Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SMLOUVA O DÍLO
Implementace GDPR pro nemocnice Zlínského kraje
uzavřená na základě ust. § 2586 a násl. a § 2358 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)
Smluvní strany
Objednatel:
Krajská nemocnice T. Bati, a. s.
se sídlem: Zlín, Havlíčkovo nábřeží 600, PSČ 762 75 IČO: 276 61 989, DIČ: CZ27661989
zapsána v obchodním rejstříku u Krajského soudu v Brně oddíl B., vložka 4437
zastupující MUDr. Radomír Maráček, předseda představenstva a Mgr. Lucie Štěpánková, MBA,
členka představenstva, MBA
(dále jen „objednatel č. 1“)
a
Uherskohradišťská nemocnice a.s.
J. E. Purkyně 365, 686 68 Uherské Hradiště IČO: 276 60 915, DIČ: CZ27660915
zapsána v obchodním rejstříku u Krajského soudu v Brně oddíl B., vložka 4420
zastupující MUDr. Radomír Maráček, předseda představenstva a MUDr. Petr Sládek, místopředseda
představenstva
(dále jen „objednatel č. 2“)
a
Kroměřížská nemocnice a.s.
sídlo: Havlíčkova 660/69, 767 01 Kroměříž IČO: 276 60 532, DIČ: 27660532
zapsána v obchodním rejstříku vedeném u Krajského soudu v Brně oddíl B, vložka 4416 zastupující MUDr. Radomír Maráček, předseda představenstva a MUDr. Lenka Mergenthalová, MBA, místopředseda představenstva (dále jen „objednatel č. 3“)
a
Vsetínská nemocnice a.s.
sídlo: Nemocniční 955, 755 01 Vsetín IČO: 268 71 068, DIČ CZ26871068
zapsána v obchodním rejstříku u Krajského soudu v Ostravě, oddíl B., vložka 2946 zastupující MUDr. Radomír Maráček, předseda představenstva a Ing. Věra Prousková, MBA, místopředseda představenstva (dále jen „objednatel č. 4“)
na straně jedné
dále společně jen „objednatel“
Název:
Adresa sídla:
IČ:
DIČ:
Zapsaný v OR: Zastoupený: Bankovní spojení:
AEC a.s.
Purkyňova 2845/101, Královo Pole, 612 00 Brno
26236176
CZ26236176
vedeným u Krajského soudu v Brně, spisová značka B 7337
Ing. Tomáš Strýček - statutární ředitel
4762719001/2700
(dále jen „Zhotovitel“)
Článek 1 Předmět Smlouvy
1. Zhotovitel se touto Smlouvou zavazuje provést pro objednatele dílo, kterým je implementace pravidel GDPR.
2. GDPR se rozumí Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, obecného nařízení o ochraně osobních údajů, v anglickém jazyce General Data Protection Regulation.
3. Rozsah a podrobná specifikace díla je obsažena v Příloze č. 1, která tvoří nedílnou součást této Smlouvy.
4. Součástí předmětu Smlouvy jsou i práce v tomto článku Smlouvy a Příloze č. 1 výslovně nespecifikované, které však jsou k řádnému provedení díla nezbytné a o kterých Zhotovitel vzhledem ke své kvalifikaci a zkušenostem měl nebo mohl vědět. Provedení těchto prací však v žádném případě nezvyšuje touto Smlouvou sjednanou celkovou ani dílčí cenu díla.
Článek 2
Místo a termín provedení a předání díla
1. Zhotovitel se zavazuje, že zhotoví a předá objednateli dílo v termínech stanovených v příloze č. 2 této smlouvy (harmonogramu).
2. Zhotovitel započne s plněním ihned po uveřejnění smlouvy v registru smluv.
3. Činnosti budou Zhotovitelem prováděny zvlášť pro jednotlivé objednatele.
4. Místem provedení a předání díla jsou sídla jednotlivých objednatelů. Konzultace, workshopy a další schůzky týkající se plnění se budou uskutečňovat v sídle jednotlivých objednatelů, nedohodnou-li se smluvní strany jinak.
Článek 3 Předání a převzetí díla
1. Základní podmínkou pro řádné předání díla Zhotovitelem a převzetí tohoto díla jednotlivým objednatelem je ukončení připomínkového řízení, které zahrnuje porovnání skutečných vlastností díla se specifikací díla uvedenou v Příloze č. 1 této Smlouvy.
2. Výstupy z jednotlivých etap (dílčí plnění) budou předávány objednatelům samostatně v souladu s harmonogramem realizace uvedeným v Příloze č. 2 této Smlouvy.
3. Veškeré dokumenty (výstupy), které jsou vypracovány Zhotovitelem na základě této Smlouvy a které se poskytují jednotlivému objednateli jako součást díla, budou nejdříve předloženy
jednotlivým objednatelům ve formě návrhu k připomínkování a to nejpozději 10 pracovních dnů před předáním díla. Jednotlivý objednatel si může kdykoliv během provádění díla vyžádat předání rozpracovaných dokumentů a vznášet k nim připomínky.
4. Jednotlivý objednatel je oprávněn ve lhůtě sedmi (7) pracovních dnů od doručení příslušného návrhu předložit Zhotoviteli své připomínky k tomuto návrhu. Po diskusi o těchto připomínkách upraví Zhotovitel příslušný návrh v souladu s dohodnutými změnami v konečné verzi těchto dokumentů a předá příslušnému objednateli ke kontrole. Připomínkové řízení probíhá elektronickou cestou, pokud není dohodnuto jinak.
5. Pokud nebudou při přejímacím řízení zjištěny vady ani nedodělky, je jednotlivý objednatel povinen takto řádně provedené dílo převzít.
6. Dílo, které má vady nebo nedodělky, které nebrání jeho užívání, jednotlivý objednatel převezme
a o vadách a nedodělcích se v předávacím protokolu učiní záznam s uvedením náhradní lhůty k jejich odstranění. V tomto případě se má za to, že dílo bylo dokončeno řádně a včas a smluvní sankce za prodlení s dokončením díla se neuplatní; v případě prodlení s odstraněním vad a nedodělků v náhradní lhůtě se však uplatní smluvní sankce za prodlení s odstraněním vad
a nedodělků od marného uplynutí náhradní lhůty. V případě pochybností, zda vady nebo
nedodělky zprovoznění a užívání díla brání, nebo nebrání, se má za to, že zprovoznění a užívání brání. Po odstranění vad a nedodělků dle tohoto odstavce vyzve zhotovitel příslušného objednatele ke kontrole jejich odstranění. O kontrole se pořídí protokol. Pokud nebudou vady a nedodělky ve stanovené lhůtě odstraněny, je příslušný objednatel oprávněn odstranit je sám nebo prostřednictvím třetí osoby za cenu v místě a čase obvyklou, k čemuž je zhotovitel povinen poskytnout součinnost; náklady příslušného objednatele na takové odstranění vad nebo nedodělků, pokud přesáhnou výši zádržného, jsou považovány za škodu, kterou je zhotovitel povinen příslušnému objednateli nahradit.
7. Dílo, které má vady nebo nedodělky, které brání užívání díla, není dokončeno. Pokud se při přejímacím řízení prokáže, že dílo není dokončeno, příslušný objednatel je nepřevezme a stanoví zhotoviteli náhradní lhůtu kjeho dokončení. Zhotovitel je povinen dílo dokončit v náhradní lhůtě takto stanovené. Stanovení náhradní lhůty nemá vliv na smluvní sankce, které se stále počítají od termínu plnění určeného smlouvou.
8. Nedojde-li k předání a převzetí díla, sepíší o tom strany zápis, v němž uvedou svá stanoviska.
Zhotovitel není v prodlení, jestliže jednotlivý objednatel odmítl bezdůvodně převzít řádně zhotovené dílo.
9. Při převzetí díla v souladu s tímto článkem se objednatelé i Zhotovitel zavazují podepsat
Předávací protokol, tj. potvrzení o předání a přijetí (převzetí) díla. Předávací protokol vyhotoví Zhotovitel. Za příslušného objednatele protokol podepisuje Oprávněná osoba Pro provádění díla dle přílohy č. 3.
Článek 4
Cena za dílo a platební podmínky
1. Celková cena za dílo je sjednaná dohodou smluvních stran a činí: cena bez DPH (Kč): 1 598 000,-
sazba DPH (%): 21
výše DPH (Kč): 335 580,-
celková cena za dílo včetně DPH (Kč): 1 933 580,- slovy: jedenmiliondevětsettřicettřitisícpětsetosmdesát korun českých
2. Cena za jednotlivá dílčí plnění a celková cena za dílo celkem je dohodnuta takto:
Cena v Kč bez DPH
DPH 21 %
v Kč
Cena v Kč včetně DPH
Etapa 1 - Analýza
(revize)stávajícího stavu zpracování a ochrany osobních údajů
objednatel 1
258 600,-
54 306,-
312 906,-
objednatel 2
187 100,-
39 291 ,-
226 391,-
objednatel 3
100 000,-
21 000,-
121 000,-
objednatel 4
95 900,-
20 139,-
116 039,-
Etapa 2 - Příprava organizace na splnění povinností podle GDPR
objednatel 1
437 000,-
91 770,-
528 770,-
objednatel 2
250 000,-
52 500,-
302 500,-
objednatel 3
144 400,-
30 324,-
174 724,-
objednatel 4
125 000,-
26 250,-
151 250,-
Celková cena za dílo celkem
1 598 000,-
335 580,-
1 933 580,-
3. Cena za dílo celkem je sjednána jako cena nejvýše přípustná. Sjednaná cena zahrnuje veškeré náklady a zisk Zhotovitele nezbytné k řádnému a včasnému provedení díla.
4. Objednatelé č. 1 až 4 se zavazují cenu za provedení díla (Etapa 1 až 2) zaplatit vždy po dokončení jednotlivé etapy.
5. Podkladem pro úhradu ceny za příslušnou etapu je podepsaný předávací protokol příslušným objednatelem a faktury vystavené Zhotovitelem vždy zvlášť pro jednotlivé objednatele č. 1 až 4.
6. Splatnost faktur činí třicet (30) dní ode dne jejich prokazatelného doručení smluvní straně povinné platit. Faktury se platí bankovním převodem na účet druhé smluvní strany uvedený ve faktuře. Faktura se považuje za uhrazenou dnem, kdy je příslušná finanční částka odepsána z účtu příslušného objednatele ve prospěch účtu Zhotovitele.
7. Sjednává se zádržné ve výši 20% fakturované částky pro případ převzetí díla s vadami a nedodělky, které nebrání užívání díla. Zádržné bude příslušným objednatelem uvolněno do třiceti (30) dní ode dne pořízení protokolu o odstranění takových vad a nedodělků. To neplatí, pokud příslušný objednatel použije zádržné v souladu s touto smlouvou.
8. Daňový doklad musí obsahovat zejména náležitosti stanovené zák. 563/1991 Sb., o účetnictví a zák. č. 235/2004 Sb. o dani z přidané hodnoty. Přílohou daňového dokladu musí být kopie oboustranně podepsaného protokolu o předání a převzetí díla příslušným objednatelem. Pokud tato podmínka není splněna, není příslušný objednatel povinen zaplatit cenu až do doby, kdy bude tato podmínka splněna.
9. Zhotovitel je na každé faktuře povinen výslovně uvést, zda je, či není plátcem DPH. V případě, že je Zhotovitel plátcem DPH, pak součástí faktury musí být prohlášení Zhotovitele o tom, že:
nemá v úmyslu nezaplatit daň z přidané hoanoiy u zdanitelného plněni podle této smlouvy (dále jen „daň“),
mu nejsou známy skutečnosti, nasvědčující tomu, že se dostane do postavení, kdy nemůže daň zaplatit a ani se ke dni podpisu této smlouvy v takovém postavení nenachází, nezkrátí daň nebo nevyláká daňovou výhodu úplata za plnění dle smlouvy není odchylná od obvyklé ceny, úplata za plnění dle smlouvy nebude poskytnuta zcela nebo zčásti bezhotovostním převodem na účet vedený poskytovatelem platebních služeb mimo tuzemsko, nebude nespolehlivým plátcem,
bude mít u správce daně registrován bankovní účet používaný pro ekonomickou činnost, souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty na plnění, bude o Zhotoviteli zveřejněna správcem daně skutečnost, že Zhotovitel je nespolehlivým plátcem, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně,
souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty na plnění bude zjištěna nesrovnalost v registraci bankovního účtu Zhotovitele určeného pro ekonomickou činnost správcem daně, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně.
10. Objednatel je oprávněn vrátit Zhotoviteli daňový doklad do 5 dnů od jeho obdržení v případě, jestliže tento neobsahuje stanovené náležitosti nebo obsahuje nesprávné údaje. V dané souvislosti je povinen zároveň uvést důvody, pro které vrací daňový doklad k opravě nebo doplnění. Dnem vrácení daňového dokladu se staví běh lhůty jeho splatnosti. Nová lhůta splatnosti počíná běžet dnem, kdy je opravený daňový doklad doručen příslušnému objednateli.
11. V případě změny sazby DPH v průběhu plnění bude uzavřen mezi smluvními stranami dodatek ke Smlouvě.
Článek 5 Sankce
1. V případě prodlení Zhotovitele s předáním díla, nebo odstraněním vad, je příslušný objednatel
oprávněn účtovat Zhotoviteli smluvní pokutu za každý i započatý kalendářní den prodlení ve výši 1500,- Kč.
2. V případě prodlení příslušného objednatele se zaplacením peněžité částky je Zhotovitel
oprávněn účtovat tomuto příslušnému objednateli úrok z prodlení dle obecně závazného právního předpisu.
3. V případě porušení pravidel ochrany informací dle článku 9, zaplatí příslušný objednatel nebo
Zhotovitel, který povinnost porušil, příslušnému objednateli nebo Zhotoviteli smluvní pokutu ve výši 50 000,- Kč za každý případ porušení.
4. Uhrazením smluvní pokuty není nijak krácen nárok poškozené strany na náhradu škody.
5. Smluvní pokuty budou uplatňovat odděleně jednotliví objednatelé č. 1 až 4 v případě, dojde-li k porušení povinnosti Zhotovitele u plnění poskytovanému dotčenému objednateli. Rovněž Zhotovitel je oprávněn uplatňovat nároky ze sankcí pouze u příslušného objednatele, který porušil svou povinnost.
Článek 6 Užívání díla
1. K části plnění Zhotovitele splňujícího znaky autorského díla ve smyslu zákona č. 121/2000 Sb., autorský zákon, ve znění pozdějších předpisů, poskytuje Zhotovitel objednateli nevýhradní a neomezenou licenci ke všem způsobům užití díla, přičemž objednatel je dále oprávněn poskytnout oprávnění tvořící součást licence (zejména za účelem aktualizace díla nebo zpracování rozvojových a strategických projektů) zcela nebo z části třetí osobě, s čímž Zhotovitel tímto uděluje výslovný souhlas.
2. Zhotovitel touto smlouvou umožňuje objednateli zveřejnění díla, jeho úpravy, zpracování včetně překladu, spojení s jiným dílem, zařazení do díla souborného.
3. Vzhledem k sjednané ceně díla se shora uvedená oprávnění poskytují objednateli bezúplatně.
4. Zhotovitel si své právní poměry s třetími osobami uspořádá tak, aby dostál závazkům podle této smlouvy.
Článek 7 Oprávněné osoby
1. Každá ze smluvních stran jmenuje oprávněnou osobu či oprávněné osoby. Oprávněné osoby budou zastupovat smluvní stranu při aplikaci této Smlouvy.
2. Jména oprávněných osob jsou uvedena v Příloze č. 3 této Smlouvy. Smluvní strany jsou
oprávněny změnit oprávněné osoby, jsou však povinny na takovou změnu druhou smluvní stranu písemně upozornit.
Článek 8 Obchodní podmínky
1. Zhotovitel prohlašuje, že má uzavřenu pojistnou smlouvu, jejímž předmětem je pojištěni
odpovědnosti za škodu způsobenou při výkonu jeho podnikatelské činnosti na pojistnou částku min. 1 000 000,- Kč, se spoluúčastí maximálně 10 %.
Článek 9 Ochrana informací
1. Smluvní strany jsou povinny zajistit utajení získaných důvěrných informací způsobem obvyklým pro utajování takových informací, není-li výslovně sjednáno jinak. Tato povinnost platí bez ohledu na ukončení účinnosti této Smlouvy. Strany mají právo požadovat navzájem doložení dostatečnosti utajení důvěrných informací. Strany jsou povinny zajistit utajení důvěrných informací i u svých zaměstnanců, zástupců, jakož i jiných spolupracujících třetích stran, pokud jim takové informace byly poskytnuty.
2. Právo užívat, poskytovat a zpřístupnit důvěrné informace mají smluvní strany pouze v rozsahu a
za podmínek nezbytných pro řádné plnění práv a povinností vyplývajících z této Smlouvy.
3. Za důvěrné informace se bez ohledu na formu jejich získání považují veškeré informace, které se týkají obsahu, struktury a zabezpečení informačních systémů objednatele a informace pro nakládání, s nimiž je stanoven právními předpisy zvláštní režim utajení (zejména hospodářské tajemství, státní tajemství, bankovní tajemství, služební tajemství). Dále se považují za důvěrné informace takové informace, které jsou jako důvěrné výslovně některou ze stran označeny.
4. Za důvěrné informace se v žádném případě nepovažují informace, které se staly veřejně přístupnými, pokud se tak nestalo porušením povinnosti jejich ochrany, dále informace získané na základě postupu nezávislého na této Smlouvě nebo druhé straně, pokud je strana, která informace získala, schopna tuto skutečnost doložit, a konečně informace poskytnuté třetí osobou, která takové informace nezískala porušením povinnosti jejich ochrany.
5. Zhotovitel je oprávněn užít informaci o existenci smluvního vztahu mezi účastníky této Smlouvy pro účely svého marketingu a reklamy. Ustanovení této Smlouvy o ochraně důvěrných informací tím není dotčeno
6. Zhotovitel se zavazuje dodržovat pravidla ochrany osobních údajů. Zhotovitel odpovídá za všechna převzatá data (elektronická a tištěná), způsob jejich použití a ochranu před neoprávněným přístupem a zneužitím. Zhotoviteli je přísně zakázáno vykonávat jiné než dohodnuté činnosti, přistupovat k jiným než povoleným prostředkům, serverům a datům nebo provádět jakékoli úkony směřující k zjišťování rozsahu přidělených oprávnění, dostupnosti jiných síťových prostředků a služeb a způsobech zabezpečení.
Článek 10 Součinnost a vzájemná komunikace
1. Zhotovitel je při provádění díla povinen dodržovat pokyny objednatele.
2. Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré informace potřebné pro řádné plnění svých závazků. Smluvní strany jsou povinny informovat druhou smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této Smlouvy.
3. Smluvní strany jsou povinny plnit své závazky vyplývající z této Smlouvy tak, aby nedocházelo k prodlení s plněním jednotlivých termínů a s prodlením splatnosti jednotlivých peněžních závazků.
4. Jednotlivý objednatel se zavazuje zajistit potřebnou součinnost a to v rozsahu přiměřeném povaze díla. Jednotlivý objednatel souhlasí, že časové prodlení způsobené z jeho strany nebude důvodem pro uplatnění žádných sankcí za nedodržení termínu plnění Smlouvy ze strany Zhotovitele. Termín plnění se v takovém případě prodlouží o čas způsobený prodlením na straně příslušného objednatele.
5. Veškerá komunikace mezi smluvními stranami bude probíhat prostřednictvím Oprávněných osob, statutárních orgánů smluvních stran, popř. jimi pověřených pracovníků. Pokud Oprávněné osoby Pro provádění díla nedosáhnou shody ohledně řešení problému při plnění této smlouvy, postoupí se problém k řešení Oprávněným osobám Pro obchodní jednání. Pokud ani Oprávněné osoby Pro obchodní jednání nedosáhnou shody ohledně řešení takového problému, postoupí se problém k řešení na úroveň vyššího managementu smluvních stran.
Článek 11
Vyšší moc, platnost a účinnost Smlouvy
1. Za vyšší moc se považují nepředvídané okolnosti či události, proti kterým Zhotovitel ani
objednatel nemohli učinit rozumná opatření, a to na příklad v případě stávky, výluky, blokády
nebo přírodních katastrof a tyto zabraňují nebo zdržují plnění podmínek této Smlouvy.
2. Závazky vzniklé před událostí z vyšší moci nebudou událostmi z vyšší moci prominuty.
3. Zhotovitel podnikne přiměřené kroky na omezení či minimalizování důsledků jakékoli události
z vyšší moci a předloží objednateli plán vypořádání se s takovými důsledky.
4. Tato Smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem zveřejnění v centrálním registru smluv.
5. Objednatel je oprávněn odstoupit od Smlouvy v případě, že Zhotovitel je v prodlení s dodáním díla déle než třicet (30) dnů.
6. Objednatel je také oprávněn odstoupit od Smlouvy v případě, že Zhotovitel provádí dílo způsobem, který vede nepochybně k vadnému plnění.
7. Zhotovitel je oprávněn odstoupit od Smlouvy v rozsahu plnění příslušnému objednateli v případě, že takový příslušný objednatel je v prodlení s placením faktur Zhotovitele a toto prodlení trvá po dobu delší než patnáct (15) dní po písemném upozornění a dále je oprávněn odstoupit od Smlouvy v případě, že příslušný objednatel je v prodlení s plněním jiných svých
závazků podle této Smlouvy déle než třicet (30) dní a nezjedná nápravu ani do patnácti (15) dnů od doručení písemného oznámení Zhotovitele o takovém prodlení.
Článek 12 Závěrečná ustanovení
1. Tato Smlouva představuje úplnou dohodu smluvních stran o předmětu této Smlouvy. Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků této Smlouvy, podepsaných oprávněnými zástupci příslušných smluvních stran.
2. Smluvní strany se zavazují, že vzniklé spory budou řešit přednostně smírčí cestou, jednáním zástupců smluvních stran a v souladu s platnými právními předpisy České republiky.
3. Zhotovitel má právo uvádět toto dílo a objednatele jako jednu ze svých referencí.
4. Závazkový vztah založený touto Smlouvou se řídí občanským zákoníkem a autorským
zákonem.
5. Na uzavřenou smlouvu se vztahuje povinnost uveřejnění prostřednictvím registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv). Smluvní strany sjednávají, že správci registru smluv zašle tuto smlouvu k uveřejnění objednatel č. 1. Smlouva nabývá platnosti ke dní podpisu poslední smluvní strany a účinnosti k datu zveřejnění smlouvy v registru smluv dle zákona č. 340/2015 Sb., o registru smluv.
6. Nedílnou součást Smlouvy tvoří tyto přílohy:
Příloha č. 1 Specifikace díla
Příloha č. 2 Harmonogram realizace
Příloha č. 3 Oprávněné osoby
7. Smluvní strany prohlašují, že žádná část smlouvy nenaplňuje znaky obchodního tajemství dle
§ 504 zákona č, 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
8. Tato Smlouva je sepsána v pěti vyhotoveních, z nichž každá strana obdrží jedno. Smlouva nabývá platnosti dnem, kdy bude podepsána oběma stranami a účinnosti dnem, kdy bude zveřejněná v registru smluv.
……………………………………………
Za Zhotovitele Ing. Tomáš Strýček Statutární ředitel
Ve Zlíně 1. 2. 2018
………………………..
Za objednatele č. 1
……………………….
Za objednatele č. 2
………………………
Za objednatele č. 3
……………………..
Za objednatele č. 4
V Brně dne 9. 1.2018
Příloha č. 1
Specifikace díla
Etapa 1 - Analýza (revize)stávajícího stavu zpracování a ochrany osobních údajů
Etapa bude realizována studiem dostupné dokumentace a formou pohovorů s určenými zástupci nemocnice pro každý úsek, specializované centrum, oddělení a další případné organizační celky.
V rámci těchto pohovorů budou zjišťovány i prostředky, kterými jsou údaje zpracovávány, a to zejména jednotlivé moduly NIS, systémy PACS, ekonomické, provozní a administrativní systémy (pokud nejsou moduly NIS), IS lékárny a dalších, které budou identifikovány v rámci pohovorů.
Současně bude vyhodnocen způsob sběru a předávání údajů v centrálních registrech (IS).
Pohovory budou provedeny s cílem zjistit aktuální stav zpracování. Výstupem bude dokument, který bude zahrnovat zejména následující informace:
1) Zjištění a vyhodnocení rozsahu a potřebnosti zpracování osobních údajů u jednotlivých organizačních prvků. V rámci tohoto kroku bude (budou):
a. Identifikované osobní údaje a zvláštní kategorie osobních údajů ve smyslu terminologie a požadavků GDPR (pozn.: citlivé údaje dle stávajícího zákona o ochraně osobních údajů), a popsané jejich životní cykly tzn. způsob sběru, zpracování, uchovávání, případné předávání třetí straně a jejich výmaz po vypršení platnosti právního titulu zpracování,
b. definovány jednotlivé účely zpracování osobních údajů včetně účelů zpracování vycházejících z logiky GDPR (takovými účely mohou být zejména údaje umožňující nepřímou identifikaci subjektu údajů, typicky např. zpracování lokalizačních údajů, IP adres, RFID a řada dalších),
c. pro každý účel zpracování budou identifikovány veškeré kategorie zpracovávaných údajů,
d. posouzen rozsah a nezbytnost (zákonnost) zpracovávaných typů osobních údajů pro jednotlivé účely,
e. stanoveny právní tituly zpracování osobních údajů pro jednotlivé účely (tj. jejich zákonnost),
f. identifikovány osobní údaje předávané jiným správců nebo do jiných států (pokud jsou předávány) a právní titul k jejich předání.
2) Pro každý v bodě 1) identifikovaný účel zpracování budou stanoveny způsoby a prostředky, kterými jsou údaje zpracovávány a kterými jsou minimálně následující:
a. listinná podoba vedená v evidencích, kartotékách atd.,
b. NIS a jeho konkrétní moduly,
c. IS PACS,
d. ekonomické, provozní, administrativní, stravovací, docházkové, monitorovací a kamerové a další IS,
e. IS lékárny,
f. lokální databáze a soubory obsahující osobní údaje a zvláštní kategorie údajů.
3) Pro každý účel bude v součinnosti s objednatelem ověřena doba uchování údajů.
4) Pro každý účel bude identifikován rozsah fyzického a logického přístupu k údajům, způsob, závaznost a prokazatelnost řízení přístupu.
5) Způsob a rozsah informovanosti a poučení, klienta, pacienta, zaměstnance atd. (subjektu údajů).
6) Kým jsou údaje zpracovávány:
· správcem (zaměstnancem),
· zpracovatelem,
7) Jaký mají přístup k údajům dodavatelé a provozovatelé IS, evidence a kontrola řízení přístupu, audity logů, kontrolní činnost atd.
Na základě zjištění bude ověřeno následující:
1) Posouzení prokazatelnosti souhlasů se zpracováním v případech, kdy zpracování osobních údajů podléhá souhlasu subjektu údajů a současně posouzení plnění informační povinnosti.
2) Posouzení smluvních vztahů s dodavateli služeb, kteří jsou zpracovateli ve smyslu zákona o ochraně osobních údajů. V rámci tohoto kroku bude provedena/provedeno:
a. identifikace zpracovatelů,
b. posouzení smluvních garancí zpracovatele k zajištění stanovené úrovně ochrany zpracování osobních údajů na základě smlouvy se správcem,
c. doplnění potřebných ustanovení dle GDPR,
d. identifikace případného řetězení zpracovatelů.
3) Posouzení rozsahu, efektivity a úrovně přijatých technických a organizačních opatření při zpracování osobních údajů s cílem vyhodnotit úroveň zajištění jejich důvěrnosti, integrity a dostupnosti. V rámci tohoto kroku budou ověřeny:
a. prokazatelnost a úroveň provedení analýzy rizik s cílem vyhodnotit a posoudit:
i. relevantnost identifikovaných rizik,
ii. závažnost rizik z pohledu jejich dopadů a pravděpodobnosti výskytu,
iii. která explicitně definovaná opatření v GDPR jsou relevantní pro eliminaci identifikovaných rizik (pseudonymizace, šifrování, minimalizace, obnova atd.),
iv. zda stávající technická a organizační opatření v oblasti počítačové, fyzické, personální, administrativní bezpečnosti jsou vzhledem k závažnosti rizik dostatečná,
b. úroveň a rozsah realizace politiky uchování a mazání/likvidace dat, zpracovávaných automatizovaně i v listinné podobě.
4) Posouzení rozsahu a úrovně zpracované bezpečnostní dokumentace k ochraně osobních údajů platné pro listinné i automatizované zpracování osobních údajů.
Cílem je ověřit, zda jsou zdokumentovaná pravidla dostatečná pro prokázání zajištění prokazatelnosti záměrné a nezbytné ochrany zpracovávaných osobních údajů.
5) Posouzení dostatečnosti, úrovně a rozsahu kontrolní činnosti směrem k zaměstnancům správce, zpracovatelům a dodavatelům.
Cílem je ověřit zdokumentovaná pravidla pro kontrolní činnost při zpracování a ochraně osobních údajů, a to zejména v oblastech:
a. pravidla pro řešení chybných přístupů k aplikacím obsahující osobní údaje,
b. pravidla pro kontrolu auditních záznamů v IS zpracovávajících osobní údaje,
c. pravidla pro kontrolu systému technickoorganizačních opatření k zabezpečení osobních údajů atd.
6) Posouzení souladu s GDPR:
a. revize všech procesů souvisejících se zpracováním osobních údajů a zvláštní kategorie údajů,
b. návrh optimálního řešení role pověřence pro ochranu osobních údajů (DPO),
c. návrh úprav smluvních vztahů se zpracovateli a dodavateli služeb, v rámci kterých jsou zpracovávány osobní údaje (pokud bude analýzou zjištěno, že stávající smluvní vztahy nesplňují požadavky GDPR),
d. návrh úprav řešení kontrolní činnosti (pokud bude analýzou zjištěno, že stávající způsob a rozsah kontrolní činnosti nepokrývá požadavky GDPR),
e. návrh úprav procesů při uplatnění práva subjektu údajů na přístup k jeho údajům (pokud bude analýzou zjištěno, že stávající způsob plnění této povinnosti není v souladu s požadavky GDPR).
Etapa 2 - Příprava organizace na splnění povinností podle GDPR
Veškeré činnosti prováděné v této etapě budou vycházet a navazovat na závěry a zjištění, získané a vyhodnocené v předcházející etapě.
Na základě dosavadních zkušeností uchazeče, lze předpokládat, že se bude jednat o minimálně následující:
1) Bude nutná aktualizace analýzy rizik v souladu s požadavky GDPR, která bude zahrnovat navíc od běžně prováděných analýz rizik v rozsahu požadavků standardů řady ISO/IEC 2700X, které hodnotí rizika zpracovávaných informací z pohledu požadavků na jejich
důvěrnost, integritu a dostupnost, i rizika, která vyplynou z hodnocení a zohlednění povahy a
kontextu jednotlivých účelů zpracování a kterými jsou zejména:
a. účely zpracování a typy osobních údajů, které jsou v rámci účelu zpracovávány,
b. objem (množství) zpracovávání osobních údajů,
c. rizika jednotlivých zpracování pro práva subjektů,
d. neoprávněné shromažďování osobních údajů,
e. nepřiměřená doba uchování a řada dalších, které budou identifikovány v rámci
1. etapy pro každý účel samostatně.
2) Vytvoření koncepce/politiky zpracování a ochrany osobních údajů, která umožní prokázat naplnění základních principů GDPR, kterými jsou:
a. zákonnost zpracování osobních údajů,
b. záměrná a standardní ochrana osobních údajů,
c. minimalizace zpracovávaných osobních údajů,
d. korektnost a transparentnost při zpracování osobních údajů,
e. odpovídající důvěrnost, integritu a dostupnost a eliminaci dalších rizik vyplývajících z povahy a kontextu zpracování osobních údajů,
f. odpovědnost správce osobních údajů.
3) Rozpracování koncepce/politiky ochrany osobních údajů do vnitřních předpisů a metodických pokynů organizace (správce). V rámci implementace povinností správce podle GDPR budou stanoveny a popsány jednotlivé procesy v rozsahu:
a. Proces ohlašování narušení bezpečnosti osobních údajů se zohledněním:
i. povahy incidentu,
¡¡. stupně rizika pro dotčené subjekty údajů (bez rizika, nízké riziko, vysoké riziko),
iii. přijatými opatřeními.
b. Rozhodovací proces k případnému uplatnění práv na přenositelnost, opravu, přístup, na výmaz a na podání námitky.
c. Rozhodovací proces pro realizaci posouzení vlivu na ochranu osobních údajů, včetně zpracování metodiky pro případné posouzení vlivu.
d. Zpracování metodiky a postupu pro případ odvolání souhlasu subjektem údajů.
e. Zpracování metodiky a postupu pro realizaci ochrany „by design“.
f. Zpracování metodiky a postupu pro realizaci ochrany „by default“.
g. Procesy k zajištění pravidelného testování a vyhodnocování účinnosti přijatých technických a
organizačních opatření.
4) Zpracování:
a. katalogu/manuálu činností pověřence pro ochranu osobních údajů,
b. záznamů o činnostech zpracování pro identifikované účely zpracování v rozsahu stanoveném GDPR.
5) Zpracování souboru technických a organizačních opatření nutných pro zajištění souladu s GDPR, formou návrhu vnitřních předpisů.
6) Návrh úprav v provozovaném NIS, jeho modulech a případně v dalších IS, v rámci kterých
bylo v 1 etapě identifikováno zpracování osobních nebo zvláštních kategorií údajů. Úpravy
budou směřovány zejména k:
a. eliminaci identifikovaných rizik,
b. řízení přístupu,
c. možnosti uplatnění práv subjektu údajů,
d. zajištění přiměřené a účelu odpovídající doby uchování údajů,
e. možnosti řízeného a bezpečného výmazu údajů,
f. možnosti omezení zpracování údajů v případě podání námitky,
g. kontrole dodavatelů služeb IT, u nichž nelze vyloučit možný přístup k údajům a řada dalších opatření, která vyplynou z předcházející etapy.
7) Posouzení vlivu na ochranu osobních údajů v případech, kdy bude vyhodnoceno vysoké riziko při zpracování osobních údajů a nebude možné najít zákonný důvod pro tento způsob zpracování.
8) Školení osob zastávajících vedoucí role v systému zpracování a zabezpečení osobních údajů v rozsahu jednoho dne.
Požadavky na součinnost:
Plnění předmětu nabídky předpokládá provést řízené pohovory s kompetentními zaměstnanci ze všech úseků, specializovaných center a oddělení, případně dalších u zjištěných organizačních prvků, u kterých jsou zpracovávány osobní údaje, včetně zaměstnanců IT zajišťujících provoz nemocničního informačního systému (NIS) a případných dalších IS, v rámci kterých jsou zpracovávány osobní údaje. Stejně tak zaměstnanců zajišťujících provoz kamerových systémů v případě, že u těchto systémů jsou pořizovány záznamy záběrů kamer.
Úvodní jednání:
stanovení organizačních prvků, u kterých jsou zpracovávány osobní údaje a u kterých budou provedeny pohovory,
určení kompetentních zaměstnanců k provedení pohovorů, stanovení časového průběhu (harmonogramu) provedení pohovorů.
Pohovory dotčené úseky a organizační prvky:
Úsek ředitele,
Úsek pro ekonomiku a provoz,
Úsek obchodu a zdravotní péče,
Úsek pro ošetřovatelskou péči,
Úsek pro léčebnou a preventivní péči,
Specializovaná centra,
Oddělení,
Lékárna atd.
Pohovory:
IT:
analýza NIS a všech IS, jejichž provoz zajišťuje IT,
identifikace dalších využívaných IS (rejstříků, databází, ...), jejíchž provoz nezajišťuje IT, ale zdravotnický nebo jiný personál k nim má přístup
· v rámci pohovoru poskytnout (sdělit):
o popis datových položek v jednotlivých datových větách NIS a ostatních IS, o popis datových toků, seznam přístupových oprávnění s cílem zjistit rozsah osob, které mají k daným informacím přístup.
Předpokládaní respondenti: vedoucí IT, správci databází, vlastníci aplikací, provozní programátor atd.
Úseky: dle check listu
kdo a k jakým údajům v NIS i jiných IS má přístup,
· jaké jiné systémy (mimo NIS) používají,
kde a jaké jiné (mimo elektronické formy) osobní údaje zpracovávají (např. listinné), jaký je účel jejich zpracování a kdo k nim má přístup.
Předpokládaní respondenti: vedoucí zaměstnanci jednotlivých organizačních prvků úseku nebo pověřené osoby znalé provozu a nakládání s informacemi u příslušných organizačních prvků
Oddělení: dle check listu
rozsah zpracovávaných údajů,
způsob zpracování (listinný, automatizovaný v NIS, jakém modulu nebo v jakém jiném informačním systému),
kdo má přístup k údajům - fyzický, logický a řízení přístupu,
· zabezpečení z hlediska fyzického přístupu,
používané formuláře, dotazníky atd. pro zpracování osobních údajů, kdo má přístup z dodavatelů nebo 3 stran (dodavatelé NIS atd.), způsob informovanosti a poučení pacientů,
přístup zdravotnického personálu k IS, které neprovozuje nemocnice (centrální registry s databázemi atd.).
Předpokládaní respondenti: vrchní sestry nebo pověřené osoby znalé provozu a nakládání s informacemi u oddělení
Příloha č. 2
Harmonogram realizace (u všech objednatelů)
Etapa
Činnost
Období
Etapa 1
Analýza (revize) stávajícího stavu zpracování a ochrany osobních údajů
do 65 dní ode dne uveřejnění v registru smluv
Etapa 2
Příprava organizace na splnění povinností podle GDPR
do 130 dní ode dne uveřejnění v registru smluv
(
2
)
Příloha č. 3
Oprávněné osoby
Pro zastupování ve věcech smlouvy:
za Objednatele: MUDr. Radomír Maráček, předseda představenstva a Mgr. Lucie Štěpánková, MBA, členka představenstva
za Zhotovitele: Ing. Tomáš Strýček, statutární ředitel Pro provádění díla:
za Objednatele č. 1: Ing. Vladimír Zejdl, za Objednatele č 2: Mgr. Jitka Bílková za Objednatele č. 3: Ing. Petr Bělík za Objednatele č. 4: Ing. Martin Pavlica, MHA
za Zhotovitele: Ing. Jan Poduška