DODATEK Č. 2 KE SMLOUVĚ O PROVEDENÍ KLINICKÉHO HODNOCENÍ LÉČIVÉHO PŘÍPRAVKU
DODATEK Č. 2 KE SMLOUVĚ O PROVEDENÍ KLINICKÉHO HODNOCENÍ LÉČIVÉHO PŘÍPRAVKU
LPS14201
uzavřené dne 24.4.2017 mezi
sanofi-aventis, s.r.o.
sídlem: Evropská 846/176a, 160 00 Praha 6
IČO: 44848200 DIČ: CZ44848200
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 5968 zastoupená [OU OU], CSU ředitelem, na základě plné moci
dále jen zadavatel
a
Fakultní nemocnice Plzeň
sídlem: Edvarda Beneše 1128/13, 305 99 Plzeň IČO: 00669806
DIČ: CZ00669806
zastoupená : [OU OU], ředitelem
bankovní spojení: ČNB, Na Xxxxxxx 00, 00000 Xxxxx 0 xxxxx xxxx: 33739311/0710
dále jen poskytovatel zdravotních služeb nebo jen poskytovatel
a
xxxx. XXXx. Xxxxxxxx Xxxxx, Ph.D., MHA
[OU OU]
dále jen zkoušející
upravuje smlouvu takto:
Článek I. Dodatku
1. Období provedení KHLP v článku III Smlouvy sa mění na: KHLP bude realizováno do[ XX XX].
2. Článek XVIII. Ochrana osobních údajů se ruší a nahrazuje se článkem XVIII. Zpracování osobních údajů
1. Globální sponzor sanofi-aventis Group jako správce osobních údajů a zadavatel jako prvý zpracovatel osob- ních údajů si mezi sebou ujednali, že budou zpracovávat osobní údaje v souladu s článkem 28 Nařízení.
2. Poskytovatel a zkoušející na základě této smlouvy a v souvislosti s touto smlouvou poskytují zadavateli služby spo- jené s uskutečněním KHLP (dále jen „Služby“) tak jak jsou specifikovány v této smlouvě, přičemž zpracovávají osobní údaje jednak jako správci (zejména při vedení zdravotní dokumentace za účelem plnění právních povinností) a dále v určitém rozsahu také jako zpracovatelé (zejména tam, kde budou osobní údaje v souladu s protokolu číslo LPS14201 zpracovávat pro účely KHLP a plnění této smlouvy, přičemž tyto osobní údaje budou v pseudonymizova- né podobě poskytnuty zadavateli v konečném důsledku pro globálného sponzora).
3. V rámci plnění této smlouvy poskytovatel a zkoušející získávají od subjektů hodnocení osobní údaje ve smyslu pří- slušných právních předpisů, které jsou blíže specifikovány v odst. 9. této smlouvy (dále jen „Osobní údaje“).
4. Strany mají zájem na tom, aby zpracování Osobních údajů bylo v souladu s Nařízením.
5. Zadavatel podle pokynu globálního sponzora sděluje účel a prostředky zpracování v rámci protokolu číslo LPS14201. Primárně je za toto zpracování odpovědný globální sponzor jako správce. Na ochranu souvisejících práv zadavatele bude dohlížet společnost.
6. Strany jsou povinny uzavřít písemnou smlouvu o zpracování osobních údajů, přičemž tuto povinnost plní tímto článkem XVIII.
7. Strany se dohodly na zpracování osobních údajů na základě této smlouvy v souladu s Nařízením a dalšími právními předpisy.
8. Soulad zpracování Osobních údajů s Nařízením. Zaavatel tímto potvrzuje, že poskytovatel a zkoušející před uzavře- ním Xxxxxxx poskytli dostatečné záruky o tom, že zavedli vhodná technická a organizační opatření, kterými zajistili, že zpracování podle této smlouvy bude v souladu s Nařízením a dalšími právní předpisy a že bude zajištěna ochrana práv subjektů údajů, jejichž Osobní údaje budou poskytovatel a zkoušející zpracovávat podle pokynů zadavatele uvedených v protokolu číslo LPS14201.
9. Kategorie subjektů údajů. Poskytovatel a zkoušející budou podle pokynů zadavatele uvedených v protokolu číslo LPS14201 zpracovávat Osobní údaje následujících subjektů údajů:
a) Subjekty klinického hodnocení (dále jen „Subjekty údajů“)
b) Zkoušející, spoluzkoušející a další spolupracující osoby (dále jen „Zkoušející subjekty“)
10. Typ Osobních údajů. V rámci plnění této smlouvy budou poskytovatel a zkoušející zpracovávat následující typy Osobních údajů a dokumentů Subjektů údajů v rozsahu požadovaném zvláštními právními předpisy:
a) Identifikační údaje (jméno a příjmení)
b) Rodné číslo
c) Kontaktní údaje (e-mail, telefonní číslo)
d) Zvláštní kategorie osobních údajů – údaje o anamnéze, užívaných lécích a výsledcích všech vyšetření.
V rámci plnění této smlouvy budou poskytovatel a zkoušející zpracovávat následující typy Osobních údajů a dokumentů Zkoušejících subjektů v rozsahu požadovaném zvláštními právními předpisy:
a) Identifikační údaje (jméno a příjmení)
b) Rodné číslo
c) Kontaktní údaje (e-mail, telefonní číslo)
Jedná se o zejména následující typ informaci: celé jméno, adresa trvalého bydliště a údaje uvedené zkoušejícím v profes- ním životopisu poskytnutém společnosti.
11. Povaha a způsob zpracování. Zpracování Osobních údajů poskytovatelem a zkoušejícím bude spočívat zejména ve shromažďování Osobních údajů, zpracování Osobních údajů v elektronické databázi klinického hodnocení, přípravě zákonné dokumentace, výkazů a hlášení, předávání Osobních údajů státním orgánům a dalším oprávněným osobám. Osobní údaje subjektů údajů budou zadavateli předávány v kódované – pseudonymizované podobě. Zpracování bu- de probíhat automatizovaně i manuálně.
12. Doba trvání zpracování Osobních údajů. Poskytovatel a zkoušející budou Osobní údaje zpracovávat po dobu účin- nosti této smlouvy a následně budou uchovávat osobní údaje po dobu 25 let, případně déle, bude-li to vyžadováno příslušnými právními předpisy.
PRÁVA A POVINNOSTI ZADAVATELE
13. Prohlášení společnost. Zadavatel prohlašuje, že:
a) bude získávat a shromažďovat Osobní údaje pouze v rozsahu a v souladu s Nařízením a dalšími právními předpisy,
b) je povinna zpracovávat Osobní údaje pro plnění právních povinností globálního sponzora,
c) je oprávněna zpracovávat Osobní údaje bez souhlasu Subjektů údajů,
d) je oprávněna uzavřít tuto smlouvu s poskytovatelem a zkoušejícím.
14. Práva společnosti. Zadavatel má právo být pravidelně informována o stavu ochrany Osobních údajů, zejména o plá- novaných změnách v procesech a systémech užívaných při zpracování Osobních údajů a o všech bezpečnostních in- cidentech týkajících se Osobních údajů, a vykonávat pravidelné kontroly u poskytovatele a zkoušejícího ohledně zpracování Osobních údajů podle pokynů zadavatele uvedených v protokolu číslo LPS14201.
15. Povinnosti zadavatele. Zadavatel je povinnen:
a) sdělovat pokyny zadavatele ke zpracování Osobních údajů prokazatelným způsobem, tj. písemně nebo e-mailem a v neodkladných záležitostech i ústně s tím, že tento pokyn bude následně potvrzen e-mailem nebo písemně,
b) v případě, že pokyny sdělované zadavateli porušují Nařízení nebo jiné právní předpisy a poskytovatel a/nebo zkoušejí- cí na to zadavatele upozorní, bezodkladně změnit pokyny ke zpracování Osobních údajů,
c) informovat Subjekty údajů o zpracování Osobních údajů poskytovatelem a zkoušejícím ke dni účinnosti této smlouvy,
d) dodržovat základní zásady pro zpracování Osobních údajů stanovené Nařízením a odpovídá za jejich dodržování v průběhu celého zpracování Osobních údajů.
POVINNOSTI POSKYTOVATELE A ZKOUŠEJÍCÍHO
16. Povinnosti poskytovatele a zkoušejícího. Poskytovatel a zkoušející se zavazují při zpracovávání Osobních údajů podle pokynů zadavatele uvedených v protokolu číslo LPS14201 plnit povinnosti zpracovatelů stanovené Nařízením, případně dalšími právními předpisy a touto smlouvou, a to zejména:
a) dodržovat prostředky a způsoby zpracování Osobních údajů stanovené touto smlouvou,
b) zajistit, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahovala zákonná povinnost mlčenlivosti,
c) přijmout všechna bezpečnostní opatření požadovaná Nařízením, dalšími právními předpisy a touto smlouvou,
d) nezapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného povolení zadavate- le. V případě obecného písemného povolení budou poskytovatel a zkoušející informovat zadavatele o veškerých změ- nách týkajících se přijetí další zpracovatelů nebo jejich nahrazení, a poskytnou zadavateli příležitost vyslovit vůči těmto změnám námitky,
e) být nápomocni pro splnění povinnosti zadavatele reagovat na žádosti Subjektů údajů, zejména umožnit Subjektům úda- jů přístup k Osobním údajům, včetně poskytnutí kopie Osobních údajů, opravit nebo doplnit nepřesné Osobní údaje, vy- mazat Osobní údaje, které již nejsou zapotřebí, nebo jsou zpracovány protiprávně, a omezit zpracování, pokud jsou zpra- covávány nepřesné Osobní údaje nebo Subjekty údajů požadují omezení zpracování místo výmazu Osobních údajů. Po- skytovatel a zkoušející jsou povinni na výzvu zadavatele ohledně žádosti Subjektů údajů reagovat bezodkladně a předat požadované informace nebo sdělení zadavateli nejpozději do 1 měsíce od obdržení výzvy zadavatele. V případě, že poža- davek Subjektu údajů je oprávněný a poskytovatel a zkoušející nemohou příslušné informace nebo sdělení poskytnout ve výše uvedené lhůtě, jsou povinni v této lhůtě zadavatele informovat o této skutečnosti a jejích důvodech,
f) podle pokynů sdělených zadavatelem být nápomocni globálnímu sponzorovi při plnění jeho povinností podle Nařízení, zejména při plnění povinnosti zabezpečit zpracování Osobních údajů a ohlašovat bezpečnostní incidenty Úřadu pro ochranu osobních údajů a Subjektům údajů,
g) v případě zjištění bezpečnostního incidentu ohlásit tento incident bez zbytečného odkladu společnosti a vést evidenci o všech bezpečnostních incidentech týkajících se Osobních údajů,
h) zasílat všechna sdělení, informace a hlášení v elektronické formě s příslušným zabezpečením, ledaže zadavatel stanoví jinak,
i) poskytnout zadavateli veškeré informace potřebné k doložení splnění všech povinností podle Nařízení, dalších právních předpisů a Smlouvy,
j) umožnit globálnímu sponzorovi, zadavateli nebo pověřenému auditorovi audity a inspekce zpracování Osobních údajů poskytovatelem a/nebo zkoušejícím a přispívat k těmto auditům,
k) informovat neprodleně zadavatele v případě, že určitý pokyn sdělený zadavateli pravděpodobně porušuje Nařízení, jiné právní předpisy nebo Xxxxxxx,
l) nepředávat Osobní údaje třetím osobám bez pověření zadavatele, nebo pokud tak nestanoví právní předpisy.
TECHNICKÉ A ORGANIZAČNÍ ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
17. Povinnost zamezit neoprávněnému zpracování Osobních údajů. Poskytovatel a zkoušející se zavazují přijmout tako- vá opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům, k jejich změně, zni- čení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osob- ních údajů.
18. Ochranná opatření. Poskytovatel a zkoušející se zavazují učinit zejména následující ochranná opatření:
a) chránit prostory, ve kterých jsou zpracovávány Osobní údaje: hlídací služba, omezený vstup, zálohy na serveru v jiné budově,
b) chránit přístup do IT systémů, ve kterých jsou zpracovávány Osobní údaje: omezená přístupová práva, přistup na zá- kladě hesel, včetně stanovení pravidel pro hesla, bezpečnostní zálohy, antivirová ochrana, pseudonymizace, šifrování,
c) chránit papírové spisy, dokumenty a další média obsahující Osobní údaje před neoprávněným přístupem uzamčením ve skřínkách a archivech, dodržování pravidel čistého stolu a zákazu hromadění dokumentů na tiskárnách, kopírkách a faxech,
d) určit pověřené zaměstnance ke zpracování Osobních údajů, pouze tito zaměstnanci jsou oprávněni k přístupu a zpraco- vání Osobních údajů v souladu s ustanoveními Smlouvy,
e) poučit o povinnosti zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních zaměstnance poskytova- tele nebo zkoušejícího a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do sty- ku s Osobními údaji u poskytovatele a/nebo zkoušejícího,
f) pravidelně školit zaměstnance poskytovatele a zkoušejícího v oblasti ochrany Osobních údajů a testovat jejich znalosti,
g) v případě porušení povinností při zpracování Osobních údajů zaměstnanci poskytovatele nebo zkoušejícího vyvodit maximální možné důsledku podle pracovněprávních předpisů,
h) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly Osobní údaje zazname- nány nebo jinak zpracovány,
i) pravidelně testovat a hodnotit účinnost zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
j) zajistit neustálou dostupnost všech systémů zpracování a obnovit dostupnost Osobních údajů v případě bezpečnostních incidentů,
k) přijmout případně další technická opatření, která jsou obecně uznávána jako bezpečnostní opatření pro užívaný způsob zpracování Osobních údajů.
19. Povinnost dokumentovat přijatá opatření. Poskytovatel a zkoušející se zavazují zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s Nařízením a právními předpisy ČR.
ODPOVĚDNOST STRAN
20. Odpovědnost. Zadavatel a strany, které zpracovávají osobní údaje jako správci, odpovídají za dodržení všech zásad a povinností při zpracování Osobních údajů. V této souvislosti se strany zavazují bez zbytečného odkladu vypořádat vzájemná práva a povinnosti podle míry své účasti na případném porušení povinnosti.
21. Náhrada újmy. Zadavatel a strany, které zpracovávají osobní údaje jako správci, jsou odpovědni za újmu, kterou způsobí zpracováním Osobních údajů, které porušuje Nařízení, jiné právní předpisy a Smlouvu. Zadavatel nebo stra- ny se odpovědnosti za újmu zprostí, pokud prokážou, že nenesou žádným způsobem odpovědnost za událost, která vedla ke vzniku újmy. Jestliže (i) zadavatel a/nebo společnost nebo (ii) poskytovatel a/nebo zkoušející zaplatí plnou náhradu způsobené újmy, pak mají právo žádat po druhé straně vrácení části náhrady, která odpovídá jejímu podílu na odpovědnosti za újmu.
Článek II. Dodatku
1. Ostatní ujednání smlouvy zůstávají nedotčena.
2. Tento dodatek bude uveřejněn v registru smluv v souladu se zněním smlouvy a nabývá platnosti dnem podpisu oběma smluvními stranami a účinnosti dnem zveřejnění v registru smluv.
3. Tento dodatek ke smlouvě je vyhotoven ve třech stejnopisech, z nichž každá strana obdrží po jednom.
4. Na důkaz souhlasu se zněním dodatku smlouvy připojují smluvní strany své podpisy.
V Praze dne: | V Plzni dne: | V Plzni dne: |
zadavatel: | zkoušející | poskytovatel: |
[OU OU] xxxx. XXXx. Xxxxxxxx Xxxxx, Ph.D., MHA [OU OU]
ředitel CSU ředitel