Smlouva o zpracování osobních údajů
KNL č. 5 2019/fďžZA/oo

uzavřená podle čl. 28 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne
27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů).

mezi

Krajská nemocnice Liberec, a.s.

Husova 357/10, 460 01, doručovací: 460 63 Liberec I — Staré Město
IČO: 272 83 933

Zastoupena: místopředseda představenstva
dále jen „správce“

SEFIMA s.r.o.

Lesní 461/41, 460 01 Liberec

IČO: 250 48 821

Zastoupena: jednatelem
dále jen „zpracovatel“

a jednotlivě též jako „Smluvní strana“ nebo společně jako „Smluvní strany“

Smluvní strany uzavřely níže uvedeného dne, měsíce a roku tuto Smlouvu o zpracování
osobních údajů (dále jen „Smlouva“):

Článek 1.
Úvodní ustanovení

1. Tato Smlouva je uzavřena na základě činností, které provádí Zpracovatel pro Správce,
jež jsou blíže spie'lcifikovángy ve smlouvě č. KNL č. S 2019WÝŽ/00 uzavřené Smluvními
stranami dne 437-201 Tato Smlouva má účinky i ve vztahu k budoucím smlouvám
uzavřeným mezí Smluvními stranami, jestliže si účinnost této Smlouvy v budoucí

uzavřené smlouvě Smluvní strany vzájemně potvrdí.

2. Smlouvy uvedené v bodě 1. tohoto článku jsou dále v textu této Smlouvy uváděny jako
„hlavní smlouvy“.

3. Zpracovatel prohlašuje, že má zavedena vhodná technická a organizační opatření tak,
aby zpracování pro Správce splňovalo požadavky obecného nařízení o ochraně osobních
údajů a aby byla zajištěna ochrana práv subjektu údajů.

Článek II.
Předmět smlouvy

Tato Smlouva se vztahuje na veškeré činnosti Zpracovatele nebo případných dalších
zpracovatelů, které provádí na základě hlavních smluv.

Článek III.
Předmět, povaha, účel, místo a doba zpracování

Předmětem zpracování je servis systému. Předmět zpracování je rovněž vyjádřen
v hlavních smlouvách.

Účelem zpracováníje podpora provozu. Účel zpracováníje rovněž vyjádřen v hlavních
smlouvách.

Zpracovatel nebude osobní údaje, o nichž se v průběhu zpracování dozvěděl nebo je
obdržel, zpracovávat za jiným účelem, než který je stanoven Správcem a vyplývá
z příslušných ustanovení této Smlouvy nebo hlavních smluv.

Zpracovatel zpracovává osobní údaje v rozsahu nezbytně nutném pro naplnění účelu
hlavních smluv.

Zpracovatel není bez předchozího písemného souhlasu oprávněn zpracovávat osobní
údaje mimo území České republiky.

Doba zpracování osobních údajů trvá minimálně po dobu trvání příslušné hlavní
smiouvy, ledaže z okolností zpracování vyplyne požadavek na delší dobu zpracování a
Smluvní strany se na tom dohodnou.

Článek IV.
Typ osobních údajů a kategorie subjektu údajů

Předmětem zpracování jsou především jméno, příjmení, rodné číslo, datum
narození, rok narození, genetické údaje, zdravotní stav.

Do kategorie subjektu údajů patří zejména pacient správce.

Pokud druh osobních údajů a kategorie subjektu údajů nevyplývají z příslušných
právních předpisů, určujejejich rozsah Správce. Zpracovatel není oprávněn zpracovávat
osobní údaje nad rámec pokynů Správce nebo nad rámec vyjádřený právními předpisy.

Článek V.
Zabezpečení osobních údajů, posouzení vlivu na ochranu osobních údajů

Zpracovatel se zavazuje, že přijme v úvahu přicházející opatření požadovaná v čl. 32
obecného nařízení o ochraně osobních údajů a bude Správci nápomocen při zajišťování

souladu s povinnostmi podle článků 32 až 36 obecného nařízení o ochraně osobních
údajů, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.

Vpřípadě zjištění porušení zabezpečení osobních údajů ohlásí Zpracovatel bez
zbytečného odkladu Správci tuto skutečnost a poskytne mu informace vtomto
minimálním rozsahu:

datum 3 hodinu zjištění porušení,

popis povahy daného případu porušení zabezpečení osobních údajů,

kategorie a přibližný počet dotčených subjektů údajů,

kategorie a přibližné množství dotčených záznamů osobních údajů,

popis pravděpodobných důsledků porušení zabezpečení osobních údajů,

popis opatření, která zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané
porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných
nepříznivých dopadů,

rhgnapo-m

9. Zda má porušení zabezpečení osobních údajů za následek riziko nebo vysoké
riziko pro práva a svobody fyzických osob, .
h. zda Zpracovatel přijal následná opatření, která zajistila, že vysoké riziko pro

práva a svobody subjektů údajů podle čl. 34 odst. 1 obecného nařízení o ochraně
osobních údajů se již pravděpodobně neprojeví.

Zpracovatel informuje Správce o pravděpodobnosti, že určitý druh zpracování, zejména
při využití nových technologií, kterými Zpracovatel případně disponuje, bude s
přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké
riziko pro práva a svobody fyzických osob a zpracování bez pokynu Správce nezahájí.

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a
účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a
svobody fyzických osob, má zpracovatel přijata vhodná a dostatečná technická a
organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, které
představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta,
pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak
zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. Tato opatření jsou
popsána v Příloze číslo 2 této Smlouvy.

Zpracovatel garantuje stejnou nebo vyšší úroveň ochrany formou přijatých technických
a organizačních opatření uvedených v Příloze č. 2 této Smlouvy po celou dobu trvání
této Smlouvy.

Článek VI.
Výkon práv subjektu údajů

Zpracovatel se zavazuje, že bude Správci nápomocen prostřednictvím vhodných
technických a organizačních opatření, pokud je to možné, pro splnění Správcovy
povinnosti reagovat na žádosti 0 Výkon práv subjektu údajů stanovených v kapitole III
obecného nařízení o ochraně osobních údajů.

Pokud se Zpracovatel dozví o uplatnění některého z práv subjektu údajů podle čl. 12 až
23 obecného nařízení o ochraně osobních údajů, sdělí to neprodleně Správci, nejpozději
však do 24 hodin od doby, kdy se o uplatnění práva subjektu údajů dozvěděl.

Článek vn.
Ukončení zpracování, výmaz osobních údajů

Zpracovatel se zavazuje, že v souladu s rozhodnutím Správce všechny osobní údaje buď
vymaže, nebo je vrátí Správci po ukončení poskytování služeb spojených se
zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu
nepožaduje uložení daných osobních údajů.

Zpracovatel současně prohlašuje, že disponuje vhodným technickým opatřením, které
umožňuje na základě rozhodnutí Správce výmaz vybraných osobních údajů.

Článek vm.
Pokyny správce

Zpracovatel zpracovává osobní údaje pouze na základě doložených a
zdokumentovaných pokynů správce, včetně v otázkách předání osobních údajů do třetí
země nebo mezinárodní organizaci, pokud mu toto zpracováníjiž neukládají právo Unie
nebo České republiky, které se na Správce vztahuje; v takovém případě Zpracovatel
Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní
předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.

Pokyny Správce jsou vydány formou této Smlouvy a dále mohou být obsaženy
v hlavních smlouvách.

Správce může vydávat Zpracovateli ] další písemné pokyny doručené Zpracovateli
prostřednictvím e—mailu za použití zaručeného elektronického podpisu, prostřednictvím
datové schránky nebo doručením prostřednictvím držitele poštovní licence.

Pokyny vydané ad hoc podle předchozího bodu mají přednost před pokyny vyjádřenými
formou této Smiouvy nebo v hlavních smlouvách.

Zakazuje se provádění pokynů vydaných v rozporu s tímto článkem.

Seznam osob oprávněných k vydání pokynů Správce je uveden v Příloze číslo 1 této
Smlouvy. Správce je oprávněn prostřednictvím statutárního orgánu jednostranně
seznam oprávněných osob změnit. Aktualizovaný seznam osob musí být Zpracovateli
doručen způsobem uvedeným v bodu 3.

Zpracovatel je povinen veškeré pokyny Správce na jeho vyžádání doložit a osvědčit tak
oprávněnost jím prováděného zpracování.

Zpracovatel neprodleně informuje Správce, jestliže podle názoru Zpracovatele určitý
pokyn Správce porušuje obecné nařízení o ochraně osobních údajů nebo jiné předpisy
Unie nebo České republiky týkající se ochrany údajů.

Zpracovatel není oprávněn zpracovávat osobní údaje pro Správce, pokud dojde
k ukončení účinnosti této Smlouvy, neboť zpracování na základě uzavřené smlouvy je
nezbytnou podmínkou pro naplnění požadavků obecného nařízení o ochraně osobních
údajů.

Článek IX.
Další zpracovatelé

Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího
konkrétního písemného povolení Správce.

Pokud Správce nepovolí použití dalšího zpracovatele, uvede důvody, pro které použití
dalšího zpracovatele nepovolil a seznámí s nimi Zpracovatele.

Zpracovatel může opětovně požádat Správce o použití tohoto Zpracovatele, pokud
Správci předloží opatření, která přijal k odstranění námitek nebo obav Správce. Správce
není povinen žádosti vyhovět.

Zpracovatel nezapojí do zpracování dalšího zpracovatele mimo území České republiky,
pokud k tomu Správce nedá výslovný písemný souhlas.

Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Správce provedl určité
činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy
nebo jiného právního aktu podle práva Unie nebo České republiky stejné povinnosti na
ochranu údajů, jaké jsou uvedeny vtéto Smlouvě nebo jiném právním aktu mezi
Správcem a Zpracovatelem uzavřené podle čl. 28 odstavce 3 obecného nařízení o
ochraně osobních údajů, a to zejména poskytnutí dostatečných záruk, pokud jde o
zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo
požadavky obecného nařízení o ochraně osobních údajů. Neplní-li uvedený další
zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění
povinností dotčeného dalšího zpracovatele i nadále plně Zpracovatel. Další zpracovatel
bude rovněž v plném rozsahu plnit úkoly podle této Smlouvy.

Článek X.
Povinnost mIčenIivosti

Zpracovatel se zavazuje, že bude zachovávat mlčenlivost o všech skutečnostech, o
kterých se dozvěděl v souvislosti se zpracováním osobních údajů, k nimž má
vsouvislosti shlavními smlouvami přístup. Stejnou povinnost mají i zaměstnanci
Zpracovatele, příp. další zpracovatelé a jejich zaměstnanci.

Povinnost mlčenlivosti trvá i po ukončení tohoto smluvního vztahu nebo po ukončení
některé z hlavních smluv.

, Článek x1.
Další povinnosti zpracovatele

Zpracovatel se zavazuje poskytnout správci veškeré Informace potřebné k doložení
toho, že Zpracovatel splnil povinnosti stanovené v čl. 28 obecného nařízení o ochraně
osobních údajů, v této Smlouvě a hlavních smlouvách, a umožní audity, včetně inspekcí,
prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům
prlspeJe.

Zpracovatel umožní Správci nebo jím určeným auditorům přístup do sídla Zpracovatele
nebo na místa zpracování osobních údajů. Zpracovatel zajistí, aby měl Správce stejná
oprávnění ve vztahu k dalším zpracovatelům.

Zpracovatel poskytne na vyžádání Správci veškerou dokumentaci, kterou jsou
dokumentována přijatá technická a organizační opatření k ochraně osobních údajů u
Zpracovatele nebo daiších zpracovatelů.

Zpracovatel prohlašuje, že dodržuje přijatý kodex chování viz přílohy č. 3 a č. 4 a
schválený mechanizmus pro vydávání osvědčení uvedený v čl. 42 obecného nařízení o
ochraně osobních údajů.
V případě ukončení této Smlouvy je Zpracovatel povinen v souladu s pokyny Správce
provést výmaz osobních údajů, včetně všech záloh a kopií nebo zajistit jejich vrácení
Správci.

Článek XII.

Platnost a ukončení smlouvy

Tato smlouva je platná a účinná podpisem druhé ze Smluvních stran.
Účinnost této Smlouvy trvá po dobu alespoň jedné hlavní smlouvy.

Článek xm.

Závěrečná ustanovení

Ujednání v této Smlouvě uvedená mají přednost před ujednáními v hlavních smlouvách.

Uzavřením této Smlouvy nevznikají Zpracovateli jakékoliv další nároky, včetně nároků
na plnění z této nebo dalších smluv uzavřených mezi Správcem a Zpracovatelem.

Tato Smlouva je sepsána ve dvou vyhotoveních, z nichž každá ze Smluvních stran obdrží
po jednom výtisku.

Veškeré změny nebo doplňky této smlouvy musí být uzavřeny písemně.

V případě, že se některé ujednání této Smlouvy stanou zcela nebo zčásti neplatnými a
nelze je tak dále uplatňovat, nemá to za následek neplatnost celé Smlouvy. Smluvní

strany se zavazují, že neplatná ustanovení nahradí novými ustanoveními, která přispějí
k dosažení účelu této Smlouvy.

6. Nedílnou součástí této smlouvy jsou následující přílohy:
Příloha č. 1 — Seznam osob oprávněných !( vydání pokynů Správce
Příloha č. 2 — Přijatá technická a organizační opatření
Příloha č. 3 — Kodex chování zaměstnance

Příloha č. 4 — Politika „Čistého stolu“

V Liberci dne 47? , 0/10 [% V Liberci dne 1 'l -07- 2019

„„ .................................................................
Krajská nek\ocnice Liberec, a.s. SEFIMA s.r.o.
_ místopředseda _ „ jednatel
p ed tavenstva Zpracovatel

rávce

Příloha č. 1 — Seznam osob oprávněných k vydání pokynů Správce

Osoby oprávněné k vydání pokynů Správce

 

Příloha č. 2 - Přijatá technická a organizační opatření
Specifikace opatření.
Zpracovatel osobních údajů provádí následující bezpečnostní opatření:

- Technická a organizační opatření k zajištění ochrany osobních údajů, tak aby
nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům,
k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému
neoprávněnému zpracování nebo zneužití.
- Zpracovatel vede o přijatých technických a organizačních opatřeních
dokumentaci, kterou uchovává po dobu zpracování osobních údajů.
- V případě automatizovaného zpracování Zpracovatel provádí dále následující
opatření:
Řízení přístupů k systémům pro automatizované zpracování osobních
údajů tak, aby systém pro automatizované zpracování osobních údajů
používala pouze oprávněná fyzická osoba a aby oprávněná fyzická
osoba měla přístup pouze k osobním údajům odpovídajícím jejímu
oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného
výlučně pro tuto osobu.

Pořizuje elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého
důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.

Zpracovatel osobních údajů provádí následující bezpečnostní opatření:

- Technická a organizační opatření k zajištění ochrany osobních údajů tak, aby
nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům,
k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému
neoprávněnému zpracování nebo zneužití.

- Zpracovatel vede o přijatých technických a organizačních opatřeních
dokumentaci, kterou uchovává po dobu zpracování osobních údajů.

Příloha č. 3 — Kodex chování zaměstnance

Souhrn pravidel, která sníží riziko úniku dat skrze interní zaměstnance

Je zakázáno:

využívat zařízení společnosti Sefima k jiným než daným úkolům a účelům

svým chováním narušovat chod prostředí IT ve společnosti Sefima

svou nedbalostí ohrožovat chod svěřeného zařízení

ukládat velký objem dat do uživatelského profilu, na lokální disk, nebo disk serveru
včas neoznámit závadu zaměstnanci zodpovědnému za IT

umožnit, aby bylo zařízení úmyslně poškozeno, nebo ukradeno

dovolit, nebo se podílet na poškození dat, která jsou uložena na lokálním zařízení, na
serveru společnosti, nebo na jiných uložištích daných společností

vynášet firemní data, ať už jakoukoliv cestou, ze společnosti bez souhlasu
nadřízeného pracovníka

šířit závadný software (viry, malware apod.), nakazit PC, nebo servery závadným
softwarem, prohlížet pomocí prohlížeče internetového obsahu závadné, nebo
podezřelé stránky

sdělovatjinému uživateli, nadřízenému, nebo administrátorovy své přihlašovací
údaje

požadovat po jiném uživateli jeho přihlašovací údaje k uživatelskému účtu — dávat k
dispozici vlastní přihlášený profil jinému uživateli

používat e—mail k nedovoleným účelům (obchodní sdělení, spam, ...)

instalovat bez souhlasu pracovníka zodpovědného za ITjakýkoIiv neschválený SW
včetně freeware, shareware, open source projektů apod.

využívat uživatelský účet s právy lokálního administrátora k běžným činnostem
neukládat žádná data a výstupy obsahující citlivé údaje mimo firemní síť

zveřejnit, šířit či jinak zpřístupnit třetím osobám informace a osobní údaje, které se
dozví při výkonu zaměstnání

Je nezbytné:

dodržovat politiku čistého stolu a prázdné obrazovky. Politika je popsána ve
zvláštním dokumentu

10

Příloha č. 4 — Politika „Čistého stolu“

Souhrn pravidel, která sníží riziko úniku dat skrze interní zaměstnance

ÚČEL POLITIKY ČISTÉHO STOLU

Čistý / prázdný stůl neznamená pouze upravené a čisté pracoviště, ale také to, že každý
zaměstnanec musí zabezpečit důvěrné informace, pokud je aktuálně nepoužívá nebo pokud
se vzdáh' ze svého pracoviště.

Cistým monitorem chápeme zamknutou obrazovku v nepřítomnosti pracovníka na
pracovišti.

Cílem je

zamezit přístupu neoprávněných osob k důvěrným informacím

omezení rizika Ztráty dat, jejich odcizení nebo zveřejnění

zajistit, aby s každou informací bylo zacházeno s ohledem na nutnost jejího utajení a
zabezpečení

zvýšit dojem profesionality u návštěvníků a spokojenost našich zákazníků

Co dělat

během nepřítomnosti pracovníka, a to i krátkodobé, musí být důvěrné informace
vždy zabezpečeny (tzn. uloženy v uzamykatelné kanceláři, v pracovním stole, v
pracovním kontejneru nebo ve skříni)

důvěrné informace musí být zabezpečeny po dobu přítomnosti návštěvníků nebo
zákazníka

pracovní stůl musí být sklizený na konci pracovního dne a během nepřítomnosti
zaměstnance na pracovním místě

přihlašovací údaje a bezpečnostní hesla nesmí být zanechána na volně přístupném
místě (např. pod podložkou myši)

klíče (od kanceláře, kancelářského stolu nebo kontejneru) musí zaměstnanec nosit u
sebe nebo je uložit na vhodném místě

tiskoviny s důvěrnými informacemi firmy, zákazníka, nebo personálními daty nesmí
být přístupny neoprávněným osobám (např. u tiskárny). Tyto dokumenty musí být
zabezpečeny nebo skartovány.

11