DOHODA O ÚPRAVĚ PRÁV A POVINNOSTÍ SPOLEČNÝCH SPRÁVCŮ OSOBNÍCH ÚDAJŮ
DOHODA O ÚPRAVĚ PRÁV A POVINNOSTÍ SPOLEČNÝCH SPRÁVCŮ OSOBNÍCH ÚDAJŮ
uzavřená níže uvedeného dne, měsíce a roku v souladu s ustanovením § 1724 ve spojení
s ustanovením § 1746 odst. 2 a násl. zákona č. 89/2012 Sb., občanský zákoník (dále v textu jen
„OZ“) mezi níže uvedenými smluvními stranami (dále v textu „Dohoda“):
Obsah smlouvy
Ochrana důvěrných informací, povinnost mlčenlivosti 5
Smluvní strany:
Nemocnice Třebíč, příspěvková organizace
se sídlem: Purkyňovo nám. 133/2, 674 01 Třebíč IČ: 00839396
DIČ: CZ00839396
právní forma: příspěvková organizace
organizace zapsaná v obchodním rejstříku vedeném u Krajského soudu v Brně, Pr 1441
zastoupená: Ing. Xxxx Xxxxxxxxx, ředitelem
(dále jen „NT“)
2) MDT-Medical Data Transfer s.r.o.
se sídlem: Xxxxxxxxx 0000/00, Xxxxxxx Xxxx, 000 00 Xxxx IČ: 28376684
DIČ: 28376684
právní forma: společnost s ručením omezeným
společnost zapsaná v obchodním rejstříku vedeném u Krajského soudu v Brně, oddíl C, vložka 92912
zastoupená: Mgr. Veronikou Bulkovou, jednatelkou
(dále xxx „MDT“)
NT a MDT mohou být dále označovány společně jen jako „Smluvní strany“, příp. kterákoli samostatně též jako „Smluvní strana“ (dále v textu jen „Smluvní strany“ nebo „Smluvní strana“)
VZHLEDEM K TOMU, ŽE:
(A) Smluvní strany uzavřely Rámcovou smlouvu o výpůjčce přístrojů a datových službách pro záznamníky ambulantní EKG holterovské monitorace BI 9800TL+ a poskytování diagnostických služeb pro pacienty objednavatele (dále jen „Rámcová smlouva“).
(B) Obě Smluvní strany jsou poskytovateli zdravotních služeb, kteří spolu spolupracují při poskytování zdravotních služeb. V souvislosti s realizací předmětu a účelu výše uvedené Rámcové smlouvy dochází k předávání (zpřístupňování) osobních údajů mezi Smluvními stranami a k jejich zpracování ve smyslu Nařízení EU č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen
„Nařízení GDPR“), přičemž obě Smluvní strany zpracovávají stejné údaje nebo používají údaje druhé Smluvní strany pro svoje vlastní účely, což z nich činí společné správce osobních údajů ve smyslu čl. 26 GDPR. Obě smluvní strany jsou ze zákona vázány povinnou mlčenlivostí.
(C) Smluvní strany považují za vhodné a nezbytné smluvním ujednáním vymezit podíly na odpovědnosti jednotlivých správců za plnění povinností vyplývajících z Nařízení GDPR.
Smluvní strany uzavírají v režimu Nařízení GDPR a ve spojení se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „zákon o zpracování osobních údajů“) tuto dohodu o úpravě práv a povinností společných správců osobních údajů, přičemž
BYLO DOHODNUTO NÁSLEDUJÍCÍ:
Čl. I.
Úvodní ustanovení
1.1. MDT prohlašuje, že je obchodní společností řádně založenou a zapsanou podle českého právního řádu v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, číslo vložky 92912, která je dle Národního registru poskytovatelů zdravotních služeb (dále též jen „NRZPS“) poskytovatelem zdravotních služeb ve smyslu zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách) v oboru kardiologie a ve smyslu Nařízení GDPR v postavení správce osobních údajů.
1.2. NT prohlašuje, že je příspěvkovou organizací řádně založenou a zapsanou podle českého právního řádu v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl Pr, číslo vložky 1441, která se zabývá poskytováním komplexních zdravotních služeb a zdravotní péče. NT je ve smyslu Nařízení GDPR v postavení správce osobních údajů.
1.3. Smluvní strany vystupují v roli společných správců. Právním titulem pro zpracování osobních údajů NT i MDT je plnění právní povinnosti, kterým je v případě osobních údajů pacientů vedení zdravotnické dokumentace a záznamů o poskytnutých zdravotních službách a předání informací k zajištění návaznosti dalších zdravotních služeb.
1.4. Není-li stanoveno jinak, mají pojmy s počátečním velkým písmenem uvedené v této Dohodě svůj v této Dohodě definovaný význam.
Čl. II.
Předmět a účel Dohody
2.1. Předmětem této Dohody je úprava vzájemného vztahu Smluvních stran při zpracování osobních údajů pacientů, ke kterému dochází v souvislosti s realizací předmětu a účelu Rámcové smlouvy při poskytování zdravotních služeb, vymezení odpovědnosti Smluvních stran za plnění povinností vyplývajících z Nařízení GDPR při zpracování osobních údajů pacientů, jakož i úprava vzájemných práv a povinností s tím souvisejících.
2.2. Účelem této Dohody je transparentní stanovení pravidel a podmínek zajištění požadované úrovně ochrany a zabezpečení předávaných a zpracovávaných osobních údajů, a vymezení podílu jednotlivých Smluvních stran, jakožto společných správců osobních údajů, na odpovědnosti za plnění povinností dle Nařízení GDPR.
Čl. III.
Nakládání s osobními údaji
3.1. Pacienti NT, u nichž byl indikován monitoring srdeční činnosti, obdrží v kardiologické ambulanci NT záznamník EKG BI 9800TL+, do něhož se ukládají snímaná data. Po ukončení monitorace je záznamník pacientem předán zpět do kardiologické ambulance NT.
3.2. Personál kardiologické ambulance NT zadává do Webového portálu MDT prostřednictvím uživatelského účtu: identifikační údaje pacienta, indikaci vyšetření a nahrává naměřená data tamtéž.
3.3. Pracovník MDT následně po ukončení monitorace vyhodnotí EKG záznam pacienta a vytvoří závěrečnou zprávu, která je součástí zdravotnické dokumentace monitorovaného pacienta. Pracovník MDT vkládá závěrečnou zprávu do Webového portálu MDT.
3.4. Závěrečná zpráva bude pracovníkem NT vytištěna z rozhraní Webového portálu MDT, jehož provozovatelem je MDT. MDT přijme veškerá potřebná opatření k zabezpečení Webového portálu MDT před neoprávněným vniknutím, zneužitím, změnou nebo zničením osobních údajů, které se jeho prostřednictvím zpracovávají. Zdravotnickou dokumentaci a záznamy o poskytnutých zdravotních službách povede každá ze Smluvních stran v souladu s obecně závaznými právními předpisy na vlastní odpovědnost. Smluvní strany se zavazují přistupovat do Webového portálu MDT pouze prostřednictvím unikátního uživatelského jména a hesla. MDT se v této souvislosti zavazuje technicky zajistit unikátní přístup pro každého pracovníka NT i MDT podílejícího se na realizaci předmětu a účelu Rámcové smlouvy (tzn. aktivovat/deaktivovat pro každého pracovníka kardiologické ambulance NT, který se systémem pracuje, jakož i pro každého pracovníka MDT, který se systémem pracuje, individuální uživatelský účet).
3.5. NT vkládá do Webového portálu MDT identifikační údaje a plán monitorace, ale neodpovídá za samotné fungování portálu.
3.9. Smluvní strany se dohodly, že za plnění:
a) informační povinnosti ohledně zpracování osobních údajů ve smyslu čl. 13 a 14 Nařízení GDPR;
b) informační povinnosti ohledně podstatných ujednání obsažených v této Dohodě;
c) povinnosti řádně a včas ohlašovat případná porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů.
v plném rozsahu odpovídá MDT, která je povinna bez zbytečného odkladu zajistit potřebnou aktualizaci veřejně dostupných informací o zpracování a ochraně osobních údajů nacházejících se na webových stránkách MDT.
3.10. Smluvní strany se dohodly, že za plnění ostatních povinností ve smyslu Nařízení GDPR a zákona o zpracování osobních údajů ve vztahu k osobním údajům, které podléhají společnému zpracování, odpovídají společně a nerozdílně.
3.11. Smluvní strany jsou povinny zajišťovat náležité zabezpečení zpracovávaných osobních údajů a plnit vůči Úřadu pro ochranu osobních údajů povinnosti ohlašování případů porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR a vůči subjektům údajů povinnost oznamování případů porušení zabezpečení osobních údajů subjektům údajů ve smyslu čl. 34 Nařízení GDPR. V případě porušení zabezpečení osobních údajů zpracovávaných na základě této Dohody je Smluvní strana povinna bezodkladně, nejpozději však do dvaceti čtyř (24) hodin od okamžiku zjištění, ohlásit druhé Smluvní straně porušení zabezpečení osobních údajů včetně přibližného počtu dotčených subjektů údajů, dotčených záznamů a pravděpodobných důsledků. Ohlašovací povinnosti vůči Úřadu pro ochranu osobních údajů a oznamovací povinnosti vůči subjektům údajů plní ve vztahu ke zpracovávaným osobním údajům na základě této smlouvy MDT.
3.12. Smluvní strany se dohodly, že za plnění povinností ve smyslu této Dohody jim nenáleží žádná odměna ani náhrada nákladů.
3.13. Smluvní strany berou na vědomí, že každý subjekt údajů může vykonávat svá práva podle Nařízení GDPR a zákona o zpracování osobních údajů u každého ze správců i vůči každému z nich bez ohledu na podmínky ujednání uvedené v této Dohodě.
3.14. Každá ze Smluvních stran je povinna kdykoliv na výzvu druhé Smluvní strany poskytnout požadovanou součinnost a veškeré informace k doložení skutečnosti, že byly splněny povinnosti stanovené v této Smlouvě.
3.15. Smluvní strany berou na vědomí, že dojde-li při zpracování osobních údajů upraveném touto Dohodou, které podléhají společnému zpracování, k porušení povinností uložených Nařízením GDPR, odpovídají za ně dotčeným subjektům údajů dle míry porušení svých povinností. Případná odpovědnost kterékoliv ze Smluvních stran vůči Úřadu pro ochranu osobních údajů za správní delikty při zpracování osobních údajů se řídí příslušnými ustanoveními Nařízení GDPR.
3.16. V případě, že některá ze Smluvních stran poruší některou z povinností uvedených v této Dohodě či závazků ochrany osobních údajů dle této Dohody a příslušných právních předpisů, je povinna druhé Smluvní straně zaplatit vzniklou škodu, a to v plném rozsahu. Za škodu se přitom považují také veškeré sankční platby (pokuty) uložené příslušným orgánem dohledu.
3.17. Smluvní strany jsou povinny postupovat při zpracování osobních údajů tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektů údajů a na právu na zachování lidské důstojnosti.
3.19. Za účelem naplnění požadavku uvedeného v odst. 3.18. této Dohody Smluvní strany přijaly a zavazují se udržovat alespoň následující opatření: písemnosti a digitální záznamová média, která obsahují osobní údaje, musí být uložena výhradně v uzamykatelných prostorách Smluvní strany, to platí i pro kopie písemností obsahující osobní údaje; na pracovištích Smluvních stran je povinnost dodržovat pravidla bezpečnosti práce včetně požárních a poplachových pravidel tak, aby nedošlo ke zničení uložených písemností a digitálních záznamových médií v důsledku požáru, potopy nebo jiné havárie; přístup k osobním údajům zpřístupněným ze strany předávající Smluvní strany bude umožněn výlučně omezenému počtu pověřených osob přijímající Smluvní strany, které budou v
pracovněprávním či jiném obdobném smluvním poměru ke Smluvní straně, budou předem prokazatelně seznámeny s povahou, rozsahem a účelem zpracování osobních údajů a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů; osobní údaje uložené v pracovních počítačích zaměstnanců nebo osob v obdobném postavení ke Smluvní straně, musí být zabezpečeny před volným přístupem neoprávněných osob prostřednictvím povinné autentizace, přičemž platí zákaz sdělení nebo zpřístupnění autentizačních údajů pověřených osob Smluvní strany třetí osobě; osobní údaje budou pověřeným osobám Smluvní strany zpřístupněny pouze v rozsahu nezbytném pro realizaci předmětu a účelu této Dohody a potažmo Rámcové smlouvy; zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti zpracovávaných osobních údajů Smluvní stranou, zavedená opatření a jejich korektní fungování bude daná Smluvní strana pravidelně kontrolovat; schopnost Smluvní strany obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, a to zejména pravidelným zálohováním; bude zajištěn proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; Smluvní strany budou používat odpovídající antivirovou ochranu při zpracování osobních údajů v rámci informačního systému; šifrovaný přenos zpracovávaných osobních údajů v rámci užívaného inf. systému; a servery se zpracovávanými osobními údaji budou umístěny v uzamčené serverovně nebo zabezpečeném cloudovém úložišti.
3.20. Smluvní strany se zavazují vést dokumentaci o přijatých technických a organizačních opatřeních k zajištění ochrany osobních údajů dle požadavků Nařízení GDPR, přičemž zajišťují, kontrolují a odpovídají zejména za: plnění pokynů pověřenými osobami (tj. osobami, které mají bezprostřední přístup k osobním údajům); zabránění neoprávněným osobám přistupovat k osobním údajům; zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
3.21. Smluvní strany prohlašují, že výše uvedená ujednání o vymezení povinností a odpovědnosti zohledňují skutečnost, že MDT má větší faktický podíl na provozu webové platformy, za které proto ve smyslu této Dohody v plném rozsahu odpovídá sama.
Čl. IV.
Ochrana důvěrných informací, povinnost mlčenlivosti
4.1. Smluvní strany jsou si vědomy toho, že v rámci plnění závazků Rámcové smlouvy si poskytují informace, které jsou považovány za důvěrné (dále jen „Důvěrné informace“), osobní údaje, včetně citlivých údajů, případně jiné skutečnosti, které nesmí být zveřejňovány a jako takové musí být chráněny v souladu s příslušnými právními předpisy; a jejich pracovníci (zaměstnanci či osoby v obdobném postavení) získají přístup k Důvěrným informacím druhé Smluvní strany.
4.2. Smluvní strany si při realizaci účelu Rámcové smlouvy předávají osobní údaje fyzických osob - subjektů údajů (pacientů) následujících kategorií:
• jméno pacienta • příjmení pacienta • kontakt na pacienta | • ID monitorace • stav monitorace • počátek a konec monitorace • S/N přiřazeného přístroje | • počet odeslaných záznamů • počet zhodnocených záznamů • závěrečná zpráva ANO/NE • označení pacienta s klinicky významným nálezem |
4.3. Smluvní strany zpracovávají předané osobní údaje výlučně za účelem realizace předmětu a účelu Rámcové smlouvy a plnění zákonných povinností, v nezbytném rozsahu, a zavazují
se je nepoužít bez souhlasu druhé Smluvní strany pro jiné vlastní potřeby nebo jinak než za účelem plnění Rámcové smlouvy.
4.4. Nedohodnou-li se Smluvní strany výslovně písemnou formou jinak, považují se za Důvěrné informace osobní údaje (tj. například, ale nejenom, osobní údaje pacientů, zdravotnická dokumentace), informace o provozních metodách, procedurách a pracovních postupech, o pracovněprávních otázkách a všechny další informace, jejichž zveřejnění Přijímající smluvní stranou by druhé Smluvní straně mohlo způsobit škodu. Smluvní strany se zavazují zachovávat mlčenlivost také o bezpečnostních opatřeních (včetně hesel), jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
4.6. Veškeré Důvěrné informace zůstávají výhradním vlastnictvím předávající Smluvní strany a Přijímající smluvní strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní Důvěrné informace s výjimkou rozsahu, který je nezbytný pro plnění Rámcové smlouvy. Obě Smluvní strany se zavazují neduplikovat žádným způsobem Důvěrné informace druhé Smluvní strany, nepředat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni pro účely řádného plnění předmětu a účelu Smlouvy.
4.7. V případě jakýchkoliv změn nebo problémů souvisejících s Rámcovou smlouvou a touto Dohodou je Smluvní strana povinna o tom informovat druhou Smluvní stranu, a to bez zbytečného odkladu na e-mailový kontakt:
MDT: ANONYMIZOVÁNO NT: ANONYMIZOVÁNO.
Čl. V.
Závěrečná ustanovení
5.1. Tuto Dohodu lze měnit, doplňovat či zrušit pouze písemně, nikoliv však prostřednictvím elektronických zpráv bez kvalifikovaného elektronického podpisu ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (eIDAS), v případě změn formou písemných (vzestupně číslovaných) dodatků podepsaných ze strany NT i MDT jejich statutárními orgány, popř. jinými orgány či osobami prokazatelně oprávněnými jménem nebo za příslušnou Smluvní stranu takto právně jednat.
5.2. Tato Dohoda je vyhotovena v českém jazyce ve dvou (2) stejnopisech, z nichž každý má platnost originálu. Každá ze Smluvních stran obdrží jeden stejnopis Dohody.
5.3. Tato Xxxxxx a právní poměry z ní vzešlé a s ní související se řídí a budou vykládány v souladu s Nařízením GDPR a ustanoveními příslušných právních předpisů České republiky. V otázkách výslovně neupravených touto Dohodou se závazky Smluvních stran řídí zák.č. 89/2012 Sb., občanským zákoníkem, a příslušnými právními předpisy na ochranu osobních údajů, zejm. pak ustanoveními zákona o zpracování osobních údajů. Smluvní strany však vylučují aplikaci ust. § 1740 odst. 3, věta první, občanského zákoníku (tj. při jednání smluvních stran o uzavření této Dohody či nové smlouvy či jakýchkoli jejich
dodatků, doplnění a náhrad, není odpověď s dodatkem nebo odchylkou, byť by podstatně neměnily podmínky nabídky, přijetím nabídky).
5.4. Salvatorní klauzule: Pokud kterékoli ustanovení Dohody je nebo se stane neplatným, neúčinným nebo nevymahatelným, tato neplatnost, neúčinnost nebo nevymahatelnost nebude mít vliv na platnost, účinnost a vynutitelnost dalších ustanovení Dohody, lze-li toto ustanovení oddělit od této Smlouvy jako celku. Ukáže-li se některé ustanovení této Dohody zdánlivým (nicotným), posoudí se vliv této vady na ostatní ustanovení obdobně podle § 576 občanského zákoníku. Smluvní strany se zavazují, že podniknou veškerá opatření, aby učinily vše nezbytné k dosažení stejného výsledku, který byl zamýšlen takovým neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením. Smluvní strany se zavazují takové ustanovení bez zbytečného odkladu jiným ustanovením, které bude platné a které svým obsahem bude nejvíce odpovídat smyslu a účelu původního ustanovení této Dohody. Toto ustanovení se přiměřeně použije i při eventuálním doplnění chybějících částí Dohody.
5.5. V případě vzniku jakéhokoliv sporu vyplývajícího z uzavření, platnosti a provádění této Dohody jsou Smluvní strany povinny jednat o jeho vyřešení a snažit se jej urovnat cestou jednání a na základě dohody. Dožádaná Smluvní strana je povinna se zúčastnit jednání o vyřešení sporu do jednoho (1) týdne od požádání druhou Smluvní stranou. V případě, že se Smluvním stranám ani po vynaložení potřebného úsilí nepodaří vyřešit spor podle tohoto odstavce, bude rozhodnut věcně a místně příslušným soudem ČR.
5.6. Tato smlouva nabývá účinnosti dnem jejího zveřejnění v informačním systému veřejné správy – Registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů. Smluvní strany souhlasí se zveřejněním celého textu této smlouvy v registru smluv a dohodly se, že povinnost dle ustanovení § 5 odst. 2 zákona o registru smluv splní NT.
5.7. Tato Xxxxxx se uzavírá na dobu určitou, a to na dobu trvání Rámcové smlouvy. Vymezení odpovědnosti a stanovení dalších práv a povinností Smluvních stran podle této Dohody trvá po dobu spolupráce na základě Rámcové smlouvy s tím, že během trvání spolupráce na základě Rámcové smlouvy nelze tuto Dohodu vypovědět či jinak jednostranně ukončit, avšak ukončením spolupráce na základě Rámcové smlouvy bez dalšího zaniká i tato Xxxxxx. Ukončení účinnosti této Dohody se však nedotýká ustanovení, která mají ze své povahy nebo výslovného ujednání přetrvat i po ukončení její účinnosti (typicky povinnost zachování mlčenlivosti dle odst. 4.5. této Smlouvy). Ukončením této Dohody nezanikají povinnosti Smluvních stran týkající se bezpečnosti a ochrany osobních údajů až do okamžiku jejich protokolární úplné likvidace.
5.8. V případě, že Smluvní strany v důsledku změny legislativy, nebo ukončení jiných souvisejících smluv, přestanou realizovat účel této Dohody či ztratí oprávnění k plnění předmětu této Dohody či Rámcové smlouvy a přestanou tak být oprávněny ke společnému zpracování osobních údajů, je kterákoliv Smluvní strana oprávněna ukončit tuto Dohodu výpovědí bez výpovědní doby, a to ode dne doručení druhé Smluvní straně. Ohledně přetrvání účinnosti některých ustanovení této Dohody platí obdobně ujednání odst. 5.7. této Dohody.
5.9. Smluvní strany prohlašují, že si tuto Dohodu řádně přečetly, že dobře rozumí jejímu obsahu a že ten odpovídá jejich skutečné vůli. Smluvní strany dále prohlašují, že tuto Smlouvu neuzavřely v tísni, ani za nápadně nevýhodných podmínek, a na důkaz toho, že se jedná o projev jejich pravé, svobodné a vážné vůle, připojují své podpisy.
Nemocnice Třebíč, příspěvková organizace: V Třebíči dne 14. 01. 2020 | MDT-Medical Data Transfer s.r.o.: V Brně dne 7. 1. 2020 |
............................................. Xxx. Xxx Xxxxxxxx ředitelka | ............................................. Xxx. Xxxxxxxx Xxxxxxx, Ph.D. MHA jednatelka |