SMLOUVA o ZAJIŠTĚNÍ KYBERNETICKÉ A INFORMAČNÍ BEZPEČNOSTI
Smluvní strany:

Krajská nemocnice Liberec, a.s.

se sídlem: Husova 1430/34, 460 01 Liberec | — Staré Město

IČ: 27283933

DIČ: C227283933

zapsaná v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, sp. zn. 5 1651
zastupuje: předseda představenstva

kontaktní osoba: manažer kybernetické bezpečnosti — ke dni účinnosti této smlouvy
telefon:

e—mail:

(dále jen „KNL")

NORTH MED Spol. s r.o.

se sídlem: Bělocerkevská 1176/12, 100 00, Praha 10, Česká republika

IČ: 25457811

DIČ: C225457811

zapsána v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 228588
zastupuje: „jednatel

kontaktní osoba:

telefon:

e—mail:

(dále jen „Dodavatel")

(společně dále jen „smluvní strany")

uzavřely níže uvedeného dne, měsíce a roku tuto smlouvu o zajištění kybernetické a informační

bezpečnosti (dále jen „smlouva"):

Tato smlouva ruší a v plném rozsahu nahrazuje všechny předešlé smlouvy, dohody či ujednání mezi
smluvními stranami, kterými byla upravena oblast kybernetické bezpečnosti, zejména „Smlouvu o
přístupu k informacím a nástrojům jejich zpracování Krajské nemocnice Liberec, 3.5" (dálejen „Původní

smlouva"), uzavřenou dne 6.5.2022. Původní smlouva je tímto ukončena.

|. Úvodní ustanovení o kvbernetické bezpečnosti

KNL je provozovatelem základní služby ve smyslu 5 2 písm. k) zákona c. 181/2014 Sb.,
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické
bezpečnosti) (dálejen „ZKB") podle 5 2 písm. i) ZKB a 5 223 ZKB.

KNL je povinna ve smyslu 5 8 Vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních,
kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání
v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále

jen „VKB") řídit dodavatele a rizika spojená sdodavateli sohledem na kybernetickou
a informační bezpečnost základní služby KNL a KNL.

3. Dodavatel je dodavatelem přístrojového vybavení (např. CT přístroje amnoha dalších
přístrojů) a/nebo programového vybavení a/nebo IT technologií— hardware, dodávaného do
KNL na základě jednotlivých kupních smluv, smluv o výpůjčce a/nebo jiných smluv,
uzavřených mezi KNL a Dodavatelem (uvedená smlouva resp. všechny jmenované smlouvy
dále jen „primární smlouva/-y"). V případě, že nastane rozpor mezi primárními smlouvami a
touto smlouvou, má přednost tato smlouva.

4. Předmětem této smlouvy je závazek Dodavatele plnit požadavky stanovené v této smlouvě
a závazek KNL plnění požadavků Dodavatelem vyžadovat a kontrolovat.

5. Smluvní strany se zavazují dodržovat veškeré právní předpisy upravující kybernetickou
a informačních bezpečnost, doporučení, pokyny, opatření a jiná právní jednání příslušných
orgánů veřejné moci, a to vždy vaktuálním znění a podobě, jak je KNL implementovala
v rámci vnitřních předpisů (viz. Čl. ||. 2).

6. KNLje oprávněna za účelem odvrácení rizika hrozící újmy na právech a oprávněných zájmech
pacientů či zaměstnanců KNL nebo za účelem odvrácení rizika ohrožení informační či
kybernetické bezpečnosti KNL akutně zasáhnout do nebo v plnění primárních smluv či této
smlouvy Dodavatelem. KNL se zavazuje o akutním zásahu do nebo v plnění primárních smluv
či této smlouvy Dodavatelem podle předchozí věty Dodavatele informovat.

Základní práva a povinnosti smluvních stran

 

1. Dodavatel se zavazuje při plnění primárních smluv a této smlouvy přistupovat ke
komunikačním a informačním systémům KNL a případně pohybovat se v nich pouze
způsobem a v rozsahu KNL dovoleným a pouze způsobem a v rozsahu, které jsou potřebné
a účelné pro plnění primárních smluv a této smlouvy. Za každé dílčí porušení závazku
Dodavatele uvedeného v předchozí větě se Dodavatel zavazuje uhradit KNL smluvní pokutu
ve výši odpovídající ročnímu plnění podle primárních smluv, v právě aktuální výši, přičemž
pokud je primární smlouva bezúplatná (např. o výpůjčce), činí výše smluvní pokuty 100.000,—
Kč. Právo KNL na náhradu škody zvlášťa v plné výši tím není dotčeno.

2. KNL má stanovenou bezpečnostní politiku a vede bezpečnostní dokumentaci ve smyslu 5 30
odst. 1 VKB jako souhrn vnitřních předpisů KNL (dále jen „bezpečnostní politiky"). KNL se
zavazuje Dodavateli poskytnout ty bezpečnostní politiky, které jsou relevantní pro nastavení
informační a kybernetické bezpečnosti při plnění této a primárních smluv (dále jen
„relevantní bezpečnostní politiky"). Všeobecné znění relevantních bezpečnostních politikje
dostupné v dokumentu „Politika bezpečného chování dodavatele IT technologie"
vystaveném na webových stránkách KNL. V odůvodněných případech KNL může poskytnout
další výňatky z bezpečnostních politik relevantních pro konkrétního dodavatele. Dodavatel
se zavazuje dodržovat relevantní bezpečnostní politiky. Stanoví—li tato smlouva něco jiného,
nežje obsaženo v relevantních bezpečnostních politikách, má přednost ujednání ve smlouvě.

3. KNL je oprávněna pravidelně vyhodnocovat účinnost a případnost opatření přijatých
v bezpečnostních politikách a v návaznosti na tato vyhodnocení měnit bezpečnostní politiky.

Dotkne-li se změna bezpečnostních politik relevantních bezpečnostních politik uvedených
vpředchozím odstavci, zavazuje se KNL o těchto změnách Dodavatele bez zbytečného
odkladu vyrozumět. Dodavatel se zavazuje dodržovat relevantní bezpečnostní politiky vždy
v aktuálním znění.

Smluvní strany shodně prohlašují, že bezpečnost informacíje pro obě smluvní strany zásadní.
Dodavatel se zavazuje informovat KNL bez zbytečného odkladu o výskytu veškerých
kybernetických bezpečnostních incidentů (ve smyslu 5 7 odst. 2 ZKB) u Dodavatele.

Dodavatel se zavazuje zajistit důvěrnost informačních aktiv, s nimiž nakládá nebo přichází do
styku. Dodavatel se zavazuje o veškerých jemu předaných, zpřístupněných, zpracovávaných
či jinak dostupných či známých informačních aktivech zachovávat mlčenlivost a nesdělit je
ani neumožnit k nim přístup třetím osobám, nebo je nevyužít ve svůj prospěch nebo ve
prospěch třetích osob, není—li v této smlouvě stanoveno jinak.

Povinnost mlčenlivosti podle předchozího odstavce se vztahuje rovněž, bez ohledu na formu
a způsob jejich sdělení či zachycení a až do doby jejich zveřejnění, na jakékoli a všechny
skutečnosti, včetně obchodního tajemství, které se Dodavatel v průběhu vzájemné
spolupráce dozví, a/nebo které mu KNL v průběhu vzájemné spolupráce zpřístupní, jakož i
sama existence těchto skutečností a vzájemné spolupráce smluvních stran.

Smluvní strany vymezují jako důvěrné informace, se kterými přijde Dodavatel do styku na
základě plnění primárních smluv a dálejakékoli neveřejné informace zpřístupněné smluvními
stranami v písemné nebo ústní formě, na ochraně kterých může mít smluvní strana zájem,
zejména se tak za důvěrné informace považují: (i) obchodní tajemství, postupy, definice,
specifikace, programy, programové balíky, technické a jiné know—how, provozní metody a
postupy, obchodní strategie, obchodní a marketingové plány, návrhy, dohody, smlouvy,
finanční, obchodní a další provozní údaje smluvních stran; (ii) informace o pacientech KNL,
zaměstnancích a dodavatelích KNL, údaje podléhající ochraně podle zvláštních právních
předpisů, údaje na něž se vztahuje zákonem uznaná nebo uložená povinnost mlčenlivosti; (iii)
případné jiné informace, které jako důvěrné smluvní strana označí. Důvěrné informace jsou
dále společně označeny též jako „chráněné informace".

Smluvní strany se zavazují, že důvěrné informace nebudou dále rozšiřovat nebo
reprodukovat a nezpřístupníje třetí straně. Současně se zavazují, že zabezpečí, aby převzaté
dokumenty obsahující důvěrné informace byly řádně evidovány a chráněny. Smluvní strany
se dále zavazují, že důvěrné informace nepoužijí v rozporu sjejich účelem ani účelem jejich
poskytnutí pro své potřeby nebo ve prospěch třetích osob. Smluvní strany přijmou účinná
opatření pro zamezení úniku důvěrných informací.

Povinnost plnit ustanovenítéto smlouvy se nevztahuje na chráněné informace, které:

a) mohou být zveřejněny bez porušení této smlouvy;

b) byly písemným souhlasem druhé smluvní strany uvolněny od těchto omezení;

c) jsou veřejně dostupné nebo byly zveřejněny jinak, než porušením povinnosti jedné ze
smluvních stran;

d) příjemceje znal zcela prokazatelně dříve, nežje sdělí smluvnístrana;

e) jsou vyžádány soudem, státním zastupitelstvím nebo jiným věcně příslušným orgánem
veřejné moci za podmínek stanovených zákonem.

10.

11.

12.

13.

14.

15.

Poskytnutí informací spadajících do oblasti důvěrných informací nezakládá žádné právo na
licenci, ochrannou známku, patent, právo užití nebo šíření autorského díla, ani jakékolivjiné
právo duševního nebo průmyslového vlastnictví.

Dodavatel se zavazuje ukládat důvěrné informace a chránit je před zneužitím, poškozením,
znehodnocením, ztrátou, záměnou a nakládat s důvěrnými informacemi pouze způsobem
stanoveným primárními smlouvami a touto smlouvou.

Smluvní strany sjednávají, že primární užívací právo k datům obsaženým v informačním nebo
komunikačním systému náleží KNL.

Dodavatel se zavazuje zajistit integritu informačních aktiv, s nimiž nakládá nebo přichází do
styku.

Dodavatel se zavazuje pořizovat a evidovat záznamy o technických událostech (logy),
Dodavatel se zavazuje pořizovat a evidovat logy o relevantních informacích (v pochybnostech
tyto označí KNL). Dodavatel se zavazuje uchovávat logy po dobu šesti měsíců, pokud KNL
neurčíjinak. Dodavatel se zavazuje evidenci logů podle tohoto odstavce předložit k náhledu
KNL, kdykoliv o to KNL požádá.

Dodavatel se zavazuje provádět testy zranitelnosti a penetrační testování technologií
propojených s KNL ve stejném rozsahu, jaký stanoví ZKB, VKB a podpůrné materiály
a rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost, vždy v aktuálním
znění, pro povinné subjekty a informovat o výsledcích KNL.

III. Vzdálený gřístup

Je-li pro plnění primárních smluv nezbytně nutné, aby měl Dodavatel zajištěn vzdálený
přístup do informačního nebo komunikačního systému KNL, zavazuje se Dodavatel nastavit
systém přístupu do informačního nebo komunikačního systému KNL tak, aby bylo možné
jednoznačně určit, kdo do informačního nebo komunikačního systému KNL přistoupil, kdo
provedl úpravu či byl jakkoliv vinformačním nebo komunikačním systému KNL aktivní.
Veškeré aktivity uvedené v předchozí větě je Dodavatel povinen logovat ve smyslu čl. II odst.
15 této smlouvy výše.

Za účelem zajištěnídostupnosti a funkčnosti informačního nebo komunikačního systému KNL
nebo možnosti plnění primárních smluv nebo této smlouvy je Dodavatel oprávněn do
informačního nebo komunikačního systému přistupovat prostřednictvím svých zaměstnanců
či osob vobdobném postavení, a to vsouladu spožadavky na řízené přístupy do
informačního nebo komunikačního systému KNL odvislé od zhodnocení rizik pro informační
aktiva, která se vinformačním nebo komunikačním systému KNL nachází. Dodavatel se
zavazuje zajistit, aby každá osoba oprávněná kpřístupu do informačního nebo
komunikačního systému KNL měla nastavené přístupové údaje soprávněním provádět
úpravy a zápisy dat vinformačním nebo komunikačním systému dle svého zařazení se
zohledněním potenciálních rizik ztoho vyplývajících. KNL pro plnění tohoto odstavce
realizuje proces řízeného zakládání (ve smyslu posloupnosti: žádost —schválení— realizace —
reporting — zrušení).

3. Za účelem naplnění požadavků na řízené přístupy ve smyslu předchozího odstavce se
Dodavatel zavazuje předat KNL seznam osob — zaměstnanců či jiných osob vobdobném
postavení Dodavatele s uvedením identifikace této osoby, které jsou oprávněné k přístupu
do informačního nebo komunikačního systému KNL. Seznam oprávněných osob ve smyslu
předchozí věty se Dodavatel zavazuje, v případě změny, bez zbytečného odkladu
aktualizovat. KNL umožní Dodavateli vzdálený přístup do informačního nebo komunikačního
systému KNL, je—li to nezbytné, pouze prostřednictvím VPN připojení na jméno osoby
Dodavatelem uvedené v aktuálním seznamu oprávněných osob ve smyslu předchozích vět.

szický přístup k informačním a komunikačním technologiím a počítačovému hardwaru KNL

jdále jen utechnické grostředky KNL"j_

1. Fyzický přístup k technickým prostředkům KNLje umožněn pouze na základě souhlasu KNL.
KNL umožní přístup k technickým prostředkům KNL pouze zaměstnanci Dodavatele či osobě
v obdobném postavení, která předloží průkaz totožnosti a písemné pověření Dodavatele.
Pracovník přistupující opakovaně předkládá doklady při první návštěvě a poté na žádost KNL.

2. Fyzický přístup k technickým prostředkům KNLje umožněn pouze v přítomnosti zaměstnance
KNL.

3. Souhlasu KNL podléhá každý jednotlivý úkon zaměstnance pověřeného Dodatelem či osoby
v obdobném postavení ve smyslu odst. 1 tohoto článku včetně:
_ pořizování kopií informačních aktiv, jejich změny či výmazu;
_ připojováníjiných zařízenía technických prostředků na sítě KNL;
_ spouštění aplikací;
_ instalace nových aplikací,je-|i nutná k realizaci plnění;
_ provádění činností, které přímo nesouvisí s plněním podle primárních smluv.

Audit

1. KNLje oprávněna kontrolovat plnění požadavků a podmínek stanovených ZKB, VKB a touto
smlouvou Dodavatelem (dále jen „zákaznický audit"). KNL nepřistoupí k realizaci
zákaznického auditu pro případ, že se Dodavatel prokáže auditní zprávou svědčící o plnění
požadavků a podmínek stanovených ZKB, VKB a touto smlouvou a KNL bude tuto auditní
zprávu považovat za dostatečnou.

2. KNL je oprávněna provádět zákaznický audit v termínech a za podmínek předem
dohodnutých smluvními stranami. Dodavatel se zavazuje umožnit zákaznický audit a zdržet
se kladení jakýchkoliv překážet zákaznickému auditu. KNL je oprávněna k přístupu do
veškerých prostor Dodavatele, v nichž jsou realizovány činnosti, které mají vliv na plněnítéto
smlouvy a ke všem prostředkům, kterými nebo pomocí kterých je plněna tato smlouva.

3. Dojde—li KNL k závěru, že Dodavatel porušuje povinnosti stanovené touto smlouvu, ZKB či
VKB, upozorní na tuto skutečnost Dodavatele a vyzve jej k okamžitému zjednání nápravy.

VI.

KNL je oprávněna k provádění zákaznického auditu zmocnit třetí osobu. Třetí osoba
zmocněná podle předchozí věty má při realizaci zákaznického auditu stejná oprávnění jako
KNL.

Dodavatel se zavazuje poskytnout veškerou součinnost potřebnou pro realizaci auditu ve
smyslu tohoto článku.

Poddodavatelé

Smluvní strany sjednávají oprávnění Dodavatele zapojit do plnění podle této smlouvy
poddodavatele. Každéjednotlivé, byt'jen dílčí zapojení konkrétního poddodavatele do plnění
podle této smlouvy podléhá předchozímu souhlasu KNL, a to s výjimkou osob v obdobném
postaveníjako mají zaměstnanci Dodavatele (tzv. spolupracující osoby, které jsou osobami
samostatně vykonávajícími činnost na základě živnostenského oprávnění).

Dodavatel se zavazuje zajistit, aby poddodavatel plnil stejné povinnosti ve stejném rozsahu
jako stanoví ZKB, VKB nebo tato smlouva pro Dodavatele.

Za plnění povinností stanovených ZKB, VKB nebo touto smlouvou poddodavatelem odpovídá
Dodavatel.

VII. Ukončenísmlou exit strate ie

Dojde—li zjakéhokoliv důvodu k ukončení této smlouvy nebo některé z primárních smluv,
sjednávají smluvní strany přechodné období v délce trvání 6 měsíců — nestanoví-li některá
z primárních smluv délku přechodného období jinak, v rámci kterého je Dodavatel povinen
nadále přístrojové a/nebo programové vybavení podle dotčené primární smlouvy
poskytovat, nestanoví—li KNLjinak.

Smluvní strany sjednávají, že během doby uvedené v předchozím odstavci je Dodavatel
povinen zlikvidovat veškeré informace, se kterými nakládá či nakládal nebo které jsou v jeho
sféře vlivu či ovládání v souvislosti s plněním primárních smluv anebo této smlouvy. Pokud
z právního předpisu, od kterého se nelze odchýlit, plyne odlišná doba, po kterou musí být
určité informace uchovány, řídí se Dodavatel daným právním předpisem; po uplynutítakové
odlišné doby má Dodavatel rovněž povinnost informace zlikvidovat.

Pokud o to KNL výslovně požádá, je Dodavatel povinen předat informace uvedené
v odstavci 2 tohoto článku budoucímu Dodavateli v zájmu zajištění kontinuity nastavených
procesů souvisejících s realizací plnění podle primárních smluv.

VIII. Závěrečná ustanovení

Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami.

Tato smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv dle zákona
č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto
smluv a o registru smluv, ve znění pozdějších předpisů.

Jakékoliv změny smlouvy musí být sepsaný formou písemných dodatků ke smlouvě a musí
být podepsaný smluvními stranami, osobami oprávněnými k takovému jednání.

Vztahy mezi smluvními stranami výslovně neupravené touto Smlouvou se řídí režimem
zákona č. 89/2012 Sb., občanský zákoník, a zákona č. 121/2000 Sb., o právu autorském,
o právech souvisejících s právem autorským, ZKB a VKB. Smluvní strany se zavazují bez
zbytečného odkladu reagovat na změny právních předpisů upravujících spolupráci smluvních
stran založenou touto smlouvou.

Veškeré spory ze smlouvy se smluvní strany zavazují řešit smírem a teprve pokud se spor
nepodaří smírem vyřešit, bude spor rozhodovat podle zákona č. 99/1963 Sb., občanský
soudní řád, věcně a místně příslušný soud.

Pokud bude jakékoliv ujednání smlouvy shledáno jako neplatné či neúčinné, nedotýká se
neplatnost a neúčinnost ostatních ujednání smlouvy. Smluvní strany se pro tento případ
zavazují neplatná či neúčinná ujednání nahradit dohodou platnými a účinnými ustanoveními,
která nejlépe odpovídají smyslu a mají nejblíže k neplatnému či neúčinnému ujednání, aniž
by požadovaly výhody nebo plnění, která původně nebýla sjednána.

Žádná smluvní strana není oprávněna postoupit právo nebo závazek nebo zatížit pohledávku
vyplývající ze smlouvy nebo žádnou jejich část bez předchozího písemného souhlasu druhé
smluvnístraný.

Tato smlouva je vyhotovena a podepsána bud'elektronický nebo v listinné podobě ve dvou
vyhotoveních, z nichž každá smluvní strana obdrží pojednom.

Smluvní strany tímto prohlašují a stvrzují podpisy osob oprávněných k jednání smluvních
stran, že si smlouvu řádně přečetly, je jim znám význam jednotlivých ujednání smlouvy
a jejích příloh, že smlouvu uzavírají na základě své pravé a svobodné vůle a dále prohlašují,
že jim k datu podpisu smlouvy nejsou známy žádné skutečnosti ani okolnosti, které by jim
mohly bránit v plnění závazků dle smlouvy, tuto smlouvu učinit neplatnou nebo neúčinnou,
nebo zmařit její účel a cíl tak, jakjej ve smlouvě společně deklarovalý.

V Liberci dne (dle e|. podpisu) V Praze dne (dle e|. podpisu)
\ Digitálně podepsal Digitálně podepsal
Datum: zozs.1o.13 Datum: 2025.1007
11:06:09 +oz*oo* 10:44:16 +02'00'
Krajská nemocnice Liberec, a.s.
Jed nate|

předseda představenstva

Seznam zaměstnanců přistupujícího subjektu: NORTH MED Spol. s r.o., s VPN
přístupem do sítě KNL, a.s..

 

Kontaktní osoba/y pro aktualiz aci kontaktů

 

Jméno a příjmení | Mobil | e-mail

 

 

 

 

Seznam osob s kontakty s VPN přístupem do sítě KNL, a.s.

Jméno a "mení Mobil e-mail

 

V Praze dne (dle el. podpisu)
Digitálně podepsal

Datum: 2025.10.07
1 1:42:36 +02'OO'

kontaktní osoba pro aktualizaci kontaktů