Common use of Technická a organizační opatření Clause in Contracts

Technická a organizační opatření. 4.1 Zpracovatel prohlašuje, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování. Zpracovatel prohlašuje, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osob, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob. 4.3 Technická a organizační opatření budou předmětem vylepšení a dalšího vývoje. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatření. Podstatné změny v bezpečnosti dat musí být dokumentovány.

Technická a organizační opatření. 4.1 Zpracovatel prohlašujese při Zpracování Osobních údajů zavazuje přijmout taková technická a organizační opatření, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování. Zpracovatel prohlašuje, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke aby zajistil soulad Zpracování s těmito Podmínkami zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osobs obecnými předpisy týkajícími se ochrany osobních údajů, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištěnízejména tak, aby fyzické osoby oprávněné s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům Zpracování i k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, různě pravděpodobným a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající různě závažným rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob. 4.3 Technická , zajistil úroveň zabezpečení odpovídající danému riziku. Zpracovatel se v každém případě zavazuje přijmout minimálně následující technická a organizační opatření: Řízení přístupů k Osobním údajům – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci; uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: systém autorizovaných uživatelů; používání hesel pro přístup do systémů; systém automatického odhlašování; systém rozdílných profilů a přístupových dle oprávnění jednotlivých uživatelů; šifrování; používání bezpečných nosičů. [Bude upřesněno na základě výstupů Implementační studie (Cílového konceptu) z přípravy provozovaného díla daného Smlouvou o dílo] Kontrola přenosu Osobních údajů – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že Osobní údaje nebudou moct být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování - uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: systém bezpečné přepravy – používání bezpečného hardwarového zařízení, přepravního prostředku a zapojení způsobilých a proškolených zaměstnanců; šifrování. Logování - používání systémů, které umožní jednoznačně a kdykoli, i zpětně, identifikovat, které osoby k jednotlivým Osobním údajům přistoupily, kým, kdy a jak byly jednotlivé Osobní údaje změněny či kdy a kým byly jednotlivé Osobní údaje smazány - uvedené Zpracovatel zabezpečí používáním systémů, do kterých se jednotliví uživatelé přihlašují a které umožňují exportovat příslušné reporty. Vnitřní audit - pravidelným vyhodnocováním plnění povinností Zpracovatele dle těchto Podmínek zpracování osobních údajů; Zpracovatel se zavazuje provést vyhodnocování minimálně jednou ročně, umožnit Správci účastnit se průběhu vyhodnocování o výsledcích vyhodnocení vypracovat písemnou zprávu a tuto zpřístupnit Správci. Školení - pravidelným školením zaměstnanců Zpracovatele na téma ochrany osobních údajů. Vnitřní předpis - Zpracovatel se zavazuje mít vnitřní předpis závazný pro veškeré osoby oprávněné jeho jménem zpracovávat Osobní údaje, který stanoví pravidla standardní v souladu s Nařízením. Zpracovatel bude nápomocen Správci a poskytne Správci veškerou potřebnou a bezodkladnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů. Zpracovatel není oprávněn měnit technická a organizační opatření budou předmětem vylepšení a dalšího vývojeuvedená v čl. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření3.10.2 těchto Podmínek zpracování osobních údajů bez předchozího písemného souhlasu Správce. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatřeníZa souhlas Správce dle předchozí věty se považuje pokyn předaný Správcem Zpracovateli v souladu s čl. Podstatné změny v bezpečnosti dat musí být dokumentovány4 těchto Podmínek zpracování osobních údajů, ledaže by se Strany ve vztahu k jednotlivým změnám dohodly jinak.

Technická a organizační opatření. 4.1 Zpracovatel prohlašujese při Zpracování Osobních údajů zavazuje přijmout taková technická a organizační opatření, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování. Zpracovatel prohlašuje, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke aby zajistil soulad Zpracování s těmito Podmínkami zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osobs obecnými předpisy týkajícími se ochrany osobních údajů, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištěnízejména tak, aby fyzické osoby oprávněné s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům Zpracování i k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, různě pravděpodobným a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající různě závažným rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob. 4.3 Technická , zajistil úroveň zabezpečení odpovídající danému riziku. Zpracovatel se v každém případě zavazuje přijmout minimálně následující technická a organizační opatření: Řízení přístupů k Osobním údajům – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci, Kontrola přenosu Osobních údajů – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že Osobní údaje nebudou moct být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování - uvedené se Zpracovatel zavazuje zabezpečit zejména používáním bezpečného hardwarového zařízení, přepravního prostředku a zapojení způsobilých a proškolených zaměstnanců. Školení - pravidelným školením zaměstnanců Zpracovatele na téma ochrany osobních údajů. Vnitřní předpis - Zpracovatel se zavazuje mít vnitřní předpis závazný pro veškeré osoby oprávněné jeho jménem zpracovávat Osobní údaje, který stanoví pravidla standardní v souladu s Nařízením. Zpracovatel bude nápomocen Správci a poskytne Správci veškerou potřebnou a bezodkladnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů. Zpracovatel není oprávněn měnit technická a organizační opatření budou předmětem vylepšení a dalšího vývojeuvedená v čl. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření3.10.2. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatřenítěchto Podmínek zpracování osobních údajů bez předchozího písemného souhlasu Správce. Podstatné změny Za souhlas Správce dle předchozí věty se považuje pokyn předaný Správcem Zpracovateli v bezpečnosti dat musí být dokumentoványsouladu s čl. 4.. těchto Podmínek zpracování osobních údajů, ledaže by se Strany ve vztahu k jednotlivým změnám dohodly jinak.

Technická a organizační opatření. 4.1 Zpracovatel prohlašujese při Zpracování Osobních údajů zavazuje přijmout taková technická a organizační opatření, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování. Zpracovatel prohlašuje, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke aby zajistil soulad Zpracování s těmito Podmínkami zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osobs obecnými předpisy týkajícími se ochrany osobních údajů, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištěnízejména tak, aby fyzické osoby oprávněné s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům Zpracování i k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, různě pravděpodobným a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající různě závažným rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob. 4.3 Technická , zajistil úroveň zabezpečení odpovídající danému riziku. Zpracovatel se v každém případě zavazuje přijmout minimálně následující technická a organizační opatření: Řízení přístupů k Osobním údajům – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci; uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: systém autorizovaných uživatelů; používání hesel pro přístup do systémů; systém automatického odhlašování; systém rozdílných profilů a přístupových dle oprávnění jednotlivých uživatelů; šifrování; používání bezpečných nosičů. [Bude upřesněno na základě výstupů fáze F2 Implementační studie] Kontrola přenosu Osobních údajů – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že Osobní údaje nebudou moct být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování - uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: systém bezpečné přepravy – používání bezpečného hardwarového zařízení, přepravního prostředku a zapojení způsobilých a proškolených zaměstnanců; šifrování. Logování - používání systémů, které umožní jednoznačně a kdykoli, i zpětně, identifikovat, které osoby k jednotlivým Osobním údajům přistoupily, kým, kdy a jak byly jednotlivé Osobní údaje změněny či kdy a kým byly jednotlivé Osobní údaje smazány - uvedené Zpracovatel zabezpečí používáním systémů, do kterých se jednotliví uživatelé přihlašují a které umožňují exportovat příslušné reporty. Vnitřní audit - pravidelným vyhodnocováním plnění povinností Zpracovatele dle těchto Podmínek zpracování osobních údajů; Zpracovatel se zavazuje provést vyhodnocování minimálně jednou ročně, umožnit Správci účastnit se průběhu vyhodnocování o výsledcích vyhodnocení vypracovat písemnou zprávu a tuto zpřístupnit Správci. Školení - pravidelným školením zaměstnanců Zpracovatele na téma ochrany osobních údajů. Vnitřní předpis - Zpracovatel se zavazuje mít vnitřní předpis závazný pro veškeré osoby oprávněné jeho jménem zpracovávat Osobní údaje, který stanoví pravidla standardní v souladu s Nařízením. Zpracovatel bude nápomocen Správci a poskytne Správci veškerou potřebnou a bezodkladnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů. Zpracovatel není oprávněn měnit technická a organizační opatření budou předmětem vylepšení a dalšího vývojeuvedená v čl. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření3.10.2 těchto Podmínek zpracování osobních údajů bez předchozího písemného souhlasu Správce. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatřeníZa souhlas Správce dle předchozí věty se považuje pokyn předaný Správcem Zpracovateli v souladu s čl. Podstatné změny v bezpečnosti dat musí být dokumentovány4 těchto Podmínek zpracování osobních údajů, ledaže by se Strany ve vztahu k jednotlivým změnám dohodly jinak.

Technická a organizační opatření. 4.1 Zpracovatel prohlašuje, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce uživatelské podpory ambulantního informačního Systému na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování. Případní další zapojení zpracovatelé jsou vázáni stejnými smluvními podmínkami jako Zpracovatel. Zpracovatel prohlašuje, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností ◊ o zámky ◊ o elektronické zabezpečení ◊ o řízený vstup do budovy ◊ o řízený vstup do nájemní jednotky ◊ o řízený pohyb cizích osob v prostorách společnosti ◊ o oddělený návštěvnický prostor ◊ o prostory, kde dochází ke zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování ◊ o určení osob, které mají přístup k dokumentům pro manuální zpracování osobních údajů ◊ o zajištění, aby fyzické osoby oprávněné k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských uživatel- ských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby ◊ o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány zaznamená- ny nebo jinak zpracovány ◊ o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje ◊ o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování ◊ o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů ◊ o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů úda- jů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby ◊ o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány ◊ o zabránění neoprávněnému přístupu k datovým nosičům ◊ o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje ◊ o zabezpečení zavedením řízeného přístupu ◊ o uspořádání prostor / pracoviště ◊ o identifikace a ověření uživatelů ◊ o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě uživatelské podpory ambulantního informačního Systému v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření opat- ření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob. 4.3 Technická a organizační opatření budou předmětem vylepšení a dalšího vývoje. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatření. Podstatné změny v bezpečnosti dat musí být dokumentovány.

Technická a organizační opatření. 4.1 Zpracovatel prohlašuje, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování3.10.1. Zpracovatel prohlašujese při Zpracování Osobních údajů zavazuje přijmout taková technická a organizační opatření, že ochrana osobních údajů Správce je zajištěna zavedením následujících opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke aby zajistil soulad Zpracování s těmito Podmínkami zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osobs obecnými předpisy týkajícími se ochrany osobních údajů, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištěnízejména tak, aby fyzické osoby oprávněné s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům Zpracování i k používání dokumentů pro manuální zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, různě pravděpodobným a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající různě závažným rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob, zajistil úroveň zabezpečení odpovídající danému riziku. 4.3 Technická 3.10.2. Zpracovatel se v každém případě zavazuje přijmout minimálně následující technická a organizační opatření: a) Řízení přístupů k Osobním údajům – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci; uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: - systém autorizovaných uživatelů; - používání hesel pro přístup do systémů; - systém automatického odhlašování; - systém rozdílných profilů a přístupových dle oprávnění jednotlivých uživatelů; - šifrování; - používání bezpečných nosičů. [Bude upřesněno na základě výstupů Implementační studie (Cílového konceptu) z přípravy provozovaného díla daného Smlouvou o dílo] b) Kontrola přenosu Osobních údajů – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že Osobní údaje nebudou moct být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování - uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: - systém bezpečné přepravy – používání bezpečného hardwarového zařízení, přepravního prostředku a zapojení způsobilých a proškolených zaměstnanců; - šifrování. c) Logování - používání systémů, které umožní jednoznačně a kdykoli, i zpětně, identifikovat, které osoby k jednotlivým Osobním údajům přistoupily, kým, kdy a jak byly jednotlivé Osobní údaje změněny či kdy a kým byly jednotlivé Osobní údaje smazány - uvedené Zpracovatel zabezpečí používáním systémů, do kterých se jednotliví uživatelé přihlašují a které umožňují exportovat příslušné reporty. d) Vnitřní audit - pravidelným vyhodnocováním plnění povinností Zpracovatele dle těchto Podmínek zpracování osobních údajů; Zpracovatel se zavazuje provést vyhodnocování minimálně jednou ročně, umožnit Správci účastnit se průběhu vyhodnocování o výsledcích vyhodnocení vypracovat písemnou zprávu a tuto zpřístupnit Správci. e) Školení - pravidelným školením zaměstnanců Zpracovatele na téma ochrany osobních údajů. f) Vnitřní předpis - Zpracovatel se zavazuje mít vnitřní předpis závazný pro veškeré osoby oprávněné jeho jménem zpracovávat Osobní údaje, který stanoví pravidla standardní v souladu s Nařízením. 3.10.3. Zpracovatel bude nápomocen Správci a poskytne Správci veškerou potřebnou a bezodkladnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů. 3.10.4. Zpracovatel není oprávněn měnit technická a organizační opatření budou předmětem vylepšení a dalšího vývojeuvedená v čl. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření3.10.2 těchto Podmínek zpracování osobních údajů bez předchozího písemného souhlasu Správce. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatřeníZa souhlas Správce dle předchozí věty se považuje pokyn předaný Správcem Zpracovateli v souladu s čl. Podstatné změny v bezpečnosti dat musí být dokumentovány4 těchto Podmínek zpracování osobních údajů, ledaže by se Strany ve vztahu k jednotlivým změnám dohodly jinak.

Technická a organizační opatření. 4.1 Zpracovatel prohlašuje, že zpracovává data při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě pro Správce na zařízeních společnosti k tomu výhradně určených, přičemž toto zpracování zajišťuje výhradně prostřednictvím svých zaměstnanců a zaměstnanců dalších zpracovatelů zapojených do zpracování3.10.1. Zpracovatel prohlašuje, že ochrana osobních se při Zpracování Osobních údajů Správce je zajištěna zavedením následujících zavazuje přijmout taková technická a organizační opatření: • politiky a/nebo směrnice o zabezpečení informací • zabezpečení objektu a místností o zámky o elektronické zabezpečení o řízený vstup do budovy o řízený vstup do nájemní jednotky o řízený pohyb cizích osob v prostorách společnosti o oddělený návštěvnický prostor o prostory, kde dochází ke zpracování osobních údajů Správce jsou odděleny a mají vlastní systém řízení vstupu • zabezpečení manuálního zpracování o určení osob, které mají přístup k dokumentům pro manuální zpracování osobních údajů o zajištění, aby fyzické osoby oprávněné k používání dokumentů pro manuální zajistil soulad Zpracování s těmito Podmínkami zpracování osobních Osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osoba s obecnými předpisy týkajícími se ochrany Osobních údajů, a to na základě zvláštních uživatelských oprávnění a přístupových práv do prostor a složek dostupných výlučně pro tyto osoby o pořizování záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu do prostor a složek obsahujících osobní údaje o opatření umožňující určit, komu byly osobní údaje předány • zabezpečení automatizovaného zpracování o určení osob, které mají přístup k systémům pro automatizovaná zpracování osobních údajů o zajištěnízejména tak, aby fyzické osoby oprávněné s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům Zpracování i k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, různě pravděpodobným a to na základě zvláštních uživatelských oprávnění a přístupových práv do informačního systému zřízených výlučně pro tyto osoby o pořizování elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány o zabránění neoprávněnému přístupu k datovým nosičům o opatření umožňující určit, komu byly osobní údaje předány • systém řízení přístupu k zařízením zpracovávající osobní údaje o zabezpečení zavedením řízeného přístupu o uspořádání prostor / pracoviště o identifikace a ověření uživatelů o zásady hesel 4.2 Zpracovatel prohlašuje, že je zajištěna bezpečnost zpracovávaných dat při plnění Smlouvy, poskytnutí produktu nebo poskytnutí služby vymezené ve Smlouvě v souladu s čl. 28 odst. 3 bod c) a s čl. 32 Nařízení, zejména ve spojení s čl. 5 odst. 1 a odst. 2 Nařízení. Opatření, která mají být přijata, jsou opatření k zajištění bezpečnosti a zajišťující úroveň ochrany odpovídající různě závažným rizikům týkajícím se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Ve smyslu čl. 32 odst. 1 Nařízení musí být zohledněny stav vědy, implementační náklady, povaha, rozsah a účely zpracování a také pravděpodobnost vzniku a závažnosti rizika pro práva a svobody fyzických osob, zajistil úroveň zabezpečení odpovídající danému riziku. 4.3 Technická 3.10.2. Zpracovatel se v každém případě zavazuje přijmout minimálně následující technická a organizační opatření: a) Řízení přístupů k Osobním údajům – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci; uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: - systém autorizovaných uživatelů; - používání hesel pro přístup do systémů; - systém automatického odhlašování; - systém rozdílných profilů a přístupových práv dle oprávnění jednotlivých uživatelů; - šifrování; - používání bezpečných nosičů. b) Kontrola přenosu Osobních údajů – Zpracovatel se zavazuje přijmout taková opatření, která zabezpečí, že Osobní údaje nebudou moct být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování – uvedené se Zpracovatel zavazuje zabezpečit zejména následujícími opatřeními: - systém bezpečné přepravy – používání bezpečného hardwarového zařízení, přepravního prostředku a zapojení způsobilých a proškolených zaměstnanců; - šifrování. c) Logování – používání systémů, které umožní jednoznačně a kdykoli, i zpětně, identifikovat, které osoby k jednotlivým Osobním údajům přistoupily, kým, kdy a jak byly jednotlivé Osobní údaje změněny či kdy a kým byly jednotlivé Osobní údaje smazány – uvedené Zpracovatel zabezpečí používáním systémů, do kterých se jednotliví uživatelé přihlašují a které umožňují exportovat příslušné reporty. d) Vnitřní audit – pravidelným vyhodnocováním plnění povinností Zpracovatele dle těchto podmínek zpracování Osobních údajů; Zpracovatel se zavazuje provést vyhodnocování minimálně jednou ročně, umožnit Správci účastnit se průběhu vyhodnocování o výsledcích vyhodnocení vypracovat písemnou zprávu a tuto zpřístupnit Správci. e) Školení – pravidelným školením zaměstnanců Zpracovatele na téma ochrany Osobních údajů. f) Vnitřní předpis – Zpracovatel se zavazuje mít vnitřní předpis závazný pro veškeré osoby oprávněné jeho jménem zpracovávat Osobní údaje, který stanoví pravidla standardní v souladu s Nařízením. 3.10.3. Zpracovatel bude nápomocen Správci a poskytne Správci veškerou potřebnou a bezodkladnou součinnost pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů. 3.10.4. Zpracovatel není oprávněn měnit technická a organizační opatření budou předmětem vylepšení a dalšího vývojeuvedená v čl. V tomto ohledu může Zpracovatel zavést alternativní srovnatelná opatření3.10.2 těchto podmínek zpracování Osobních údajů bez předchozího písemného souhlasu Správce. V takovém případě nesmí být snížena bezpečnostní úroveň zavedených opatřeníZa souhlas Správce dle předchozí věty se považuje pokyn předaný Správcem Zpracovateli v souladu s čl. Podstatné změny v bezpečnosti dat musí být dokumentovány4 těchto podmínek zpracování Osobních údajů, ledaže by se Strany ve vztahu k jednotlivým změnám dohodly jinak.