Smlouva o zpracování osobních údajů

PŘÍLOHA VŠEOBECNÝCH SMLUVNÍCH PODMÍNEK Č. 1

Smlouva o zpracování osobních údajů

uzavřená dle čl. 28 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“)

Smluvní strany
Lékař/Klinika – vymezený ve všeobecných smluvních podmínkách (dále jen jako „Správce“)
a
ATWEB Consulting, s.r.o., IČ: 26160439, se sídlem na adrese Ostrovní 7, Praha 1, 110 00, společnost zapsána v obchodním rejstříku vedeném
Městským soudem v Praze, oddíl C, vložka 75655 (dále jen jako „Zpracovatel“)

(Správce a Zpracovatel dále také jako „Smluvní strany“)

uzavřely níže uvedeného dne, měsíce a roku tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva“).

1. Předmět a účel Smlouvy

1.1. Správce a Zpracovatel na základě jiného smluvního vztahu spolupracují v oblasti zajištění komunikace, zejména poptávky služeb pacientů se Správcem a dále umožnění přenosu části obsahu webu www.lekari-online.cz pomocí tzv. widgetu. V rámci této spolupráce dochází či může docházet k předání osobních údajů, kdy účel jejich zpracování a finanční prostředky na takové zpracování určuje a poskytuje Správce a Zpracovatel osobní údaje pro Správce dále zpracovává v mezích této smlouvy o zpracování osobních údajů.

1.2. Tato Smlouva vymezuje práva a povinnosti Stran při takovém zpracování osobních údajů.

2. Zpracování osobních údajů

2.1. Zpracovatel je pro Správce oprávněn zpracovávat následující osobní údaje:

  • Jméno a příjmení
  • Telefon
  • E-mail
  • Zákrok o který se potencální pacient zajímá
  • Textový popis problému
  • Fotografie přiložené k poptávce
  • Navrhovaný datum a čas konzultace
  • IP adresu
  • Příspěvek – hodnocení lékaře nebo dotaz v diskuzi, na který lékař odpovídá

(dále jen „Osobní údaje“).

2.2. Zpracovatel využívá osobní údaje pouze za účelem:

  • a) umožnění komunikace potenciálních klientů (pacientů) se Správcem
  • b) umožnění Správci rozesílat emaily se žádostí o vložení hodnocení od svých pacientů
  • c) umožnění sdílení obsahu webu týkajícího se Lékaře prostřednictvím widgetu

2.3. Správce je oprávněn rozšířit účel zpracování v souladu se zákonem, kdy pokyn k dalšímu zpracování lze Zpracovateli sdělit pouze písemnou formou. Za písemnou formu se pro účely této Smlouvy považuje rovněž e-mailová komunikace Smluvních stran adresovaná oprávněným osobám.

3. Práva a povinnosti Smluvních stran

3.1. Zpracovatel se zavazuje přijmout technická, organizační a jiná opatření, jež zamezí neoprávněnému nebo nahodilému přístupu k Osobním údajům, jejich změně, zničení, ztrátě či jinému neoprávněnému nakládání s Osobními údaji.

Zpracovatel se zavazuje zejména:

  • a) používat zabezpečený přístup do PC, kdy přístupy do PC budou známy pouze Zpracovateli;
  • b) používat zabezpečený přístup do databáze osobních údajů, přístupy je povinen Zpracovatel zadávat tak, aby nebyly zobrazeny, neukládaly se, nebyly zpřístupněny třetí osobě;
  • c) pro zpracování užívat software a služby, které splňují standardní požadavky na bezpečnost dat a splňují normy stanovené Evropskou unií;
  • d) bez předchozího souhlasu Správce netvořit kopie databáze;
  • e) užívat vhodné prostředky zabezpečení, např. šifrování či jiné vhodné a potřebné prostředky vždy v závislosti na konkrétním jednání a datech;
  • f) neumožnit přístup k údajům třetím osobám, pokud tento přístup nebude písemně schválen Správcem nebo neplyne z této Smlouvy;
  • g) dodržovat mlčenlivost ohledně údajů.

3.2. Zpracovatel se zavazuje taktéž:

  • a) zpracovávat Osobní údaje pouze v takové podobě, v jaké mu byly předány Správcem;
  • b) zpracovávat pouze Osobní údaje za účelem vymezeným touto Smlouvou a pouze v rozsahu nutném pro naplnění tohoto účelu;
  • c) nesdružovat Osobní údaje, které byly získány k rozdílným účelům;
  • d) uchovávat Osobní údaje pouze po dobu, která je uvedena v informační povinnosti nebo v souhlase koncového uživatele.

3.3. Zpracovatel je povinen pro Správce archivovat souhlasy se zpracováním osobních údajů, které byly Zpracovateli koncovými uživateli předány. Zpracovatel je povinen souhlasy do 2 pracovních dnů od výzvy Správce Správci vydat.

3.4. Zpracovatel je povinen zajistit, aby zaměstnanci a jiné osoby Zpracovatelem pověřené ke zpracování Osobních údajů tyto zpracovávaly jen v rozsahu a za účelem dle této Smlouvy a dle Nařízení.

3.5. Zpracovatel i Správce se zavazují dodržovat při zpracovávání Osobních údajů na základě této Smlouvy povinnosti stanovené Nařízením a dalšími obecně závaznými právními předpisy k této činnosti se vztahujícími.

3.6. Zpracovatel se zavazuje na výzvu Správce opravit, aktualizovat, smazat nebo přemístit Osobní údaj dle pokynu Správce bez zbytečného odkladu od takové výzvy.

3.7. V případě, že námitka subjektu údajů dle čl. 21 odst. 1 Nařízení určená Zpracovateli bude shledána oprávněnou, zavazuje se Zpracovatel odstranit neprodleně od písemné výzvy Správce závadný stav. Za písemnou se považuje rovněž e-mailová komunikace Stran.

3.8. Zpracovatel je povinen při plnění povinností ze Smlouvy postupovat s odbornou péčí, řídit se pokyny Správce a jednat v souladu se zájmy Správce. Pokud Zpracovatel zjistí, že Správce porušuje povinnosti Správce uložené Nařízením, je povinen tuto skutečnost Správci neprodleně oznámit.

3.9. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené touto Smlouvou nebo Nařízením týkající se osobních údajů a umožnit Správci nebo třetí straně, která bude vůči Správci zavázána mlčenlivostí, audit v přiměřeném rozsahu. Audit musí být oznámen dostatečně dopředu, nejméně 30 dní před proběhnutím auditu a nesmí nepřiměřeně zasahovat do činnosti Zpracovatele. Náklady auditu, které nejsou vzniklé jednoznačným porušením povinností Zpracovatele, hradí Správce.

3.10. Správce souhlasí, že Zpracovatel je oprávněn pověřit zpracováním osobních údajů dalšího zpracovatele bez dodatečného výslovného konkrétního povolení Správce (dále jen „Podzpracovatel“).

a) Zpracovatel informuje Správce o veškerých Podzpracovatelech, které zamýšlí pověřit zpracováním osobních údajů a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Podzpracovatelů námitky. Toto oznámení může být učiněno formou hromadné e-mailové rozesílky nebo jinými prostředky elektronické komunikace. Nevyjádří-li Správce své námitky vůči Podzpracovatelům do tří pracovních dnů, je Zpracovatel tohoto Podzpracovatele oprávněn zpracováním osobních údajů pověřit.

b) Pokud Správce vznese námitky proti zapojení Podzpracovatele dle předchozího písmene, je Zpracovatel oprávněn vypovědět poskytování svých služeb, pro něž je potřeba zpracovat osobní údaje, s výpovědní dobou 14 dnů. Výpovědní doba začíná běžet den následující po obdržení výpovědi Zpracovatele. Tuto výpověď je Zpracovatel oprávněn učinit e-mailem nebo jinými prostředky elektronické komunikace.

c) Pokud Zpracovatel zapojí Podzpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Podzpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v této Smlouvě a v Nařízení. Neplní-li uvedený Podzpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění povinností dotčeného Podzpracovatele Zpracovatel.

3.11. Ke dni uzavření této Smlouvy užívá Zpracovatel následující Podzpracovatele:

  • Account manager (v některých případech Zpracovatel využívá externí spolupracovníky, kteří pomáhají Správci se zpracováním poptávek pacientů)
  • AWS Amazon Web Service (web hosting)
  • MaxMind, Inc.(zpracování polohy dle IP adresy)
  • Google v rámci služby Google Analytics (analýza návštěvnosti)

4. Trvání Smlouvy

4.1. Tato Smlouva je účinná po dobu účinnosti smluvního vztahu uvedeného v čl. 1.1. Smlouvy.

4.2. V případě jakéhokoliv ukončení Smlouvy či ukončení zpracování Osobních údajů je Zpracovatel povinen bezodkladně provést likvidaci Osobních údajů, které mu byly poskytnuty na základě této Smlouvy, pokud jejich další dočasné zálohování není oprávněným a přiměřeným zájmem Zpracovatele.

5. Mlčenlivost

5.1. Zpracovatel se zavazuje zachovávat mlčenlivost o zpracovávaných Osobních údajích, zejména je nesmí zveřejňovat, šířit, či předávat dalším osobám mimo osoby v zaměstnaneckém poměru se Zpracovatelem nebo jiným oprávněným osobám, jež jsou zpracováním Osobních údajů pověřeny. Zpracovatel je povinen zajistit, aby také jeho zaměstnanci a jiné oprávněné osoby dodržovali závazek mlčenlivosti dle bodu 5. Smlouvy. Tato povinnost Zpracovatele trvá i po skončení tohoto smluvního vztahu.

5.2. Zpracovatel je dále povinen zachovávat mlčenlivost o bezpečnostních opatřeních přijatých k zabezpečení ochrany osobních údajů, a to i po skončení tohoto smluvního vztahu.

6. Odpovědnost

6.1. Poruší-li Zpracovatel jeho povinnosti založené Smlouvou nebo Nařízením, odpovídá za veškerou škodu vzniklou v důsledku takového porušení. Rozsah povinnosti se vztahuje i na škodu způsobenou třetím osobám a sankce uložené veřejnoprávním orgánem v důsledku porušení Nařízení nebo jiného předpisu upravujícího ochranu Osobních údajů.

6.2. Zpracovatel odpovídá i za škodu způsobenou porušením Smlouvy zaměstnanci Zpracovatele.

7. Závěrečná ustanovení

7.1. Neplatnost nebo nesrozumitelnost některého z ustanovení Smlouvy nemá vliv na platnost ostatních ustanovení Smlouvy.

7.2. Smluvní strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění bezproblémové a efektivní realizace této Smlouvy, a to zejména v případě jednání s Úřadem na ochranu osobních údajů nebo s jinými veřejnoprávními orgány.

Smlouva o zpracování osobních údajů

Aktualizováno: 26.8.2019