smLouva o zpracování osobních údajů

smLouva o zpracování osobních údajů

(dále jen „Smlouva“) uzavřená ve smyslu čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679,
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR”) mezi smluvními stranami, kterými jsou:

Smluvní strany

1. Smluvní strana:  

Sídlo:  

IČO:  

DIČ:  

Zapsána v   

Zastoupená:  

(dále jen „Zpracovatel“)

a

2. Smluvní strana: Fakultní nemocnice Plzeň

Sídlo: Edvarda Beneše 1128/13, 305 99 Plzeň

IČO: 00669806

DIČ: CZ00669806

Zastoupená: MUDr. Xxxxxxxx Xxxxxxxx, Ph. D. - ředitelem

(dále jen „Správce“)

1. Úvodní ustanovení smlouvy

1. Plnění smluvních vztahů mezi Smluvními stranami zahrnuje činnosti, při kterých dochází ke zpracování osobních údajů Zpracovatelem pro Správce.

2. Na základě obecně závazných právních předpisů je Správce povinen uzavřít se Zpracovatelem písemnou Smlouvu o zpracování osobních údajů.

3. Vzhledem k výše uvedenému Strany uzavřely tuto Smlouvu a dohodly se v ní na níže uvedených pravidlech a podmínkách nakládání s osobními údaji, které se zavazují dodržovat.

Po ukončení činnosti Zpracovatele pro Správce, resp. po ukončení poskytování služeb spojených se zpracováním dat, nezanikají povinnosti Zpracovatele k zabezpečení a ochraně osobních údajů, povinnost mlčenlivosti ani povinnosti vztahující se k ukončení činnosti Zpracovatele, jakož i nároky Správce z důvodu porušení takových povinností.

2. Definice

1. Výrazy použité ve Smlouvě, které nejsou definovány v této smlouvě, mají stejný význam jako v článku 4 GDPR není-li ve Smlouvě výslovně uvedeno jinak.

3. Předmět Smlouvy

1. Předmětem Smlouvy je vymezení vzájemných práv a povinností při zpracování osobních údajů, ke kterému dochází v souvislosti s plněním smluvních vztahů mezi Správcem a Zpracovatelem. Obsah smluvních vztahů je blíže specifikován v jednotlivých přílohách této smlouvy.

2. Smluvní strany se dohodly, že touto Smlouvou se bude řídit jakékoli zpracování osobních údajů Zpracovatelem pro Správce, a to včetně zpracování, které může nastat v budoucnu na základě nově uzavřených smluvních vztahů mezi Správcem a Zpracovatelem s tím, že v takovém případě se Smluvní strany zavazují doplnit dodatkem k této Smlouvě jednotlivé přílohy o údajích vyplývajících z takových smluv.

3. Správce pověřuje Zpracovatele zpracováváním osobních údajů v rozsahu nezbytném pro plnění sjednaného závazku výhradně za účelem vyplývajícím z jejich účelu

4. Práva a povinnosti Správce

1. Správce je povinen zajistit, aby Osobní údaje byly zpracovány vždy v souladu s GDPR
   a zákonem o zpracování osobních údajů. Dále je povinen zajistit to, že tyto údaje budou aktuální, přesné a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování.

2. Správce je povinen přijmout vhodná opatření, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných
   a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná GDPR a zákonem o zpracování osobních údajů.

3. Správce je oprávněn zapojit jako Zpracovatele pouze takový subjekt, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektu údajů.

4. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede Správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Při posouzením vlivu zamýšlených operací zpracování na ochranu osobních údajů je Správci Zpracovatel nápomocen.

5. Pokud z posouzení vlivu provedeného podle předchozího odstavce vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal příslušná opatření k jeho zmírnění, je správce povinen se před zpracováním obrátit na dozorový úřad. Zpracovatel poskytne správci náležitou součinnost.

5. Práva a povinnosti Zpracovatele

1. Zpracovatel je povinen postupovat při zpracování osobních údajů v souladu s touto Smlouvou, s GDPR, se zákonem o zpracování osobních údajů (dále jen „ZZOÚ“), s interními předpisy Správce, se kterými byl doložitelně seznámen, a s pokyny Správce, a to rovněž v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci. Zpracovatel je povinen zpracovávat osobní údaje výlučně pro účel a v rozsahu dle této Smlouvy a při zpracování postupovat s řádnou péčí. Zpracovatel je povinen dbát, aby žádný subjekt údajů neutrpěl újmu na svých právech, dbát na ochranu subjektů údajů před neoprávněným zasahováním do soukromého a osobního života a zajistit veškerá práva subjektu údajů, která je z pozice zpracovatele povinen zajišťovat dle platných a účinných právních předpisů.

2. Zpracovatel výslovně prohlašuje, že přijme taková technická, personální, organizační a jiná opatření, aby nemohlo dojít k porušení zabezpečení osobních údajů, které by vedlo k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Přijatá opatření musí splňovat požadavky GDPR a zajišťovat ochranu práv subjektů.

3. Zpracovatel umožní přístup k osobním údajům výlučně pověřeným osobám, které budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem
   a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech,
   o nichž se dozví v souvislosti se zpřístupněním osobních údajů. Zpracovatel u pověřených osob zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.

4. Zpracovatel pravidelně prověřuje funkčnost a dostatečnost svých systémů vnitřní kontroly
   a řízení rizik včetně řízení rizika výskytu mimořádných událostí, které by mohly mít významný negativní vliv na řádný výkon zpracování osobních údajů

5. Zpracovatel je na požádání povinen písemně doložit správci skutečnost, že jsou splněny všechny povinnosti dle čl. 28 GDPR. V případě, že pokyn Správce porušuje ustanovení GDPR či jiného právního předpisu, je Zpracovatel povinen o tom neprodleně Správce informovat.

6. Zpracovatel je povinen umožnit Správci na vyžádání kontrolu dodržování povinností dle této Smlouvy.

7. Jestliže vznikne v souvislosti se zavedením opatření k zajištění ochrany osobních údajů podle právních předpisů uvedených v tomto článku potřeba uzavřít dodatek
   k této Smlouvě nebo zvláštní smlouvu, zavazuje se Zpracovatel poskytnout veškerou součinnost nezbytnou k formulaci obsahu takového dodatku, resp. smlouvy,
   a k uzavření takového dodatku, resp. smlouvy.

8. V případě zjištění porušení povinností dle této Smlouvy je Zpracovatel povinen zajistit stav odpovídající jeho povinnostem neprodleně poté, co zjistí, že povinnosti porušuje.

6. Další zpracovatel

1. Zpracovatel je oprávněn zapojit do zpracování osobních údajů dalšího zpracovatele výlučně po písemném povolení Správce.

2. Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Xxxxxxx provedl určité činnosti zpracování, zavazuje se tomuto dalšímu zpracovateli uložit na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Nesplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za splnění jeho povinností Zpracovatel.

7. Zabezpečení ochrany osobních údajů

1. Zpracovatel je povinen zabezpečit řádnou technickou a organizační ochranu zpracovávaných osobních údajů v souladu s doložitelnými pokyny Správce
   a požadavky uloženými mu GDPR tak, aby zpracování osobních údajů splňovalo požadavky stanovené platnými a účinnými právními předpisy.

2. Zpracovatel se za účelem ochrany osobních údajů zavazuje zajistit zejména, že:

1. přístup k osobním údajům bude umožněn výlučně pověřeným osobám dle čl. 5.3 této Smlouvy a výlučně pro účely zpracování osobních údajů v rozsahu
   a za účelem stanoveným touto Smlouvou

2. při zpracování osobních údajů v elektronické podobě budou osobní údaje vhodným způsobem zabezpečeny

3. při zpracování osobních údajů v jiné než elektronické podobě budou osobní údaje uchovány v místnostech s vhodnou úrovní zabezpečení

3. Zpracovatel se zavazuje na písemnou žádost Správce přijmout v přiměřené lhůtě další vhodné a přiměřené záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít
   k neoprávněnému nebo nahodilému přístupu k osobním údajům.

4. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede Zpracovatel vhodná technická a organizační opatření, zejména aby nemohlo dojít k neoprávněnému ani nahodilému přístupu
   k osobním údajům, k jejich úplné ani částečné změně, zničení či ztrátě, neoprávněným přenosům či sdružení s jinými osobními údaji, či k jinému neoprávněnému zpracování v rozporu s touto Smlouvou, včetně:

1. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů
   a služeb zpracování

2. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů

3. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Osobních údajů

5. Pseudonymizace a šifrování osobních údajů mohou být využity na základě požadavku Správce, nebo uzná-li to Zpracovatel jako vhodné pro ochranu osobních údajů.

6. Zpracovatel zohlední rizika, která představuje zpracování Osobních údajů, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, kopírování, krádež, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných Osobních údajů, nebo neoprávněný přístup k nim. Zpracovatel zároveň užije taková opatření, která umožní určit a ověřit, komu byly osobní údaje předány a jak byly zpracovány.

7. Zpracovatel, a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování Osobních údajů prováděných pro Správce, jež obsahují:

1. jméno a kontaktní údaje Zpracovatele nebo dalších zpracovatelů a Správce,
   a případného zástupce Zpracovatele a pověřence pro ochranu Osobních údajů

2. kategorie zpracování Osobních údajů prováděného pro Správce

3. popis technických a organizačních bezpečnostních opatření

8. Smluvní strany se zavazují zachovávat mlčenlivost o osobních údajích
   a o bezpečnostních opatřeních, jejichž zveřejnění by mělo za následek ohrožení zabezpečení osobních údajů, a to i po skončení Smlouvy.

9. Smluvní strany se zavazují spolupracovat při zpracování osobních údajů během celé doby jejich zpracování, to zahrnuje zejména:

1. Dodržovat zákonnost při shromažďování a zpracování osobních údajů

2. Chránit osobní údaje při ukládání, sdílení, zálohování nebo zpracování
   a zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě
   či vymazání záznamů obsahujících osobní údaje

3. Volit vždy bezpečnou (neobnovitelnou) likvidaci osobních údajů

8. Doba trvání Smlouvy

1. Smlouva nabývá platnosti a účinnosti okamžikem podpisu oběma smluvními stranami. Doba trvání této smlouvy je stanovena do skončení posledního smluvního vztahu mezi Správcem a Zpracovatelem. Smlouvu nelze samostatně vypovědět, není-li dále stanoveno jinak.

2. Ke dni ukončení této Smlouvy je Zpracovatel povinen předat Správci protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje
   v elektronické podobě v jeho dispozici, neobdrží-li od Správce písemně jiné pokyny. Pokud by platné a účinné právní předpisy vyžadovaly uložení daných osobních údajů namísto jejich smazání, zavazuje se Zpracovatel o tomto Správce informovat, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

9. Součinnost a vzájemná komunikace

1. Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si informace potřebné pro plnění jejich povinností vyplývajících z této Smlouvy, GDPR
   a v souvislosti s vyřizováním žádostí subjektů údajů.

2. Smluvní strany jmenují své zástupce, kteří budou zabezpečovat spolupráci
   a vzájemnou informovanost obou smluvních stran, předávání potřebných podkladů, dokumentů a výstupů (dále jen „Kontaktní osoby“). Změny údajů v seznamu Kontaktních osob Smluvní strana oznámí písemně nebo elektronicky s uvedením data účinnosti těchto změn. K těmto změnám není zapotřebí akceptace druhé Smluvní strany.

Kontaktní osobou za správce je:

• jméno:      

adresa:      

telefon:      

e-mail:      

Kontaktní e-mailová adresa Správce pro hlášení porušení povinností při zpracování a ochraně osobních údajů je: xxx@xxxxxxx.xx

Kontaktní osobou za Zpracovatele je:

• jméno:      

telefon:      

e-mail:      

3. Oznámení při porušení povinností při zpracování a ochraně osobních údajů musí být Zpracovatelem Správci zasláno bez zbytečného odkladu, a to nejdéle do 24 hodin od zjištění. Porušení zabezpečení osobních údajů ohlásí dozorovému orgánu Správce v souladu s článkem 33 GDPR.

10. Náhrada škody

1. Smluvní strany mají povinnost k náhradě škody v rámci platných a účinných právních předpisů a této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí
   k předcházení škodám a k minimalizaci vzniklých škod.

2. Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany.
   V případě, že Správce poskytl Zpracovateli chybný pokyn a Zpracovatel s ohledem na svou povinnost poskytnout služby s odbornou péčí mohl nebo měl chybnost takového pokynu zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybný pokyn Správce písemně upozornil a Správce na splnění pokynu trval.

3. Žádná ze smluvních stran není odpovědná za prodlení způsobené prodlením s plněním povinností druhou smluvní stranou.

11. Závěrečná ustanovení

1. Ve věcech výslovně neupravených Smlouvou se vztahy mezi Smluvními stranami řídí českým právním řádem.

2. Smlouva se vyhotovuje ve dvou vyhotoveních, přičemž jedno vyhotovení je určeno pro Správce a jedno pro Zpracovatele.

3. Změna nebo doplnění Smlouvy může být uskutečněna pouze písemným dodatkem ke Smlouvě podepsaným oběma Smluvními stranami.

4. Obě smluvní strany prohlašují, že si Xxxxxxx před podpisem přečetly, porozuměly jejímu obsahu, s obsahem souhlasí, a že je Xxxxxxx projevem jejich svobodné vůle.

5. Smlouva nepodléhá zveřejnění v Registru smluv.

6. Nedílnou součástí této smlouvy je následující příloha:

• Příloha 1 – Detailní vymezení zpracování

Dne:       Dne:      

razítko a podpis Správce XXXx. Xxxxxx Xxxxxxx, Ph.D. ředitel FN Plzeň razítko a podpis Zpracovatele            

Příloha č. 1

Detailní vymezení zpracování

Rozsah závazku zpracování – účely a prostředky zpracování dle čl. 28 odst. 3 GDPR

1. Smlouva mezi Správcem a Zpracovatelem, na základě které dochází ke zpracování osobních údajů:      

2. Kategorie subjektů údajů:

 

3. Kategorie osobních údajů:

     

4. Účel a forma zpracování:

 

5. Rozsah a povaha zpracování:

 

6. Doba zpracování:

 

Strana 6 (celkem 6)