Dodatek podle Obecného nařízení o ochraně osobních údajů
Dodatek podle Obecného nařízení o ochraně osobních údajů
Tento dodatek (dále jen „Dodatek”) platí pro smlouvy mezi společností
Xxxxxxx-Xxxxxx, a.s.
Se sídlem: K Rybníku 475, 252 42 Jesenice u Prahy Zastoupená: Ing. Xxxxxx Xxxxxxxx, generálním ředitelem IČ: 49240200
DIČ: CZ49240200
Bankovní spojení: XXX
Zapsaná: v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl B, vložka 1976
(dále jen „FLAS”) a
Thomayerova nemocnice
Se sídlem: Xxxxxxxx 000, 000 00 Xxxxx 0 - Xxx
Zastoupená: MUDr. Xxxxxx Xxxxxx, náměstkem pro léčebnou péči IČ: 00064190
DIČ: CZ00064190
Bankovní spojení: XXX
Zapsaná: v obchodním rejstříku u Městského soudu v Praze, oddíl Pr, vl. 1043 státní příspěvková organizace zřízená Ministerstvem zdravotnictví ČR
(dále jen „Dodavatel”).
S ohledem na ustanovení o zpracování osobních údajů pro společnost FLAS bude tento Dodatek v případě konfliktu nadřazen veškerým protikladným ustanovením smlouvy, jíž je součástí.
ÚVODNÍ USTANOVENÍ:
(A) Dodavatel a společnost FLAS spolu uzavřeli dne 23.1.2018 Smlouvu o poskytování služeb v rámci programu individuální péče /Ev.č. smlouvy Dodavatele 18090002/ (dále jen „Smlouva”), podle níž se Dodavatel zavázal poskytovat společnosti FLAS jisté služby (dále jen „Služby”), v jejichž rámci může být potřeba, aby Dodavatel zpracoval jisté Osobní údaje, které společnost FLAS spravuje, jako jejich zpracovatel, či je správcem těchto osobních údajů (dále jen „Osobní údaje FLAS”).
(B) Od 25. května 2018 se na zpracování Osobních údajů FLAS Dodavatelem bude vztahovat evropské Obecné nařízení o ochraně osobních údajů ((EU) 2016/679) („GDPR”). Strany proto podepisují tento Dodatek, aby splnily své povinnosti podle nařízení GDPR v souvislosti se zpracováním Osobních údajů FLAS Dodavatelem.
XXXXXXX-XXXXXX, a.s., K Xxxxxxx 000, 000 00 Xxxxxxxx x Xxxxx, Xxxxx Xxxxxxxx Tel.: x000 000 000 000, email: XX0-xxxx@xxxxxxx.xxx, xxx.xxxxxxx.xxx Bankovní spojení (Bankers): XXX
Obch. Rejstřík (Commercial Register): Praha (Prague), spis. Zn. (xxx.xx.) B 1976, DIČ (VAT nr.): CZ49240200 Registered Office: as above
1. Definice
1.1. Pro účely tohoto Dodatku platí následující definice pojmů:
„Subjekt osobních údajů“ znamená fyzickou či právnickou osobu, jejímž jménem společnost FLAS zpracovává její osobní údaje, či je jejich správce;
„Osobní údaje “FLAS” znamenají osobní údaje, které dodá společnost FLAS Dodavateli podle smlouvy, kterou s ním uzavřela, anebo které Xxxxxxxxx (nebo jeho subdodavatel zpracování dat) vytvoří, shromáždí, uloží, přenese nebo jinak zpracuje jménem Subjektu osobních údajů FLAS, včetně osobních údajů, které zpracovává společnost FLAS jménem svého zákazníka;
„Zákony o ochraně osobních údajů” znamenají veškeré platné zákony o ochraně osobních údajů a soukromí, včetně (bez omezení) evropské Směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (95/46/ES), jak je implementována v příslušném národním právu, Obecného nařízení o ochraně osobních údajů (2016/679), Směrnice o soukromí a elektronických komunikacích 2002/58/ES, jak je implementována v příslušném národním právu, a dalších platných mezinárodních, regionálních, federálních nebo národních zákonů o ochraně osobních údajů, nařízení, pokynů a jiných právních úprav;
Pojmy „správce”, „zpracovatel”, „subjekt zpracování osobních údajů”, „osobní údaje” a „zpracování” mají význam, jaký jim připisuje legislativa týkající se ochrany osobních údajů;
„Subdodavatel zpracování dat” znamená jakoukoliv osobu nebo společnost, která není stranou této Smlouvy, a kterou angažuje Dodavatel, aby za něj splnila některé nebo všechny podmínky stanovené touto Smlouvou.
2. Změna
2.1. S účinky od Data účinnosti se Strany dohodly na změně Smlouvy, jak je uvedeno v tomto Dodatku.
2.2. Tento Dodatek tvoří nedílnou součást této Smlouvy a řídí se stejným rozhodným právem.
2.3. Ustanovení Smlouvy, která nejsou výslovně změněna tímto Dodatkem, zůstávají nadále plně platná a účinná.
3. Datum účinnosti
3.1. Tento Dodatek nabývá účinnosti k dřívějšímu z těchto dat:
3.1.1. Datum jeho podpisu oběma Stranami Xxxxxxx; nebo
3.1.2. 25. května 2018, pokud Dodavatel budou po tomto datu pokračovat v poskytování Služeb.
4. Požadavky na zpracování
4.1. Pokud není v Příloze 1 uvedeno jinak, kategorie Osobních údajů FLAS, které bude Dodavatel zpracovávat, jsou stanoveny ve Smlouvě nebo v Pracovním příkaze nebo v Nákupní objednávce, či jiné listině vystavené na základě Smlouvy.
4.2. Dodavatel bere na vědomí, že společnost FLAS může sama zpracovávat Osobní údaje FLAS jménem Subjektu osobních údajů, který může být správcem nebo zpracovatelem těchto dat. Dodavatel se zavazuje poskytnout společnosti FLAS přiměřenou součinnost tak, aby společnost FLAS byla schopna plnit své závazky vůči těmto zákazníkům společnosti FLAS.
4.3. Dodavatel bude Osobní údaje FLAS zpracovávat pouze podle písemných pokynů, které mu udělí společnost FLAS, včetně přenosů dat, nebude-li rozhodné právo vyžadovat jinak. V takovém případě je Dodavatel povinen informovat společnost FLAS o veškerých zákonných požadavcích dříve, než začne Osobní údaje FLAS zpracovávat jinak než podle pokynů vydaných společností FLAS, pokud tentýž zákon nebude Dodavateli zakazovat tak učinit z významných důvodů ochrany veřejného zájmu;
4.4. Po ukončení nebo vypršení platnosti Xxxxxxx bude Dodavatel povinen ihned na žádost společnosti FLAS zničit nebo vrátit veškeré Osobní údaje FLAS, včetně jejich kopií (pokud nebude rozhodné právo požadovat jejich archivaci).
5. Zabezpečení
5.1. Dodavatel prohlašuje a zaručuje se, že ve vztahu k veškerým Osobním údajům FLAS bude neustále:
5.1.1. Uplatňovat vhodná technická a organizační opatření na ochranu Osobních údajů FLAS před neoprávněným nebo protizákonným zpracováním, náhodnou ztrátou, zničením, poškozením, zásahem nebo sdělováním, včetně opatření podle Přílohy 2;
5.1.2. Kromě obecných závazků důvěrnosti stanovených Smlouvou zajišťovat, aby jeho personál byl závazně povinen zachovat důvěrnost Osobních údajů FLAS; a
5.1.3. Neprodleně oznamovat společnosti FLAS písemně veškerá skutečná, domnělá nebo potenciální neoprávněná sdělení, ztráty, zničení, kompromitování, poškození, modifikování nebo odcizení Osobních údajů FLAS. Toto oznámení bude společnosti FLAS doručeno podle ustanovení Smlouvy o doručování písemností, pokud společnost FLAS neoznámí Dodavateli jinou kontaktní osobu nebo doručovací adresu pro oznámení podle tohoto článku.
6. Součinnost
6.1. Dodavatel bude společnosti FLAS poskytovat veškerou potřebnou součinnost, kterou bude společnost FLAS přiměřeně požadovat, aby jak společnost FLAS, tak její Subjekt
osobních údajů byli schopni plnit své povinnosti podle zákonů o ochraně osobních údajů, včetně součinnosti při zabezpečení dat, oznamování porušení jejich důvěrnosti, hodnocení dopadu ochrany dat, konzultací s úřady na ochranu osobních údajů, dotazů, oznámení nebo šetření těchto úřadů a uspokojování práv subjektů zpracování dat.
6.2. Dodavatel oznámí společnosti FLAS do dvou pracovních dnů od jejich obdržení veškerá sdělení, která Dodavatel obdrží od subjektů zpracování dat, jež se budou pokoušet uplatňovat svá práva ve vztahu k Osobním údajům FLAS.
6.3. Dodavatel zpřístupní společnosti FLAS veškeré informace přiměřeně potřebné jako důkaz dodržování povinností Dodavatele stanovených tímto Dodatkem, a umožní veškeré kontroly a bude spolupracovat při jejich provádění, včetně fyzických prohlídek pracovišť Dodavatele, podle požadavků společnosti FLAS.
7. Subdodavatelské zpracování
7.1. Dodavatel není oprávněn pověřit třetí stranu nebo svého subdodavatele zpracování Osobních údajů FLAS bez předchozího písemného souhlasu společnosti FLAS .
7.2. Společnost FLAS tímto souhlasí se jmenováním externích subdodavatelů zpracování Osobních údajů FLAS, pokud bude (i) informována o totožnosti aktuálně využívaných subdodavatelů zpracování dat a zavčas jí bude oznámena každá změna těchto subdodavatelů zpracování dat, ať už půjde o rozšíření jejich počtu nebo záměnu subdodavatele zpracování dat; (ii) mít příležitost proti takové změně namítat, kdy Dodavatel bude povinen vyvinout přiměřené úsilí pro vyřešení námitek společnosti FLAS a nabídnout alternativní řešení bez dalších nákladů pro společnost FLAS.
7.3. Pokud bude Dodavatel zpracovatelem Osobních údajů FLAS, bude povinen zavázat své subdodavatele zpracování dat závazky stejnými nebo ekvivalentními závazkům stanoveným v tomto Dodatku formou písemné dohody, kterou s nimi uzavře, a bude plně odpovědný vůči společnosti FLAS za veškerá nedodržení závazků ve vztahu k Osobním údajům FLAS svými subdodavateli zpracování dat.
8. Přenosy dat
8.1. Společnost FLAS tímto uděluje souhlas se zpracováním Osobních údajů FLAS mimo EHP v rozsahu, v jakém již podle Smlouvy probíhá k Datu účinnosti, za podmínky dodržení článku 8.2 a 8.3 Dodavatelem po celou dobu platnosti Smlouvy. Každé jiné zpracování Osobních údajů FLAS mimo EHP podléhá dalšímu písemnému souhlasu společnosti FLAS a je podmíněno dodržováním článku 8.2 a 8.3 Dodavatelem po celou dobu platnosti Smlouvy.
8.2. Pokud budou Osobní údaje FLAS zpracovávány mimo EHP, budou se podmínky přenosu těchto dat mimo EHP řídit:
8.2.1. Stávající dohodou o přenosu dat mezi Stranami, pokud takové zpracování podle Smlouvy již k Datu účinnosti probíhá; nebo
8.2.2. Pro nové způsoby zpracování Standardními smluvními podmínkami EU pro přenosy osobních údajů jejich zpracovatelům, které se tímto stávají nedílnou součástí tohoto Dodatku.
8.3. Pokud přenos Osobních údajů FLAS podle článku 8.2 z jakéhokoliv důvodu přestane být legální, je Dodavatel povinen buď:
8.3.1. Se souhlasem společnosti FLAS zavést alternativní legální způsob přenosu dat; nebo
8.3.2. Umožnit společnosti FLAS ukončení Smlouvy bez dalších nákladů nebo závazků pro společnost FLAS.
9. Odpovědnost
9.1. Nic v tomto článku nevylučuje ani neomezuje ani se nepokouší vyloučit nebo omezit odpovědnost obou stran za vše, za co nelze odpovědnost vyloučit nebo omezit podle platných zákonů.
9.2. Pokud Dodavatel poruší svou povinnost dle tohoto Dodatku a způsobí tak společnosti FLAS škodu nebo získá na základě takové skutečnosti majetkový prospěch, vznikne společnosti FLAS nárok na náhradu veškeré jí vzniklé škody a na zaplacení částky odpovídající majetkovému prospěchu získanému v souvislosti s touto skutečností. Případné související nároky dle Xxxxxxx přitom nejsou dotčeny.
9.3. Aby nebylo pochyb, pro tento Dodatek platí veškerá vyloučení a omezení odpovědnosti uvedená ve Smlouvě.
PODEPSÁNO jménem FLAS | Podpis:……………………… Jméno: Xxx. Xxxxx Xxxxxxx, generální ředitel Datum:21.6.2018 |
PODEPSÁNO jménem DODAVATELE | Podpis:……………………… Jméno: XXXx. Xxxx Xxxx, NLP Datum: 13.7.2018 |
PŘÍLOHA 1
Dodavatel bude zpracovávat následující typy a kategorie osobních údajů: osobní údaje a citlivé údaje (zdravotnická dokumentace).
Subjekty zpracování dat: zákazníci, kterým jsou poskytovány pracovně lékařské služby.
Kategorie dat: osobní údaje, zdravotnické údaje (zdravotní dokumentace) podle z. č. 372/2011 Sb. a z.č. 373/2011 Sb.
Účel zpracování dat: data jsou zpracovávána v souvislosti s poskytováním pracovnělékařských služeb podle Xxxxxxx o poskytování služeb v rámci programu individuální péče ze dne 23.1.2018.
Budou prováděny následující způsoby zpracování:
• Evidence zákazníků /subjektů zpracování osobních údajů/
• Zdravotní dokumentace zákazníků Dodavatel zpracovává údaje jako zpracovatel.
PŘÍLOHA 2
TECHNICKÁ A ORGANIZAČNÍ ZABEZPEČOVACÍ OPATŘENÍ
Dodavatel je zdravotnickým zařízením, které má v souladu s příslušnými právními předpisy zajištěna odpovídající specifická opatření pro zabezpečení zpracovávaných osobních údajů a citlivých (zdravotnických) údajů.
Příloha č. 2 - Technická a organizační opatření ochrany dat
Obsah
I. Rozsah aplikace
II. Kontrola vstupu
III. Řízení přístupu
IV. Kontrola přístupu
V. Kontrola přenosu
VI. Kontrola vstupu
VII. Smluvní kontrola
VIII. Kontrola dostupnosti
IX. Pravidlo oddělení
I.
Rozsah aplikace
1. Podle nařízení o ochraně osobních údajů (GDPR) je jakýkoli subjekt, který sám nebo jménem jiného shromažďuje, zpracovává nebo používá osobní údaje, povinen přijmout taková technické a organizační opatření, která jsou nezbytná k zajištění provádění zákonných pravidel ochrany údajů. V rámci přílohy č. 2 jsou stanoveny záruky, které byly zavedeny podle článku 28 GDPR.
II.
Kontrola vstupu
1. Řízení vstupu slouží k tomu, aby se neoprávněným osobám zabránilo získat přístup k technickému vybavení, kterým jsou zpracovávány nebo používány osobní údaje a do prostor, kde jsou tyto údaje zpracovávány nebo používány.
a) Vstupní kontrola v provozních prostorách Dodavatele
Vstup do budov společnosti Dodavatele je omezen vstupními kontrolami. Pro pracovníky Dodavatele se jedná především o elektronické klíče, které umožňují vstup do provozních prostor podle míry oprávnění k přístupu stanovené pro každý klíč. Práva přístupu jsou sladěna s pravomocemi přiznanými zaměstnancům jak časově (podle povoleného užití v určitých pracovních dnech a v určitých časech), tak i místně (podle konkrétních částí provozních prostor). Pro osoby mimo společnost Dodavatele je vstupní kontrola zajištěna centrální recepční halou nebo vrátnicí, která zaznamenává návštěvníky a vydává návštěvníkům průkazy návštěvníků platné po dobu jejich návštěv.
b) Řízení vstupu do počítačového centra Dodavatele
IT systémy společností Dodavatele jsou provozovány pro Dodavatele různými datovými centry. Datová centra jsou navržena jako uzavřené bezpečnostní prostory. Existuje jak stavební, tak technická kontrola vstupu. Datová centra jsou zabezpečena elektronicky a návštěvníci mají přístup pouze v doprovodu a nejsou ponecháni bez dozoru. Požadované vstupní karty jsou vydávány pouze po předchozím oznámení a za přísných podmínek. Jejich používání je zaznamenáváno. Datová centra jsou monitorována videem na místě samém, stejně tak jako klíčové vnitřní prostory budovy jsou průběžně kontrolovány bezpečnostní agenturou.
III.
Řízení přístupu
1. Řízení přístupu zahrnuje opatření, kterými je zabráněno použití systémů zpracování údajů neoprávněnými osobami (logická bezpečnost).
a) Kontrola vstupu do provozoven Dodavatele
Administrativní práce prováděné Dodavatelem nebo provozovatelem datových center provádějí pouze někteří zaměstnanci, kteří podepsali zvláštní dohodu o mlčenlivosti a byli prověřeni předtím, než zaměstnání získali. Dohoda o mlčenlivosti obsahuje závazek k utajení údajů. Tam, kde se administrativní práce provádí prostřednictvím externího přístupu, jsou tzv. připojení VPN šifrována pomocí nejnovějších technologií a vyžaduje se další autentizace. Identifikace pomocí uživatelských jmen a bezpečnostních hesel je povinná. Informační systém Dodavatele je také chráněn před vnějšími útoky technologií brány firewall.
b) Řízení přístupu u operátora datového centra
Aby bylo zajištěno, že systém Dodavatele je bezpečný, operátor datového centra nainstaloval další sofistikovanou bránu firewall v rámci síťové vrstvy a produktů regulujících přístup.
IV.
Kontrola přístupu
1. Kontrola přístupu zahrnuje opatření, aby se zajistilo, že osoby oprávněné k používání systému zpracování údajů mohou získat přístup pouze k údajům, ke kterým mají oprávnění k přístupu, a že osobní údaje nelze v průběhu zpracování nebo používání číst, kopírovat, měnit nebo smazat bez povolení poté, co jsou uloženy.
a) Kontrola přístupu v provozních prostorách Dodavatele
Xxxxxxxxx definoval a zdokumentoval vnitřní standardy pro správu oprávnění. Ty upravují práva, která mají administrátoři nad systémem pro klienty. Tato pravidla stanovují například požadavky týkající se bezpečných hesel.
b) Řízení přístupu u operátora datového centra
Pokud je provozovatel datového centra smluvně pověřen Dodavatelem převzít vkládání uživatelů a oprávnění na aplikační vrstvě, bude v zásadě vázán stejnými bezpečnostními standardy, jaké platí pro samotné provozní prostory Dodavatele. Odchylky jsou přípustné pouze v případě, že je Dodavatel písemně umožní. Definice pokynů o tom, jak mají být operátorem datového centra navrženy koncepty autorizací specifické pro aplikaci, je určena Dodavatelem.
V.
Kontrola přenosu
1. Kontrola přenosu zahrnuje opatření, která zajišťují, že osobní údaje nemohou být čteny, kopírovány, měněny nebo vymazány bez povolení během elektronického přenosu, při přepravě nebo při uložení na nosičích dat a že je možné ověřit a zjistit, kde mají být osobní údaje předávány prostředky datové komunikace.
a) Kontrola přenosu v provozních prostorách Dodavatele
Pokud jde o obecné zpracování údajů Dodavatelem (údaje o zaměstnancích, údaje dodavatele, údaje o zákaznících), řízení přenosu (kontrola přenosu, kontrola přepravy, kontrola komunikace), vše je zajištěno pomocí vhodných technických postupů (opatření). Mezi ně patří firewall, ochrana proti virům, VPN tunel, šifrování dat (zejména prostřednictvím protokolu https / SSL nebo VPN tunelu) a ochrana heslem pro jednotlivé dokumenty. Jedinými paměťovými médii používanými pro elektronický přenos důvěrných dat jsou ty, které umožňují šifrování dat.
b) Kontrola přenosu u operátora datového centra
Provozovatel datového centra je vázán stejnými povinnostmi týkajícími se řízení přenosu jako Dodavatel. U provozně nezbytných kopií (zálohování), zejména v souvislosti s bezpečností základních dat, se používají pouze standardizované a zdokumentované postupy. Vytvoření všech záloh je zaznamenáno.
VI.
Kontrola vstupu
1. Řízení vstupu zahrnuje opatření, aby se zajistilo, že je možné následně ověřit a zjistit, zda a kým byly osobní údaje v systémech zpracování údajů zadány, změněny nebo odstraněny.
2. Zadávání dat mohou provádět pouze pracovníci, kteří mají přístup k datům (blíže ustanovení o řízení přístupu v kapitole III).
3. Jsou také automaticky vytvářeny záznamy o „určitých procesních krocích“ na systémech. Zaznamenávání „určitých procesních kroků“ se týká procesů, které slouží k zajištění kontinuity provozu, které slouží účetním účelům a splnění zákonných požadavků na uchovávání dat.
VII.
Smluvní kontrola
1. Smluvní kontrola zahrnuje opatření, která zajišťují, že osobní údaje zpracovávané na základě smlouvy mohou být zpracovány pouze podle pokynů klienta.
2. Tam, kde Xxxxxxxxx zpracovává osobní údaje na základě smlouvy, se vždy uzavírá písemná dohoda o zpracování údajů se zákonným obsahem požadovaným podle GDPR. Smluvní závazky zajišťují, že Xxxxxxxxx zpracovává pouze údaje o klientech podle jejich pokynů, že je zajištěna důvěrnost údajů a zejména, že při neexistenci výslovných odlišných pokynů klienta nejsou údaje klienta začleněny do obecné databáze společnosti Dodavatele.
VIII.
Kontrola dostupnosti
1. Kontrola dostupnosti zahrnuje opatření, která zaručují, že osobní údaje budou chráněny před náhodnou ztrátou nebo zničením.
2. Základem kontroly dostupnosti je outsourcing provozu IT vybavení do dobře chráněného datového centra operátora datového centra.
3. Dostupnost dat, zejména ochrana před ztrátou dat způsobenou technickou nefunkčností nebo náhodným smazáním, je rovněž zajištěna prostřednictvím pravidelných záloh dat a zálohování všech příslušných databází a systémů, takže v případě poruchy je možné je obnovit nejméně jednou měsíčně.
IX.
Pravidlo oddělení
1. Pravidla oddělení zahrnují opatření, která zajišťují, že data shromážděná pro různé účely mohou být zpracovávána samostatně.
a) Pravidlo oddělení v provozních prostorách Dodavatele
Pokud jde o obecné zpracování údajů Dodavatelem (data personálu, dodavatelská data, údaje o zákaznících), pravidlo oddělení se provádí například fyzickým oddělením a ukládáním v samostatných systémech nebo na samostatných nosičích dat, oddělení výrobních, testovacích a vývojových prostředí pro naše aplikace a systémy IT, vhodné koncepty autorizace a také databázová práva.
Co se týče komerčního zpracování údajů Dodavatelem, zejména získávání a poskytování dat klientů v oboru informačních obchodů Dodavatelem, je separace při ochraně dat zásadně dosaženo na základě žádosti. Všechny dodané datové balíčky jsou zpracovány zcela odděleně, takže je vyloučena možnost překrývání dat klienta. Byla zde přijata příslušná opatření (hardware a software).
b) Pravidlo oddělení operátora datového centra
Provozovatel datového centra odděluje všechna data fyzicky i logicky na úrovni klienta. Pokud je vrstva Dodavatele převedena na externího operátora datového centra, obvykle existují další samostatná rozhraní založená na systému nebo databázi.
PŘÍLOHA 3
SUBDODAVATELÉ ZPRACOVÁNÍ DAT
Dodavatel nemá subdodavatele na zpracování dat.