Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Příloha č. 3 Smlouvy o zajištění provozu úložiště výsledků laboratorních vyšetření a o související servisní a technické podpoře a
údržbě - Vzor smlouvy o zpracování osobních údajů uzavírané mezi Poskytovatelem a příslušnou laboratoří
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(dále jen „Smlouva“ nebo „Zpracovatelská smlouva“)
uzavřená v souladu s článkem 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“):
______________________________
se sídlem: _____________________
IČO: _____________________
DIČ: CZ_____________________
Zapsaná: v OR vedeném _____________________ , sp.zn. _____________________
Zastoupená: _____________________
(dále jen „Správce“ nebo „Poskytovatel“)
a
______________________________
se sídlem: _____________________
IČO: _____________________
DIČ: CZ_____________________
Zapsaná: v OR vedeném _____________________ , sp.zn. _____________________
Zastoupená: _____________________
(dále jen „Zpracovatel“ nebo „IT firma“)
(Správce a Zpracovatel dále společně jen „Smluvní strany“ a každý samostatně jen „Smluvní
strana“)
PREAMBULE
VZHLEDEM K TOMU, ŽE:
A. se Poskytovatel zapojil do projektu Oborové zdravotní pojišťovny zaměstnanců bank,
pojišťoven a stavebnictví (dále jen „OZP“) a Zaměstnanecké pojišťovny Škoda (dále
jen „ZPŠ“), jehož cílem je poskytnout pojištěncům OZP a ZPŠ přístup k laboratorním
výsledkům prostřednictvím tzv. VITAKARTY a tzv. Karty mého srdce,
B. IT firma byla na základě společné veřejné zakázky OZP a ZPŠ vybrána pro zajištění
přenosu dat do tzv. „VITAKARTY“ a tzv. Karty mého srdce
dohodly se Smluvní strany na uzavření této Smlouvy.
I.
Definice
1. Pokud není v této Smlouvě výslovně stanoveno jinak, mají termíny použité v této Smlouvě
stejný význam, jak jsou definovány v článku 4 Nařízení, zejména:
„osobní údaje“ jsou veškeré informace o identifikované nebo identifikovatelné
fyzické osobě, zejména odkazem na určitý identifikátor, například
jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo
na jeden či více zvláštních prvků fyzické, fyziologické, genetické,
psychické, ekonomické, kulturní nebo společenské identity této
fyzické osoby;
„citlivé údaje“ jsou osobní údaje vypovídající o národnostním, rasovém nebo
etnickém původu, politických postojích, členství v odborových
organizacích, náboženství a filosofickém přesvědčení, odsouzení
za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů
a genetický údaj subjektu údajů, dále biometrický údaj, který
umožňuje přímou identifikaci nebo autentizaci subjektu údajů;
„porušení je porušení zabezpečení, které vede k náhodnému nebo
zabezpečení protiprávnímu zničení, ztrátě, změně nebo neoprávněnému
osobních údajů“ poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak
zpracovávaných osobních údajů;
„subjekt údajů“ je identifikovaná nebo identifikovatelná fyzická osoba, kterou lze
přímo či nepřímo identifikovat;
„zpracování“ je jakákoliv operace nebo soubor operací s osobními údaji nebo
soubory osobních údajů, které jsou prováděny pomocí či bez
pomoci automatizovaných postupů.
II.
Předmět a účel Smlouvy
1. Správce touto Smlouvou pověřuje Zpracovatele zpracováním osobních údajů
poskytnutých Správcem Zpracovateli za účelem stanoveným v Příloze č. 1 této Smlouvy.
2. Předmětem Smlouvy je stanovení podmínek zpracování osobních údajů v souladu s
článkem 28 Nařízení tak, aby zpracování splňovalo požadavky Nařízení. Smlouva se
vztahuje na veškeré osobní údaje, které jsou poskytnuty Správcem Zpracovateli a na
osobní údaje, které Zpracovatel pro Správce zpracovává.
3. Zpracovatel se zavazuje při zpracování osobních údajů dodržovat povinnosti stanovené
touto Smlouvou a Nařízením.
4. Zpracovatelská smlouva a/nebo Příloha č. 1 a Příloha č. 2 této Smlouvy, specifikuje
předmět, dobu, povahu a účel zpracování, typ a rozsah osobních údajů, které budou
zpracovávány, kategorie subjektů údajů, práva a povinnosti Správce a Zpracovatele, a
rovněž podmínky a záruky Smluvních stran z hlediska technického a organizačního
zabezpečení ochrany osobních údajů.
III.
Doba trvání zpracování
1. Doba trvání zpracování je sjednána na období určené v Příloze č. 1 této Smlouvy.
IV.
Práva a povinnosti Správce
1. Správce prohlašuje, že s osobními údaji předávanými Zpracovateli prokazatelně
disponuje v souladu s právními předpisy a pokud tak vyplývá z těchto předpisů, má rovněž
prokazatelný souhlas subjektů údajů se zpracováním osobních údajů, jakož i souhlas s
předáním osobních údajů Zpracovateli za účelem stanoveným v Příloze č. 1 této Smlouvy.
2
2. Odvolá-li subjekt údajů po dobu trvání této Smlouvy souhlas se zpracováním jeho
osobních údajů, Správce bez zbytečného odkladu informuje Zpracovatele, který
neprodleně přestane osobní údaje daného subjektu údajů zpracovávat a provede jejich
trvalý výmaz (ledaže zvláštní právní předpis stanoví Zpracovateli povinnost dotčené
osobní údaje po určitou dobu uchovávat).
V.
Práva a povinnosti Zpracovatele
1. Zpracovatel bude zpracovávat osobní údaje za podmínek této Smlouvy a pouze za účely
stanovenými v Příloze č. 1 této Smlouvy anebo za jiným účelem, který Správce předem
písemně schválí.
2. Zpracovatel zachová mlčenlivost o osobních údajích a o bezpečnostních opatřeních
přijatých k zabezpečení ochrany osobních údajů, a to i po ukončení Smlouvy. Zpracovatel
zajistí, aby se jeho zaměstnanci a případné další osoby, které se podílejí na zpracování
osobních údajů, zavázali k povinnosti mlčenlivosti po celou dobu trvání této Smlouvy,
jakož i po jejím ukončení, a aby byli poučeni o možných následcích v případě porušení
této povinnosti.
3. Zpracovatel bude při zpracovávání osobních údajů postupovat zejména v souladu s touto
Smlouvou a doloženými pokyny Správce. Zpracovatel vede evidenci těchto pokynů
Správce. Zpracovatel je povinen zajistit bezpečnost a ochranu všech zpracovávaných
osobních údajů předaných mu Správcem, a to v souladu s touto Smlouvou a právními
předpisy, a to bez ohledu na jejich formu. Je-li pokyn Správce v rozporu s právními
předpisy (zejména s Nařízením), je Zpracovatel oprávněn odmítnout splnění takového
pokynu a neodpovídá Správci za případně vzniklou újmu.
4. Zpracovatel není oprávněn osobní údaje zveřejňovat, šířit, či předávat dalším osobám, s
výjimkou osob poskytujících subdodavatelské služby Zpracovateli na základě
předchozího písemného souhlasu Správce uděleného zvlášť pro každého konkrétního
subdodavatele. Zpracovatel v takovém případě odpovídá za plnění této Smlouvy jako by
zpracování prováděl sám. Po obdržení souhlasu od Správce Zpracovatel uzavře s každým
subdodavatelem podílejícím se na zpracování osobních údajů písemnou smlouvu o
zpracování osobních údajů, která zajistí poskytnutí záruk ochrany osobních údajů alespoň
jako tato Smlouva, zejména pokud jde o bezpečnostní, organizační a technická opatření
na ochranu osobních údajů.
5. Zpracovatel je povinen přijmout veškerá technická a organizační opatření ve smyslu čl.
32 Nařízení, aby nemohlo dojít k protiprávnímu nebo náhodnému zničení, ztrátě,
pozměňování, k neoprávněnému zpřístupnění předávaných, uložených nebo jinak
zpracovávaných osobních údajů, nebo neoprávněnému přístupu k nim, a to s přihlédnutím
ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům
zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody
fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření,
aby zajistili úroveň zabezpečení odpovídající danému riziku, včetně, pokud je to vhodné,
pseudonymizace, šifrování, apod. Tato povinnost platí i po ukončení zpracování osobních
údajů. Zpracovatel při zpracování osobních údajů implementuje proces pravidelného
testování, posuzování a hodnocení účinnosti zavedených technických a organizačních
opatření pro zajištění bezpečnosti zpracování osobních údajů. Zpracovatel bez
zbytečného odkladu informuje Správce o přijatých bezpečnostních opatřeních, a to na
vyžádání Správce. Smluvní strany se zavazují poskytnout si navzájem potřebnou
součinnost, aby byly zajištěny dostatečné záruky ohledně zavedení vhodných technických
3
a organizačních opatření a aby zpracování splňovalo požadavky právních předpisů
(zejména Nařízení).
6. Zpracovatel vede o přijatých a provedených technických a organizačních opatřeních k
zajištění ochrany osobních údajů záznamy v souladu s právními předpisy (zejména s
Nařízením).
7. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího
konkrétního písemného povolení Správce.
8. Pokud Zpracovatel zapojí na základě souhlasu Správce dalšího zpracovatele, aby
jménem Správce provedl určité činnosti zpracování, uloží tomuto dalšímu zpracovateli na
základě smlouvy alespoň stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny
v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení
vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky
Nařízení. Zpracovatel bere na vědomí, že neplní-li další zpracovatel povinnosti vyplývající
z takové smlouvy, odpovídá Správci za plnění povinností dotčeného dalšího zpracovatele
i nadále plně Zpracovatel.
9. Zpracovatel je povinen zajistit a odpovídá za:
(a) informování osob, které pro Zpracovatele zpracovávají osobní údaje, o pokynech
Správce;
(b) plnění pokynů Správce ohledně zpracování osobních údajů osobami, které mají
bezprostřední přístup k osobním údajům;
(c) zabránění přístupu neoprávněných osob k osobním údajům a k prostředkům pro
jejich zpracování;
(d) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či
vymazání záznamů obsahují osobní údaje;
(e) přijetí opatření, která umožní určit a ověřit, komu byly osobní údaje případně dále
předány;
(f) schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě
porušení zabezpečení a/nebo integrity osobních údajů; a
(g) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených
technickoorganizačních opatření pro zajištění bezpečnosti zpracování.
10. V oblasti automatizovaného zpracování osobních údajů je Zpracovatel povinen také:
(a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly
pouze oprávněné osoby;
(b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná
zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím
oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění
zřízených výlučně pro tyto osoby;
(c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého
důvodu byly osobní údaje zaznamenány nebo jinak zpracovány; a
4
(d) zabránit neoprávněnému přístupu k datovým nosičům obsahujícím osobní údaje a
k listinné podobě osobních údajů.
11. Zpracovatel poskytne bez zbytečného odkladu součinnost Správci:
(a) při plnění povinnosti Správce reagovat na žádost o výkon práv subjektů údajů
(právo na přístup k osobním údajům, právo na přenositelnost osobních údajů,
právo na opravu a výmaz osobních údajů, právo na omezení zpracování osobních
údajů, právo vznést námitku proti zpracování osobních údajů);
(b) při zavádění a udržování vhodných technických a organizačních opatření k
zabezpečení osobních údajů;
(c) při zajišťování souladu s povinnostmi podle obecně závazných předpisů
(ohlašování/oznamování porušení zabezpečení osobních údajů, případně
posouzení vlivu na ochranu osobních údajů či předchozí konzultace s dozorovým
úřadem).
12. Zpracovatel umožní Správci, příp. auditorovi pověřenému Správcem, provádění inspekcí
a auditů zpracování osobních údajů za účelem kontroly plnění povinností k zabezpečení
ochrany osobních údajů, které vyplývají Zpracovateli z této Smlouvy (dále jen „Audit“).
Zpracovatel poskytne Správci při provádění Auditu veškerou nezbytnou součinnost,
zejména předloží Správci záznamy o přijatých a provedených technických a
organizačních opatřeních k zajištění ochrany osobních údajů. Správce oznámí
Zpracovateli provedení Auditu nejméně 5 (pět) pracovních dnů před jeho zahájením.
Správce bude při Auditu postupovat tak, aby nadměrně nezasahoval do práv Zpracovatele
či provozu jeho podnikatelské činnosti. Správce je oprávněn provést Audit též
prostřednictvím třetí osoby.
13. Zpracovatel zajistí výkon funkce pověřence pro ochranu osobních údajů, vyplývá-li pro
něho tato povinnost z právních předpisů (zejména z Nařízení).
14. Pokud Zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného
odkladu, nejpozději však během následujících dvaceti čtyř (24) hodin, Správci na e-
mailovou adresu .................................., a zároveň provede všechny kroky, které lze od
Zpracovatele rozumně požadovat, aby byla možnost opakování porušení zabezpečení
osobních údajů eliminována nebo minimalizována a aby byly odvráceny nepříznivé
následky pro Správce. Porušením zabezpečení osobních údajů se rozumí porušení
zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo
neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak
zpracovávaných osobních údajů. Ohlášení obsahuje:
(a) popis povahy daného případu porušení zabezpečení osobních údajů, a to včetně
(pokud je to možné) kategorií a přibližného počtu dotčených subjektů údajů a
kategorií a přibližného množství dotčených záznamů osobních údajů;
(b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného
kontaktního místa, které může poskytnout bližší informace;
(c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
(d) popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané
porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění
možných nepříznivých dopadů.
5
15. Zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro
Správce a dokumentuje tak důležité skutečnosti, které se ke zpracování osobních údajů
vztahují. Záznamy o zpracování musí být Zpracovatelem vedeny tak, aby byl Správce
schopen doložit soulad s právními předpisy a dozorový orgán byl schopen soulad
zpracování dle záznamů přezkoumat. Záznamy obsahují:
(a) jméno a kontaktní údaje Zpracovatele a Správce, případného zástupce Správce
nebo Zpracovatele a pověřence pro ochranu osobních údajů;
(b) kategorie zpracování prováděného pro Správce;
(c) informace o předání osobních údajů do třetí země nebo mezinárodní organizace
včetně jejich identifikace; a
(d) další informace, jsou-li vyžadovány obecně závaznými předpisy.
16. Zpracovatel spolupracuje s dozorovým úřadem při plnění jeho úkolů, zejména zpřístupní
záznamy o činnostech zpracování při výkonu kontroly. Zpracovatel o každé žádosti
dozorového úřadu o spolupráci informuje bez zbytečného odkladu Správce.
17. V případě, že Zpracovatel poskytuje jakékoliv osobní údaje Správci, zajistí, že jsou
poskytované osobní údaje získané v souladu s právními předpisy (zejména s Nařízením)
a dále zajistí poskytnutí těchto osobních údajů Správci a udělí Správci oprávnění ke
zpracování těchto osobních údajů k účelům stanoveným v této Smlouvě, včetně předání
osobních údajů do třetích zemí.
VI.
Způsoby ukončení Smlouvy
1. Tato smlouva může být ze strany každé ze Smluvních stran ukončena pouze společně s
řádným ukončením příslušného smluvního vztahu uzavřeného mezi OZP/ZPŠ (vybrat
podle toho, v čí prospěch budou vkládána data do Úložiště) a příslušnou Smluvní stranou,
na jehož základě dané Smluvní straně vznikl právní důvod k uzavření této Smlouvy (každý
smluvní vztah dle předchozí věty zvlášť pak dále také jen „Smluvní vztah s OZP“). Dnem
zániku některého Smluvního vztahu s OZP/ZPŠ (vybrat podle toho, v čí prospěch budou
vkládána data do Úložiště) dochází i k zániku této Smlouvy a ta ze Smluvních stran, jejíž
Smluvní vztah s OZP/ZPŠ (vybrat podle toho, v čí prospěch budou vkládána data do
Úložiště) zanikl, je proto o takové skutečnosti povinna neprodleně informovat druhou
Smluvní stranu.
2. V případě ukončení této Smlouvy, případně na pokyn Správce, je Zpracovatel povinen
osobní údaje předat Správci a trvale vymazat všechny existující kopie. Zpracovatel tuto
povinnost vymazat všechny existující kopie osobních údajů nemá, pokud je jejich uložení
vyžadováno příslušnými právními předpisy. Zpracovatel není povinen vymazat osobní
údaje rovněž v případě, že je oprávněn osobní údaje zpracovávat z jiného důvodu; o této
skutečnosti však informuje Správce bez zbytečného odkladu po zániku závazku z této
Smlouvy.
VII.
Sankce a odpovědnost za škodu
1. Zpracovatel je odpovědný za újmu způsobenou porušením této Smlouvy a/nebo
povinností stanovených pro Zpracovatele na základě obecných právních předpisů
(zejména Nařízení).
6
2. Zpracovatel se zavazuje nahradit Správci, případně třetím osobám, škodu, která vznikne
v důsledku porušení této Smlouvy ze strany Zpracovatele, a to včetně škody způsobené
uložením pokuty Úřadem pro ochranu osobních údajů Správci nebo jiným inspekčním
orgánem, kontrolním orgánem nebo soudem v důsledku porušení povinností
Zpracovatele. Povinnosti a odpovědnost dle tohoto odstavce dopadají na Zpracovatele i
v případě, že škodu způsobil jeho zaměstnanec nebo jeho smluvní partner či s ním
spolupracující osoby.
3. Zpracovatel je povinen zachovávat mlčenlivost o všech skutečnostech týkajících se této
Smlouvy a Správce, pokud z jejich povahy vyplývá, že se jedná o záležitosti důvěrného
charakteru a/nebo obchodní tajemství Správce a/nebo jejichž zpřístupnění třetí straně by
mohlo zasáhnout do práv a oprávněných zájmů Správce.
4. V případě každého podstatného porušení této Smlouvy Zpracovatelem je Správce
oprávněn požadovat smluvní pokutu ve výši 500.000,-Kč a náhradu prokazatelné výše
škody, přičemž zaplacením smluvní pokuty není dotčen nárok na náhradu škody. Za
podstatné porušení této Smlouvy se považuje porušení povinností Zpracovatele.
VIII.
Závěrečná ustanovení
1. Tato Smlouva nabývá platnosti a účinnosti dnem jejího podpisu Smluvními stranami.
2. Tato Smlouva se řídí českým právním řádem, zejména Nařízením a zákonem č. 89/2012
Sb., občanský zákoník, ve znění pozdějších předpisů.
3. Jakékoliv dodatky k této Smlouvě musí být uzavřeny v písemné formě.
4. Přílohy této Smlouvy jsou její nedílnou součástí.
5. Bude-li jedno nebo více ustanovení této Smlouvy neplatné, neúčinné, zdánlivé nebo
nevymahatelné, nebude to mít za následek neplatnost, neúčinnost, zdánlivost ani
nevymahatelnost celé této Smlouvy. V takovém případě Smluvní strany nahradí takovéto
neplatné, neúčinné, zdánlivé nebo nevymahatelné ustanovení ustanovením, které bude
nejlépe odpovídat smyslu takového neplatného, neúčinného, zdánlivého a/nebo
nevymahatelného ustanovení.
6. Žádná ze Smluvních stran není oprávněna postoupit práva a povinnosti z této Smlouvy
na třetí strany bez předchozího písemného souhlasu druhé Smluvní strany.
7. Tato Smlouva je vyhotovena ve dvou (2) stejnopisech, z nichž každý má platnost originálu.
Po uzavření této Smlouvy obdrží každá ze Smluvních stran po jednom (1) vyhotovení
Smlouvy.
V _________________dne ______ V _________________dne ______
Správce: Zpracovatel:
(Označení firmy správce) (Označení firmy zpracovatele)
(Jméno, příjmení pozice) (Jméno, příjmení pozice)
7
Příloha č. 1: Popis zpracovávaných osobních údajů
1. Kategorie zpracovávaných osobních údajů
- jméno, příjmení, titul, datum narození, rodné číslo, a citlivé (zvláštní) údaje – výsledky
laboratorních vyšetření klientů Správce
2. Povaha a účel/y zpracování osobních údajů
Zpracování za účelem výkonu práv a povinností ze Smluvních vztahů s OZP/ZPŠ (vybrat
podle toho, v čí prospěch budou vkládána data do Úložiště)
na jejichž základě Správce poskytuje tyto služby – předání výsledků laboratorních
vyšetření Zpracovateli, který následně zajišťuje jejich dodání do VITAKARTY OZP/Karty
mého srdce (vybrat podle toho, v čí prospěch budou vkládána data do Úložiště).
3. Kategorie subjektů údajů
- klienti Správce, kteří jsou pojištěnci OZP/ZPŠ (vybrat podle toho, v čí prospěch
budou vkládána data do Úložiště)
4. Doba trvání zpracování osobních údajů
Po dobu trvání Smluvních vztahů s OZP/ZPŠ (vybrat podle toho, v čí prospěch budou
vkládána data do Úložiště) a do doby ukončení byť jediného z nich.
5. Osoby, které mají přístup k osobním údajům
- zaměstnanci Zpracovatele
- pověření subdodavatelé Zpracovatele
6. Kontaktní informace pověřence Správce a Zpracovatele pro ochranu osobních
údajů nebo jiné odpovědné osoby
Správce: __________________________
Zpracovatel: __________________________
8
Příloha č. 2: Technická a organizační opatření provedená Zpracovatelem
a. Opatření k zabránění přístupu neoprávněných osob k osobním údajům a k prostředkům
pro jejich zpracování:
- Zpracovatel přistupuje k osobním údajům pouze prostřednictvím DASTA /složka (cíl
sftp),
- přístup Zpracovatele k osobním údajům v aplikacích a adresářích DASTA /složka (cíl
sftp) probíhá na základě jedinečných uživatelských účtů zřízených Zpracovatelem,
tyto přístupy jsou logovány dle technických možností Zpracovatele,
- osobní údaje uložené u Zpracovatele jsou přístupná pouze pracovníkům
Zpracovatele, kteří jsou součástí projektového týmu, přístup je zabezpečen heslem
v souladu s bezpečnostní politikou Zpracovatele.
b. Opatření k zabránění přístupu neoprávněných osob k používání systémů pro zpracování
osobních údajů:
- přístup Zpracovatele k osobním údajům v aplikacích a adresářích DASTA /složka (cíl
sftp)probíhá na základě jedinečných uživatelských účtů zřízených Zpracovatelem,
tyto přístupy jsou logovány dle technických možností Zpracovatele,
- osobní údaje uložené u Zpracovatele jsou přístupná pouze pracovníkům
Zpracovatele, kteří jsou součástí projektového týmu, přístup je zabezpečen heslem
v souladu s bezpečnostní politikou Zpracovatele.
c. Opatření k zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či
vymazání záznamů obsahujících osobní údaje:
- osobní údaje Správce jsou uloženy na cloudovém úložišti, které je Zpracovatelem
denně zálohováno, přístupy k osobním údajům jsou řízeny.
d. Opatření k zajištění, aby osobní údaje byly zpracovávány pouze na základě doložených
pokynů od Správce:
- osobní údaje jsou zpracovávány výhradně na základě schválení o ověření identity
klienta Správce prostřednictvím tzv. VITAKARTY/tzv. Karty mého srdce (vybrat podle
toho, v čí prospěch budou vkládána data do Úložiště)
- přístup Zpracovatele k osobním údajům v aplikacích a adresářích DASTA /složka (cíl
sftp) probíhá na základě jedinečných uživatelských účtů zřízených Zpracovatelem,
tyto přístupy jsou logovány dle technických možností Zpracovatele.
e. Opatření, která umožní určit a ověřit, komu byly osobní údaje předány:
- přístup Zpracovatele k osobním údajům v aplikacích a adresářích DASTA /složka (cíl
sftp) probíhá na základě jedinečných uživatelských účtů zřízených Zpracovatelem,
tyto přístupy jsou logovány dle technických možností Zpracovatele.
9
f. Opatření k zabránění neoprávněného přístupu k datovým nosičům a listinné podobě
osobních údajů:
- Zpracovatel neuchovává osobní údaje na datových nosičích, osobní údaje nejsou
uloženy ani na přenosných zařízeních,
- osobní údaje v listinné podobě nejsou Zpracovatelem uchovávány.
g. Opatření k zajištění osobních údajů před jejich náhodným zničením nebo ztrátou:
- osobní údaje Správce jsou uloženy na sdíleném úložišti, které je Zpracovatelem
denně zálohováno.
h. Opatření k zajištění, aby osobní údaje shromažďované různými odděleními byly
zpracovávány odděleně:
- osobní údaje nejsou zpracovávány různými odděleními.
i. Opatření k zajištění šifrování a pseudonymizace osobních údajů:
- notebooky a flashdisky používané Zpracovatelem jsou šifrovány.
- pro šifrování osobních údajů bude dohodnut konkrétní způsob šifrování mezi
OZP/ZPŠ (vybrat podle toho, v čí prospěch budou vkládána data do Úložiště) a
Správcem
10