Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SM230569
Městská nemocnice Ostrava,
příspěvková organizace
Smlouva o zpracování osobních údajů
uzavřená dle čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto
údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále jen
„Nařízení“
Smluvní strany
Městská nemocnice Ostrava, příspěvková organizace
se sídlem: Nemocniční 898/20A, 728 80 Ostrava-Moravská Ostrava
zastoupená: ředitelem
zřízená usnesením Zastupitelstva Statutárního města Ostravy, zřizovací listina ve znění usnesení
č. 2509/1014/32 ze dne 21. 5. 2014, příspěvková organizace nezapsaná v Obchodním rejstříku;
registrace poskytovatele zdravotních služeb rozhodnutím odboru zdravotnictví Krajského úřadu
Moravskoslezského kraje, čj. MSK . 170697/2022 z 22.12.2022 ve znění následných rozhodnutí
o registraci
IČO: 00635162
DIČ: CZ00635162
dále jen „Správce“
a
OR-NEXT spol. s r.o.
se sídlem: Hlinky 40/102, 603 00 Brno
zastoupená: jednatelem
Spisová značka: C 41856 vedená u Krajského soudu v Brně
IČO: 26284146
DIČ: CZ26284146
dále jen „Zpracovatel“
dále společně jen „Smluvní strany“
I.
Předmět a účel smlouvy
1. Smluvní strany uzavřely dne 1…7….8….2…02.3. smlouvu č. SM2023230568, jejímž předmětem je
poskytování servisních/dodavatelských služeb a při jejich plnění jsou Správcem zpřístupněny
Zpracovateli osobní údaje subjektů získané činnostmi Správce.
2. Tato Smlouva se uzavírá za účelem vymezení rozsahu práv a povinností, které pro její
účastníky vyplývají z příslušných právních předpisů regulujících ochranu osobních údajů, tj.
zejména Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o
ochraně fyzických osob v souvislosti se zpracováním osobních údajů (GDPR) a související
1/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava
Městská nemocnice Ostrava,
příspěvková organizace
národní legislativy, při plnění služeb podle předchozího odstavce a zpracovávání osobních
údajů.
3. Předmětem Smlouvy je zajištění zpracování osobních údajů Zpracovatelem, a to v rozsahu dle
čl. II odst. 3 Smlouvy (dále také „zpřístupněné osobní údaje“).
4. Tato Smlouva se uzavírá za účelem ochrany zpřístupněných osobních údajů při jejich
zpracovávání Zpracovatelem v rámci poskytování služeb Správci.
5. Zpracovatel se zavazuje zpracovávat pro Správce zpřístupněné osobní údaje, které Správce
získal nebo získá v souvislosti se svou činností, a které za tím účelem Zpracovateli předá
v rozsahu a postupy dle této Smlouvy.
II.
Rozsah zpracovávaných údajů
1. Smluvní strany berou na vědomí a činí mezi nimi nesporným, že Správce (a nikoliv
Zpracovatel) je ten, kdo je odpovědný za určení:
1.1. které osobní údaje subjektů údajů budou zpracovávány,
1.2. na základě jakých právních důvodů (titulů) budou tyto údaje zpracovávány,
1.3. doby uchování, tj. po jakou dobu budou osobní údaje zpracovávány a jak dlouho mají
být uchovány,
1.4. kategorii subjektů údajů,
1.5. kategorii příjemců údajů.
2. Účelem zpracování osobních údajů je ochrana veškerých osobních údajů souvisejících s
poskytováním služeb a s obecně závaznými právními předpisy.
3. Osobní údaje budou Zpracovatelem zpracovávány v rozsahu:
jméno, příjmení a titul
rodné číslo
údaje o zdravotním stavu pacientů
laboratorní výsledky
4. Kategorie subjektů údajů jsou:
pacienti
zaměstnanci
občané
příp. zákazníci
5. Smluvní strany se dohodly, že zpracování osobních údajů dle této smlouvy je realizováno
bezplatně, nárok Zpracovatele na odměnu za poskytování Služeb je zachován.
III.
2/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava
Městská nemocnice Ostrava,
příspěvková organizace
Oprávněné osoby
1. Mezi oprávněné osoby, které budou na straně Zpracovatele osobní údaje zpracovávat, patří:
1.1. zaměstnanci Zpracovatele
IV.
Práva a povinnosti stran
1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně
v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci.
2. V případě, že Zpracovatel dojde k závěru, že určitý pokyn Správce porušuje Nařízení nebo jiný
právní předpis, je povinen o tom Správce neprodleně informovat.
3. Zpracovatel je povinen neprodleně Správce informovat o zániku oprávnění nebo smluv,
podstatných pro plnění Smlouvy.
4. Zpracovatel je povinen strpět kontrolu nebo audit Správce nebo Správcem pověřené třetí
strany a k těmto auditům se zavazuje přispět. Smluvní strany jsou si povinny předat podklady
pro naplnění tohoto cíle. Tato povinnost smluvních stran bude realizována zejména v případě
jednání s Úřadem pro ochranu osobních údajů nebo jinými orgány veřejné správy.
5. Zpracovatel bude předkládat Správci dle jeho pokynů nálezy a zprávy z kontrol a auditů, které
jsou podstatné pro jeho schopnost zajistit ochranu osobních údajů, a to i v případě, že se
nejedná o audit nebo kontrolu nařízenou nebo vyžádanou Správcem.
6. Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny
povinnosti stanovené v Nařízení, zejména v článku 28.
7. Zpracovatel na vyžádání předloží Správci výsledky analýzy rizik a popis implementovaných
opatření v rámci řízení bezpečnosti.
8. Zpracovatel je povinen neprodleně informovat Správce o významných změnách u svých
dodavatelů, jako je například změna nebo zánik certifikace, změna provozovny, změna
technologie a podobně.
9. Zpracovatel přijal a zavazuje se průběžně přijímat taková technická, administrativní, fyzická
a jiná opatření, aby nemohlo dojít k náhodnému nebo protiprávnímu zničení, ztrátě,
pozměnění, neoprávněnému zpřístupnění nebo neoprávněnému přístupu k osobním údajům,
jakož i k jejich jinému zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů
Zpracovatelem či služeb, které Zpracovatel Správci poskytuje dle této Smlouvy a Smlouvy
uvedené ve čl. I. 1., nebo do úplné likvidace dle bodu 20 tohoto článku.
10. Zpracovatel za účelem plnění svých závazků s přihlédnutím ke stavu techniky, nákladům na
provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě
závažným rizikům pro práva a svobody fyzických osob, přijal a zavazuje se průběžně
zpracovávat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění
ochrany osobních údajů v souladu s Nařízením a související vnitrostátní legislativou
a v souladu s instrukcemi Správce. Zpracovatel zajišťuje kontrolu a odpovídá zejména za:
a) zpracování osobních údajů pouze k tomu oprávněnými osobami, které k osobním údajům mají
bezprostřední přístup vzhledem k účelu zpracování;
b) zabránění neoprávněným osobám přistupovat k osobním údajům a prostředkům pro jejich
zpracování;
3/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava
Městská nemocnice Ostrava,
příspěvková organizace
c) zabránění neoprávněného čtení, vytváření, kopírování, přenosu, úpravám, vymazání či
jakémukoliv jinému zpracování záznamů obsahujících zpřístupněné osobní údaje;
d) opatření, která umožní i zpětně určit a ověřit, komu byly zpřístupněné osobní údaje předány,
kým byly zpracovány, pozměněny nebo smazány.
11. Zpracovatel se zavazuje zajistit, že osoby, které budou zpracovávat osobní údaje na základě
smlouvy se Zpracovatelem, budou tyto údaje zpracovávat pouze za podmínek a v rozsahu
stanoveném Zpracovatelem, v souladu s Nařízením a touto smlouvou. Zpracovatel, jeho
zaměstnanci nebo spolupracující osoby budou zachovávat mlčenlivost o osobních údajích, a to
i po skončení zaměstnání nebo příslušných prací pro Zpracovatele. Zpracovatel je povinen
dodržovat všechny závazky, které přijal za účelem zachování mlčenlivosti o informacích, dle
smluv, které byly mezi Správcem a Zpracovatelem uzavřeny, nebo vyplývají s právních
předpisů k těmto informacím se vztahujícím.
12. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady
pro zajištění bezproblémové a efektivní realizace této Smlouvy. V rámci součinnosti se
Zpracovatel zavazuje umožnit Správci provést kontrolu zavedených opatření v místě
zpracování údajů, a to kdykoliv si to Správce vyžádá a nejpozději do 5 pracovních dnů od
žádosti či termínu stanoveným Správcem. V případě podezření na nedodržení podmínek
stanovených touto smlouvou umožní takovou kontrolu ihned.
13. Zpracovatel se zavazuje neprodleně Správci písemně oznámit jakýkoliv incident, který by mohl
vést, nebo vedl k narušení integrity nebo zabezpečení zpřístupněných údajů. Zároveň s tím je
Zpracovatel povinen přijmout vhodná a efektivní opatření k odstranění závadného stavu,
k opětovnému zaručení bezpečnosti osobních údajů a minimalizaci škod. Zpracovatel je
povinen stejným způsobem hlásit také podezření na incident, a to bez ohledu na to, kde a kdy
k takovému incidentu může nebo mohlo dojít. Zpracovatel je povinen hlásit také porušení
povinností, vyplývajících z této smlouvy, včetně porušení takových povinností třetí stranou
a nezaviněné nemožnosti dodržet takovou povinnost.
14. Zpracovatel se zavazuje nezapojit do zpracování žádného dalšího zpracovatele bez předchozího
konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného
povolení Zpracovatel Správce informuje o veškerých zamýšlených změnách týkajících se přijetí
dalších zpracovatelů nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči
těmto změnám námitky.
15. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem nebo pro potřeby Správce provedl
určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy
nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na
ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi Správcem
a Zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných
technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení.
Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci
za plnění povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel, který je
účastníkem této smlouvy.
16. Zpracovatel se zavazuje v případě předání zpřístupňovaných osobních údajů do třetích zemí
dodržet veškeré legislativní požadavky, s využitím mechanismů předávání osobních údajů
v souladu s čl. 44 a násl. Nařízení. Tedy s poskytnutím dostatečných záruk, že technická
i organizační opatření budou realizována tak, aby zpracování zajistilo ochranu práv dotčených
4/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava
Městská nemocnice Ostrava,
příspěvková organizace
subjektů údajů, např. formou standardních smluvních doložek podle rozhodnutí Evropské
Komise 2010/87/EU nebo standardních ochranných doložek podle čl. 46 Nařízení.
17. Zpracovatel se zavazuje zajistit výkon práv subjektů údajů tak, jak vyplývají z Nařízení, tedy je
Správci nápomocen při splnění Správcovy povinnosti reagovat na žádosti o výkon práv
subjektů údajů. Jedná se zejména o umožnění legitimního přístupu k údajům subjektu, opravu
nesprávných údajů nebo jejich vymazání, v případě, že o to subjekt požádá, a je to v souladu
s platnou legislativou.
18. Zpracovatel a jeho případný zástupce je povinen vést záznamy o všech kategoriích činností
zpracování prováděných pro Správce minimálně v rozsahu a způsobem dle článku 30 Nařízení.
19. Doba zpracování osobních údajů je omezena na dobu trvání smlouvy. Zpracovatel se zavazuje
poté osobní údaje předat Správci nebo je prokazatelně zlikvidovat nejpozději ve lhůtě 30 dnů
po skončení doby zpracování.
20. Ve smyslu zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv,
uveřejňování těchto smluv a o registru smluv (dále jen „zákon o registru smluv“) se smluvní
strany dohodly na tom, že tato Smlouva uzavřená k doplnění Smlouvy uvedené v čl. I. 1. této
Smlouvy bude ve shodě s § 8. odst. 3. zákona o registru smluv uveřejněna v registru smluv,
které zajistí bez zbytečného odkladu po jejím uzavření Správce.
V.
Doba trvání a zánik smlouvy
1. Správce a Zpracovatel se dohodli, že tato smlouva se uzavírá na dobu určitou,
230568
a to až do ukončení plnění zpracovatele dle Smlouvy č. SM2023 , ledaže z konkrétních
okolností vyplyne, že vybrané závazky Zpracovatele z této smlouvy mají trvat i po ukončení
nebo zrušení Smlouvy.
2. Kterákoli Smluvní strana je rovněž oprávněná od smlouvy kdykoliv písemně odstoupit, pokud
druhá Smluvní strana závažným způsobem poruší jakékoliv závazky dané jí touto Smlouvou
nebo příslušnou legislativou. Správce je oprávněn od smlouvy odstoupit, pokud Zpracovatel
závažným způsobem porušuje povinnosti, dané mu touto Smlouvou nebo obecně závaznými
právními předpisy. Účinky odstoupení nastávají dnem doručení písemného odstoupení druhé
smluvní straně.
VI.
Odpovědnost za škodu
1. Zpracovatel je odpovědný za škodu způsobenou Správci, která vznikla na základě, v důsledku
nebo v souvislosti s porušením jakékoliv podmínky této smlouvy či jejích příloh, nebo
porušením zákonných ustanovení, které se vztahují na Správce či jeho spolupracující osoby.
2. Ze škody se nevylučuje ušlý zisk a škoda jmenovitě zahrnuje i veškeré náklady vynaložené na
případné soudní vymáhání úhrady škody.
5/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava
Městská nemocnice Ostrava,
příspěvková organizace
3. Zpracovatel se při případném porušení podmínek této smlouvy zavazuje se Správcem plně
spolupracovat ve snaze minimalizovat škodlivý následek takovým porušením způsobený nebo
hrozící.
VII.
Závěrečná ustanovení
1. Tato smlouva nabývá platnosti dnem uzavření potvrzeným podpisy oběma Smluvními
stranami. Účinnou se stane po jejím uveřejnění v registru smluv.
2. Neplatnost některého ustanovení této smlouvy nemá za následek neplatnost celé smlouvy.
V takovém případě jsou obě Smluvní strany povinny vynaložit veškeré potřebné úsilí
a součinnost k nahrazení ustanovení neplatného ustanovením právně bezvadným.
3. Tuto smlouvu lze měnit a doplňovat jen na základě písemných a číslovaných dodatků
podepsaných oprávněnými zástupci obou Smluvních stran.
4. Smlouva je sepsána ve 2 vyhotoveních s platností originálu, z nichž každá Smluvní strana
obdrží po jednom jejím vyhotovení.
5. Tato smlouva a vztahy z ní vyplývající se řídí Nařízením, související národní legislativou
a zákonem č. 89/2012 Sb., občanským zákoníkem, ve znění pozdějších předpisů.
6. Smluvní strany níže svým podpisem stvrzují, že si smlouvu před jejím podpisem přečetly,
s jejím obsahem souhlasí, a tato je sepsána podle jejich pravé a skutečné vůle, srozumitelně
a určitě, nikoliv v tísni a za nápadně nevýhodných podmínek.
Za Správce Za Zpracovatele
V Ostravě dne dle elektronického podpisu V Brně dne dle elektronického podpisu
6/6
Nemocniční 898/20A
728 80 Ostrava – Moravská Ostrava