Smlouva o zpracování osobních údajů

Příloha č. 5

Smlouva o zpracování osobních údajů

(dále pouze jako "Smlouva")

uzavřená dle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník ve znění pozdějších předpisů (dále pouze jako "občanský zákoník") a článku 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů (dále jen "Nařízení") mezi těmito smluvními stranami:

Sdružené zdravotnické zařízení Krnov, příspěvková organizace

se sídlem: I. P. Pavlova 552/9, Pod Bezručovým vrchem, 794 01 Krnov

zastoupena: MUDr. Xxxxxxxxxx Xxxxxxxxx,, MBA, ředitelem

IČO: 00844641

DIČ: CZ00844641

emailová adresa: xxxxxxxxxxx@xxxxxxxx.xx

xxxxxx xxxxxxxx: fiwk7nq

zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, spis. zn. Pr 876

(dále jako "Objednatel")

a

……………………………

se sídlem: ………………….

Zastoupena: ………………….

IČO: ………………….

DIČ: ………………….

zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, spis. zn. Pr 876

(dále jako "Poskytovatel")

(Poskytovatel a Objednatel dále společně jako "smluvní strany" nebo "strany")

1. Úvodní ustanovení

   1. Smluvní strany uzavřely dne …………. Smlouvu o poskytování odborné činnosti v oblasti bezpečnosti a ochrany zdraví při práci, požární ochrany a ochrany životního prostředí (dále jen "Základní smlouva"), na základě které Poskytovatel zabezpečuje poskytování odborné činnosti v oblasti bezpečnosti a ochrany zdraví při práci a ochrany životního prostředí v oblasti nakládání s nebezpečnými chemickými látkami a přípravky a v oblasti požární ochrany (dále jen "BOZP a PO"), pro Objednatele, dle zákona č.133/1985 Sb., o požární ochraně, v platném znění, zákona č.262/2006 Sb., Zákoník práce, v platném znění a zákon č. 309/2006 Sb., kterým se upravují další požadavky bezpečnosti a ochrany zdraví při práci v pracovněprávních vztazích a o zajištění bezpečnosti a ochrany zdraví při činnosti nebo poskytování služeb mimo pracovněprávní vztahy (zákon o zajištění dalších podmínek bezpečnosti a ochrany zdraví při práci).

   2. Vzhledem k tomu, že Objednatel v postavení správce předává osobní údaje Poskytovateli a ty jsou zpracovávány Poskytovatelem, který v rámci zajištění služeb BOZP a PO provádí jejich vyhodnocení, vyhledávání a další, má Poskytovatel postavení zpracovatele ve smyslu článku 4 odst. 8 Nařízení.

2. Definice pojmů:

   1. Následující pojmy užívané v této dohodě budou mít význam uvedený v tomto odstavci:

      1. Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, osobní číslo nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické a další identity této fyzické osoby.

      2. Správce je fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

      3. Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který zpracovává osobní údaje pro správce.

3. Předmět zpracování

   1. Předmětem zpracování je vyhodnocování, zjišťování, ukládání, uspořádání, archivace osobních údajů, k nimž bude docházet v souvislosti s poskytováním služeb BOZP a PO Poskytovatelem.

   2. Smluvní strany berou na vědomí, že poskytovatel bude mít přístup a bude zpracovávat následující kategorie osobních údajů:

      1. osobní údaje identifikační, adresní;

      2. údaje o zaměstnání;

      3. zvláštní kategorie osobních údajů dle čl. 9 Nařízení - tedy údaje o zdravotním stavu.

   3. Dotčenými osobami, jejichž osobní údaje budou zpracovávány Poskytovatelem, jsou osoby, které jsou v pracovně-právním vztahu s Objednatelem a klienti Objednatele.

   4. Poskytovatel není oprávněn bez předchozího písemného souhlasu Objednatele zapojit do zpracování osobních údajů žádného dalšího zpracovatele. Poskytovatel je povinen zajistit, aby jakýkoli další zpracovatel, zapojený se souhlasem Objednatele do zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném, jaký je stanoven touto Smlouvou, zejména co se týče zavedení technických a organizačních opatření ve smyslu čl. 8 této Smlouvy.

   5. Zpracování osobních údajů je vedlejším závazkem Poskytovatele vyplývajícím ze Základní smlouvy. Úplata za zpracování je proto zahrnuta v úplatě za plnění Poskytovatele dle Základní smlouvy a Poskytovateli nevzniká nárok na zvláštní úplatu za zpracování osobních údajů ani za přijetí technických a organizačních opatření sjednaných v této Příloze.

4. Zpracování na pokyn Objednatele

   1. Poskytovatel je jako zpracovatel povinen zpracovávat osobní údaje pouze na základě pokynů Objednatele, který je v postavení správce. Pokyny Objednatele jsou obsaženy v této Smlouvě a dále mohou být uděleny ad hoc způsobem uvedeným níže v článku 4.3.

   2. Poskytovatel je povinen zpracovávat osobní údaje v rozsahu, jaký vyplývá z popisu plnění Poskytovatele v Základní smlouvě, a to i bez dodatečných samostatných ad hoc pokynů nebo potvrzení ze strany Objednatele. Plnění Poskytovatele poskytované v souladu se Základní smlouvou považují smluvní strany za pokyn Objednatele (správce). Poskytovatel je však povinen dbát všech omezení, které jsou uvedeny dále v této Smlouvě (např. podmínky pro zapojení dalšího zpracovatele, zákaz přeshraničního zpracování).

   3. Vedle zpracování v rozsahu dle článku 4.2 této Smlouvy může Poskytovatel zpracovávat osobní údaje na základě samostatného ad hoc pokynu objednatele v písemné formě, též elektronicky prostřednictvím mailu se zaručeným elektronickým podpisem, prostřednictvím datové schránky nebo doporučeným dopisem. Na základě ad hoc pokynu může objednatel požadovat zejména provedení úkonů nezbytných k předání osobních údajů jinému správci nebo subjektu údajů (právo na přístup k osobním údajům). Poskytovatel není oprávněn provádět zpracování na základě pokynů udělených jinou formou, než jaká je sjednána v tomto článku Smlouvy (zejména ústně, telefonicky nebo prostřednictvím "prostého" emailu). Poskytovatel je povinen případné ad hoc pokyny doložit, za tím účelem je povinen je archivovat.

   4. Pro účely tohoto článku stanovil Objednatel osoby nebo kategorie osob oprávněných udělit poskytovateli ad hoc pokyn ke zpracování osobních údajů (dále jen Oprávněná osoba), jejich seznam je v čl. 4.5. V případě, že pokyn udělí jiná osoba je Poskytovatel povinen zamítnout provedení zpracování a neprodleně tuto skutečnost oznámit kterékoliv Oprávněné osobě a sdělit jí rovněž veškeré údaje, které obdržel od neoprávněného (zejména jeho identifikační údaje a jím požadované operace zpracování).

   5. Seznam Oprávněných osob:

      1. statutární orgán objednatele;

      2. vedení organizace:

      3. pracovníci OŘLZ;

      4. vedoucí zaměstnanci objednatele na pozici primář nebo vrchní sestra.

   6. Bez doloženého pokynu Objednatele (správce) je Poskytovatel (zpracovatel) oprávněn provádět zpracování osobních údajů pouze tehdy, pokud mu toto zpracování ukládá, ve smyslu čl. 28 odst. 3 písm. a) Nařízení, právo Unie nebo členského státu EU, které se na Objednatele vztahuje; v takovém případě Poskytovatel informuje Objednatele o tomto právním požadavku před zpracováním, ledaže by právní předpisy toto informování zakazovaly z důvodu veřejného zájmu.

   7. Pokud Poskytovatel usoudí, že určitý pokyn Objednatele porušuje Nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany osobních údajů, je povinen o tom Objednatele neprodleně informovat.

5. Doba trvání zpracování

   1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení nebo zrušení Základní smlouvy, ledaže z konkrétních okolností vyplyne, že vybrané závazky Poskytovatele z této Smlouvy mají trvat i po ukončení nebo zrušení Základní smlouvy.

   2. Poskytovatel si je vědom toho, že bez existence platné smlouvy o zpracování osobních údajů není oprávněn zpracovávat osobní údaje zpřístupněné mu objednatelem.

   3. Poskytovatel je povinen na základě rozhodnutí Objednatele učiněného Oprávněnou osobou a ve formě dle článku 4.3, po ukončení poskytování služeb dle Základní smlouvy nebo jiných služeb spojených se zpracováním osobních údajů, provést výmaz nebo vrácení všech osobních údajů Objednateli, a dále provést výmaz veškerých existujících kopií, pokud právo Unie nebo členského státu EU nepožaduje uložení příslušných osobních údajů.

6. Místo zpracování, zákaz předávání osobních údajů do třetích zemí

   1. Místem zpracování osobních údajů je Česká republika. Poskytovatel není oprávněn v souvislosti se zpracování osobních údajů prováděném pro Objednatele předávat osobní údaje mimo Českou republiku, ani provádět zpracování osobních údajů na prostředcích umístěných ve třetích zemích.

   2. Případné zpracování osobních údajů mimo Českou republiku (případně ve třetí zemi) je možné pouze s předchozím písemným souhlasem objednatele a současně pouze tehdy, že jsou splněny podmínky pro předání do třetí země stanovené v čl. 44 a násl. Nařízení.

7. Povinnost mlčenlivosti

   1. Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvěděl v souvislosti s poskytováním plnění dle Základní smlouvy, zejména mlčenlivost ohledně osobních údajů, které mu byly na základě Základní smlouvy a této Smlouvy zpřístupněny. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trvání Základní smlouvy.

   2. Poskytovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámit všechny zaměstnance, kterým by mohly být osobní údaje Poskytovatelem zpřístupněny, s povinností mlčenlivosti i se skutečností, že tato povinnost mlčenlivosti je neomezená. Poskytovatel je povinen na žádost Objednatele doložit, že příslušné osoby byly s povinností mlčenlivosti seznámeny.

8. Technická a organizační opatření na ochranu osobních údajů

   1. Poskytovatel je povinen přijmout vhodná technická opatření na ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavu techniky, povaze, rozsahu, kontextu a účelům zpracování dle Základní smlouvy i k rizikům pro práva a svobody fyzických osob.

   2. Poskytovatel je dále povinen přijmout vhodná organizační opatření na ochranu osobních údajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahy zpracování osobních údajů dle této Přílohy, zejména:

      1. neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům, umožňujícím přístup k nim (zejména ke kartotéce, osobnímu počítači, datovým nosičům, klíčům a k heslům umožňujícím přístup k nim používaným pro účely Základní smlouvy nebo této Smlouvy);

      2. nepoužije žádné on-line služby třetích osob k uložení nebo jinému zpracování osobních údajů bez předchozího souhlasu Objednatele, provedeného statutárním orgánem Objednatele;

      3. na veškerých zařízeních používaných ke zpracování osobních údajů dle této smlouvy zavede elektronické prostředky ochrany ve formě antivirového a anti-malware software.

   3. Poskytovatel umožní Objednateli nebo jím pověřeným osobám kontrolu dodržování jeho povinností dle tohoto článku Smlouvy, zejména kontrolu podmínek zabezpečení a provedení penetračních testů.

9. Součinnost Poskytovatele, povinnost být nápomocen

   1. Poskytovatel je povinen poskytnout Objednateli veškerou potřebnou součinnost v souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochrany osobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeré informace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobních údajů Poskytovatelem je v souladu s Nařízením a Poskytovatel i Objednatel naplňují základní zásady a principy uvedené v Nařízení. Poskytovatel je povinen umožnit audity, včetně inspekcí, prováděné Objednatelem, nebo jiným auditorem pověřeným Objednatelem, a dále je povinen poskytnout řádnou součinnost nutnou k auditům, inspekcím a jiným kontrolám.

   2. Poskytovatel je povinen být nápomocen Objednateli při zajišťování souladu s povinnostmi dle článků 32 až 36 Nařízení, zejména být nápomocen v případech porušení zabezpečení osobních údajů k tomu, aby Objednatel mohl vyhodnotit, zda porušení mělo za následek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu, aby Objednatel mohl řádně a včas ohlásit porušení zabezpečení osobních údajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit je subjektům údajů. Při výkonu této povinnosti je Poskytovatel povinen reagovat bez zbytečného odkladu na pokyny a požadavky Objednatele.

   3. Zjistí-li Poskytovatel jakékoliv porušení zabezpečení osobních údajů, včetně jejich neoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnosti neprodleně, nejpozději však do 24 hodin, informovat Objednatele, přičemž uvede alespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezení subjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledků porušení a popis opatření, které Poskytovatel přijal s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů, pokud k porušení došlo na jeho straně.

   4. Poskytovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění povinností Objednatele jakožto správce reagovat na žádosti o výkon práv subjektů údajů, např. v souvislosti s právem na výmaz, opravu osobních údajů aj.

10. Sankce

    1. Poskytovatel bere na vědomí, že porušení povinností podle této Smlouvy může způsobit Objednateli, resp. subjektům údajů, škodu. V případě porušení této Smlouvy ze strany poskytovatele, je Objednatel oprávněn, vedle jakýchkoliv dalších nároků vyplývajících z této Smlouvy a/nebo platného práva a bez jejich omezení, zakázat další použití osobních údajů, vyzvat Poskytovatele ke zdržení se protiprávního jednání a odstranění tohoto nežádoucího stavu a také má právo provést opatření k zabránění dalšího porušování této Smlouvy resp. vzniku škody a Poskytovatel je povinen neprodleně podniknout nezbytné kroky k zamezení dalšího porušování a na provedení nápravy.

    2. Smluvní strany se dohodly, že pokud Poskytovatel neprovede nápravu ani ve lhůtě 10 dnů po doručení písemné výzvy Objednatele nebo pokud provedení nápravy již nelze provést, za každý jednotlivý případ porušení povinnosti Poskytovatele, má Objednatel vůči Poskytovateli nárok na smluvní pokutu ve výši 1.000,- Kč (slovy: jeden tisíc korun českých). Objednatel má nárok vůči Poskytovateli na smluvní pokutu ve výši 1.000,- Kč (slovy: jeden tisíc korun českých) za každý jednotlivý případ porušení povinnosti Poskytovatele i opakovaně, přičemž smluvní strany souhlasí, že jednotlivé smluvní pokuty může Objednatel kumulovat.

    3. Smluvní strany výslovně potvrzují a souhlasí, že výše smluvních pokut sjednaných v této smlouvě odpovídá významu a dopadům porušení sankcionovaných povinností, stejně jako i ostatním funkcím, které má smluvní pokuta plnit, a představuje reálný odhad újmy, kterou může Objednatel utrpět a dále činí nesporným, že uplatněním nároku na smluvní pokutu není dotčeno právo na náhradu škody způsobené sankcionovaným porušením povinnosti.

11. Společná a závěrečná ustanovení

    1. Tato Smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami.

    2. Tuto dohodu lze měnit nebo doplňovat pouze formou písemných, řádně očíslovaných smluvních dodatků podepsaných oběma smluvními stranami.

    3. Právní vztahy neupravené touto dohodou se řídí občanským zákoníkem a dalšími právními předpisy České republiky a Nařízením Evropského parlamentu a Rady (EU) 2016/679.

    4. Smluvní strany prohlašují, že jakékoliv spory nebo neshody při interpretaci nebo provádění této dohody budou řešeny přednostně dohodou. V případě, že se nepodaří dosáhnout smírné řešení neshody, bude spor podléhat výhradně jurisdikci obecných soudů České republiky.

    5. V případě podpisu smlouvy v listinné podobě, bude tato smlouva vyhotovena ve 2 stejnopisech, z nichž po podpisu kupující obdrží 1 vyhotovení a prodávající 1 vyhotovení.

    6. V případě podpisu smlouvy v elektronické podobě se smluvní strany dohodly, že prostý elektronický podpis, který bude vyhovovat požadavkům zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, postačí k platnému uzavření této smlouvy (bez rizika relativní neplatnosti smlouvy, pro kterou zákon, popř. dohoda stran, předepisuje písemnou formu.). Ve smyslu ustanovení § 562 odst. 1 Občanského zákoníku je písemná forma zachována při právním jednání učiněném elektronickými prostředky, které umožní zachycení jeho obsahu a určení jednající osoby. V tomto případě bude tato smlouva vyhotovena v 1 elektronickém vyhotovení s platností originálu, na základě kterého, si v případě potřeby každá ze smluvních stran pořídí kopii v tištěné verzi.

    7. Smluvní strany tímto prohlašují a potvrzují, že všechna ustanovení a podmínky této dohody byly dohodnuty mezi smluvními stranami svobodně, vážně, ne v tísni nebo za výrazně nevýhodných podmínek, a na důkaz toho připojují své podpisy.

V ………………………………….. V Krnově

Poskytovatel: Objednatel:

....................................................... .......................................................

XXXx. Xxxxxxxx Xxxxxxxx, MBA

ředitel

Stránka 8 z 8

Smlouva o zpracování osobních údajů

VZ: KRN/Otr/2024/XX/BOZP + PO