SMLOUVA O MLČENLIVOSTI, OCHRANĚ DŮVĚRNÝCH INFORMACÍ A O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ uzavřená dle ustanovení 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, (dále jen Občanský zákoník ) a dle ustanovení čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen Nařízení ) SMLUVNÍ STRANY 1. Statutární město Ústí nad Labem se sídlem: Velká Hradební 2336/8, 401 00 Ústí nad Labem Zastoupeno: Ing. Věrou Nechybovou, primátorkou IČ: 000 81 531 Osoba oprávněna jednat ve věcech smluvních: Mgr. Romana Habrová, vedoucí kanceláře tajemníka Osoba oprávněna jednat ve věcech technických: Jan Kymlička, asistent tajemníka pro IT (dále jen Správce nebo smluvní strana ) a 2. Metropolnet, a. s. zastoupená: Jiřím Knápkem předsedou představenstva Mgr. Janem Hofmanem místopředseda představenstva se sídlem: Mírové náměstí 3097/37, Ústí nad Labem, 400 01 IČO: 25439022 DIČ: CZ25439022 Osoby oprávněné jednat ve věcech technických: David Vejsada, vedoucí IT (dále jen Zpracovatel nebo smluvní strana ) uzavřely níže uvedeného dne, měsíce a roku dle ustanovení 1746 odst. 2 občanského zákoníku a dle ustanovení čl. 28 Nařízení tu smlouvu o mlčenlivosti, ochraně důvěrných informací a o zpracování osobních údajů (dále jen smlouva ) tohoto znění: I. Účel a předmět smlouvy 1. Účelem této Smlouvy je vymezení práv a povinností Smluvních stran v souvislosti s ochranou důvěrných informací a se zpracováním osobních údajů Subjektů údajů Zpracovatelem tak, aby zpracování osobních údajů probíhalo v souladu právními předpisy a aby byla zajištěna dostatečná a účinná ochrana důvěrných informací a zpracovávaných osobních údajů.
2. Předmětem této smlouvy je závazek Zpracovatele chránit důvěrné informace, stanovení závazných podmínek a pravidel poskytování těchto důvěrných informací a zacházení s nimi. 3. Dále předmětem této Smlouvy je zajištění zpracování osobních údajů Zpracovatelem, a to v rozsahu dle přílohy č. 1 této Smlouvy (dále jen zpřístupněné osobní údaje ). 4. Zpracovatel se na základě této Smlouvy zavazuje zpracovávat pro Správce zpřístupněné osobní údaje, které Správce získal nebo získá v souvislosti se svou činností, a které za tím účelem Zpracovateli předá. 5. Tato Smlouva se uzavírá v rozsahu práv a povinností, které pro její účastníky při zpracovávání osobních údajů podle předchozího odstavce vyplývají z příslušných právních předpisů regulujících ochranu osobních údajů. 6. Smluvní strany se dohodly, že zpracování osobních údajů na základě této Smlouvy bude prováděno bezplatně. 7. Tato Smlouva se uzavírá za účelem ochrany zpřístupněných osobních údajů při jejich zpracovávání Zpracovatelem v rámci poskytování služeb Správci. Tyto služby jsou definovány v Provozní smlouvě, uzavřené dne 29.6.2017 mezi výše uvedenými smluvními stranami. II. Důvěrné informace 1. Tato smlouva se vztahuje na veškeré, byť i jen částečné, informace, údaje, podklady, zprávy a dokumenty, které Správce poskytne Zpracovateli, zpřístupní mu je, či umožní jejich získání ať již písemně, ústně, elektronicky či jiným způsobem, a to i před podpisem této Smlouvy, pokud se přímo či nepřímo vztahují k Správci. Tato smlouva se vztahuje také na, byť i jen částečné, informace, údaje, podklady, zprávy a dokumenty, jejichž původcem je Zpracovatel, jestliže tyto jsou podstatné pro naplnění účelu Smlouvy (dále jen důvěrné informace ). 2. Důvěrnými informacemi nejsou informace, které jsou v okamžiku podpisu této Smlouvy veřejně známými nebo se později takovými stanou, aniž by se tak stalo v důsledku porušení této Smlouvy ze strany Zpracovatele, nebo informace, ohledně kterých jejich důvěrnou povahu Správce výslovně vyloučí. III. Povinnosti mlčenlivosti 1. Zpracovatel je povinen zachovávat mlčenlivost o všech důvěrných informacích. 2. Zachováním mlčenlivosti a povinnostmi k ochraně všech důvěrných informací se pro účely této Smlouvy rozumí zejména povinnost Zpracovatele: a) nakládat s důvěrnými informacemi pouze za účelem, ke kterému byly Zpracovateli poskytnuty; b) chránit důvěrné informace proti jakémukoli přístupu ze strany třetích osob, přijmout k tomu příslušná opatření technické a organizační povahy, a omezit přístup k nim pouze na osoby v zaměstnaneckém vztahu k povinnému, které důvěrné informace nezbytně potřebují k výkonu svých pracovních úkolů v souladu s výše uvedeným účelem poskytnutí důvěrných informací a na osoby, které poskytují Zpracovateli služby poradenské, konzultační nebo obdobné povahy; c) důvěrné informace neposkytnout, nebo jinak nezpřístupnit žádné třetí osobě ani neumožnit jejich využití ke svému prospěchu; d) informovat Správce bez zbytečného odkladu o jakýchkoli skutečnostech, které by nasvědčovaly úniku důvěrných informací k třetí osobě nebo jinému porušení povinností
k ochraně důvěrných informací stanovených v této smlouvě, a okamžitě přijmout opatření k minimalizaci následků takového porušení této smlouvy; e) zavázat nejméně ve stejném rozsahu k ochraně důvěrných informací, jaký stanoví tato Smlouva, všechny osoby, kterým Zpracovatel důvěrné informace zpřístupní dle písm. b) tohoto odstavce vyjma osob, které jsou vázány zákonnou povinností mlčenlivosti, a nést odpovědnost za jednání či opomenutí takových osob jako za jednání či opomenutí vlastní; f) nést veškeré náklady spojené s ochranou důvěrných informací podle této smlouvy. 3. Zpracovatel je oprávněn důvěrné informace poskytnout nebo zpřístupnit třetí osobě kromě případu uvedeného v odst. 2 písm. b) tohoto článku pouze s předchozím písemným souhlasem Správce. Pokud bude takový souhlas udělen a nebude v něm stanoveno jinak, je Zpracovatel povinen písemně zavázat takovou třetí osobu povinností k ochraně důvěrných informací nejméně v rozsahu odpovídajícím této Smlouvě. 4. Za porušení povinnosti mlčenlivosti se nepovažuje chování, které jinak naplňuje znaky porušení povinnosti mlčenlivosti, avšak ke kterému je Zpracovatel povinen na základě obecně závazného právního předpisu či rozhodnutí soudu či jiného státního orgánu; pokud je vůči uložení takové povinnosti přípustný opravný prostředek, je Zpracovatel povinen tuto možnost využít. V případě, že se Zpracovatel dozví o tom, že mu vznikla povinnost dle předchozí věty a v jakém rozsahu ve vztahu k důvěrným informacím, je povinen před zpřístupněním důvěrných informací o tom bezodkladně písemně informovat Správce a umožnit Správci, nestanoví-li právní předpisy jinak, přijmout opatření směřující k zániku či omezení rozsahu této povinnosti Zpracovatele a je současně povinen počínat si tak, aby takové zpřístupnění zasáhlo co nejmenší okruh důvěrných informací. 5. Správce může kdykoliv, a to i bez uvedení důvodu, požadovat po Zpracovateli likvidaci všech zpřístupněných důvěrných informací z nosičů těchto informací, a to s účinností ode dne doručení písemného oznámení o tomto jednání Zpracovateli. O provedení likvidace důvěrných informací podle předchozí věty je Zpracovatel povinen Správci vystavit potvrzení podepsané osobou oprávněnou jednat za Zpracovatele. 6. Pokud Zpracovatel svým jednáním poruší povinnosti stanovené mu touto smlouvou, a v důsledku toho vznikne Správci nebo libovolné třetí osobě jakákoli újma, je Zpracovatel povinen tuto újmu v plném rozsahu nahradit, a to v penězích, nedohodnou-li se smluvní strany v souladu s touto Smlouvou jinak. IV. Práva a povinnosti smluvních stran při zpracování osobních údajů 1. Zpracovatel je povinen strpět kontrolu nebo audit Správce nebo Správcem pověřené třetí strany. 2. Zpracovatel je povinen neprodleně Správce informovat o zániku oprávnění nebo smluv, podstatných pro plnění Smlouvy. 3. Zpracovatel zajistí souhlas určených osob podílejících se na plnění této Smlouvy se zpracováním jejich osobních údajů Správcem. 4. Zpracovatel zavede a bude udržovat Správcem schválený systém a pravidla personální bezpečnosti, zejména technického personálu a osob provádějících zpracování. 5. Zpracovatel bude předkládat Správci dle jeho pokynů nálezy a zprávy z kontrol a auditů, které jsou podstatné pro jeho schopnost zajistit ochranu osobních údajů, a to i v případě, že se nejedná o audit nebo kontrolu nařízenou nebo vyžádanou Správcem. 6. Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v Nařízení, zejména v článku 28. 7. Zpracovatel na vyžádaní předloží Správci výsledky analýzy rizik a popis implementovaných opatření v rámci řízení bezpečnosti.
8. Zpracovatel je povinen neprodleně informovat Správce o významných změnách u svých dodavatelů, jako je například změna nebo zánik certifikace, změna provozovny, změna technologie a podobně. 9. Zpracovatel je povinen informovat Správce o řízeních, které s ním vedou orgány veřejné správy, jestliže je v takovém řízení Zpracovatel, jeho zaměstnanec nebo statutární orgán podle stanoviska orgánu veřejné správy podezřelý ze spáchání protiprávního jednání nebo porušení obecně závazného právního předpisu. 10. Zpracovatel předloží Správci seznam (Správcem určených) svých vnitřních předpisů, standardů a norem, a seznam relevantních rolí, u kterých je povinen zajistit seznámení s nimi a jejich dodržování. 11. Zpracovatel je povinen Správci ohlašovat změny údajů, podstatných pro posuzování jeho ekonomické stability. 12. Zpracovatel přijal a zavazuje se průběžně přijímat taková technická, administrativní, fyzická a jiná opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu ke zpřístupňovaným osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů zpracovatelem či služeb, které Zpracovatel Správci poskytuje. Za minimální technická opatření se považuje výčet opatření uvedených v příloze č. 2 této Smlouvy. 13. Zpracovatel přijal a zavazuje se průběžně zpracovávat a dokumentovat přijatá a provedená technickoorganizační opatření k zajištění ochrany osobních údajů v souladu s Nařízením, zákony ČR a jinými právními předpisy, a v souladu s instrukcemi Správce, přičemž Zpracovatel zajišťuje kontrolu a odpovídá především za: a) plnění pokynů pro zpracování osobních údajů pouze k tomu oprávněnými osobami, které k osobním údajům mají bezprostřední přístup nutný k dosažení Správcem určeného účelu zpracování; b) zabránění neoprávněným osobám přistupovat k osobním údajům a prostředkům pro jejich zpracování; c) zabránění neoprávněného čtení, vytváření, kopírování, přenosu, úpravám, vymazání či jakémukoliv jinému zpracování záznamů obsahujících zpřístupněné osobní údaje; d) opatření, která umožní i zpětně určit a ověřit, komu byly zpřístupněné osobní údaje předány, kým byly zpracovány, pozměněny nebo smazány. 14. Zpracovatel se zavazuje, zejména vydáním vlastních vnitřních předpisů a prostřednictvím zvláštních smluvních ujednání zajistit, že jeho zaměstnanci a jiné spolupracující osoby, které budou zpracovávat osobní údaje na základě smlouvy se Zpracovatelem, budou tyto údaje zpracovávat pouze za podmínek a v rozsahu Zpracovatelem stanoveném a odpovídající Nařízení a této Smlouvě. Zpracovatel, jeho zaměstnanci a jiné spolupracující osoby budou zachovávat mlčenlivost o osobních údajích, a to i po skončení zaměstnání nebo příslušných prací pro Zpracovatele. 15. Zpracovatel je povinen dodržovat všechna ustanovení této smlouvy. 16. Zpracovatel i Správce se zavazují dodržovat při zpracovávání osobních údajů na základě této Smlouvy povinnosti stanovené Nařízením, zákonem o ochraně osobních údajů, popřípadě i dalšími obecně závaznými právními předpisy k této činnosti se vztahujícími. 17. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizace této Smlouvy, a to zejména v případě jednání s Úřadem pro ochranu osobních údajů nebo s jinými orgány veřejné správy, včetně Správcem určených orgánů jiných států. V rámci součinnosti se Zpracovatel zavazuje umožnit Správci provést kontrolu zavedených opatření v místě zpracování údajů, a to kdykoliv si to Správce vyžádá a nejpozději do 5 pracovních dnů od žádosti či termínu stanoveným Správcem, a v případě podezření na nedodržení podmínek stanovených v této Smlouvě umožní takovou kontrolu ihned.
18. Zpracovatel se zavazuje neprodleně Správci písemně oznámit jakýkoliv incident, který by mohl vést, nebo vedl k narušení integrity nebo zabezpečení zpřístupněných údajů. Zpracovatel je povinen stejným způsobem hlásit také podezření na incident, a to bez ohledu na to, kde a kdy k takovému incidentu může nebo mohlo dojít. Zpracovatel je povinen hlásit také porušení povinností, vyplývajících z této smlouvy, včetně porušení takových povinností třetí stranou a nezaviněné nemožnosti dodržet takovou povinnost. 19. K využití dodavatelů či poddodavatelů je Zpracovatel povinen získat předchozí písemný souhlas Správce. 20. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem nebo pro potřeby Správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve Smlouvě nebo jiném právním aktu mezi Správcem a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel, který je účastníkem této Smlouvy. 21. Zpracovatel se zavazuje respektovat práva subjektů zpřístupněných údajů, tak jak vyplývají z příslušných právních předpisů. Jedná se zejména o umožnění legitimního přístupu k údajům subjektu, korekci nesprávných údajů, nebo jejich vymazání, v případě, že o to subjekt požádá a je to v souladu s platnou legislativou. 22. Zpracovatel a jeho případný zástupce je povinen vést záznamy o všech kategoriích činností zpracování prováděných pro Správce minimálně v rozsahu a způsobem dle článku 30 Nařízení. Správce je povinen o aktualizacích záznamů o činnostech neprodleně informovat Zpracovatele dohodnutým způsobem. 23. Zpracovatel se zavazuje na žádost nebo pokyn Správce provést nevratnou skartaci zpřístupněných údajů. V. Doba trvání a zánik Smlouvy 1. Správce a Zpracovatel se dohodli, že tato Smlouva se uzavírá na dobu neurčitou. 2. Tuto Smlouvu lze ukončit písemnou dohodou smluvních stran, písemnou výpovědí s výpovědní lhůtou v trvání 3 měsíců, která počíná běžet prvním dnem měsíce následujícího po doručení výpovědi druhé smluvní straně. Po dobu trvání výpovědní lhůty jsou smluvní strany plně vázány touto Smlouvou. 3. Kterákoli smluvní strana je rovněž oprávněná od Smlouvy kdykoliv písemně odstoupit, pokud druhá smluvní strana závažným způsobem poruší jakékoliv závazky dané jí touto Smlouvou nebo nařízením či zákonem na ochranu osobních údajů. Správce je oprávněn od smlouvy odstoupit, pokud Zpracovatel závažným způsobem porušuje povinnosti, dané mu touto Smlouvou nebo obecně závaznými právními předpisy. Účinky odstoupení nastávají dnem doručení písemného odstoupení druhé smluvní straně. 4. Po ukončení platnosti této smlouvy jsou smluvní strany povinny s osobními údaji shromážděnými na základě této smlouvy naložit v souladu s příslušnými ustanoveními zákona o ochraně osobních údajů a Nařízení. Zpracovatel je povinen dodržet pokyny, dané mu pro řádné nakládaní s osobními údaji ve výpovědi nebo odstoupení. VI. Odpovědnost za škodu a smluvní sankce 1. Zpracovatel je odpovědný za škodu způsobenou Správci, která vznikla na základě, v důsledku nebo v souvislosti s porušením jakékoliv podmínky této smlouvy či jejích příloh,
nebo porušením zákonných ustanovení, které se vztahují na Správce či jeho spolupracující osoby. 2. Ze škody se nevylučuje ušlý zisk a škoda jmenovitě zahrnuje i veškeré náklady vynaložené na případné soudní vymáhání úhrady škody. 3. Zpracovatel se při případném porušení podmínek této smlouvy zavazuje se Správcem plně spolupracovat ve snaze minimalizovat škodlivý následek takovým porušením způsobený nebo hrozící. 4. Za každé jednotlivé porušení povinností stanovených touto Smlouvou je Zpracovatel povinen zaplatit smluvní pokutu ve výši 25.000,- Kč. 5. V případě prodlení Zpracovatele s odstraněním nedostatků zjištěných při kontrole dle čl. IVI. odst. 1 je Zpracovatel povinen zaplatit Správci smluvní pokutu ve výši 5.000,- Kč za každý i započatý den prodlení. 6. Správce je vedle smluvní pokuty oprávněn požadovat též náhradu škody způsobené porušením příslušné povinnosti Zpracovatele v plné výši. Zaplacení smluvní pokuty nezbavuje Zpracovatele závazku splnit danou povinnost. VII. Závěrečná ustanovení 1. Práva a povinnosti smluvních stran vyplývající z této Smlouvy nebo s touto Smlouvou související se řídí příslušnými ustanoveními občanského zákoníku, zákona na ochranu osobních údajů a Nařízením. 2. Pro případ, že kterékoliv ustanovení této smlouvy se stane v budoucnu neúčinným, neplatným či nevymahatelným nebo bude-li takovým shledáno příslušným orgánem, smluvní strany se zavazují bez zbytečných odkladů nahradit takové ustanovení této smlouvy ustanovením jiným, které svým obsahem a smyslem odpovídá nejlépe ustanovení původnímu a této smlouvě jako celku. Případná neplatnost některého z takovýchto ustanovení této smlouvy nemá za následek neplatnost ostatních ustanovení této smlouvy. 3. Dojde-li za dobu účinnosti této Smlouvy ke zrušení právního předpisu a jeho nahrazení novým právním předpisem věcně se dotýkajícím předmětu této Smlouvy a bude-li mít tato změna podstatný dopad na podmínky plnění této Smlouvy, zavazují se smluvní strany zahájit jednání o uzavření dodatku, jehož předmětem bude úprava vzájemných smluvních vztahů tak, aby byl v maximální možné míře zachován předmět, účel a obsah této Smlouvy a aby bylo vyhověno podmínkám stanoveným navazující normou dle tohoto odstavce. 4. Tato Smlouva může být smluvními stranami měněna a doplňována pouze vzestupně číslovanými písemnými dodatky s podpisy smluvních stran na téže listině. Písemnou formu musí mít i prominutí jakéhokoliv dluhu z této Smlouvy plynoucího některou ze smluvních stran. 5. Tato Smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami. V případě, že se na vztahy mezi smluvními stranami bude vztahovat zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv nabývá Smlouva účinnosti zveřejněním v registru smluv. 6. Správce prohlašuje, že tato Smlouva byla schválena Radou města Ústí nad Labem usnesením č., ze dne 7. Smluvní strany se dohodly, že tato smlouva plně nahrazuje smlouvu o zpracování osobních údajů uzavřenou shora uvedenými smluvními stranami dne 21.12.2012. 8. Smlouva je sepsána ve 2 vyhotoveních s platností originálu, z nichž každá smluvní strana obdrží po jednom jejím vyhotovení. 9. Součástí smlouvy je tato příloha: Příloha č. 1 Stanovení rozsahu zpracovávaných osobních údajů
10. Smluvní strany shodně prohlašují, že si tuto smlouvu před jejím podpisem přečetly, že byla uzavřena po vzájemném projednání podle jejich pravé a svobodné vůle určitě, vážně a srozumitelně, nikoliv v tísni nebo za nápadně nevýhodných podmínek, a že se dohodly o celém jejím obsahu, což stvrzuji svými podpisy. V Ústí nad Labem dne.. Správce: Zpracovatel: V Ústí nad Labem dne... Mgr. Romana Habrová vedoucí kanceláře tajemníka Magistrátu města Ústí n.l.... Jiří Knápek předseda představenstva Mgr. Jan Hofman místopředseda představenstva
Smluvní strany konstatují, že údaje: 1. Zpracovávané údaje, 2. Subjekty údajů, 3. Speciální kategorie údajů, 4. Účel zpracování PŘÍLOHA Č. 1 Stanovení rozsahu zpracovávaných osobních údajů jsou uvedeny v tzv. záznamech o činnostech, které mají smluvní strany k dispozici a jež byly zpracovány na základě procesní a datové analýzy realizované na magistrátu města a úřadech městských obvodů. Za aktualizaci uvedených záznamů o činnostech a její průběžné předávání Zpracovateli odpovídá Správce.