TATO STRÁNKA JE VE FÁZI AKTUALIZACE A NEOBSAHUJE KONEČNÁ DATA
Poslední aktualizace: [DOPLŇTE datum]
1. Smluvní strany a úvodní ustanovení
Tato smlouva o zpracování osobních údajů (dále jen „Smlouva“) upravuje práva a povinnosti při zpracování osobních údajů podle čl. 28 Nařízení (EU) 2016/679 (dále jen „GDPR“).
Správce: organizace (škola či jiný subjekt), která uzavřela smlouvu o užívání služby Hospo.cz a vkládá do ní osobní údaje (dále jen „Správce“).
Zpracovatel: [DOPLŇTE obchodní firmu / jméno], IČO: [DOPLŇTE], se sídlem [DOPLŇTE], provozovatel služby Hospo.cz (dále jen „Zpracovatel“).
Tato Smlouva tvoří nedílnou součást smlouvy o užívání služby a je účinná po dobu jejího trvání.
2. Předmět a účel zpracování
Předmětem je zpracování osobních údajů Zpracovatelem výhradně za účelem poskytování služby Hospo.cz Správci, tj. provozu systému pro správu ekonomiky a provozu školy (evidence, stravné, docházka, komunikace a související funkce).
Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, není-li mu zpracování uloženo právem EU nebo členského státu.
3. Doba zpracování
Zpracovatel zpracovává osobní údaje po dobu trvání smlouvy o užívání služby. Bližší specifikace je uvedena v Příloze č. 1.
4. Kategorie subjektů údajů a osobních údajů
Kategorie subjektů údajů, kategorie osobních údajů a účely jsou vymezeny v Příloze č. 1. Zpracování může zahrnovat zvláštní kategorie údajů (např. údaje o zdravotním stavu dětí), a to výhradně na pokyn Správce.
5. Povinnosti zpracovatele
- zpracovávat osobní údaje pouze na doložené pokyny Správce;
- zajistit, aby osoby oprávněné zpracovávat osobní údaje byly zavázány mlčenlivostí;
- přijmout vhodná technická a organizační opatření podle čl. 32 GDPR (Příloha č. 3);
- zapojovat další zpracovatele pouze za podmínek dle čl. 7 této Smlouvy;
- být Správci nápováhomocen při plnění jeho povinností vůči subjektům údajů;
- po skončení poskytování služby osobní údaje vymazat nebo vrátit dle čl. 9;
- poskytnout Správci informace nezbytné k doložení plnění povinností a umožnit kontrolu dle čl. 10;
- informovat Správce, pokud má za to, že jeho pokyn porušuje GDPR.
6. Mlčenlivost
Zpracovatel zajistí, že přístup k osobním údajům mají pouze pověřené osoby v rozsahu nezbytném pro plnění jejich úkolů a že tyto osoby jsou vázány povinností mlčenlivosti, která trvá i po ukončení jejich činnosti.
7. Zabezpečení zpracování
Zpracovatel zavádí a udržuje technická a organizační opatření odpovídající rizikům zpracování, zejména šifrování citlivých údajů, zabezpečený přenos dat, řízení přístupu a možnost dvoufaktorového ověření. Podrobnosti jsou uvedeny v Příloze č. 3.
8. Další zpracovatelé
Správce uděluje Zpracovateli obecné povolení zapojit další zpracovatele uvedené v Příloze č. 2. Zpracovatel uloží každému dalšímu zpracovateli stejné povinnosti ochrany údajů, jaké má sám. O zamýšlených změnách dalších zpracovatelů Zpracovatel Správce předem informuje a umožní mu vznést námitky.
9. Součinnost a ohlašování porušení
Zpracovatel je Správci nápomocen při vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, omezení, přenositelnost, námitka), při posouzení vlivu na ochranu osobních údajů a při zajištění bezpečnosti zpracování. Porušení zabezpečení osobních údajů ohlásí Správci bez zbytečného odkladu poté, co se o něm dozví.
10. Výmaz nebo vrácení údajů
Po ukončení poskytování služby Zpracovatel podle volby Správce osobní údaje vymaže nebo vrátí a odstraní existující kopie, nevyžaduje-li jejich uchování právní předpis. Údaje zůstávají dostupné po dobu 30 dnů pro případné obnovení účtu, poté jsou odstraněny.
11. Audit a kontrola
Zpracovatel poskytne Správci na vyžádání informace nezbytné k doložení plnění povinností podle čl. 28 GDPR a umožní kontroly, včetně inspekcí, provedené Správcem nebo jím pověřeným auditorem, po předchozí přiměřené dohodě.
12. Odpovědnost a závěrečná ustanovení
Odpovědnost smluvních stran se řídí GDPR a obecně závaznými právními předpisy. Tato Smlouva se řídí právním řádem České republiky. Přílohy č. 1 až 3 tvoří její nedílnou součást.
Příloha č. 1 – Specifikace zpracování
| Kategorie subjektů údajů | Kategorie osobních údajů |
|---|---|
| Děti / žáci a strávníci | jméno, datum narození, třída, údaje o stravování; dle potřeby zvláštní kategorie (alergie, zdravotní omezení), rodné číslo |
| Zákonní zástupci | jméno, kontaktní údaje, bankovní spojení |
| Zaměstnanci Správce | identifikační, kontaktní a mzdové údaje v rozsahu zadaném Správcem |
| Kontaktní osoby dodavatelů | jméno, kontaktní údaje |
Povaha a účel: zpracování (uložení, organizace, zpřístupnění) za účelem provozu školní agendy v systému Hospo.cz. Doba: po dobu trvání smlouvy o užívání služby.
Příloha č. 2 – Seznam dalších zpracovatelů
[DOPLŇTE / proškrtejte podle reálně využívaných služeb. U zpracovatelů mimo EU uveďte záruky dle čl. 46 GDPR.]
| Zpracovatel | Účel | Umístění |
|---|---|---|
| [Poskytovatel hostingu] | provoz aplikace a databáze | EU |
| [Poskytovatel e-mailu / SMTP] | odesílání systémových zpráv | [DOPLŇTE] |
| [Nástroje pro zpracování dokladů] | volitelné automatické zpracování faktur | [DOPLŇTE – pozor na mimo-EU] |
| [Překladová služba] | volitelný překlad zpráv | EU |
| Google / Microsoft | volitelné přihlášení (SSO) | [DOPLŇTE] |
Příloha č. 3 – Technická a organizační opatření
- šifrování citlivých osobních údajů v databázi (AES-256-GCM);
- šifrovaný přenos dat (HTTPS/TLS);
- řízení přístupu na základě rolí a oprávnění;
- volitelné dvoufaktorové ověření přístupu;
- vedení záznamů o přihlášení a aktivitě;
- pravidelné zálohování dat;
- závazek mlčenlivosti pověřených osob.