Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
ŘEDITELSTVÍ SILNIC A DÁLNIC ČR
OBJEDNÁVKA
Číslo objednávky: 03EU-000513
Objednatel: Dodavatel:
Ředitelství silnic a dálnic ČR Obchodní jméno: ACARE, s.r.o.
Závod Brno, Šumavská 33, 602 00 Brno Adresa: Hilleho 1842/5, 60200 Brno
Bankovní spojení: IČO: 49974386
Číslo účtu: DIČ: CZ49974386
IČO: 65993390 Kontaktní osoba:
DIČ: CZ65993390
ISPROFIN: 500 115 0001
Tato objednávka Objednatele zavazuje po jejím potvrzení Dodavatelem obě smluvní strany ke
splnění stanovených závazků a nahrazuje smlouvu. Dodavatel se zavazuje provést na svůj
náklad a nebezpečí pro Objednatele služby specifikované níže. Objednatel se zavazuje zaplatit
za provedené služby v souladu s touto objednávkou cenu uvedenou níže.
Místo dodání: Ředitelství silnic a dálnic ČR, Závod Brno, Šumavská 33, 602 00 Brno
Kontaktní osoba Objednatele:
Fakturujte: Ředitelství silnic a dálnic ČR, Závod Brno, Šumavská 33, 602 00 Brno
Obchodní a platební podmínky: Objednatel uhradí cenu jednorázovým bankovním
převodem na účet Dodavatele uvedený na faktuře, termín splatnosti je stanoven na 30 dnů ode
dne doručení faktury Objednateli. Fakturu lze předložit nejdříve po protokolárním převzetí
služeb Objednatelem bez vad či nedodělků. Faktura musí obsahovat veškeré náležitosti
stanovené platnými právními předpisy, číslo objednávky a místo dodání. Objednatel
neposkytuje žádné zálohy na cenu, ani dílčí platby ceny. Potvrzením přijetí (akceptací) této
objednávky se Dodavatel zavazuje plnit veškeré povinnosti v této objednávce uvedené.
Objednatel výslovně vylučuje akceptaci objednávky Dodavatelem sjakýmikoliv změnami
jejího obsahu, k takovému právnímu jednání Dodavatele se nepřihlíží. Dodavatel poskytuje
souhlas s uveřejněním objednávky a jejího potvrzení v registru smluv zřízeným zákonem č.
340/2015 Sb., o zvláštních podmínkách úěinnosti některých smluv, uveřejňování těchto smluv
a o registru smluv, ve znění pozdějších předpisů (dále jako „zákon o registru smluv“),
Objednatelem. Objednávka je účinná okamžikem zveřejnění v registru smluv. Objednatel je
oprávněn kdykoliv po uzavření objednávky tuto objednávku vypovědět s účinky od doručení
písemné výpovědi Dodavateli, a to i bez uvedení důvodu. Výpověď objednávky dle
předcházející věty nemá vliv na již řádně poskytnuté plnění včetně práv a povinností zněj
vyplývajících.
Stránka 1 z 2
Pokud se na jakoukoliv část plnění poskytovanou Poskytovatelem vztahuje GDPR (Nařízení
Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)), je Poskytovatel povinen
zajistit plnění svých povinností v GDPR stanovených. V případě, kdy bude Poskytovatel v
kterémkoliv okamžiku plnění svých smluvních povinností zpracovatelem osobních údajů
poskytnutých Objednatelem nebo získaných pro Objednatele, je povinen na tuto skutečnost
Objednatele upozornit a bezodkladně (vždy však před zahájením zpracování osobních údajů)
s ním uzavřít Smlouvu o zpracování osobních údajů, která tvoří přílohu č. 2 této Objednávky.
Smlouvu dle předcházející věty je dále Poskytovatel s Objednatelem povinen uzavřít vždy,
když jej k tomu Objednatel písemně vyzve.
Objednáváme u Vás: Pravidelnou údržbu klimatizačních jednotek dle přílohy č. 1
Lhůta pro dodání či termín dodání: Plnění dodejte ve lhůtách stanovených ve Specifikaci
s cenovou nabídkou. Konkrétní datum a čas služby v rámci stanovené lhůty předem
dohodněte s kontaktní osobou Objednatele.
Celková hodnota objednávky v Kč bez DPH / s DPH: 55.850,- / 67.578,50
Jméno a příjmení oprávněné osoby objednatele:
V případě akceptace objednávky Objednatele Dodavatel objednávku podepíše a zašle
písemně 4x potvrzené vyhotovení objednávky zpět na adresu Objednatele. Následně obdrží 2
vyhotovení podepsaná oběma Smluvními stranami Objednatel a 2 vyhotovení podepsaná
oběma Smluvními stranami Dodavatel.
Příloha ě. 1 Položkový rozpis ceny
Příloha ě. 2 Smlouva o zpracování osobních údajů (vzor)
V Brně dne 2 8 06 ' - 2019 V Bmě dne 19.6. 2019
Za Dodavatele:
Za Objednatele:
Ředitelství silnic a dálnic ČR příloha č. 1
SPECIFIKACE dodávek a služeb
Servisní prohlídky a opravy klimatizačních jednotek
2 x ročně pravidelný servis klimatizačních jednotek v serverovnách (provedení všech
servisních úkonů předepsaných výrobcem včetně vyčištění vnější jednotky tlakovou
vodou, vyčištění vnitřní jednotky včetně filtrů, kontroly nastavení a chodu)
1 x ročně před sezonou pravidelný servis ostatních klimatizačních jednotek (provedení
všech servisních úkonů předepsaných výrobcem včetně vyčištění vnější jednotky
tlakovou vodou, vyčištění vnitřní jednotky včetně filtrů, kontroly nastavení a chodu)
opravy vadných dílů klimatizačních jednotek
Specifikace s cenovou nabídkou příloha č. 2
celková cena
umístění typ počet kusů časový rozvrh cena za čtvrtletí bez DPH
Šumavská, Brno Klimatizace Carrier 42 III ir m 1 II bez DPH
IV '
1 X X ...... - .... 1 ■— Kč bez DPH...
■
Náhradní díly kompresor
ventilátor Kc bez DPH
řídící deska
čerpadlo kondenzátu celková cena
chladivo (cena za 1ka) bez DPH
doprava - paušál Brno (nepravidelný servis) k c bez DPH
hodinová sazba - prače technika v případě standartnich oprav za 1 hodinu (nepravidelný servis)
Kc bez LJHH
umístění typ počet kusů časový rozvrh m cena za čtvrtletí bez DPH
Šumavská. Bmo Klimatizace Solit systém n ir n \r II rv 1 II celková cena
~~T~ bez DPH
X X '
/ kompresor Kč bez DPH "
ventilátor
Náhradní díly řídící deska *
čerpadlo kondenzátu
chladivo (cena za 1ka) Z
z
doprava - paušál Brno (nepravidelný servis)
hodinová sazba - práce technika v případě standartnich oprav za 1 hodinu (nepravidelný servis) *
umístění typ počet kusů časový rozvrh cena za čtvrtletí Bez DPH z
Šumavská, Brno Klimatizace HITACHI n ir nr m IV 1 n
c*
1" X Kc bez DPH”
Náhradní díly (podle typu kompresor ■
jednotky) ventilátor
řídící deska
čerpadlo kondenzátu
chladivo (cena za 1ka)
aoprava - paulál Bmo (nepravidelný servis)
hodinová sazba - prače technika v případě standartnich oprav za 1 hodinu (nepravidelný servis)
umístění typ počet kusů časový rozvrh cena za čtvrtletí bez DPH n celková cena
Šumavská, Brno Klimatizace HOKKAIDO III IV 1 II III IV l bez DPH
1
X X Kc bez UPH
Náhradní díly kompresor Kc bez OPH
/ ventilátor -
řídící deska celková cena
čerpadlo kondenzátu
chladivo ícenaza 1ka) bez DPH
Kč bez DPH "
doprava - paušál Brno (nepravidelný servis)
hodinová sazba - práce technika v případě standartních oprav za 1 hodinu (nepravidelný servis) Kc bez DPH m
umístění typ počet kusů časový rozvrh m cena za čtvrtletí bez DPH
Šumavská. Brno Klimatizace HITACHI TTT iv TT IV 1^ II
— kompresor 1 X
ventilátor
Náhradní díly (podle typu řídící deska
jednotky) čerpadlo kondenzátu
chladivo (cena za 1kq)
doprava - paušál Brno (nepravidelný servis)
hodinová sazba - práce technika v případě standartních oprav za 1 hodinu (nepravidelný servis)
ZAKÁZKA CELKEM kc celkem kc celkem k c ce lke m
položka bez DPH ------DPR----- vc. DPH—
pravidelný servis Ófe 850,00 Kč| 11 728,50 Kč| 67 5/8,50 Kč
náhradní díly
doprava
práce
CELKEM
V Brně dne: 19.6.2019 Podpis:
[Pozn. pro dodavatele: Tato vzorová smlouva se jako příloha smlouvy na plnění Preambule
předmětu veřejné zakázky do nabídky přikládá nevyplněná a nepodepsaná]
Vzhledem k tomu, že Zpracovatel v průběhu poskytování Služeb a/nebo Produktů Správci může
Smlouva o zpracování osobních údajů zpracovávat Osobní údaje Správce, považují Smluvní strany za zásadní, aby pn zpracování těchto
osobních údajů byla zajištěna vysoká úroveň ochrany práv a svobod fyzických osob ve vztahu
uzavřená níže uvedeného dne, měsíce a roku mezi: k takovému zpracování osobních údajů a toto zpracování bylo v souladu s Předpisy na ochranu
osobních údajů, a to zejm. s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne
Ředitelství silnic a dálnic CR Na Pankráci 546/56,140 00 Praha 4 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
65993390 pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů),
se sídlem CZ65993390 a proto Smluvní strany uzavírají tuto smlouvu o ochraně osobních údajů (dále jen .Smlouva").
IČO: příspěvková organizace
DIČ: 1 Definice
právní forma:
bankovní spojení: Pro účely této Smlouvy se následující pojmy vykládají takto:
zastoupeno:
.EHP" se rozumí Evropský hospodářský prostor.
oprávněná k podpisu smlouvy:
iklní osoba ve věcech smluvních: .GDPR" se rozumí Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna
2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
kontaktní osoba ve věcech technických: těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení o ochraně osobních údajů) ve znění
e-mail: opravy uveřejněné v Úředním věstníku Evropské unie L 119 ze dne 4. května 2016.
tel:
(dále jen .Správce") .Hlavní smlouvou" se rozumí smluvní vztah či smluvní vztahy založené mezi Správcem
a Zpracovatelem na základě uzavřených platných a účinných smluv vymezených v příloze č. 1 této
fepraoovatel dr^TnTsvfllfťSaa/l Smlouvy.
se sídlem „Osobními údaji Správce" se rozumí osobní údaje popsané v příloze 6.1 této Smlouvy a veškeré
IČO: další osobní údaje zpracovávané Zpracovatelem jménem Správce podle a/nebo v souvislosti s
DIČ: Hlavní smlouvou.
zápis v obchodním rejstříku:
právní forma: „Podzpracovatelem" se rozumí jakýkoli zpracovatel osobních údajů (včetně jakékoli třetí strany)
bankovní spojení: zapojený Zpracovatelem do zpracování Osobních údajů Správce jménem Správce. Za podmínek
zastoupen: stanovených touto Smlouvou je Podzpracovatel oprávněn zapojit do zpracování Osobních údajů
kontaktní osoba ve věcech smluvních: Správce dalšího Podzpracovatele (tzv. řetězení podzpracovatelů).
e-mail:
tel: „Pokynem" se rozumí jakýkoliv pokyn Správce Zpracovateli týkající se zpracování Osobních údajů
kontaktní osoba ve věcech technických: Správce. Zpracovatel je povinen kdykoliv v průběhu zpracování osobních údajů prokázat existenci
e-mail: a obsah Pokynu.
tel:
(dále jen .Zpracovatel' nebo .Prvotní Zpracovatel") „Porušením zabezpečení osobních údajů" se rozumí takové porušení zabezpečení osobních
údajů, které vede nebo může přímo vést k neoprávněnému přístupu nebo k neoprávněné
(Správce a Zpracovatel společně dále také jako .Smluvní strany") či nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů, případně k neoprávněnému
vyzrazení nebo přístupu k uloženým, přenášeným nebo jinak zpracovávaným Osobním údajům
strana 1 | stran 13 Správce.
„Produkty" se rozumí Produkty, které má Zpracovatel poskytnout Správci dle Hlavní smlouvy.
.Předpisy o ochraně osobních údajů" se rozumí Nařízení Evropského parlamentu a Rady (EU)
č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES (obecné nařízení
o ochraně osobních údajů) ve znění opravy uveřejněné v Úředním věstníku Evropské unie L 119
ze dne 4. května 2016, jakož i veškeré národní předpisy upravující ochranu osobních údajů.
strana 2 | stran 13
.Schválenými Podzpracovateli" se rozumějí: (a) Podzpracovatelé uvedeni v příloze č. 3 této 3 Zpracování Osobních údajů Správce
Smlouvy (autorizované předání Osobních údajů Správce); a (b) případně další dílčí
Podzpracovatelé předem písemně povolení Správcem v souladu se kapitolou 6 této Smlouvy. 3.1 Zpracovatel zpracovává Osobní údaje Správce pouze pro účely plnění Hlavní smlouvy nebo
pro plnění poskytované na základě Hlavní smlouvy (viz příloha č. 1 této Smlouvy).
.Službami* se rozumí Služby, které má Zpracovatel poskytnout Správci podle Hlavní smlouvy. Zpracovatel nesmí zpracovávat, předávat, upravovat nebo měnit Osobní údaje Správce
nebo zveřejnit či povolit zveřejnění Osobních údajů Správce jiné třetí osobě jinak než
.Standardními smluvními doložkami" se rozumí standardní smluvní doložky pro předávání v souladu s touto Smlouvou nebo s Pokyny Správce, pokud takové zveřejnění není
osobních údajů zpracovatelům usazeným ve třetích zemích schválené rozhodnutím Evropské vyžadováno právem EU nebo členského státu, kterému Zpracovatel podléhá. Zpracovatel v
komise 2010/87/EU ze dne 5. února 2010, nebo jakýkoli soubor ustanovení schválených rozsahu povoleném lakovým zákonem informuje Správce o tomto zákonném požadavku
Evropskou komisí, který je mění, doplňuje nebo nahrazuje. před zahájením zpracování Osobních údajů Správce a dodržuje pokyny Správce, aby
co nejvíce omezil rozsah zveřejnění.
.Třetí zemí" se rozumí jakákoli země mimo EU/EHP, s výjimkou případů, kdy je tato země
předmětem platného a účinného rozhodnutí Evropské komise o odpovídající ochraně osobních 3.2 Zpracovatel neprodleně nebo bez zbytečného odkladu od obdržení Pokynu informuje
údajů ve třetích zemích. Správce v případě, kdy podle jeho názoru vzhledem kjeho odborným znalostem
a zkušenostem takový Pokyn porušuje Předpisy o ochraně osobních údajů.
„Vymazáním" se rozumí odstranění nebo zničení Osobních údajů Správce tak. aby nemohly být
obnoveny nebo rekonstruovány. 3.3 Zpracovatel bere na vědomí, že není oprávněn určit účely a prostředky zpracování Osobních
údajů Správce a pokud by Zpracovatel toto porušil, považuje se ve vztahu k takovému
„Zásadami zpracování osobních údajů* se rozumí zásada zákonnosti, korektnosti, zpracování za správce.
transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity
a důvěrnosti. Smluvní strany berou na vědomí, že jakékoliv zpracování osobních údajů či jakýkoliv 3.4 Pro účely zpracování uvedeného výše tímto Správce instruuje Zpracovatele, aby předával
výklad této Smlouvy musí být v souladu s těmito zásadami. Dokument Zásady zpracování Osobní údaje Správce příjemcům ve třetích zemích uvedených v příloze č. 3 této Smlouvy
osobních údajů je k dispozici na internetových stránkách www.rsd.cz v záložce Organizace pod (Autorizované předávání Osobních údajů Správce) vždy za předpokladu, že taková osoba
odkazem GDPR. splní požadavky uvedené v kapitole 6 této Smlouvy.
„Zpracování", .správce", „zpracovatel", .subjekt údajů", .osobni údaje", .zvláštní kategorie 4 Spolehlivost Zpracovatele
osobních údajů* a jakékoli další obecné definice neuvedené v této Smlouvě nebo v Hlavní
smlouvě mají stejný význam jako v GDPR. 4.1 Zpracovatel učiní přiměřené kroky, aby zajistil spolehlivost každého zaměstnance, jeho
zástupce nebo dodavatele, kteří mohou mít přístup k Osobním údajům Správce, přičemž
2 Podmínky zpracování Osobních údajů Správce zajistí, aby byl přístup omezen výhradně na ty osoby, jejichž činnost vyžaduje přístup k
příslušným Osobním údajům Správce. Zpracovatel vede seznam osob oprávněných
2.1 V průběhu poskytování Služeb a/nebo Produktů Správci podle Hlavní smlouvy zpracovávat osobní údaje Správce a osob, které mají k těmto osobním údajům přístup,
je Zpracovatel oprávněn zpracovávat Osobní údaje Správce jménem Správce pouze za přičemž sleduje a pravidelně přezkoumává, že se jedná o osoby dle tohoto odstavce.
podmínek této Smlouvy a na základě Pokynů Správce. Zpracovatel se zavazuje, že bude po
celou dobu zpracování dodržovat následující ustanovení týkající se ochrany Osobních údajů 4.2 Zpracovatel musí zajistit, aby všechny osoby, které zapojil do zpracování Osobních údajů
Správce. Správce:
2.2 V rozsahu požadovaném platnými a účinnými Předpisy o ochraně osobních údajů musí 4.2.1 byly informovány o důvěrné povaze Osobních údajů Správce a byly si vědomy
Zpracovatel získat a uchovávat veškeré potřebné licence, oprávnění a povolení potřebné k povinností Zpracovatele vyplývajících z této Smlouvy, Hlavní smlouvy, Pokynů a
zpracování Osobních údajů Správce včetně osobních údajů uvedených v příloze č. 1 této platných a účinných Předpisů o ochraně osobních údajů, a zavázaly se tyto
Smlouvy. povinnosti dodržovat ve stejném rozsahu, zejm. aby zachovávaly mlčenlivost o
osobních údajích a přijatých opatřeních k jejich ochraně, a to i po skončení jejich
2.3 Zpracovatel musí dodržovat veškerá technická a organizační opatření pro splnění pracovněprávního nebo jiného smluvního vztahu ke Zpracovateli;
požadavků uvedených v této Smlouvě a jejích přílohách. Zpracovatel je dále povinen dbát
Zásad zpracování osobních údajů a za všech okolností tyto zásady dodržovat. 4.2.2 byly přiměřeně školeny/certifikovány ve vztahu k Předpisům o ochraně osobních
údajů nebo dle Pokynů Správce;
2.4 Pro účely komunikace a zajištění součinnosti Správce a Zpracovatele navzájem (zejm.
v případech porušení zabezpečení osobních údajů, předávání žádostí subjektů údajů), není- 4.2.3 podléhaly závazku důvěrnosti nebo profesním či zákonným povinnostem zachovávat
li v konkrétním případě určeno jinak, pověřily Smluvní strany tyto osoby: mlčenlivost;
2.4.1 osoba oověřená Správcem:
4.2.4 používaly pouze bezpečný hardware a software a dodržovaly zásady bezpečného
2.4.2 osoba pověřená Zpracovatelem: fBSSlňŤaŽSracdM lBl. e-mail: [ S H HBfoacovátěll. používání výpočetní techniky;
te l:®
4.2.5 podléhaly procesům autentizace uživatelů a přihlašování při přístupu k Osobním
strana 3 1stran 13 údajům Správce v souladu s touto Smlouvou, Hlavní smlouvou, Pokyny a platnými a
účinnými Předpisy o ochraně osobních údajů;
4.2.6 zabránily neoprávněnému čtení, pozměnění, smazání či znepřístupnění Osobních
údajů Správce, nevytvářely kopie nosičů osobních údajů pro jinou než pracovní
potřebu a neumožnily takové jednání ani jiným osobám a případně neprodleně,
nejpozději však do 24 hodin od vzniku, hlásily jakékoliv důvodné podezření na
ohrožení bezpečnosti osobních údajů, a to osobě uvedené v kapitole 2 této Smlouvy.
strana 4 | stran 13
PŘÍLOHA č. 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPRÁVCE PŘÍLOHA č. 2: TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
Tato příloha 1 obsahuje některé podrobnosti o zpracování osobních údajů správce, jak vyžaduje 1. Organizační bezpečnostní opatření
čl. 28 odst. 3 GDPR. 1.1. Správa zabezpečení
— MB mluvních vztahu a. Bezpečnostní politika a postupy: Zpracovatel musí mít dokumentovanou bezpečnostní
politiku týkající se zpracování osobních údajů.
1 Předmět a trvání zpracování osobních údajů Správce
Předmětem zpracování osobních údajů jsou tyto kategorie: b. Role a odpovědnosti:
i. role a odpovědnosti související se zpracováním osobních údajů jsou jasně
PoasBé fvvška.váhá, áid.: áď a1M fet(^'bgQ b:j^á^nfkM gqbftgQ g.ůM & :irftW (M M ^fl& j definovány a přiděleny v souladu s bezpečnostní politikou;
tlljBifggg záznaffiMl ii. během interních reorganizací nebo pň ukončení a změně zaměstnání je ve
shodě s příslušnými postupy jasně definováno zrušení práv a povinností.
Doba trvání zpracování osobních údajů Správce je totožná s dobou trvání Hlavní smlouvy, pokud
z ustanovení Smlouvy nebo z Pokynu Správce nevyplývá, že mají trvat i po zániku její účinnosti. c. Politika řízení přístupu: každé roli, která se podílí na zpracování osobních údajů, jsou
přidělena specifická práva k řízení přístupu podle zásady "need-to-know."
2 Povaha a účel zpracování osobních údajů správce zaškrtněte Vá
Povaha zpracování osobních údajů Správce Zpracovatelem je: prn d. Správa zdrojů/aktiv: Zpracovatel vede registr aktiv IT používaných pro zpracování
□ Zpracování osobních údajů (hardwaru, softwaru a sítě). Je určena konkrétní osoba, která je
□ Automatizované zpracování odpovědná za udržování a aktualizaci tohoto registru (např. manažer IT).
□ Profilování nebo automatizované rozhodování
Účelem zpracování osobních údajů Správce Zpracovatelem je: e. Řízení změn: Zpracovatel zajišťuje, aby všechny změny IT systémů byly registrovány
a monitorovány konkrétní osobou (např. IT manažer nebo manažer bezpečnosti). Je
3 Druh osobních údajů správce, které mají být zpracovány zavedeno pravidelné monitorování tohoto procesu.
Druh osobních údajů (zaškrtněte):
□ Osobní údaje (viz výše odst. 1) 1.2. Reakce na incidenty a kontinuita provozu
□ Osobní údaje zvláštní kategorie dle čl. 9 GDPR fERSďté ždekofikrátňWS] a. Řízení incidentů / porušení osobních údajů:
i. je definován plán reakce na incidenty s podrobnými postupy, aby byla zajištěna
4 Kategorie subjektů údajů, které jsou zpracovávány pro správce účinná a včasná reakce na incidenty týkající se osobních údajů;
iiiiiyyiflMiiywiyyuii^iugiMMUiiiMMiiWHiuíi«iiuiuiMWiHl^|lHyHMI ii. Zpracovatel bude bez zbytečného odkladu informovat Správce o jakémkoli
bezpečnostním incidentu, který vedl ke ztrátě, zneužití nebo neoprávněnému
slouží k doplněni; ;m tentOíléjfl získání jakýchkoli osobních údajů.
strana 9 | stran 13 b. Kontinuita provozu: Zpracovatel stanoví hlavní postupy a opatření, které jsou
dodržovány pro zajištění požadované úrovně kontinuity a dostupnosti systému
informováni o příslušných požadavcích na ochranu osobních údajů a právních závazcích zpracování osobních údajů (v případě incidentu / porušení osobních údajů).
prostřednictvím pravidelných informačních kampaní.
1.3. Lidské zdroje
2. Technická bezpečnostní opatření a. Důvěryhodnost personálu: Zpracovatel zajišťuje, aby všichni zaměstnanci rozuměli svým
odpovědnostem a povinnostem týkajících se zpracování osobních údajů; role
2.1. Kontrola přístupu a autentizace a odpovědnost jsou jasně komunikovány během procesu před nástupem do zaměstnání
a / nebo při zácviku;
a. Je implementován systém řízení přístupu, který je použitelný pro všechny uživatele b. Školení: Zpracovatel zajišťuje, že všichni zaměstnanci jsou dostatečně informováni
přistupující k IT systému. Systém umožňuje vytvářet, schvalovat, kontrolovat o bezpečnostních opatřeních IT systému, která se vztahují k jejich každodenní práci;
a odstraňovat uživatelské účty. zaměstnanci, kteří se podílejí na zpracování osobních údajů, jsou rovněž řádně
b. Je vyloučeno používání sdílených uživatelských účtů. V případech, kdyje to nezbytné je strana 1 0 1stran 13
zajištěno, že všichni uživatelé společného účtu mají stejné role a povinnosti.
v. Jsou pravidelně instalovány kritické bezpečnostní aktualizace vydané
c. Při poskytování přístupu nebo přiřazování uživatelských rolí je nutno dodržovat zásadu vývojářem operačního systému.
"need-to-knov/", aby se omezil počet uživatelů, kteří mají přístup k osobním údajům
pouze na ty, kteří je potřebují pro naplnění procesních cílů zpracovatele. 2.4. Zabezpečení sítě / komunikace
a. Kdykoli je přístup prováděn přes internet, je komunikace šifrována pomocí
d. Tam, kde jsou mechanismy autentizace založeny na heslech, Zpracovatel zajišťuje, aby kryptografických protokolů.
heslo mělo alespoň osm znaků a vyhovovalo požadavkům na velmi silná hesla, včetně b. Provoz do a z IT systému je sledován a řízen prostřednictvím Firewallů a IDS (Intrusion
délky, složitosti znaků a neopakovatelnosti. Detedion Systems).
e. Autentifikační pověření (například uživatelské jméno a heslo) se nikdy nesmějí předávat 2.5. Zálohování
přes síť. a. Jsou definovány postupy zálohování a obnovení údajů, jsou zdokumentovány a jasně
spojeny s úlohami a povinnostmi.
2.2. Logování a monitorováni b. Zálohování je poskytována odpovídající úroveň fyzické ochrany a ochrany životního
prostředí.
a. Log soubory jsou ukládány pro každý systém / aplikaci používanou pro zpracování c. Je monitorována úplnost prováděních záloh.
osobních údajů. Log soubory obsahují všechny typy přístupu k údajům (zobrazení,
modifikace, odstranění). 2.6. M obilní/přenosná zařízení
a. Jsou definovány a dokumentovány postupy pro řízení mobilních a přenosných zařízení
2.3. Zabezpečení osobních údajů v klidu a jsou stanovena jasná pravidla pro jejich správné používání.
b. Jsou předem registrována a předem autorizována mobilní zařízení, která mají přístup
a. Bezpečnost serveru / databáze k informačnímu systému.
i. Databázové a aplikační servery jsou nakonfigurovány tak, aby fungovaly 2.7. Zabezpečení životního cyklu aplikace
pomocí samostatného účtu s minimálním oprávněním operačního systému pro a. V průběhu životního cyklu vývoje aplikací jsou využívány nejlepší a nejmodemějších
zajištění řádné funkce. postupy a uznávané postupy bezpečného vývoje nebo odpovídající normy.
ii. Databázové a aplikační servery zpracovávají pouze osobní údaje, které jsou 2.8. Vymazání / odstranění údajů
pro naplnění účelů zpracování skutečně nezbytné. a. Před vyřazením médií bude provedeno jejich přepsání pň použití software. V případech,
kdy to není možné (CD, DVD atd.), bude provedena jejich fyzická likvidace / destrukce.
b. Zabezpečení pracovní stanice b. Je prováděna skartace papírových dokumentů a přenosných médií sloužících k ukládání
osobních údajů.
i. Uživatelé nemohou deaktivovat nebo obejít nastavení zabezpečení.
2.9. Fyzická bezpečnost
ii. Jsou pravidelně aktualizovány antivirové aplikace a detekční signatury. a. Fyzický perimetr infrastruktury informačního systému není přístupný neoprávněným
osobám. Musí být zavedena vhodná technická opatření (např. turniket ovládaný čipovou
iii. Uživatelé nemají oprávnění k instalaci nebo aktivaci neoprávněných kartou, vstupní zámky) nebo organizační opatření (např. bezpečnostní ostraha) pro
softwarových aplikací. ochranu zabezpečených oblastí a jejich přístupových míst proti vstupu neoprávněných
osob.
iv. Systém má nastaveny časové limity pro odhlášení, pokud uživatel není po
určitou dobu aktivní. strana 12 | stran 13
strana 11 | stran 13