MORAVSKOSLEZSKÝ KRAJ - KRAJSKÝ ÚŘAD ČÍSLO SMLOUVY (DODATKU) ~4-.. P9ÍJ?JIÍS.. (dále jen Smlouva") uzavřená ve smyslu čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen GDPR") mezi smluvními stranami, kterými jsou: společnost IČ DIČ sídlo zastoupená Moravskoslezský kraj 70890692 CZ70890692 28. října 117, 702 18 Ostrava Ing. Tomášem Kotyzou, ředitelem (dále jen Správce") 2) společnost IC DIČ sídlo společnost zapsaná v zastoupená ICZa.s. 25145 444 CZ699000372 Na hřebenech II1718/10, Nusle, 140 00 Praha 4 (dále jen Zpracovatel") 1.1 Správce a Zpracovatel spolu uzavřeli smlouvy, jejichž seznam tvoří Přílohu č. 1 této Smlouvy. Smluvní strany konstatují, že při realizaci smluv dochází ke zpracování osobních údajů třetích osob, ve vztahu k nimž má Správce postavení správce osobních údajů a Zpracovatel postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 7 a 8 GDPR. Smluvní strany se dohodly, že touto Smlouvou se bude řídit jakékoli zpracování osobních údajů Zpracovatelem pro Správce, a to včetně zpracování, které může nastat v budoucnu na základě nově uzavřených smluvních vztahů mezi Správcem a Zpracovatelem, s tím, že v takovém případě se Smluvní strany zavazují doplnit dodatkem k této Smlouvě Přílohu č. 1 o údaje vyplývající z takových smluv. 1.2 Správce pověřuje Zpracovatele zpracováváním osobních údajů v rozsahu nezbytném pro plnění uzavřených smluv a výhradně za účelem vyplývajícím z jejich účelu, a to na základě pokynů Správce. Toto pověření se vztahuje i na případného dalšího zpracovatele zapojeného v souladu s čl, 8 této Smlouvy. 1.3 Správce pověřuje Zpracovatele zpracováváním osobních údajů v rozsahu specifikovaném v Příloze Č. 1 k této Smlouvě.
2. Obecné zásady zpracování 2.1 Zpracovatel je povinen postupovat při zpracování osobních údajů v souladu s touto Smlouvou, s GDPR, od data jeho účinnosti též se zákonem o zpracování osobních údajů (dále jen ZZOÚ"), s interními předpisy Správce, se kterými byl doložitelně seznámen, a s pokyny Správce, byly-li vydány v souladu s platnými a účinnými právními předpisy. Zpracovatel je povinen zpracovávat osobní údaje výlučně pro účel a v rozsahu dle této Smlouvy a při zpracování postupovat s řádnou péčí. Zpracovatel je povinen dbát, aby žádný subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbát na ochranu subjektů údajů před neoprávněným zasahováním do soukromého a osobního života a zajistit veškerá práva subjektu údajů, která je z pozice zpracovatele povinen zajišťovat dle platných a účinných právních předpisů. 2.2 Zpracovatel není oprávněn osobní údaje subjektů údajů jím zpracovávané či mu zpřístupněné zpracovávat nad rámec účelu stanoveného touto Smlouvou nebo platnými právními předpisy, pokud toto není nezbytné pro plnění jeho povinností dle smluv uzavřených se Správcem (např. testování). 2.3 Zpracovatel je povinen umožnit Správci na vyžádání kontrolu dodržování povinností dle této Smlouvy. 2.4 Zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro Správce v souladu s čl. 30 odst. 2 GDPR. 2.5 Pokud Zpracovatel zjistí, že Správce porušuje povinnosti stanovené GDPR nebo od data jeho účinnosti ZZOÚ, je povinen jej na to neprodleně upozornit. 2.6 V případě, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu provedena kontrola zpracování osobních údajů Zpracovatelem či v případě zahájení správního řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu ve vztahu k zpracování osobních údajů Zpracovatelem dle této Smlouvy, je Zpracovatel tuto skutečnost povinen okamžitě oznámit Správci a poskytnout mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení. 2.7 Povinnosti Zpracovatele týkající se zpracování osobních údajů se Zpracovatel zavazuje plnit po dobu účinnosti této Smlouvy, pokud z ustanovení této Smlouvy výslovně nevyplývá, že mají trvat i po zániku její účinnosti. 2.8 V případě ukončení této Smlouvy je Zpracovatel povinen postupovat důsledně v souladu s čl. 10.3 této Smlouvy. 3. Organizačně-technické zásady zpracování 3.1 Zpracovatel je povinen zabezpečit řádnou technickou a organizační ochranu zpracovávaných osobních údajů v souladu s doložitelnými pokyny Správce a požadavky uloženými mu GDPR tak, aby zpracování osobních údajů splňovalo požadavky stanovené platnými a účinnými právními předpisy. 3.2 Zpracovatel je povinen při zpracování osobních údajů zajistit ochranu osobních údajů minimálně na takové úrovni, aby byly dodrženy záruky o technickém a organizačním zabezpečení osobních údajů uvedené v tomto článku Smlouvy.
3.3 S přihlédnut m ke stavu techniky, nákladům na proveden, povaze, rozsahu, kontextu a účelům zpracován i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob provede Zpracovatel opatřen odpov daj c danému riziku, zejména aby nemohlo doj t k neoprávněnému ani nahodilému př stupu k osobn m údajům, k jejich úplné ani částečné změně, zničen či ztrátě, neoprávněným přenosům či sdružen s jinými osobn mi údaji, Či k jinému neoprávněnému zpracován v rozporu s touto Smlouvou. Zpracovatel zároveň užije taková opatřen, která umožn určit a ověřit, komu byly osobn údaje předány. 3.4 Zpracovatel se za účelem ochrany osobn ch údajů zavazuje zajistit zejména, že: 3.4.1 př stup k osobn m údajům bude umožněn výlučně pověřeným osobám dle čl. 7.1 této Smlouvy a výlučně pro účely zpracován osobn ch údajů v rozsahu a za účelem stanoveným touto Smlouvou 3.4.2 při zpracován osobn ch údajů v elektronické podobě budou osobn údaje vhodným způsobem zabezpečeny, 3.4.3 při zpracován osobn ch údajů v jiné než elektronické podobě budou osobn údaje uchovány v m stnostech s vhodnou úrovn zabezpečen. 3.5 Zpracovatel se zavazuje na p semnou žádost Správce přijmout v přiměřené lhůtě dalš vhodné a přiměřené záruky za účelem technického a organizačn ho zabezpečen osobn ch údajů, zejména přijmout taková opatřen, aby nemohlo doj t k neoprávněnému nebo nahodilému př stupu k osobn m údajům. 3.6 Zpracovatel se zavazuje dokumentovat přijatá a provedená technickoorganizačn opatřen k zajištěn ochrany osobn ch údajů v souladu s platnými a účinnými právn mi předpisy, přičemž zajiš uje, kontroluje a odpov dá zejména za: 3.6.1 plněn pokynů pro zpracován osobn ch údajů pověřenými osobami dle čl. 7.1 této Smlouvy, které maj bezprostředn př stup k osobn m údajům, 3.6.2 zabráněn neoprávněným osobám přistupovat k osobn m údajům a k prostředkům pro jejich zpracován, 3.6.3 zabráněn neoprávněnému čten, vytvářen, kop rován, přenosu, úpravě či vymazán záznamů obsahuj c ch osobn údaje, 3.6.4 opatřen, která umožn určit a ověřit, jak byly osobn údaje zpracovány. 3.7 V př padě zjištěn porušen povinnost dle této Smlouvy je Zpracovatel povinen zajistit stav odpov daj c jeho povinnostem neprodleně poté, co zjist, že povinnosti porušuje. 3.8 V oblasti automatizovaného zpracován osobn ch údajů je Zpracovatel v rámci opatřen podle předchoz ch odstavců povinen také: 3.8.1 zajistit, aby systémy pro automatizovaná zpracován osobn ch údajů použ valy pouze pověřené osoby d e čl. 7.1 této Smlouvy, 3.8.2 zajistit, aby fyzické osoby oprávněné k použ ván systémů pro automatizovaná zpracován osobn ch údajů měly př stup pouze k osobn m údajům odpov daj c m oprávněn těchto osob, 3.8.3 zabránit neoprávněnému př stupu k datovým nosičům. 3.9 Zpracovatel se zavazuje, že přijme přiměřená opatřen k zabezpečen zpracován s ohledem na povahu zpracovávaných osobn ch údajů a m ru rizika, př padně včetně.: 3.9.1 pseudonymizace a šifrován osobn ch údajů,
3.9.2 schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, 3.9.3 schopnosti obnovit dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů, 3.9.4 procesu pravidelného posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. 3.10 Jestliže vznikne v souvislosti se zavedením opatření k zajištění ochrany osobních údajů podle právních předpisů uvedených v tomto článku potřeba uzavřít dodatek k této Smlouvě nebo zvláštní smlouvu, zavazuje se Zpracovatel poskytnout veškerou součinnost nezbytnou k formulaci obsahu takového dodatku, resp. smlouvy, a k uzavření takového dodatku, resp. smlouvy. 4. Pokyny Správce 4.1 Zpracovatel se zavazuje zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci. 4.2 Správce bude udělovat Zpracovateli pokyny podle této Smlouvy takto: Oprávněné osoby na straně Správce Pověřenec osobních údajů Správce: obních údajů Zpracovatele: Smluvní strany jsou oprávněny kdykoliv změnit své Oprávněné osoby a to prostřednictvím oznámení o změně oprávněné osoby, které bude doručeno druhé smluvní straně. Sjednaná forma pokynu: helpdeskový systém 4.3 Zpracovatel je oprávněn zpracovávat osobní údaje bez pokynu Správce pouze v případě, že mu to neukládají platné a účinné právní předpisy. V takovém případě Zpracovatel Správce informuje o tomto zákonném požadavku, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. 4.4 Zpracovatel se zavazuje informovat neprodleně Správce v případě, že podle jeho názoru určitý pokyn Správce porušuje GDPR nebo jiné platné a účinné právní předpisy týkající se ochrany údajů. 5. Součinnost Zpracovatele 5.1 Zpracovatel se zavazuje být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, k reakci na žádosti subjektů údajů uplatňujících svá práva podle čl. 12 až 22 GDPR. 5.2 Zpracovatel se zavazuje být Správci nápomocen k plnění povinností podle čl. 32 až 36 GDPR.
5.3 Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět. 6.1 Odměna Zpracovatele za plnění závazků dle této Smlouvy je zahrnuta v ceně plnění dle smluv specifikovaných v Příloze č. 1. 7. Povinnost mlčenlivosti 7.1 Zpracovatel umožní přístup k osobním údajům výlučně pověřeným osobám, které budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů. Zpracovatel u pověřených osob zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. 8. Zapojení dalšího zpracovatele 8.1 Zpracovatel je oprávněn zapojit do zpracování osobních údajů dalšího zpracovatele výlučně po písemném povolení Správce, a to buď konkrétním, nebo obecném. V případě obecného písemného povolení se Zpracovatel zavazuje Správce informovat o veškerých zamýšlených změnách v okruhu dalších zpracovatelů a poskytnout mu příležitost vyslovit vůči těmto změnám námitky. Za písemné povolení dle tohoto odstavce se považuje i uvedení poddodavateíů podílejících se na realizaci smlouvy/smluv specifikovaných v čl. 1 odst. 1.1 výše uvedených v těchto smlouvách/smlouvě. 8.2 Pokud Zpracovatel zapojí dalšího zpracovatele, aby jménem Správce provedl určité činnosti zpracování, zavazuje se tomuto dalšímu zpracovateli uložit na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Nesplní-H uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za splnění jeho povinností Zpracovatel. 9.1 Smluvní strany mají povinnost k náhradě škody v rámci platných a účinných právních předpisů a této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod. Smluvní strany prohlašují, při zvážení veškerých okolností, které jsou smluvním stranám známy nebo by jim měly být známy při vynaložení obvyklé péče, že výše škody předvídatelné jako možný důsledek porušení povinností některé ze smluvních stran nepřekročí částku odpovídající roční ceně plnění bez DPH ze smluv specifikovaných v Příloze č. 1. 9.2 Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. V případě, že Správce poskytl Zpracovateli chybný pokyn a Zpracovatel s ohledem na svou
povinnost poskytnout služby s odbornou péčí mohl nebo mel chybnost takového pokynu zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybný pokyn Správce písemně upozornil a Správce na splnění pokynu trval. 9.3 Žádná ze smluvních stran nemá povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících z této Smlouvy, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu 2913 odst. 2 zákona č. 89/2012 Sb., ve znění pozdějších předpisů (dále jen občanský zákoník"). Smluvní strana, u níž nastala okolnost vylučující povinnost k náhradě škody, je povinna o této skutečnosti neprodleně písemně informovat druhou smluvní stranu. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání těchto okolností vylučujících odpovědnost. 9.4 Žádná ze smluvních stran není odpovědná za prodlení způsobené prodlením s plněním povinností druhou smluvní stranou. 10. Trvání smlouvy 10.1 Tato Smlouva se uzavírá na celou dobu trvání smlouvy/smluv specifikovaných v čl. 1 odst. 1.1 této Smlouvy a nelze ji samostatně vypovědět, není-li dále stanoveno jinak. 10.2 Správce je oprávněn tuto Smlouvu písemně vypovědět bez výpovědní doby v případě, že: 10.2.1 Zpracovatel poruší povinnosti dle této Smlouvy při zpracování osobních údajů takovým způsobem, že v důsledku svého pochybení vystaví osobní údaje subjektů údajů závažné hrozbě zneužití, neoprávněného pozměnění nebo ztráty (porušení zabezpečení osobních údajů z důvodů výlučně na straně Zpracovatele); a 10.2.2 Zpracovatel poruší povinnosti dle této Smlouvy jiným způsobem, než je uveden v předchozím pododstavci, a nesjedná nápravu ani v dodatečné šedesáti denní lhůtě po písemném upozornění. 10.3 Ke dni ukončení této Smlouvy je Zpracovatel povinen předat Správci protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li od Správce písemně jiné pokyny. V případě výpovědi této Smlouvy bez výpovědní doby tak Zpracovatel učiní ve lhůtě 30 dní po doručení výpovědi. Pokud by platné a účinné právní předpisy vyžadovaly uložení daných osobních údajů namísto jejich smazání, zavazuje se Zpracovatel o tomto Správce informovat, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. 11. Závěrečná ustanovení 11.1 Tato Smlouva nepodléhá zveřejnění v registru smluv. 11.2 Smluvní vztah mezi smluvními stranami se řídí českým právním řádem. 11.3 Smluvní strany se dohodly, že žádná z nich není oprávněna postoupit svá práva a povinnosti vyplývající z této Smlouvy třetí straně bez předchozího písemného souhlasu druhé smluvní strany.
11.4 Smlouva představuje úplné ujednání mezi smluvními stranami a nahrazuje všechny dosavadní smlouvy, dohody a ujednání vztahující se k předmětu této Smlouvy, která byla v minulosti učiněna, ať v písemné nebo ústní formě. 11.5 Veškeré změny či doplnění Smlouvy a jejích příloh, vyjma případu oznámení změn oprávněné osoby dle čl. 4.2 této Smlouvy, lze činit pouze na základě písemné dohody smluvních stran. Takové dohody musí mít podobu datovaných, číslovaných a oběma smluvními stranami podepsaných dodatků této Smlouvy. 11.6 Tato Smlouvaje vyhotovena ve dvou shodných výtiscích, z nichž Správce i Zpracovatel obdrží jedno vyhotovení. 11.7 Nedílnou součást Smlouvy tvoří následující přílohy: Příloha č. 1 - Rozsah závazku zpracování - účely a prostředky zpracování díe čl. 28 odst. 3 GDPR 11.8 Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy. V Ostravě dne Za Správce: V Praze dne J Moravskoslezský kraj Ing. Tomáš Kotyza ředitel ICZ a.s. 113 ' Na hřebenech IH718/10 140 DO Praha 4 fčo: 25145444
Příloha č. 1 Rozsah závazku zpracování - účely a prostředky zpracování dle čl. 28 odst 3 Nařízení 1) Seznam smluv mezi Správcem a zpracování osobních údajů: Zpracovatelem, na základě nichž dochází ke Smlouva Smlouva o poskytnutí servisní a uživatelské podpory Dodatek č. 1 ke Smlouvě o poskytnutí servisní a uživatelské podpory ev.č. 01109/2014/KŘ ze dne 13.6.2014 Dodatek č. 2 ke Smlouvě o poskytnutí servisní a uživatelské podpory ev.č. 01109/2014/KŘ ze dne 13.6.2014 Ze dne 13.06.2014 02.10.2015 30.03.2016 Číslo smi. zákazníka 01109/2014/KŘ 0U09/2014/D1/2015/2DR 01109/2014/2016/KŘ 2) Kategorie subjektů údajů: Předmětem zpracování jsou osobní údaje této kategorie subjektů: a. Pacient b. Kontaktní osoba pacienta c. Zdravotnický profesionál d. Dodavatel e. Uživatel informačního systému 3) osobních údajů: Předmětem zpracování jsou tyto osobní údaje subjektů: a. Pacient: jméno, příjmení, rodné číslo, kontaktní údaje, údaje o zdravotním stavu, údaje o léčbě pacienta b. Kontaktní osoba pacienta: jméno, příjmení, kontaktní údaje c. Zdravotnický profesionál: jméno, příjmení d. Dodavatel: jméno, příjmení, kontaktní údaje e. Uživatel informačního systému: jméno, příjmení, rodné číslo, login, kontaktní údaje 4) Účel a předmět zpracování: Zpracování osobních údajů je na základě rozhodnutí Správce prováděno za účelem plnění povinností Zpracovatele na základě smluv specifikovaných pod bodem 1) výše 5) Rozsah a povaha zpracování: Zpracování osobních údajů je na základě rozhodnutí Správce prováděno v rozsahu plnění povinností Zpracovatele na základě smluv specifikovaných pod bodem 1) výše 6) Doba zpracování: Zpracovatel je oprávněn zpracovávat osobní údaje po dobu trvání práv a povinností ze smluv specifikovaných pod bodem 1) výše Účely a prostředky zpracování osobních údajů na základě této Smlouvy jsou vždy určovány a stanoveny Správcem.