Smlouva o zpracování osobních údajů - vzor
POZNÁMKA: máte-li již s IT firmou uzavřenu smlouvu, postačí uzavřít dodatek dle vzoru na webu, uzavíráte-li novou smlouvu (dosud jste neměli nebo máte nevyhovující smlouvu), pak lze využít tohoto vzoru.
Smlouva o zpracování osobních údajů - vzor
Název poskytovatele zdravotních služeb………………………..
se sídlem………………………………………..
IČ: ……………………………………………………..
zapsaná v obchodním rejstříku vedeném……………, oddíl …, vložka ……...
zastoupená ……………..., jednatelem……………………. (vyplní pouze právnická osoba)
(dále jako „správce“)
a
…………………………….
Se sídlem……………………
IČ:………………………………………….
(dále jako „zpracovatel“)
níže uvedeného dne, měsíce a roku uzavřeli tuto
Smlouvu o zpracování osobních údajů
podle ustanovení čl. 28 podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, v platném znění (dále jen „Nařízení“)
(1) Zpracovatel se na základě této smlouvy zavazuje zpracovávat pro správce osobní údaje, které správce získal v souvislosti se svou činností, zejména při poskytování zdravotních služeb dle zákona č. 372/2011 Sb., o zdravotních službách, když se jedná zejména o osobní údaje pacientů, zaměstnanců a smluvních partnerů správce (dále jako „osobní údaje“).
(2) Tato smlouva se uzavírá v rozsahu práv a povinností, které pro její strany při zpracování osobních údajů dle odstavce 1 vyplývají z Nařízení.
(3) Smluvní strany se dohodly, že zpracovávání osobních údajů na základě této smlouvy bude bezplatné.
(4) Zpracovatel se na základě této smlouvy zavazuje zpracovávat pro správce osobní údaje, které správce získal v souvislosti se svou činností, a které za tím účelem zpracovateli předá. Zpracovatel v souladu s touto smlouvou bude zpracovávat tyto osobní údaje: (uvést rozsah osobních údajů)
(4) Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
(5) Tato smlouva se uzavírá za účelem ochrany osobních údajů při jejich zpracovávání zpracovatelem v rámci poskytování služeb …………. (administrátor softwaru, vedení účetnictví, zpracovávání zdravotnické dokumentace, atp.), jež jsou podrobně popsány ve smlouvě ……………… uzavřené mezi stranami dne ……………..
II.
(1) Zpracovatel se zavazuje přijmout s přihlédnutím k účelu, povaze, rozsahu, nákladům na provedení a s přihlédnutím k možným rizikům takovou úroveň technických, personálních a jiných opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku a nemohlo tak dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato opatření budou činěna ve vhodném a účinném rozsahu, která lze po zpracovateli spravedlivě požadovat v souladu s touto smlouvou.
(2) Zpracovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s platnými právními předpisy, přičemž zajišťuje, kontroluje a odpovídá za:
- plnění pokynů pro zpracování osobních údajů pouze k tomu oprávněnými osobami, které k osobním údajům mají bezprostřední přístup,
- zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
- zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje,
- opatření, která umožní určit a ověřit, komu byly osobní údaje předány, kým byly zpracovány, pozměněny nebo smazány,
- obnovu dostupnosti osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
- proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
(4) Zpracovatel cestou vydání svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání, zajistí, že jeho zaměstnanci a jiné osoby, které budou zpracovávat osobní údaje na základě smlouvy se zpracovatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu zpracovatelem stanoveném a odpovídajícím této smlouvě uzavírané mezi zpracovatelem a správcem a v souladu s Nařízením, zejména bude sám (a závazně uloží i těmto osobám) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací.
(5) V případech, kde je v této smlouvě zpracovateli stanovena povinnost spočívající v jednorázovém plnění, zavazuje se zpracovatel tuto povinnost splnit v objektivně nejkratší možné době po uzavření smlouvy.
(6) Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizace této smlouvy, a to zejména v případě jednání s Úřadem pro ochranu osobních údajů nebo s jinými veřejnoprávními orgány.
(7) Zpracovatel je xxxxxxx v souladu s čl. 33 odst. 2 GDPR bez zbytečného odkladu ohlásit správci porušení zabezpečení, jakmile tuto skutečnost zjistí. Ohlášení postačí formou sdělení na e-mailovou adresu: (doplnit e-mailovou adresu)
III.
(1) Zpracovatel se zavazuje nahradit správci, případně třetím osobám, škodu, která vznikne v důsledku porušení této smlouvy ze strany zpracovatele, a to včetně škody způsobené uložením pokuty Úřadem pro ochranu osobních údajů správci. V případě hrubého porušení této smlouvy zpracovatelem je správce oprávněn požadovat smluvní pokutu ve výši…………(doplnit), přičemž uhrazením smluvní pokuty není nijak dotčen nárok na náhradu škody. Povinnosti a odpovědnost dle tohoto odstavce dopadají na zpracovatele i v případě, že škodu způsobil jeho zaměstnanec nebo smluvní partner či s ním spolupracující osoby.
(2) Zpracovatel se zavazuje uzavřít pojištění pro případ škody z této smlouvy a po dobu jejího trvání jej udržovat.
IV.
(1) Tato smlouva nabývá platnosti a účinnosti jejím podpisem smluvními stranami a uzavírá se na dobu jednoho roku od jejího podpisu s tím, že neoznámí-li vždy jedna ze stran druhé smluvní straně před uplynutím této lhůty, že si pokračování smlouvy nepřeje, dochází k automatickému prodloužení smlouvy o další rok. Tato smlouva může být rovněž ukončena dohodou stran nebo výpovědí s výpovědní lhůtou ……….. měsíce/ů od jejího doručení druhé smluvní straně. Tato smlouva automaticky zaniká při zániku ostatních smluvních vztahů mezi správcem a zpracovatelem.
(2) Tato smlouva byla vyhotovena ve dvou stejnopisech s platností originálu, z nichž každá strana obdržela jeden.
(3) Tuto smlouvu lze měnit a doplňovat jen na základě písemných a číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran.
(4) Při jakémkoliv zániku této smlouvy je zpracovatel povinen v souladu s rozhodnutím správce všechny tyto osobní údaje vymazat, nebo je vrátit správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právní předpis nestanoví jinak. Tento pokyn je povinen učinit správce bez zbytečného odkladu, avšak nejpozději do 30 kalendářních dnů od zániku této smlouvy. V případě že tak neučiní, je zpracovatel oprávněn provést likvidaci osobních údajů, které mu byly poskytnuty na základě této smlouvy správcem, není-li mu známa právním předpisem vymezená překážka.
V ……………………. dne …………….
…………………………………………. ……………………………………
Správce Zpracovatel