O zpracovatelské smlouvě (DPA) DataDent

1.Účel a strany DPA

1.1. DPA upravuje práva a povinnosti při zpracování osobních údajů, které zpracovatel zpracovává jménem správce v souvislosti s poskytováním služby DataDent.

1.2. Zpracovatel

MAGNAPRO s.r.o.
IČO: 05115281
DIČ: CZ05115281
Sídlo: Českolipská 325/20, 412 01 Litoměřice
Zapsaná v obchodním rejstříku vedeném u Krajského soudu v Ústí nad Labem
Zastoupený: Lukášem Mosteckým, jednatelem
Kontaktní e-mail: info@datadent.cz

1.3. Správce

Správcem je každý poskytovatel zdravotních služeb (klinika, ordinace, samostatně ordinující lékař), který si aktivuje službu DataDent. Identifikační údaje správce jsou součástí konkrétní DPA podepsané při registraci.

1.4. Kontaktní osoba pro ochranu osobních údajů / GDPR

Kontaktním bodem ve věcech ochrany osobních údajů na straně zpracovatele je Lukáš Mostecký, e-mail info@datadent.cz. Pokud bude zpracovatel v budoucnu formálně jmenovat pověřence pro ochranu osobních údajů (DPO), budou jeho kontaktní údaje doplněny do plného znění DPA a do Zásad zpracování osobních údajů.

2.Úvodní ustanovení

2.1. Správce využívá službu DataDent pro digitalizaci a správu pacientských formulářů, informovaných souhlasů, elektronických podpisů, PDF dokumentů a souvisejících pracovních postupů.

2.2. V rámci poskytování služby DataDent dochází ke zpracování osobních údajů jménem správce.

2.3. DPA se uzavírá za účelem splnění požadavků GDPR na vztah mezi správcem a zpracovatelem.

2.4. DPA je součástí smluvního rámce mezi správcem a zpracovatelem a doplňuje zejména ZOP DataDent, případně další smluvní dokumentaci.

3.Vymezení pojmů

3.1. Osobními údaji se ve smlouvě rozumí osobní údaje zpracovávané zpracovatelem jménem správce v souvislosti s poskytováním služby DataDent.

3.2. Pacientskými daty se rozumí zejména údaje pacientů, zákonných zástupců, kontaktních osob a další údaje obsažené ve formulářích, souhlasech, podpisech, PDF dokumentech, přílohách, doplněních a souvisejících záznamech vedených prostřednictvím služby DataDent.

3.3. Službou se rozumí aplikace DataDent a její související technická infrastruktura používaná správcem.

3.4. Dalším zpracovatelem se rozumí jiný zpracovatel zapojený zpracovatelem do plnění smlouvy.

3.5. Výzvou k převzetí nebo exportu dat se rozumí oznámení zaslané správci na jeho poslední známý kontaktní e-mail nebo zpřístupněné v aplikaci; účinky takového oznámení se řídí obecným režimem komunikace a doručování podle hlavního smluvního rámce.

4.Role stran

4.1. DPA potvrzuje, že správce vystupuje ve vztahu k osobním údajům jako správce osobních údajů.

4.2. Zpracovatel je ve vztahu k těmto osobním údajům zpracovatelem a zpracovává je pouze jménem správce a podle jeho pokynů.

4.3. Smlouva se vztahuje pouze na ty osobní údaje, u nichž zpracovatel vystupuje jako zpracovatel.

4.4. DPA se nevztahuje na údaje, které zpracovatel zpracovává jako samostatný správce, zejména registrační, smluvní, fakturační, platební, provozní a bezpečnostní údaje osob jednajících za správce.

5.Předmět, povaha a účel zpracování

5.1. Předmětem zpracování jsou osobní údaje, které správce vloží do služby DataDent nebo které ve službě vzniknou při jejím používání pro účely zdravotnické a související administrativy správce.

5.2. Povaha zpracování zahrnuje zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání, uchovávání, zobrazování, zpřístupňování oprávněným osobám správce, generování PDF, zálohování, přenos, export, výmaz a další operace nezbytné pro poskytování služby.

5.3. Účelem zpracování je umožnit správci používat DataDent pro digitální správu pacientských formulářů, informovaných souhlasů, podpisů, změnových workflow, doplnění formulářů, notifikací, archivace a související zdravotnické administrativy.

6.Doba zpracování

6.1. DPA stanoví, že zpracovatel bude osobní údaje zpracovávat po dobu trvání smluvního vztahu se správcem a dále po dobu nezbytnou k plnění smluvních, zákonných, bezpečnostních a archivačních povinností, případně do doby, než správce vydá pokyn k vrácení, exportu nebo výmazu údajů, není-li jejich další uchování vyžadováno právním předpisem.

6.2. U pacientských dat a údajů tvořících součást zdravotnické dokumentace bere zpracovatel na vědomí, že správce může být povinen tyto údaje uchovávat po dobu stanovenou právními předpisy upravujícími vedení a uchovávání zdravotnické dokumentace.

6.3. Smlouva proto vylučuje, aby zpracovatel provedl výmaz pacientských dat způsobem, který by správci bez předchozí možnosti převzetí nebo exportu znemožnil plnit jeho zákonné povinnosti.

6.4. Skončení poskytování služby, deaktivace účtu nebo prodlení správce s úhradou ceny samo o sobě neznamená automatický výmaz pacientských dat.

7.Typy osobních údajů

7.1. DPA vymezuje, že zpracování může zahrnovat zejména tyto kategorie osobních údajů:

• identifikační údaje pacienta, zejména jméno, příjmení, titul, datum narození, rodné číslo nebo jiný identifikátor,
• kontaktní údaje pacienta, zejména e-mail, telefon a adresa,
• údaje o zdravotním pojištění,
• údaje o zákonném zástupci, kontaktní osobě nebo rodinných vztazích,
• údaje o zdravotním stavu, anamnéze, léčbě, alergiích, medikaci, předchozích zákrocích, rizikových faktorech a dalších zdravotnických informacích,
• údaje obsažené v informovaných souhlasech a dalších zdravotnických formulářích,
• elektronické podpisy, časová razítka a metadata o odeslání, potvrzení nebo změně dokumentu,
• doplnění formulářů, komunikaci související se změnami nebo doplněními a související auditní záznamy.

7.2. Údaje uvedené zejména v odst. 7.1 písm. e) až g) představují zvláštní kategorii osobních údajů podle čl. 9 GDPR, zejména údaje o zdravotním stavu, a podléhají zvýšené ochraně.

8.Kategorie subjektů údajů

8.1. DPA stanoví, že subjekty údajů mohou být zejména:

• pacienti správce,
• zákonní zástupci pacientů,
• kontaktní osoby pacientů,
• další osoby, jejichž údaje jsou součástí zdravotnické dokumentace nebo souvisejících workflow.

9.Pokyny správce

9.1. Smlouva ukotvuje pravidlo, že zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně pokynů vyplývajících ze smluvního nastavení služby DataDent, z dokumentace služby a z oprávněné konfigurace provedené správcem v aplikaci.

9.2. Za pokyn správce se podle DPA považuje také:

• používání služby v souladu s jejím účelem a dokumentací,
• nastavení uživatelských rolí a oprávnění,
• aktivace nebo využití jednotlivých funkcí systému,
• pokyny udělené prostřednictvím podpory nebo smluvní komunikace.

9.3. Pokud se zpracovatel domnívá, že některý pokyn správce porušuje právní předpisy na ochranu osobních údajů, je povinen tuto skutečnost správci oznámit bez zbytečného odkladu.

10.Mlčenlivost

10.1. DPA ukládá zpracovateli povinnost zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti nebo podléhaly odpovídající zákonné povinnosti mlčenlivosti.

10.2. Povinnost mlčenlivosti trvá i po skončení přístupu těchto osob k osobním údajům a po skončení jejich pracovního nebo smluvního vztahu.

10.3. Zpracovatel je oprávněn zpřístupnit osobní údaje nebo související důvěrné informace svým zaměstnancům, spolupracovníkům, auditorům, poradcům, poskytovatelům infrastruktury a dalším zpracovatelům pouze v rozsahu nezbytném pro plnění smlouvy a pouze tehdy, jsou-li tyto osoby vázány odpovídající povinností mlčenlivosti nebo profesní povinností obdobného rozsahu.

11.Technická a organizační opatření

11.1. Smlouva ukládá zpracovateli povinnost přijmout a udržovat přiměřená technická a organizační opatření (TOM), aby zajistil úroveň zabezpečení odpovídající riziku.

11.2. Bezpečnostní opatření zahrnují zejména:

• šifrovaný přenos dat prostřednictvím HTTPS / TLS 1.2+,
• řízení přístupů a autentizaci uživatelů,
• vícefaktorové ověření (TOTP, FIDO2/WebAuthn) tam, kde je zavedeno,
• ochranu proti neoprávněnému přístupu, brute-force útokům, captcha a progresivní IP ban,
• auditní a bezpečnostní logování,
• segmentaci přístupu k uloženým souborům a dokumentům,
• šifrované úložiště citlivých údajů (AES-256-GCM) u certifikátů a obdobných dat,
• zálohování a obnovu dat v odpovídajícím rozsahu,
• ochranu databáze, souborového úložiště a související infrastruktury,
• postupy pro detekci a řešení bezpečnostních incidentů.

11.3. Přehled hlavních technických a organizačních opatření tvoří Přílohu č. 2 smlouvy.

12.Zapojení dalších zpracovatelů

12.1. DPA zakotvuje obecné oprávnění zpracovatele zapojit do zpracování další zpracovatele pouze v rozsahu nezbytném pro poskytování služby DataDent.

12.2. Oznámení o novém subzpracovateli. Zpracovatel je povinen správce informovat o zamýšleném zapojení nového dalšího zpracovatele nebo o významné změně stávajícího dalšího zpracovatele s přiměřeným předstihem, aby mohl správce proti takové změně vznést odůvodněnou a konkrétně zdůvodněnou námitku související s ochranou osobních údajů. Zpracovatel oznámí správci nového subzpracovatele nejpozději 30 dnů před zapojením. Pokud správce v této době nevznese námitku, považuje se subzpracovatel za schválený.

12.3. Námitka. Pokud správce uplatní námitku podle čl. 12.2, uvede v ní konkrétní důvody související s ochranou osobních údajů, bezpečností nebo právními překážkami. Zpracovatel je oprávněn na takovou námitku reagovat vysvětlením, navržením přiměřených záruk nebo rozhodnutím změnu neprovést.

12.4. Pokud zpracovatel zapojí dalšího zpracovatele, smlouva ukládá povinnost uložit mu smluvně stejné nebo rovnocenné povinnosti v oblasti ochrany osobních údajů, jaké vyplývají z DPA.

12.5. Zpracovatel zůstává vůči správci odpovědný za plnění povinností dalších zpracovatelů v rozsahu, v jakém zpracovávají osobní údaje pro účely smlouvy.

12.6. Aktuální seznam schválených dalších zpracovatelů tvoří Přílohu č. 3 smlouvy nebo samostatný seznam udržovaný zpracovatelem.

13.Předávání údajů mimo EU/EHP

13.1. DPA zakazuje, aby zpracovatel předával pacientská data mimo EU nebo EHP, pokud k tomu neexistuje odpovídající právní mechanismus podle GDPR a pokud to není v souladu s pokyny správce.

13.2. Pokud by mělo dojít k předání osobních údajů mimo EU nebo EHP, smlouva ukládá zpracovateli zajistit odpovídající záruky, zejména standardní smluvní doložky (SCC) nebo jiný platný mechanismus podle GDPR.

13.3. Do rozsahu smlouvy nespadají marketingové, analytické nebo veřejné webové služby používané pro web DataDent, pokud nejsou používány pro pacientská data správce.

13.4. Transfer Impact Assessment (TIA). Pro každý transfer mimo EU/EHP zpracovatel provede a vede Transfer Impact Assessment dle Doporučení EDPB 01/2020 v2.0 a na žádost správce poskytne jeho shrnutí. U poskytovatelů z USA zpracovatel ověří, zda jsou certifikováni v rámci EU-US Data Privacy Framework, případně použije aktuální verzi SCC.

14.Součinnost při právech subjektů údajů

14.1. Smlouva určuje, že zpracovatel bude správci v přiměřeném rozsahu nápomocen při plnění povinnosti reagovat na žádosti subjektů údajů (právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost a námitku), pokud to bude vzhledem k povaze zpracování možné.

14.2. Pokud zpracovatel obdrží žádost subjektu údajů přímo a bude zřejmé, že se týká zpracování, u něhož je správce správcem, předá ji bez zbytečného odkladu správci, pokud mu právní předpis neukládá jiný postup.

15.Součinnost při plnění dalších povinností správce

15.1. DPA stanoví, že zpracovatel bude správci v přiměřeném rozsahu nápomocen při plnění povinností podle GDPR, zejména pokud jde o:

• zabezpečení zpracování (čl. 32 GDPR),
• ohlašování a řešení porušení zabezpečení osobních údajů (čl. 33–34 GDPR),
• posouzení vlivu na ochranu osobních údajů — DPIA (čl. 35 GDPR),
• předchozí konzultace s dozorovým úřadem, pokud jsou potřebné (čl. 36 GDPR).

16.Porušení zabezpečení osobních údajů

16.1. Lhůta 24 hodin. Smlouva ukládá zpracovateli povinnost oznámit správci porušení zabezpečení osobních údajů nejpozději do 24 hodin od okamžiku, kdy se o něm dozví, primárně e-mailem na kontaktní adresu správce uvedenou v aplikaci, s případným následným telefonickým ověřením. Pokud nelze v této lhůtě poskytnout všechny informace dle odst. 16.2, zpracovatel poskytuje informace průběžně.

16.2. Oznámení bude, pokud je to možné, obsahovat alespoň:

• popis povahy incidentu,
• kategorie a přibližný počet dotčených subjektů údajů,
• kategorie a přibližný počet dotčených záznamů,
• pravděpodobné důsledky incidentu,
• opatření přijatá nebo navrhovaná ke zmírnění dopadů incidentu.

16.3. Pokud nelze všechny informace poskytnout najednou, smlouva ukládá zpracovateli povinnost poskytnout je postupně, jakmile budou k dispozici.

17.Audit a kontrola

17.1. DPA stanoví, že zpracovatel umožní správci v přiměřeném rozsahu doložit plnění povinností vyplývajících ze smlouvy a z GDPR, zejména prostřednictvím dokumentace, odpovědí na dotazy a přiměřených forem ověření.

17.2. Správce je oprávněn provést audit nebo kontrolu plnění smlouvy nejvýše jednou ročně, a to s přiměřeným předstihem, v přiměřeném rozsahu a způsobem, který nepřiměřeně nenaruší provoz zpracovatele ani bezpečnost ostatních klientů. Tím není dotčeno právo dozorového úřadu provést kontrolu kdykoli.

17.3. Audit může být proveden:

• přezkumem dokumentace,
• poskytnutím odpovědí na přiměřený dotazník,
• vzdáleným ověřením,
• místním auditem, pokud mírnější forma nebude dostačující.

17.4. Správce je povinen audit nebo kontrolu předem konkrétně vymezit co do předmětu, rozsahu a požadovaných podkladů; audit nesmí nepřiměřeně zasahovat do provozu zpracovatele, bezpečnosti služby ani do práv ostatních klientů.

17.5. Zpracovatel je oprávněn splnit povinnost součinnosti přednostně poskytnutím přiměřené dokumentace, odpovědí na dotazník, vzdáleným ověřením nebo jinou méně zatěžující formou, pokud takový postup poskytuje správci rozumnou možnost ověření.

17.6. Místní audit je přípustný jen tehdy, pokud méně zatěžující forma ověření zjevně nepostačuje a pokud je audit předem oznámen s přiměřeným předstihem; audit musí být proveden v obvyklé pracovní době a za podmínek přiměřených bezpečnostním a provozním potřebám zpracovatele.

17.7. Náklady mimořádného, opakovaného nebo zjevně nadměrného auditu, které přesahují běžnou součinnost zpracovatele podle smlouvy, je zpracovatel oprávněn po předchozím upozornění přiměřeně vyúčtovat, pokud právní předpis nevyžaduje jiný postup.

17.8. Správce ani jím pověřená osoba nejsou v rámci auditu oprávněni získat přístup k informacím, které představují obchodní tajemství zpracovatele, důvěrné informace týkající se jiných klientů, interní detekční logiku, bezpečnostní konfiguraci nebo jiná neveřejná data, pokud to není pro účel auditu nezbytné a nelze-li ochranu těchto informací zajistit méně invazivním způsobem.

17.9. Náklady auditu nese správce, ledaže audit prokáže podstatné porušení smlouvy zpracovatelem.

17.10. Informace a podklady zpřístupněné správci v rámci auditu nebo kontroly, včetně odpovědí na dotazníky, popisu technických a organizačních opatření, auditních záznamů a jiných neveřejných podkladů zpracovatele, se považují za důvěrné informace zpracovatele.

17.11. Audit pojistka. Žádné ustanovení článku o auditu nelze vykládat tak, že vylučuje právo správce nebo dozorového úřadu na audit v rozsahu nezbytném k prokázání souladu s GDPR. Zpracovatel je povinen poskytnout správci aktuální certifikace (např. ISO 27001, SOC 2 Type II), pokud je má; jejich poskytnutí splní povinnost součinnosti dle smlouvy.

18.Vrácení, export a výmaz údajů po skončení smlouvy

18.1. Po skončení poskytování služby nebo po jiném ukončení zpracování DPA stanoví, že zpracovatel podle volby správce:

• vrátí osobní údaje správci,
• umožní jejich export nebo předání správci v běžně používaném elektronickém formátu, případně jiným dohodnutým způsobem, nebo
• osobní údaje vymaže, pokud jejich další uchování nevyžaduje právní předpis.

18.2. Lhůta pro převzetí dat. Smlouva zakotvuje pro správce lhůtu 30 dnů ode dne ukončení služby nebo ode dne doručení výzvy k převzetí nebo exportu dat (podle toho, který okamžik nastane později) na převzetí pacientských dat před jejich výmazem.

18.3. Pokud správce požádá o mimořádnou součinnost, individuální export nebo předání dat na přenosném médiu, může být tato činnost provedena za úhradu podle ceníku nebo individuální dohody mezi stranami; poskytnutí takové mimořádné služby může být podmíněno předchozím odsouhlasením ceny a případně i její úhradou, pokud tím není dotčena povinnost zpracovatele umožnit standardní vrácení nebo export údajů.

18.4. Zpracovatel nevymaže pacientská data bez předchozí možnosti jejich vrácení nebo exportu správci, pokud by tím mohl správci znemožnit plnění zákonných povinností souvisejících se zdravotnickou dokumentací.

18.5. Pokud si správce ve lhůtě 30 dnů ode dne ukončení služby nebo ode dne doručení výzvy k převzetí nebo exportu dat (podle toho, který okamžik nastane později) údaje nepřevezme ani nedá jiný pokyn, je zpracovatel oprávněn po marném uplynutí této lhůty pacientská data vymazat, ledaže jejich další uchování vyžaduje právní předpis nebo je nezbytné pro určení, výkon nebo obhajobu právních nároků.

18.6. Záložní kopie — 35 dnů. DPA umožňuje zpracovateli po ukončení služby dočasně uchovávat omezené technické nebo záložní kopie osobních údajů po dobu nezbytnou podle jeho zálohovacích, bezpečnostních a obnovovacích cyklů, nejvýše však 35 dnů od okamžiku výmazu primárního záznamu. Po uplynutí této doby budou záložní kopie nezvratně přepsány, smazány nebo vyloučeny z běžné obnovy.

18.7. Na žádost správce zpracovatel přiměřeně potvrdí, že vrácení, export nebo výmaz údajů byl proveden.

19.Odpovědnost

19.1. Odpovědnost stran za porušení smlouvy se řídí smluvním rámcem mezi stranami, GDPR (zejména čl. 82 — právo na náhradu škody) a dalšími použitelnými právními předpisy.

19.2. DPA nerozšiřuje odpovědnost zpracovatele nad rámec stanovený právními předpisy a hlavní smlouvou mezi stranami.

20.Závěrečná ustanovení

20.1. V otázkách neupravených smlouvou se použije hlavní smluvní rámec mezi stranami a příslušné právní předpisy; v případě rozporu má DPA přednost v otázkách zpracování pacientských dat a ochrany osobních údajů ve vztahu správce a zpracovatele.

20.2. Je-li některé ustanovení smlouvy neplatné nebo nevymahatelné, nemá to vliv na platnost ostatních ustanovení.

20.3. DPA nabývá účinnosti dnem jejího podpisu oběma stranami, není-li uvedeno jinak.

20.4. Smlouva může být uzavřena i elektronicky.

20.5. Nedílnou součástí DPA jsou:

• Příloha č. 1 — Popis zpracování,
• Příloha č. 2 — Hlavní technická a organizační opatření,
• Příloha č. 3 — Další zpracovatelé.

20.6. Na DPA provozně navazuje interní dokumentace zpracovatele, zejména politika retence dat, postup hlášení a řešení bezpečnostních incidentů, disaster recovery plán, postup obnovy ze záloh a registr dodavatelů. Tyto dokumenty nejsou veřejnou přílohou smlouvy, ale zpracovatel může správci na žádost poskytnout jejich přiměřené shrnutí v rozsahu nezbytném pro doložení souladu s GDPR, bezpečností služby a ochranou důvěrných informací.

Příloha č. 1 — Popis zpracování

Předmět zpracování

Zpracování pacientských dat a souvisejících údajů v systému DataDent.

Účel zpracování

Poskytování služby DataDent pro digitální správu pacientských formulářů, informovaných souhlasů, podpisů, PDF dokumentů, změnových workflow, doplnění formulářů, notifikací a související zdravotnické administrativy.

Doba zpracování

Po dobu trvání smluvního vztahu a dále podle pokynů správce, právních předpisů a retenčních pravidel; u záznamů zdravotnické dokumentace v souladu s vyhláškou č. 444/2024 Sb. o zdravotnické dokumentaci.

Kategorie subjektů údajů

Pacienti, zákonní zástupci, kontaktní osoby a další osoby uvedené ve zdravotnické dokumentaci.

Kategorie osobních údajů

Identifikační, kontaktní, pojišťovací, zdravotní (zvláštní kategorie podle čl. 9 GDPR), podpisové, dokumentační a provozní údaje související se zdravotnickými formuláři a dokumentací.

Příloha č. 2 — Hlavní technická a organizační opatření

Zpracovatel udržuje zejména tato opatření:

• šifrovaný přenos dat přes HTTPS / TLS 1.2+,
• řízení přístupů a autentizaci uživatelů,
• podporu vícefaktorového ověření (TOTP, FIDO2/WebAuthn, záložní kódy),
• ochranu proti brute-force útokům, captcha, rate limiting a progresivní blokaci IP,
• auditní a bezpečnostní logování s rotací starší než 90 dnů,
• segmentaci přístupu k dokumentům a souborům přes autentizovaný download,
• zabezpečené ukládání databázových a souborových dat,
• šifrované úložiště citlivých údajů (AES-256-GCM, per-záznam HKDF),
• zálohování a obnovu v odpovídajícím rozsahu,
• interní omezení přístupu oprávněných osob (need-to-know) a povinnost mlčenlivosti,
• politiky silných hesel, idle timeout sezení, per-request rotace CSRF tokenů,
• Content-Security-Policy hlavičky a další ochrany proti XSS / MIME sniffing,
• procesy pro detekci a řešení bezpečnostních incidentů včetně 24h notifikace správce.

Příloha č. 3 — Další zpracovatelé

Smlouva uvádí předpokládané kategorie dalších zpracovatelů:

• poskytovatel hostingu a serverové infrastruktury,
• poskytovatel databázové infrastruktury, pokud je externí,
• poskytovatel e-mailového / SMTP doručování,
• případně další technický poskytovatel nezbytný pro provoz služby.

Aktuálně využívaní nebo předpokládaní dodavatelé:

Poznámka: Aktuální seznam schválených dalších zpracovatelů zpracovatel udržuje a aktualizuje. Konkrétní podoba seznamu, který tvoří přílohu konkrétní DPA, je dostupná na vyžádání u zpracovatele nebo prostřednictvím Zásad zpracování osobních údajů na webu služby DataDent.