POGODBO O OBDELOVANJU OSEBNIH
Zdravstveni dom Izola
Ulica oktobrske revolucije 11
6310 Izola (izvajalec zdravstvene dejavnosti) Identifikacijska številka za DDV: SI98216007
Številka podračuna pri Upravi za javna plačila: 01240 – 6030920740, ki ga zastopa v. d. direktor Xxxxxxx xxxxxxxxx, dr. xxxx. med., psec.
(v nadaljevanju: upravljavec osebnih podatkov), in
Identifikacijska številka za DDV:
ki ga zastopa director:
(v nadaljevanju: pogodbeni obdelovalec osebnih podatkov)
sklepata naslednjo
POGODBO O OBDELOVANJU OSEBNIH
PODATKOV, št /2019
1. UVODNA DOLOČILA
1. člen
Pogodbeni stranki uvodoma ugotavljata, da sta dne sklenili
“Pogodbo o opravljanju nenujnih reševalnih sanitetnih prevozov - za obdobje treh let št:
/ 2019” (v nadaljevanju: krovna pogodba), na podlagi katere pogodbeni obdelovalec osebnih podatkov za upravljavca osebnih podatkov:
- izvaja nenujne reševalne prevoze.
2. člen
Izrazi, ki so uporabljeni v tej pogodbi, imajo naslednji pomen:
- Osebni podatek je katera koli informacijo v zvezi z določenim ali določljivim posameznikom. Osebni podatek se nanaša na posameznika in sicer ne glede na obliko, v
kateri je izražen.
- Posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
- Posebna vrsta osebnih podatkov so podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije
posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
- Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje,
priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
- Zbirka osebnih podatkov je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
- Upravljavec osebnih podatkov je pravni subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.
- Pogodbeni obdelovalec je pogodbeni partner, ki obdeluje osebne podatke v imenu in
za račun upravljavca osebnih podatkov.
- Podpogodbeni obdelovalec je pravna ali fizična oseba, ki ji pogodbeni obdelovalec poveri določene naloge s področja obdelovanja osebnih podatkov.
- Uporabnik osebnih podatkov je fizična ali pravna oseba ali druga oseba javnega ali
zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
- Posredovanje osebnih podatkov je posredovanje ali razkritje osebnih podatkov.
- Tretja država je država, ki ni država članica Evropske unije ali del Evropskega gospodarskega prostora.
- Pravilnik o varovanju osebnih podatkov je notranji akt o varovanju osebnih podatkov
upravljavca ali pogodbenega obdelovalca osebnih podatkov.
- Osebna privolitev posameznika je prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec. Osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika ter jasna in določna.
- Biometrične značilnosti so takšne telesne, fiziološke ter vedenjske značilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z uporabo prstnega odtisa, posnetka papilarnih
linij s prsta, šarenice, očesne mrežnice, obraza, ušesa, dezoksiribonukleinske kisline ter značilne drže.
3. člen
Pogodbeni stranki se zavezujeta, da bosta pri izvajanju določil te pogodbe v celoti spoštovali določila Zakona o varstvu osebnih podatkov in določila Xxxxxx (EU) 2016/679
Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ne glede na to ali se bosta z osebnimi podatki seznanili pri neposrednem opravljanju storitev na lokaciji upravljavca ali pogodbenega obdelovalca, pri nadzoru izvajanja določil te pogodbe, preko pisne dokumentacije ali na kakršenkoli drug način.
2. PREDMET POGODBE
4. člen
S to pogodbo se pogodbeni obdelovalec zbirk osebnih podatkov upravljavcu osebnih podatkov zaveže, da bo zanj obdeloval osebne podatke v obsegu in na način, določen v tej pogodbi.
5. člen
Osebni podatki, ki jih pogodbeni obdelovalec obdeluje za namen izvajanja predmeta krovne pogodbe, se nahajajo v tistih upravljavčevih zbirkah osebnih podatkov, ki so opredeljene v tabeli 1, ki je sestavni del te pogodbe.
6. člen
Vrste podatkov iz posamezne upravljavčeve zbirke osebnih podatkov, ki jih pogodbeni obdelovalec obdeluje za upravljavca, so opredeljene v tabeli 1, ki je sestavni del te pogodbe.
7. člen
Upravljavec zbirk osebnih podatkov pooblašča pogodbenega obdelovalca za tista dejanja v zvezi s posamezno zbirko osebnih podatkov, ki so opredeljena v tabeli 1, ki je sestavni del te pogodbe.
8. člen
Pogodbeni obdelovalec osebnih podatkov lahko omenjena dejanja izvaja za izpolnjevanje predmeta krovne pogodbe in jih ne sme izvajati za noben drug namen. Pogodbeni obdelovalec zlasti ne sme uporabljati osebnih podatkov za potrebe marketinga oziroma izvajati kakršnekoli druge obdelave osebnih podatkov, ki ni opredeljena v tabeli 1 (npr. nepooblaščeno razkritje, posredovanje podatkov tretjim osebam, javna objava podatkov itd.), ki je sestavni del te pogodbe. Pogodbeni obdelovalec osebnih podatkov obdeluje osebne podatke v imenu in za račun upravljavca osebnih podatkov.
3. OBVEZNOSTI POGODBENEGA OBDELOVALCA V ZVEZI S POSTOPKI IN UKREPI ZA VAROVANJE OSEBNIH PODATKOV
9. člen
Pogodbeni obdelovalec mora pri izvrševanju določil te pogodbe v zvezi z osebnimi podatki iz 5. in 6. člena te pogodbe in v zvezi z njihovo obdelavo iz 7. člena te pogodbe z organizacijskimi, tehničnimi in logično-tehničnimi postopki in ukrepi zagotoviti tako varovanje osebnih podatkov, da se preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava tako, da se:
- varujejo prostori, oprema in sistemska programska oprema, vključno z vhodno- izhodnimi enotami,
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
- preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih,
- zagotavlja učinkovit način omejitve obdelave, uničenja, izbrisa ali anonimiziranja
osebnih podatkov,
- omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil.
10. člen
Postopki in ukrepi za varovanje osebnih podatkov, ki jih mora zagotoviti pogodbeni obdelovalec po 25. členu ZVOP-1 in 28. čl. Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, so podrobneje opredeljeni v tabeli 2, ki je priloga k tej pogodbi.
11. člen
Upravljavec osebnih podatkov nadzoruje izvajanje teh postopkov in ukrepov pri pogodbenem obdelovalcu.
12. člen
Za skrbnika te pogodbe s strani pogodbenega obdelovalca se imenuje , M: +386 , E:
3.1 VAROVANJE PROSTOROV IN STROJNE OPREME
13. člen
Prostori, v katerih se nahaja strojna, programska in telekomunikacijska oprema, ki omogoča dostop do teh podatkov, morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
14. člen
Prostori pogodbenega obdelovalca, v katerih se obdelujejo osebni podatki upravljavca morajo biti fizično varovani, npr. s kontrolo vstopa, videonadzorom vstopa, alarmom gibanja po prostorih, tehničnim varovanjem s strani varnostne službe itd.
15. člen
Dostop v varovane prostore je dovoljen le tistim zaposlenim, katerih pravica do vstopa v posamezni prostor izhaja iz sistemizacije delovnih mest oz. drugega notranjega akta pogodbenega obdelovalca.
3.2 VAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE OPREME
16. člen
Dostop do sistemske in aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov (posebej na ravni sistemske programske opreme in aplikativne programske opreme), ki omogoča dostop samo določenim pooblaščenim delavcem in delavcem, ki za pogodbenega obdelovalca po pogodbi opravljajo servisiranje računalniške in programske opreme.
Program oziroma aplikacija mora biti sestavljena tako, da je obdelava podatkov ponovljiva, ter da ob prekinitvi obdelav ne pride do izgube, uničenja ali sprememb podatkov.
3.3 VAROVANJE PODATKOVNIH NOSILCEV
17. člen
Nosilci osebnih podatkov morajo biti hranjeni v varovanih prostorih, izven varovanih prostorov (hodniki, skupni prostori ipd.) pa morajo biti vedno zaklenjeni v ognjevarni in protivlomno zaščiteni omari.
3.4 VAROVANJE PRI PRENOSU PO TELEKOMUNIKACIJSKIH OMREŽJIH
18. člen
Osebni podatki morajo biti pri prenosu preko telekomunikacijskih omrežij zaščiteni. Kadar gre za posebne vrste osebnih podatkov, morajo biti osebni podatki pri prenosu preko telekomunikacijskih omrežij z uporabo kriptografskih metod zaščiteni tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost.
19. člen
Za potrebe izpolnjevanja obveznosti po Krovni pogodbi lahko upravljavec pogodbenemu obdelovalcu dodeli oddaljen dostop do podatkov.
Pogodbeni obdelovalec sam zagotovi opremo, ki z njegove lokacije omogoča varno povezavo z omrežjem upravljavca. Pogodbeni obdelovalec je odgovoren za pravilnost njenih nastavitev in pravilno delovanje.
20. člen
Pred izvedbo varne povezave se upravljavec in pogodbeni obdelovalec dogovorita, za kakšen namen se bo le ta uporabila in hkrati določita časovne okvire.
Vse vrste dovoljene obdelave preko varne povezave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca.
3.5 ORGANIZACIJA DELOVNIH PROCESOV
21. člen
Pogodbeni obdelovalec osebnih podatkov v aktu o sistemizaciji delovnih mest oz. drugem notranjem aktu določi:
- vsebinske sklope pravic oz. dolžnosti v zvezi z obdelavo podatkov iz posameznih evidenc
ter
- delovna mesta oz. osebe, ki so nosilci teh pravic oz. dolžnosti v zvezi z obdelavo podatkov iz posameznih evidenc (pooblaščene osebe za obdelavo osebnih podatkov).
22. člen
Pri pogodbenem obdelovalcu lahko osebne podatke obdelujejo le osebe, določene v aktu iz prejšnjega člena. Vsi ostali delavci morajo za obdelavo osebnih podatkov pridobiti pisno pooblastilo uprave oz. vodstva pogodbenega obdelovalca.
3.6 UKREPI ZA ZAGOTAVLJANJE INTEGRITETE, ZAUPNOSTI IN DOSTOPNOSTI OSEBNIH PODATKOV IN SLEDLJIVOSTI OPERACIJ NA NJIH
23. člen
Pogodbeni obdelovalec mora zagotoviti integriteto osebnih podatkov, ki jih obdeluje. Ukrepi zagotavljanja integritete podatkov so podrobneje opisani v tabeli 2, ki je priloga k tej pogodbi.
24. člen
Pogodbeni obdelovalec mora zagotoviti zaupnost osebnih podatkov, ki jih obdeluje. Ukrepi in postopki zagotavljanja zaupnosti podatkov so podrobneje opisani v tabeli 2, ki je priloga k tej pogodbi.
25. člen
Pogodbeni obdelovalec mora, kjer je v njegovi moči oziroma pristojnosti, zagotoviti dostopnost osebnih podatkov, ki jih obdeluje. Ukrepi in postopki zagotavljanja dostopnosti podatkov so podrobneje opisani v tabeli 2, ki je priloga k tej pogodbi.
26. člen
Pogodbeni obdelovalec osebnih podatkov zagotovi sledljivost vseh operacij, izvedenih na osebnih podatkih, ki jih obdeluje, tako da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki uporabljeni ali vneseni v zbirko osebnih podatkov in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
Upravljavec osebnih podatkov mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
Ukrepi in postopki zagotavljanja sledljivosti podatkov so podrobneje opisani v tabeli 2, ki je priloga k tej pogodbi.
4. PODPOGODBENI OBDELOVALCI OSEBNIH PODATKOV
27. člen
Pogodbeni obdelovalec osebnih podatkov lahko samo po predhodnem soglasju upravljavca poveri posamezna opravila v zvezi z obdelavo osebnih podatkov podpogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za varovanje osebnih podatkov.
Če je pogodbeni obdelovalec opravljanje teh dejanj upravičeno poveril tretji osebi (podpogodbenemu obdelovalcu) mora zagotoviti, da tretja oseba v celoti spoštuje določila te pogodbe. Za izvršitev obveznosti iz te pogodbe odgovarja pogodbeni obdelovalec tako, kot da bi jih opravil sam.
28. člen
Za vsakega podpogodbenega obdelovalca osebnih podatkov pogodbeni obdelovalec osebnih podatkov v pisni pogodbi o procesiranju določi, do katerih zbirk oz. do katerih vrst osebnih podatkov v posamezni zbirki osebnih podatkov ima podpogodbeni obdelovalec dostop, kakšna pooblastila ima podpogodbeni obdelovalec na teh zbirkah oz. vrstah podatkov (dostop, pregledovanje, spreminjanje, brisanje, posredovanje) ter kakšne ukrepe in postopke mora podpogodbeni obdelovalec sprejeti oz. izvajati za varstvo teh podatkov. Podpogodbeni obdelovalec mora za vsako obdelavo osebnih podatkov zagotoviti postopke in ukrepa za varstvo osebnih podatkov, ki so enako strogi ali strožji kot tisti, ki jih v skladu s to pogodbo izvaja pogodbeni obdelovalec osebnih podatkov.
29. člen
Podpogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru pooblastil pogodbenega obdelovalca in osebnih podatkov ne sme obdelovati za drug namen. Pogodbeni obdelovalec osebnih podatkov nadzoruje izvajanje teh postopkov in ukrepov pri podpogodbenem obdelovalcu.
Vrste dovoljene obdelave s strani posameznega podpogodbenega obdelovalca so opredeljene v tabeli 3, ki je priloga k tej pogodbi.
30. člen
V primeru spora med pogodbenim obdelovalcem osebnih podatkov in podpogodbenim obdelovalcem je dolžan podpogodbeni obdelovalec na podlagi zahteve pogodbenega obdelovalca z obdelavo osebnih podatkov nemudoma prenehati.
V kolikor gre za podatke, ki jih podpogodbeni obdelovalec obdeloval izven lokacije upravljavca, jih mora brez nepotrebnega odlašanja vrniti pogodbenemu obdelovalcu oz. upravljavcu, morebitne kopije teh podatkov pa mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
31. člen
V primeru prenehanja poslovanja podpogodbenega obdelovalca mora le-ta zagotoviti, da se osebni podatki, ki jih obdeloval izven lokacije upravljavca, brez nepotrebnega odlašanja vrnejo pogodbenemu obdelovalcu oz. upravljavcu, morebitne kopije teh podatkov pa uničijo.
5. OBVEZNOSTI IN POOBLASTILA UPRAVLJAVCA
32. člen
Upravljavec zbirk osebnih podatkov oz. oseba, ki jo ta pooblasti, je dolžan nadzorovati izvajanje določil 7. in 9. ter 10. člena te pogodbe, pogodbeni obdelovalec pa mu mora to omogočiti.
Oseba, ki vrši nadzor, mora pogodbenemu obdelovalcu izkazati upravljavčevo pooblastilo za izvajanje nadzora.
33. člen
Za skrbnika pogodbe s strani upravljavca se imenuje Xxxxxxxxxx Xxxxxxxx Xxxx, tel. x000 0 0000000, E: xxxxxxxxxx.xxxxxxxx@xx-xxxxx.xx.
6. ODŠKODNINSKA ODGOVORNOST
34. člen
Pogodbeni obdelovalec je dolžan pri izpolnjevanju predmeta te pogodbe ravnati s skrbnostjo dobrega strokovnjaka.
35. člen
Pogodbeni obdelovalec odgovarja izključno za škodo, ki bi bila upravljavcu povzročena zaradi naklepa ali hude malomarnosti.
Če je za nastalo škodo ali otežitev položaja pogodbenega obdelovalca kriv tudi upravljavec oziroma kdo drug, za katerega je upravljavec odgovoren, se odškodninska odgovornost pogodbenega obdelovalca temu sorazmerno zmanjša.
36. člen
Pogodbeni obdelovalec ne odgovarja za škodo, ki je pri izpolnjevanju te pogodbe povzročena s strani upravljavca.
Pogodbeni obdelovalec ne odgovarja za izgubo, poškodbo, ali drugo obliko spremembe osebnih podatkov, do katere je prišlo zaradi višje sile. Za višjo silo se štejejo nepredvideni in nepričakovani dogodki, ki nastopijo neodvisno od volje pogodbenih strank in ki jih pogodbeni stranki nista mogli predvideti ob sklepanju pogodbe ter kakorkoli vplivajo na
izvedbo pogodbenih obveznosti. Pogodbeni obdelovalec je dolžan pisno obvestiti upravljavca o nastanku višje sile v dveh dneh po nastanku le-te.
7. VAROVANJE ZAUPNOSTI PODATKOV
37. člen
Pogodbeni obdelovalec je dolžan skrbeti, da bodo zaposleni in drugi posamezniki, ki opravljajo dela ali naloge obdelave osebnih podatkov, varovali tajnost vseh podatkov, s katerimi se seznanijo pri opravljanju njihovih del in nalog. Dolžnost varovanja tajnosti osebnih podatkov te osebe obvezuje tudi po prenehanju zaposlitve oz. opravljanja del ali nalog pogodbene obdelave.
38. člen
Za zaupne se štejejo tudi podatki o poslovanju upravljavca, ki niso javno dostopni in za katere pogodbeni stranki izvesta pri izpolnjevanju določil te pogodbe, npr. finančni podatki, uporabljena delovna metodologija in orodja, itd.
39. člen
Pogodbeni stranki lahko razkrijeta zaupne podatke samo tistim osebam, ki neposredno sodelujejo pri izvrševanju te pogodbe. Pri tem je potrebno s primernimi navodili in ukrepi, še zlasti upoštevaje 7. člen te pogodbe, zagotoviti, da prejemniki zaupnih podatkov le-teh ne uporabijo v nasprotju z določili pogodbe.
Kot neupravičeno razkritje zaupnih podatkov tretji osebi se šteje vsaka reprodukcija podatkov v ustni ali pisni obliki, v celoti ali deloma, ali njihova distribucija nepooblaščeni osebi, ter vsaka druga oblika razkritja zaupnih podatkov.
40. člen
Pogodbeni stranki sta dolžni varovati poslovno skrivnost tako v času izvrševanja te pogodbe kakor tudi po njeni izvršitvi ali morebitni razvezi.
8. TRAJANJE POGODBE
41. člen
Ta pogodba je sklenjena za čas trajanja krovne pogodbe.
Prenehanje ali odpoved krovne pogodbe istočasno predstavlja nastop prenehanja ali odpovedi te pogodbe.
V primeru prenehanja veljavnosti oz. odpovedi krovne pogodbe mora pogodbeni obdelovalec nemudoma prenehati obdelovati osebne podatke upravljavca. Izjemoma jih lahko obdeluje le še zaradi dokončanja začetih poslov po krovni pogodbi, ki jih je dolžan zagotoviti. Vse osebne podatke, ki jih je obdeloval izven lokacije upravljavca, mora upravljavcu takoj vrniti, morebitne kopije teh podatkov pa takoj uničiti.
42. člen
Če pogodbeni obdelovalec ne ravna v skladu z določili 9. in 10. člena in zato obstaja nevarnost uničenja, spremembe, izgube ali nepooblaščene obdelave osebnih podatkov, ga mora upravljavec na to opozoriti in mu določiti primeren rok za odpravo nepravilnosti. Če pogodbeni obdelovalec ne ravna v skladu z upravljavčevo zahtevo, lahko upravljavec odstopi od te pogodbe in istočasno od krovne pogodbe brez odpovednega roka in zahteva povrnitev nastale škode.
43. člen
V primeru prenehanja poslovanja pogodbenega obdelovalca mora le-ta zagotoviti, da se osebni podatki, ki jih obdeloval izven lokacije upravljavca, brez nepotrebnega odlašanja vrnejo upravljavcu, morebitne kopije teh podatkov pa uničijo.
9. KONČNE DOLOČBE
44. člen
V primeru sprememb vsebine tabel 1, 2 ali 3, ki so priloga k tej pogodbi, skleneta upravljavec in pogodbeni obdelovalec v roku 1 meseca po sprejetju teh sprememb aneks k tej pogodbi, katerega del oz. priloga so tudi spremenjene oz. dopolnjene tabela 1 oz. 2 oz. 3. Od trenutka začetka veljavnosti aneksa pogodbeni obdelovalec obdeluje podatke, ki so navedeni v ažurirani tabeli 1 in je zavezan k izvajanju postopkov in ukrepov iz 9. in
10. člena te pogodbe v skladu z vsebino ažurirane tabele 2. Podpogodbeni obdelovalec lahko z obdelavo posebnih podatkov začne šele ob ustrezno ažurirani tabeli 3.
45. člen
V primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem je pogodbeni obdelovalec na podlagi zahteve upravljavca dolžan z obdelavo osebnih podatkov nemudoma prenehati.
V kolikor gre za podatke, ki jih je pogodbeni obdelovalec obdeloval izven lokacije upravljavca, jih mora brez nepotrebnega odlašanja vrniti upravljavcu, morebitne kopije teh podatkov pa mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
Pogodbeni stranki se sporazumeta, da bosta morebitne spore iz te pogodbe reševali sporazumno. Če sporazuma ne bo mogoče doseči, je za reševanje spora pristojno sodišče po sedežu upravljavca osebnih podatkov.
46. člen
Pogodba je sklenjena v dveh enakih izvodih, od katerih prejme vsaka stranka po en izvod.
47. člen
Pogodba začne veljati z dnem, ko jo podpišeta obe pogodbeni stranki.
Kraj in datum: Kraj in datum:
V Izoli, dne . . 2019 V , dne 2019
Upravljavec osebnih podatkov: Pogodbeni obdelovalec osebnih podatkov: Zdravstveni dom Izola
v. d. direktor direktor
Xxxxxxx Xxxxxxxxx, xx.xxxx.xxx.,spec.
PRILOGA K POGODBI O OBDELOVANJU OSEBNIH PODATKOV TABELA 1
ZAP. ŠT. | IME ZBIRKE OSEBNIH PODATKOV | VRSTE PODATKOV V ZBIRKI OSEBNIH PODATKOV DO KATERIH IMA POGODBENI OBDELOVALEC DOSTOP | DOVOLJENA OBDELAVA OSEBNIH PODATKOV |
1 | PODATKI O ZDRAVSTVENEM STANJU PACIENTOV | ||
PODATKI O PACIENTIH | • unikatni identifikatorji pacientov (EMŠO, številka zdravstvenega zavarovanja, številka zdravstvene knjižice) • splošni podatki pacientov (ime in priimek, datum rojstva, zakonski stan, spol) • skupnosti oz. relacije med pacienti • izobrazba, poklic • država, državljanstvo • kontaktni podatki (naslov stalnega bivališča, naslov začasnega bivališča, telefon, e-naslov) • izbrani zdravniki (splošni zdravnik, zobozdravnik, ginekolog) | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris | |
Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
1
Upravljavec: Pogodb. obdelovalec: Datum:
MEDICINSKI PODATKI O ZDRAVLJENJU | • datumi in razlogi obiskov v ustanovi, • izvajalci zdravstvenih storitev, • anamneza (zdravstvena anamneza, socialna anamneza, družinska anamneza, itd.) • diagnoze, VZS • status, dekursus, epikriza • zdravila in druge predvidene terapije skupaj s terminskim planom, • napotitve, • načrt zdravstvene nege in zdravstvenoterapevtski postopki • morebitni ostali podatki (vzrok začasne dela nezmožnosti, vzrok smrti, …) • kritični podatki (podatki ki so označeni, da so kritični, nalezljive bolezni) • naročila na preiskave (laboratorij, radiologija in ostala funkcionalna diagnostika), • izvidi opravljenih preiskav • posegi • slikovni material, zvočni zapisi in ostali multimedijski podatki • ostali medicinski podatki vezani na zdravljanje pacienta • PPOP – Povzetek pacientovih osebnih podatkov (cepljenja, alergije, medicinski pripomočki, socialna zgodovina, diete) • vitalni medicinski podatki (krvni tlak, pulz, telesna teža, telesna višina, telesna temperatura, krvni sladkor, krvna skupina, dejavniki tveganja, podatki vezani na zdravljenje oz. terapijo, podatki o obveščanju pacienta o pregledih) | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris | |
Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
2
Upravljavec: Pogodb. obdelovalec: Datum:
OSTALI PODATKI | • veljavna zavarovanja (kategorija zavarovanja, zavarovalniški status,…) • opravljene storitve • podatki o plačilih, avansna plačila | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. | |
2 | PODATKI O ZDRAVSTVENIH DELAVCIH | • ime in priimek • EMŠO • izobrazba • številka profesionalne kartice • akademski naziv • IVZ šifra • enota • funkcija, ki jo opravlja • začetek in konec zaposlitve • mentor (če obstaja) | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
3
Upravljavec: Pogodb. obdelovalec: Datum:
3 | PODATKI O UPORABNIKIH ZDRAVSTVENEGA INFORMACIJSKEGA SISTEMA | • ime in priimek • uporabniško ime • kratko uporabniško ime • geslo • datum zadnjega dostopa • število dostopov • enote oziroma okolja • davčna številka • matična številka zaposlenega • pravice • veljavnost uporabniškega imena | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
4 | PODATKI O PLAČNIKIH ZDRAVSTVENIH STORITEV | • ime in priimek (če gre za samoplačnika) • naslov • davčna številka • transakcijski račun • jezik • kontaktni podatki (e-mail, telefon) • podatki o pogodbi (tip, šifra, popust, valuta, veljavnost,…) | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
4
Upravljavec: Pogodb. obdelovalec: Datum:
5 | EVIDENCA OBDELAVE PODATKOV V ZDRAVSTVENEM INFORMACIJSKEM SISTEMU | • kratko uporabniško ime • datum in ura obdelave • vrsta obdelave • ime izvedene akcije • podatki o dotičnem pacientu/obravnavi | • vnos, • vpogled, • urejanje, • izpis, • analiza, • prenos, • izbris |
Vse vrste dovoljene obdelave se izvajajo izključno na zahtevo ter v vednosti in pod nadzorom upravljavca. |
5
Upravljavec: Pogodb. obdelovalec: Datum:
TABELA 2: SEZNAM FIZIČNIH, TEHNIČNIH IN LOGIČNO-TEHNIČNIH POSTOPKOV IN UKREPOV, KI JIH MORA IZVAJATI POGODBENI OBDELOVALEC
VAROVANJE PROSTOROV V KATERIH SE NAHAJAJO ZBIRKE1 (pri pogodbenem obdelovalcu!!) | ZAGOTAVLJANJE INTEGRITETE (NESPREMENLJIVOSTI) IN ZAUPNOSTI PODATKOV (pri pogodbenem obdelovalcu!!) | ZAGOTAVLJANJE DOSTOPNOSTI OZ. RAZPOLOŽLJIVOSTI PODATKOV1 (pri pogodbenem obdelovalcu!!) | ZAGOTAVLJANJE SLEDLJIVOSTI OPERACIJ NA PODATKIH (pri pogodbenem obdelovalcu!!) | NOTRANJI UPORABNIKI (pri pogodbenem obdelovalcu!!) |
• v delovnem času je prostor varovan s prisotnostjo zaposlenih • izvaja se kontrola pristopa na podlagi nivojskih ključev • izvaja se videonadzor vstopa v poslovne prostore • izvaja se 24-urno tehnično varovanje s strani varnostne službe | • osebna odgovornost delavcev za integriteto in zaupnost podatkov in omejena pooblastila zaposlenih za dostop do podatkov • dostop do podatkov v elektronski obliki je zaščiten z geslom na ravni operacijskega sistema in na ravni aplikacije • podatki v elektronski obliki se posredujejo uporabnikom po elektronski poti v šifrirani obliki | • zagotovljena odzivnost na aplikativnem in podatkovnem nivoju skladno s krovno pogodbo • obdelovalec ne zagotavlja dostopnosti v primeru izpadov na drugih informacijskih virih (infrastruktura, telekomunikacije, sistemska programska oprema) • podatki se redno arhivirajo (odgovornost upravljavca) | • notranja sledljivost obdelovanja osebnih podatkov: vodi se dnevnik obdelav podatkov (vnosi, spremembe, dopolnitve, vpogledi, brisanja), kar omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko, uporabljeni ali drugače obdelani in kdo je to storil • sledljivost posredovanja podatkov tretjim osebam: vodi se evidenca posredovanj podatkov tako, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi | Vsi zaposleni, ki v procesu izvajanja informacijske podpore pod nadzorom in z vednostjo upravljavca dostopajo do podatkovnih baz z osebnimi podatki imajo pravice za: • vnos, • vpogled, • urejanje, • izpis, • analizo, • prenos, • izbris |
1 Zbirke podatkov iz Tabele 1 se fizično NE nahajajo pri pogodbenem obdelovalcu, ampak izključno pri upravljavcu. Lahko pa se za potrebe izvajanja nalog po Krovni pogodbi (glej 1. člen Pogodbe) izvaja oddaljeni dostop preko varne internetne povezave in pod nadzorom upravljavca.
6
Upravljavec: Pogodb. obdelovalec: Datum:
TABELA 3: SEZNAM PODPOGODBENIH OBDELOVALCEV, NAMENI IN DOVOLJENE OBDELAVE OSEBNIH PODATKOV
NAZIV | NAMEN OBDELAVE | DOVOLJENE OBDELAVE |
7
Upravljavec: Pogodb. obdelovalec: Datum: