COVIDAPP

elektronická evidence COVID testů

Jak to funguje?

Podmínky zpracování osobních údajů

ve smyslu článku 28 obecného nařízení o ochraně osobních údajů vydává společnost SOFICO-CZ, a.s. tyto Podmínky zpracování osobních údajů.

SOFICO-CZ, a.s. v právním postavení zpracovatele ve smyslu článku 4 bodu 2) Nařízení pro Uživatele Aplikace COVIDAPP jako Správce osobních údajů zpracovávat osobních údaje, které Správce získal nebo získá v právním postavení zaměstnavatele v souvislosti s vedením evidence provedených testů na přítomnost viru SARS-CoV-2 u zaměstnanců či osob v obdobném postavení („Osobní údaje“), a to v rámci plnění povinností Zpracovatele vyplývajících z provozování aplikace COVIDAPP.

Předmět smlouvy

Přijetím těchto Podmínek zpracování osobních údajů uzavírá Uživatel aplikace v právním postavení Správce se společností SOFICO-CZ, a.s. jako zpracovatelem Smlouvu, jejímž obsahem je stanovení rozsahu povinností Zpracovatele souvisejících především se zajištěním ochrany Osobních údajů při jejich zpracování. Tyto Podmínky řeší práva a povinnosti Stran při poskytování služeb.

Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů za účelem užívání aplikace COVIDAPP.

Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technického a organizačního zabezpečení Osobních údajů.

Účel a rozsah zpracování osobních údajů

Správce používá aplikaci COVIDAPP poskytovanou Zpracovatelem a to pro účely plnění svých povinností uložených mu Mimořádným opatřením Ministerstva zdravotnictví č.j. MZDR 47828/2020-16/MIN/KAN k povinnému testování zaměstnanců ve firmách. Aplikace COVIDAPP je používána

(a) zejména pro správu a evidenci provedených testů na přítomnost viru SARS-CoV-2 u zaměstnanců, spolupracujících osob či jiných osob, k nimž je Správce v postavení zaměstnavatele,

(b) zejména pro správu a evidenci prodělaného onemocnění, karantény COVID-19 u zaměstnanců, spolupracujících osob či jiných osob, k nimž je Správce v postavení zaměstnavatele,

(c) zejména pro podání nezbytných výkazů zdravotním pojišťovnám

Zpracovatel je oprávněn zpracovávat Osobní údaje zaměstnanců, spolupracujících osob či jiných osob, k nimž je Správce v postavení zaměstnavatele („Subjekty údajů“) v rozsahu: jméno, příjmení, číslo pojištěnce, číslo zaměstnance, zdravotní pojišťovna, kontaktní údaje, výsledek provedeného testování na přítomnost viru SARS-CoV-2, popřípadě jakékoliv další údaje, které Správce k danému Subjektu údajů dle svého rozhodnutí přiřadí nebo které Subjekt údajů sám poskytne.

Rozsah zpracovávaných údajů se odvíjí od funkcionality aplikace COVIDAPP poskytované Zpracovatelem a lze jej změnit dohodou či plněním zákonných povinností Správce údajů.

V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími z Nařízení a Zákona o zpracování OÚ.

Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání registrace Správce v aplikace COVIDAPP, nevyplývá-li ze zvláštních právních předpisů jinak.

Práva a povinnosti Zpracovatele

Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení Nařízení či Zákona o zpracování OÚ. Je povinen postupovat tak, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti.

Zpracovatel se zavazuje plnit za Správce informační povinnost dle článku 13 Nařízení. Požádá-li Subjekt údajů dle článku 15 Nařízení o informace týkající se zpracování jeho osobních údajů Zpracovatele, odkáže jej Zpracovatel na povinnost uplatnění tohoto práva u Správce. Dále Zpracovatel postupuje podle písemných pokynů Správce.

Jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů podle článku 17 Nařízení, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci.

Zpracovatel informuje Správce o případu ztráty či úniku Osobních údajů („Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu. Zpracovatel je i po poskytnutí informace Správci nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu. Informace o Porušení zabezpečení osobních údajů musí obsahovat informace stanovené Nařízením.

Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů; pokud tyto povinnosti mohou být plněny prostřednictvím funkcionalit aplikace COVIDAPP.

Záruky o technickém a organizačním zabezpečení ochrany osobních údajů

Zpracovatel se zavazuje vynaložit veškerá technická a organizační opatření nezbytná k zabezpečení ochrany Osobních údajů způsobem uvedeným v Nařízení či v jiných závazných právních předpisech tak, aby došlo k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.

Zpracovatel sezejména zavazuje, že:

  • zpracovávaná data budou uložena na serverech na území České Republiky, konkrétně v datacentru společnosti MASTER INTERNET v Brně.
  • přístup k datům budou mít pouze oprávnění zaměstnanci zpracovatele, kteří budou za tímto účelem důsledně proškoleni
  • zaměstnanci zpracovatele nesmí uložená data a osobní údaje nijak dále zpracovávat, shromažďovat, kopírovat a předávat dalším osobám
  • kopírování dat je umožněno pouze za účelem bezpečného zálohování a zálohy podléhají stejnému režimu utajení jako produkční data.

Zpracovatel není oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele.

Doba zpracování osobních údajů

Zpracovatel zpracovává pro Správce Osobní údaje po dobu trvání užívání aplikace COVIDAPP.

Správce bere na vědomí, že zrušením registrace v aplikaci COVIDAPP dojde ke kompletnímu odstranění dat, která do aplikace vložil. Nenávratně budou smazány jeho registrační údaje, uživatelé, zaměstnanci a zapsané události (výsledky testů) a veškerá další data, která do systému zapsal či naimportoval.

Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.

Kontaktní údaje

Veškerá oznámení včetně splnění informační povinnosti se považují za řádně doručená, pokud jsou doručena osobně nebo doporučenou poštou na adresu sídla Zpracovatele či e-mailový kontakt: gdpr@covidapp.cz