KUMSP00TSOX5 Smlouva o zpracování osobních údajů Smluvní strany 1. Provozovatel: "MOT^KQSLEZSj^ CÍSLÓ SMLOUVY (DODATKU) 0555$^ poř, číslo Moravskoslezský kraj se sídlem: 28. října 117, 702 18 Ostrava zastoupen: Ing. Tomášem Kotyzou, ředitelem krajského úřadu IČO: 70890692 DIČ CZ70890692 (dále jen „Provozovatel") a 2. Poskytovatel zdravotních služeb: Obchodní firma: MUDr. Wienerová Alena s.r.o. Se sídlem: Třinec, Staré Město, Husova 289, PSČ 739 61 Zastoupena: MUDr. Alenou Wíenerovou, jednatelkou IČO: 03530710 DIČ Zapsán v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 60391 (dále jen „Fbskytovatel ZS') Základní ustanovení 1. Tato smlouva je uzavřena dle ust. § 1746 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník"), a v souladu s či. 28 Nařízení B/ropského parlamentu a Rady (BJ) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), [dále jen „Nařízení]; právaa povinnosti touto smlouvou neupravená se řídí příslušnými ustanoveními občanského zákoníku. 2. Smluvní strany prohlašují, že údaje uvedené v či. I jsou v souladu se skutečností v době uzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bez prodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stran včetně změny účtu není nutné uzavírat ke smlouvě dodatek. 3. Smluvní strany uzavřely dne 11. 10. 2016 Smlouvu o přístupu k Systému pro výměnu informací v rámci sítě zdravotnických zařízení (dále jen „Smlouva o přístupu"), na základě které Frovozovatel v rámci Systému pro výměnu informací v rámci sítě zdravotnických zařízení (dáíe též „Systém") provozuje centrální komunikační uzel, který řídí a zprostředkovává zabezpečenou výměnu informací mezi poskytovateli zdravotních (lůžkových) služeb a Zdravotnickou záchrannou službou Moravskoslezského kraje,
Transcript
KUMSP00TSOX5
Smlouva o zpracování osobních údajů
Smluvní strany
1. Provozovatel:
"MOT^KQSLEZSj^CÍSLÓ SMLOUVY (DODATKU)
0555$^poř, číslo
Moravskoslezský krajse sídlem: 28. října 117, 702 18 Ostravazastoupen: Ing. Tomášem Kotyzou, ředitelem krajského úřaduIČO: 70890692DIČ CZ70890692
(dále jen „Provozovatel")
a
2. Poskytovatel zdravotních služeb:
Obchodní firma: MUDr. Wienerová Alena s.r.o.Se sídlem: Třinec, Staré Město, Husova 289, PSČ 739 61Zastoupena: MUDr. Alenou Wíenerovou, jednatelkouIČO: 03530710DIČZapsán v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka60391
(dále jen „Fbskytovatel ZS')
Základní ustanovení
1. Tato smlouva je uzavřena dle ust. § 1746 a násl. zákona č. 89/2012 Sb., občanský zákoník,ve znění pozdějších předpisů (dále jen „občanský zákoník"), a v souladu s či. 28 NařízeníB/ropského parlamentu a Rady (BJ) 2016/679 ze dne 27. dubna 2016 o ochraně fyzickýchosob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a ozrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), [dále jen„Nařízení]; práva a povinnosti touto smlouvou neupravená se řídí příslušnými ustanovenímiobčanského zákoníku.
2. Smluvní strany prohlašují, že údaje uvedené v či. I jsou v souladu se skutečností v doběuzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bezprodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stranvčetně změny účtu není nutné uzavírat ke smlouvě dodatek.
3. Smluvní strany uzavřely dne 11. 10. 2016 Smlouvu o přístupu k Systému pro výměnuinformací v rámci sítě zdravotnických zařízení (dále jen „Smlouva o přístupu"), na základěkteré Frovozovatel v rámci Systému pro výměnu informací v rámci sítě zdravotnickýchzařízení (dáíe též „Systém") provozuje centrální komunikační uzel, který řídí azprostředkovává zabezpečenou výměnu informací mezi poskytovateli zdravotních(lůžkových) služeb a Zdravotnickou záchrannou službou Moravskoslezského kraje,
příspěvkovou organizací, IČ 48804525 nebo mezi poskytovateli zdravotních služebvzájemně nebo mezi poskytovateli zdravotních (lůžkových) služeb a pacienty (dále též„uživatel" v rámci Portálu pacienta).
4. Vzhledem k tomu, že Paskytovatel ZS v postavení správce osobních údajů (dále jen„správce") vkládá do Systému osobní údaje a ty jsou zpracovávány na serverechProvozovatele, má Provozovatel postavení zpracovatele osobních údajů (dále jen„zpracovatel") ve smyslu či. 4 odst. 8 Nařízení.
5. Smluvní strany se proto dohodly, že vzájemný vztah založený Smlouvou o přístupuz hlediska ochrany osobních údajů upraví touto smlouvou dle podmínek Nařízení. Ostatníustanovení Smlouvy o přístupu touto smlouvou neupravená zůstávají v platnosti.
III.Předmět a účel zpracování osobních údajů
1. Předmětem zpracování v rámci provozování Systému je
a) přijímání a předávání osobních údajů na žádost Poskytovatele ZS,
b) přijímání a předávání osobních údajů na žádost pacienta v rámci Portálu pacienta,
c) uchovávání a zálohování informací o pacientovi a o Poskytovateli ZS v nezbytnémrozsahu, potřebném pro jeho registrací do Systému, a pro následné zajištění jehopřístupu na Portál pacienta.
Osobní údaje jsou Provozovatelem zpracovávány na prostředcích výpočetní techniky.
2. Účelem zpracování je zajištění
a) kvalitnější a efektivnější přednemocniční akutní péče,
b) zabezpečené výměny informací vytvořených Poskytovatelem ZS a předávanýchdalším poskytovatelům zdravotních služeb a
c) zabezpečené výměny informací vytvořených pacienty na Portálu pacienta.
3. Smluvní strany berou na vědomí, že Provozovatel bude zpracovávat následující kategorieosobních údajů:
a) osobní údaje včetně zvláštní kategorie osobních údajů (zejména osobní údajeo zdravotním stavu) obsažené ve zdravotnické dokumentaci pacienta dlezákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejichposkytování, které byly Poskytovatelem ZS předány FTovozovateli v rámciSystému,
b) osobní údaje uživatele v tomto rozsahu: jméno, příjmení, adresa, číslopojištěnce, e-mail adresa a telefonní číslo, které jsou nezbytné pro registraciuživatele v rámci Systému.
4. Dotčenými osobami, jejichž osobní údaje budou zpracovávány Provozovatelem, jsouposkytovatelé zdravotních služeb a jejich zaměstnanci, uživatelé Portálu pacienta,případně jejich zákonní zástupci.
5. provozovatel v souvislosti s provozováním Systému využívá dalšího subzpracovatele,kterým je společnost STAFF50 s.r.o., IČ: 13583531, se sídlem Fternštýnské náměstí 51,530 02 Pardubice, který je tvůrcem Systému a zajišťuje jeho servis a další činnosti,související s provozem Systému. Provozovatel prohlašuje, že ochrana osobních údajů jezajištěna i pro zpracování osobních údajů s výše uvedeným subzpracovatelem v rozsahudle této smlouvy.
6. Provozovatel není oprávněn bez předchozího písemného souhlasu FOskytovatele ZSzapojitdo zpracování osobních údajů žádného dalšího zpracovatele. Provozovatel je povinenzajistit, aby jakýkoli další zpracovatel, zapojený se souhlasem Poskytovatele ZS dozpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahu stejném,jaký je stanoven touto smlouvou, zejména co se týče povinnosti mlčenlivosti nebozavedení technických a organizačních opatření.
IV.Zpracování na pokyn Poskytovatele ZS
1. FTovozovate! je jako zpracovatel povinen zpracovávat osobní údaje pouze na základědoložených pokynů Poskytovatele ZS, který je v postavení správce. Pokyny PoskytovateleZS jsou uvedeny v této smlouvě a dále mohou být uděleny ad hoc způsobem uvedenýmv odst. 3 tohoto článku.
2. Provozovatel je povinen zpracovávat osobní údaje v rozsahu a za podmínek této smlouvy.
3. Vedle zpracování osobních údajů dle této smlouvy může provozovatel zpracovávat osobníúdaje na základě samostatného ad hoc pokynu Poskytovatele ZS v písemné formě, téželektronicky prostřednictvím e-mailu se zaručeným elektronickým podpisem neboprostřednictvím datové schránky. Provozovatel není oprávněn provádět zpracování nazákladě pokynů udělených mu jinou formou, než jaká je sjednána v tomto odstavci(zejména ústně, telefonicky nebo prostřednictvím „prostého" e-mailu). provozovatel jepovinen případné ad hoc pokyny doložit, za tím účelem je povinen je archivovat.
4. Fro účely tohoto článku smlouvy poskytovatel ZS stanovil osoby nebo kategorie osoboprávněných udělit Provozovateli ad hoc pokyn ke zpracování osobních údajů (dále jen„Oprávněná osoba"), jejíchž seznam je uveden v odst. 5. V případě, že pokyn udělí jináosoba, je FTovozovatel povinen zamítnout provedení zpracování osobních údajů aneprodleně tuto skutečnost oznámit kterékoliv Oprávněné osobě a sdělit jí rovněž veškeréúdaje, které obdržel od neoprávněného (zejména jeho identifikační údaje a jímpožadované operace zpracování).
5. Seznam Oprávněných osob:
a) statutární orgán Poskytovatele ZS;
b) pracovníci, pověření statutárním orgánem Poskytovatele ZS dle písm. a) tohotoodstavce.
6. Bez doloženého pokynu Poskytovatele ZS je Provozovatel oprávněn provádět zpracováníosobních údajů pouze tehdy, pokud mu toto zpracování ukládá ve smyslu či. 28 odst. 3písm. a) Nařízení právo Unie nebo členského státu EU, které se na FOskytovatele ZSvztahuje; v takovém případě Provozovatel informuje FOskytovatele ZS o tomto právnímpožadavku před zpracováním, ledaže by právní předpisy toto informování zakazovalyz důvodu veřejného zájmu.
7. FOkud Provozovatel usoudí, že určitý pokyn Poskytovatele ZS porušuje Nařízení nebo jinéprávní předpisy týkající se ochrany osobních údajů, je povinen o tom neprodleněinformovat FOskytovatele ZS.
V.Doba trvání zpracování
1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončení
provozování Systému dle Smlouvy o přístupu, ledaže z konkrétních okolností vyplyne, žepovinností vyplývající z této smlouvy mají trvat i po ukončení provozování Systému.
2. Provozovatel je povinen na základě rozhodnutí Poskytovatele ZS po ukončení provozováníSystému dle Smlouvy o přístupu, provést výmaz nebo vrácení všech osobních údajůFOskytovateli ZS, a dále provést výmaz veškerých existujících kopií, pokud právní předpisynepožadují uložení příslušných osobních údajů.
VI.Místo zpracování, zákaz předávání osobních údajů do třetích zemí
1. Místem zpracování osobních údajů je sídlo provozovatele. fTovozovatel není oprávněnv souvislosti se zpracováním osobních údajů prováděném pro FOskytovatele předávatosobní údaje do zemí mimo českou republiku, do třetích zemí nebo mezinárodníorganizaci, ani provádět zpracování osobních údajů na prostředcích výpočetní technikyumístěných mimo Českou republiku.
2. Případné zpracování osobních údajů mimo Českou republiku je možné pouze s předchozímpísemným souhlasem FOskytovatele ZS a současně pouze tehdy, že jsou splněnypodmínky pro předání osobních údajů do třetí země stanovené v či. 44 a násl. Nařízení. Vpřípadě zpracování osobních údajů v rámci členských států EU je Provozovatel povinentakové zpracování osobních údajů oznámit FOskytovateli ZS bez zbytečného odkladu anení potřeba jeho předchozího písemného souhlasu.
VII.Povinnost mlčenlivosti
1. FTovozovatel je povinen zachovávat mlčenlivost o všech skutečnostech, které se dozvědělv souvislosti s provozováním ^sternu dle Smlouvy o přístupu, zejména mlčenlivostohledně osobních údajů, které mu byly na základě Smlouvy o přístupu a této smlouvyzpřístupněny. Tato povinnost mlčenlivosti není časově omezená ani není vázána na trváníSmlouvy o přístupu.
2. FTovozovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámitvšechny zaměstnance, kterým by mohly být osobní údaje FTovozovatelem zpřístupněny,s povinností mlčenlivosti a se skutečností, že tato povinnost mlčenlivosti je časověneomezená. Provozovatel je povinen na žádost FOskytovatele ZS doložit, že příslušnéosoby byly s povinností mlčenlivosti seznámeny.
Vlil.Technická a organizační opatření na ochranu osobních údajů
1. Provozovatel je povinen přijmout v souladu s či. 32 Nařízení vhodná technická opatření naochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavutechniky, povaze, rozsahu, kontextu a účelům zpracování dle Smlouvy o přístupu ik rizikům pro práva a svobody fyzických osob.
2. FTovozovatel je dále povinen přijmout vhodná organizační opatření na ochranu osobníchúdajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahyzpracování osobních údajů, zejména:
a) neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům,umožňujícím přístup k nim (zejména k osobnímu počítaa, datovým nosičům,klíčům a k heslům umožňujícím přístup);
b) nepoužije žádné on-line služby třetích osob k uložení nebo jinému zpracováníosobních údajů bez předchozího souhlasu FOskytovatele ZS,
c) zajistí veškeré úložiště, zařízení nebo služby používané ke zpracování osobníchúdajů heslem;
d) zajistí jednoznačnou identifikaci přístupu každého uživatele Systému ačinností, které v Jistému vykonal,
e) na veškerých zařízeních používaných ke zpracování osobních údajů dle tétosmlouvy zavede elektronické prostředky ochrany ve formě antivirového a anti-malware software;
f) stanoví vnitřní pravidla ochrany osobních údajů v souladu s Nařízením, svézaměstnance s těmito pravidly seznámí a zajistí kontrolu jejich dodržování.
3. FTovozovatel umožní FOskytovateli ZS nebo jím pověřeným osobám kontrolu dodržováníjeho povinností dle této smlouvy.
IX.Součinnost Provozovatele, povinnost být nápomocen
1. FTovozovatel je povinen poskytnout FOskytovateli ZS veškerou potřebnou součinnostv souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochranyosobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeréinformace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobníchúdajů Provozovatelem je v souladu s Nařízením a FTovozovatel i Poskytovatel ZS naplňujízákladní zásady a principy uvedené v Nařízení. FTovozovatel je povinen umožnit audity,včetně inspekcí, prováděné Poskytovatelem ZS nebo jiným auditorem pověřenýmPoskytovatelem ZS, a dáíe je povinen poskytnout řádnou součinnost nutnou k auditům,inspekcím a jiným kontrolám.
2. FTovozovatel je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků32 až 36 Nařízení, zejména být nápomocen FOskytovateli ZS v případech porušenízabezpečení osobních údajů k tomu, aby mohl vyhodnotit, zda porušení mělo za následekriziko pro práva a svobody dotčených fyzických osob, případně být nápomocen k tomu,aby Poskytovatel ZS mohl řádně a včas ohlásit porušení zabezpečení osobních údajůdozorovému úřadu (včetně údajů dle či. 33 odst. 3 Nařízení) a ohlásit je subjektům údajů.Při výkonu této povinnosti je FTovozovatel povinen reagovat bez zbytečného odkladu napokyny a požadavky Poskytovatele ZS.
3. Zjistí-li FTovozovatel jakékoliv porušení zabezpečení osobních údajů, včetně jejichneoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnostneprodleně, nejpozději však do 48 hodin, informovat FOskytovatele ZS, přičemž uvedealespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezenísubjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledkůporušení a popis opatření, které fTovozovatel přijal s cílem vyřešit dané porušenízabezpečení osobních údajů, včetně případných opatření ke zmírnění možnýchnepříznivých dopadů, pokud k porušení došlo na jeho straně.
4. FTovozovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvímvhodných technických a organizačních opatření pro splnění povinností FOskytovatele ZSjakožto správce osobních údajů reagovat na žádosti o výkon práv subjektů údajů, např.
v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj.
5. V případě ukončení zpracování osobních údajů je Provozovatel povinen postupovatv souladu s pokyny FOskytovatele ZS. Nestanoví-Ii Poskytovatel ZS ve vztahu kekonkrétním osobním údajům nebo jejich kategorii jinak, při ukončení zpracování osobníchúdajů je FTovozovatel povinen tyto vymazat ze všech datových úložišť, vytvořit o tétoskutečnosti záznam a poskytnout tento záznam Poskytovateli ZS. Záznamy o výmazu jemožné vytvářet souhrnně za určité období a mohou být FOskytovateli ZS poskytoványperiodicky.
X.Závěrečná ujednání
1. Tato smlouva nabývá platnosti a účinnosti dnem, kdy vyjádření souhlasu s obsahem návrhusmlouvy dojde druhé smluvní straně.
2. Tato smlouva může být měněna pouze písemnými, vzestupně Číslovanými dodatky.
3. Tato smlouva je vyhotovena ve třech stejnopisech s platností originálu, z nichž dva obdržíFTovozovatel a jeden poskytovatel ZS.
4. Doložka platnosti právního jednání dle § 23 zákona č. 129/2000 Sb., okrajích (krajskézřízení), věznění pozdějších předpisů: Oprávnění ředitele krajského úřadu rozhodnout ouzavření této smlouvy vyplývá z usnesení rady kraje č. 37/3253 ze dne 24. 4. 2018.
