Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJů
Smluvní strany
RBP, zdravotní pojišťovna
se sídlem: Michálkovická 967/108, Slezská Ostrava, 710 00 Ostrava
IČO: 476 73 036, DIČ: CZ47673036
společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě,
oddíl AXIV, vložka 554
zastoupená: Ing. Antonínem Klimšou, MBA, výkonným ředitelem
(dále jen „Správce“ nebo „RBP“)
a
Ústav vývoje a klinických aplikací, z.ú.
se sídlem: 17. listopadu 1790/5, 708 00, Ostrava
IČO: 02227126 DIČ: CZ02227126
společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě,
oddíl U, vložka 130
zastoupená: xxxxxxxx
(dále jen „Zpracovatel ”)
(dále společně jen „Smluvní strany”)
uzavřely dnes tuto smlouvu o zpracovávání osobních údajů
(dále jen „Smlouva”)
2
Vědomy si svých závazků obsažených v této Smlouvě a s úmyslem být touto Smlouvou vázány, se Smluvní strany dohodly na tomto znění Smlouvy:
ÚVODNÍ USTANOVENÍ
1.1. Správce zahájil realizaci pilotního projektu e-Senior 213, který je zaměřený na chronicky nemocné pojištěnce RBP (Správce) starší 60 let v péči vybraných poskytovatelů zdravotních služeb v lékařských odbornostech kardiologie, interní medicína a diabetologie (dále jen „Projekt“). Projekt předpokládá využití telemedicíny.
1.2. Zpracovatel poskytuje Správci know-how a organizačně-technické zázemí pro realizační fázi Projektu, zprostředkování údajů získaných v průběhu této fáze projektu (vč. údajů získaných prostřednictvím telemedicíny), a dále zpracovává analýzu možností projektu na terénní úrovni pro zajištění jeho udržitelnosti, přičemž tyto služby se řídí zejména
projektovou dokumentací k projektu e-Senior 213 a
Smlouvou o zajištění analýzy možností uplatnění telemedicíny v péči o seniory uzavřenou mezi Správcem a Zpracovatelem
(dále jen jako „Dokumentace projektu“).
1.3. Vzhledem k tomu, že na základě Dokumentace projektu může docházet ke zpracování osobních údajů Zpracovatelem pro Správce, uzavírají Smluvní strany zpracovatelskou smlouvu ve smyslu čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“), jejíž podmínky se řídí touto Smlouvou.
1.4. Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků předpisů na ochranu osobních údajů (tyto zahrnují například zákon č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, a GDPR; dále jen „POOÚ“), uzavřou bez zbytečného odkladu po výzvě kterékoli Smluvní strany písemný dodatek Smlouvy zohledňující takové požadavky.
1.5. Pojmy použité v této Smlouvě, které v této Smlouvě nejsou definovány, mají význam uvedený v GDPR.
1.6. Smluvní strany jsou povinny jednat v souladu s POOÚ a pravidly dopadajícími na jejich jednotlivé role v rámci zpracování osobních údajů, jak je blíže specifikováno dále v této Smlouvě.
1.7. Pro vyloučení pochybností smluvní strany sjednávají, že povinnosti z této Smlouvy se vztahují pouze k těm činnostem vyplývajícím z Dokumentace projektu, při nichž ze strany Zpracovatele dochází ke zpracování osobních údajů, k nimž se Správce nachází v postavení správce osobních údajů.
PŘEDMĚT SMLOUVY
1.8. Správce tímto pověřuje Zpracovatele zpracováním osobních údajů subjektů údajů poskytovaných Správcem v rámci plnění úkolů vyplývajících z Dokumentace projektu. Zpracovatel je povinen zpracovávat osobní údaje pro Správce na základě jeho pokynů a v rozsahu nezbytném k řádnému plnění povinností Zpracovatele vyplývajících z Dokumentace projektu.
Předmět zpracování, kategorie subjektů údajů a typ osobních údajů
1.9. Předmětem zpracování jsou osobní údaje subjektů údajů, a případně další údaje poskytnuté Správcem či třetími stranami z pokynu Správce (dále jen „Osobní údaje“). Mezi Osobní údaje patří následující kategorie údajů:
1.9.1. Identifikační údaje, a to zejména: jméno, příjmení, datum a místo narození, pohlaví, rodné číslo, číslo pojištěnce, státní příslušnost, adresa trvalého bydliště, datum úmrtí;
1.9.2. Kontaktní údaje, a to zejména: e-mailová adresa, telefonní číslo, korespondenční adresa;
1.9.3. Zvláštní kategorie osobních údajů, a to zejména: údaje o zdravotním stavu;
1.9.4. Popisné údaje, a to zejména: údaje o životním stylu;
1.9.5. Údaje o jiné osobě, a to zejména: kontaktní údaje, jméno a příjmení blízké osoby;
1.9.6. Ostatní údaje, a to zejména: údaje související s poskytováním zdravotní péče pojištěnci a plněním veřejného zdravotního pojištění v rozsahu dokumentace vedené RBP dle platných právních předpisů.
1.10. Subjekty údajů jsou:
1.10.1. Pojištěnci Správce, případně jejich zástupci;
Povaha a účel zpracování
1.11. Zpracovatel bude zpracovávat Osobní údaje automatizovaně s užitím statistických a analytických metod s přispěním výpočetní techniky. Příležitostně může docházet k ručnímu zpracování Osobních údajů.
1.12. Účel zpracování je definován účelem Projektu, přičemž se jedná zejména o zajištění realizace Projektu a jeho vyhodnocování.
Doba zpracování
1.13. Zpracování Osobních údajů bude probíhat po dobu realizace Projektu nebo po dobu po níž bude Zpracovatel pověřen technickým zajištěním realizace Projektu.
1.14. Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud ze Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.
Další povinnosti Zpracovatele
1.15. Zpracovatel se zavazuje dodržovat všechny povinnosti, které pro něj z důvodu zpracování Osobních údajů jako pro Zpracovatele vyplývají z POOÚ.
1.16. Zpracovatel je při zpracovávání Osobních údajů povinen:
1.16.1. zpracovávat Osobní údaje výlučně na základě doložených pokynů Správce;
1.16.2. řídit se instrukcemi Správce v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
1.16.3. v případě, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu provedena kontrola zpracování Osobních údajů Zpracovatelem či v případě zahájení správního řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu ve vztahu k zpracování Osobních údajů Zpracovatelem, oznámit tuto skutečnost okamžitě Správci a poskytnout mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
1.16.4. poskytnout Správci součinnost při komunikaci s dozorovým orgánem a dle pokynů Správce spolupracovat při přípravě odpovědí dozorovému úřadu ohledně činností prováděných Zpracovatelem;
1.16.5. nezpracovávat Osobní údaje pro své vlastní účely;
1.16.6. zajišťovat, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
1.16.7. nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce;
1.16.8. při zohlednění povahy zpracování, být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektů údajů;
1.16.9. být Správci nápomocen při zajišťování souladu s povinnostmi Správce (i) zajistit úroveň zabezpečení zpracování, (ii) ohlašovat případy porušení zabezpečení Osobních údajů Úřadu pro ochranu osobních údajů a případně též subjektům údajů, (iii) posuzovat vliv na ochranu Osobních údajů (výstupem tohoto posouzení bude poskytnutí podkladových materiálů a vlastních odborných vyjádření) a (iv) realizovat předchozí konzultace s Úřadem pro ochranu osobních údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;
1.16.10. v souladu s rozhodnutím Správce všechny Osobní údaje buď vymazat, nebo vrátit Správci po ukončení doby zpracování Osobních údajů definované článkem 5., a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných Osobních údajů;
1.16.11. poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené touto Smlouvou a POOÚ, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět;
1.16.12. Osobní údaje subjektů údajů jím zpracovávané či k nimž mu byl umožněn přístup žádným způsobem neukládat, nekopírovat, netisknout, neopisovat, nečinit z nich výpisky či opisy či je pozměňovat, pokud toto není nezbytné pro plnění jeho povinností dle této Smlouvy;
1.16.13. umožnit Správci na vyžádání kontrolu dodržování povinností dle tohoto odst. 6.2 Smlouvy, zejména přístupy do prostor, v nichž pracují osoby s přístupem k Osobním údajům, předložení seznamu osob s přístupem k Osobním údajům či doložení, že veškeré osoby přistupující k Osobním údajům splňují požadavky Pověřené osoby, jak je tato definována níže; a
1.16.14. umožnit Správci přístup do informačního systému užívaného pro zpracování Osobních údajů a k probíhajícím operacím zpracování.
1.17. Zpracovatel je oprávněn pověřit zpracováním dalšího zpracovatele, avšak jen s předchozím písemným souhlasem Správce.
1.18. Pokud Zpracovatel zapojí do zpracování osobních údajů dle této Smlouvy dalšího zpracovatele, musí se tento další zpracovatel smluvně zavázat k dodržování stejných povinností na ochranu osobních údajů, jaké jsou dohodnuty mezi Zpracovatelem a Správcem v této Smlouvě, a to zejména zavedení vhodných technických a organizačních opatření. Neplní-li další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel.
1.19. V souvislosti se zpracováním Osobních údajů vede Zpracovatel záznamy o všech kategoriích činností zpracování prováděných pro Správce, jež obsahují zejména:
1.19.1. jméno a kontaktní údaje Zpracovatele, Správce a případného zástupce Správce nebo Zpracovatele a pověřence pro ochranu osobních údajů;
1.19.2. kategorie zpracování prováděného pro Správce;
1.19.3. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a
1.19.4. popis technických a organizačních bezpečnostních opatření.
1.20. Zpracovatel se na základě písemné výzvy Správce zavazuje Správci vedené záznamy zpřístupnit.
1.21. Zpracovatel zajišťuje, kontroluje a odpovídá za:
1.21.1. plnění pokynů pro zpracování Osobních údajů osobami, které mají bezprostřední přístup k Osobním údajům;
1.21.2. zabránění neoprávněným osobám přistupovat k Osobním údajům a k prostředkům pro jejich zpracování;
1.21.3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících Osobní údaje; a
1.21.4. opatření, která umožní určit a ověřit, komu byly Osobní údaje předány.
1.22. V případě, že je podle POOÚ vyžadováno jakékoli oznámení nebo jiný úkon vůči správnímu orgánu, upozorní na tuto skutečnost Zpracovatel Správce v dostatečném předstihu a v případě, že tím Správce Zpracovatele pověří a zmocní, zajistí provedení těchto úkonů.
1.23. Pokud Zpracovatel zjistí, že Správce porušuje povinnosti podle POOÚ, je povinen jej na to neprodleně upozornit.
1.24. Vznikne-li Správci v důsledku nesplnění povinnosti Zpracovatele dle POOÚ újma (škoda i nemajetková újma), zavazuje se Zpracovatel Správci tuto újmu v plném rozsahu nahradit. Újmou vzniklou Správci se pro účely tohoto ustanovení rozumí zejména (i) náhrada újmy (škody i nemajetkové újmy) subjektům údajů ve smyslu POOÚ a (ii) pokuty uložené Úřadem pro ochranu osobních údajů či jiným správním úřadem.
POVINNOSTI SPRÁVCE
1.25. Správce je povinen zajistit, aby účel zpracování veškerých Osobních údajů zpracovávaných ze strany Zpracovatele dle této Smlouvy byl v souladu s právními předpisy, a aby zpracování bylo po celou dobu trvání kryto náležitým právním základem. Zpracovatel neodpovídá za jakékoli porušení povinností správce Osobních údajů ze strany Správce, pokud toto porušení Správce nebylo způsobeno nebo nebylo důsledkem porušení některého ze závazků Zpracovatele dle této Smlouvy.
1.26. Správce je zejména povinen naplňovat při zpracování Osobních údajů zásady uvedené v čl. 5 GDPR. Správce rovněž odpovídá za informování subjektů údajů o účelu, rozsahu, době zpracování i o zákonných důvodech zpracování jejich Osobních údajů ve smyslu čl. 13 GDPR.
Zabezpečení osobních údajů
1.27. Zpracovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
1.28. Zpracovatel je povinen zajistit, že přístup k Osobním údajům bude umožněn výlučně pověřeným osobám, které budou v pracovněprávním, příkazním či jiném obdobném poměru k Zpracovateli, budou předem prokazatelně seznámeny s povahou Osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním Osobních údajů a jejich zpracováním (dále jen „Pověřené osoby“). Splnění této povinnosti zajistí Zpracovatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání. Přístup k Osobním údajům bude Pověřeným osobám umožněn výlučně pro účely zpracování Osobních údajů v rozsahu a za účelem stanoveným v této Smlouvě. Seznam Pověřených osob je součástí Přílohy č. 1 této Smlouvy. Smluvní strany sjednávají, že v případě změny kterékoliv Pověřené osoby nebude nutné sjednávat dodatek k této Smlouvě dle pravidel pro změnu Smlouvy. Zpracovatel se zavazuje oznámit změnu Pověřené osoby Správci písemně, a to nejpozději do 5 pracovních dnů přede dnem, kdy ke změně Pověřené osoby dojde. Má se za to, že pokud Správce do 5 pracovních dnů ode dne oznámení změny Pověřené osoby dle tohoto článku neodmítne tuto změnu Pověřené osoby, došlo ke změně Pověřené osoby. Správce se zavazuje bezdůvodně neodmítnout změnu Pověřené osoby.
1.29. Zpracovatel dále vhodným způsobem zajistí, že Pověřené osoby budou zpracovávat Osobní údaje na základě smlouvy se Zpracovatelem, budou zpracovávat Osobní údaje pouze za podmínek a v rozsahu Zpracovatelem stanoveném v a odpovídajícím této Smlouvě a právním předpisům, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací Pověřených osob.
1.30. Část dat (vč. osobních údajů) dle Dokumentace projektu bude Zpracovateli předávána prostřednictvím sdíleného uložiště Správce. Zpracovatel je povinen zajistit, aby k tomuto úložišti měli přístup pouze Pověřené osoby.
1.31. Zpracovatel je v této souvislosti povinen zejména:
1.31.1. zajistit, že k Osobním údajům mají přístup pouze Pověřené osoby;
1.31.2. zabezpečit koncové stanice, které Pověřené osoby používají pro přístup k Osobním údajům, zejména následujícími opatřeními k zajištění přiměřené úrovně zabezpečení:
1.31.2.1. firewall;
1.31.2.2. antivirovou ochranu a kontrolu neoprávněných přístupů;
1.31.3. zajistit, že Pověřené osoby nebudou Osobní údaje využívat pro jiné účely než pro ty, které umožnil Správce dle této Smlouvy;
1.32. Zpracovatel se dále zavazuje přijmout následující opatření, jsou-li nezbytná s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob k zajištění odpovídající úrovně zabezpečení:
1.32.1. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
1.32.2. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a
1.32.3. šifrovaný přenos dat, pokud je takový přenos nezbytný.
1.33. Při zpracování Osobních údajů v jiné, než elektronické podobě budou Osobní údaje uchovány v místnostech s náležitou úrovní zabezpečení, do kterých budou mít přístup výlučně Pověřené osoby.
1.34. Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě stanovené Správcem další záruky za účelem technického a organizačního zabezpečení Osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům.
1.35. V případě zjištění porušení záruk dle odst. 8.2 této Smlouvy je Zpracovatel povinen zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu Správcem vyzván.
1.36. V případě, že Zpracovatel po dobu účinnosti Smlouvy zjistí nebo se dozví o porušení zabezpečení Osobních údajů, je povinen ohlásit Správci, že došlo k porušení zabezpečení Osobních údajů bez zbytečného odkladu, nejpozději do 24 hodin, poté, kdy se o něm dozvěděl. Následně bez zbytečného odkladu od okamžiku, kdy se Zpracovatel dozvěděl o případu porušení zabezpečení Osobních údajů, je Zpracovatel povinen Správci ohlásit popis povahy daného případu porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených osob a kategorií a přibližného množství dotčených záznamů Osobních údajů a popis pravděpodobných důsledků porušení zabezpečení Osobních údajů.
doba trvání a UKONČENÍ SMLOUVY
1.37. Tato Smlouva se uzavírá na dobu určitou, a to do ukončení realizace Projektu, přičemž ukončení realizace Projektu bude Správcem Zpracovateli oznámeno písemně s dostatečným předstihem, aby Zpracovatel mohl plnit své povinnosti vyplývající z ukončení této Smlouvy. Smlouva též zaniká datem, kdy Zpracovatel přestane technicky zajišťovat realizaci Projektu.
1.38. V případě ukončení Smlouvy nejsou Zpracovatel, resp. jeho zaměstnanci, Pověřené osoby, popř. pověřené třetí osoby, které přišly do styku s Osobními údaji, zbaveni mlčenlivosti. Povinnost mlčenlivosti u nich v takovémto případě trvá i po ukončení účinnosti Smlouvy, bez ohledu na trvání poměru uvedených osob ke Zpracovateli.
1.39. V případě ukončení této Smlouvy je Zpracovatel povinen ukončit jakékoli zpracování Osobních údajů a nejpozději do 30 dnů od ukončení účinnosti smlouvy předat Správci protokolárně veškeré hmotné nosiče obsahující Osobní údaje a smazat veškeré Osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li Zpracovatel od Správce písemně jiné pokyny, nebo pokud právo Evropské unie nebo členského státu nepožaduje uložení daných Osobních údajů.
ZÁVĚREČNÁ USTANOVENÍ
1.40. Tato Smlouva představuje úplnou dohodu Smluvních stran o předmětu této Smlouvy. Tuto Smlouvu lze měnit jen po dohodě obou Smluvních stran, a to výhradně ve formě písemných číslovaných dodatků, s výjimkou změn, u kterých je v této Smlouvě výslovně uvedeno, že není potřebná forma dodatku. Změny této Smlouvy učiněné v jiné než stanovené formě nejsou mezi Smluvními stranami účinné.
1.41. Veškerá práva a povinnosti vyplývající z této Smlouvy přecházejí, pokud to povaha těchto práv a povinností nevylučuje, na právní nástupce Smluvních stran.
1.42. Pokud by se kterékoliv ustanovení této Smlouvy ukázalo být neplatným nebo nevynutitelným nebo se jím stalo po uzavření této Smlouvy, pak tato skutečnost nepůsobí neplatnost ani nevynutitelnost ostatních ustanovení této Smlouvy, nevyplývá-li z donucovacích ustanovení právních předpisů jinak. Smluvní strany se zavazují takové neplatné či nevynutitelné ustanovení nahradit platným vynutitelným ustanovením, které je svým obsahem nejbližší účelu neplatného či nevynutitelného ustanovení.
1.43. Zpracovatel se zavazuje bez předchozího výslovného písemného souhlasu Správce nepostoupit ani nepřevést jakákoliv práva či povinnosti vyplývající ze Smlouvy, ani Smlouvu jako celek, na třetí osobu či osoby.
1.44. Tato Smlouva je uzavřena ve 2 stejnopisech, z nichž každá strana obdrží po 1 stejnopise.
1.45. Nedílnou součást Smlouvy tvoří tato příloha:
Příloha č. 1:
Seznam Pověřených osob
1.46. Tato Smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami na důkaz čehož níže uvedeného dne připojili řádně oprávnění zástupci Smluvních stran k této Smlouvě své podpisy.
Správce
V _______________ dne
Zpracovatel
V _______________ dne
.................................................................
RBP, zdravotní pojišťovna
Ing. Antonín Klimša, MBA
výkonný ředitel
.................................................................
Ústav vývoje a klinických aplikací, z.ú.
xxxxxxxx
xxxxxxxx
Příloha č. 1: Seznam Pověřených osob
JMÉNO A PŘÍJMENÍ
Pověřené osoby
TELEFON
E-MAIL