Česky
Sledujte nás:

Vyjádření pro správce osobních údajů

    Společnost BTL zdravotnická technika a.s. (dále jen „BTL“) tímto opětovně reaguje na vstup Nařízení Evropského parlamentu a Rady č. 679/2016 (dále jen „GDPR“) v účinnost. BTL ve smyslu GDPR v celé řadě případů působí jako Zpracovatel osobních údajů, přičemž nová právní úprava přináší Zpracovatelům mnohé povinnosti, jejichž dodržování Zpracovatel musí doložit. Zároveň je nezbytné, aby si Správci a Zpracovatelé prostřednictvím smlouvy nebo jiného právního aktu mezi sebou upravili režim nakládání s osobními údaji tak, aby byla respektována práva Subjektů osobních údajů. Vzhledem k principu odpovědnosti Správce je povinnost úpravy práv a povinností mezi Správce a Zpracovatelem primárně na Správcích, nicméně BTL vzhledem k velikosti dosahu své činnosti cítí zvýšenou zodpovědnost vůči lékařům, fyzioterapeutům a dalším zákazníkům, jejichž přístroje servisuje a vůbec s nimi přichází do obchodního styku. BTL tímto veřejně deklaruje své níže uvedené povinnosti:

  1. Osobní údaje budou zpracovávány pro Správce a v souladu s jeho pokyny. V případě, že se Zpracovatel při poskytování služeb dostane k osobním údajům, zavazuje se, že je bude zpracovávat v souladu s platnými a účinnými předpisy ochrany osobních údajů. 
  2. Subjektem zpracování osobních údajů jsou zaměstnanci a nejčastěji klienti Správců (dále jen „Subjekt“).
  3. Účelem zpracování je plnění smluvních povinností na základě servisních smluv uzavřených mezi Správci a Zpracovatelem.
  4. Osobní údaje Subjektů budou zpracovány v nejužším možném rozsahu. 
  5. Odpovědnost za zákonnost zpracování, dodržení zákonných předpisů a nařízení na ochranu osobních údajů, včetně ochrany práv při zpracování osobních údajů nese vždy Správce. 
  6. Veškeré požadavky by měl Správce vyjádřit písemně. Správce má právo vydat pokyny Zpracovateli ohledně rozsahu, typu a účelu zamýšleného zpracování osobních údajů.
  7. Správce je povinen Zpracovatele neprodleně informovat, pokud se vyskytnou chyby nebo nepravidelnosti ve zpracování osobních údajů.
  8. Správce je povinen poskytnout veškeré informace v dohodnutém formátu, který Zpracovatel potřebuje ke zpracování.
  9. Správce je povinen zacházet důvěrně se všemi získanými znalostmi o obchodních tajemstvích a opatřeních na ochranu osobních údajů Zpracovatele. 
  10. Zpracovatel je povinen přijmout taková technická, personální a jiná potřebná opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů Zpracovatelem.
  11. Zpracovatel tímto potvrzuje, že se seznámil s veškerými relevantními předpisy o ochraně osobních údajů. Zpracovatel prohlašuje, že veškeré jeho vnitřní dokumenty jsou v souladu s konkrétními požadavky Nařízení.
  12. Zpracovatel nese odpovědnost za zákonnost jeho zpracování osobních údajů, respektování všech právních předpisů o ochraně osobních údajů. 
  13. Zpracovatel jmenoval pověřence pro ochranu osobních údajů, kterého lze kontaktovat na adrese gdpr@btlnet.com.
  14. Zpracovatel bude pro Správce zpracovávat osobní údaje v rozsahu určeném dohodou. 
  15. Zpracovatel je povinen zpracovávat osobní údaje získané od Správce pouze pro účely, pro které je získal.
  16. Osoby pověřené zpracováváním osobních údajů jsou vázány mlčenlivostí.
  17. Zpracovatel nesmí vytvářet žádné kopie ani duplikáty osobních údajů bez vědomí a souhlasu Správce. To se nevztahuje na záložní kopie, které jsou nezbytné pro zajištění řádného zpracování dat, zajištění funkčnosti systému, pro který jsou data zpracovávána, ani na jakákoliv data nezbytná pro splnění zákonných zásad uchovávání.
  18. Zpracovatel smí poskytovat informace třetím osobám nebo Subjektům osobních údajů pouze na základě předchozího písemného souhlasu Správce, případně na základě své výslovně stanovené zákonné povinnosti.
  19. Pokud se Subjekt obrátí na Zpracovatele s cílem uplatnit svůj nárok na základě předpisu o ochraně osobních údajů, Zpracovatel je povinen takovou žádost neprodleně předat Správci.
  20. Zpracovatel vede záznamy o činnostech dle čl. 30 odstavec 2 Nařízení.
  21. Zpracovatel má v rámci své oblasti odpovědnosti vytvořenou interní strukturu organizace zpracovatele tak, aby byla v souladu se specifickými požadavky na ochranu osobních údajů. Zpracovatel zavede a bude udržovat technická a organizační opatření v souladu s platnými právními předpisy o ochraně osobních údajů.
  22. Zpracovatel zajistí, aby přístupová práva Zpracovatele k systémům a datům Správce byla odpovídajícím způsobem chráněna a aby k nim nezískaly přístup a nemohly je používat neoprávněné osoby.
  23. Zpracovatel zajistí přijetí odpovídajících opatření na ochranu proti ztrátě dat, nedostupnosti dat nebo jejich zasažení malwarem. 
  24. Zpracovatel zajistí dostatečné oddělení dat od dat a přístupových práv dalších smluvních partnerů Zpracovatele.
  25. Popis opatření, která mají zajistit úroveň zabezpečení odpovídající rizikům, např:
    1. Opatření pseudonymizace a šifrování osobních údajů
    2. Opatření pro zajištění průběžné důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracování a služeb
    3. Opatření pro obnovení včasné dostupnosti a přístupu k osobním údajům v případě fyzického nebo technického incidentu
    4. Proces pro pravidelné testování, hodnocení a posouzení efektivity technických a organizačních opatření pro zajištění zabezpečení zpracování, implementace opatření pro získání certifikace dle ČSN ISO/IEC 27001:2014.
  26. Zpracovatel je povinen neprodleně informovat Správce o každém hrubém porušení Nařízení, jehož se dopustí Zpracovatel nebo osoba zaměstnáná Zpracovatelem, nebo pokud se domnívá, že došlo k porušení zákonných předpisů na ochranu osobních údajů. To samé platí, pokud Zpracovatel zjistí, že jeho technická a organizační opatření nejsou v souladu se zákonnými požadavky.
  27. Oznámení Zpracovatele musí být v souladu s článkem 33 oddílem 3 GDPR.
  28. Pokud se Zpracovatel domnívá, že Zpracování osobních údajů je nezákonné, musí o tom Správce neprodleně informovat. 
  29. Zpracovatel poskytne Správci součinnost v případě dotazů ze strany dozorčích orgánů. 
  30. Zpracovatel souhlasí, že Správce nebo pověřenec pro ochranu osobních údajů Správce jsou oprávněni provádět kontrolu souladu s nařízeními a požadavky na ochranu osobních údajů, provádět inspekce implementace a efektivních opatření přijatých Zpracovatelem v jeho provozovnách, aniž by tím způsobili narušení probíhajícího provozu během normální pracovní doby. Za tímto účelem mohou Správce nebo pověřenec pro ochranu osobních údajů správce vstupovat do všech obchodních prostor, kde dochází ke zpracování objednaných činností. To vše však vždy po předchozí vzájemné domluvě
  31. Na výslovnou žádost Správce Zpracovatel v rozumné lhůtě zajistí předložení důkazů formou aktuálních atestací, zpráv nebo výpisů z nich.
  32. Zpracovatel nesmí opravovat, vymazávat ani blokovat osobní údaje poskytnuté Správcem, pokud nejde o plnění smluvní povinnosti nebo mu k tomu nedá Správce písemný pokyn.
  33. Jsou-li v IT systémech Zpracovatele uloženy osobní údaje předané Správcem, vrácení dat Zpracovatelem Správci musí probíhat ve formátu schopném migrace, a to po dokončení smluvních prací nebo na žádost Správce. Vymazání dat u Zpracovatele musí být zajištěno tak, že bude vyloučena pozdější rekonstrukce vymazaných dat. Záznam o vymazání musí být na vyžádání předložen Správci. Správce musí Zpracovateli v písemné podobě potvrdit vrácení těchto údajů ve formátu schopném migrace.
  34. Po dokončení smluvních prací nebo na žádost Správce, musí Zpracovatel vrátit veškeré dokumenty, které má k dispozici, včetně veškerých produktů zpracování osobních údajů vypracovaných v souvislosti s Dohodou uzavřenou se Správcem, nebo je zlikvidovat v souladu příslušnými právními předpisy po předchozím souhlasu Správce.
  35. Zpracovatel není oprávněn uchovávat údaje, které byly zpracovány v rámci smluvních činností, déle, než si písemně dohodnul se Správcem. V případě, že Zpracovatel musí ukládat data od Správce z důvodu splnění zákonné archivační lhůty, musí být tato data po uplynutí doby uchovávání vymazána.