8. Vzorová smlouva o zpracování osobních údajů

8. Xxxxxxx smlouva o zpracování osobních údajů

Výklad

Jako poskytovatel zdravotních služeb jste vždy správcem osobních údajů, málokdy však budete pouhým zpracovatelem. Může se však stát, že využijete služby některého zpracovatele (například zpracování mezd externím „účetním“).

Vztah správce – zpracovatel obecně řečeno vzniká tehdy, pokud správce potřebuje provádět určité zpracování osobních údajů, ale neprovádí je sám a najímá si na to externího dodavatele.

Mezi správcem a zpracovatelem musí být uzavřena písemná smlouva, jejíž vzor je součástí tohoto materiálu. Lze předpokládat, že návrh smlouvy Vám zpravidla předloží zpracovatel (a nikoliv naopak), i přesto může být výhodné, pokud budete mít představu, jak taková smlouva může vypadat.

Již zmíněným příkladem zpracování údajů zpracovatelem je mzdová agenda. Pokud mzdovou agendu nevykonáváte sami, ale najímáte si za tím účelem služby externí mzdové účtárny (tedy zpracování mezd neprovádějí Vaši zaměstnanci ani Vy sami, ale externí dodavatel), je tento externí dodavatel v rozsahu osobních údajů zpracovávaných v rámci mzdové agendy tzv. zpracovatelem osobních údajů.

Jiným příkladem bude služba cloudového úložiště. Pokud vedete zdravotnickou dokumentaci elektronicky, můžete na základě smlouvy s dodavatelem ukládat data tvořící zdravotnickou dokumentaci nikoliv na lokální disk svého počítače, ale na servery tohoto dodavatele. V tomto případě budete stále správcem osobních údajů, dodavatel cloudových služeb pak zpracovatelem.

Zpracovatelem ale bude zpravidla i dodavatel Vašeho ordinačního softwaru, pokud Vám současně poskytuje servis (např. zajišťuje zálohování, přistupuje do Vašeho počítače osobně či vzdáleně a provádí operace s daty atd.).

Dalším příkladem zpracovatele, s nímž musíte mít uzavřenu písemnou smlouvu o zpracování osobních údajů, je dodavatel služby zpracování dávek pro zdravotní pojišťovnu.

Vzor je zpracován dle ustanovení čl. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, které stanoví: „Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. … Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.“

Níže uvedená smluvní ujednání, která je vždy třeba přizpůsobit konkrétním podmínkám, mohou být zahrnuta v samostatné smlouvě, ale mohou být též součástí smlouvy jiné, např. smlouvy mandátní či smlouvy o spolupráci).

VZOR SMLOUVY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

………….. (poskytovatel zdravotních služeb)

se sídlem

IČO:

zapsaná v obchodním rejstříku vedeném……………, oddíl …, vložka ……...

zastoupená ……………..., jednatelem

(pozn. u podnikajících fyzických osob stačí uvést jen jméno, XXX a místo podnikání)

(dále jako „správce“)

a

………….

Se sídlem/s místem podnikání

IČ:

(dále jako „zpracovatel“)

níže uvedeného dne, měsíce a roku uzavřeli tuto

Smlouvu o zpracování osobních údajů

podle ustanovení čl. 28 podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, v platném znění (dále jen „Nařízení“)

(1) Zpracovatel je ve smyslu Nařízení a pro účely této smlouvy zpracovatelem osobních údajů. je ve smyslu zákona a pro účely této smlouvy správcem osobních údajů.

(2) Zpracovatel se na základě této smlouvy zavazuje zpracovávat pro správce osobní údaje, které správce získal v souvislosti se svou podnikatelskou činnosti, zejména při poskytování zdravotních služeb dle zákona č. 372/2011 Sb., o zdravotních službách, když se jedná zejména o osobní údaje pacientů, zaměstnanců a smluvních partnerů správce (dále jako „osobní údaje“).

(3) Tato smlouva se uzavírá v rozsahu práv a povinností, které pro její strany při zpracování osobních údajů dle odstavce 2 vyplývají z Nařízení.

(4) Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

(5) Tato smlouva se uzavírá za účelem ochrany osobních údajů při jejich zpracovávání zpracovatelem v rámci poskytování služeb …………. (administrátor softwaru, vedení účetnictví, atp.), jež jsou podrobně popsány ve smlouvě ……………… uzavřené mezi stranami dne ……………..

II.

(1) Zpracovatel se zavazuje přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů zpracovatelem.

(2) Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy, přičemž zajišťuje, kontroluje a odpovídá za:

a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a

d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány,

e) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,

f) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,

g) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

(3) V oblasti automatizovaného zpracování osobních údajů je zpracovatel v rámci opatření podle předchozího odstavce povinen také

a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,

b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,

c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a

d) zabránit neoprávněnému přístupu k datovým nosičům.

(4) Zpracovatel cestou vydání svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání, zajistí, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě smlouvy se zpracovatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím této smlouvě uzavírané mezi zpracovatelem a správcem a Nařízení, zejména bude sám (a závazně uloží i těmto osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací.

(5) Tam, kde je v této smlouvě zpracovateli stanovena povinnost spočívající v jednorázovém plnění, zavazuje se zpracovatel tuto povinnost splnit v objektivně nejkratší možné době po uzavření smlouvy.

III.

(1) Zpracovatel se zavazuje nahradit správci, případně třetím osobám, škodu, která vznikne v důsledku porušení této smlouvy ze strany zpracovatele, a to včetně škody způsobené uložením pokuty Úřadem pro ochranu osobních údajů správci. V případě hrubého porušení této smlouvy zpracovatelem je správce oprávněn požadovat smluvní pokutu ve výši…………, přičemž uhrazením smluvní pokuty není nijak dotčen nárok na náhradu škody. Povinnosti a odpovědnost dle tohoto odstavce dopadají na zpracovatele i v případě, že škodu způsobil jeho zaměstnanec nebo smluvní partner či s ním spolupracující osoby.

(2) Zpracovatel se zavazuje uzavřít pojištění pro případ škody z této smlouvy a po dobu jejího trvání jej udržovat.

IV.

(1) Tato smlouva nabývá platnosti a účinnosti jejím podpisem smluvními stranami a uzavírá se na dobu jednoho roku od jejího podpisu s tím, že neoznámí-li vždy jedna ze stran druhé smluvní straně před uplynutím této lhůty, že si pokračování smlouvy nepřeje, dochází k automatickému prodloužení smlouvy o další rok. Tato smlouva může být též ukončena dohodou stran nebo výpovědí s výpovědní lhůtou jednoho měsíce od jejího doručení druhé smluvní straně. Tato smlouva automaticky zaniká při zániku ostatních smluvních vztahů mezi správcem a zpracovatelem.

(2) Tato smlouva byla vyhotovena ve dvou stejnopisech s platností originálu, z nichž každá strana obdržela jeden.

V ……………………. dne …………….

…………………………………………. ……………………………………

Správce Zpracovatel