DOHODA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (DPA)
Mezi:
Správce: poskytovatel zdravotních služeb / zákazník (identifikace dle smlouvy, dále jen „Správce“)
Zpracovatel: Manta Medica s.r.o., IČO 25629000, Křovinovo náměstí 9/12, 193 00 Praha, Horní Počernice („Poskytovatel“)
1. Předmět, doba a účel zpracování
1.1 Tato Dohoda o zpracování osobních údajů („DPA“) je uzavírána podle čl. 28 GDPR a upravuje vztah mezi Správcem a Zpracovatelem v souvislosti s používáním služby Medivox.
1.2 Účel zpracování: poskytování služeb Medivox, zejména přepis řeči na text, generování návrhů dokumentů a související podpůrné a technické operace.
1.3 Doba zpracování: po dobu trvání smluvního vztahu dle EULA a po nezbytnou dobu stanovenou v čl. 10 (výmaz a retence).
2. Povaha zpracování; kategorie údajů a subjektů
2.1 Operace: přenos, dočasné technické zpracování, generování textů, provozní a bezpečnostní logování bez obsahu, podpora.
2.2 Kategorie údajů: mohou zahrnovat zvláštní kategorie osobních údajů dle čl. 9 GDPR (zejména údaje o zdravotním stavu) obsažené v audio nahrávkách či přepisech.
2.3 Subjekty údajů: zejména pacienti Správce; dále zaměstnanci či spolupracovníci Správce, jejichž hlas nebo diktát je zpracováván. 2.4 Zpracovatel neprovádí trvalé uchovávání obsahu; aplikuje zásadu zero-retention – nahrávky a přepisy jsou použity pouze k dočasnému technickému zpracování a následně smazány.
3. Pokyny a odpovědnost
3.1 Zpracovatel zpracovává osobní údaje výhradně dle pokynů Správce, této DPA a EULA.
3.2 Správce je odpovědný za právní titul zpracování a splnění informačních povinností vůči subjektům údajů.
4. Důvěrnost a bezpečnost
4.1 Zpracovatel zajistí, aby všechny osoby podílející se na zpracování byly vázány povinností mlčenlivosti.
4.2 Zpracovatel přijímá přiměřená technická a organizační opatření zahrnující zejména šifrovanou komunikaci, řízení přístupů, auditní záznamy bez obsahu, segmentaci prostředí a pravidelnou rotaci klíčů a certifikátů.
4.3 Přehled bezpečnostních opatření je uveden v samostatném „GDPR, bezpečnostním a retenčním přehledu“, který tvoří související dokumentaci Poskytovatele. Technické detaily toku audia jsou popsány v ‘Pravidlech zpracování audio nahrávek (MVX-AUD-01)’.
5. Dílčí zpracovatelé
5.1 Správce uděluje Zpracovateli obecné pověření k zapojení dílčích zpracovatelů, zejména pro hosting, infrastrukturu, přepis řeči, generování textu, e-mailové doručování a podpůrné služby.
5.2 Zpracovatel vede seznam dílčích zpracovatelů, který Správci zpřístupní na vyžádání prostřednictvím e-mailu na adrese gdpr@medivox.cz.
5.3 Správce může uplatnit odůvodněnou námitku proti zapojení nového dílčího zpracovatele; v takovém případě se strany pokusí nalézt přiměřené řešení.
6. Přenosy mimo EHP
6.1 Zpracovatel primárně zajišťuje zpracování v rámci EU/EHP.
6.2 U obsahových dat (audio, přepisy) Zpracovatel neprovádí přenosy mimo EHP; tato výjimka se týká jen ne-obsahových údajů (např. podpora, metriky), pokud je to nezbytné, a vždy se zárukami dle GDPR.
7. Pomoc Správci
7.1 Zpracovatel přiměřeně pomáhá Správci při plnění jeho povinností dle GDPR, zejména:
při reakci na žádosti subjektů údajů,
při provádění posouzení vlivu na ochranu osobních údajů (DPIA),
při konzultacích s dozorovým úřadem (ÚOOÚ).
7.2 Komunikace probíhá prostřednictvím kontaktních údajů Poskytovatele; náklady přesahující rámec běžné podpory nese Správce.
8. Oznámení incidentu. 8.1 Zpracovatel po hodnověrném zjištění porušení zabezpečení osobních údajů týkajících se údajů Správce oznámí incident Správci bez zbytečného odkladu, zpravidla do 24 hodin, nejpozději do 48 hodin od zjištění, v rozsahu tehdy dostupných informací. 8.2 Zpracovatel poskytne doplňující informace bez zbytečného odkladu a poskytne Správci přiměřenou součinnost při plnění povinností vůči ÚOOÚ a subjektům údajů. 8.3 Toto oznámení nepředstavuje uznání odpovědnosti.
9. Audit a inspekce
9.1 Správce je oprávněn 1× ročně (nebo při závažné události) provést přiměřený audit zaměřený na plnění této DPA (přednostně distančně prostřednictvím dotazníku a předložených důkazů).
9.2 Audit musí být přiměřený, nesmí narušit bezpečnost a důvěrnost jiných zákazníků; náklady nese Správce.
10. Ukončení, výmaz a retence
10.1 Po ukončení smluvního vztahu Zpracovatel ukončí zpracování údajů pro Správce a provede výmaz/odstranění přístupu k těmto údajům. 10.2 Zpracovatel trvale neuchovává obsah nahrávek ani přepisů. Provozní a auditní záznamy bez obsahu mohou být uchovávány po omezenou dobu (typicky do 12 měsíců). Zálohy rotují v krátkých cyklech (typicky do 7 dnů). 10.3 Na žádost Správce Zpracovatel potvrdí provedení výmazu a ukončení zpracování.
11. Právní režim
11.1 Právní režim a řešení sporů. Tato DPA se řídí právem České republiky. Spory budou řešeny dle čl. 17 EULA; není-li mezi stranami uzavřena samostatná rozhodčí smlouva, řeší se spory soudy České republiky příslušnými podle sídla Zpracovatele.
11.2 Odpovědnost. Odpovědnost stran dle této DPA se řídí ustanoveními o odpovědnosti v EULA (včetně limitů a vyloučení), není-li v této DPA výslovně stanoveno jinak. Tím nejsou dotčena kogentní ustanovení práva.
12. Závěrečná ustanovení
12.1 Tato DPA tvoří nedílnou součást EULA. V případě rozporu mají v otázkách zpracování osobních údajů přednost ustanovení této DPA.
12.2 Poskytovatel je oprávněn tuto DPA aktualizovat obdobně jako EULA; podstatné změny budou oznámeny Správci nejméně 30 dnů předem.
12.3 Neplatnost jednotlivého ustanovení této DPA nemá vliv na platnost ostatních ustanovení.
12.4 Tato DPA nabývá účinnosti dnem jejího zveřejnění Poskytovatelem a je přijímána Správcem společně s EULA.
Poslední aktualizace: 3.9.2025