SMLOUVA O ZÁRUKÁCH DODRŽOVÁNÍ BEZPEČNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZÁRUKÁCH DODRŽOVÁNÍ BEZPEČNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(“zpracovatelská smlouva”)
Tato smlouva o zárukách dodržování bezpečnosti při zpracování osobních údajů je doprovodným dokumentem k smlouvě mezi Objednatelem aplikace VIZIT a Dodavatelem aplikace VIZIT.
Dodavatel aplikace VIZIT je v tomto vztahu vždy jako zpracovatel osobních údajů. K osobním údajům přistupuje pouze Objednatel – tedy Správce.
Objednatel se zavazuje, že při zpracování osobních údajů bude postupovat dle níže
uvedených pravidel.
uzavřená mezi těmito smluvními stranami:
Objednatel
Jméno / název firmy : ......................................................................................................
IČ: .................................................. DIČ: . ....................................................................
Sídlo / místo podnikání : ..................................................................................................
Zástupce: .........................................................................................................................
Podpis : ............................................................................
(dále jen „správce“)
Dodavatel
BEE SITE:ES a.s.
IČ: 03789683DIČ: CZ 03789683
Sídlo : Šimáčkova 915/18, PSČ 170 00 Praha - Holešovice
Jednatel: Xxxxx Xxxxxxx
Pověřená osoba ochrana osobních údajů Xxxxx Xxxxx (dále jen „zpracovatel”)
Smluvní strany uzavírají smlouvu o zpracování údajů v následujícím znění:
Pro účely této smlouvy se rozumí:
smlouvou - tato smlouva a všechny související přílohy; nařízením obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016), Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů
subjektem údajů - identifikovaná nebo identifikovatelná fyzická osoba, jíž se týkají osobní údaje;
osobními údaji - veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu článku 4 nařízení, zejména veškeré informace, které správce zpřístupní zpracovateli za účelem zpracování;
zpracováním nebo zpracováním údajů - jakákoliv operace nebo soubor operací
s osobními údaji nebo soubory osobních údajů, který́ je prováděn pomocí či bez pomoci
automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění
přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení,
výmaz nebo zničení ve smyslu článku 4 nařízení;
podmínkami - podmínky poskytování služeb, které jsou k dispozici na webových stránkách zpracovatele a s nimiž správce souhlasil přistoupením ke službám či využitím služeb, k nimž se zaregistroval;
službou - licence SaaS (software jako služba), kterou zpracovatel poskytl správci a která je popsána v podmínkách;
pokyny - jakékoliv doložené pokyny ohledně povahy, rozsahu a způsobu zpracování údajů,
které dá správce zpracovateli v souladu s podmínkami.
ZÁKLADNÍ INFORMACE A ÚČEL
Smluvní strany odsouhlasily ustanovení podmínek, kterým se řídí omezené, nevýhradní a
časově omezené právo správce na využívání služby.
Zpracovatel v této souvislosti pro správce a v souladu s pokyny správce zpracovává osobní údaje a pro tento účel smluvní strany uzavřely tuto smlouvu v souladu s článkem 28 nařízení.
Účelem této smlouvy je zajistit, aby spolupráce zpracovatele a správce v oblasti zpracování osobních údajů subjektů údajů probíhala v souladu s nařízením.
JMENOVÁNÍ A POKYNY
Zpracovatel je správcem zmocněn k tomu, aby pro správce zpracovával osobní údaje, které správce zpracovateli zpřístupní, v souladu s podmínkami stanovenými v této smlouvě.
Zpracovatel smí osobní údaje zpracovávat pouze na základě pokynů, včetně v otázkách
předání osobních údajů dalším zpracovatelům, do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na zpracovatele vztahuje. V takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
Všechny pokyny musí být v souladu s nařízením a jinými použitelnými právními předpisy a zpracovatel si vyhrazuje právo pokyn odmítnout, pokud není v souladu s nařízením nebo jiným použitelným právním předpisem nebo pokud podle jeho názoru porušuje nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů. V takovém případě může zpracovatel odložit splnění daného pokynu a neprodleně informuje správce.
Tato smlouva, včetně příloh, zavádí úplné a konečné pokyny ohledně zpracování osobních údajů pro účel stanovený v této smlouvě a v rozsahu stanoveném v této smlouvě a
v souvislosti se službou.
Změnu pokynu lze provést jen na základě písemného dodatku k této smlouvě, který podepíší obě smluvní strany. Před každou změnou pokynů smluvní strany danou změnu v co nejširším rozsahu projednají a pokud možno se dohodnou na jejím provedení, včetně doby a nákladů provedení.
Zpracovatel smí osobní údaje zpracovávat nad rámec pokynů v případech, kdy to vyžaduje
právo EU nebo vnitrostátní právo, které se na zpracovatele vztahuje.
Pokud jsou osobní údaje zpracovávány nad rámec pokynů, zpracovatel správci oznámí důvod. Toto oznámení musí být podáno ještě před zpracováním a musí obsahovat odkaz na právní požadavky, které představují základ zpracování.
Oznámení by nemělo být podáno, pokud by bylo v rozporu s právem EU nebo vnitrostátním právem.
Správce touto smlouvou pověřuje zpracovatele zpracováním osobních údajů, které správce zpracovateli poskytne, v rozsahu nezbytném k poskytnutí služby nebo v jiném rozsahu,
na kterém se smluvní strany písemně dohodnou později.
TRVÁNÍ
Tato smlouva platí, dokud (a) nebude ukončena smlouva o poskytování služby, nebo (b) nebude ukončena tato smlouva.
Bez ohledu na ukončení smlouvy se zpracovatelem zůstane i po jejím ukončení v platnosti článek týkající se důvěrnosti a články 9, 10 a 11.
ZPRACOVÁNÍ ÚDAJŮ
Zpracovatel zpracovává osobní údaje pro správce výhradně pro účely poskytování služby v rozsahu a pro účely stanovené v příloze č. 1 této smlouvy.
Předmět a trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů jsou specifikovány v příloze č. 1 této smlouvy.
Osobní údaje EU Data Subjektů, které zpracovatel zpracovává pro správce, budou zpracovány výlučně v některém z členských států Evropské unie. Jedinou výjimkou jsou osobní údaje zpracovávané službou Mandrill viz příloha č. 3 bod 1.2, jejich zpracování probíhá v USA a spadá pod EU-US Privacy Shield.
Všechny osobní údaje, které zpracovatel zpracovává pro správce, budou zpracovány za vhodných technických a organizačních bezpečnostních opatření, která jsou uvedena v této smlouvy.
Pokud subjekt údajů přímo u zpracovatele požádá o přístup, opravu, omezení, výmaz nebo přenositelnost svých osobních údajů nebo pokud subjekt údajů vznese námitku proti zpracování nebo uplatní právo nebýt předmětem automatizovaného individuálního rozhodování, zpracovatel tuto žádost neprodleně předá správci.
Zpracovatel nesmí žádné osobní údaje zpracovávané pro správce opravit, vymazat nebo
omezit bez doloženého pokynu správce.
Osobní údaje zpřístupněné správcem pro účely zpracování dle této smlouvy zpracovatel nepoužije k jinému účelu, než je účel uvedený v příloze č. 1.
Zpracovatel tyto osobní údaje nezpřístupní třetím osobám, s výjimkou dílčích zpracovatelů
schválených správcem, kteří jsou uvedeny v příloze č. 3 této smlouvy.
Zpracovatel nesmí bez povolení správce pořizovat kopie nebo duplikáty osobních údajů,
které mu správce zpřístupnil, s výjimkou případů, kdy jsou tyto kopie nebo duplikáty součástí
zálohování popsaného v podmínkách.
Po ukončení poskytování služby, dokončení smluvního díla, jak je stanoveno
v podmínkách a v této smlouvě, nebo na žádost správce (především na základě pokynu) zpracovatel vymaže všechny osobní údaje a existující kopie.
Zpracovatel osobní údaje nepředá do třetích zemí ani mezinárodním organizacím, pokud to
není výslovně uvedeno v této smlouvě.
Zpracovatel jmenoval odpovědnou osobu pro ochranu osobních údajů (dále jen „Odpovědná osoba“), který bude vykonávat povinnosti v souladu s nařízením. Odpovědná osoba může být kontaktován na adrese
POVINNOSTI ZPRACOVATELE
Technická a organizační bezpečnostní opatření
Zpracovatel je povinen zavést technická a organizační opatření nezbytná k zajištění náležité úrovně zabezpečení. Tato opatření musí být zavedena s patřičným ohledem na stávající stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování a různě
pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob. Při určování
těchto opatření zpracovatel přihlédne ke kategorii osobních údajů popsané v příloze č. 1.
Zpracovatel již zavedl technická a organizační bezpečnostní opatření uvedená v příloze č. 2 této smlouvy.
Zpracovatel zavede vhodná technická a organizační opatření takovým způsobem, aby zpracování osobních údajů z jeho strany splňovalo požadavky platné předpisy týkající se osobních údajů.
Pokud zpracovatel zavede nová technická nebo organizační bezpečnostní opatření ve smyslu tohoto článku, zejména v souvislosti se zlepšováním a rozvojem služby, technickým pokrokem a rozvojem technických a organizačních bezpečnostních
opatření, změnami v organizaci zpracovatele, změnami použitelných právních předpisů
atd., specifikace obsažená v příloze č. 2 bude v případě potřeby aktualizována. Žádná změna technických nebo organizačních bezpečnostních opatření nesmí snížit úroveň těchto opatření stanovenou ke dni podpisu této smlouvy.
Smluvní strany souhlasí s tím, že poskytnuté záruky a všechna technická a organizační opatření k zajištění náležité úrovně zabezpečení osobních údajů, která jsou uvedena v příloze č. 2, jsou k datu uzavření této smlouvy odpovídající.
Podmínky týkající se zaměstnanců
Zpracovatel zajistí, aby se zaměstnanci, kteří pro něj zpracovávají osobní údaje, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
Zpracovatel zajistí, aby byl přístup k osobním údajům omezen na ty zaměstnance, kteří tento přístup potřebují ke zpracování osobních údajů za účelem splnění povinností zpracovatele vůči správci v souladu s podmínkami.
Zpracovatel zajistí, aby zaměstnanci, kteří pro něj zpracovávají osobní údaje, zpracovávali
tyto údaje výhradně v souladu s pokyny.
Doložení dodržování povinností
Zpracovatel správci na základě písemné žádosti doloží, že:
a) plní své povinnost vyplývající z této smlouvy a z pokynů,
b) pokud jde o osobní údaje zpracovávané pro správce, dodržuje ustanovení nařízení.
Dokumentace zpracovatele musí být předložena v přiměřené lhůtě. Záznamy o činnostech zpracování
Zpracovatel vede záznamy o zpracování osobních údajů.
Záznamy musí obsahovat tyto informace:
a) kategorie zpracování prováděného pro správce,
b) zaměstnanci zpracovatele, kteří zpracovávají osobní údaje,
c) informace o případných dílčích zpracovatelích, kteří zpracovávají osobní údaje,
d) obecný popis technických a organizačních opatření v souvislosti se zpracováním,
e) specifikace případných třetích zemí nebo mezinárodních organizací, jimž se osobní údaje předávají, a také doložení vhodných záruk,
f) kontaktní údaje kontaktní osoby nebo poradce pro zpracování údajů (pokud byl jmenován) zpracovatele nebo dílčího zpracovatele.
Zpracovatel tyto záznamy na požádání v přiměřené lhůtě poskytne správci nebo příslušnému dozorovému úřadu.
Porušení zabezpečení
Zpracovatel správci ohlásí každý případ porušení zabezpečení osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů, jež zpracovatel zpracovává pro správce (dále jen „porušení zabezpečení“).
Porušení zabezpečení musí být správci ohlášeno bez zbytečného prodlení.
Zpracovatel vede záznamy o všech případech porušení zabezpečení. Tyto záznamy musí
dokládat minimálně následující:
a) faktické okolnosti porušení zabezpečení;
b) dopady porušení zabezpečení; a
c) přijatá nápravná opatření.
Na základě písemné žádosti musí být tyto záznamy poskytnuty správci nebo dozorovým
úřadům.
Audity a inspekce
Zpracovatel umožňuje správci nebo jinému správcem pověřenému auditorovi provádět audity, včetně inspekcí, a podílí se na nich.
Audity nebo inspekce ze strany správce nebo správcem pověřeného auditora mohou být provedeny na základě předchozí konzultace se zpracovatelem. V rámci této konzultace musí být vzájemně dohodnuta doba trvání, rozsah, předmět a datum a čas příslušného auditu nebo inspekce.
Právo provést audit nebo inspekci stanovené v této smlouvě se nevztahuje na zařízení provozovaná dílčími zpracovateli, subdodavateli nebo třetími osobami, a to ani v případě, kdy jsou tato zařízení využívaná v souvislosti s poskytováním služby nebo zpracováním údajů.
Audity nebo inspekce ze strany správce nebo správcem pověřeného auditora mohou být provedeny jen za účelem ověření skutečnosti, že zpracovatel provádí zpracování údajů
v souladu s touto smlouvou, nařízením nebo jinými použitelnými právními předpisy.
Všechny informace a dokumenty, které zpracovatel správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství zpracovatele, a není-li
stanoveno jinak, podléhají požadavkům na zachování důvěrnosti uvedeným v této smlouvě. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.
Pomoc
Zpracovatel je správci v nezbytném a přiměřeném rozsahu nápomocen při plnění jeho povinností při zpracování osobních údajů, na které se vztahuje tato smlouva, a to i
v souvislosti:
a) s reakcemi na výkon práv subjektů údajů, zejména práv subjektu údajů uvedených v kapitole III nařízení;
b) se zajištěním splnění povinností správce podle článků 32 až 36 nařízení, s přihlédnutím k povaze zpracování a informací, jež má zpracovatel k dispozici;
c) s případy porušení zabezpečení;
d) s posouzeními vlivu;
e) s předchozími konzultacemi s dozorovými úřady.
V této souvislosti zpracovatel získává informace, které mají být součástí ohlášení dozorovému úřadu, pokud je zpracovatel nejvhodnější osobou, která tak může učinit.
Zpracovatel má nárok na zaplacení času stráveného poskytováním pomoci a materiálu spotřebovaného při poskytování pomoci
Vhodná technická a organizační opatření, která zpracovatel zavedl, aby správci pomohl se splněním povinnosti reagovat na žádosti související s výkonem práv subjektu údajů (právo na přístup, právo na opravu, právo na výmaz, právo na omezení zpracování, právo
na přenositelnost údajů, právo vznést námitku a automatizované individuální rozhodování) stanovených v článcích 15 až 22 nařízení, jsou uvedena v příloze č. 2 této smlouvy.
POVINNOSTI SPRÁVCE
Zákonnost zpracování
Správce zajišťuje a zaručuje, aby po celou dobu trvání této smlouvy:
všechny osobní údaje, které správce zpřístupní zpracovateli ke zpracování a které
se jakkoli týkají služby, byly shromážděny legálním a zákonným způsobem dle nařízení nebo jiného použitelného právního předpisu;
byl subjektem údajů udělen souhlas ke zpracování příslušných osobních údajů ze strany zpracovatele, aby byl tento souhlas dán svobodně a v souladu s článkem 7 nařízení a aby tento souhlas platil po celou dobu zpracování a aby jej subjekt údajů neodvolal;
platily ostatní podmínky zákonného zpracování podle článku 6 nařízení, pokud souhlas
subjektu údajů nebyl dán;
V případě, že kdykoli během zpracování údajů ze strany zpracovatele nebo během doby platnosti této smlouvy nebude splněna některá z podmínek uvedených v zákonnosti zpracování, správce musí zpracovatele informovat, a to za daných okolností co možná
nejdříve a bez zbytečného prodlení, pokud možno nejpozději do 72 hodin od okamžiku, kdy
se o daném nedostatku dozví. Správce také musí tyto osobní údaj ze zpracování sám
vyloučit (zejména vymazáním těchto osobních údajů ze služby správce), a pokud
to není možné, musí zpracovateli poskytnout veškerou pomoc potřebnou k vyloučení těchto osobních údajů ze zpracování.
Podmínky týkající se zaměstnanců a třetí osoby
Správce zajistí, aby se zaměstnanci, kteří pro něj zpracovávají osobní údaje a mají přístup k službě, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
Správce zajistí, aby se třetí osoby, které mají jeho jménem přístup k službě, zavázali k zachovávání mlčenlivosti nebo aby se na ně vztahovala přiměřená zákonná povinnost mlčenlivosti.
Správce nese vůči zpracovateli plnou odpovědnost za plnění všech zaměstnanců nebo třetích osob, jimž poskytne přístup k službě.
Doložení dodržování povinností
Správce zpracovateli na základě písemné žádosti doloží, že:
a) plní své povinnost vyplývající z této smlouvy a z podmínek;
b) pokud jde o osobní údaje zpřístupněné zpracovateli, dodržuje ustanovení nařízení nebo jiných použitelných právních předpisů;
c) souhlas subjektu údajů je platný a byl dán ke zpracování příslušných osobních údajů ze
strany zpracovatele, že tento souhlas byl dán svobodně a v souladu s článkem 7 nařízení.
Dokumentace správce musí být předložena v přiměřené lhůtě.
Porušení zabezpečení
Správce zpracovateli ohlásí každý případ porušení zabezpečení osobních údajů upravený
v této smlouvě.
Porušení zabezpečení musí být zpracovateli ohlášeno bez zbytečného prodlení.
Správce vede záznamy o všech případech porušení zabezpečení. Tyto záznamy musí dokládat
minimálně následující:
d) faktické okolnosti porušení zabezpečení;
e) dopady porušení zabezpečení; a
f) přijatá nápravná opatření.
Na základě písemné žádosti musí být tyto záznamy poskytnuty zpracovateli nebo dozorovým
úřadům.
Pomoc
Správce je zpracovateli v nezbytném a přiměřeném rozsahu nápomocen při plnění jeho povinností při zpracování osobních údajů, na které se vztahuje tato smlouva, a to i
v souvislosti:
a) s reakcemi na výkon práv subjektů údajů, zejména práv subjektu údajů uvedených v
kapitole III nařízení;
b) s případy porušení zabezpečení;
c) s posouzeními vlivu;
d) s předchozími konzultacemi s dozorovými úřady.
V této souvislosti správce získává informace, které mají být součástí ohlášení dozorovému
úřadu, pokud je správce nevhodnější osobou, která tak může učinit.
DÍLČÍ ZPRACOVATELÉ
Zpracovatel smí ke zpracování osobních údajů pro správce využít třetí osobu („dílčího
zpracovatele) pouze tehdy, je-li tato třetí osoba uvedena v příloze č. 3 této smlouvy.
Zpracovatel a dílčí zpracovatel uzavřeli písemnou smlouvu, která dílčímu zpracovateli ukládá stejné povinnosti v oblasti ochrany údajů, jako jsou povinnosti zpracovatele (včetně povinností při provádění této smlouvy) uvedené v odst. 3 nařízení týkající se zpracování údajů, zajištění ochrany zpracovávaných osobních údajů a dodržení nařízení, zejména poskytnutí dostatečných záruk za zavedení vhodných technických a organizačních opatření takovým způsobem, aby zpracování splňovalo požadavky nařízení. Dílčí zpracovatel také
jedná jen podle pokynů správce, jak je uvedeno ve smlouvě.
Zpracovatel si vyhrazuje právo změnit nebo přidat dílčí zpracovatele. Zpracovatel každý takový případ oznámí správci. Oznámení bude podáno minimálně 30 dnů před danou událostí. Pokud správce s novým dílčím zpracovatelem nesouhlasí, má právo s okamžitou účinností ukončit službu a má nárok na vrácení peněz za zbývající zaplacené období služby.
Veškerou komunikaci s dílčími zpracovateli vyřizuje zpracovatel, není-li výslovně sjednáno
jinak.
Zpracovatel nese přímou odpovědnost za zpracování osobních údajů ze strany dílčího zpracovatele, jako kdyby zpracování prováděl sám zpracovatel.
POPLATKY A NÁKLADY
9.1 Smluvní strany mají pouze nárok na zaplacení poskytnuté služby v souladu s podmínkami, není-li v této smlouvě uvedeno jinak.
PORUŠENÍ
Úprava porušení obsažená v podmínkách poskytování služby se vztahuje i na tuto smlouvu,
jako kdyby tato smlouva byla nedílnou součástí podmínek. Pokud porušení není v
podmínkách poskytování služby upraveno, použijí se na tuto smlouvu všeobecné prostředky nápravy porušení stanovené v použitelných právních předpisech.
ODPOVĚDNOST A OMEZENÍ ODPOVĚDNOSTI
Smluvní strany nesou odpovědnost podle obecných pravidel použitelných právních předpisů, avšak s výhradou, že dodavatel nese odpovědnost v rozsahu uvedeném v Podmínkách.
VYŠŠÍ MOC
Zpracovatel nenese odpovědnost za situace, které se obvykle označují jako vyšší moc, mimo
jiné včetně války, nepokojů, terorismu, vzpoury, stávky, požáru a přírodních katastrof.
Vyšší moc může být uplatňována pouze po takový počet pracovních dnů, po který situace
způsobená vyšší mocí trvá.
DŮVĚRNOST
Informace týkající se obsahu této smlouvy, související se službou nebo obchodní činnosti druhé smluvní strany, které jsou při poskytnutí přijímající smluvní straně označeny jako důvěrné nebo které by měly být považovány za důvěrné vzhledem ke své povaze či z jiného důvodu, musí být považovány za informace důvěrné, jež vyžadují minimálně stejnou míru péče a rozvážnosti, jako vlastní důvěrné informace smluvní strany. Údaje, včetně osobních údajů, vždy představují důvěrné informace.
Povinnost zachovávat důvěrnost se však nevztahuje na informace, kterou jsou veřejně známé nebo se veřejně známými stanou, a to nikoli v důsledku porušení povinnosti smluvní strany k zachování důvěrnosti, ani na informace, které již přijímající smluvní strana má ve svém držení, aniž by byla vázána podobnou povinností k zachování důvěrnosti, ani na
informace, jež přijímající smluvní strana nezávisle vypracuje.
UKONČENÍ
Ukončení s uvedením důvodu nebo kvůli porušení
Tuto smlouvu je možné ukončit jen v souladu s ustanoveními o ukončení obsaženými v
podmínkách nebo v této smlouvě.
Ukončení této smlouvy je podmíněno současným ukončením a umožňuje současné ukončení těch částí podmínek, které se týkají zpracování osobních údajů dle této smlouvy.
Účinky ukončení
Oprávnění zpracovatele zpracovávat pro správce osobní údaje zaniká ukončením smlouvy z jakéhokoliv důvodu.
Po dobu až tří měsíců po ukončení této smlouvy smí zpracovatel pokračovat ve zpracování osobních údajů v rozsahu, který je nezbytný k přijetí požadovaných zákonných opatření.
Zpracování ze strany zpracovatele se po tuto dobu považuje za zpracování v souladu s
pokyny.
Zpracovatel je povinen vymazat všechny osobní údaje zpřístupněné správcem do 3 měsíců od ukončení smlouvy. Správce může požadovat přiměřené informace o výmazu.
Zpracovatel nikdy nezpracovává žádné osobní údaje, které správce sám nemá, protože
všechny osobní údaje zpracovateli vždy předává správce.
ZÁVĚREČNÁ USTANOVENÍ
Úprava řešení sporů obsažená v podmínkách, včetně rozhodného práva a místní příslušnosti,
se vztahuje i na tuto smlouvu, jako kdyby tato smlouva byla nedílnou součástí podmínek.
Komunikace smluvních stran ohledně smlouvy (včetně ohlášení porušení zabezpečení) bude probíhat prostřednictvím následujících e-mailové adresy:
a) Zpracovatel: xxxx@xxxxxxxx.xx
b) Správce: e-mailová adresa použita pro registraci ke službě
Dodavatel aplikace si vyhrazuje právo upravit nebo aktualizovat tuto Smlouvu bez
předchozího upozornění. Pokud budete k službě přistupovat nebo ji využívat i poté, co tyto revize vstoupí v účinnost, souhlasíte s tím, že jste touto upravenou smlouvou vázáni. Pokud s novou smlouvou nesouhlasíte, přestaňte okamžitě službu využívat. Platná verze Smlouvy je vždy k dispozici na xxxxxx.xxxxxxxx.xx
PŘÍLOHA č. 1 - POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Rozsah zpracování: V závislosti na tom, jak správce/objednatel využívá službu, mohou být v souvislosti s poskytováním služby zpracovávány zejména tyto typy osobních údajů:
jméno, příjmení, titul před jménem, titul za jménem, telefon, email, datum narození, rodné číslo, číslo pojištěnce, rodné číslo, adresa, zaměstnání, zaměstnavatel, údaje o zdravotním stavu, údaje z lékařských vyšetření, sexuální orientace, informace o výkonu trestu
Kategorie zpracování registrovaných identifikovaných nebo identifikovatelných fyzických osob, na které se vztahuje tato smlouva:
a) pacienti
b) pověřené osoby
c) rodinní příslušníci
Účelem zpracování je umožnit správci:
a) využívat VIZIT AIS jako plnohodnotný ambulantní informační systém
Plnění informační povinnosti o zpracování osobních údajů
Informační povinnost vůči pacientům plní jednotliví správci osobních údajů. Údaje pacientů do systému zadává pouze lékař – nikoliv pacient nebo dodavatel aplikace VIZIT, kterým je společnost BEE-SITE-ES.
Způsoby, důvody a lhůty pro výmaz osobních údajů ze systému
Správcem osobních údajů v aplikaci VIZIT je vždy Objednatel aplikace VIZIT – lékařské
zařízení. Jakožto dodavatel aplikace VIZIT (a tedy zpracovatel osobních údajů v rámci údržby a provozu aplikace VIZIT) nerozhodujeme o způsobu, důvodech či lhůtě pro výmaz osobních údajů. Způsoby, důvody a lhůty pro výmaz osobních údajů stanovuji jednotliví správci osobních údajů – tedy lékaři, resp. zdravotnická zařízení.
Přesnost a aktuálnost údajů o pacientech
Správcem osobních údajů jsou jednotlivá zdravotnická zařízení, kteří odpovídají za přesnost a aktuálnost údajů. Pokud správce požádá zpracovatele, tedy společnost BEE-SITE-ES o provedení aktualizace, ten tak může učinit pouze v rozsahu, který mu systém umožňuje.
Např. lze smazat kompletní databáze dané ordinace při špatně provedeném importu, nejsme však schopni zpracovávat konkrétní data jedno pacienta. O přesnost a aktuálnost osobních údajů se starají jednotlivá zdravotnická zařízení.
PŘÍLOHA č. 2 - TECHNICKÁ A ORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ
Společnost BEE-SITE-ES se řídí směrnicí „Bezpečnostní politika společnosti BEE-SITE-ES-a.s.“ a
„Bezpečnostní směrnice pro aplikace VIZIT“, ve kterých jsou popsány postupy technického a organizačního charakteru jak ve společnosti obecně, tak týkající se ochrany aplikace VIZIT vč. ochrany dat v této aplikaci, z nichž některé můžou mít charakter osobních údajů.
Bezpečnostní směrnice pro aplikace VIZIT pak mj. obecně popisuje způsob šifrování dat, který je v aplikaci VIZIT využitý.
Všichni zaměstnanci společnosti BEE-SITE-ES jsou zavázání ochranou důvěrných informací a s uvedenými směrnicemi byli v souladu se zákonem seznámeni. Uvedené směrnice jsou pro ně při práci na vývoji a údržbě aplikace VIZIT závazné.
Aplikace VIZIT je provozována na serverech společnosti OVH se sídlem v EU, kdy jsou servery umístěny přímo v zemích EU. Společnost OVH byla námi pro toto řešení zvolena mimo jiné z důvodu jasné deklarace zajištění bezpečnosti a ochrany osobních údajů v souladu s GDPR a další evropskou legislativou. K předávání dat do třetích zemí tak nedochází. Více informací o dodavateli serverů: xxxxx://xxx.xxx.xx/xxxxxxx-xxxxxxxx-xxxxx/xxxx.xxx, xxxxx://xxx.xxx.xx/xxxxxxx-xxxxxxxx-xxxxx/, xxxxx://xxx.xxx.xx/xxxxx/0000- 06/plaquette-gdpr-CZ-FINAL.pdf
PŘÍLOHA č. 3 - DÍLČÍ ZPRACOVATELÉ
Správce tímto souhlasí s tím, aby zpracovatel využíval ke zpracování osobních údajů
následující dílčí zpracovatele:
a) OVH. CZ, s.r.o., Xxxxxxxxx xxxxxxx 000/00, Xxxxx 0, 000 00, IČ: 288 77 039,
DIČ:CZ28877039
b) Jopixel s.r.o. Praha 5, Hlubočepy, Grussova 828/10