Embed Size (px)
Citation preview
V 155ĚI ř# /
KUMSP00TSM4K
Smlouva o zpracování osobních údajů
MORAVSKOSLEZSKY KRAJ - KRAJSKY URAĎ
ČÍSLO SMLOUVY (DODATKU)
ppf. Činl0ion žbW
mí-. M%
I.Smluvní strany
1. Provozovatel:
Moravskoslezský krajse sídlem: 28. října 117, 702 18 Ostravazastoupen: Ing. Tomášem Kotyzou, ředitelem krajského úřaduIČO: 70890692DIČ: CZ70890692
(dále jen „Provozovatel")
2. Poskytovatel zdravotních služeb:
Obchodní firma:Se sídlem:Zastoupena:IČ:DIČ:
Slezská nemocnice v Opavě, příspěvková organizace
CZ 47813750Zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl Pr, vložka924
(dále jen „Poskytovatel ZS")
II.Základní ustanovení
1. Tato smlouva je uzavřena dle ust. § 1746 a násl. zákona č. 89/2012 Sb., občanskýzákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník"), a v souladu s čl. 28Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraněfyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchtoúdajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), [dálejen „Nařízení]; práva a povinnosti touto smlouvou neupravená se řídí příslušnýmiustanoveními občanského zákoníku.
2. Smluvní strany prohlašují, že údaje uvedené v čl. I jsou v souladu se skutečností v doběuzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bezprodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stranvčetně změny účtu není nutné uzavírat ke smlouvě dodatek.
3. Smluvní strany uzavřely dne 05. 10. 2015 Smlouvu o přístupu k Systému pro výměnuinformací v rámci sítě zdravotnických zařízení (dále jen „Smlouva o přístupu"), na základěkteré Provozovatel v rámci Systému pro výměnu informací v rámci sítě zdravotnickýchzařízení (dále též „Systém") provozuje centrální komunikační uzel, který řídí azprostředkovává zabezpečenou výměnu informací mezi poskytovateli zdravotních(lůžkových) služeb a Zdravotnickou záchrannou službou Moravskoslezského kraje,
příspěvkovou organizací, IČ: 48804525 nebo mezi poskytovateli zdravotních slivzájemně nebo mezi poskytovateli zdravotních (lůžkových) služeb a pacienty (dále též1
„uživatel" v rámci Portálu pacienta).
4. Vzhledem k tomu, že Poskytovatel ZS v postavení správce osobních údajů (dále jen„správce") vkládá do Systému osobní údaje a ty jsou zpracovávány na serverechProvozovatele, má Provozovatel postavení zpracovatele osobních údajů (dále jen„zpracovatel") ve smyslu čl. 4 odst. 8 Nařízení.
5. Smluvní strany se proto dohodly, že vzájemný vztah založený Smlouvou o přístupuz hlediska ochrany osobních údajů upraví touto smlouvou dle podmínek Nařízení. Ostatníustanovení Smlouvy o přístupu touto smlouvou neupravená zůstávají v platnosti.
III.Předmět a účel zpracování osobních údajů
1. Předmětem zpracování v rámci provozování Systému je
a) přijímání a předávání osobních údajů na žádost Poskytovatele ZS,
b) přijímání a předávání osobních údajů na žádost pacienta v rámci Portálupacienta,
c) uchovávání a zálohování informací o pacientovi a o Poskytovateli ZS v nezbytnémrozsahu, potřebném pro jeho registraci do Systému, a pro následné zajištění jehopřístupu na Portál pacienta.
Osobní údaje jsou Provozovatelem zpracovávány na prostředcích výpočetní techniky.
2. Účelem zpracování je zajištění
a) kvalitnější a efektivnější přednemocniční akutní péče,
b) zabezpečené výměny informací vytvořených Poskytovatelem ZS a předávanýchdalším poskytovatelům zdravotních služeb a
c) zabezpečené výměny informací vytvořených pacienty na Portálu pacienta.
3. Smluvní strany berou na vědomí, že Provozovatel bude zpracovávat následující kategorieosobních údajů:
a) osobní údaje včetně zvláštní kategorie osobních údajů (zejména osobníúdaje o zdravotním stavu) obsažené ve zdravotnické dokumentaci pacientadle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejichposkytování, které byly Poskytovatelem ZS předány Provozovateli v rámciSystému,
b) osobní údaje uživatele v tomto rozsahu: jméno, příjmení, adresa, číslopojištěnce, e-mail adresa a telefonní číslo, které jsou nezbytné pro registraciuživatele v rámci Systému.
4. Dotčenými osobami, jejichž osobní údaje budou zpracovávány Provozovatelem, jsouposkytovatelé zdravotních služeb a jejich zaměstnanci, uživatelé Portálu pacienta,případně jejich zákonní zástupci.
5. Provozovatel v souvislosti s provozováním Systému využívá dalšího subzpracovatele,kterým je společnost STAPRO s.r.o., IČ: 13583531, se sídlem Pernštýnské náměstí 51,530 02 Pardubice, který je tvůrcem Systému a zajišťuje jeho servis a další činnosti,související s provozem Systému. Provozovatel prohlašuje, že ochrana osobních údajů je
zajištěna i pro zpracování osobních údajů s výše uvedeným subzpracovatelem v rozsahudle této smlouvy.
Provozovatel není oprávněn bez předchozího písemného souhlasu Poskytovatele ZSzapojit do zpracování osobních údajů žádného dalšího zpracovatele. Provozovatel jepovinen zajistit, aby jakýkoli další zpracovatel, zapojený se souhlasem Poskytovatele ZSdo zpracování osobních údajů, dodržoval podmínky zpracování alespoň v rozsahustejném, jaký je stanoven touto smlouvou, zejména co se týče povinnosti mlčenlivostinebo zavedení technických a organizačních opatření.
IV.Zpracování na pokyn Poskytovatele ZS
1. Provozovatel je jako zpracovatel povinen zpracovávat osobní údaje pouze na základědoložených pokynů Poskytovatele ZS, který je v postavení správce. PokynyPoskytovatele ZS jsou uvedeny v této smlouvě a dále mohou být uděleny ad hoczpůsobem uvedeným v odst. 3 tohoto článku.
2. Provozovatel je povinen zpracovávat osobní údaje v rozsahu a za podmínek tétosmlouvy.
3. Vedle zpracování osobních údajů dle této smlouvy může Provozovatel zpracovávatosobní údaje na základě samostatného ad hoc pokynu Poskytovatele ZS v písemnéformě, též elektronicky prostřednictvím e-mailu se zaručeným elektronickým podpisemnebo prostřednictvím datové schránky. Provozovatel není oprávněn provádět zpracovánína základě pokynů udělených mu jinou formou, než jaká je sjednána v tomto odstavci(zejména ústně, telefonicky nebo prostřednictvím „prostého" e-mailu). Provozovatel jepovinen případné ad hoc pokyny doložit, za tím účelem je povinen je archivovat.
4. Pro účely tohoto článku smlouvy Poskytovatel ZS stanovil osoby nebo kategorie osoboprávněných udělit Provozovateli ad hoc pokyn ke zpracování osobních údajů (dále jen„Oprávněná osoba"), jejichž seznam je uveden v odst. 5. V případě, že pokyn udělí jináosoba, je Provozovatel povinen zamítnout provedení zpracování osobních údajů aneprodleně tuto skutečnost oznámit kterékoliv Oprávněné osobě a sdělit jí rovněžveškeré údaje, které obdržel od neoprávněného (zejména jeho identifikační údaje a jímpožadované operace zpracování).
5. Seznam Oprávněných osob:
a) statutární orgán Poskytovatele ZS;
b) pracovníci, pověření statutárním orgánem Poskytovatele ZS dle písm. a) tohotoodstavce.
6. Bez doloženého pokynu Poskytovatele ZS je Provozovatel oprávněn provádět zpracováníosobních údajů pouze tehdy, pokud mu toto zpracování ukládá ve smyslu čl. 28 odst. 3písm. a) Nařízení právo Unie nebo členského státu EU, které se na Poskytovatele ZSvztahuje; v takovém případě Provozovatel informuje Poskytovatele ZS o tomto právnímpožadavku před zpracováním, ledaže by právní předpisy toto informování zakazovalyz důvodu veřejného zájmu.
7. Pokud Provozovatel usoudí, že určitý pokyn Poskytovatele ZS porušuje Nařízení nebo jinéprávní předpisy týkající se ochrany osobních údajů, je povinen o tom neprodleněinformovat Poskytovatele ZS.
v.Doba trvání zpracování
1. Doba trvání zpracování osobních údajů se sjednává na dobu určitou, a to až do ukončeníprovozování Systému dle Smlouvy o přístupu, ledaže z konkrétních okolností vyplyne, žepovinnosti vyplývající z této smlouvy mají trvat i po ukončení provozování Systému.
2. Provozovatel je povinen na základě rozhodnutí Poskytovatele ZS po ukončeníprovozování Systému dle Smlouvy o přístupu, provést výmaz nebo vrácení všechosobních údajů Poskytovateli ZS, a dále provést výmaz veškerých existujících kopií,pokud právní předpisy nepožadují uložení příslušných osobních údajů.
VI.Místo zpracování, zákaz předávání osobních údajů do třetích zemí
1. Místem zpracování osobních údajů je sídlo Provozovatele. Provozovatel není oprávněnv souvislosti se zpracováním osobních údajů prováděném pro Poskytovatele předávatosobní údaje do zemí mimo Českou republiku, do třetích zemí nebo mezinárodníorganizaci, ani provádět zpracování osobních údajů na prostředcích výpočetní technikyumístěných mimo Českou republiku.
2. Případné zpracování osobních údajů mimo Českou republiku je možné pouzes předchozím písemným souhlasem Poskytovatele ZS a současně pouze tehdy, že jsousplněny podmínky pro předání osobních údajů do třetí země stanovené v čl. 44 a násl.Nařízení. V případě zpracování osobních údajů v rámci členských států EU jeProvozovatel povinen takové zpracování osobních údajů oznámit Poskytovateli ZS bezzbytečného odkladu a není potřeba jeho předchozího písemného souhlasu.
VII.Povinnost mlčenlivosti
1. Provozovatel je povinen zachovávat mlčenlivost o všech skutečnostech, které sedozvěděl v souvislosti s provozováním Systému dle Smlouvy o přístupu, zejménamlčenlivost ohledně osobních údajů, které mu byly na základě Smlouvy o přístupu a tétosmlouvy zpřístupněny. Tato povinnost mlčenlivosti není časově omezená ani není vázánana trvání Smlouvy o přístupu.
2. Provozovatel je povinen přijmout příslušná organizační opatření a prokazatelně seznámitvšechny zaměstnance, kterým by mohly být osobní údaje Provozovatelem zpřístupněny,s povinností mlčenlivosti a se skutečností, že tato povinnost mlčenlivosti je časověneomezená. Provozovatel je povinen na žádost Poskytovatele ZS doložit, že příslušnéosoby byly s povinností mlčenlivosti seznámeny.
VIII.Technická a organizační opatření na ochranu osobních údajů
Provozovatel je povinen přijmout v souladu s čl. 32 Nařízení vhodná technická opatřenína ochranu osobních údajů, které zpracovává, a to s přihlédnutím k poslednímu stavutechniky, povaze, rozsahu, kontextu a účelům zpracování dle Smlouvy o přístupu ik rizikům pro práva a svobody fyzických osob.
Provozovatel je dále povinen přijmout vhodná organizační opatření na ochranu osobníchúdajů, které zpracovává, a která jsou odpovídající rizikům vyplývajícím z povahyzpracování osobních údajů, zejména:
a) neposkytne žádné třetí osobě přístup k osobním údajům a k prostředkům,umožňujícím přístup k nim (zejména k osobnímu počítači, datovým nosičům,klíčům a k heslům umožňujícím přístup);
b) nepoužije žádné on-line služby třetích osob k uložení nebo jinémuzpracování osobních údajů bez předchozího souhlasu Poskytovatele ZS,
c) zajistí veškeré úložiště, zařízení nebo služby používané ke zpracováníosobních údajů heslem;
d) zajistí jednoznačnou identifikaci přístupu každého uživatele Systému ačinností, které v Systému vykonal,
e) na veškerých zařízeních používaných ke zpracování osobních údajů dle tétosmlouvy zavede elektronické prostředky ochrany ve formě antivirového aanti-malware software;
f) stanoví vnitřní pravidla ochrany osobních údajů v souladu s Nařízením, svézaměstnance s těmito pravidly seznámí a zajistí kontrolu jejich dodržování.
Provozovatel umožní Poskytovateli ZS nebo jím pověřeným osobám kontrolu dodržováníjeho povinností dle této smlouvy.
IX.Součinnost Provozovatele, povinnost být nápomocen
Provozovatel je povinen poskytnout Poskytovateli ZS veškerou potřebnou součinnostv souvislosti s případnou kontrolou prováděnou dozorovým úřadem v oblasti ochranyosobních údajů, např. Úřadem pro ochranu osobních údajů, zejména poskytnout veškeréinformace a vysvětlení, která budou nezbytná k doložení toho, že zpracování osobníchúdajů Provozovatelem je v souladu s Nařízením a Provozovatel i Poskytovatel ZS naplňujízákladní zásady a principy uvedené v Nařízení. Provozovatel je povinen umožnit audity,včetně inspekcí, prováděné Poskytovatelem ZS nebo jiným auditorem pověřenýmPoskytovatelem ZS, a dále je povinen poskytnout řádnou součinnost nutnou k auditům,inspekcím a jiným kontrolám.
Provozovatel je povinen být nápomocen při zajišťování souladu s povinnostmi dle článků32 až 36 Nařízení, zejména být nápomocen Poskytovateli ZS v případech porušenízabezpečení osobních údajů k tomu, aby mohl vyhodnotit, zda porušení mělo zanásledek riziko pro práva a svobody dotčených fyzických osob, případně být nápomocenk tomu, aby Poskytovatel ZS mohl řádně a včas ohlásit porušení zabezpečení osobníchúdajů dozorovému úřadu (včetně údajů dle čl. 33 odst. 3 Nařízení) a ohlásit jesubjektům údajů. Při výkonu této povinnosti je Provozovatel povinen reagovat bezzbytečného odkladu na pokyny a požadavky Poskytovatele ZS.
Zjistí-li Provozovatel jakékoliv porušení zabezpečení osobních údajů, včetně jejichneoprávněného zpracování, poškození, ztráty či zničení, je povinen o této skutečnostneprodleně, nejpozději však do 48 hodin, informovat Poskytovatele ZS, přičemž uvedealespoň zjištěný způsob porušení, kategorie osobních údajů, jichž se týká, vymezenísubjektů, jejichž osobních údajů se porušení týká, popis pravděpodobných důsledkůporušení a popis opatření, které Provozovatel přijal s cílem vyřešit dané porušenízabezpečení osobních údajů, včetně případných opatření ke zmírnění možnýchnepříznivých dopadů, pokud k porušení došlo na jeho straně.
Provozovatel je dále povinen, pokud je to možné, být nápomocen prostřednictvímvhodných technických a organizačních opatření pro splnění povinností Poskytovatele ZSjakožto správce osobních údajů reagovat na žádosti o výkon práv subjektů údajů, např.v souvislosti s právem na výmaz, opravu, přenositelnost osobních údajů aj.
ízskůnemocníce
5. V případě ukončení zpracování osobních údajů je Provozovatel povinenv souladu s pokyny Poskytovatele ZS. Nestanoví-li Poskytovatel ZS ve vztahu kekonkrétním osobním údajům nebo jejich kategorii jinak, při ukončení zpracováníosobních údajů je Provozovatel povinen tyto vymazat ze všech datových úložišť, vytvořito této skutečnosti záznam a poskytnout tento záznam Poskytovateli ZS. Záznamyo výmazu je možné vytvářet souhrnně za určité období a mohou být Poskytovateli ZSposkytovány periodicky.
X.Závěrečná ujednání
1. Tato smlouva nabývá platnosti a účinnosti dnem, kdy vyjádření souhlasu s obsahemnávrhu smlouvy dojde druhé smluvní straně.
2. Tato smlouva může být měněna pouze písemnými, vzestupně číslovanými dodatky.
3. Tato smlouva je vyhotovena ve třech stejnopisech s platností originálu, z nichž dva obdržíProvozovatel a jeden Poskytovatel ZS.
4. Doložka platnosti právního jednání dle § 23 zákona č. 129/2000 Sb., o krajích (krajskézřízení), ve znění pozdějších předpisů: Oprávnění ředitele krajského úřadu rozhodnout ouzavření této smlouvy vyplývá z usnesení rady kraje č. 37/3253 ze dne 24. 4. 2018.
Z4.04, 2019V Ostravě dne V Opavě dne 8.4.2019
za Provozovatele
Ing. Tomáš Kotyzaředitel krajského úřadu
Po dobu nepřítomnosti zastoupenIng. Annou Klimšovou
zástupkyní ředitelevedoucí odboru financí
za Poskytovatele ZS
SL£>>N
?^vQpy
