Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Smlouva o zpracování osobních údajů
umvřená podle ČI. 28 nař/:en/Evropského parlamentu a Rady (EU) 2016,"679 ::e dne 27. dubna 2016
o ochraněfy:icAých osob v souvislosti se Fpracovánl"m osobních údajů a o volném pohybu těchto údajů
a o ::rušení směrnice 95,"46"ES (dále jen ,, GDPR ') a podle prováděcího roFhodnutl"komise (EU)
2021"915 ::e dne -l. června 2021 o standardních smluvních doložkách me::i správci a Fpracovateli
podle ČI. 28 odst. 7 nař/:en/Evropského parlamentu a Rady (EU) 2016"679 a ČI. 29 odst. 7 nař/::eni"
Evropského parlamentu a Rady (EU) 2018,"1 725 (dále jen ,, doložky ")
níže uvedeného dne, měsíce a roku me::i
Carebot s.r.o.
se sídlem č. cv. 26, 664 34 Rozdrojovice
IČO: 10898263
DIČ: CZ10898263
zapsaná v obchodním rejstříku u Krajského soudu v Brně, oddíl C, vložka 123423
zastoupená: Mgr. Danielem Kvakem a Matějem Misařem, jednateli
(dále jen ,,zpracovatel")
a
Rokycanská nemocnice, a. s.
Voldušská 750, 337 01 Rokycany
IČO: 26360900
DIČ: CZ699005333
zapsaná v obchodníin rejstříku u Krajského soudu v Plzni, oddíl B, vložka 1071
zastoupená: Ing. Zdeňkem Švandou, předsedou představenstva
MUDr. Petrem Hubáčkem, MBA, LL.M., místopředsedou představenstva
Ing. Michalem Filařem, členem představenstva
(dále jen ,,správce")
(dále též jako ,,Smluvní strana" či společně jako ,,Smluvní strany").
ODDÍL I.
Doložka 1
Účel a oblast působnosti
(a) Účelem těchto doložek je zajistit soulad s ustanoveními ČI. 28 odst. 3 a 4 GDPR.
(b) Správce a zpracovatel uvedení v příloze I schválili tyto doložky, aby zajistili soulad s ČI. 28 odst. 3
a 4 GDPR.
(C) Tyto doložky se uplatňují na zpracování osobních údajů, jak je upřesněno v příloze II.
(d) Přílohy I až IV jsou nedílnou součástí těchto doložek.
(C) Těmito doložkami nejsou dotčeny povinnosti, které správce musí plnit na základě GDPR.
(f) Tyto doložky samy o sobě nezajišt'ují soulad s povinnostini týkajícími se 111ezinárodního předávání
podle kapitoly V GDPR.
REV2 15.06.2024
Doložka 2
Neměnnost doloŽek
(a) Smluvní strany se zavazují, že doložky nebudou měnit, s výjiinkou doplňování nebo aktualizace
informací v přílohách.
(b) To stranám nebrání v možnosti zahrnout tyto doložky do širší smlouvy nebo k nim doplnit další
doložky nebo další záruky, pokud tyto nejsou s doložkami v příinéin nebo nepřílnél11 rozporu nebo
pokud neomezují základní práva nebo svobody subjektů údajů.
Doložka 3
výklad
(a) V případech, kdy tyto doložky používají pojmy definované v GDPR mají tyto pojmy stejný význam
jako v uvedenérn nařízení.
(b) Tyto doložky jsou chápány a vykládány v souladu s ustanoveníl11i nařízení GDPR.
(C) Tyto doložky nesmí být vykládány způsobem, který by byl v rozporu s právy a povinnostmi
stanovenýini v nařízení GDPR nebo který by omezoval základní práva nebo svobody subjektů údajů.
Doložka 4
Hierarchie
V případě rozporu mezi těmito doložkami a ustanoveníl11i souvisejících dohod existujících mezi
stranami v době, kdy jsou tyto doložky sjednány, nebo dohod uzavřených později mají přednost tyto
doložky.
ODDÍL II.
POVINNOSTI STRAN
Doložka 5
Popis zpracování
Podrobnosti týkající se operací zpracování, zejména kategorie osobních údajů a účely zpracování, pro
něž jsou osobní údaje zpracovávány jlnénel11 správce, jsou uvedeny v příloze II.
Doložka 6
Povinnosti stran
6.1. Pokyny
(a) Zpracovatel zpracovává osobní údaje pouze na základě písemně doložených pokynů správce, pokud
mu takové zpracování neukládá právo Unie nebo členského státu, které se na správce vztahuje. V
tomto případě zpracovatel správce illforlnllje o uvedeném právním požadavku před zpracováním,
pokud to právní předpisy nezakazují z důvodů důležitého veřejného zájmu. Po celou dobu
zpracování osobních údajů může správce rovněž vydávat další pokyny. Tyto pokyny musí být vždy
písemně doloženy.
(b) Zpracovatel neprodleně illforlnllje správce v případě, že dle jeho názoru pokyny správce porušují
GDPR nebo příslušná ustanovení Unie nebo členského státu o ochraně údajů.
6.2. Omezení účelu
Zpracovatel zpracovává osobní údaje pouze pro konkrétní účel nebo účely zpracování, jak je
stanoveno v příloze II, pokud od správce neobdrží další pokyny.
6.3. Doba trvání zpracování osobních údajů
Zpracování zpracovatelem probíhá pouze po dobu stanovenou v příloze II.
REV2 15.06.2024
6.4. Zabezpečení zpracování
(a) Za účelem zajištění bezpečnosti osobních údajů musí zpracovatel zavést přinejl11enšíl11 technická
a organizační opatření uvedená v příloze III. Součástí těchto opatření musí být ochrana údajů před
narušeníin bezpečnosti, které by vedlo k jejich lláhodnél11ll nebo protiprávníinu zničení, ztrátě,
změně, lleoprávněnél11ll zpřístupnění nebo přístupu k nim (porušení zabezpečení osobních údajů).
Při posuzování vhodné úrovně zabezpečení vezmou strany v úvahu aktuální stav techniky, náklady
na provedení, povahu, rozsah, kontext a účely zpracování a rizika pro subjekty údajů.
(b) Zpracovatel poskytne svým zal11ěstnancůl11 přístup ke zpracovávaným osobním údajům pouze
v rozsahu nezbytně nutnéin pro provádění, správu a kontrolu smlouvy. Zpracovatel zajistí, aby
se osoby oprávněné zpracovávat obdržené osobní údaje zavázaly k mlčeiilivosti nebo aby se na ně
vztahovala zákonná povinnost mlčeiilivosti.
6.5. Citlivé údaje
Pokud zpracování zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických
názorech, náboženskéin vyznání či filozofickém přesvědčení nebo členství v odborech, genetické
nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu
nebo o sexuálníin životě či sexuální orientaci dané osoby nebo údaje týkající se odsouzení v trestních
věcech a trestných činů (dále jen ,,citlivé údaje"), uplatní zpracovatel zvláštní omezení nebo další
záruky.
6.6. Dokumentace a soulad
(a) Strany musí být schopny prokázat dodržování těchto doložek.
(b) Zpracovatel neprodleně a odpovídajícím způsobem vyřídí dotazy správce, které se týkají
zpracovávání podle těchto doložek.
(C) Zpracovatel poskytne správci veškeré inforinace potřebné k prokázání souladu s povinnostmi
stanovenýini v těchto doložkách, které vyplývají přímo z GDPR. Zpracovatel též na žádost správce
umožní audity činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispěje, a to
v přiměřených intervalech nebo pokud existují známky nesouladu. Při rozhodování o přezkuinu
nebo auditu může správce zohlednit příslušná osvědčení držená zpracovatelem.
(d) Správce se může rozhodnout, zda audit provede sám, nebo jím pověří nezávislého auditora. Audity
mohou rovněž zahrnovat kontroly v objektech a prostorách zařízení zpracovatele a případně jsou
předem včas ohlášeny.
(C) Strany na požádání zpřístupní informace uvedené v této doložce, včetně výsledků případných auditů,
příslllšnél11ll dozorovému úřadu, respektive příslušnýin dozorovým úřadůin.
6.7. Využívání dílčích zpracovatelů údajů
(a) Bez předchozího konkrétního píseinného povolení správce, nesmí zpracovatel zadat dílčímu
zpracovateli žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány
jlnénel11 správce v souladu s těmito doložkami. Zpracovatel předloží žádost o konkrétní povolení
nejméně 15 dnů před zapojením dotčeného dílčího zpracovatele, a to společně s inforlnacelni, jež
jsou nezbytné k tomu, aby správce mohl o povolení rozhodnout. Seznam dílčích zpracovatelů, kteří
správce schválil, je uveden v příloze IV. Smluvní strany přílohu IV průběžně aktualizují.
(b) Pokud zpracovatel zapojí dílčího zpracovatele do provádění konkrétních činností zpracování
(jnlénel11 správce), učiní tak prostřednictvím smlouvy, která ukládá dílčímu zpracovateli v podstatě
stejné povinnosti v oblasti ochrany údajů, jaké jsou v souladu s těmito doložkami uloženy
zpracovateli údajů. Zpracovatel zajistí, aby dílčí zpracovatel plnil povinnosti, které se na
zpracovatele vztahují podle těchto doložek a GDPR.
REV2 15.06.2024
(C) Zpracovatel poskytne správci na jeho žádost opis dohody s dílčím zpracovatelem a veškeré následné
změny dohody. V rozsahu nutnéin k ochraně obchodního tajemství nebo jiných důvěrných
informací, včetně osobních údajů, může zpracovatel před poskytnutíin opisu text dohody upravit.
(d) Zpracovatel nese vůči správci plnou odpovědnost za to, aby dílčí zpracovatel plnil povinností
vyplývající z jeho smlouvy se zpracovatelem. Zpracovatel správce uvědomí, pokud dílčí zpracovatel
neplní své povinnosti vyplývající z uvedené smlouvy.
(C) Zpracovatel s dílčím zpracovatelem schválí doložku ve prospěch třetí strany, podle níž v případě, že
zpracovatel fakticky zmizí, z právního hlediska zanikne, nebo se ocitne v platební neschopnosti, má
správce právo ukončit smlouvu s dílčím zpracovatelem a pověřit dílčího zpracovatele, aby osobní
údaje vymazal nebo vrátil.
6.8. Mezinárodní předávání údajů
(a) Jakékoli předání údajů zpracovatelem do třetí země nebo mezinárodní organizaci se provádí pouze
na základě písemně doložených pokynů správce nebo za účelem splnění konkrétního požadavku
podle právních předpisů Unie nebo členského státu, které se na zpracovatele vztahují, a to v souladu
s kapitolou V GDPR.
(b) Správce souhlasí s tím, že pokud zpracovatel v souladu s doložkou 6.7 zapojí dílčího zpracovatele
do provádění konkrétních činností zpracováním Úlnénel11 správce) a uvedené činnosti zahrnují
předání osobních údajů ve smyslu kapitoly V GDPR, mohou zpracovatel a dílčí zpracovatel zajistit
soulad s ustanoveníini kapitoly V GDPR použitím standardních sinluvních doložek přijatých Komisí
v souladu s ČI. 46 odst. 2 GDPR, pokud jsou splněny standardní podinínky pro použití takových
sinluvních doložek.
Doložka 7
Pomoc poskytovaná správci
(a) Zpracovatel neprodleně inforinuje správce o každé žádosti, kterou obdržel od subjektu údajů. Na
tuto žádost neodpovídá sám, pokud k tomu není správcem zinocněn.
(b) Zpracovatel pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů o výkon
jejich práv s přililédnlltíln k povaze zpracování. Při plnění svých povinností podle ustanovení písmen
a) a b) postupuje zpracovatel v souladu s pokyny správce.
(C) Kromě toho, že má zpracovatel povinnost pomáhat správci podle doložky 7 písm. b), zpracovatel
správci dále pomáhá při zajišt'ování plnění následujících povinností, a to s přihlédnutíl11 k povaze
zpracování údajů a illforlnacíl11, které má zpracovatel k dispozici:
{l) povinnost provést posouzení dopadu zainýšlených operací zpracování na ochranu osobních
údajů (dále jen ,,posouzení vlivu na ochranu údajů"), pokud je pravděpodobné, že určitý druh
zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob;
{2) povinnost konzultovat před zpracováníin příslušný dozorový úřad, respektive příslušné
dozorové úřady, pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané
zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke
zmírnění tohoto rizika;
(3) povinnost zajistit, aby byly osobní údaje přesné a aktuální, a to tím, že zpracovatel správce
neprodleně inforinuje, pokud se dozví, že osobní údaje, které zpracovává, jsou nepřesné nebo
zastaralé;
(4) povinnosti podle článku 32 GDPR.
REV2 15.06.2024
(d) V příloze III strany stanoví vhodná technická a organizační opatření, jimiž je zpracovatel povinen
správci pomáhat při uplatňování této doložky, jakož i oblast působnosti a rozsah požadované
pomoci.
Doložka 8
Ohlašovánípřijwdů porušení zabezpečení osobních údajů
V případě porušení zabezpečení osobních údajů zpracovatel spolupracuje se správcem a pomáhá mu při
plnění jeho povinností podle článků 33 a 34 GDPR, přičemž zohlední povahu zpracování a inforinace,
které má zpracovatel k dispozici.
8.1 Porušení zabezpečení údajů zpracovávaných správcem
V případě porušení zabezpečení osobních údajů zpracovávaných správcem zpracovatel napomáhá
správci:
(a) při ohlašování případů porušení zabezpečení osobních údajů příslllšnél11ll dozorovému úřadu,
respektive příslušnýin dozorovým úřadům, a to bez zbytečného odkladu poté, co se o něm správce
dozvěděl, je-li to relevantní l (pokud je nepravděpodobné, že by porušení zabezpečení osobních
údajů vedlo k ohrožení práv a svobod fyzických osob);
(b) při získávání následujících inforinací, které musí být podle ČI. 33 odst. 3 GDPR uvedeny v oznámení
správce, a to musí přinejl11enšíl11 zahrnovat:
(l) povahu daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné,
kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství
dotčených záznainů osobních údajů;
(2) pravděpodobné důsledky porušení zabezpečení osobních údajů;
(3) opatření přijatá nebo navržená k přijetí v souvislosti s porušením zabezpečení osobních údajů,
včetně případných opatření ke zinírnění možných nepříznivých dopadů.
Pokud není možné poskytnout všechny tyto inforinace najednou, musí původní oznámení
obsahovat informace, které jsou v dané době k dispozici, a další illforl11ace jsou poté poskytnuty
bez zbytečného odkladu, jakmile jsou dostupné.
(C) při plnění povinnosti v souladu s čláiikem 34 GDPR oznámit bez zbytečného odkladu subjektu údajů
porušení zabezpečení osobních údajů, pokud je pravděpodobné, že dané porušení zabezpečení
osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
8.2 Porušení zabezpečení údajů zpracovávaných zpracovatelem
V případě porušení zabezpečení osobních údajů zpracovávaných zpracovatelem o tom zpracovatel
illforlnuje správce bez zbytečného odkladu poté, co se o tomto porušení dozvěděl. Takové oznámení
obsahuje alespoň:
(a) popis povahy daného případu porušení (včetně, pokud je to možné, kategorií a přibližného počtu
dotčených subjektů údajů a záznainů údajů);
(b) údaje o kontaktníin místě, kde lze získat více informací o daném porušení zabezpečení osobních
údajů;
(C) pravděpodobné důsledky a opatření přijatá nebo navržená k přijetí v souvislosti s porllšeníl11
zabezpečení, a to včetně opatření ke zmírnění možných nepříznivých dopadů.
Pokud není možné poskytnout všechny tyto inforinace najednou, musí původní oznámení obsahovat
informace, které jsou v dané době k dispozici, a další inforinace jsou poté poskytnuty bez zbytečného
odkladu, jakmile jsou dostupné.
Strany stanoví v příloze III všechny další informace, které má zpracovatel poskytnout, když správci
poskytuje pomoc při plnění povinností správce podle článků 33 a 34 GDPR.
REV2 15.06.2024
ODDÍL III.
ZÁVĚREČNÁ USTANOVENÍ
Doložka 9
Porušení doloŽek a ukončení smlouvy
(a) Aniž jsou dotčena jakákoli ustanovení GDPR, pokud zpracovatel poruší své povinnosti podle těchto
doložek, může mu správce nařídit, aby pozastavil zpracovávání osobních údajů, dokud zpracovatel
nebude plnit povinnosti podle těchto doložek, nebo dokud nebude smlouva vypovězena. Zpracovatel
neprodleně inforinuje správce v případě, že z jakéhokoli důvodu není schopen plnit ustanovení
těchto doložek.
(b) Správce je oprávněn vypovědět smlouvu v rozsahu, v němž se týká zpracování osobních údajů
v souladu s těmito doložkami, pokud:
(l) správce pozastavil podle písmene a) zpracovávání osobních údajů zpracovatelem a plnění
povinností podle těchto doložek není obnoveno v přiměřené lhůtě a v každém případě do
jednoho měsíce od pozastavení;
(2) zpracovatel závažně nebo trvale porušuje tyto doložky nebo povinnosti, které pro něj vyplývají
Z GDPR;
(3) zpracovatel neplní závazné rozhodnutí příslušného soudu nebo příslušného dozorového úřadu,
respektive příslušných dozorových úřadů týkající se jeho povinností vyplývající z těchto
doložek nebo z GDPR.
(C) Zpracovatel je oprávněn vypovědět snilouvu v rozsahu, v němž se týká zpracování osobních údajů
podle těchto doložek, pokud poté, co inforinoval správce o tom, že pokyny správce porušují platné
právní požadavky podle doložky 6.1 písm. b), správce na splnění těchto pokynů trvá.
(d) Po ukončení smlouvy zpracovatel podle volby správce vyinaže veškeré osobní údaje zpracovávané
jlnénel11 správce a potvrdí správci, že tak učinil, nebo vrátí veškeré osobní údaje správci a vymaže
stávající kopie, pokud právo Unie nebo členského státu nepožaduje uchovávání osobních údajů.
Dokud nejsou osobní údaje vyinazány nebo vráceny, zpracovatel nadále zajišt'uje dodržování
souladu s těmito doložkami.
Přílohy:
- Příloha I - Se:nam stran
- PŘÍLOHA // - Popis Fpracovánl"
- PŘÍLOHA III - Technická a organimční opatření včetně technicAých a organimčn/ch opatření
k mjištění FabeEpečenl" údajů
- PŘÍLOHA IV- Se:nam dílčích Fpracovatelú
REV2 15.06.2024
DD 0 Á
d d
0d
0" D0 , d ' 0 'd
" Q" 00 Q Q '0 ,
;
\3»<··,
®
0 0
d" d '00 0 Á D0 0 0 0
Qm m 0 0 0Á
3"·=
®
,A., 00 0 Á
'
PŘÍLOHA II
Popis zpracování
Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány
Pacienti správce, jejichž osobní údaje budou zpřístupněny zpracovateli při užití zdravotnického
softwaru Carebot AI CXR (dále jen ,,Software") v rozsahu a za podmínek stanovených v licenční
smlouvě k Softwaru uzavřené mezi Smluvními stranami (dále jen ,,Smlouva").
Kategorie zpracovávaných osobních údajů
Obrazová dokumentace pacientů správce dle Smlouvy včetně doprovodných údajů a unikátního
bezvýznamového identifikátoru (kódu) jednotlivých pacientů.
Zpracovávané citlivé údaje (v relevantních případech) a použitá omezení nebo záruky, které plně
zohledňují povahu těchto údajů a související rizika, jako je například přísné omezení účelu, omezení
přístupu (včetně přístupu pouze pro pracovníky, kteří absolvovali specializovanou odbornou přípravu),
vedení záznainů o přístupu k údajům, omezení dalšího předávání nebo další opatření k zajištění
zabezpečení.
Informace o zdravotním stavu pacientů správce dostupné z obrazové dokumentace budou
zpřístupněny zpracovateli na základě Smlouvy výlučně v kódované (tj. pseudonymizované)
podobě. Osobní údaje pacientů správce nebude zpracovatel schopen přiřadit konkrétnímu
subjektu údajů bez použití dodatečných informací, které bude správce uchovávat odděleně
a budou se na ně vztahovat technická a organizační opatření správce, aby nemohly být
zpracovatelem přiřazeny konkrétní identifikované či identifikovatelné fyzické osobě pacienta.
Povaha zpracování
Osobní údaje dle těchto doložek budou zpracovávány automatizovaným způsobem dohodnutým
ve Smlouvě.
Účel/účely, pro který/které jsou osobní údaje zpracovávány jlnénel11 správce
Osobní údaje budou zpracovávány pro účely specifikované ve Smlouvě.
Doba trvání zpracování
Osobní údaje bude zpracovatel zpracovávat po dobu trvání spolupráce dle Smlouvy.
REV2 15.06.2024
PŘÍLOHA III
Technická a organizační opatření včetně technických a organizačních opatření k zajištění
zabezpečení údajů
Popis technických a organizačních bezpečnostních opatření zavedených zpracovatelem (zpracovateli)
(včetně příslušných osvědčení) k zajištění odpovídající úrovně zabezpečení s přihlédnutíl11 k povaze,
rozsahu, kontextu a účelu zpracování, jakož i k rizikům pro práva a svobody fyzických osob.
· Opatření pro certifikaci l zabezpečení procesů a produktů
> Zpracovatel je certifikován dle mezinárodně platného standardu pro systémy řízení bezpečnosti
inforinací (ISMS) dle technické noriny ČSN EN ISO/IEC 27001. Tato norina je součástí sady
technických norem ČSN EN ISO/IEC 27000, do které patří také norina ČSN EN ISO/IEC
27002 Illforlnační bezpečnost, kybernetická bezpečnost a ochrana soukroiní - Opatření
illforlnační bezpečnosti.
> Zpracovatel poskytuje uživatelům Softwaru komplexní illforl11ace o určeném účelu a řádném
použití Softwaru a o jakýchkoliv opatřeních, jež mají být při používání Softwaru přijata
prostřednictvím návodu k použití a návodu k instalaci.
· Opatření pro pseudonymizaci, šifrování osobních údajů a na ochranu údajů během jejich
přenosu
> Pro spárování textového i grafického výstupu ze Softwaru s konkrétní osobou pacienta na straně
správce bude Software používat výlučně unikátní bezvýznainový identifikátor 0020,000D Study
Instance UID.
> Koinunikace mezi zdravotnickýini prostředky pro elektronické zpracování, archivaci
a distribuci obrazových dat (PACS) a Softwarem probíhá výhradně pomocí DICOMweb služby
APl a šifrovaného https protokolu.
· Opatření zajišt'ující neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb
zpracování a opatření zajišt'ující schopnost obnovit včas dostupnost osobních údajů a přístup
k nim v případě fyzických či technických incidentů,
> Software je vzdáleně inonitorován a servisován zpracovatelem za podmínek dle Smlouvy.
> Zpracovatel zavedl procesy pravidelného testování, posuzování a hodnocení účinnosti
zavedených technických a organizačních opatření k zajištění zabezpečení zpracování.
> Zpracovatel zavedl opatření na ochranu údajů během jejich uchovávání a zajištění fyzické
bezpečnosti míst, kde jsou zpracovávány osobní údaje, jakož i opatření zajišt'ující
zazllalnenávání událostí při provozu Software (logování).
· Opatření pro identifikaci uživatelů, poskytování uživatelských oprávnění a odpovědnost
> Správce identifikuje jednotlivé uživatele (lékaře) a poskytne jejich seznam zpracovateli
a poskytovateli PACS.
> Přístup k archívu slwol11ud'lljícíl11ll predikční inforinace Softwaru je umožněn pouze
zaškolenéinu personálu správce s požadovanou způsobilostí, a to zejména (nikoli výlučně)
radiologům, plleulnologůln a po proškolení také i jiných lékařských specializací.
REV2 15.06.2024
> Software využívá jednofázové ověření pomocí vystavených přihlašovacích údajů (tzv. basic
access authentication). Tyto údaje jsou dostupné lokálníinu správci PACS, popřípadě
pracovníkůin úseku inforl11atiky správce.
> Přístupové údaje vydané zpracovatelem sestávají z uživatelského jména a hesla, které je vždy
rovno nebo delší než 32 znaků. Přístup je udělen pomocí uživatelského profilu na úrovni
propojeného PACS.
> Před použitím Softwaru se uživatel musí pozorně seznámit s obsahem návodu k použití. Školení
uživatelů provede zpracovatel po ilnplel11entaci Softwaru a poté při každé vydané verzi se
změnou prvního čísla formátu verzování (tzn. MAJOR update).
· Opatření zajišt'ující konfiguraci systému, včetně výchozí konfigurace, opatření pro vnitřní
správu a řízení IT a bezpečnosti IT
> Podmíiiky instalace, údržby, včetně výchozí konfigurace a systémové požadavky Softwaru
stanoví návod k instalaci Softwaru.
> Software je určen k použití výhradně se schválenýini zdravotnickými prostředky pro
elektronické zpracování, archivaci a distribuci obrazových dat (PACS).
> Zpracovatel zavedl opatření pro vnitřní správu a řízení IT a bezpečnosti IT.
· Opatření zajišt'ující minimalizaci a kvalitu údajů
> Obrazová dokumentace určená pro analýzu v rámci Softwaru bude přenášena prostřednictvím
PACS ve standardizovaném formátu DICOM. Správce zajistí ve spolupráci s poskytovatelem
PACS, aby všechny atributy uinožňující přímou identifikaci konkrétní osoby pacienta byly
v souladu s doporučením DICOM PS3.15 2023C, kapitola E - Attribute Confidentiality Profiles
(Normative) nastaveny v rámci PACS připojeného k Softwaru jako prázdné nebo na hodnotu
,,Null".
> Pro spárování textového i grafického výstupu ze Softwaru s konkrétní osobou pacienta na straně
správce bude Software používat výlučně unikátní bezvýznamový identifikátor 0020,000D Study
Instance UID.
REV2 15.06.2024
PŘÍLOHA IV
Seznam dílčích zpracovatelů
Správce povolil využití těchto dílčích zpracovatelů:
Microsoft Ireland Operations Limited
Oné Microsoft Place, South Comty Business Park, Leopardstown, Dublin 18, Irsko
Popis zpracování: Dílčí zpracovatel bude zpracovat osobní údaje pouze v rámci poskytování
cloudové služby Microsoft Azure, kterou využívá Software
REV2 15.06.2024