Dodatek ke smlouvě o obchodním partnerství týkající se zákona HIPAA

Verze z: 22. prosince 2022

Tento dodatek ke smlouvě o obchodním partnerství týkající se zákona HIPAA (dále jen „dodatek“) se uzavírá mezi společností Google a zákazníkem, který souhlasí s těmito smluvními podmínkami (dále jen „zákazník“). Dodatek doplňuje a pozměňuje níže uvedenou smlouvu či smlouvy a je jejich součástí. Vztahuje se výhradně k zahrnutým službám, které jsou rovněž vymezeny níže. Tento dodatek nabývá účinnosti v den, kdy zákazník svým kliknutím vyjádří s jeho zněním souhlas, nebo v den, kdy obě strany dodatek jiným způsobem odsouhlasí.

Aby byl tento dodatek platný a mohl nabýt účinnosti, musí mít zákazník uzavřenu smlouvu. Společně se smlouvou upravuje dodatek příslušné závazky obou stran ohledně chráněných zdravotních údajů (jak jsou vymezeny níže).

Prohlašujete a zaručujete, (i) že máte plnou zákonnou pravomoc zavázat zákazníka tímto dodatkem, (ii) že jste si tento dodatek přečetli a pochopili jej a (iii) že s podmínkami tohoto dodatku jménem zákazníka souhlasíte. Jestliže zákonnou pravomoc k zavázání zákazníka nemáte nebo s podmínkami tohoto dodatku nesouhlasíte, pak je svým podpisem ani kliknutím nepřijímejte.

Pojmy, které jsou v tomto dodatku používány, ale nejsou zde definovány, mají význam, který je vymezen (a) v zákoně o odpovědnosti za přenos údajů o zdravotním pojištění z roku 1996 (v oddílu Opatření pro administrativní zjednodušení) nebo v zákoně Health Information Technology for Economic and Clinical Health Act (o zdravotnických informačních technologiích pro ekonomické a klinické zdraví) a souvisejících prováděcích předpisech v platném znění (dále souhrnně uváděny jako „HIPAA“) nebo (b) ve smlouvě.

1. Definice.

„Smlouva“ označuje písemnou dohodu (případně více dohod) mezi společností Google a zákazníkem o poskytování zahrnutých služeb. Smlouva může mít podobu online smluvních podmínek.

„Zahrnuté služby“ označují nástroj Looker Studio, ale nezahrnují nástroj Looker Studio Pro.

„Koncoví uživatelé“ jsou definováni ve smlouvě.

„Google“ označuje subjekt Google, který je jednou ze stran smlouvy.

„Subjekt Google“ znamená společnosti Google LLC, Google Ireland Limited nebo jakýkoli jiný subjekt spřízněný se společností Google LLC.

„Příručka pro implementaci zákona HIPAA“ označuje informační příručku společnosti Google, která popisuje konfiguraci zahrnutých služeb zákazníkem při současném dodržení zákona HIPAA. Příručka pro implementaci zákona HIPAA pro zahrnuté služby je dostupná na této adrese URL: https://support.google.com/looker-studio/answer/10043514.

„Chráněné zdravotní údaje“ neboli „PHI“ jsou definovány v zákoně HIPAA. Ve smyslu tohoto dodatku jde výhradně o PHI v rámci údajů o zákaznících, ke kterým má Google přístup prostřednictvím zahrnutých služeb, a to v souvislosti s takovým použitím těchto služeb, k němuž dal zákazník svůj souhlas.

2. Platnost.
   1. Tento dodatek se uplatňuje v případech, kdy zákazník vystupuje jako zahrnutý subjekt nebo obchodní partner za účelem vytváření, přijímání, uchovávání nebo předávání PHI prostřednictvím zahrnutých služeb, v důsledku čehož vystupuje Google ve smyslu zákona HIPAA jako obchodní partner nebo subdodavatel zákazníka. Zákazník bere na vědomí, že se tento dodatek nevztahuje na (i) produkty, služby a funkce společnosti Google, které nepatří mezi zahrnuté služby, a na (ii) PHI, které zákazník vytváří, přijímá, uchovává nebo předává mimo zahrnuté služby (včetně použití vlastních místních a offline úložišť nebo aplikací třetích stran).
   2. Odkazy na oddíly zákona HIPAA v tomto dodatku se vztahují k platnému znění zákona.
3. Používání a zveřejňování PHI.
   1. Google může PHI používat a zveřejňovat pouze tehdy, (i) pokud to povolují nebo vyžadují smlouvy nebo tento dodatek, nebo (ii) pokud to vyžaduje zákon.
   2. Google může PHI používat a zveřejňovat pro účely náležité správy a administrace a plnění svých zákonných povinností, a to za předpokladu, že ke zveřejnění PHI pro tyto účely dojde výhradně za těchto podmínek: (1) vyžadují to právní předpisy, nebo (2) společnost Google písemně obdrží přiměřené ujištění od osoby, které budou PHI zveřejněny, že PHI budou považovány za důvěrné a budou používány nebo dále zveřejňovány jen v souladu s požadavky právních předpisů nebo pro účel, za kterým byly zveřejněny, a že společnost Google bude o jakémkoli porušení nebo bezpečnostním incidentu informována.
   3. Společnost Google bude vyžadovat, používat a zveřejňovat pouze takové množství PHI, které je ke splnění daného účelu potřebné, a to v rozsahu, který je dán „minimálními nezbytnými“ požadavky zákona HIPAA.
   4. V rozsahu, ve kterém Google písemně vyjádří souhlas s vykonáváním povinností zákazníka v souladu s ustanovením o ochraně soukromí v zákoně HIPAA, bude společnost Google dodržovat požadavky ustanovení o ochraně soukromí v zákoně HIPAA, které se při vykonávání těchto povinností na zákazníka vztahují.
4. Povinnosti zákazníka.
   1. Zákazník je výhradně zodpovědný za to, zda mají jeho koncoví uživatelé v rámci zahrnutých služeb oprávnění sdílet, zveřejňovat, vytvářet nebo používat PHI.
   2. Zákazník nebude společnost Google ani zahrnuté služby žádat, aby používaly nebo zveřejňovaly PHI způsobem, který by byl u zákazníka (pokud je zákazník zahrnutým subjektem) nebo u zahrnutého subjektu, jehož je zákazník obchodním partnerem, ze zákona HIPAA nepřípustný (pokud tento způsob zákon HIPAA u obchodního partnera výslovně nepovoluje), s výjimkou případů uvedených v oddílu 3 tohoto dodatku.
   3. Když zákazník zpřístupňuje PHI Googlu, poskytne mu jen takové množství PHI, které je ke splnění daného účelu nezbytné.
   4. Pokud jde o koncové uživatele, kteří zahrnuté služby využívají ve spojitosti s PHI, použije zákazník kontrolní mechanismy, které jsou v těchto službách dostupné (včetně těch, které jsou specifikovány v příručce pro implementaci zákona HIPAA), aby zajistil, že budou PHI využívány pouze v rámci zahrnutých služeb. Zákazník bere na vědomí a souhlasí s tím, že příručku pro implementaci zákona HIPAA poskytuje Google výhradně jako informační příručku týkající se možností konfigurace zákazníkem a že je výhradní odpovědností zákazníka zajistit, aby používání zahrnutých služeb ze strany zákazníka a jeho koncových uživatelů splňovalo zákon HIPAA.
   5. Zákazník zaručuje, že získal nebo získá každý souhlas, povolení nebo jiný druh oprávnění, které zákon HIPAA nebo jiný příslušný zákon při zpřístupnění PHI společnosti Google vyžaduje. Pokud je oprávnění k použití nebo zveřejnění PHI poskytnuté fyzickou osobou jakkoli změněno, nebo dokonce zrušeno, je zákazník povinen upravit své použití zahrnutých služeb tak, aby byly tyto PHI v zahrnutých službách odpovídajícím způsobem aktualizovány nebo smazány.
5. Bezpečnostní opatření. Není-li tímto dodatkem povoleno nebo požadováno jinak, použije Google i zákazník vhodná a přiměřená bezpečnostní opatření k zamezení použití a zveřejnění PHI. Google dále zavede administrativní bezpečnostní opatření, fyzická bezpečnostní opatření a technická bezpečnostní opatření, která vhodným a přiměřeným způsobem zabezpečují důvěrnost, integritu a dostupnost PHI přenášených nebo spravovaných prostřednictvím elektronických prostředků („EPHI“), které Google vytváří, získává, uchovává nebo přenáší jménem zákazníka. Pokud jde o EPHI, bude se Google řídit platným zněním ustanovení o ochraně soukromí v zákoně HIPAA.
6. Přehledy a související závazky.
   1. Google zákazníka neprodleně uvědomí o (i) každém bezpečnostním incidentu, o němž se dozví (s výhradou ujednání oddílu 6(c)), a o (ii) každém porušení, které zjistí, přičemž každé takové porušení bude oznámeno v nejkratší možné době a bez zbytečného odkladu, v žádném případě ne později než 60 kalendářních dnů od jeho zjištění. Oznámení učiněná v souladu s ujednáními tohoto oddílu budou v maximálním možném rozsahu uvádět podrobnosti o daném porušení, včetně opatření přijatých ke zmírnění možných rizik, a Googlem doporučených kroků, které by měl zákazník v reakci na porušení podniknout.
   2. Každé příslušné oznámení bude Googlem odesláno na e-mailovou adresu pro zasílání oznámení, kterou zákazník uvedl ve smlouvě (nebo v příslušném uživatelském rozhraní služby), nebo bude zákazníkovi sděleno přímo.
   3. Bez ohledu na ujednání oddílu 6(a) bude tento oddíl 6(c) považován za oznámení, kterým Google informuje zákazníka o tom, že pravidelně zaznamenává neúspěšné pokusy o neoprávněný přístup, použití, zveřejnění, pozměnění nebo zničení informací a o narušení běžného provozu svých informačních systémů a zahrnutých služeb. Zákazník bere na vědomí a souhlasí s tím, že i když takové události představují bezpečnostní incident, není Google v souladu s ujednáními tohoto dodatku povinen informovat o těchto neúspěšných pokusech jinak než prostřednictvím tohoto oddílu 6(c).
   4. Google podnikne přiměřené kroky, aby v proveditelném rozsahu zmírnil škodlivé následky (jsou-li mu známy), které způsobil tím, že používal nebo zveřejňoval PHI v rozporu s tímto dodatkem.
   5. Google bude zákazníka informovat o každém případu (který je mu znám), kdy došlo k použití nebo zveřejnění PHI v rozporu s ujednáními tohoto dodatku.
7. Subdodavatelé. Google uzavře s každým svým subdodavatelem, který jeho jménem vytváří, přijímá, uchovává nebo předává PHI, písemnou smlouvu v souladu s příslušnými požadavky § 164.504(e) a § 164.314(a)(2) nařízení 45 C.F.R. Google zajistí, aby se každý subdodavatel zavázal v písemné smlouvě k tomu, že bude jednat v souladu s omezeními a podmínkami, které poskytují stejnou úroveň ochrany PHI jako tento dodatek.
8. Přístup a změna. Zákazník bere na vědomí a souhlasí s tím, že je výhradně zodpovědný za formu a obsah PHI, které v zahrnutých službách spravuje, včetně toho, zda tyto PHI v rámci zahrnutých služeb uchovává ve vyhrazené sadě záznamů. Google zákazníkovi zpřístupní jeho PHI v zahrnutých službách, čímž mu umožní plnění jeho závazků vztahujících se k právům fyzických osob na přístup a změnu podle zákona HIPAA. Google však nebude mít vůči zákazníkovi ani jiné fyzické osobě žádné další závazky ve vztahu k právům fyzických osob vyplývajícím ze zákona HIPAA, které se týkají vyhrazených sad záznamů, včetně práva na přístup k PHI a práva na jejich změnu. Zákazník je zodpovědný za to, že bude zahrnuté služby využívat tak, aby na tyto požadavky fyzických osob odpovídajícím způsobem reagoval.
9. Evidence zveřejnění. Google bude svá zveřejnění PHI dokumentovat a evidenci těchto zveřejnění poskytne zákazníkovi, a to tehdy a v takovém rozsahu, jak vyžaduje ustanovení o obchodním partnerovi v zákoně HIPAA a v souladu s příslušnými požadavky na obchodního partnera, které jsou v zákoně HIPAA uvedeny.
10. Zpřístupnění dokumentace a záznamů. Společnost Google zpřístupní své interní postupy, evidenci a záznamy týkající se používání a zveřejňování PHI získaných od zákazníka, jakož i těch, které vytvořila nebo získala jménem zákazníka, Ministerstvu zdravotnictví a sociálních služeb Spojených států amerických (dále jen „ministerstvo“) za účelem posouzení souladu s tímto dodatkem, a to v rozsahu stanoveném zákonem a s výhradou ochrany důvěrné komunikace advokáta a klienta (je-li to relevantní).
11. Vypršení platnosti a odstoupení.
    1. Tento dodatek zanikne buď (i) přípustnou výpovědí v souladu s ujednáním oddílu 11(b) níže, nebo (ii) vypršením platnosti či vypovězením všech smluv, jimiž se řídí přístup zákazníka k zahrnutým službám (podle toho, která z událostí nastane dříve).
    2. Jestliže některá ze stran ujednání tohoto dodatku podstatným způsobem poruší, může strana, která se porušení nedopustila, dodatek vypovědět. Podmínkou je, že zašle v předstihu 15 dní porušující straně písemné oznámení o výpovědi a že porušující strana své porušení ve lhůtě 15 dní neodstraní. V případě, že odstranění porušení ve smyslu tohoto oddílu 11(b) nelze reálně provést, může strana, která se porušení nedopustila, dodatek vypovědět ihned. V případě, že nelze ve smyslu tohoto oddílu 11(b) reálně provést ani odstranění porušení, ani ukončení dodatku, může strana, která se porušení nedopustila, nahlásit toto porušení ministerstvu, s výhradou případů, kdy lze uplatnit příslušnou právní výsadu.
    3. Jestliže je tento dodatek vypovězen dříve než samotná smlouva, může zákazník služby i nadále v souladu se smlouvou využívat, musí ale smazat veškeré PHI, které v zahrnutých službách spravuje, a nesmí již tyto PHI vytvářet, získávat, uchovávat ani je odesílat Googlu.
12. Vrácení a likvidace informací. Při ukončení smlouvy Google vrátí nebo zlikviduje všechny PHI, které od zákazníka, případně jeho jménem, získal. Pokud však vrácení ani likvidaci provést nelze, rozšíří Google ochranná opatření tohoto dodatku na PHI, které vráceny ani zničeny nebyly, a omezí jejich další používání a zveřejňování na účely, kvůli kterým jsou vrácení nebo likvidace PHI neproveditelné.
13. Změny tohoto dodatku. Google může podmínky tohoto dodatku průběžně upravovat (včetně adres URL, které jsou v těchto podmínkách uvedeny, a obsahu, který je na uvedených adresách URL k dispozici). Oznámení o těchto úpravách bude zveřejněno na příslušné adrese URL (nebo na jiné URL, kterou může Google čas od času poskytnout), případně v uživatelském rozhraní příslušných zahrnutých služeb. Změny těchto podmínek (včetně změn obsahu adres URL) nebudou uplatňovány zpětně a nabudou účinnosti 14 dní po uveřejnění s výjimkou adres URL, které vstupují v platnost okamžitě.
14. Ostatní ujednání.
    1. Platnost po ukončení. Oddíly 12 (Vrácení a likvidace informací) a 14 (Ostatní ujednání) zůstanou v platnosti i po odstoupení nebo vypršení platnosti tohoto dodatku.
    2. Působnost dodatku. V případě rozporu mezi tímto dodatkem a jinými částmi smlouvy budou směrodatná ujednání tohoto dodatku. Tento dodatek podléhá oddílu „Rozhodné právo“ ve smlouvě. Nejsou-li tímto dodatkem výslovně změněny nebo doplněny, mají podmínky smlouvy i nadále plnou platnost a účinnost.

    Předchozí verze

    16. listopadu 2020