DOHODA O OCHRANĚ OSOBNÍCH ÚDAJŮ UZAVŘENÁ SE SPOLEČNOSTÍ IDEXX
DOHODA O OCHRANĚ OSOBNÍCH ÚDAJŮ UZAVŘENÁ SE SPOLEČNOSTÍ IDEXX
(Revidované znění z května 2018)
(A) Společnost IDEXX Europe B.V. nebo subjekt k ní přidružený (v příslušných případech dále jen „společnost IDEXX“) a uživatel jedné nebo více služeb uvedených v příloze A této dohody o ochraně osobních údajů (dále jen „zákazník“) uzavřeli dohodu o poskytnutí takových služeb společností IDEXX. V rámci dohody bude společnost IDEXX provádět zpracování osobních údajů jménem a ve prospěch zákazníka a v postavení zpracovatele osobních údajů.
(B) Jestliže tak s ohledem na určitou službu společnosti IDEXX stanoví přílohy této dohody o ochraně osobních údajů, společnost IDEXX bude dále provádět zpracování osobních údajů v rámci dohody a v postavení (společného) správce osobních údajů, přičemž (společně) stanoví účely a způsoby zpracování osobních údajů.
(C) Ujednání smluvních stran týkající se zpracování osobních údajů jsou stanovena touto dohodou o ochraně osobních údajů v souladu s platnými právními předpisy.
(D) Společnost IDEXX a zákazník budou společně označováni jako „smluvní strany“ nebo samostatně jako „smluvní strana“.
1 Návaznost na dohodu
1.1 Tato dohoda o ochraně osobních údajů je přílohou dohody, na níž odkazuje příloha A, a ruší jakákoliv (ústní a/nebo písemná) ujednání staršího data týkající se zpracování osobních údajů mezi zákazníkem, který jedná v postavení správce osobních údajů, a společností IDEXX, která jedná v postavení zpracovatele osobních údajů, případně (společného) správce osobních údajů.
1.2 Není-li v této dohodě o ochraně osobních údajů výslovně uvedeno jinak, platí v případě rozporů mezi ustanoveními dohody, zásadami ochrany osobních údajů uvedenými v dohodě a touto dohodou o ochraně osobních údajů následující pořadí:
1. dohoda o ochraně osobních údajů;
2. dohoda;
3. zásady ochrany osobních údajů uvedené v dohodě a
4. jakákoliv jiná příslušná dohoda nebo jiná ujednání smluvních stran.
2 Struktura této dohody o ochraně osobních údajů
2.1 Část A obsahuje definice a obecné informace týkající se zpracování osobních údajů v rámci této dohody o ochraně osobních údajů. Tato část se vztahuje jak na situaci, v níž společnost IDEXX jedná v postavení zpracovatele osobních údajů, tak i na případy, kdy jedná v postavení správce osobních údajů ve vztahu k osobním údajům.
2.2 Část B obsahuje ustanovení, která se vztahují pouze na situaci, v níž společnost IDEXX jedná v postavení zpracovatele osobních údajů ve vztahu k osobním údajům.
2.3 Část C obsahuje ustanovení, která se vztahují pouze na situaci, v níž společnost IDEXX jedná v postavení správce osobních údajů ve vztahu k osobním údajům, jak je případně uvedeno v přílohách této dohody.
2.4 Část D obsahuje závěrečná ustanovení. Tato část se vztahuje jak na situaci, v níž společnost IDEXX jedná v postavení zpracovatele osobních údajů, tak i na případy, kdy jedná v postavení správce osobních údajů ve vztahu k osobním údajům.
ČÁST A – obecné
3 Definice
3.1 Není-li touto dohodou o ochraně osobních údajů stanoveno jinak, všechny definice uvedené v dohodě se vztahují i na tuto dohodu o ochraně osobních údajů. Na tuto dohodu o ochraně osobních údajů se dále vztahují následující definice:
3.2 přidružený subjekt: jakákoliv osoba nebo organizace (dále jen „osoba“) kontrolující jinou osobu, jinou osobou kontrolovaná nebo pod společnou kontrolou s jinou osobou; Pro tyto účely se „kontrolou“ rozumí
(i) přímá nebo nepřímá pravomoc řídit vedení nebo určovat zásady dotčené organizace, ať již prostřednictvím vlastnictví cenných papírů s hlasovacím právem, na základě smlouvy nebo jiným způsobem nebo (ii) přímé nebo nepřímé vlastnictví nejméně padesáti procent (50 %) cenných papírů s hlasovacím právem nebo jiného vlastnického podílu v dotčené organizaci, případně maximálního přípustného procentuálního podílu vlastnictví, jestliže taková organizace sídlí v zemi, kde tato míra vlastnictví není přípustná;
3.3 narušení bezpečnosti osobních údajů: narušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému vyzrazení nebo přístupu k předávaným, uchovávaným nebo jinak zpracovávaným osobním údajům;
3.4 dohoda o ochraně osobních údajů: tato dohoda o ochraně osobních údajů a veškeré její změny, nahrazení, aktualizace nebo pozdější verze;
3.5 systém pro zpracování osobních údajů: systém používaný společností IDEXX nebo jejími subdodavateli pro zpracování osobních údajů;
3.6 subjekt osobních údajů: osoba, k níž se osobní údaje vztahují;
3.7 zaměstnanci: zaměstnanci a další osoby zapojené společností IDEXX do plnění smlouvy;
3.8 státní orgán: příslušný státní orgán;
3.9 organizace sídlící mimo EHP: jakákoliv organizace angažovaná společností IDEXX jako subdodavatel, začleněná a/nebo zpracovávající osobní údaje spravované zákazníkem v zemi mimo Evropský hospodářský prostor a/nebo zemi, jež se podle rozhodnutí Evropské komise považuje za zemi neposkytující dostatečnou úroveň ochrany osobních údajů a/nebo nedodržující dohody EU-USA Privacy Shield;
3 . 1 0 osobní údaje: veškeré údaje týkající se identifikované nebo identifikovatelné žijící fyzické osoby.
4 Předmět této dohody o ochraně osobních údajů
4.1 Společnost IDEXX bude provádět zpracování osobních údajů jménem a ve prospěch zákazníka a v postavení zpracovatele osobních údajů. Jestliže tak stanoví přílohy této dohody, společnost IDEXX bude
dále provádět zpracování osobních údajů v postavení (společného) správce, a to spolu se zákazníkem, přičemž (společně) stanoví účely a způsoby zpracování osobních údajů.
4.2 Tato dohoda o ochraně osobních údajů byla ujednána jménem a ve prospěch společnosti IDEXX a k ní přidružených subjektů. Odkazuje-li tato dohoda o ochraně osobních údajů na společnost IDEXX, je tím míněn i jakýkoliv subjekt k ní přidružený. Společnost IDEXX je oprávněna vymáhat plnění této dohody o ochraně osobních údajů pro své vlastní účely a současně jménem kteréhokoliv ze subjektů k ní přidružených. Subjekty přidružené ke společnosti IDEXX jsou dále oprávněny vymáhat plnění této dohody o ochraně osobních údajů, jako by byly jejími stranami.
5 Zpracování osobních údajů
5.1 Přílohy této dohody o ochraně osobních údajů obsahují popis činností v oblasti zpracování osobních údajů. Smluvní strany budou udržovat přiměřeně chráněné písemné nebo elektronické záznamy o všech kategoriích zpracovatelských činností prováděných v souladu s platnými právními předpisy. Toto platí za předpokladu, že takový záznam dosud nebyl předmětem této dohody o ochraně osobních údajů.
5.2 Zákazník zaručuje, že zpracování osobních údajů provádí, případně bude provádět v souladu s platnými právními předpisy. Po první žádosti společnosti IDEXX této zákazník neprodleně poskytne veškeré relevantní požadované informace, a to v písemné podobě, kterou může být například elektronický formát. Společnost IDEXX nenese právní ani jinou odpovědnost za dodržování zákazníkových povinností daných platnými právními předpisy, mimo jiné včetně zákazníkových povinností vůči jeho zákazníkům nebo klientům, jako je zákazníkova povinnost informovat svého zákazníka nebo klienty o příjemcích jejich osobních údajů.
5.3 Při zohlednění povahy zpracování osobních údajů a informací, které jsou smluvním stranám k dispozici, si smluvní strany navzájem poskytnou veškerou nezbytnou součinnost při plnění povinností, které jim ukládají platné právní předpisy, zejména povinností týkajících se bezpečnosti osobních údajů, povinnosti oznamovat porušení bezpečnosti osobních údajů a informační povinnosti a při posuzování dopadu ochrany osobních údajů, včetně předchozí konzultace s příslušným státním úřadem.
ČÁST B – zpracovatel osobních údajů
6 Zpracování osobních údajů v postavení zpracovatele osobních údajů
6.1 Společnost IDEXX bude zpracování osobních údajů provádět pouze jménem zákazníka a v souladu s dokumentovanými pokyny, které zákazník případně poskytne, včetně případů souvisejících s předáváním osobních údajů do třetí země. Společnost IDEXX bude zákazníka neprodleně informovat, jestliže je dle jejího názoru některý ze zákazníkových pokynů v rozporu s platnými právními předpisy. Společnost IDEXX nemůže v souvislost s osobními údaji, jejichž zpracování provádí, samostatně rozhodovat. Pokud to nevyžadují platné právní předpisy, společnost IDEXX nebude zpracování osobních údajů provádět pro své vlastní účely, ve prospěch či pro účely třetích stran ani pro jiné účely.
6.2 Přílohy obsahují seznam (skupin) zaměstnanců společnosti IDEXX a/nebo dalších osob angažovaných společností IDEXX, které mohou mít přístup k osobním údajům, a popisuje druhy osobních údajů a činnosti v oblasti zpracování osobních údajů, které mohou tyto osoby vykonávat; jiné zpracovatelské činnosti jsou výslovně zakázány. Společnost IDEXX zajistí, aby se tyto osoby zavázaly zachovávat mlčenlivost, nejsou-li vázány příslušnou zákonnou povinností zachovávat mlčenlivost. Společnost IDEXX zajistí, aby tito zaměstnanci nebo jiné osoby jí angažované dodržovali všechny povinnosti stanovené touto dohodou o ochraně osobních údajů a dohodou.
7 Subdodavatelé
7.1 Společnost IDEXX může angažovat subdodavatele (zpracovatele dílčích osobních údajů). Informace o subdodavatelích společnosti IDEXX, včetně jejich rolí a lokalit, jsou k dispozici na adrese xxx.xxxxx.xx/xxxx (kterou může společnost IDEXX příležitostně aktualizovat). Společnost IDEXX bude zákazníka informovat o všech zamýšlených změnách týkajících se doplnění nebo nahrazení těchto subdodavatelů, a to způsobem stanoveným společností IDEXX. Zákazník může proti jakémukoliv novému subdodavateli vznést námitku, a to ukončením dohody na základě písemné výpovědi doručené společnosti IDEXX a za předpokladu, že zákazník doručí takovou výpověď společnosti IDEXX do 60 dnů od okamžiku, kdy společnost IDEXX zákazníka o angažování subdodavatele informovala. Právo ukončit dohodu je zákazníkovým jediným a výlučným opravným prostředkem v případě, že vznese námitku proti kterémukoliv novému subdodavateli.
7.2 V případě zajištění subdodávek na činnosti v oblasti zpracování osobních údajů (a) společnost IDEXX s takovým subdodavatelem uzavře písemnou smlouvu o zpracování dílčích osobních údajů, jejíž součástí budou povinnosti týkající se ochrany soukromí a osobních údajů přinejmenším stejně přísné jako povinnosti stanovené touto dohodou o ochraně osobních údajů, a její plnění bude vymáhat a (b) společnost IDEXX i nadále ponese právní odpovědnost i jinou odpovědnost za plnění svých závazků vyplývajících z dohody, z této dohody o ochraně osobních údajů a z platných právních předpisů.
8 Bezpečnostní opatření
8.1 Společnost IDEXX zavede příslušná technická a organizačně bezpečnostní opatření k zajištění přiměřené míry zabezpečení osobních údajů, mimo jiné s ohledem na povinnost správce osobních údajů odpovídat na požadavky subjektů osobních údajů uplatňujících svá práva. Technická a organizačně bezpečnostní opatření, která bude společnost IDEXX zavádět s přihlédnutím k nejmodernějším technologiím, nákladům na jejich zavedení a povaze, rozsahu, kontextu a účelu zpracování osobních údajů, jakož i k různé míře pravděpodobnosti a závažnosti rizik ovlivňujících práva a svobody fyzických osob, jsou popsána v příslušném dodatku o zabezpečení. Společnost IDEXX může svá bezpečnostní opatření příležitostně aktualizovat nebo upravovat, a to za předpokladu, že v důsledku takových aktualizací a úprav nedojde k snížení celkové bezpečnosti služeb.
8.2 Společnost IDEXX svá technická a organizačně bezpečnostní opatření pravidelně hodnotí a v případě potřeby je aktualizuje. Na základě písemné žádosti zákazníka tomuto společnost IDEXX poskytne důvěrnou zprávu shrnující hodnocení bezpečnostních opatření provedené společností IDEXX.
9 Hlášení narušení bezpečnosti osobních údajů
9.1 Společnost IDEXX bude dodržovat příslušné postupy určené k odhalování a řešení všech narušení bezpečnosti osobních údajů v souladu s platnými právními předpisy.
9.2 Povinnost společnosti IDEXX informovat zákazníka o narušení bezpečnosti osobních údajů a podniknout kroky s tím související nepředstavuje ze strany společnosti IDEXX uznání jakékoliv vady ani přijetí právní odpovědnosti v souvislosti s daným narušením bezpečnosti osobních údajů.
9.3 Jakmile společnost IDEXX odhalí narušení bezpečnosti osobních údajů, o němž zákazníka dosud neinformovala, bude jej o něm bez zbytečného odkladu informovat, a to způsobem stanoveným společností IDEXX. Společnost IDEXX bude informovat zákazníkovu kontaktní osobu pověřenou zákazníkem v souvislosti se službami.
9.4 Je-li si zákazník sám vědom narušení bezpečnosti osobních údajů, které se týká poskytování služeb společností IDEXX, bez zbytečného odkladu o něm informuje společnost IDEXX, přičemž uvede i opatření, která byla nebo budou zákazníkem přijata.
9.5 Po odhalení narušení bezpečnosti osobních údajů společností IDEXX tato zákazníkovi poskytne veškerou přiměřenou zpětnou vazbu ohledně možného dopadu narušení bezpečnosti osobních údajů na zákazníka a dotčené subjekty osobních údajů. Součástí zpětné vazby je popis povahy a rozsahu narušení bezpečnosti osobních údajů a plánovaných i přijatých opatření k předcházení škodám.
9.6 Na žádost zákazníka společnost IDEXX rovněž poskytne přiměřenou pomoc nezbytnou při sestavování příslušné dokumentace v souvislosti s narušením bezpečnosti osobních údajů. Zákazník bude však i nadále povinen uchovávat interní přehled případů narušení bezpečnosti osobních údajů, k nimž dojde.
9.7 Jestliže zákazník společnost IDEXX požádá, aby dotčené subjekty osobních údajů a/nebo příslušný státní úřad informovala o narušení bezpečnosti osobních údajů, společnost IDEXX tak učiní až tehdy, obdrží-li od zákazníka písemné a úplné pokyny. Ze strany společnosti IDEXX tímto ve vztahu k (oznámení o) narušení bezpečnosti osobních údajů nedochází k přijetí jakékoliv právní ani jiné odpovědnosti.
10 Zákazníkova práva na provedení auditu
1 0 . 1 Zákazník může na vlastní náklady a po předchozí konzultaci se společností IDEXX provést audit systému pro zpracování osobních údajů, aby zjistil, zda jsou přiměřená technická a organizačně bezpečnostní opatření přijatá v souvislosti s osobními údaji zpracovávanými v rámci této dohody o ochraně osobních údajů v souladu s opatřeními uvedenými v článku 8.
1 0 . 2 Společnost IDEXX zákazníkovi zpřístupní veškeré informace, které jsou v přiměřené míře nezbytné k prokázání plnění zákazníkových povinností uzavřít dohodu o zpracování osobních údajů v souladu s příslušnými požadavky, které v tomto ohledu stanoví platné právní předpisy, a umožnit a přispět k provedení auditu, včetně inspekcí prováděných zákazníkem nebo jím pověřeným auditorem. Po konzultaci se společností IDEXX může zákazník při výkonu svých práv na provedení auditu angažovat třetí stranu (odborně způsobilou), a to za předpokladu, že taková třetí strana bude vázána povinností zachovávat mlčenlivost.
1 0 . 3 V důsledků provádění auditu zákazníkem nebo jeho jménem nesmí docházet k žádným prostojům v podnikatelské činnosti společnosti IDEXX ani žádného z jejích subdodavatelů.
11 Předávání osobních údajů
1 1 . 1 Společnost IDEXX může osobní údaje předávat do svých provozoven ve Spojených státech, kde je může i uchovávat. Společnost IDEXX je certifikována v souladu s dohodou EU-USA Privacy Shield a plní její požadavky, Rozsah certifikace zahrnuje i předávání osobních údajů do provozoven společnosti IDEXX ve Spojených státech.
1 1 . 2 Pojme-li společnost IDEXX úmysl předávat osobní údaje organizacím sídlícím mimo EHP, bude o svém úmyslu informovat zákazníka. Společnost IDEXX tímto zákazníka informuje o tomto svém úmyslu v souvislosti se subdodavateli, kteří jsou uvedení v článku 7 této dohody o ochraně osobních údajů a sídlí mimo EHP.
1 1 . 3 Předávání osobních údajů organizacím sídlícím mimo EHP může být povoleno na základě dohody EU- USA Privacy Shield, a to za předpokladu, že se jedná o organizaci sídlící v USA, která provedla vlastní
certifikaci podle dohody EU-USA Privacy Shield, a že rozsah certifikace takové předávání osobních údajů zahrnuje.
1 1 . 4 Podle okolností může být předávání osobních údajů organizacím sídlícím mimo EHP rovněž povoleno na základě původních Evropskou unií doporučovaných standardních smluvních doložek upravujících vztah mezi správcem a zpracovatelem. Tyto standardní smluvní doložky bez volitelných ustanovení se považují za začleněné do této dohody formou odkazu a použijí se ve vztahu mezi zákazníkem a organizací sídlící mimo EHP. Toto platí v případech, kdy jsou osobní údaje, na něž se vztahují zákony o ochraně osobních údajů členské země EHP, předávány z EHP organizaci sídlící mimo EHP. Platné standardní smluvní doložky zde začleněné v souladu s tímto článkem byly společností IDEXX jednající v postavení právního zástupce organizace sídlící mimo EHP ujednány jménem a v zastoupení takové organizace.
1 1 . 5 Žádná z částí (textu) dohody ani této dohody o ochraně údajů nebude upřednostňována před jakýmkoliv protichůdným ustanovením standardních smluvních doložek. Zákazník potvrzuje, že měl možnost přezkoumat standardní smluvní doložky, případně požádat společnost IDEXX o jejich úplné znění.
12 Žádosti subjektů osobních údajů
Společnost IDEXX poskytne zákazníkovi veškerou přiměřenou součinnost, aby tomuto usnadnil plnění jeho povinnosti v postavení správce osobních údajů v případě, že subjekt osobních údajů uplatní jakékoliv své právo podle platných právních předpisů.
ČÁST C – správce osobních údajů
13 Společnost IDEXX jednající v postavení (společného) správce osobních údajů
Pokud společnost IDEXX stanoví účely a způsoby zpracování osobních údajů samostatně nebo (společně) se zákazníkem, společnost IDEXX bude následně jednat v postavení (společného) správce osobních údajů, a to v souvislosti s činnostmi v oblasti zpracování osobních údajů, které jsou popsány v příslušné příloze.
14 Informační povinnost vůči subjektům osobních údajů a jejich práva
1 4 . 1 V případě společné správy osobních údajů bude zákazník informovat subjekty osobních údajů o zpracování jejich osobních údajů a o podstatě ujednání mezi smluvními stranami v souladu s pokyny, které společnost IDEXX poskytla (poskytne). Zákazník zaručuje, že bude informovat subjekty osobních údajů podle pokynů společnosti IDEXX a v tomto ohledu poskytne společnosti IDEXX veškeré požadované informace v písemné podobě.
1 4 . 2 Smluvní strany budou dále vzájemně a v plné míře spolupracovat za účelem plnění svých zákonných povinností správce osobních údajů v případě, že subjekt osobních údajů uplatní svá práva podle platných právních předpisů.
1 4 . 3 Smluvní strany berou na vědomí, že bez ohledu na podmínky dohody o ochraně osobních údajů nemohou být subjekty osobních údajů zbaveny možnosti uplatnit svá práva podle platných právních předpisů vůči smluvním stranám.
ČÁST D – obecné
15 Náklady
1 5 . 1 Náklady, které mohou společnosti IDEXX vzniknout při plnění jejích povinností vyplývajících z této dohody o ochraně osobních údajů (například poskytnutím součinnosti zákazníkovi při vyřizování žádostí subjektů osobních údajů), mohou ze strany společnosti IDEXX vést k tomu, že budou zákazníkovi naúčtovány vícepráce. V takovém případě společnost IDEXX zákazníka informuje o vzniklé situaci.
16 Odškodnění
1 6 . 1 Zákazník společnost IDEXX v plném rozsahu odškodní v souvislosti s jakýmkoliv nárokem třetí strany, včetně kteréhokoliv subjektu osobních údajů, vzneseným vůči společnosti IDEXX v důsledku porušení platných právních předpisů, které lze přičíst zákazníkovi nebo kterémukoliv z jeho zaměstnanců nebo dodavatelů.
17 Doba platnosti dohody a její ukončení
1 7 . 1 Tato dohoda o ochraně osobních údajů vstoupí v platnost dnem, kdy společnost IDEXX jménem zákazníka poprvé zpracuje osobní údaje v rámci plnění dohody.
1 7 . 2 Tato dohoda o ochraně osobních údajů zůstane platná po celou dobu trvání dohody. V případě, že dojde k ukončení dohody, tato dohoda o ochraně osobních údajů bude rovněž ze zákona ukončena, a to bez dalších právních kroků.
1 7 . 3 Není-li stanovena minimální zákonná doba uchovávání osobních údajů ze strany společnosti IDEXX, tato zajistí, aby po ukončení této dohody o ochraně osobních údajů nebo k dřívějším datu, jestliže zákazník shledá, že osobní údaje nebo jakákoliv jejich část již nadále není vyžadována pro účely poskytování služeb, dle zákazníkovy volby a na jeho žádost v písemné podobě, kterou může být například elektronický formát, došlo k (i) vrácení nebo poskytnutí osobních údajů zákazníkovi, nebo (ii) jejich okamžité likvidaci. Toto vrácení nebo likvidace osobních údajů se uskuteční do 90 dnů od takového ukončení dohody nebo případné zákazníkovy žádosti.
1 7 . 4 Společnost IDEXX se zavazuje zajistit okamžité ukončení a upuštění od veškerého dalšího zpracování (příslušných) osobních údajů, jakmile dojde k jejich poskytnutí, vrácení nebo likvidaci.
1 7 . 5 Jakýkoliv závazek vyplývající z této dohody o ochraně osobních údajů, jehož účinky z povahy věci trvají i po jejím zániku, zůstane v platnosti i po ukončení této dohody o ochraně údajů.
18 Odchylky a nové vyjednávání
1 8 . 1 Odchylky a dodatky k této dohodě o ochraně osobních údajů jsou platné pouze tehdy, jestliže byly výslovně ujednány v písemné podobě, kterou může být například elektronický formát.
1 8 . 2 Zákazník bude společnost IDEXX neprodleně informovat o všech změnách, které v souvislosti s dohodou a zpracováním osobních údajů jsou nebo mohou být relevantní.
1 8 . 3 Smluvní strany jsou oprávněny tuto dohodu o ochraně osobních údajů znovu projednat, jestliže k tomu existují důvody v důsledku změny okolností.
1 8 . 4 Dojde-li k přeložení této dohody o ochraně osobních údajů do více jazyků, její anglické znění bude pro účely jejího výkladu nebo v případě rozporu nebo nesouladu mezi jednotlivými překlady považováno za původní.
Soupis A
Služby společnosti IDEXX, na něž se vztahuje tato dohoda o ochraně osobních údajů | Dohoda | Platné přílohy |
VetConnect® PLUS | VetConnect® PLUS Podmínky poskytování služeb | Příloha A |
SmartServiceTM | Dohoda SmartServiceTM | Příloha B |
Příloha A: VetConnect® PLUS
Popis služeb: VetConnect® PLUS | |||
I | Popis zpracovatelských činností, při nichž společnost IDEXX jedná v postavení zpracovatele osobních údajů. | 1. | Elektronické hlášení a prezentace kombinovaného formátu laboratorních a diagnostických výsledků zjištěných klinikou, laboratorní objednávky, odesílání žádostí o konzultaci klinikou, prezentace elektronických snímků a tisk a předávání (včetně emailem) zpráv a diagnostických výsledků majitelům domácích mazlíčků; zajištění analýzy výkonu nebo využití služby pro zákazníka, a to buď samostatně pro daného zákazníka nebo ve srovnání s jinými klinikami bez udání identifikačních údajů; monitorování, řešení problémů a diagnostika služeb; zálohování a ukládání zákazníkových dat. |
2. | Jakékoliv budoucí funkce, moduly a doplňky popsané na stránkách xxxxx.xxx, které mohou být příležitostně aktualizovány. | ||
II | Popis zpracovatelských činností, při nichž společnost IDEXX jedná v postavení (společného) správce osobních údajů. | 1. | Provádění souhrnné pseudonymizované analýzy trhu s použitím nezpracovaných údajů, z nichž nelze identifikovat fyzickou osobu a které byly poskytnuty v rámci služeb za účelem předjímání potřeb zákazníků, získání know-how, které bude obecně prospěšné pro veterinární praxi, a poskytování profesionálních služeb a zdravotnického vzdělávání v oboru veterinárního lékařství; analýza využití služby za účelem zlepšení uživatelské zkušenosti a vylepšení a zdokonalení produktu. |
I Podrobnosti zpracovatelských činností, při nichž společnost IDEXX jedná v postavení zpracovatele osobních údajů – VetConnect® PLUS | |||||
Účely činností v oblasti zpracování osobních údajů | Období zpracovávání osobních údajů | Kategorie subjektů osobních údajů | Osobní údaje (druhy osobních údajů) zpracovávané společností IDEXX | Zaměstnanci (skupiny zaměstnanců) nebo jiné osoby angažované společností IDEXX, které mají nebo mohou mít přístup k osobním údajům. | Zaměstnanci (skupiny zaměstnanců) nebo jiné osoby angažované společností IDEXX, které mají nebo mohou mít přístup k osobním údajům. |
Software | Jak je uvedeno v článku 17, jedná se o minimální zákonnou dobu uchovávání osobních údajů ze strany společnosti IDEXX. | zákazník, zákazníkovy zaměstnanci, majitelé domácích mazlíčků | křestní jméno a příjmení, emailová adresa, název kliniky, emailová a poštovní adresa | A skupina softwarového inženýrství B činnosti v rámci vývoje C obchodní skupina D skupina lékařského poradenství | A a B: shromažďování, zaznamenávání, organizace, strukturování, uchovávání, přizpůsobování/změny, vyhledávání, konzultace, využívání, zveřejňování v rámci přenosu, šíření, omezování, odstranění/likvidace, monitorování / řešení problémů, seskupování/spojování, analýza/segmentace C a D: vyhledávání, konzultace, využívání, zveřejňování v rámci přenosu, šíření, monitorování / řešení problémů |
Služby zákazníkům | Jak je uvedeno v článku 17, jedná se o minimální zákonnou dobu uchovávání osobních údajů ze strany společnosti IDEXX. | zákazník, zákazníkovy zaměstnanci, majitelé domácích mazlíčků | křestní jméno a příjmení, emailová adresa, název kliniky, emailová a poštovní adresa | A školení B zákaznická podpora | A a B: shromažďování, organizace, strukturování, uchovávání, přizpůsobování/změny, vyhledávání, konzultace, využívání, zveřejňování v rámci přenosu, šíření, omezování, odstranění/likvidace, monitorování / řešení problémů, analýza/segmentace |
II Podrobnosti zpracovatelských činností, při nichž společnost IDEXX jedná v postavení společného správce osobních údajů – VetConnect® PLUS | ||||
Účely činností v oblasti zpracování osobních údajů | Období zpracovávání osobních údajů | Kategorie subjektů osobních údajů | Osobní údaje (druhy osobních údajů) zpracovávané společností IDEXX | Správce údajů a jeho příslušné povinnosti vůči subjektům osobních údajů |
Analýza trhu* | Nezpracované údaje se bezprostředně po analýze transformují na souhrnné údaje. Souhrnné údaje se uchovávají po dobu příslušného minimálního zákonného období uchovávání. | zákazník | Nezpracované údaje, z nichž nelze přímo identifikovat fyzickou osobu, jako například: jméno zákazníka (název kliniky), choroba, plemeno a věk zvířete. Souhrnné údaje získané z analýzy nezpracovaných osobních údajů, jako jsou korelace mezi konkrétními plemeny a chorobami. | Pro účely analýzy trhu prováděné s použitím osobních údajů je společnost IDEXX společným správcem osobních údajů. V tomto ohledu mohou subjekty osobních údajů vůči společnosti IDEXX uplatňovat svá práva podle platných právních předpisů, jako například právo na přístup k jejich osobním údajům, právo na jejich opravu, odstranění, omezení nebo přenositelnost a právo vznést námitku. |
*Tato činnost v oblasti zpracování osobních údajů popisuje okamžik, kdy souhrnné údaje, z nichž nelze
přímo identifikovat fyzickou osobu, dosud nebyly anonymizovány. Po provedení této zpracovatelské činnosti jsou souhrnné osobní údaje anonymizovány.
Příloha B: SmartServiceTM
Popis služeb: SmartServiceTM | |||
I | Popis zpracovatelských činností, při nichž společnost IDEXX jedná v postavení zpracovatele osobních údajů. | 1. | Diagnostika výkonnostních obtíží, řešení problémů, dálkové monitorování, prediktivní analýza a servis zákazníkova diagnostického zařízení poskytnutého společností IDEXX a zařízení k němu připojených; aktualizace softwaru pro zařízení společnosti IDEXX a softwaru v rámci připojených zařízení; výše uvedené zpracovatelské činnosti mohou být prováděny na dálku prostřednictvím softwaru pro správu vazeb mezi zařízeními nebo paměťových či jiných zařízení, která byla vrácena společnosti IDEXX k opravě nebo renovaci; zajištění analýzy výkonu nebo využití služby pro zákazníka, a to buď samostatně pro daného zákazníka nebo ve srovnání s jinými klinikami bez udání identifikačních údajů; monitorování, řešení problémů a diagnostika služeb; zálohování a ukládání zákazníkových dat. |
2. | Jakékoliv budoucí funkce, moduly a doplňky popsané na stránkách xxxxx.xxx, které mohou být příležitostně aktualizovány. | ||
II | Popis zpracovatelských činností, při nichž společnost IDEXX jedná v postavení (společného) správce osobních údajů. | 1. | Provádění souhrnné pseudonymizované analýzy trhu s použitím nezpracovaných údajů, z nichž nelze identifikovat fyzickou osobu a které byly poskytnuty v rámci služeb za účelem předjímání potřeb zákazníků, získání know-how, které bude obecně prospěšné pro veterinární praxi, a poskytování profesionálních služeb a zdravotnického vzdělávání v oboru veterinárního lékařství; analýza využití služby za účelem zlepšení uživatelské zkušenosti a vylepšení a zdokonalení produktu. |
I Podrobnosti zpracovatelských činností, při nichž společnost IDEXX jedná v postavení zpracovatele osobních údajů – SmartServiceTM | |||||
Účely činností | Období | Kategorie | Osobní údaje | Zaměstnanci | Činnosti v oblasti zpracování |
v oblasti | zpracovávání | subjektů | (druhy osobních | (skupiny | osobních údajů, které mohou |
zpracování | osobních údajů | osobních | údajů) | zaměstnanců) | tyto osoby provádět. |
osobních údajů | údajů | zpracovávané | nebo jiné osoby | ||
společností IDEXX | angažované | ||||
společností | |||||
IDEXX, které mají | |||||
nebo mohou mít | |||||
přístup k osobním | |||||
údajům. | |||||
řešení problémů | Jak je uvedeno v článku 17, jedná se o minimální zákonnou dobu uchovávání osobních údajů ze strany společnosti IDEXX. | zákazník, zákazníkovy zaměstnanci, majitel domácího mazlíčka | Křestní jméno a příjmení majitele domácího mazlíčka, křestní jméno a příjmení zaměstnance kliniky | A skupina softwarového inženýrství B činnosti v rámci vývoje C obchodní skupina D skupina lékařského poradenství E služby zákazníkům | A a B: shromažďování, zaznamenávání, organizace, strukturování, uchovávání, přizpůsobování/změny, vyhledávání, konzultace, využívání, zveřejňování v rámci přenosu, šíření, omezování, odstranění/likvidace, monitorování / řešení problémů |
C, D a E: vyhledávání, konzultace, využívání, zveřejňování v rámci přenosu, šíření, monitorování / řešení problémů | |||||
II Podrobnosti zpracovatelských činností, při nichž společnost IDEXX jedná v postavení společného správce osobních údajů – SmartServiceTM | ||||
Účely činností v oblasti zpracování osobních údajů | Období zpracovávání osobních údajů | Kategorie subjektů osobních údajů | Osobní údaje (druhy osobních údajů) zpracovávané společností IDEXX | Správce údajů a jeho příslušné povinnosti vůči subjektům osobních údajů |
Analýza trhu* | Nezpracované údaje se bezprostředně po analýze transformují na souhrnné údaje. Souhrnné údaje se uchovávají po dobu příslušného minimálního zákonného období uchovávání. | majitel domácího mazlíčka, zákazník | Nezpracované údaje, z nichž nelze přímo identifikovat fyzickou osobu a které byly získány prostřednictvím nástroje společnosti IDEXX, například: plemeno a věk zvířete nebo diagnostické výsledky. Souhrnné údaje získané z analýzy nezpracovaných osobních údajů, jako jsou korelace mezi konkrétními plemeny a diagnostickými výsledky. | Pro účely analýzy trhu prováděné s použitím osobních údajů je společnost IDEXX společným správcem osobních údajů. V tomto ohledu mohou subjekty osobních údajů vůči společnosti IDEXX uplatňovat svá práva podle platných právních předpisů, jako například právo na přístup k jejich osobním údajům, právo na jejich opravu, odstranění, omezení nebo přenositelnost a právo vznést námitku. |
*Tato činnost v oblasti zpracování osobních údajů popisuje okamžik, kdy souhrnné údaje, z nichž nelze
přímo identifikovat fyzickou osobu, dosud nebyly anonymizovány. Po provedení této zpracovatelské činnosti jsou souhrnné osobní údaje anonymizovány.
Dodatek o zabezpečení
Kontrola fyzického přístupu
Opatření zabraňující neoprávněným osobám ve fyzickém přístupu k systémům používaným pro zpracování osobních údajů:
• strážní, vrátní
• elektronický systém řízení přístupu pomocí bezdrátových přístupových karet
• video monitorování (IP kamery)
• bezpečnostní kontroly návštěvníků
Kontrola přístupu k systému
Opatření zabraňující neoprávněnému použití systémů pro zpracování osobních údajů:
• pokyny k nastavení hesla (včetně jeho síly, minimální délky, opětovného použití a minimálního stáří hesla)
• automatické odhlášení nebo zobrazení spořiče obrazovky chráněného heslem po určité době uživatelovy nečinnosti
• ověření a schválení přístupu
• brána firewall, antivirová ochrana
• detekce/prevence vniknutí
• protokolování přístupu
Kontrola přístupu k údajům
Opatření zajišťující, aby osoby oprávněné k používání systémů pro zpracování osobních údajů měly přístup pouze k těm osobním údajům, na něž se oprávnění vztahuje, a aby osobní údaje nemohly být během zpracování nebo používání ani poté neoprávněně prohlíženy, kopírovány, pozměňovány nebo odstraňovány:
• koncepce kontroly přístupu (přístupová práva omezena profily a rolemi)
• dokumentace přístupových práv
• schvalování a přidělování přístupových práv výhradně prostřednictvím oprávněných pracovníků
Kontrola přenosu údajů
Opatření zajišťující, aby osobní údaje nemohly být během elektronického přenosu, přepravy nebo zaznamenávání na paměťová média neoprávněně prohlíženy, kopírovány, pozměňovány nebo odstraňovány a aby bylo možné zjistit a zkontrolovat, kterým subjektům mají být osobní údaje předány prostřednictvím zařízení pro přenos dat:
• šifrování přenosu (TLS nebo VPN)
Kontrola zadávání údajů
Opatření zajišťující, aby bylo možné následně zkontrolovat a zjistit, zda došlo k přístupu k osobním údajům, případně k jejich pozměnění nebo odstranění ze systémů pro zpracování dat, a pokud ano, pak kým:
• Osobní údaje jsou nezbytné pouze pro účely hlášení po uložení do datového centra společnosti IDEXX.
Řízení zpracovatelů
Opatření zajišťující, aby zpracování osobních údajů zpracovávaných jménem jiných subjektů probíhalo striktně v souladu se správcovými pokyny:
• písemné dohody o zpracování osobních údajů (povinné)
Kontrola dostupnosti
Opatření zajišťující ochranu osobních údajů proti náhodnému zničení nebo ztrátě:
• zálohování v oddělené lokalitě
• koncepce zachování činnosti / obnovení po havárii
• zdroj energie zajišťující nepřetržité napájení (UPS)
• vyhrazený generátor datových center a několika možnostmi smluvních dodávek paliva
• systém protipožární ochrany
• detekce vody
• náhradní klimatizační systém
Oddělení osobních údajů
Opatření zajišťující, aby osobní údaje shromážděné pro různé účely mohly být zpracovávány odděleně:
• jasné a logické oddělení osobních údajů od údajů jiných správců (vyhrazený datový prostor)