Standardna določila o obdelavi osebnih podatkov
Standardna določila o obdelavi osebnih podatkov
Za namene po 3. odstavku člena 28 Splošne uredbe o varstvu podatkov 2016/679 (GDPR)
Naročnik storitve prevajanja medicinskih besedil, izdelave kliničnih povzetkov ali prevajana študijskih nalog
(v nadaljevanju upravljavec) in
Slimmed zdravstvena dejavnost Xxxx Xxxxxxxx s.p. Xxxxxxxxx xxxxx 0, 3000 Celje, matična številka
8181918000, davčna številka 55272991 (v nadaljevanju obdelovalec)
vsak zase ‘stranka’; skupaj ‘stranki’
sta sprejela naslednja pogodbena določila (Določila) z namenom izpolnjevanja zahtev Splošne uredbe o
varstvu podatkov in zagotovitve varstva pravic posameznikov
1 Preambula
1. Ta pogodbena določila (Določila) opredeljujejo pravice in obveznosti upravljavca in obdelovalca, ko obdelava osebnih podatkov poteka v imenu in za račun upravljavca.
2. Določila so bila sestavljena z namenom zagotoviti, da sta stranki skladni z določbami 3. odstavka člena 28 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).
3. Obdelovalec bo v okviru izvajanja storitev prevajanje medicinskih besedil, izdelave kliničnih povzetkov ali prevajana študijskih nalog obdeloval osebne podatke v imenu in za račun upravljavca in skladno z Določili.
4. Določila imajo prednost pred drugimi podobnimi določbami, ki so vsebovane v drugih dogovorih med
strankama.
5. Namen Določil je varovanje pravic posameznikov, ublažitev specifičnih tveganj za varstvo osebnih podatkov in zagotovitev preglednosti v odnosu med upravljavcem in obdelovalcev glede njunih pravic in obveznosti.
6. Kadar se upravljavec in obdelovalec opirata le na dele Določil, se ne šteje, da se opirata na Določila
v celoti.
7. Določilom sta priloženi 2 prilogi, ki sta sestavni del Določil.
- Priloga A vsebuje podrobnosti o obdelavi osebnih podatkov, vključno z namenom in naravo obdelave, vrstami osebnih podatkov, kategorijami posameznikov, na katere se nanašajo osebni podatki in trajanjem obdelave.
- Priloga B vsebuje navodila upravljavca glede obdelave osebnih podatkov, minimalni nabor zahtev glede varnosti podatkov in opis poteka revizij nad delovanjem obdelovalca in pod-obdelovalcev.
8. Določila s prilogami hranita obe stranki v pisni ali elektronski obliki.
9. Določila ne izključujejo odgovornosti strank za obveznosti, ki jih imata po Splošni uredbi o varstvu
podatkov ali drugi zakonodaji.
2 Pravice in obveznosti upravljavca
1. Upravljavec je odgovoren za zagotovitev, da obdelava osebnih podatkov poteka skladno z določbami Splošne uredbe o varstvu podatkov (člen 24), pravnim redom Unije ali države članice1, ki ureja varstvo osebnih podatkov, in Določili.
2. Upravljavec ima pravico in obveznost določitve namenov in sredstev obdelave osebnih podatkov.
3. Upravljavec je odgovoren, med drugim, za zagotovitev, da za obdelavo osebnih podatkov, ki jo poverja obdelovalcu, obstaja veljavna pravna podlaga.
1 Sklicevanje na “države članice” se skozi celotna Določila razume kot sklicevanje na “članice EGS”.
3 Upoštevanje navodil upravljavca
1. Obdelovalec bo obdeloval osebne podatke samo na podlagi dokumentiranih navodil upravljavca, razen če to od njega zahteva pravo Unije ali države članice, ki velja za obdelovalca. Navodila so podrobneje opredeljena v prilogah A in C. Upravljavec lahko poda nadaljnja navodila ves čas trajanja obdelave osebnih podatkov, pri čemer bodo navodila vedno dokumentirana in v pisni obliki, vključno z elektronsko, v skladu z Določili.
2. V primeru, da obdelovalec meni, da navodila upravljavca kršijo Splošno uredbo o varstvu podatkov ali določbe prava Unije ali držav članic o varstvu osebnih podatkov, bo o tem nemudoma obvestil upravljavca.
4 Zaupnost
1. Obdelovalec bo dostop do osebnih podatkov, ki jih obdeluje v imenu in za račun upravljavca, omogočil samo tistim osebam pod nadzorom obdelovalca, ki so se zavezale k zaupnosti ali so ustrezno statusno-pravno zavezane glede zaupnosti in samo glede na izkazano potrebo po dostopu do podatkov. Seznam oseb, katerim je omogočen dostop do osebnih podatkov, bo redno pregledovan. Na podlagi rednih pregledov bo dostop do osebnih podatkov ukinjen, če ni več potreben, s čimer osebni podatki zadevnim osebam ne bodo več dostopni.
2. Na zahtevo upravljavca bo obdelovalec izkazal, da so zadevne osebe pod nadzorom obdelovalca zavezane k zgoraj navedenim zahtevam glede zaupnosti in imajo dostop do podatkov samo ob obstoju potrebe po dostopu do osebnih podatkov.
5 Varnost obdelave
1. Člen 32 Splošne uredbe o varstvu podatkov predvideva, da, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje.
2. Ustrezni tehnični in organizacijski ukrepi vključujejo naslednje:
- psevdonimizacijo in šifriranje osebnih podatkov;
- zmožnost zagotoviti stalno zaupnost, celovitost, razpoložljivost in odpornost sistemov in storitev za
obdelavo;
- zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih
ukrepov za zagotavljanje varnosti obdelave.
6 Uporaba storitev pod-obdelovalcev
1. Obdelovalec bo pri uporabi storitev drugih obdelovalcev (pod-obdelovalcev) spoštoval zahteve, ki jih določata 2. in 4. odstavek člena 28 Splošne uredbe o varstvu podatkov.
2. Kadar obdelovalec zaposli drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, veljajo za tega drugega obdelovalca enake obveznosti varstva podatkov kot so določena v Določilih in se uveljavijo na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz teh Določil in Splošne uredbe o varstvu podatkov.
Obdelovalcev je odgovoren za zahtevo, da pod-obdelovalec izpolnjuje vsaj obveznosti, ki veljajo za
obdelovalca po teh Določilih in Splošni uredbi o varstvu podatkov.
7 Prenos osebnih podatkov v tretje države in mednarodne organizacije
1. V primeru prenosov osebnih podatkov v tretje države ali mednarodne organizacije, kjer obdelovalec za to ni dobil navodil upravljavca, zahteva pa jih pravo Unije ali držav članic, ki velja za obdelovalca, bo obdelovalec seznanil upravljavca z zadevno zakonsko zahtevo pred pričetkom obdelave osebnih podatkov, razen če tista zakonodaja prepoveduje takšno informiranje na podlagi pomembnih razlogov v javnem interesu.
8 Izbris in vračilo podatkov
1. Obdelovalec se zavezuje, da bo ob prekinitvi zagotavljanja storitev obdelave osebnih podatkov izbrisal vse osebne podatke, ki jih obdeluje v imenu in za račun upravljavca, razen če nadaljnjo hrambo osebnih podatkov od njega zahteva pravo Unije ali države članice.
Obdelovalec se zavezuje, da bo osebne podatke obdeloval izključno za namene in čas trajanja po tej zakonodaji in ob strogem upoštevanju zadevnih pogojev.
9 Začetek in prekinitev
1. Določila stopijo v veljavo z dnem sklenitve dogovora o izvajanju storitve.
Obe stranki sta upravičeni zahtevati ponoven dogovor glede Določil, če bi to terjale spremembe zakonodaje ali če bi se Določila izkazala kot neprimerna.
2. Določila veljajo za celotno obdobje zagotavljanja storitev obdelave osebnih podatkov. Med trajanjem zagotavljanja storitev obdelave osebnih podatkov se ne morejo prekiniti, razen če se med strankama glede zagotavljanja storitev obdelave osebnih podatkov sklenejo druga ustrezna Določila.
Priloga A Informacije o obdelavi
Namen obdelave osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca je:
- prevajanje medicinskih besedil,
- izdelava kliničnih povzetkov,
- prevajanje študijskih nalog,
- upravljajnje zahtevkov, ki se nanašajo na prevajanje medicinskih besedil, izdelavo kliničnih povzetkov ali prevajanje študijskih nalog,
- izvajanje aktivnosti v zvezi z anketami o zadovoljstvu,.
- izvajanje aktivnosti neposrednega trženja: promocijska sporočila, informacije o storitvah in posebnih ponudbah.
Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca se nanaša na (narava obdelave osebnih podatkov): vpogled v osebne podatke.
Obdelava osebnih podatkov vključuje naslednje vrste osebnih podatkov:
o Osebni podatki za identifikacijo, na primer: ime, priimek, naslov, e-naslov, telefonska številka, davčna številka, datum rojstva.
o Zdravstveni podatki, informacije iz zdravstvene oz. medicinske dokumentacije, na primer: specialistične
preiskave, izvidi in diagnoze.
o Podatki o sklenjenem poslu, na primer: številka ponudbe, datum ponudbe, datum potrjene ponudbe, številka računa, datum računa.
Obdelava se nanaša na naslednje kategorije posameznikov: osebe, ki so potrdile ponudbo za izvedbo
storitev prevajanja medicinskih besedil, izdelave kliničnih povzetkov ali prevajanja študijskih nalog.
Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca se lahko začne z dnem pričetka izvajanja Določil: če ste z nami sklenili dogovor o izvajanju stortev, se vaši osebni podatki hranijo največ 10 let od sklenitve dogovora.
S prekinitvijo zagotavljanja storitev obdelave osebnih podatkov bo obdelovalec bodisi izbrisal bodisi vrnil osebne podatke skladno z členom 10.1, razen če upravljavec – po podpisu pogodbe – spremeni svojo prvotno odločitev. Takšna sprememba mora biti dokumentirana in hranjena v pisni obliki, vključno z elektronsko obliko, v skladu z Določili.“
Lokacija obdelave podatkov
Obdelava osebnih podatkov skladno z Določili ne sme potekati na drugih lokacijah, razen naslednjih brez
predhodne pisne odobritve upravljavca:
- Slimmed zdravstvena dejavnost Xxxx Xxxxxxxx s.p. Xxxxxxxxx xxxxx 0, 0000 Celje
Več informacij o obdelavi osebnih podatkov v Politiki zasebnosti na xxx.xxxxxxxxxx.xx/xxxxxxxx-xxxxxxxxxx.
Priloga B Navodilo glede uporabe osebnih podatkov
Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca vključuje aktivnosti: vpogled v osebne podatke za namen prevajanja medicinskih besedil, izdelava kliničnih povzetkov,
ali prevajanja študijskih nalog.
Upoštevaje, da obdelava osebnih podatkov vključuje posebne oziroma občutljive osebne podatke, katerih obdelava mora potekati skladno z določbami člena 9 Splošne uredbe o varstvu podatkov o »posebnih vrstah osebnih podatkov«, mora biti zagotovljena visoka raven varnosti.
Obdelovalec je upravičen in zavezan za sprejemanje odločitev o tehničnih in organizacijskih ukrepih za
varnost podatkov, ki se izvajajo za zagotovitev potrebne (in dogovorjene) ravni varnosti podatkov.
Ne glede na navedeno bo obdelovalec v vsakem primeru zagotovil najmanj naslednje ukrepe, ki so dogovorjeni z upravljavcem:
(a) šifriranje osebnih podatkov (zaklepanje datotek z gesli, ki se posredujejo ločeno od datotek);
(b) preprečevanje nepooblaščenega dostopa do osebnih podatkov:
prostori družbe, v katerih se nahajajo nosilci osebnih podatkov in strojna oprema, so varovani z organizacijskimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do osebnih podatkov. Izven delovnega časa pa morajo biti omare in pisalne mize z nosilci podatkov obvezno zaklenjene, računalniki in druga strojna oprema pa izklopljeni in programsko zaklenjeni.
(c) organizacijsko-tehnični ukrepi za varovanje osebnih podatkov vhodno-izhodnih enot v podjetju, ki jih izvajajo vsi zaposleni, so:
- politika 'čiste mize';
- shranjevanje nosilcev podatkov v zaklenjenem pohištvu, ognjevarnih omarah, sefih;
- prijava izgube ali kraje nosilca podatkov odgovorni osebi in
- onemogočanje nepooblaščenega dostopa do podatkov s politiko 'praznega zaslona'
(priložnostno 'gledanje čez rame' nepooblaščenim osebam).
(d) zmožnost zagotoviti stalno zaupnost, celovitost, razpoložljivost in odpornost sistemov in storitev za
obdelavo;
(e) zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(f) postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih
ukrepov za zagotavljanje varnosti obdelave.