SMLOUVA O POSKYTOVÁNÍ SLUŽEB V OBLASTI NUKLEÁRNÍ MEDICÍNY NUCLEAR MEDICINE SERVICES AGREEMENT
POSKYTOVATEL SLUŽEB
V Praze dne
____________________________________ Nemocnice Na Homolce XXXx. Xxxx Xxxxxxxx, MBA, ředitel
|
PPD Investigator Services LLC.
_________________________________ Jméno, datum, podpis / Name, Date, Signature |
Příloha 1
|
Schedule 1
|
GSK |
GSK
|
Protokol č. 221530 |
Protocol # 221530
|
XXX |
XXX |
XXX |
|
XXX |
XXX |
XXX |
|
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
XXX |
PŘÍLOHA 2
|
SCHEDULE 2
|
PODMÍNKY SPOLEČNOSTI GSK PRO BOJ S KORUPCÍ A ÚPLATKÁŘSTVÍM
|
GSK ANTI-BRIBERY AND ANTI-CORRUPTION TERMS
|
1. Poskytovatel služeb souhlasí s tím, že bude vždy plně dodržovat všechny platné zákony a předpisy, mimo jiné včetně protikorupčních předpisů, a že v souvislosti s plněním této smlouvy v minulosti neučinil nic z následujícího, a zavazuje se, že v budoucnu nebude, přímo ani nepřímo, činit, slibovat, autorizovat, ratifikovat ani nabízet, že provede nebo učiní jakékoli kroky k provedení jakékoli platby nebo převodu čehokoli hodnotného za účelem ovlivnění, vyvolání nebo odměny jakéhokoli činu, opomenutí nebo rozhodnutí k zajištění nepřiměřené výhody, nebo nevhodně pomáhat sobě nebo společnosti GSK při získání nebo udržení obchodu nebo jakýmkoli způsobem s cílem nebo účinkem veřejného nebo obchodního úplatku, a zaručuje, že přijal přiměřená opatření za účelem zabránění subdodavatelům, zástupcům nebo jiným třetím stranám, které podléhají jeho kontrole nebo vlivu při rozhodování, aby tak učinili. Za účelem vyhnutí se jakýmkoli pochybnostem, toto zahrnuje odměny za urychlené vyřízení, což jsou neoficiální, nevhodné, drobné platby nebo dary nabízené nebo poskytnuté vládním úředníkům za účelem zajištění nebo urychlení rutinního nebo nezbytného úkonu, na který máme zákonný nárok. |
1. Vendor agrees that it shall comply fully at all times with all applicable laws and regulations, including but not limited to anti-corruption laws, and that it has not, and covenants that it will not, in connection with the performance of this Agreement, directly or indirectly, make, promise, authorise, ratify or offer to make, or take any act in furtherance of any payment or transfer of anything of value for the purpose of influencing, inducing or rewarding any act, omission or decision to secure an improper advantage; or improperly assisting it or GSK in obtaining or retaining business, or in any way with the purpose or effect of public or commercial bribery, and warrants that it has taken reasonable measures to prevent subcontractors, agents or any other third parties, subject to its control or determining influence, from doing so. For the avoidance of doubt this includes facilitating payments, which are unofficial, improper, small payments or gifts offered or made to Government Officials to secure or expedite a routine or necessary action to which we are legally entitled. |
2. Poskytovatel služeb nebude kontaktovat ani se jinak vědomě nesetká s žádným vládním úředníkem za účelem projednávání aktivit vyplývajících z této smlouvy nebo v souvislosti s ní bez předchozího souhlasu společnosti GSK, a požádá-li o to společnost GSK, pouze za přítomnosti zástupce určeného společností GSK. Pro účely této smlouvy se výrazem „vládní úředník“ (kdy výraz „vládní“ označuje všechny úrovně a členění vlád, tj. místní, regionální, národní, správní, zákonodárnou, výkonnou nebo soudní moc a královskou či vládnoucí rodinu) rozumí: a) kterýkoli úředník nebo zaměstnanec vlády nebo jakéhokoli ministerstva, úřadu nebo zařízení vlády (což zahrnuje veřejné podniky a subjekty vlastněné nebo ovládané státem), b) kterýkoli úředník nebo zaměstnanec veřejné mezinárodní organizace, jako je Světová banka nebo Organizace spojených národů, c) kterýkoli úředník nebo zaměstnanec politické strany nebo kterýkoli kandidát na veřejnou funkci, d) kterákoli osoba definovaná jako vládní nebo veřejný úředník podle platných místních předpisů (včetně předpisů o boji proti úplatkářství a korupci) a která není zahrnuta v některém z výše uvedených bodů, a/nebo e) kterákoli osoba jednající v úřední funkci jménem kterékoli z výše uvedených osob. Výraz „vládní úředník“ zahrnuje jakoukoli osobu s blízkými rodinnými příslušníky, kteří jsou vládními úředníky (jak jsou definováni výše), kteří jsou skutečně způsobilí ovlivňovat nebo přijímat oficiální rozhodnutí ovlivňující činnost společnosti GSK nebo kteří jsou tak vnímáni. |
2. Vendor shall not contact, or otherwise knowingly meet with any Government Official for the purpose of discussing activities arising out of or in connection with this Agreement, without the prior approval of GSK and, when requested by GSK, only in the presence of a GSK designated representative. For the purpose of this Agreement “Government Official" (where ‘government’ means all levels and subdivisions of governments, i.e. local, regional, national, administrative, legislative, executive, or judicial, and royal or ruling families) means: (a) any officer or employee of a government or any department, agency or instrumentality of a government (which includes public enterprises, and entities owned or controlled by the state); (b) any officer or employee of a public international organisation such as the World Bank or United Nations; (c) any officer or employee of a political party, or any candidate for public office; (d) any person defined as a government or public official under applicable local laws (including anti-bribery and corruption laws) and not already covered by any of the above; and/or; (e) any person acting in an official capacity for or on behalf of any of the above. “Government Official” shall include any person with close family members who are Government Officials (as defined above) with the capacity, actual or perceived, to influence or take official decisions affecting GSK business. |
3. Poskytovatel služeb musí písemně informovat společnost GSK, bude-li v průběhu této smlouvy odsouzen za trestný čin týkající se podvodu nebo korupce nebo se k němu dozná, nebo se stane předmětem jakéhokoli vládního vyšetřování těchto trestných činů, nebo bude-li uveden na seznamu kteréhokoli vládního úřadu jako subjekt, kterému byla zakázána nebo pozastavena činnost nebo ohledně kterého bylo zakázání nebo pozastavení činnosti navrženo, nebo se stane jinak nezpůsobilý pro účast ve vládních programech. |
3. Vendor shall inform GSK in writing, if, during the course of this Agreement, it is convicted of or pleads guilty to a criminal offense involving fraud or corruption, or becomes the subject of any government investigation for such offenses, or is listed by any government agency as debarred, suspended, proposed for suspension or debarment, or otherwise ineligible for government programs. |
4. Poskytovatel služeb prohlašuje a zaručuje, že s výjimkou případů, kdy je toto společnosti GSK písemně sděleno před začátkem této smlouvy: a) žádný z jeho významných akcionářů (> 25% podíl) nebo členů vrcholového managementu nemá vliv na činnost společnosti GSK, b) žádní významní akcionáři (> 25% podíl), členové týmu vrcholového managementu, členové představenstva nebo klíčoví jednotlivci, kteří budou odpovědní za poskytování zboží/služeb, nejsou v současnosti ani nebyli v posledních dvou letech vládními úředníky se skutečným nebo domnělým vlivem, který by mohl ovlivnit činnost společnosti GSK, c) si není vědom žádných bezprostředních příbuzných (např. manžel/manželka, rodiče, děti nebo sourozenci) uvedených v předchozím bodě b), kteří by zastávali veřejnou nebo soukromou roli, která zahrnuje přijímání rozhodnutí, která by mohla ovlivnit činnost společnosti GSK nebo poskytování služeb nebo produktů společnosti GSK nebo jejím jménem, d) nemá zájem, který by byl přímo nebo nepřímo v rozporu s jeho řádným a etickým plněním této smlouvy, a e) při plnění této smlouvy bude udržovat nezávislé vztahy se všemi třetími stranami, se kterými jedná pro společnost GSK nebo jejím jménem. Poskytovatel služeb při nejbližší možné příležitosti vyrozumí společnost GSK písemně o jakémkoli střetu zájmů, jak je popsán v tomto pododdílu, ke kterému dojde během plnění této smlouvy. |
4. Vendor represents and warrants that except as disclosed to GSK in writing prior to the commencement of this Agreement: (a) none of their significant shareholders (>25% shareholding) or senior management have influence over GSK’s business; (b) no significant shareholders (>25% shareholding), members of senior management team, members of the Board of Directors, or key individuals who will be responsible for the provision of goods / services are currently or have been in the past two years, a Government Official with actual or perceived influence which could affect GSK business; (c) it is not aware of any immediate relatives (e.g. spouse, parents, children or siblings) of the persons listed in the previous clause (b) having a public or private role which involves making decisions which could affect GSK business or providing services or products to, or on behalf of GSK; (d) it does not have any interest which directly or indirectly conflicts with its proper and ethical performance of this Agreement; and, (e) it shall maintain arm’s length relations with all third parties with which it deals for or on behalf of GSK in performance of this Agreement. Vendor shall inform GSK in writing at the earliest possible opportunity of any conflict of interest as described in this subsection that arises during the performance of this Agreement. |
5. Společnost GSK má během doby platnosti této smlouvy právo provádět audit činností poskytovatele služeb podle této smlouvy za účelem monitorování dodržování jejích podmínek. |
5. GSK shall have the right during the term of this Agreement to conduct an audit of Vendor’s activities under this Agreement to monitor compliance with the terms of this Agreement. |
6. Poskytovatel služeb musí plně spolupracovat při takovém auditu, jehož rozsah, metoda, povaha a doba trvání závisí na výhradním uvážení společnosti GSK. |
6. Vendor shall cooperate fully with such audit, the scope, method, nature and duration of which shall be at the sole reasonable discretion of GSK. |
7. Poskytovatel služeb musí zajistit, aby měl všechny významné aspekty všech transakcí podle této smlouvy řádně a přesně zaznamenány ve svém účetnictví a záznamech a aby každý dokument, na kterém jsou účetnictví a záznamy založeny, byl ve všech materiálních ohledech úplný a přesný. Poskytovatel služeb musí vést systém interních účetních kontrol přiměřeně vytvořený tak, aby se zajistilo, že žádné účty nejsou vedeny mimo účetní záznamy. |
7. Vendor shall ensure that all transactions under the Agreement are properly and accurately recorded in all material respects on its books and records and each document upon which entries such books and records are based is complete and accurate in all material respects. Vendor must maintain a system of internal accounting controls reasonably designed to ensure that it maintains no off-the-books accounts. |
8. Poskytovatel služeb souhlasí s tím, že v případě, že se společnost GSK bude domnívat, že došlo k možnému porušení podmínek tohoto oddílu, může společnost GSK kdykoli a z jakéhokoli důvodu zpřístupnit takové přesvědčení a související informace kterémukoli příslušnému vládnímu orgánu a jeho úřadům a komukoli, o kom se společnost GSK v dobré víře domnívá, že má legitimní potřebu toto vědět. |
8. Vendor agrees that in the event that GSK believes that there has been a possible violation of the terms of this Section, GSK may make full disclosure of such belief and related information at any time and for any reason to any competent government bodies and its agencies, and to whomsoever GSK determines in good faith has a legitimate need to know. |
9. Společnost GSK je oprávněna smlouvu okamžitě ukončit písemným oznámením poskytovateli služeb, pokud poskytovatel nebude plnit své povinnosti v souladu s tímto oddílem. Poskytovatel služeb nemá vůči společnosti GSK nárok na náhradu žádné ztráty jakékoli povahy v důsledku ukončení této smlouvy v souladu s tímto oddílem. |
9. GSK shall be entitled to terminate the Agreement immediately on written notice to Vendor, if Vendor fails to perform its obligations in accordance with this Section. Vendor shall have no claim against GSK for compensation for any loss of whatever nature by virtue of the termination of this Agreement in accordance with this Section. |
Příloha 3 PŘÍLOHA O OCHRANĚ OSOBNÍCH ÚDAJŮ |
Schedule 3 DATA PRIVACY SCHEDULE |
PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ – OMEZENÉ OSOBNÍ ÚDAJE 1.1 Tato příloha o ochraně osobních údajů tvoří součást smlouvy o poskytování služeb v oblasti nukleární medicíny (dále jen „smlouva“) mezi společností CRO jednající jménem společnosti GSK a poskytovatelem služeb při provádění klinického hodnocení podle protokolu č. 221530 společnosti GSK. V případě jakéhokoli rozporu mezi podmínkami této přílohy a podmínkami smlouvy bude mít v otázkách ochrany osobních údajů přednost tato příloha. Pojmy, které se v anglické verzi této přílohy uvádějí s velkým písmenem a které v ní nejsou definovány, mají takový význam, jímž se vykládají v jiných částech smlouvy. Pojmy, které se v anglické verzi této přílohy uvádějí s velkým písmenem a které v ní definovány jsou, mají takový význam, jímž se vykládají v této příloze nebo podle zákonů o ochraně osobních údajů. Jakýmkoli odkazem na GSK se míní stejný smluvní subjekt GSK, jaký je definován ve smlouvě, jakož i všechny související přidružené společnosti jak je definováno v této příloze. 1.2 Definice Adekvátní zemí se rozumí jakákoli země, u níž mají vláda Spojeného království a/nebo Evropská komise za to, že v příslušných případech zajišťuje odpovídající míru ochrany podle článku 45(3) nařízení GDPR a GDPR Spojeného království.
„Přílohou“ se rozumí příloha prováděcího rozhodnutí Komise o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679.
Platným zákonem (platnými zákony) se rozumí všechny zákony, regulační požadavky, stanovy nebo vyhlášky vztahující se na podnikání smluvní strany nebo plnění jejích povinností podle této smlouvy, včetně SKP. Související přidruženou společností se rozumí každá společnost přidružená ke společnosti GSK, která má v postavení třetí strany prospěch ze služeb souvisejících s klinickým hodnocením (GSK na vyžádání poskytne jejich seznam poskytovateli služeb). Klinickou výzkumnou organizací neboli CRO se rozumí poskytovatel služeb společnosti GSK, kterým je společnost PPD Global Ltd., který jménem společnost GSK provádí zpracování osobních údajů v klinickém hodnocení tak, že jedná v postavení zpracovatele za společnost GSK.
Vzorovými doložkami upravujícími vztah správce – správce se rozumí (i) příloha společně s PRVNÍM MODULEM: Předávání správcem správci (k dispozici na xxxxx://xxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxx-xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxx_xx), která je začleněná do této přílohy formou odkazu na její text ve znění pozdějších aktualizací, změn, nahrazení nebo zneplatnění ze strany Evropské komise.
Zákony o ochraně osobních údajů se rozumí obecné nařízení o ochraně osobních údajů (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů a veškeré platné zákony a/nebo předpisy, které implementují a/nebo uplatňují odchylky podle něj a/nebo jej nahrazují nebo zneplatňují (dále jen GDPR), britské nařízení GDPR, které upravuje britský zákon o ochraně osobních údajů z roku 2018, a veškeré ostatní zákony týkající se zpracování osobních údajů, které vstoupí v platnost.
Správná klinická praxe neboli SKP znamená stávající postupy vyžadované v rozsahu platném v zemi, ve které se klinické hodnocení provádí, jedním nebo více z následujících dokumentů: (1) zásadami harmonizované třístranné směrnice ICH pro správnou klinickou praxi (CPMP/ICH/135/95) E6 a E11; (2) nařízením Evropského parlamentu a Rady (EU) č. 536/2014 ze dne 16. dubna 2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES a veškerých místních zákonů, pravidel a předpisů, které takové nařízení implementují; (3) ustanoveními hlavy 21 Kodexu federálních předpisů (mimo jiné včetně částí 11, 50, 54, 56, 312, 314, 320, 601 a 610) a všemi pravidly, předpisy, nařízeními a pokyny zveřejněnými na jejich základě; a/nebo (4) jakýmikoli dalšími právními a etickými požadavky a profesními standardy.
Hlavním zkoušejícím se rozumí osoba (osoby) odpovědná (odpovědné) za provádění klinického hodnocení u poskytovatele a za přímý dohled nad týmem klinického hodnocení. Osobními informacemi neboli osobními údaji se rozumí jakékoli osobní údaje týkající se ztotožněné nebo ztotožnitelné osoby, jak ji definují platné zákony o ochraně osobních údajů.
Vzorovými doložkami upravujícími vztah zpracovatel – správce se rozumí (i) příloha společně s ČTVRTÝM MODULEM: Předání od zpracovatele správci (k dispozici na xxxxx://xx.xxxxxx.xx/xxxx/xxxxxx/xxxxx/0_xx_xxxxxx_xxxx_xxxxxxxx_xx_xxxx0_x0_0.xxx), která je začleněná do této přílohy formou odkazu na její text ve znění pozdějších aktualizací, změn, nahrazení nebo zneplatnění ze strany Evropské komise.
Osobní údaje v klinickém hodnocení znamenají jakékoli osobní údaje pacientů v klinickém hodnocení zpracovávané pro účely klinického hodnocení: které poskytovatel služeb shromažďuje nebo vytváří jménem společnosti GSK na základě této smlouvy nebo v souvislosti s ní a/nebo které poskytovatel služeb shromažďuje nebo vytváří a poskytuje společnosti GSK na základě této smlouvy nebo v souvislosti s ní, včetně případů, kdy jsou osobní údaje z klinického hodnocení sdíleny se společností GSK prostřednictvím jím jmenované CRO.
Týmem klinického hodnocení se rozumí jednotlivci poskytující služby související s klinickým hodnocením poskytované poskytovatelem a poskytovatelem služeb jménem poskytovatele/poskytovatele služeb, mimo jiné včetně spoluzkoušejících, koordinátorů klinického hodnocení a dalších zaměstnanců, zástupců poskytovatele a/nebo společností GSK schválených subdodavatelů poskytovatele.
Subjektem (subjekty) v klinickém hodnocení se rozumí každý jednotlivec, který v souladu s platnými zákony před zahájením jakéhokoli postupu souvisejícího s klinickým hodnocením odevzdal formulář informovaného souhlasu a byl zařazen do klinického hodnocení. Dodatkem platným ve Spojeném království se rozumí dodatek o mezinárodním předávání údajů ke standardním smluvním doložkám Komise EU, který byl přijat dozorovým orgánem ve Spojeném království (dále jen „ICO“), vstoupil v platnost dne 21. března 2022 a je do této přílohy začleněn formou odkazu na jeho text ve znění pozdějších aktualizací, změn, nahrazení nebo zneplatnění ze strany ICO.
Pojmy správce, posouzení vlivu na ochranu osobních údajů, subjekt údajů, porušení zabezpečení osobních údajů, zpracovatel, zpracování, poskytovatel služeb a dozorový orgán mají takový význam, jímž se vykládají podle příslušných zákonů o ochraně osobních údajů.
1.3 Všeobecné podmínky a) pro účely této smlouvy CRO jménem společnosti GSK a poskytovatel služeb souhlasí s tím, že ve vztahu k osobním údajům z klinického hodnocení zpracovávaným podle této smlouvy: (i) bude společnost GSK považován za správce; (ii) poskytovatel služeb bude považován za zpracovatele. b) Popis zpracování:
TRVÁNÍ, POVAHA A ÚČEL ZPRACOVÁNÍ
Trvání zpracování Nestanoví-li smlouva něco jiného, nebo pokud se smluvní strany písemně nedohodnou jinak, bude zpracování osobních údajů v klinickém hodnocení probíhat po dobu trvání smlouvy a po jakékoli další období stanovené platnými zákony. Povaha a účel zpracování GSK: Za účelem plnění povinností vyplývajících ze smlouvy; provádění výzkumu v souladu s protokolem klinického hodnocení (včetně jakýchkoli dodatků k protokolu klinického hodnocení); plnění povinností uložených platnými zákony (např. hlášení o bezpečnosti); řízení klinického hodnocení a monitorování správnosti jeho realizace; provádění dalšího vědeckého výzkumu; získání registrace. CRO/PPD: Za účelem řízení klinického hodnocení a monitorování jeho správné realizace jménem společnosti GSK. Poskytovatel služeb: Za účelem poskytování lékařské péče subjektům klinického hodnocení; plnění povinností uložených platnými zákony (např. kódování údajů subjektů klinického hodnocení a udržování srovnávací tabulky na centru); správa klinického hodnocení (např. komunikace se zadavatelem a/nebo poskytovateli služeb zadavatele).
OSOBNÍ ÚDAJE Jednotlivci mohou být: Zkoušející lékaři v klinickém hodnocení, tým klinického hodnocení, pacienti v klinickém hodnocení Kategorie osobních údajů v klinickém hodnocení mohou zahrnovat: U zkoušejících lékařů klinického hodnocení, týmu klinického hodnocení: Osobní kontaktní údaje (např. adresa, e-mail a telefonní číslo a/nebo údaje v dokladu totožnosti), profesní údaje, osobní životopisné údaje (např. věk, pohlaví a národnost). U pacientů v klinickém hodnocení: Kódované údaje a osobní kontaktní údaje kvůli bezpečnostním důvodům.
Zvláštní kategorie osobních údajů v klinickém hodnocení mohou zahrnovat: Lékařské nebo zdravotní informace (včetně rodinné anamnézy), a pokud jsou zahrnuty v protokolu klinického hodnocení, i informace o etnickém původu nebo rase, sexuální orientaci nebo pohlavním životě, genetické informace, biometrické údaje (včetně obrázků), lidské biologické vzorky (např. vzorky krve, buněk a tkáně). d) Po ukončení klinického hodnocení zůstane tato příloha v platnosti a bude i nadále plně účinná.
1.4 Modul s podmínkami zpracovatele a) Všeobecné podmínky (i) Předmět zpracování, doba trvání, povaha a účel zpracování, typ osobních údajů v rámci klinického hodnocení a kategorie osob, jejichž údaje jsou poskytovatelem služeb zpracovávány na základě této smlouvy, jsou popsány v odstavci Popis zpracování této přílohy. (ii) Každá smluvní strana bude plnit své povinnosti podle zákonů o ochraně údajů v souvislosti se zpracováním osobních údajů klinického hodnocení. Tyto podmínky nezbavují poskytovatele služeb povinnosti plnit závazky, které se na něj vztahují podle platných zákonů o ochraně osobních údajů.
(iii) Poskytovatel služeb: bude zpracovávat osobní informace klinického hodnocení, včetně mimo jiné mezinárodního přenosu osobních údajů v klinickém hodnocení pouze za účelem provádění klinického hodnocení jménem společnosti GSK na základě smlouvy a v souladu s pokyny CRO jménem GSK a platnými zákony; oznámí společnosti GSK, pokud by podle rozumného názoru poskytovatele služeb pokyny GSK porušovaly zákony o ochraně údajů; poskytne GSK součinnost při jakémkoli hodnocení dopadu na ochranu údajů a/nebo hodnocení přenosu údajů souvisejících se zpracováním osobních údajů klinického hodnocení na základě smlouvy; ihned informuje GSK/CRO, pokud obdrží jakoukoli komunikaci od jakéhokoli dozorového orgánu týkající se zpracování osobních údajů v klinickém hodnocení nebo plnění strany v souladu se zákony o ochraně údajů, a pomáhat CRO jménem GSK při reakci na takovou komunikaci.
(iv) Poskytovatel služeb: umožní přístup k osobním údajům z klinického hodnocení pouze týmu klinického hodnocení a/nebo zkoušejícím a/nebo poskytovatelům služeb GSK zapojeným do klinického hodnocení, kteří tento přístup potřebují k účelům provádění klinického hodnocení, a zajistí, aby tito jednotlivci údaje z klinického hodnocení zpracovávali pouze v souladu s pokyny CRO jménem společnosti GSK; umožní přístup k osobním údajům z klinického hodnocení pouze ve formě kódované klíčem, pokud to není vyžadováno platnými zákony jinak; nebudou mít žádné právo zpracovávat osobní údaje z klinického hodnocení pro svůj vlastní obchodní prospěch v jakékoli formě, včetně (nikoli však výlučně) ve formě deidentifikované nebo anonymizované: nebude zveřejňovat, uvolňovat nebo přenášet osobní údaje z klinického hodnocení třetím stranám nebo podnikům, kromě toho, co je nezbytné k provedení klinického testu na základě smlouvy, nebo pokud to specificky nařídí CRO jménem společnosti GSK. (v) Bez ohledu na výše uvedené, pokud je poskytovatel služeb povinen zpracovávat osobní údaje z klinického hodnocení podle platného zákona, informuje o tom GSK/CRO, pokud to takový zákon dovoluje. (vi) V případě, že poskytovatel služeb předpokládá, že není schopen splnit požadavky, které byly rozumně stanoveny společností GSK/CRO, ihned to oznámí společnosti GSK/CRO, přičemž GSK/CRO má právo ukončit jakoukoli základní smlouvu, o kterou se tato příloha opírá.
b) Oznámení o ochraně osobních údajů a informovaný souhlas jednotlivce. Pokud není výslovně písemně dohodnuto jinak, poskytovatel služeb jménem GSK informuje jednotlivce, kteří se účastní klinického hodnocení, o zpracování jejich osobních údajů a získá od nich souhlas, který vyžadují platné právní předpisy a zákony o ochraně osobních údajů, pokud je souhlas vyžadován jako právní základ, a to tak, že jim společnost GSK poskytne oznámení o ochraně osobních údajů pro klinický personál a zkoušející a shromáždí jejich informovaný souhlas v souladu s formulářem informovaného souhlasu GSK (pro účastníky klinického hodnocení). Bez ohledu na výše uvedené není poskytovatel služeb odpovědný za plnění povinností uvedených v tomto písm. b) vůči subjektům klinického hodnocení. Neboť ti udělují souhlas a jsou poučeni v jednotlivých zdravotnických zařízeních. c) Práva jednotlivců. Pokud jednotlivec podá poskytovateli služeb písemnou žádost, ve které uplatní některá práva dle zákonů o ochraně osobních údajů týkající se osobních údajů dané osoby, poskytovatel: (i) ihned a bez zbytečného prodlení předá požadavek společnosti GSK/CRO, pokud je to možné, aniž by zahrnovala jakékoliv identifikátory: a (ii) bude spolupracovat a poskytne rozumnou pomoc společnosti GSK/CRO v souvislosti s tímto požadavkem, aby společnost GSK/CRO mohla reagovat v souladu se zákony na ochranu osobních údajů. Pokud má společnost GSK pouze klíčem kódované osobní údaje v klinickém hodnocení, poskytovatel služeb zajistí veškerou nezbytnou spolupráci k uspokojení požadavku jednotlivce účastnícího se klinického hodnocení a informuje tohoto jednotlivce o přijatých opatřeních. d) Bezpečnostní opatření a porušení osobních údajů. Poskytovatel služeb zavede a bude udržovat vhodná technická a organizační bezpečnostní opatření, včetně mimo jiné opatření uvedených v části „Bezpečnostní opatření“ níže. Aniž jsou dotčeny požadavky části Bezpečnostní opatření, poskytovatel služeb oznámí společnosti GSK/CRO porušení ochrany osobních údajů, které se týká osobních údajů v rámci klinického hodnocení, a to neprodleně a do 24 hodin poté, co se o něm dozví, přičemž poskytne společnosti GSK/CRO součinnost, kterou si společnost GSK/CRO v souvislosti s takovým porušením přiměřeně vyžádá. e) Sdílení osobních údajů v klinickém hodnocení. Poskytovatel služeb nebude: zapojovat subdodavatele („dílčího zpracovatele“) bez předchozího obecného povolení CRO jménem GSK a informuje GSK/CRO nejméně 14 dní předem o jakékoli zamýšlené změně týkající se přidání nebo nahrazení subdodavatelů těmi, kteří byli schváleni GSK, aby tak poskytla GSK možnost vznést námitku; před sdílením osobních údajů klinického hodnocení s jakýmkoli subdodavatelem uzavře s tímto subdodavatelem smlouvu obsahující podmínky ekvivalentní těm, které jsou uvedeny v této smlouvě; zůstane plně zodpovědnou za jakékoli selhání jakéhokoli subdodavatele při plnění jeho povinností v oblasti ochrany osobních údajů; sdělí subdodavatelům pouze minimální množství osobních údajů klinického hodnocení potřebných k provádění subdodavatelských aktivit; udrží osobní údaje v klinickém hodnocení v souladu s podmínkami smlouvy, platnými zákony a zákony o ochraně osobních údajů v bezpečí a důvěrnosti; neposkytne osobní údaje v klinickém hodnocení žádnému svému zaměstnanci, pokud tito jednotlivci neprošli odpovídajícím školením v oblasti ochrany údajů a nejsou právně nebo smluvně vázáni k uchovávání informací v důvěrnosti. f) Dodržování předpisů a audit. Na základě odůvodněné písemné žádosti společnosti GSK/CRO nebo v souladu s oficiální žádostí, kterou společnost GSK/CRO obdrží od příslušného dozorového orgánu nebo etické komise, poskytovatel služeb: poskytne veškeré informace nezbytné k prokázání souladu s touto přílohou; a aniž by tím bylo omezeno jakékoli jiné právo společnosti GSK podle této smlouvy, umožní CRO jménem společnosti GSK nebo příslušného dozorového orgánu či etické komise provádět audity, a to tak, že v prostorách poskytovatele služeb nebo na dálku zpřístupní dokumenty, zprávy a elektronické údaje (včetně elektronických zdravotních záznamů) týkající se zpracování osobních údajů v rámci klinického hodnocení poskytovatelem služeb nebo jakýmkoli dílčím zpracovatelem, aby CRO jménem společnosti GSK mohla ověřit soulad s touto přílohou; pro tyto účely může mít GSK/CRO přístup k nešifrovaným osobním údajům studie v rozsahu, který může být nezbytný. g) Ukončení a vypršení platnosti. Pokud není ve smlouvě výslovně uvedeno jinak, po ukončení klinického hodnocení poskytovatel služeb učiní následující a rovněž zajistí aby tak učinil dílčí zpracovatel: ihned přestane používat osobní údaje klinického hodnocení; a podle volby GSK a v souladu s pokyny GSK, vrátí osobní údaje klinického hodnocení společnosti GSK nebo zpracovateli jmenovanému GSK, nebo smaže osobní údaje klinického hodnocení a všechny kopie a výpisy z osobních údajů klinického hodnocení, s výjimkou případů, kdy se na poskytovatele služeb vztahuje povinnost podle platných právních předpisů, včetně Nařízení EU o klinických hodnoceních 536/2014 nebo jiného příslušného nařízení, uchovávat některé nebo všechny osobní údaje klinického hodnocení.
h) Mezinárodní přenosy údajů (od poskytovatele služeb CRO jednající jménem GSK). (i) Smluvní strany se tímto zavazují, že uzavřely a budou dodržovat přílohu prováděcího rozhodnutí Komise o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „příloha“) spolu s MODULEM ČTYŘI: předávání údajů mezi zpracovatelem a správcem (vzorové doložky P-C), které jsou k dispozici zde a jsou do tohoto dokumentu začleněny odkazem, ve znění aktualizovaném, pozměněném, nahrazeném nebo pozměněném Evropskou komisí; a/nebo (ii) jakákoli odpovídající nebo rovnocenná mezinárodní dohoda o předávání údajů nebo dodatek ke vzorovým doložkám přijatý dozorovým úřadem ve Spojeném království, rovněž začleněný do tohoto dokumentu odkazem. (iii) Pro účely vzorových doložek P-C: poskytovatel služeb je vývozcem údajů ve vztahu k osobním údajům studie a CRO jednající jménem společnosti GSK (nebo jakýchkoli zahrnutých přidružených společností), pokud zpracovává osobní údaje klinického hodnocení v zemi mimo Evropský hospodářský prostor, Spojené království nebo jakoukoli odpovídající zemi, je dovozcem údajů. (iv) Pro účely vzorových doložek P-C se smluvní strany dohodly, že: je vybrána varianta 1 v souladu s ustanovením 17 „Rozhodné právo“ a stany se budou řídit právem České republiky a v ustanovení 18 „Volba soudu a příslušnost soudu“ se strany dohodly, že se budou řídit soudy České republiky. (v) Popis přenosů: Popis přenosů včetně zpracovatelských operací, pro účely Přílohy 1 k vzorovým doložkám P-C, je uveden v odstavci „Popis zpracování“ této smlouvy. Omezení ochranných opatření uplatňovaných na citlivé údaje jsou uvedena v části Bezpečnostní opatření níže. Četnost přenosu je nepřetržitá. Údaje budou uchovány v souladu se zásadami společnosti GSK pro uchovávání údajů a s platnými zákony.
(vi) V rozsahu, v němž dochází ke konfliktu mezi jakýmkoli ustanovením vzorových doložek P-C a jakoukoliv jinou částí tohoto přehledu nebo smlouvy, platí ustanovení Vzorové doložky P-C. (vii) Pokud přenos pochází ze Spojeného království, strany tímto souhlasí s tím, že podepsaly a budou dodržovat dodatek týkající se Spojeného království, který začlení vzorové doložky P-C do podmínek uvedených v bodech (i) a od bodu (iii) do bodu (v) výše. (viii) Pokud jakýkoli mechanismus pro mezinárodní přenos osobních údajů přestane být z jakéhokoli důvodu platným prostředkem pro splnění omezení předávání osobních údajů do třetí země, jak je stanoveno v zákonech o ochraně údajů, nebo z jakéhokoli jiného důvodu přestane platit, budou smluvní strany jednat v dobré víře, aby se dohodly na zavedení alternativního řešení, které oběma stranám umožní pokračovat ve zpracování a předávání osobních údajů v souladu se zákony o ochraně údajů.
1.5 Modul podmínek pro správce a) Všeobecné podmínky. V souladu s ostatními ustanoveními této doložky v souvislosti se zpracováním všech osobních údajů z klinického hodnocení bude každá ze smluvních stran: dodržovat své povinnosti podle zákonů o ochraně osobních údajů; a bere na vědomí, že s výjimkou případů, které jsou výslovně v této smlouvě uvedeny jinak, je (stejně jako mezi smluvními stranami) výhradně odpovědná za plnění všech svých povinností podle zákonů o ochraně osobních údajů.
b) Oznámení o ochraně osobních údajů a informovaný souhlas jednotlivce. Není-li výslovně písemně dohodnuto jinak, bude každá smluvní strana odpovědná za poskytování oznámení o ochraně osobních údajů všem jednotlivcům, kterých se osobní údaje z klinického hodnocení týkají, pokud jde o veškeré zpracování prováděné touto smluvní stranou (včetně jakéhokoli zpřístupnění druhé smluvní straně). Poskytovatel služeb bude jménem společnosti GSK o zpracování osobních údajů informovat jednotlivce účastnící se klinického hodnocení a v případech, kdy se jako právní základ podle platných zákonů a zákonů o ochraně osobních údajů vyžaduje jejich souhlas, tento od nich zajistí tak, že jim poskytne oznámení o ochraně osobních údajů pro poskytovatele služeb zadavatele (u týmu klinického hodnocení a zkoušejících lékařů) a formulář informovaného souhlasu (u účastníků klinického hodnocení).
c) Komunikace. Pokud poskytovatel služeb obdrží jakékoli sdělení od dozorového úřadu, které se přímo nebo nepřímo týká: Zpracování osobních údajů z klinického hodnocení poskytovatelem; nebo potenciálního nedodržení zákonů o ochraně osobních údajů v souvislosti se zpracováním osobních údajů z klinického hodnocení, poskytovatel služeb v rozsahu povoleném platnými zákony neprodleně předá sdělení společnosti GSK/CRO a ve vztahu k témuž poskytne CRO jménem společnosti GSK přiměřenou spolupráci a pomoc.
a. Nakládání s osobními údaji společností GSK. Poskytovatel služeb zajistí, že osobní údaje z klinického hodnocení: budou uchovávány v bezpečí a důvěrně v souladu se smlouvou, zákony o ochraně osobních údajů a jakýmikoli platnými zákony; nebudou sděleny žádnému z jeho zaměstnanců, s výjimkou případů, kdy tyto osoby: prošly příslušným školením v oblasti ochrany osobních údajů a jsou právně nebo smluvně vázány uchovávat informace v důvěrnosti; jsou zpracovávány pouze pro účely provádění klinického hodnocení podle této smlouvy, nebo jiným způsobem, který je následně oprávněn osobou, které se osobní údaje týkají; jsou předávány třetím stranám pouze v souladu se zákony o ochraně osobních údajů a jakýmikoli dalšími platnými zákony (mimo jiné včetně zákonů země příslušných jednotlivců) v případě, že třetí strana uzavřela smlouvu s poskytovatelem služeb obsahující podmínky ekvivalentní podmínkám uvedeným v této příloze a za podmínky, že poskytovatel služeb zůstává vůči společnosti GSK plně odpovědný za jakékoli nedodržení povinností takové třetí strany v oblasti ochrany osobních údajů; a jsou bezpečně uchovávány. b. Práva jednotlivců. Pokud jednotlivec podá kterékoli ze smluvních stran písemnou žádost o uplatnění kteréhokoli ze svých práv podle zákonů o ochraně osobních údajů ve vztahu k osobním údajům v klinickém hodnocení, přijímající smluvní strana: (i) neprodleně a bez zbytečného odkladu předá žádost druhé smluvní straně; a (ii) bude spolupracovat a poskytne přiměřenou pomoc v souvislosti s touto žádostí, aby druhá smluvní strana mohla reagovat v souladu se zákony o ochraně osobních údajů. Pokud společnost GSK uchovává pouze kódované osobní údaje v klinickém hodnocení, poskytne poskytovatel služeb veškerou nezbytnou součinnost v takovém rozsahu, aby se vyhovělo žádosti pacienta v klinickém hodnocení a aby byl pacient v klinickém hodnocení informován o přijatých opatřeních.
c. Porušení zabezpečení osobních údajů. Jakmile se poskytovatel služeb dozví o porušení zabezpečení osobních údajů, které má vliv na osobní údaje v klinickém hodnocení, provede následující kroky: bude neprodleně a v každém případě do 24 hodin informovat společnost GSK/CRO a neprodleně poskytne zadavateli přiměřený popis porušení zabezpečení osobních údajů, jakmile budou tyto informace k dispozici; a nezveřejní žádné sdělení týkající se porušení zabezpečení osobních údajů bez předchozí konzultace se zadavatelem, s výjimkou případů, kdy může zveřejnit podrobné informace o takovém porušení v rozsahu, v jakém je poskytovatel služeb povinen tak učinit podle platných zákonů. Pokud GSK podle svého výhradního uvážení rozhodne, že porušení zabezpečení osobních údajů ovlivňuje poskytovatele služeb a/nebo schopnost poskytovatele služeb poskytovat služby požadované a dohodnuté pro klinické hodnocení podle této smlouvy, CRO jménem GSK neprodleně informuje poskytovatele služeb a poskytne poskytovateli služeb přiměřený popis všech relevantních informací týkajících se tohoto porušení. d. Dodržování předpisů a audit. Každá ze smluvních stran bude schopna prokázat dodržování svých povinností podle těchto doložek. Na základě důvodné písemné žádosti společnosti GSK poskytovatel služeb neprodleně zpřístupní GSK/CRO kopii příslušné a dostupné dokumentace o dodržování předpisů, včetně zpráv vyplývajících z interních nebo externích auditů, relevantních pro zpracování osobních údajů z klinického hodnocení ze strany poskytovatele služeb nebo kteréhokoli z jeho zpracovatelů, aby umožnil CRO jménem GSK / společnosti GSK ověřit dodržování této přílohy, nebo v případě, že zadavatel obdrží oficiální žádost od příslušného dozorového úřadu nebo etické komise poskytnout příslušnou dokumentaci o činnostech zpracování prováděných smluvními stranami v souvislosti s osobními údaji z klinického hodnocení, aby bylo možné odpovědět na takové oficiální žádosti. e. Ukončení a vypršení platnosti. Po ukončení klinického hodnocení si smluvní strany uchovají osobní údaje z klinického hodnocení, jak to vyžadují zákony na ochranu osobních údajů a jakékoli platné zákony, včetně nařízení EU o klinických hodnoceních 536/2014. f. Mezinárodní předávání údajů (poskytovatel služeb společnosti GSK nebo poskytovatel služeb CRO jednající jménem společnosti GSK). (i) Smluvní strany se tímto dohodly, že uzavřely a budou dodržovat přílohu prováděcího rozhodnutí Komise o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „příloha“) spolu s PRVNÍM MODULEM: Předání správcem správci (k dispozici zde), která je začleněná do této přílohy formou odkazu na jeho text ve znění pozdějších aktualizací, změn, nahrazení nebo zneplatnění ze strany Evropské komise (Vzorové doložky upravující vztah správce – správce) a/nebo (ii) jakékoli odpovídající nebo ekvivalentní dohody o předávání údajů do zahraničí nebo dodatek k vzorovým doložkám přijatým dozorovým orgánem ve Spojeném království, které jsou do tohoto dokumentu rovněž začleněny formou odkazu. Pro účely vzorových doložek upravujících vztah správce – správce: Poskytovatel služeb je ve vztahu k osobním údajům v klinickém hodnocení vývozcem údajů; a CRO jednající jménem společnosti GSK nebo kterýchkoli souvisejících přidružených společností je v rozsahu, v jakém zpracovává osobní údaje v klinickém hodnocení v zemi mimo Evropský hospodářský prostor, Spojené království nebo kteroukoli adekvátní zemí, jejich dovozcem. (ii) Pro účely vzorových doložek se smluvní strany dohodly, že: Možnost v hranatých závorkách podle doložky č. 11 „Odškodnění“ se neuplatňuje; U doložky č. 17 „Rozhodné právo“ je zvolena možnost jedna a budou platit zákony České republiky; soudy České republiky budou mít soudní pravomoc podle článku 18 „Volba soudu a příslušnost“. (iii) Popis předávání: Popis předávání včetně činností při zpracování pro účely přílohy 1 vzorových doložek upravujících vztah správce – správce je uveden v doložce „Popis zpracování“ v této příloze. Předávání probíhá nepřetržitě. Údaje budou uchovávány v souladu se zásadami uchovávání údajů společnosti GSK.
(iv) Příslušný dozorový úřad: Úřad pro ochranu osobních údajů Pplk. Sochora 00 000 00 Praha 7 Tel. x000 000 000 000 Fax x000 000 000 000 E-mail: xxxxx@xxxx.xx Webová stránka: xxxx://xxx.xxxx.xx/ jak je uvedeno v doložce č. 13 vzorových doložek upravujících vztah správce – správce. (v) Zabezpečení pro ochranu soukromí: Bezpečnostní opatření pro účely přílohy 2 vzorových doložek upravujících vztah správce – správce jsou uvedena v části „Bezpečnostní opatření“ níže. (vi) V případě jakéhokoli rozporu mezi kteroukoli podmínkou vzorových doložek upravujících vztah správce – správce a kteroukoli jinou částí této přílohy nebo smlouvy bude mít přednost podmínka vzorových doložek upravujících vztah správce – správce. (vii) Pokud dochází k předávání ze Spojeného království, smluvní strany se tímto dohodly, že uzavřely a budou dodržovat dodatek platný ve Spojeném království, který obsahuje vzorové doložky upravující vztah správce – správce za podmínek dohodnutých pod písmeny (i) a (iii) až (vi) výše. (viii) Pokud jakýkoli mechanismus pro předávání osobních údajů do zahraničí z jakéhokoli důvodu přestane být platným prostředkem k dodržování omezení pro předávání osobních údajů do třetí země, jak stanoví zákony o ochraně osobních údajů, nebo jinak přestane být z jakéhokoli důvodu platný, smluvní strany budou v dobré víře jednat za účelem dosažení dohody o zavedení alternativního řešení, které oběma smluvním stranám umožní pokračovat ve zpracování a předávání osobních údajů v souladu se zákony o ochraně osobních údajů.
1.6 Bezpečnostní opatření. Bez ohledu na ustanovení uvedená ve smlouvě: a) Poskytovatel služeb bude: (a) používat silné kontroly šifrování k ochraně všech důvěrných informací společnosti GSK a osobních údajů z klinického hodnocení před neoprávněným zveřejněním, přístupem nebo změnou při předávání do prostředí poskytovatele služeb bude nebo mimo něj prostřednictvím sítí třetích stran; (b) udržovat kontrolní procesy v souladu s osvědčenými postupy v daném oboru za účelem detekce, prevence a obnovy v případě malwaru, virů a spywaru, včetně pravidelných aktualizací antivirového, antimalwarového a antispywarového softwaru; (c) bude udržovat zásady, postupy a technické kontroly řízení přístupu v souladu s osvědčenými postupy v daném oboru, aby bylo zajištěno řádné oprávnění veškerého přístupu k důvěrným informacím společnosti GSK a osobním údajům z klinického hodnocení, které má pod kontrolou.
b) Pro účely tohoto odstavce se „prostředím poskytovatele služeb“ rozumí kombinace hardwaru, softwaru, operačních systémů, databázových systémů, nástrojů a síťových komponent používaných poskytovatelem služeb nebo jeho jménem k přijímání, udržování, zpracovávání, ukládání, přístupu nebo předávání důvěrných informací společnosti GSK a osobních údajů v klinickém hodnocení. |
DATA PROTECTION TERMS – RESTRICTED PERSONAL INFORMATION 1.1 This Privacy Schedule forms a part of the Nuclear Medicine Services Agreement (hereinafter, the “Agreement”) by and between CRO, acting on behalf of GSK and Vendor for the conduct of the Clinical Trial under GSK Protocol 221530. In the event of any conflict between the terms of this Schedule and the terms of the Agreement, this Schedule will control with respect to matters of data privacy. Capitalised terms not defined in this Schedule will have the meanings ascribed to them in other parts of the Agreement. Capitalised terms that are defined in this Schedule, will have the meanings ascribed to them in this Schedule or Data Protection Laws. Any reference to GSK shall have the same meaning ascribed in the Agreement, as well as any Covered Affiliate as defined in this Schedule.
1.2 Definitions Adequate Country means any country held by the Government of the United Kingdom and/or the European Commission from time to time as providing an adequate level of protection pursuant to Article 45(3) of the GDPR and the UK GDPR.
“Annex” means the Annex to the Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council.
Applicable Law(s) means all laws, regulatory requirements, statutes, or ordinances applicable to a Party’s business or the performance of its obligations under the Agreement, including GCPs.
Covered Affiliate means each Affiliate of GSK which has the benefit of the Study-related services as a third party (a list of which will be provided by GSK to Vendor on request).
Clinical Research Organization or CRO means GSK’s service provider PPD Global Ltd. which processes the Clinical Trial Personal Information on behalf of GSK, by acting as a processor of GSK.
C-C Model Clauses means (i) the Annex along with MODULE ONE: Transfer controller to controller (available at xxxxx://xxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxx-xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxx_xx), and incorporated herein by reference as updated, amended, replaced or superseded from time to time by the European Commission.
Data Protection Laws means the General Data Protection Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and any applicable laws and/or regulations that implement and/or exercise derogations under it and/or replace or supersede it (GDPR); the UK GDPR as tailored by the UK Data Protection Act 2018; and all other laws concerning the processing of personal data that turn to be applicable.
Good Clinical Practices or GCPs means current practices required by one or more of the following, to the extent applicable in the country in which the Clinical Trial is conducted: (1) the principles of ICH Harmonised Tripartite Guideline for Good Clinical Practice (CPMP/ICH/135/95) E6 and E11; (2) the Regulation (EU) No 536/2014 of the European Parliament and of the Council of 16 April 2014 on clinical trials on medicinal products for human use, and repealing Directive 2001/20/EC and any local laws, rules and regulations that implement such Regulation; (3) provisions of Title 21 of the Code of Federal Regulations (including without limitation Parts 11, 50, 54, 56, 312, 314, 320, 601 and 610) and all rules, regulations, order, and guidance published thereunder ; and/or (4) any other legal and ethical requirements and professional standards.
Principal Investigator means the individual(s) responsible for the conduct of the Clinical Trial at Institution and for direct supervision of Clinical Trial Staff. Personal Information or Personal Data means any personal data relating to an identified or identifiable individual, as defined in the Applicable Data Protection Laws.
P-C Model Clauses means (i) the Annex along with MODULE FOUR: Transfer processor to controller (available at xxxxx://xx.xxxxxx.xx/xxxx/xxxxxx/xxxxx/0_xx_xxxxxx_xxxx_xxxxxxxx_xx_xxxx0_x0_0.xxx), and incorporated herein by reference as updated, amended, replaced or superseded from time to time by the European Commission.
Clinical Trial Personal Information means any Personal Information of Clinical Trial Subjects processed for the purpose of the Clinical Trial: that Vendor collects or generates on behalf of GSK under or in connection with the Agreement, and/or that Vendor collects or generates and provides to GSK under or in connection with the Agreement, including where the Clinical Trial Personal Information is shared with GSK through its appointed CRO.
Clinical Trial Staff means the individuals providing services on behalf of the Institution and Principal Investigator with respect to the Clinical Trial related services provided by the Institution/Vendor, including without limitation, sub-investigators, Clinical Trial coordinators, and other Institution employees, agents, and/or GSK-approved subcontractors of the Institution.
Clinical Trial Subject(s) means each individual who provided an informed consent form and is enrolled in the Clinical Trial, prior to the commencement of any Study-related procedure, in accordance with Applicable Law.
UK Addendum means the International Data Transfer Addendum to the EU Commission Standard Contractual Clauses adopted by the supervisory authority in the United Kingdom (“ICO”) and entered into force on 21 March 2022, and incorporated herein by reference as updated, amended, replaced or superseded from time to time by the ICO.
The terms controller, data protection impact assessment, data subject, personal data breach, processor, processing, service provider and supervisory authority will be as defined under relevant Data Protection Laws.
1.3 General terms a) For purposes of this Agreement CRO on behalf of GSK and Vendor agree that in relation to the Clinical Trial Personal Information processed under the Agreement: (i) GSK shall be considered a controller; (ii) Vendor shall be considered as a processor. b) Description of Processing:
DURATION, NATURE AND PURPOSE OF PROCESSING Duration of Processing Unless stated otherwise in the Agreement, or agreed in writing between the parties, Clinical Trial Personal Information will be processed for the term of the Agreement, and any such additional period provided under Applicable Laws. Nature and purpose of Processing GSK: For the purpose of complying with the obligations under the Agreement, performing the research according to the Clinical Trial Protocol (including any amendments to the Clinical Trial Protocol); meeting the obligations imposed by Applicable Laws (e.g., safety reporting); managing the Clinical Trial and monitoring its correct implementation, conducting further scientific research, seeking market approval. CRO/PPD: For the purposes of managing the Clinical Trial and monitoring its correct implementation on behalf of GSK. Vendor: For the purpose of providing medical care to Clinical Trial Subjects; meeting the obligations imposed by Applicable Laws (e.g., key-coding Clinical Trial Subjects’ data and keep the matching table on site); managing the Clinical Trial (e.g., communicate with Sponsor and/or Sponsor service providers).
PERSONAL INFORMATION Individuals may include: Clinical Trial Investigators, Clinical Trial Staff, Clinical Trial Subjects Categories of Clinical Trial Personal Information may include: For Clinical Trial Investigators, Clinical Trial Staff: Personal contact information (e.g., address, email, and telephone number, and/or IDs), professional details, personal biographical information (e.g., age, gender, and nationality). For Clinical Trial Subjects: Key-coded data and personal contact details for safety purposes.
Special categories of Clinical Trial Personal Information may include: Medical or health information (including family medical history), and, if included in the Clinical Trial Protocol, ethnicity or race, sexual orientation or sex life, genetic information, biometric data (including images), human biological samples (e.g., blood, cells, and tissue samples). d) Upon termination of the Clinical Trial, this Schedule will survive and continue in full effect.
1.4 Processor Terms Module a) General Terms (i) The subject matter, duration, nature and purpose of the processing, the type of Clinical Trial Personal Information and the categories of individuals whose data is processed by Vendor under the Agreement are described in the Description of Processing clause of this Schedule. (ii) Each party will comply with its obligations under Data Protection Laws in relation to the processing of Clinical Trial Personal Information. These terms will not exempt Vendor from complying with obligations to which Vendor is subject pursuant to applicable Data Protection Laws. (iii) Vendor will: process Clinical Trial Personal Information (including, without limitation, the transfer of Clinical Trial Personal Information internationally) only in order to conduct the Clinical Trial on behalf of GSK under the Agreement and in accordance with the instructions of CRO on behalf of GSK and the Applicable Laws; notify GSK if, in Vendor’s reasonable opinion, GSK’s instructions would breach Data Protection Laws; assist GSK with any data protection impact assessment and/or data transfer impact assessment relating to the processing of Clinical Trial Personal Information under the Agreement; and promptly notify GSK/CRO if it receives any communication from any supervisory authority which relates to the processing of Clinical Trial Personal Information, or to either party’s compliance with Data Protection Laws, and assist CRO on behalf of GSK in responding to any such communication. (iv) Vendor will: afford access to Clinical Trial Personal Information only to Clinical Trial Staff and/or Investigator(s) and/or GSK service providers involved in the Clinical Trial who need access to it for the purposes of conducting the Clinical Trial and ensure that those individuals only process the Clinical Trial Personal Information pursuant to and consistent with the instructions from CRO on behalf of GSK; afford access to Clinical Trial Personal Information only in key-coded form, unless otherwise required under Applicable Laws; not have any right to process Clinical Trial Personal Information for its own commercial benefit in any form, including, without limitation, in de-identified or anonymized form; or not disclose, release or transfer Clinical Trial Personal Information to any third party or business except as necessary to conduct the Clinical Trial under the Agreement or as specifically directed by CRO on behalf of GSK.
(v) Without limiting the above, if Vendor is required to process Clinical Trial Personal Information by any law applicable, it will, to the extent permitted by such applicable law, promptly inform GSK/CRO. (vi) In the event Vendor does not believe it can meet the requirements as reasonably set forth by GSK/CRO Vendor will notify GSK/CRO immediately of its inability and GSK/CRO will have the right to terminate any underlying agreement relying on this Schedule.
b) Privacy Notices and Individual Informed Consent. Unless expressly agreed otherwise in writing, Vendor will, on behalf of GSK, inform the individuals taking part to the Clinical Trial about the processing of their Personal Information and obtain from them any consent required by Applicable Laws and Data Protection Laws, when consent is required as legal basis, by providing them with GSK’s Clinical Privacy Notice (for Study Staff and Investigators) and collecting their informed consent in accordance with GSK Informed Consent Form (for Study Participants). Notwithstanding the above, the Vendor shall not be responsible for the fulfilment of the obligations referred to in this point (b) towards the clinical trial subjects. For they give consent and are instructed by the individual Institution.
c) Rights of Individuals. If an individual makes a written request to the Vendor, exercising any of the rights under Data Protection Laws in respect of individual’s Clinical Trial Personal Information, the Vendor will: (i) promptly and without undue delay forward the request to GSK/CRO, to the extent possible without including any identifiers; and (ii) cooperate and provide reasonable assistance to GSK/CRO in relation to that request to enable GSK/CRO to respond in accordance with Data Protection Laws. To the extent that GSK only holds key-coded Clinical Trial Personal Information, Vendor will provide all the necessary cooperation to meet the Clinical Trial Subject’s request and inform that Clinical Trial Subject of the actions taken. d) Security Measures and Personal Data Breach. Vendor will: implement and maintain appropriate technical and organizational security measures including, without limitation, the measures set out in the “Security Measure” section below. Without prejudice to the requirements of the Security Measures section, Vendor will notify GSK/CRO promptly and within 24 hours after becoming aware of a personal data breach affecting Clinical Trial Personal Information and provide GSK/CRO with assistance reasonably requested by GSK/CRO in relation to such breach.
e) Sharing of Clinical Trial Personal Information. Vendor will: not engage a sub-contractor (a “sub-processor”) without the prior general authorization of CRO on behalf of GSK and inform GSK/CRO at least 14 days in advance of any intended changes concerning the addition or replacement of sub-contractors to those approved by GSK, so giving GSK the opportunity to object; before disclosing Clinical Trial Personal Information to any sub-contractor, enter into a contract with that sub-contractor containing terms equivalent to those set out in this Schedule; remain fully liable for any failure of any sub-contractor to fulfil its data protection obligations; disclose to sub-contractors only the minimum amount of Clinical Trial Personal Information required to perform the sub-contracted activities; keep Clinical Trial Personal Information secure and confidential in accordance with the terms of the Agreement, Applicable Laws and Data Protection Laws; not disclose the Clinical Trial Personal Information to any of its staff unless those individuals have undergone appropriate training in data protection and are legally or contractually bound to hold the information in confidence.
f) Compliance and Audit. Upon GSK’s/CRO’s reasonable written request or as in accordance with an official request received by GSK/CRO from a competent supervisory authority or an ethics committee, Vendor will: provide all information necessary to demonstrate compliance with this Schedule; and without limiting any other right of GSK under the Agreement, allow CRO on behalf of GSK, or a competent supervisory authority or an ethics committee, to carry out audits by accessing, at the Vendor’s premises or remotely, documents, reports and electronic data (including electronic health records) relating to the processing of Clinical Trial Personal Information by Vendor or any of its sub-processors, to enable CRO on behalf of GSK to verify compliance with this Schedule; for these purposes, GSK/CRO may have access to non-coded Clinical Trial Personal Information, to the extent that may need to be required.
g) Termination and Expiry. Unless expressly stated otherwise in the Agreement, upon termination of the Clinical Trial, Vendor will, and will procure that each sub-processor will: immediately cease to use Clinical Trial Personal Information; and at GSK’s option and in accordance with GSK’s instructions, return Clinical Trial Personal Information to GSK or to a processor nominated by GSK, or delete the Clinical Trial Personal Information and all copies and extracts of the Clinical Trial Personal Information, except that this requirement will not apply to the extent Vendor is required by Applicable Law, including the EU Clinical Trials Regulation 536/2014 or any other applicable regulation, to retain some or all of the Clinical Trial Personal Information. h) International Data Transfers (Vendor to CRO acting on behalf of GSK). (i) The parties hereby agree to have entered and to abide by the Annex to the Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (“Annex”) along with MODULE FOUR: Transfer processor to controller (the P-C Model Clauses), available here, and incorporated herein by reference as updated, amended, replaced or superseded from time to time by the European Commission; and/or (ii) any corresponding or equivalent international data transfer agreement or addendum to the Model Clauses adopted by the supervisory authority in the United Kingdom, also incorporated herein by reference. (iii) For the purposes of the P-C Model Clauses: Vendor is the data exporter in relation to Clinical Trial Personal Information; and CRO acting on behalf of GSK (or any Covered Affiliates), to the extent it processes Clinical Trial Personal Information in a country outside the European Economic Area, the United Kingdom or any Adequate Country, is the data importer. (iv) For the purposes of the P-C Model Clauses the parties agree that: Option one is selected for Clause 17 “Governing Law” and the law of Czech Republic shall apply; The courts of Czech Republic will have jurisdiction under Clause 18 “Choice of Forum and Jurisdiction”. (v) Description of Transfers: The description of transfers including the processing operations, for the purposes of Annex 1 to the P-C Model Clauses, is set out in the “Description of Processing” clause of this Schedule. The restrictions of safeguards applied to sensitive data are set out in the Security Measures section below. The frequency of the transfer is continuous. The data will be retained in line with GSK’s data retention policies and any Applicable Laws. (vi) To the extent there is any conflict between any term of the P-C Model Clauses and any other part of this Schedule or the Agreement, the term of the P-C Model Clauses will prevail. (vii) If the transfer originates from the United Kingdom, the parties hereby agree to have entered and to abide by the UK Addendum which shall incorporate the P-C Model Clauses in the terms agreed under letters (i) and from (iii) to (v) above.
(viii) Where any mechanism for international transfers of Personal Information ceases for any reason to be a valid means of complying with the restrictions on transferring Personal Information to a third country as set out in Data Protection Laws, or otherwise ceases to apply for any reason, the parties will act in good faith to agree the implementation of an alternative solution to enable both parties to continue Processing and transferring Personal Information in compliance with Data Protection Laws. 1.5 Controller Terms Module a) General Terms. Subject to the remaining provisions of this clause, in relation to the processing of all Clinical Trial Personal Information, each party: will comply with its obligations under Data Protection Laws; and acknowledges that, except as expressly stated otherwise in the Agreement, it is (as between the parties) solely responsible for meeting all its obligations under Data Protection Laws.
b) Privacy Notices and Individual Informed Consent. Unless expressly agreed otherwise in writing, each party will be responsible for providing privacy notices to all individuals to whom the Clinical Trial Personal Information relates in respect of all processing undertaken by that party (including any disclosure to the other party). Vendor will, on behalf of GSK, inform the individuals taking part to the Clinical Trial about the processing of their Personal Information and obtain from them any consent required by Applicable Laws and Data Protection Laws, when consent is required as legal basis, by providing them with GSK’s Clinical Privacy Notice (for Clinical Trial Staff and Investigators) and Informed Consent Form (for Clinical Trial Participants).
c) Communications. If Vendor receives any communication from a supervisory authority which relates directly or indirectly to: Vendor’s processing of Clinical Trial Personal Information; or a potential failure to comply with Data Protection Laws in relation to the processing of Clinical Trial Personal Information, Vendor will, to the extent permitted by applicable laws, promptly forward the communication to GSK/CRO and provide reasonable cooperation and assistance to CRO on behalf of GSK in relation to the same.
a. Handling of GSK Personal Information. Vendor will ensure that Clinical Trial Personal Information: will be kept secure and confidential in accordance with the Agreement, Data Protection Laws and any Applicable Laws; is not disclosed to any of its staff unless those persons: have undergone appropriate training in data protection and are legally or contractually bound to hold the information in confidence; is processed only for the purpose of conducting the Clinical Trial under the Agreement, or otherwise as subsequently authorised by the individual to whom the Personal Information relates; is transferred to third parties only in accordance with Data Protection Laws and any other Applicable Laws (including without limitation the law of the country of the relevant individuals), where the third party has entered into a contract with Vendor containing terms equivalent to those in this Schedule and on condition that Vendor remains fully liable to GSK for any failure of such third party to fulfil its data protection obligations; and is kept securely. b. Rights of Individuals. If an individual makes a written request to either party to exercise any of their rights under Data Protection Laws in respect of their Clinical TrialPersonal Information, the receiving party will: (i) promptly and without undue delay forward the request to the other party; and (ii) cooperate and provide reasonable assistance in relation to that request to enable the other party to respond in accordance with Data Protection Laws. To the extent that GSK only holds key-coded Clinical Trial Personal Information, Vendor will provide all the necessary cooperation to meet the Clinical Trial Subject’s request and inform that Clinical Trial Subject of the actions taken.
c. Personal Data Breach. Upon becoming aware of a personal data breach affecting Clinical Trial Personal Information, Vendor will: notify GSK /CRO promptly and in any event within 24 hours, and provide GSK with a reasonable description of the personal data breach promptly as such information becomes available; and not publish any communication concerning the personal data breach without first consulting Spondor, save that it may disclose details of such breach to the extent Vendor is required to do so by Applicable Laws. If GSK determines in its sole discretion that a personal data breach affects Vendor and/or Vendor’s ability to provide the services required and agreed for the Clinical Trial under the Agreement, CRO on behalf of GSK will notify Vendor promptly and provide Vendor with a reasonable description of any relevant information pertaining to said breach.
d. Compliance and Audit. Each Party shall be able to demonstrate compliance with its obligations under these Clauses. Upon GSK’s reasonable written request, Vendor will promptly make available to GSK /CRO a copy of the applicable and available compliance documentation, including reports resulting from internal or external audits, relevant to the processing of Clinical Trial Personal Information by Vendor or any of its processors, to enable CRO on behalf of GSK / GSK to verify compliance with this Schedule or in case GSK receives an official request from a competent supervisory authority or an ethics committee, to provide appropriate documentation of the processing activities carried out by the Parties in relation to the Clinical Trial Personal Information, in order to reply to such official requests. e. Termination and Expiry. Upon termination of the Clinical Trial the parties will retain the Clinical Trial Personal Information as required by Data Protection Law and any Applicable Law, including the EU Clinical Trials Regulation 536/2014. f. International Data Transfers (Vendor to GSK, or Vendor to CRO acting on behalf of GSK).
(i) The
parties hereby agree to have entered and to abide by the Annex to
the Commission Implementing Decision on standard contractual
clauses for the transfer of personal data to third countries
pursuant to Regulation (EU) 2016/679 of the European Parliament
and of the Council (“Annex”) along with MODULE
ONE: Transfer controller to controller
(available here) and incorporated herein by reference as updated,
amended, replaced or superseded from time to time by the European
Commission
(ii) For the purposes of the Model Clauses the parties agree that: The option in square brackets of Clause 11 “Redress” shall not apply; Option one is selected for Clause 17 “Governing Law” and the law of Czech Republic shall apply; The courts of Czech Republic will have jurisdiction under Clause 18 “Choice of Forum and Jurisdiction”. (iii) Description of Transfers: The description of transfers including the Processing operations, for the purposes of Annex 1 to the C-C Model Clauses, is set out in the “Description of Processing” clause of this Schedule. The frequency of the transfer is continuous. The data will be retained in line with GSK’s data retention policies. (iv) Competent Supervisory Authority: Úřad pro ochranu osobních údajů Pplk. Sochora 00 000 00 Praha 7 Tel. x000 000 000 000 Fax x000 000 000 000 E-mail: xxxxx@xxxx.xx Webová stránka: xxxx://xxx.xxxx.xx/ as set out in clause 13 of the C-C Model Clauses.
(v) Security for Privacy: The security measures, for the purposes of Annex 2 to the C-C Model Clauses, are set out in the “Security Measures” section below. (vi) To the extent there is any conflict between any term of the C-C Model Clauses and any other part of this Schedule or the Agreement, the term of the C-C Model Clauses will prevail.
(vii) If the transfer originates from the United Kingdom, the parties hereby agree to have entered and to abide by the UK Addendum which shall incorporate the C-C Model Clauses in the terms agreed under letters (i) and from (iii) to (vi) above.
(viii) Where any mechanism for international transfers of Personal Information ceases for any reason to be a valid means of complying with the restrictions on transferring Personal Information to a third country as set out in Data Protection Laws, or otherwise ceases to apply for any reason, the parties will act in good faith to agree the implementation of an alternative solution to enable both parties to continue Processing and transferring Personal Information in compliance with Data Protection Laws.
1.6 Security Measures. Notwithstanding the provisions set in the Agreement: a) Vendor shall: (a) use strong encryption controls to protect all GSK Confidential Information and Clinical Trial Personal Information from unauthorized disclosure, access or alteration in transit into or out of the Vendor Environment over third-party networks; (b) maintain control processes in line with industry best practice to detect, prevent, and recover from malware, viruses and spyware, including updating antivirus, anti-malware and anti-spyware software at regular intervals; (c) maintain access management policies, procedures, and technical controls in line with industry best practice to ensure all access to GSK Confidential Information and Clinical Trial Personal Information in its control is appropriately authorised.
b) For the purpose of this section, “ Vendor Environment” means the combination of hardware, software, operating systems, database systems, tools and network components used by or on behalf of Vendor to receive, maintain, Process, store, access or transmit GSK Confidential Information and Clinical Trial Personal Information. |
GSK_221530_Czech Rep_Ancillary Agreement_PI XXX, XXX, XXX_Nuclear Medicine services
Approved for signature CS IM/14May2024 40 | 42 Page