinen strpět kontrolu nebo audit Správce nebo Správcem pověřené třetí
strany a k těmto auditům se zavazuje přispět. Smluvní strany jsou si povinny předat podklady
pro naplnění tohoto cíle. Tato povinnost smluvních stran bude realizována zejména V případě
jednání s Úřadem pro ochranu osobních údajů nebo jinými orgány veřejné správy.
Zpracovatel bude předkládat Správci dle jeho pokynů nálezy a zprávy z kontrol a auditů, které
jsou podstatné pro jeho schopnost zajistit ochranu osobních údajů, a to i vpřípadě, že se
nejedná 0 audit nebo kontrolu nařízenou nebo vyžádanou Správcem.
Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny
povinnosti stanovené v Nařízení, zejména V článku 28.
Zpracovatel na vyžádání předloží Správci Výsledky analýzy rizik a popis implementovaných
opatření v rámci řízení bezpečnosti.
Zpracovatel je povinen neprodleně informovat Správce o významných změnách u svých
dodavatelů, jako je například změna nebo zánik certifikace, změna provozovny, změna
technologie a podobně.
Zpracovatel přijal a zavazuje se průběžně přijímat taková technická, administrativní, fyzická
a jiná opatření, aby nemohlo dojít k náhodnému nebo protiprávnímu zničení, ztrátě,
pozměnění, neoprávněnému zpřístupnění nebo neoprávněnému přístupu k osobním údajům,
jakož i k jejich jinému zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů
Zpracovatelem či služeb, které Zpracovatel Správci poskytuje dle této Smlouvy a Smlouvy
uvedené ve čl. 1. 1., nebo do úplně likvidace dle bodu 20 tohoto článku.
10. Zpracovatel za účelem plnění svých závazků s přihlédnutím ke stavu techniky, nákladům na
provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě
závažným rizikům pro práva a svobody fyzických osob, přijal a zavazuje se průběžně
zpracovávat a dokumentovat přijatá a provedená technická a organizační opatření kzajištění
ochrany osobních údajů v souladu s Nařízením a související vnitrostátní legislativou
a v souladu s instrukcemi Správce. Zpracovatel zajišťuje kontrolu a odpovídá zejména za:
a) zpracování osobních údajů pouze k tomu oprávněnými osobami, které k osobním údajům mají
bezprostřední přístup vzhledem k účelu zpracování;
b) zabránění neoprávněným osobám přistupovat k osobním údajům a prostředkům pro jejich
zpracování;
3/6
C) zabránění neoprávněného čtení, vytváření, kopírování, přenosu, úpravám, vymazání či
jakémukoliv jinému zpracování záznamů obsahujících zpřístupněné osobní údaje;
d) opatření, která umožní i zpětně určit a ověřit, komu byly zpřístupněné osobní údaje předány,
kým byly zpracovány, pozměněny nebo smazány.
11. Zpracovatel se zavazuje zajistit, že osoby, které budou zpracovávat osobní údaje na základě
smlouvy se Zpracovatelem, budou tyto údaje zpracovávat pouze za podmínek a vrozsahu
stanoveném Zpracovatelem, v souladu s Nařízením a touto smlouvou. Zpracovatel, jeho
zaměstnanci nebo spolupracující osoby budou zachovávat mlčenlivost o osobních údajích, a to
i po skončení zaměstnání nebo příslušných prací pro Zpracovatele. Zpracovatel je povinen
dodržovat všechny závazky, které přijal za účelem zachování mlčenlivosti o informacích, dle
smluv, které byly mezi Správcem a Zpracovatelem uzavřeny, nebo vyplývají s právních
předpisů k těmto informacím se vztahujícím.
12. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady
pro zajištění bezproblémové a efektivní realizace této Smlouvy. Vrámci součinnosti se
Zpracovatel zavazuje umožnit Správci provést kontrolu zavedených opatření vmístě
zpracování údajů, a to kdykoliv si to Správce vyžádá a nejpozději do 5 pracovních dnů od
žádosti či termínu stanoveným Správcem. Vpřípadě podezření na nedodržení podmínek
stanovených touto smlouvou umožní takovou kontrolu ihned.
13. Zpracovatel se zavazuje neprodleně Správci písemně oznámit jakýkoliv incident, který by mohl
vést, nebo vedl k narušení integrity nebo zabezpečení zpřístupněných údajů. Zároveň s tím je
Zpracovatel povinen přijmout vhodná a efektivní opatření kodstranění závadného stavu,
k opětovnému zaručení bezpečnosti osobních údajů a minimalizaci škod. Zpracovatel je
povinen stejným způsobem hlásit také podezření na incident, a to bez ohledu na to, kde a kdy
ktakovému incidentu může nebo mohlo dojít. Zpracovatel je povinen hlásit také porušení
povinností, vyplývajících ztéto smlouvy, včetně porušení takových povinností třetí stranou
a nezaviněné nemožnosti dodržet takovou povinnost.
14. Zpracovatel se zavazuje nezapojit do zpracování žádného dalšího zpracovatele bez předchozího
konkrétního nebo obecného písemného povolení Správce. Vpřípadě obecného písemného
povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí
dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči
těmto změnám námitky.
15. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem nebo pro potřeby Správce provedl
určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy
nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na
ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi Správcem
a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných
technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení.
Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci
za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel, který je
účastníkem této smlouvy.
16. Zpracovatel se zavazuje vpřípadě předání zpřístupňovaných osobních údajů do třetích zemí
dodržet veškeré legislativní požadavky, svyužitím mechanismů předávání osobních údajů
vsouladu sčl. 44 a násl. Nařízení. Tedy sposkytnutím dostatečných záruk, že technická
i organizační opatření budou realizována tak, aby zpracování zajistilo ochranu práv dotčených
subjektů údajů, např. formou standardních smluvních doložek podle rozhodnutí Evropské
Komise 2010/87/EU nebo standardních ochranných doložek podle čl. 46 Nařízení.
4/6
17. Zpracovatel se zavazuje zajistit výkon práv subjektů údajů tak, jak vyplývají z Nařízení, tedy je
Správci nápomocen při splnění Správcovy povinnosti reagovat na žádosti o výkon práv
subjektů údajů. Jedná se zejména o umožnění legitimního přístupu k údajům subjektu, opravu
nesprávných údajů nebo jejich vymazání, v případě, že o to subjekt požádá, a je to v souladu
s platnou legislativou.
18. Zpracovatel a jeho případný zástupce je povinen vést záznamy o všech kategoriích činností
zpracování prováděných pro Správce minimálně v rozsahu a způsobem dle článku 30 Nařízení.
19. Doba zpracování osobních údajů je omezena na dobu trvání smlouvy, tj. do
31.7.2019Zpracovatel se zavazuje poté osobní údaje předat Správci nebo je prokazatelně
zlikvidovat nejpozději ve lhůtě 30 dnů po skončení doby zpracování.
20. Ve smyslu zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv,
uveřejňování těchto smluv a o registru smluv (dále jen „zákon o registru smluv“) se smluvní
strany dohodly na tom, že tato Smlouva uzavřenák doplněníSmlouvy uvedené v čl. I.1. této
Smlouvy bude ve shodě s § 8.0dst. 3. zákona o registru smluv uveřejněna v registru smluv,
které zajistí bez zbytečného odkladu po jejím uzavření Správce/Zpracovatel.
V.
Doba trvání a zánik smlouvy
Správce a Zpracovatel se dohodli, že tato smlouva se uzavírá na dobu určitou,
a to až do ukončení plnění zpracovatele dle Smlouvy, ledaže z konkrétních okolností vyplyne,
že vybrané závazky Zpracovatele z této smlouvy mají trvat i po ukončení nebo zrušení Smlouvy.
Tuto Smlouvu lze ukončit písemnou dohodou smluvních stran, písemnou výpovědí
s výpovědní lhůtou v trvání 2měsíců, která počíná běžet prvním dnem měsíce následujícího po
doručení výpovědi druhé smluvní straně. Po dobu trvání výpovědní lhůty jsou Smluvní strany
plně vázány touto smlouvou.
Kterákoli Smluvní strana je rovněž oprávněná od smlouvy kdykoliv písemně odstoupit, pokud
druhá Smluvní strana závažným způsobem poruší jakékoliv závazky dané jí touto Smlouvou
nebo příslušnou legislativou. Správce je oprávněn od smlouvy odstoupit, pokud Zpracovatel
závažným způsobem porušuje povinnosti, dané mu touto Smlouvou nebo obecně závaznými
právními předpisy. Účinky odstoupení nastávají dnem doručení písemného odstoupení druhé
smluvní straně.
VI.
Odpovědnost za škodu
Zpracovatel je odpovědný za škodu způsobenou Správci, která vznikla na základě, v důsledku
nebo v souvislosti s porušením jakékoliv podmínky této smlouvy či jejich příloh, nebo
porušením zákonných ustanovení, které se vztahují na Správce či jeho spolupracující osoby.
Ze škody se nevylučuje ušlý zisk a škoda jmenovitě zahrnuje i veškeré náklady vynaložené na
případné soudní vymáhání úhrady škody.
5/6
3. Zpracovatel se při případném porušení podmínek této smlouvy zavazuje se Správcem plně
spolupracovat ve snaze minimalizovat škodlivý následek takovým porušením způsobený nebo
hrozící.
VII.
Závěrečná ustanoveni
1. Tato smlouva nabývá platnosti dnem uzavření potvrzeným podpisy oběma Smluvními
stranami. Učinnou se stane po jejím uveřejnění v registru smluv.
2. Neplatnost některého ustanovení této smlouvy nemá za následek neplatnost celé smlouvy.
Vtakovém případě jsou obě Smluvní strany povinny vynaložit veškeré potřebné úsilí
a součinnost k nahrazení ustanovení neplatného ustanovením právně bezvadným.
3. Tuto smlouvu lze měnit a doplňovat jen na základě písemných ačíslovaných dodatků
podepsaných oprávněnými zástupci obou Smluvních stran.
4. Smlouva je sepsána ve 2 vyhotoveních splatností originálu, z nichž každá Smluvní strana
obdrží po jednom jejím vyhotovení.
5. Tato smlouva a vztahy zní vyplývající se řídí Nařízením, související národní legislativou
a zákonem č. 89/2012 Sb., občanským zákoníkem, ve znění pozdějších předpisů.
6. Smluvní strany níže svým podpisem stvrzují, že si smlouvu před jejím podpisem přečetly,
s jejím obsahem souhlasí, a tato je sepsána podle jejich pravé a skutečné vůle, srozumitelně
a určitě, nikoliv v tísni a za nápadně nevýhodných podmínek.
Za Správce Za Zpracovatele
1:; ma, 2mg *,
VOstravě dne .................... V .......................... dne .....................
Vysoká škola báňská
— Technická univerzita Ostrava
6/6