ROCHE NAVIFY TUMOR BOARD SMLOUVA O PŘEDPLATNÉM
XXXXX NAVIFY TUMOR BOARD SMLOUVA O PŘEDPLATNÉM
Tato Smlouva o předplatném řešení NAVIFY Tumor Board, včetně veškerých příloh a dodatků k ní (“Smlouva”) se uzavírá dnem jejího podpisu (“Datum účinnosti“) mezi Roche s.r.o., XXX: 49617052, se sídlem Xxxxxxxxxx 000 / 000x, 00000 Xxxxx 0
(“Roche“) a Masarykův onkologický ústav, IČO: 00209805, se sídlem Žlutý kopec 7, 656 53 Brno (“Klient” nebo také „Zákazník“) (každý jako „Strana“, společně jako „Strany“). Jako protiplnění za vzájemná ujednání uvedená v této Smlouvě se Strany dohodly následovně:
1 CLOUDOVÁ SOFTWAROVÁ SLUŽBA ROCHE NAVIFY TUMOR BOARD (NTB).
Za podmínek této Smlouvy Roche tímto Klientovi poskytuje nevýhradní, odvolatelnou, nepřevoditelnou, nepostupitelnou licenci (bez práva poskytovat podlicence) v České republice k přístupu a užití vlastního cloudového řešení workflow, které integruje a zobrazuje příslušné „Údaje o pacientech“, jak jsou vymezeny níže do jednoho holistického pacientského přístupového místa pro týmy onkologické péče pro účely revize, sbližování a rozhodování o plánu léčby pacienta, a které může být případně upgradováno nebo měněno ze strany Roche (pro účely této Smlouvy, jako „NAVIFY Tumor Board“ nebo „Řešení NTB“), které může rovněž zahrnovat funkce podpory klinického rozhodování nebo aplikace za podmínek jakýchkoli dodatečných omezení nebo podmínek doložených v příslušném vymezení práce vydaném jako Příloha A Smlouvy („VP“) a výhradně (a) ve formě zpřístupněné ze strany Roche pro případný přístup Klienta; (b) pro účely agregace a zobrazení Údajů o pacientech k podpoře panelů o tumorech u Klienta pro Klientovy pacienty nebo smluvního partnera Klienta; a (c) až do počtu Oprávněných uživatelů Klienta, jak je zde níže uvedeno a doloženo v příslušném VP. Pro účely této Smlouvy „Údaje o pacientech“ znamenají údaje o pacientech nebo související údaje ze systémů elektronických lékařských záznamů („ELZ“), informace o léčbě nebo radiologické snímky pacientů, digitální patologické snímky, patologické zprávy, průběžné zprávy nebo jiné informační systémy, které jsou automaticky nebo manuálně nahrávány do Řešení NTB. S výjimkou omezených práv a licencí podle této Smlouvy výslovně udělených, nejsou poskytována žádná jiná práva, licence nebo opce a žádné další užití není povoleno. Xxxxx je majitelem a zachovává si veškerá práva, titul a podíl v Řešení NTB a Službách, jak je dále vymezeno. VEŠKERÁ PRÁVA, KTERÁ NEJSOU PODLE TÉTO SMLOUVY VÝSLOVNĚ POSKYTNUTA, SI VYHRAZUJE ROCHE.
2 SLUŽBY A POVINNOSTI ROCHE.
Xxxxx souhlasí, že bude poskytovat služby a/nebo plnit dodávky, jak je uvedeno ve VP. Každé VP bude zachycovat jakékoli dodatečné podmínky užití Řešení NTB Roche ze strany Klienta a jiné služby, které mají být poskytovány, nebo má být zajištěno, že budou ze strany Roche poskytovány Klientovi (společně se dodávky a Řešení NTB označují jako „Služby“), a musí být podepsány oprávněnými zástupci Stran, aby nabyly účinnosti. Pokud dojde k rozporu mezi touto Smlouvou a VP, podmínky této Smlouvy mají přednost, není-li ve VP výslovně uvedeno jinak. Klient tímto bere na vědomí a souhlasí, že Xxxxx může poskytovat určité Služby zapojením subdodavatelů, konzultantů a jiných třetích osob dle výhradního uvážení Roche. Tímto však není dotčen postup při zapojení dalšího zpracovatele do zpracování osobních údajů dle přílohy B této smlouvy. Klient souhlasí a bere na vědomí, že Řešení NTB je cloudové webové hostingové řešení poskytované ze strany Amazon Web Services („AWS“) hostované v datovém centru AWS v: Frankfurt, Německo.
Xxxxxx
Digitally signed DN: cn=Xxxxx xxXXXXX
Date:
Důvěrné informace Roche. Strana 1 z 26
Aplikace třetích osob. Roche může případně zpřístupňovat dodatečné vlastnosti Služeb nebo určité aplikace třetích osob v rámci Služeb, které mohou podléhat podmínkám takových třetích osob, a musí být ze strany Klienta akceptovány před přístupem nebo užitím jakékoli takové vlastnosti nebo aplikace. Jakékoli dodatečné podmínky budou představovat samostatnou smlouvu výhradně mezi Klientem a třetí osobou - poskytovatelem aplikace, a Roche nebude stranou ani oprávněnou osobou v jejich rámci. Klient bere na vědomí a souhlasí, že Klient je výhradně odpovědný za revizi a akceptaci jakýchkoli takových podmínek třetích osob, které nenahrazují ani nemění záruční prohlášení a omezení odpovědnosti uvedené v této Smlouvě, ale budou podmínkami vedle podmínek této Smlouvy.
3 ČINNOSTI A POVINNOSTI KLIENTA.
Činnosti Klienta. Klient se tímto zavazuje poskytovat Xxxxx činnosti a služby popsané v Příloze D („Aktivity Klienta“). Aktivity Klienta zahrnují, mimo jiné, přiměřené úsilí Klienta o:
(i) používání Řešení NTB a dalších služeb během svého běžného provozu pro účely, které jsou stanoveny níže, jako součást Tumor Board Klienta;
(ii) neprodlené nahlášení Roche jakýchkoliv známých nebo potenciálních problémů s Řešením NTB a dalšími Službami;
(iii) poskytování průběžné zpětné vazby, jak je definována níže, společnosti Roche ve vztahu k:
a. zkušenostem Klienta včetně jakýchkoli výzev, problémů nebo oblastí vyžadujících jakékoli zlepšení, ke kterým dojde při testování nebo používání Služeb;
b. nezbytným požadavkům na integraci klinických informačních systémů Klienta, pokud takovou integraci bude Klient požadovat;
c. rozhraní a klinickým informacím, které společnost Roche potřebuje k dalšímu rozvoji a zdokonalování služeb.
Obecné povinnosti Klienta. Klient a „Oprávnění uživatelé“ Klienta, jak jsou dále v této Smlouvě vymezeni, budou dodržovat veškeré příslušné právní předpisy a nebudou přímo nebo nepřímo: (a) prodávat, půjčovat, pronajímat, šířit, opětovně prodávat, pronajímat s možností odkupu, postupovat, poskytovat licence, poskytovat podlicence nebo jinak převádět na jakékoli třetí osoby jakékoli Služby nebo práva poskytnutá podle této Smlouvy, (b) překládat, nést, měnit, reprodukovat, šířit, opětovně vydávat, vkládat do framů, stahovat, dočasně ukládat nebo vytvářet či vyvíjet odvozená díla na základě jakékoli Služby, (c) přistupovat nebo používat Služby jakýmkoli způsobem, který překračuje jakákoli omezení využití licence Klientem, (d) odvozovat nebo pokoušet se odvozovat zdrojový kód, zdrojové soubory nebo jakékoli součásti, logiku nebo strukturu veškerých Služeb nebo jakékoli jejich části reverzním inženýrstvím, demontáží, dekompilací nebo jakýmikoli jinými prostředky (výše uvedené zákazy zahrnují revizi datových struktur nebo podobné materiály vytvořené programy) nebo vstupovat nebo užívat jakékoli Služby za účelem vytváření nebo podpory nebo pomoci třetím osobám ve vytváření nebo podpoře výrobků nebo služeb, které jsou konkurenční ve vztahu k Roche nebo výrobkům či službám Roche, (e) plnit nebo zveřejňovat jakékoli testy ukazatelů nebo výkonu jakékoli Služby, s výjimkou případů výslovně vyžadovaných podle této Smlouvy a poté jejich výsledků, se kterými bude nakládáno jako s Důvěrnými informacemi Roche, a budou poskytnuty pouze Roche, (f) odstraňovat, zastřít nebo měnit jakákoli majetková nebo jiná oznámení, která se Službami souvisí, (g) používat nebo umožňovat přístup k jakékoli Službě nebo jejich použití pro jakoukoli nezákonnou činnost, včetně vývozu Služby v rozporu s jakýmkoli příslušným právním předpisem, nebo (h) přistupovat nebo používat Služby pro jakékoli použití jinak než je výslovně oprávněno podle této Smlouvy nebo ve VP podle ní vydaném. Vedle toho Klient odpovídá za poskytování veškerého hardware, systémového software, zařízení, sítí a telekomunikací nebo jiného připojení potřebného pro přístup k infrastruktuře cloudové služby dle dohody s Roche tak, aby služby mohl Roche řádně
poskytovat, a za zaplacení veškerých nákladů týkajících se telekomunikace, připojení nebo jiných služeb (včetně nákladů na přenos dat), které se týkají takového přístupu.
Odpovědnost Klienta za Oprávněné uživatele. „Oprávnění uživatelé“ zahrnují vyjmenované jednotlivce, zaměstnance Klienta, jeho zástupce, poradce (včetně lékařů a jiných poskytovatelů zdravotní péče), oprávněné nebo ustanovené Klientem, aby využívali nebo měli přístup ke Službám za podmínek této Smlouvy. Klient bude odpovídat za veškeré úkony a opomenutí veškerých Oprávněných uživatelů, jako by se jednalo o vlastní úkony nebo opomenutí Klienta. Každému Oprávněnému uživateli budou poskytnuty unikátní přihlašovací údaje, které mohou být používány pouze jedním Oprávněným uživatelem, jemuž byly takové údaje přiděleny ze strany Xxxxx nebo jeho jménem. Klient odpovídá za veškeré užití Řešení NTB jakoukoli osobou, která používá přihlašovací údaje přidělené Oprávněným uživatelům, i když k tomu od Klienta nezískala oprávnění. Roche může deaktivovat jakékoli přihlašovací údaje kdykoli z důvodu jakéhokoli podezření na neoprávněné používání nebo zneužití jakékoli Služby. Klient: (i) zajistí a bude odpovídat za zabezpečení přihlašovacích údajů Oprávněných uživatelů; (ii) neumožní jiné osobě než Oprávněnému uživateli unikátně propojenému s konkrétními přihlašovacími údaji vydanými ze strany Roche nebo jejím jménem, aby takové údaje používala za účelem získání přístupu k Řešení NTB Roche; (iii) nebude zpřístupňovat jakékoli přihlašovací údaje jakékoli jiné osobě než Oprávněnému uživateli, který je unikátně propojen s takovými přihlašovacími údaji. Klient Roche bezodkladně nahlásí jakoukoli ztrátu, použití nebo oprávněné zpřístupnění nebo jiné narušení jakýchkoli přihlašovacích údajů Oprávněného uživatele. Oprávnění uživatelé nesmí být přímí konkurenti Roche.
4 PLATEBNÍ STRUKTURA; DANĚ; ZÁZNAMY A AUDITY.
Příslušné poplatky, protiplnění a platební podmínky budou takové, jaké byly uvedeny v příslušném VP. Veškeré platby poukázané ze strany Klienta Xxxxx podle této Smlouvy budou zaplaceny bez jakýchkoli odpočtů či srážek daní. Klient výhradně odpovídá za jakékoli daně z přidané hodnoty, za zboží a služby, za prodej, používání a podobné daně, které jsou splatné ve vztahu k platbě Klienta z takových poplatků a přijetí Služeb. Pokud je vyžadována srážka jakýchkoli takových daní (například mezinárodní srážkové daně) z jakékoli platby, Klient zaplatí takové dodatečné částky, jak je potřeba, aby čistá částka, kterou Xxxxx obdrží, odpovídala dané částce, která náleží a je splatná podle této Smlouvy. Roche poskytne Klientovi takové daňové formuláře, které jsou přiměřeně vyžadovány za účelem snížení nebo osvobození od částky jakékoli srážky nebo odpočtu daně ve vztahu k platbám zaplaceným podle této Smlouvy. Klient poskytne Roche dokumentaci, která prokazuje, že jakékoli odpočty nebo srážky byly zaplaceny správným subjektům, a poskytne jakékoli jiné informace týkající se výjimek nebo závazků, které souvisí s daní z prodeje nebo jinými službami.
5 OCHRANA ÚDAJŮ A ZABEZPEČENÍ.
Klient zajistí, že používání Řešení NTB a/nebo Služeb neporušuje jakékoli příslušné právní předpisy a nařízení, včetně právních předpisů o ochraně údajů a zabezpečení, jakož i jakékoli interní předpisy a postupy Klienta. Technická a organizační zabezpečení k ochraně osobních údajů ve smyslu čl. 28 GDPR přijatá Roche jsou uvedena v příloze C této Smlouvy. Klient odpovídá výhradně za určení, jaké platné právní předpisy, zákony, nařízení, pravidla, profesní kodexy, požadavky, správní předpisy nebo rozhodnutí jakéhokoli správního orgánu se vztahují na užití Služeb Klientem. Jakýkoli přístup k osobním údajům Oprávněných uživatelů nebo údajům pacientů ze strany Roche je podmíněn a podléhá uzavření smlouvy o zpracování osobních údajů mezi Stranami („Smlouva o zpracování údajů“), jak je to vyžadováno příslušnými právními předpisy, která je připojena jako Příloha B k této Smlouvě. Pokud jde o vztah mezi Xxxxxxxx, Klient je správcem a Roche (včetně jakýchkoli jeho Propojených osob) je zpracovatelem údajů o pacientech a osobních údajů Oprávněných uživatelů Klienta. Pro účely poskytování Služby Klientovi bude Roche zpracovávat údaje o pacientech pouze
v šifrované podobě a nebude mít přístup k dalším informacím, jako jsou dešifrovací klíče k přístupu k údajům o pacientech nebo opětovné identifikaci pacientů. Přístup k údajům o pacientech by v každém případě vyžadoval samostatné oprávnění ze strany Klienta.
6 DUŠEVNÍ VLASTNICTVÍ
Duševní vlastnictví Klienta. Klient si zachová veškerá práva, titul a podíl k jakýmkoli informacím nebo údajům přenášeným Klientem Roche v souvislosti se Službami (společně jako „Klientův obsah“), nicméně za předpokladu, že Klient tímto poskytuje Roche a jejím Propojeným osobám a jejich příslušným zástupcům a smluvním partnerům (včetně třetích osob – poskytovatelů služeb), celosvětovou, nevýhradní, nepostupitelnou (jinak než, jak je v této Smlouvě uvedeno) bezúplatnou, zcela vypořádanou licenci s možností poskytovat podlicence, a to k přístupu, extrahování, používání, hostování, reprodukování, šíření, zobrazování, analyzování, změnám a přípravě odvozených děl pro veškerý Klientův obsah, výhradně pro účely (i) poskytování Služby Klientovi; a (ii) vylepšování takových Služeb. Pro vyloučení nejasností se uvádí, že Klientův obsah může zahrnovat (i) jakékoli analýzy neidentifikovatelných agregovaných dat sestavených ze strany Roche; (ii) jakoukoli zpětnou vazbu poskytovanou Klientem Roche, ale nezahrnující údaje o pacientech nebo osobní údaje Oprávněných uživatelů.
Duševní vlastnictví Roche. Xxxxx je majitelem a zachovává si veškerá práva, titul a podíl na řešení NTB, Službách, obsahu Roche, dodávkách, zpětné vazbě, jak je definována níže, vylepšeních, změnách a odvozených dílech, která se vztahují k čemukoli výše uvedenému, a veškerá práva duševního vlastnictví k čemukoli výše uvedenému. Jakýkoli a veškerý obsah nebo data zpřístupněná Klientovi prostřednictvím přístupu nebo používání Služeb nebo jinak poskytnutých ze strany Roche, včetně dat zpřístupněných prostřednictvím funkcí klinické podpory rozhodování a jakýchkoli aplikací třetích osob nebo uvedených ve Službách, včetně veškerých práv, titulu a podílu k nim, jsou a zůstanou výhradním majetkem Roche a jeho poskytovatelů licencí a mohou být Klientem použity pouze v souladu s licenčními podmínkami uvedenými v článku 1 výše a to po dobu účinnosti této Smlouvy. S výjimkou licencí výslovně poskytnutých Klientovi v této Smlouvě není Klientovi poskytována žádná licence nebo právo ke Službám nebo právům duševního vlastnictví. Klientovi nejsou poskytována žádná práva k užití jakékoli ochranné známky, známky služeb, loga nebo obchodní názvy Roche. Klient nesmí odstraňovat, měnit nebo zastřít jakékoli oznámení o majiteli práv obsažených u řešení NTB nebo v něm, u veškerých Služeb a obsahu Roche; Roche neposkytuje jakékoli Služby, které by vedly k dílu na zakázku, pracovnímu výsledku nebo společnému vývoji. Do rozsahu, v jakém Klient, Oprávnění uživatelé Klienta, a Klientovi zaměstnanci, smluvní partneři a zástupci budou poskytovat Roche podněty, připomínky nebo jinou zpětnou vazbu ohledně Služeb („zpětná vazba“), může Roche jakoukoli zpětnou vazbu užívat nebo využívat bez jakéhokoli závazku jakéhokoli druhu vůči Klientovi. Dále Klient předáním zpětné vazby Roche tímto postupuje Roche veškerá svá práva, titul a podíl k zpětné vazbě. V případě, že by takové postoupení nebylo podle příslušných právních předpisů platné, Klient souhlasí a poskytuje Roche bezúplatnou, celosvětovou, časově neomezenou licenci k užití nebo spojení jakýchkoli podnětů, požadavků na vylepšení, doporučení nebo jiných informací poskytnutých Klientem, Oprávněnými uživateli Klienta a Klientovými zaměstnanci ve vztahu ke Službám.
7 OBDOBÍ TRVÁNÍ; UKONČENÍ; POZASTAVENÍ POSKYTOVÁNÍ SLUŽEB.
Období trvání této Smlouvy začíná běžet od Data účinnosti a pokračuje do konce Období č. 2 vymezeného v příloze A této smlouvy („Počáteční období“) s tím, že pokud Klient neoznámí Xxxxx, že nemá zájem ve smluvním vztahu dle této Smlouvy dále pokračovat minimáně 30 dnů přede dnem ukončení Smlouvy, prodlužuje se Smlouva automaticky o dalších 12 měsíců za podmínek platných pro Období 2, a to opakovaně. Tato Smlouva a licence podle ní mohou být ukončeny:
(i) Klientem kdykoli během prvních devadesáti (90) dnů Počátečního období doručením písemného oznámení Roche v předstihu pěti (5) pracovních dnů („Hodnotící období“);
(ii) kteroukoli Xxxxxxx v případě porušení jakéhokoli ustanovení této Smlouvy v jakémkoli podstatném ohledu, které není napraveno do třiceti (30) dnů po obdržení písemného upozornění na něj od druhé Strany;
(iii) ze strany Roche, pokud se Klient nebo Oprávněný uživatel dopustil jednání opravňující pozastavení Služeb a takové jednání nebylo vyřešeno do třiceti (30) dnů nebo bezodkladně po Klientově porušení článku 1 (Cloudová softwarová služba Roche NAVIFY Tumor Board), 3 (Povinnosti Klienta), 4 (Platební struktura; daně; záznamy a audity), 8 (Mlčenlivost) nebo 9 (Prohlášení a záruky);
(iv) kterákoli Strana může tuto Smlouvu ukončit písemnou výpovědí druhé Straně, pokud druhá Strana přestane podnikat nebo u ní dojde k úpadku, přeměně nebo insolvenčnímu řízení a taková řízení nebyla vyřešena do čtyřiceti pěti (45) dnů;
(v) ze strany Roche písemnou výpovědí s výpovědní dobou nejméně sto dvacet (120) dnů v případě, že se Roche rozhodne, dle svého výhradního uvážení přestat Služby poskytovat; nebo
(vi) ze strany Klienta písemnou výpovědí s účinností k poslednímu dni Období 1 či Období 2 vymezenému ve VP, v případě, že se Klient rozhodne dle svého uvážení přestat Služby využívat; tato výpověď musí být dána nejpozději 30 dnů před ukončením příslušného Období 1 či Období 2 vymezených v příloze A této smlouvy.
Účinky ukončení. S výjimkou případů uvedených v této Smlouvě, v případě ukončení této Smlouvy:
(i) práva a závazky podle této Smlouvy se okamžitě ukončují; (ii) jakákoli platba nebo jiný závazek, který vznikl k takovému datu ukončení, přetrvá i po takovém ukončení; (iii) práva a závazky Stran, které jsou svou povahou zamýšleny, aby přetrvaly i po ukončení nebo vypršení této Smlouvy, společně s jakýmikoli jinými ustanoveními, u kterých se vyžaduje, aby vymáhaly práva a závazky Stran podle této Smlouvy nebo aby dle jejích podmínek pokračovaly po takovém ukončení, přetrvají a budou i nadále účinné, jak je uvedeno v této Smlouvě, zejména včetně článků 3, 4, 6, 7.1, 8, 9, 10, 11 a 12;
(iv) Roche znepřístupní účty Klienta a smaže související údaje Klienta (včetně zničení a/nebo smazání archivovaných kopií takových dat), k nimž nebyla Roche udělena vlastnická práva nebo jiná práva k užití; (v) Roche si zachová licenci k agregovaným a neidentifikovatelným Datům, jak je v této Smlouvě uvedeno; (vi) veškeré důvěrné informace jedné Strany ve vlastnictví druhé Strany budou okamžitě zničeny; a (vii) zbývající VP, pokud je to relevantní, zůstanou zcela platné a účinné a podmínky této Smlouvy se na takové VP uplatní po dobu trvání takového VP.
Pozastavení Služeb. Pro vyloučení nejasností se uvádí, vedle práv na ukončení uvedených v této Smlouvě výše, že Xxxxx může pozastavit přístup ke Službám, pokud: (i) Klient nebo Oprávněný uživatel nebo jakákoli třetí osoba, která získala přístup ke Službám prostřednictvím Klienta, se zapojují do činností, které Roche přiměřeně považuje za riziko, pokud jde o zabezpečení a/nebo integritu Roche, Služeb nebo jakýchkoli Osobních údajů jednotlivce, jak je uvedeno níže, nebo které jsou podle této Smlouvy nebo právních předpisů zakázány; (ii) Klient nedodržuje jakékoli podmínky podle této Smlouvy; (iii) dle přiměřeného názoru Roche, se požaduje podle právních předpisů, aby tak učinila; nebo (iv) nastala Událost vyšší moci vymezená v této Smlouvě níže. V každém případě Roche oznámí pozastavení, jak to bude proveditelné. Takové pozastavení zůstává účinné po dobu trvání, kterou Xxxxx považuje za potřebnou k vyřešení příslušného problému (problémů). Pokud takový problém (problémy) nebudou vyřešeny, tato Smlouva a licence v ní uvedené mohou být ze strany Roche ukončeny v souladu s ustanoveními o ukončení, která jsou obsažena v této Smlouvě.
8 MLČENLIVOST.
„Důvěrné informace“ nebo „DI” znamenají veškeré technické, finanční nebo obchodní informace zpřístupněné ze strany Roche nebo některé z jeho Propojených osob nebo známých Klientovi v důsledku plnění této Smlouvy nebo jeho prostřednictvím, které nejsou veřejně známé, a to jak písemně, ústně nebo v jakékoli jiné formě a bez ohledu na to, zda jsou označeny jako důvěrné či ne, ale nezahrnují informace, u kterých Klient může písemnými záznamy prokázat, že (i) jsou veřejně známé, aniž by došlo k porušení této Smlouvy, (ii) byly v jeho držení bez jakéhokoli závazku mlčenlivosti Klienta v době zpřístupnění, (iii) byly obdrženy od třetí osoby bez omezení zveřejňování takové informace, nebo (iv) byly nezávisle vytvořeny bez využití nebo odkazu na DI nebo jiného porušení této Smlouvy. Důvěrné informace zahrnují Služby Roche. Tam, kde Xxxxxx uzavřely samostatnou dohodu o mlčenlivosti („NDA“), taková NDA bude upravovat výměnu DI podle této smlouvy a odkazem se stává její součástí. V případě, že NDA existuje, použijí se následující podmínky: každá strana, která obdrží Důvěrné informace podle této Smlouvy („Příjemce“), bude (i) uchovávat DI v přísné tajnosti, (ii) vyvíjet přiměřený rozsah péče, nikoli menší než takový, který uplatňuje vůči svým vlastním informacím podobné povahy při zabezpečování DI před jakoukoli ztrátou, odcizením nebo jiným neúmyslným zpřístupněním, a (iii) přijímat takové kroky, které jsou potřebné k zajištění a uchovávání mlčenlivosti. Každý Příjemce nebude zpřístupňovat, převádět nebo jakýmkoli způsobem vyzradit, přímo nebo nepřímo jakékoli DI za jakýchkoli okolností nebo jakýmikoli prostředky na jakoukoli třetí osobu bez předchozího písemného souhlasu poskytovatele DI („Poskytovatel“), s výjimkou toho, že každá strana může zpřístupnit DI svým zaměstnancům, konzultantům, zástupcům, dodavatelům a propojeným osobám, které informace potřebují znát a které se zavázali podobným závazkem ochrany důvěrnosti DI. Příjemce zůstává odpovědný Poskytovateli za jakákoli porušení mlčenlivosti jakýmkoli svými zaměstnanci, konzultanty, zástupci, propojenými osobami a třetími osobami, kterým Příjemce DI zpřístupnil. Jinak, než je potřebné pro plnění jeho závazků podle této Smlouvy, Příjemce nebude jakékoli DI kopírovat, přenášet, reprodukovat, shrnovat, citovat nebo jinak komerčně využívat bez předchozího písemného souhlasu Poskytovatele. DI zůstávají výhradním majetkem Poskytovatele. Při ukončení smluvního vztahu nebo kdykoli na žádost Poskytovatele Příjemce bezodkladně Poskytovateli vrátí veškeré DI (nebo pokud to bylo Příjemcem dovoleno, potvrdí jejich zničení), které jsou v držení či dispozici Příjemce nebo třetích osob, kterým byly Příjemcem poskytnuty.
9 PROHLÁŠENÍ A ZÁRUKY.
Každá Strana tímto prohlašuje a zaručuje druhé Straně, že: (i) je zcela oprávněna tuto Smlouvu uzavřít; a (ii) tato Smlouva je pro takovou Stranu platným a závazným závazkem. Vedle toho Klient prohlašuje, zaručuje a ujednává, že: (i) Klient má veškerá práva a licence potřebné k poskytování Klientského obsahu Roche a poskytnutí práv Roche, jak je v této Smlouvě uvedeno; (ii) uzavření této Smlouvy a plnění závazků Klienta podle této Smlouvy neporušuje jakoukoli jinou dohodu, jíž je Klient stranou; a (iii) jednotlivci určení ze strany Klienta vůči Roche jako Oprávnění uživatelé dovolili přístup k Údajům o pacientech nahraných a zpracovávaných jménem Klienta za použití Řešení NTB a Klient bude i nadále dodržovat veškeré příslušné právní předpisy za účelem zachování takových svolení (zejména včetně zajištění veškerých požadovaných souhlasů takových pacientů); a (iv) Klient bude plně dodržovat veškerá ustanovení článku 3 části Obecné povinnosti Klienta, výše. Xxxxx prohlašuje a zaručuje Klientovi, že Služby budou poskytovány podle této Smlouvy a jejích příloh.
10 ODPOVĚDNOSTI
Článek 9 a tento článek 10 vymezují úplnou odpovědnost Roche (včetně jakékoli odpovědnosti za úkony nebo opomenutí jejích subdodavatelů a jakýchkoli svých Propojených osob), pokud jde
o jakékoli porušení této Smlouvy nebo jiné smlouvy a jakéhokoli prohlášení, stanoviska nebo přestupkové jednání nebo opomenutí, včetně nedbalosti vzniklé podle této Smlouvy nebo v souvislosti s ní. Žádné ujednání tohoto článku 10 se nebude vykládat tak, že by omezovalo nebo vylučovalo odpovědnost Xxxxx za (i) za zranění osob nebo smrt v důsledku nedbalosti Roche, jejích zaměstnanců nebo zástupců; nebo (ii) za podvod nebo podvodné zkreslení nebo za jakoukoli jinou záležitost, u které by bylo nezákonné u Roche vyloučit, omezit nebo pokusit se o vyloučení nebo omezení její odpovědnosti. Klient poskytne Roche náhradu škody vzniklé v důsledku porušení této Smlouvy nebo právních předpisů a bude dbát na to, aby Roche škoda nevznikla ve vztahu k jakýmkoli nárokům třetích osob vzniklých z jednání a opomenutí Klienta, které se vztahují k užívání aplikací třetích osob.
11 NÁHRADA ŠKODY
Náhrada škody ze strany Roche. Xxxxx bude obhajovat na své vlastní náklady jakékoli nároky od třetích osob vůči Xxxxxxxxx a jeho představeným osobám, ředitelům a zaměstnancům (společně jako
„Odškodněné strany Klienta“) a zaplatí takové částky, které byly s konečnou platností přiznány soudem příslušné jurisdikce vůči Odškodněným stranám Klienta (včetně náhrady škody, úroků, nákladů a přiměřených poplatků právního zastoupení) nebo splatných podle vypořádání dojednaného s Roche písemně ve vztahu k takovým nárokům, do rozsahu, v jakém takové nároky vzniknou nebo se vztahují k nároku třetích osob, které tvrdí, že Řešení NTB Roche, jak bylo zpřístupněno nebo povoleno k užití podle této Smlouvy, představuje přímé narušení nebo zneužití práv duševního vlastnictví třetí osoby, která nárok („Nárok“) uplatňuje. Pro vyjasnění se uvádí, že Roche nevzniká podle tohoto článku 11 žádný závazek do rozsahu, v jakém se Nárok vztahuje nebo by mu mohlo být zamezeno ve vztahu k (i) používání Služeb jinak, než jak je v této Smlouvě výslovně umožněno, (ii) změně Služeb nebo jakéhokoli obsahu Roche jakoukoli osobou nebo subjektem jiným než Roche, (iii) kombinaci Služeb s jakýmkoli daty, obsahem softwarem, produktem, technologií nebo službou jakékoli třetí osoby, které nebyly dodány ze strany Roche, (iv) dalšímu používání Služeb ze strany Klienta poté, co Roche Klientovi sdělil, že je nemá používat, nebo (v) přisouzeným nárokům za úmyslné porušení směřované vůči komukoli jinému než Roche a jejím Propojeným osobám. V případě Nároku může Xxxxx dle svého vlastního uvážení a bez vzniku nákladů Klientovi změnit nebo nahradit Službu za účelem zamezení vzniku Nároku, a to bez podstatného snížení funkčnosti, získat licenci pro další užívání Služeb Klientem nebo ukončit jakékoli příslušné VP. Článek 11 vymezuje výhradní odpovědnost Xxxxx vůči Klientovi a výhradní prostředky nápravy Klienta vůči Xxxxx ve vztahu k Nároku.
Náhrada škody ze strany Klienta. Klient poskytne Roche náhradu škody způsobenou Klientem třetím osobám, pokud tyto osoby vznesou nároky vůči Roche a/nebo jejím Propojeným osobám a jejich příslušným statutárním orgánům, ředitelům a zaměstnancům, smluvním partnerům a zástupcům (společně jako „Odškodněné strany Roche“) , a to do rozsahu, v jakém takové nároky vzniknou nebo se vztahují k nároku třetích osob, které tvrdí: (a) porušení této Smlouvy Klientem; (b) porušení jakéhokoli právního předpisu nebo práv jakékoli třetí osoby ze strany Klienta; (c) skutečnost, že jakýkoli Oprávněný uživatel narušuje, porušuje nebo zneužívá jakákoli práva duševního vlastnictví třetích osob, porušuje jakékoli právo na soukromí nebo porušuje jakýkoli Příslušný právní předpis; nebo (d) užití Služby Klientem jiným způsobem, než je výslovně oprávněn v této Smlouvě.
Postup náhrady škody. Závazky Stran podle článku 11 (podle toho, který je relevantní) jsou podmíněny tím, že odškodňovaná strana („Odškodněný“) poskytne odškodňující straně („Odškodňující“) (i) bezodkladně písemné oznámení o jakémkoli nároku třetí osoby; (ii) předá výhradní možnost rozhodování o obraně nároku a jakýchkoli souvisejících jednáních a mediální prezentaci ohledně nároků a tvrzení za předpokladu, že Odškodňující neuzavře žádné narovnání, které ukládá závazky nebo omezení Odškodněnému bez předchozího písemného souhlasu Odškodněného,
přičemž takový souhlas nebude bezdůvodně odepřen, a (iii) přiměřenou spolupráci při takové obraně nebo narovnání na náklady Odškodňující strany. Odškodňující bude zbaven svých závazků podle článku 11 (jak je to relevantní), a to do rozsahu, kdy nárok třetí osoby vzniká, vztahuje se nebo by mohl být vyloučen, avšak s výjimkou nedbalosti, úmyslného jednání nebo porušení této Smlouvy Odškodněným.
12 RŮZNÉ
Publicita. Xxxxx může uvádět název a logo Klienta ve svém seznamu zákazníků a v tiskových zprávách, které oznamují, že si jej Roche vybral jako svého Klienta, v každém případě za podmínky písemného schválení ze strany Klienta. Klient nebude používat název nebo ochranné známky Roche, propagovat jakékoli výrobky nebo služby Roche, odkazovat nebo informovat o existenci této Smlouvy nebo závazků dle ní plněných, přímo ani nepřímo, bez předchozího písemného souhlasu Roche.
Právní. (a) Xxxx Xxxxxxx se řídí a bude vykládána v souladu s právními předpisy České republiky bez ohledu na její ustanovení mezinárodního práva soukromého. Strany tímto souhlasí a dohodly se, že výhradní a exkluzivní soudní příslušnost a místní příslušnost pro žaloby v souvislosti s touto Smlouvou bude obecný soud Roche. Mezinárodní úmluva OSN o smlouvách o mezinárodní koupi zboží se nepoužije; (b) nadpisy článků slouží pouze pro usnadnění odkazování; (c) tato Smlouva nevytváří jakákoli práva ve prospěch třetích osob ke Službám nebo jakémukoli produktu zpřístupněnému prostřednictvím Služby; (d) skutečnost, že kterákoli strana nevymáhá jakékoli ustanovení, nezpůsobuje zřeknutí se jejího práva učinit tak později; (e) pokud je shledáno, že jakékoli ustanovení je nevymahatelné, zbývající ustanovení těchto Podmínek zůstanou zcela účinná a dojde k náhradě vymahatelným ustanovením, které zachycuje co neblíže je to možné záměr Strany; (f) Roche a Klient nejsou právními partnery nebo zástupci ani žádná ze stran není oprávněna ani zmocněna zavazovat druhou stranu; namísto toho jde o vztah nezávislých smluvních stran; (g) pokud Roche není schopen plnit jakékoli své závazky podle této Smlouvy z důvodu nepříznivého počasí, přírodních katastrof, vyšší vůle, nepokojů, válek, loupeží, vládních zásahů nebo jiných událostí mimo svoji přiměřenou kontrolu, pak se Xxxxx zbavuje plnění svých závazků do rozsahu a po dobu, kdy je takové plnění takovými událostmi znemožněno nebo dotčeno; a (h) každá strana bude dodržovat veškeré příslušné místní, státní, národní a zahraniční právní předpisy, pravidla a nařízení (včetně příslušných právních předpisů a nařízení o vývozu) při plnění této Smlouvy a užití Služeb. Aniž je tím dotčeno výše uvedené, se stanoví: (i) každá Strana prohlašuje, že není uvedena na žádném seznamu vlády USA osob nebo subjektů, jimž je zakázáno být příjemci z dovozu; a (ii) Klient neumožní uživatelům přístup nebo používání Služeb v rozporu s jakýmkoli americkým vývozním embargem, zákazem nebo omezením.
Postoupení. Žádná strana nepostoupí, nedeleguje ani jinak nepřevede (bez ohledu na to, zda dobrovolně, z důvodu právního předpisu nebo jinak) tuto Smlouvu nebo jakákoli práva nebo závazky podle této Smlouvy bez předchozího písemného souhlasu druhé strany; nicméně Xxxxx může tuto Smlouvu postoupit bez písemného souhlasu Klienta Propojené osobě Roche nebo jakémukoli subjektu, se kterým se Roche sloučí či splyne nebo kterému Xxxxx prodá veškerý svůj majetek či jeho podstatnou část. Jakýkoli pokus o postoupení v rozporu s tímto článkem je neplatný a neúčinný. Za podmínek výše uvedených tato Smlouva vytváří práva a zavazuje nástupce a dovolené postupníky stran. Pro vyloučení nejasností se uvádí, že „Propojená osoba“ znamená ve vztahu k jakékoli straně jakéhokoli jiného jednotlivce, subjekt nebo správní orgán, který ovládá, je ovládán nebo je společně ovládán takovou Osobou. Pro účely této definice a Smlouvy znamená výraz „ovládání“ (a odpovídající výrazy) oprávnění, bez ohledu na to, zda dle smlouvy, vlastnictví kapitálu nebo jinak, určovat politiku nebo vedení Osoby. V případě Roche pro účely této Smlouvy výraz „Propojená osoba“ nezahrnuje Chugai Pharmaceutical Co., Ltd., 0-0, Xxxxxxxx 0-xxxxx, Xxxx-xx, Xxxxx, 000-0000, Xxxxxxxx („Chugai“) nebo Foundation Medicine, Inc. („Nadace“), xxxxxx Xxxxx předá Klientovi písemné oznámení s uvedením, že Chugai a/nebo Nadace jsou Propojenými osobami Roche.
Oznámení. Veškerá oznámení, souhlasy, vzdání se práv a jiná sdělení vyžadovaná nebo dovolená podle této Smlouvy budou písemně, budou konkrétně odkazovat na tuto Smlouvu a budou zaslány příjemcům uvedeným níže poštou do druhého dne, kurýrem, doporučenou poštou nebo faxem (následovaným potvrzující kopií poštou) a má se u nich za to, že byly obdrženy při doručení.
Pro Roche: | Pro Klienta: |
ROCHE s.r.o. | Masarykův onkologický ústav |
Xxxxxxxxxx 000/000x, 00000 Xxxxx 0 | Xxxxx xxxxx 0, 000 00 Xxxx |
S kopií pro: | S kopií pro: |
K rukám: Právní oddělení | K rukám: xxx. XXXx. Xxxxxx Xxxxxxx, Ph.D. |
Vyjádření k Období 1; Strany shodně uvádí, že podmínky této Smlouvy ujednaly s účinností k 1.1.2020 s tím, že v po dobu celého Období 1, které má počátek před účinností této Smlouvy podlupovaly v dobré víř v souladu s ujendanými podmínkami této Smlouvy.
Úplná Smlouva; vyhotovení. Tato Xxxxxxx nahrazuje veškerá předchozí ujednání a písemnosti (a představuje úplnou dohodu o ní mezi stranami) ve vztahu k předmětu této Smlouvy. Pro vyloučení nejasností se uvádí, že tato Xxxxxxx nabývá platnosti podpisem oběma Stranami a účinnosti dnem jejího uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů. Xxxxx prohlašuje, že veškeré ceny uvedené v této Smlouvě představují obchodní tajemství a musí tak být před zveřejněním v registru smluv začerněny, a to s výjimkou pouze celkové ceny služeb v období s uplatněnou slevou. Strany mohou tuto Smlouvu měnit písemně s podpisy řádně oprávněných zástupců Stran, nebo jak bylo podle této Smlouvy dovoleno. Žádná ústní dohoda nebo prohlášení mezi osobami, které se účastní jakéhokoli projektu popsaného v této Smlouvě nebo VP níže nebude závazné pro Roche nebo Klienta. Podmínky nákupních objednávek Klienta nebo jiné zadávací dokumentace nebo e-mailu, který je zamýšlen, aby měnil nebo nahrazoval tuto Smlouvu, nebudou rozšiřovat ani měnit podmínky této Smlouvy a nejsou platné a účinné, ani když byly ze strany Roche podepsány. Jakékoli VP nebo přílohy k této Smlouvě se stávají součástí této Smlouvy odkazem a stávají se její nedílnou součástí. V případě rozporu mezi textem této smlouvy a některou z příloh A až D platí, že přednost mají ustanovení této smlouvy (tj. čl. 1 – 12č). Tato Smlouva je vyhotovena ve dvou vyhotoveních, kdy každé z nich je považováno za originál.
NA DŮKAZ ČEHOŽ Xxxxx a Klient si přečetli, porozuměli a souhlasí s podmínkami této Xxxxxxx a tímto nechali tuto Smlouvu podepsat svými řádně oprávněnými zástupci
Xxxxxxx
Jméno:
c
Digitally signed by Xxxxx
Xxxxxxxx Xxxxxx
Funkce: Muller
Date: 2020.09.30
17:35:40 +02'00'
Sládk
Digitally signed by Xxxxx Xxxxxxxx
Date:
2020.09.30
ová +02'00'
20:26:23
ROCHE s.r.o. Masarykův onkologický ústav
xxxx. XXXx. Xxxxx Xxxxxxx, Ph.D.
ředitel
Datum Datum
PŘÍLOHA A
VYMEZENÍ PRÁCE
OBJEDNÁVKA PŘEDPLATNÉHO ROCHE NAVIFY TUMOR BOARD
1 POPIS SLUŽEB ROCHE.
Za podmínek této Smlouvy Roche poskytne Klientovi následující Služby:
NAVIFY Tumor Board. Roche poskytne Klientovi přístup k Řešení NTB (také jako 9093907001 NAVIFY TB MAN 1-10 USER 6-15 SITES) až pro 20 uživatelů v Období 1 a až pro 10 uživatelů (připojených v místě sídla Klienta případně v jiných místech dle dohody stran) v Období 2 a následujících obdobích 12ti měsíců v případě, že Smlouva bude prodloužena postupem dle článku 7 Smlouvy. Pro vyloučení nejasností se uvádí, že Klient předá Roche úplný seznam Oprávněných uživatelů (včetně úplného jména každého uživatele a jeho pracovní e- mailové adresy), a to nejpozději k datu uzavření tohoto VP. Roche bude takové údaje používat výhradně pro účely vytvoření příslušných přihlašovacích údajů pro každého takového Oprávněného uživatele za účelem přístupu k Řešení NTB. V souladu s podmínkami Smlouvy mohou být přidáni jacíkoli další Oprávnění uživatelé nebo Klientovy pobočky.
Aplikace na podporu klinického rozhodování.
Jak je to dovoleno podle článku 2 Smlouvy, Roche poskytne Klientovi přístup k následujícím aplikacím na podporu klinického rozhodování: (i) Vyhledávání v publikacích NAVIFY (také jako 8749817001 NAVIFY TB Publication Search); a (ii) Klinické vyhledávání shody NAVIFY (také jako 8749809001 NAVIFY TB Clinical Trial Match) („Aplikace“). K těmto Aplikacím lze získat přístup prostřednictvím Řešení NTB a jsou provozovány prostřednictvím Molecular Match, Inc.
Roche Healthcare Consulting. Roche poskytne Klientovi konzultační služby v rozsahu uvedeném v platebním harmonogramu v článku 3 níže za účelem analýzy současného stavu a návrhu optimalizovaného Řešení NTB.
2 HODNOTÍCÍ OBDOBÍ.
Hodnotící období je umožněno v článku 7 Smlouvy, Klient je oprávněn toto VP ukončit kdykoli během prvních devadesáti (90) dnů od Data účinnosti prostřednictvím písemného oznámení Roche v předstihu pěti (5) pracovních dnů („Hodnotící období“) a dále také písemnou výpovědí s účinností ke konci Období 1 či Období 2 danou v předstihu 30 dnů před koncem daného období.
3 PROTIPLNĚNÍ; PLATEBNÍ STRUKTURA.
Služby poskytované ze strany Roche jsou zpoplatněny na základě předplatného a zahrnují Služby uvedené v článku 1 tohoto VP včetně školení.
Platební harmonogram. Cena předplatného Řešení NTB (jak je uvedeno výše) + cena za Aplikace (jak je uvedeno výše), tzn. cena Služeb definovaných v článku 1 výše je sjednána následovně:
(i) pro období ode 1.1.2020 této Smlouvy do 31. 10. 2020 (dále jen „Období 1“):
Popis licencovaného řešení | Cena za Období 1 bez slevy | Rozsah slevy, uplatňuje-li se | Cena za Období 1 se slevou |
Licence NAVIFY Tumor Board až pro 20 Oprávněných uživatelů (včetně školení, implementace, upgradů a služeb vzdálené podpory) až pro 400 pacientů za celou dobu trvání Smlouvy | 2 812 500 Kč | 90 % | 281 250 Kč |
Aplikace na podporu klinického rozhodování | 375 000 Kč | 90 % | 37 500 Kč |
Roche Healthcare Consulting – rozsah 20 hodin | 30 000 Kč | 0 % | 30 000 Kč |
CELKOVÁ CENA SLUŽEB ZA OBDOBÍ 1 | 3 217 500 Kč | 348 750 Kč | |
(ii) pro období od 1. 11. 2020 do 31.10. 2021 (dále jen „Období 2“):
Popis licencovaného řešení | Cena za měsíc v Období 2 | Cena za Období 2 |
8749817001 NAVIFY TB Publication Search | 10 417,00 Kč | 125 004 Kč |
8749809001 NAVIFY TB Clinical Trial Match | 10 417,00 Kč | 125 004 Kč |
9093907001 NAVIFY TB MAN 1-10 USER 6-15 SITES | 23 458,00 Kč | 281 496 |
CELKOVÁ CENA SLUŽEB ZA OBDOBÍ 2 | 531 504 Kč |
Odměna za Aktivity Klienta. Za Aktivity Klienta je Roche povinna uhradit odměnu stanovenou v Příloze D. Klient vystaví na své plnění faktury ve stejných lhůtách a splatnostech jako budou faktury Roche, tzn. za Aktivity Klienta v Období 1 v den podpisu této Smlouvy Klientem.
Platební struktura. Xxxxx je oprávněna vystavit fakturu za (i) Služby za Období 1 v den podpisu této Smlouvy ze strany Roche, (ii) Služby za Období 2 dne 1.11.2020, (iii) Služby za ostatní období 12 měsíců v případě prodloužení Smlouvy postupem dle článku 7 Smlouvy vždy první den daného období (tj. dne 1.1. daného kalendářního roku). Uvedená data vystavení „faktury – daňový doklad“ se současně budou podle § 21 odst. 3 zákona o DPH č. 235/2004 Sb. považovat za datum uskutečnění zdanitelného plnění pro účely jeho individuálního stanovení dle této Smlouvy.Veškeré faktury musí být příslušnou Stranou zaplaceny do šedesáti
(60) dnů od data obdržení faktury příslušnou Stranou. Strany nebudou během Počátečního období navyšovat ceny uvedené výše. Strany se dohodly, ze jsou oprávněny si vzájemně započíst faktury proti sobě s tím, že jakékoliv rozdíly v částce jsou si Strany povinny uhradit ve lhůtě splatnosti faktur. „Faktura – daňový doklad“ bude splňovat veškeré náležitosti stanovené právními předpisy, zejména náležitosti dle § 29 Zákona o DPH, včetně výše ceny zvýšené o DPH ve výši dle právních předpisů platných a účinných ke dni zdanitelného plnění, pokud se DPH ve vztahu k ceně uplatní.
PŘÍLOHA B SZOÚ
Smlouva o zpracování osobních údajů
mezi
Masarykův onkologický ústav
IČO: 00209805
Žlutý kopec 543/7, 656 53 Brno
– Správce –
– dále uváděn jako ZÁKAZNÍK – a
ROCHE s.r.o.
IČO: 49617052,
se sídlem Xxxxxxxxxx 000 / 000x, 00000 Xxxxx 0
– Zpracovatel –
– dále uváděn jako ROCHE –
1 Předmět a doba trvání Smlouvy o zpracování osobních údajů
1.1 Předmět
Předmět této Smlouvy o zpracování osobních údajů (dále uváděna jako „SZOÚ“) vyplývá ze SMLOUVY O ROCHE NAVIFY TUMOR BOARD mezi ZÁKAZNÍKEM a ROCHE ohledně
poskytování a provozu ROCHE NAVIFY TUMOR BOARD, ke kterému je tato SZOÚ připojena jako příloha (dále uváděna jako „Smlouva“).
1.2 Trvání
Doba trvání této SZOÚ odpovídá trvání Smlouvy.
2 Specifikace podrobností o SZOÚ
2.1 Kategorie Subjektů údajů
Kategorie Subjektů údajů zahrnují:
a. Zaměstnanci, smluvní partneři a zástupci ZÁKAZNÍKA (pouze fyzické osoby, ne právnické osoby)
b. zákazníci a potenciální zákazníci ZÁKAZNÍKA (pacienti, včetně určených kontaktů)
2.2 Typ údajů
Předmět zpracování osobních údajů („údaje“) zahrnuje následující typy/kategorie údajů
a. Ve vztahu ke Kategorii a) Subjektů údajů výše:
Obchodní kontaktní údaje (jméno a příjmení, obchodní firma, adresa, IČO)
Údaje související s údržbou, jako jsou systémové přihlašovací údaje (bez hesel) (přihlašovací jméno – login, datum a čas přihlášení, doba trvání přihlášení)
b. Ve vztahu ke Kategorii b) Subjektů údajů výše:
Identifikační údaje pacientů ZÁKAZNÍKA (jméno a příjmení, RČ, adresa)
Zdravotní údaje pacientů ZÁKAZNÍKA (anamnéza, výsledky radiologie, výsledky patologie, RTG a CT snímky pacienta, biochemické a molekulární markery aj.)
ROCHE ani žádný z jeho subdodavatelů však nemá čitelný přístup k jakékoli Kategorii Údajů b), neboť takové údaje zůstanou během přenosu šifrovány a ve zbývající části bez možnosti dešifrování ze strany ROCHE nebo jakéhokoli z jeho subdodavatelů.
Závazek smluvně dohodnutého Zpracování Údajů bude realizován výhradně v souladu s GDPR a v rámci Členského státu Evropské unie (EU), Švýcarska nebo v rámci Členského státu Evropského hospodářského prostoru (EHS), ledaže je ze strany ROCHE zvlášť uvedeno jinak a za podmínek uzavření Standardních smluvních ujednání s příslušným subdodavatelem ROCHE nebo příslušné certifikace daného subdodavatele ROCHE podle úmluvy Privacy Shield mezi EU a USA.
2.3 Povaha zpracování
Zpracováním osobních údajů se pro účely této smlouvy rozumí: shromáždění, zaznamenání, uspořádání, strukturování, uložení, vyhledávání, zpřístupnění přenosem, omezení, výmaz nebo zničení.
3 Technická a organizační opatření
1. Potřebná technická a organizační opatření jsou doložena v Příloze 1 této Smlouvy („Technická a organizační opatření“) a jsou tímto ZÁKAZNÍKEM schválena. Doložená opatření jsou základem této SZOÚ. Pokud ZÁKAZNÍK vyžaduje změny, takové změny budou realizovány po vzájemné dohodě. ROCHE si vyhrazuje právo přeúčtovat náklady ZÁKAZNÍKOVI spojené s implementací požadovaných Technických a organizačních opatření.
2. Na základě dohodnutých Technických a organizačních opatření ROCHE zajistí zabezpečení v souladu s článkem 28 odst. 3 písm. c) a článkem 32 Nařízení GDPR, zejména ve spojení s článkem 5 odst. 1 a článkem 2 GDPR, v souladu s pokyny ZÁKAZNÍKA. Technická a organizační opatření, která mají být přijata, jsou opatření za účelem zabezpečení údajů a opatření, která zaručují úroveň ochrany, jež je vhodná s ohledem na nebezpečí týkající se důvěrnosti, integrity, dostupnosti a odolnosti systémů. Nejnovější technologie, implementační náklady, povaha, rozsah a účely zpracování, jakož i pravděpodobnost výskytu a závažnost rizik ve vztahu k právům a svobodám fyzických osob v rámci článku 32 odst. 1 GDPR jsou ze strany ROCHE zohledněna. Podrobnosti k tomu jsou uvedeny v Příloze 1.
3. ZÁKAZNÍK označí a vhodným způsobem omezí zpřístupnění Údajů na to, co bylo popsáno jako předmět služeb ROCHE.
4. XXXXX bude ZÁKAZNÍKA informovat, pokud dle názoru ROCHE jakýkoli pokyn ZÁKAZNÍKA porušuje jakýkoli příslušný právní předpis o ochraně soukromí, přičemž tento
požadavek nevytváří jakýkoli závazek ROCHE týkající se nezávislého vyšetřování nebo poskytování právních nebo regulatorních rad.
5. Pokud ZÁKAZNÍK požaduje, aby se ROCHE řídila pokyny ohledně zpracování navzdory oznámení ROCHE, že takový pokyn porušuje příslušný právní předpis o ochraně soukromí, ZÁKAZNÍK ponese veškerou odpovědnost a bude bránit, poskytovat náhradu škody a předcházet vzniku škody na straně ROCHE, a to pokud jde o jakékoli nároky a škodu, vzniklé z jakéhokoli pokračujícího zpracovávání v souladu s takovými pokyny.
6. ZÁKAZNÍK bere tímto od Data účinnosti na vědomí a souhlasí, že považuje Technická a organizační opatření popsaná v Příloze 1 za vhodná, a to se zohledněním průběžného stavu technologického vývoje, nákladů na implementaci a povahy, rozsahu, kontextu a účely zpracování, jakož i pravděpodobnosti a závažnosti rizik ve vztahu k Subjektům údajů.
7. Technická a organizační opatření podléhají technickému pokroku a dalšímu vývoji. V tomto ohledu je pro ROCHE přípustné implementovat odpovídající alternativní opatření. Přitom nesmí být snížena úroveň zabezpečení stanovených opatření. Podstatné změny musí být stranami odsouhlaseny a zachyceny v Příloze 1.
4 Oprava, omezení a výmaz údajů
1. ROCHE nesmí ze svého vlastního podnětu opravovat, mazat nebo omezovat zpracování Údajů, které jsou zpracovávány jménem ZÁKAZNÍKA, nýbrž jen v souladu s doloženými pokyny ZÁKAZNÍKA.
2. Pokud Subjekt údajů kontaktuje přímo ROCHE ohledně opravy, výmazu nebo omezení zpracování, ROCHE bez zbytečného odkladu předá požadavek Subjektu údajů ZÁKAZNÍKOVI.
3. Pokud poskytování služeb ze strany společnosti ROCHE, dle této SZOÚ zahrnuje i provedení výmazu údajů, práva být zapomenut, opravy, přenositelnosti údajů a přístupu k nim, budou veškeré požadavky provedeny dle pokynu ZÁKAZNÍKA bez zbytečného odkladu.
4. Kvůli úplnému šifrování osobních údajů, se ROCHE zavazuje řádně a bezodkladně poskytnout ZÁKAZNÍKOVI podporu při implementaci jakéhokoliv požadavku na přenositelnost, výmaz nebo omezení zpracování. Zajištění kvality a ostatní povinnosti ROCHE
5. Vedle dodržování pravidel stanovených v této SZOÚ bude ROCHE dodržovat zákonné požadavky uvedené v článcích 28 až 33 GDPR; v souladu s tím ROCHE zajišťuje zejména dodržování následujících požadavků:
a) ROCHE ustanovila společnost FairData, a.s. , jako svého Pověřence pro ochranu údajů, který plní své povinnosti v souladu s články 38 a 39 GDPR. ZÁKAZNÍK bude informován o jakékoli změně Pověřence pro ochranu údajů.
b) Mlčenlivost v souladu s článkem 28 odst. 3 věta 2 písm. b), článkem 29 a 32 odst. 4 GDPR. ROCHE svěřuje zpracování údajů uvedené v této smlouvě pouze takovým zaměstnancům, kteří byli zavázáni k mlčenlivosti a byli dříve seznámeni s ustanoveními o ochraně údajů, které jsou pro jejich práci relevantní. XXXXX a jakákoli osoba jednající z jejího podnětu, která má přístup k osobním údajům, nebude takové údaje zpracovávat, ledaže jde o pokyny ZÁKAZNÍKA, které zahrnují oprávnění poskytnutá touto SZOÚ, ledaže právní předpisy požadují jinak.
c) Implementace a dodržování veškerých Technických a organizačních opatření odsouhlasených v Příloze 1 v souladu s článkem 28 odst. 3 věta 2 písm. c), článkem 32 GDPR.
d) ZÁKAZNÍK a XXXXX budou na žádost spolupracovat s dozorovým úřadem při plnění jeho úkolů.
e) ZÁKAZNÍK bude bez zbytečného odkladu informován o jakýchkoli kontrolách a opatřeních prováděných dozorovým úřadem, pokud se vztahují k této SZOÚ. To se rovněž použije v rozsahu, v jakém je XXXXX předmětem vyšetřování nebo je stranou vyšetřování ze strany příslušného úřadu v souvislosti s porušeními jakéhokoli občanskoprávního nebo trestního právního předpisu nebo správního předpisu nebo úpravy týkající se zpracování osobních údajů v souvislosti s tímto Příkazem nebo Smlouvou.
f) V rozsahu, v jakém je ZÁKAZNÍK předmětem vyšetřování dozorovým úřadem, správního nebo společného přestupkového nebo trestního řízení, odpovědnostního nároku ze strany Subjektu údajů nebo třetí osoby nebo jakéhokoli jiného nároku v souvislosti s Příkazem nebo Smluvního zpracování údajů ze strany ROCHE přijme ROCHE veškeré přiměřené úsilí za účelem podpory ZÁKAZNÍKA.
g) ROCHE bude pravidelně monitorovat interní procesy a Technická a organizační opatření za účelem zajištění, že zpracování v rámci jeho oblasti odpovědnosti je v souladu s požadavky příslušných právních předpisů o ochraně údajů a ochraně práv subjektu údajů.
h) Prověřitelnost Technických a organizačních opatření prováděných ZÁKAZNÍKEM jakožto součásti kontroly ZÁKAZNÍKA podle bodu 7 této SZOÚ.
5 Subdodávky
1. Subdodávkami se pro účely této SZOÚ rozumí služby, které se přímo vztahují k poskytování hlavní služby ze strany ROCHE. To nezahrnuje dodatečné služby, jako jsou telekomunikační služby, poštovní/přepravní služby, služby údržby a uživatelské podpory nebo likvidace datových nosičů, jakož i ostatní opatření k zajištění mlčenlivosti, dostupnosti, integrity a odolnosti hardwarového a softwarového vybavení ke zpracování údajů. ROCHE nicméně bude povinna přijmout vhodná a zákonná závazná smluvní ujednání a provést vhodná kontrolní opatření k zajištění ochrany údajů a zabezpečení údajů ZÁKAZNÍKA, a to i v případě externě dodávaných dodatečných služeb.
1. ROCHE může pověřit subdodavatele (dodateční smluvní zpracovatelé), jak je to ZÁKAZNÍKEM dále výslovně schváleno.
ZÁKAZNÍK souhlasí, že za podmínek smluvní dohody v souladu s článkem 28 odstavce 2-4 GDPR pověří následující subdodavatele:
Společnost subdodavatele | Adresa/stát | Služba |
X. Xxxxxxxx-La Roche Ltd Roche Molecular Systems, Inc. | Xxxxxxxxxxxxxxxxx 000, 0000 Xxxxx, Švýcarsko 0000 Xxxxxxxx Xxxxx, Xxxxxxxxxx, XX 00000, XXX | Poskytování služeb, které jsou popsány ve smlouvě, v postavení externího poskytovatele, dalšího zpracovatele osobních údajů |
Okta UK Ltd | 00 Xxxxxxxxxx Xx Xxxxxx | Poskytování služeb řízeného ověřování, včetně více-faktorového ověřování. |
Okta Inc | EC1M 3HE Spojené království 000 Xxxxxxx Xxxxxx, 0xx Xxxxx Xxx Xxxxxxxxx, XX 00000, XXX | Okta bude uchovávat osobní údaje, které jsou uvedeny v oddíle 2 (1) a) v souvislosti se ZÁKAZNÍKEM, jako jsou jméno a e-mailová adresa, pouze na serverech v EU. Údaje budou uchovávány v šifrované podobě. | |
ClearDATA | Networks, | 000 Xxxx 0xx Xxxxxx, Xxxxx 000, | Xxxxxxxxxxx cloudových hostingových |
Inc. | Austin, Texas 78701 | služeb ze strany ClearDATA | |
prostřednictvím Amazon Web Services | |||
(AWS) v postavení hostingového | |||
poskytovatele bezpečnostní služby pro | |||
bezpečnostní údržbu služeb. Během | |||
poskytování těchto služeb může | |||
ClearDATA zpracovávat osobní | |||
informace, které jsou uvedeny v oddíle | |||
2 (1) a) ve vztahu k Zákazníkovi (např. | |||
v souborech logů zabezpečení). | |||
ClearDATA nebo AWS nebude mít | |||
v žádném případě přístup k jakýmkoli | |||
osobním údajům, které jsou uvedeny | |||
v kategorii 1 (b). Veškeré Údaje budou | |||
výhradně uchovávány v prostorách | |||
AWS ve Frankfurtu, Main, Německo. | |||
Outsouring dalším subdodavatelům nebo změna stávajícího subdodavatele jsou přípustné, když:
- ROCHE předá ZÁKAZNÍKOVI písemně nebo v textové formě oznámení o outsourcingu subdodavatele před zahájením využívání subdodavatele; a
- ZÁKAZNÍK souhlasí s využíváním subdodavatelů za předpokladu, že podmínky této smlouvy se promítnou do smluvního ujednání mezi ROCHE a Subdodavatelem; a
- Subdodávkování vychází ze smluvního ujednání v souladu s článkem 28 odstavce 2-4 GDPR.
2. K předávání osobních údajů od ZÁKAZNÍKA subdodavateli a zahájení zpracování údajů subdodavatelem může dojít pouze poté, co bylo dosaženo dodržování veškerých požadavků.
3. Další zpracování osobních údajů ze strany subdodavatele vyžaduje výslovný souhlas ZÁKAZNÍKA a ROCHE (přinejmenším v textové formě).
6 Kontrolní pravomoci ZÁKAZNÍKA
1. ZÁKAZNÍK má právo po předchozím oznámení ROCHE provádět kontroly naplnění smluvních ustanovení SZOÚ sám nebo prostřednictvím 3. osob – auditorů. Audit plnění smlouvy je možné v odůvodněných případech provést na základě písemného oznámení zaslaného nejméně 30 kalendářních dnů před plánovaným auditem. Audit bude probíhat v pracovní době 9-17 hod a nesmí nad míru zasahovat do plnění pracovních povinností zaměstnanců ROCHE.
2. XXXXX zajistí, že ZÁKAZNÍK bude schopen ověřovat dodržování závazků ze strany ROCHE v souladu s článkem 28 GDPR. ROCHE se zavazuje poskytnout ZÁKAZNÍKOVI na žádost potřebné informace a zejména prokázat plnění Technických a organizačních opatření.
3. Doložení takových opatření, která zahrnují nejen zvláštní SZOÚ, může být zajištěno i kterýmkoli z následujících způsobů:
- Dodržování schváleného kodexu chování podle článku 40 GDPR.
- Certifikace podle schváleného certifikačního postupu v souladu s článkem 42 GDPR.
- Stávající certifikáty auditorů, zprávy nebo výpisy ze zpráv poskytnutých nezávislými orgány (např. auditor, pověřenec pro ochranu osobních údajů, oddělení IT bezpečnosti, auditor pro ochranu údajů, auditor kvality).
- Vhodná certifikace IT bezpečnosti nebo audit ochrany údajů (např. podle BSI- Grundschutz (Certifikace základní IT ochrany vytvořená Německým spolkovým úřadem pro bezpečnost informačních technologií (BSI) nebo ISO/IEC 27001).
7 Komunikace v případě porušení ze strany ROCHE
1. ROCHE poskytne ZÁKAZNÍKOVI pomoc při dodržování závazků týkajících se zabezpečení osobních údajů, požadavků na podávání hlášení o porušení zabezpečení osobních údajů, posouzení vlivu na ochranu osobních údajů a předchozí konzultace uvede v článcích 32 až 36 GDPR. Zahrnují následující:
a) Zajištění vhodné úrovně ochrany prostřednictvím Technických a organizačních opatření, která berou na vědomí okolností a účely zpracování, jakož i předpokládanou pravděpodobnost a závažnost možného porušení právních předpisů v důsledku zranitelnosti zabezpečení, a která umožňují okamžité zjištění příslušných událostí porušení.
b) Závazek hlásit ZÁKAZNÍKOVI porušení zabezpečení osobních údajů bez zbytečného prodlení poté, co se o tom dozvěděla.
c) Povinnost poskytnout ZÁKAZNÍKOVI pomoc s ohledem na závazek ZÁKAZNÍKA poskytnout informace dotčenému Subjektu údajů a bezodkladně poskytnout ZÁKAZNÍKOVI veškeré příslušné informace v tomto ohledu.
d) Xxxxxxx ZÁKAZNÍKA ohledně jeho posuzování vlivu na ochranu osobních údajů.
e) Podpora ZÁKAZNÍKA ohledně předchozích konzultací s dozorovým úřadem.
8 Práva a závazky týkající se pokynů ZÁKAZNÍKA
1. ZÁKAZNÍK bezodkladně potvrdí své ústní pokyny dané ROCHE (přinejmenším v textové formě).
2. XXXXX bude ZÁKAZNÍKA bezodkladně informovat, pokud se domnívá, že pokyn porušuje předpisy o ochraně údajů. XXXXX bude poté oprávněna pozastavit plnění příslušných pokynů, dokud je ZÁKAZNÍK nepotvrdí nebo je nezmění.
3. ZÁKAZNÍK získá veškeré souhlasy, oprávnění a jiná svolení od Subjektů údajů, které mohou být potřebné nebo vyžadované podle příslušných právních předpisů ve vztahu k Údajům, které mají být ze strany ROCHE a jeho subdodavatelů podle Xxxxxxx zpracovány.
9 Odstranění a vrácení osobních údajů
1. Bez vědomí ZÁKAZNÍKA nebudou nikdy vytvářeny kopie nebo duplikáty údajů, s výjimkou záložních kopií v rozsahu, který je potřebných pro zajištění žádného zpracování údajů, jakož i údajů
požadovaných pro dodržování regulatorních požadavků na uchovávání údajů. ZÁKAZNÍK bere na vědomí, že z důvodu použitého šifrování a výsledného nesdělování Údajů ROCHE nebude ROCHE schopna provést zálohu nebo obnovu jednotlivých datových sestav, ale pouze databáze v jejím celku (tj. jako náhled). Je závazkem ZÁKAZNÍKA zpracovávat Údaje individuálně.
2. Po uzavření sjednané práce nebo na žádost ZÁKAZNÍKA dříve, nejpozději při ukončení Smlouvy, ROCHE předá ZÁKAZNÍKOVI nebo – s předchozím souhlasem – zničí veškeré dokumenty, výsledky zpracování a využití, a datové sestavy vztahující se ke smlouvě, které má ve svém držení, a to způsobem v souladu s ochranou údajů. Totéž se vztahu na jakýkoli a veškerý související testovací, odpadní, nadbytečný a vyřazený materiál. Záznam o zničení nebo výmazu bude na žádost poskytnut.
3. Dokumentace, která byla použita k prokázání řádného zpracování údajů v souladu s Příkazem nebo Smlouvou, bude na straně ROCHE uchovávána nad rámec trvání smlouvy v souladu s příslušnými archivačními lhůtami. XXXXX může takovou dokumentaci předat ZÁKAZNÍKOVI na konci období SZOÚ a tím zbavit ROCHE jeho archivačního závazku.
, (Místo, datum)
ZÁKAZNÍK
Jméno: xxxx. XXXx. Xxxxx Xxxxxxx, Ph.D. Titul: ředitel
MÍSTO,
ROCHE
Jméno:
Titul:
Jméno:
Titul:
PŘÍLOHA C
Technická a organizační opatření
1 Mlčenlivost/kontroly zabezpečení (Článek 32 odstavec 1 písm. b GDPR)
1.1 Kontrola fyzického přístupu
Zařízení pro zpracování: Veškerá zařízení pro zpracování, chráněna před neoprávněným přístupem prostřednictvím bezpečnostních ověřovacích opatření.
Datová centra: Datová centra řízení AWS, která uchovávají citlivé údaje, jsou dle nejmodernější technologie, používají inovativní architektonické a technické přístupy. Datová centra jsou v nevýrazných zařízeních umístěných v Evropské unii, konkrétně v oblasti Frankfurtu v Německu. Fyzický přístup je přísně kontrolován, a to jak v obvodu budovy, tak ve virtuálních přístupových bodech profesionální bezpečnostní ostrahou za použití video dohledu, systémů detekce proniknutí a ostatních elektronických prostředků. Oprávnění zaměstnanci AWS musí projít dvou-faktorovým ověřením nejméně dvakrát, aby měli přístup do pater datového centra. U všech návštěvníků a smluvních partnerů se vyžaduje, aby prokázali svou totožnost a podepsali se, a jsou soustavně doprovázeni oprávněnými zaměstnanci.
Fyzický přístup do datových center se poskytuje pouze těm, kteří takové oprávnění legitimně obchodně potřebují. To je určeno předpisy a postupy AWS a zahrnují oprávněné zaměstnance a pověřené smluvní partnery, kteří provádějí dohodnuté služby v rámci fyzického prostředí. V případě, že u zaměstnance nebo smluvního partnera nadále není obchodní potřeba těchto oprávnění, jeho nebo její přístup je okamžitě zrušen, i přestože zůstávají i nadále zaměstnanci nebo smluvními partnery. Veškerý fyzický přístup do datových center je zaznamenáván a rutinně kontrolován fyzickými tokeny (např. čipy) a požadavky sekundárního ověřování (např. tokeny, biometrie, pin) na základě konkrétního místa, kterým se do datového centra vstupuje. Veškeré lokality klientské podpory vyžadují více- faktorové ověření stanovené ze strany AWS. Datová centra jsou monitorována ze strany zaměstnanců AWS, pokud jde o elektrické, mechanické systémy a systémy podpory provozu a vybavení, aby byly veškeré problémy okamžitě zjištěny. Je prováděna preventivní údržba za účelem zachování soustavné provozuschopnosti zařízení.
1.2 Elektronické ovládání přístupu
Zákaz neoprávněného používání zpracování údajů a systémů uchovávání údajů. Veškerý přístup k Navify Tumor Board je zabezpečen ověřením, aby každý uživatelský účet byl zabezpečen heslem podle tohoto předpisu (složitost, doba obnovy atd.). Řešení rovněž používá zabezpečenou komunikaci mezi koncovými body (šifrování během přenosu) a šifruje veškeré ostatní údaje (v databázích a na fyzickém disku).
U uživatelských účtů se používá dvou-faktorového ověřování (2FA) k ověření totožnosti uživatele. Uživatel musí zadat své jedinečné uživatelské jméno a heslo, jakož i sekundární ověřovací prvek. Sekundární prvek ověření, jednorázové heslo, je zasláno prostřednictví textové zprávy (SMS).
1.3 Interní kontrola přístupu (svolení pro uživatelská práva přístupu a změně údajů)
NAVIFY Tumor Board funguje na základě předpisů a kontrol za účelem zajištění, aby nedošlo k neoprávněnému čtení, kopírování, změnám nebo výmazů dat v systému. Přístup je stanoven zvlášť podle role, kterou daná osoba plní. Zaměstnanci ROCHE nemají přístupová práva k jakýmkoli datům Zákazníka, která jsou uchovávána na disku a logy z aplikace neobsahují žádné osobní údaje.
1.4 Kontrola izolace
Izolované zpracování dat je kontrolováno prostřednictvím ověřovací vrstvy, která implementuje předpisy za účelem omezení, kteří uživatelé mohou mít ke kterým údajům přístup.
1.5 Pseudonymizace (Článek 32 odstavec 1 písm. a) GDPR; článek 25 odstavec 1 GDPR)
Jsou používány šifrovací strategie za účelem zajištění, že citlivé údaje byly šifrovány při přenosu a v době, kdy nejsou používány (data v klidu). Šifrování společně se systémy a postupy řádné správy klíčů zajišťují, že údaje nemohou být propojeny s konkrétním Subjektem údajů bez pomoci dodatečné Informace. Šifrovací a dešifrovací klíče jsou ze strany Roche spravovány za použití služby správy klíčů (Key Management Service – KMS) poskytované AWS za účelem zajištění, že žádná neoprávněná osoba nebo systém nemohou dešifrovat zašifrovaná data.
KMS využívá službu AWS s názvem CloudTrail, která poskytuje záznam o úkonech provedených uživatelem, rolí nebo funkcí. CloudTrail zachytává veškerá volání aplikační programové rozhraní (tzv. API) týkající se KMS, jako jsou události, včetně volání z konzole KMS a volání kódů API KMS. Činnost CloudTrail je denně monitorována.
Roche a ClearDATA šifrují data, která nejsou používána (data v klidu) na úložných médiích, která zahrnují bloky Elastic Block Storage (EBS), „balíky“ Simple Storage Service (S3), Amazon Glacier pro dlouhodobé ukládání and platformu Relational Database Service (RDS) poskytovanou AWS a spravovanou ze strany ClearDATA.
ClearDATA konfiguruje bloky EBS a balíky S3 pro šifrování na straně serveru (SSE) za použití šifrování AES-256. Vedle toho ClearDATA používá spojení šifrované databáze. RDS nativně používá šifrování na straně serveru za použití AES-256.
Šifrované bloky Amazon EBS šifrují následující typy údajů:
- Data v klidu uvnitř bloku
- Veškerá data, která se přesouvají mezi blokem a serverem
- Veškeré kopie pořízené z bloku
- Veškeré bloky pořízení z těchto náhledů
Šifrovací procesy probíhají na serverech, na kterých běží výpočetní instance zajišťující zabezpečení jak dat, která nejsou používána (v klidu), a dat, která jsou přenášena (v přenosu) mezi instancí serveru a jeho připojeným úložištěm EBS.
Veškerá osobní data v přenosu jsou šifrována za pomoci HTTPS a šifrování TLS 1.2 za účelem zajištění, že provoz mezi službami v rámci Virtuálního privátního cloudu (VPC) jsou rovněž šifrována.
2 Integrita (článek 32 odstavec 1 písm. b) GDPR)
2.1 Kontrola přenosu dat
Zákaz neoprávněného čtení; kopírování, změny nebo odstranění Údajů prostřednictvím elektronického přenosu nebo přepravy jsou kontrolovány prostřednictvím vrstveného bezpečnostního přístupu.
Šifrování: Veškerá osobní data jsou šifrována při přenosu v rámci Virtuálního privátního cloudu (VPC) Roche a mezi každou instancí jako standardním postupem. To je provedeno za použití HTTPS a šifrování TLS 1.2 pro tunel. Na disku jsou veškerá data šifrována šifrovacími klíči, které jsou uchovávány a spravovány samostatně. Přístup ke klíčům je kontrolován prostřednictvím ověřování a k dispozici pouze příslušným uživatelům u jejich konkrétních dat. Datová vrstva je rovněž zabezpečena prostřednictvím síťových kontrol, prostřednictvím firewallů, dílčích sítí a soukromé sítě, která pouze zaručuje přístup konkrétním strojům, kterým to je povoleno.
Virtuální soukromé sítě (VPN): Přístup ClearDATA ke všem instancím a VPCs Roche je poskytnut prostřednictvím Secure Sockets Layer (SSL) VPN u klienta. Veškerá ověření SSL vyžadují více- faktorové ověřování (MFA).
Digitální podpis: ClearDATA používá asymetrické podpisové algoritmy TLS 1.2 na každé úrovni prostředí Roche (tj. S3, RDS) za účelem zajištění, že jednotlivec požadující přístup je oprávněný uživatel. TLS 1.2 umožňuje klientům vyznačit podporované a preferované podpisové algoritmy a hash funkce. To Roche umožňuje ovládat podporu a předvolby konkrétního podpisového algoritmu.
2.2 Kontrola zadávání dat
Ověřování, zda a kým byly osobní údaje zadávány do Navify tumor board, měněny nebo mazány, je řízeno prostřednictvím služby auditu dohledávání, která zaznamenává, který uživatel má přístup ke kterým datům. Tento audit dohledávání je uchováván v zabezpečené podobě, se šifrováním, a je k dispozici pouze ověřeným uživatelům.
2.3 Ztráta dat
V prostředích Roche jsou zavedeny mechanismy prevence ztráty dat (tzn. DLP). Správci ClearDATA mají přístup k systémům Roche přihlášením na zabezpečené Bastion (jump) servery a poté do VPN v prostředí Roche za účelem správy a údržby systému. Klienti DLP jsou nainstalováni v rámci Bastion serverů, které sledují pohyb vytvářený prostřednictvím serveru při práci v prostředí Roche, včetně identifikace osoby, dat a časového razítka činnosti.
2.4 Systémová a informační integrita
Požadavky na systémovou a informační integritu jsou vytvářeny, dokumentovány, šířeny, revidovány a aktualizovány jednou ročně. Informační systémy plní původní ověřování a prověřování integrity dat v obdržených odpovědích z Domain Name System (DNS).
3 Dostupnost a odolnost (článek 32 odstavec 1 písm. b) GDPR)
3.1 Kontrola dostupnosti
Prevence náhodného nebo úmyslného zničení nebo ztráty snižuje zavedení strategie cloudové zálohy, rovněž známá jako on-line záloha, která zahrnuje zaslání kopie dat prostřednictvím sítě do systému, který se skládá z více serverů umístěných ve fyzicky oddělených umístěních, a to v rámci Frankfurtu v Německu. Servery jsou provozovány AWS. Data jsou zálohována vytvářením kopie serverů a databází a pravidelného přesunu výsledných kopií do samostatných fyzických umístěních. Pokud je třeba obnova dat, zkopírované servery nebo databázové soubory jsou přeneseny on-line do některého fyzického umístění ve Frankfurtu.
Byly vytvořeny plány pro nepředvídatelné události pro účely řešení přerušení služby. Tyto plány jsou pravidelně testovány pomocí simulací a testování. Zkušenosti získané z těchto cvičení jsou zdokumentovány a do technického prostředí a postupů pro nepředvídatelné události jsou zahrnuty oblasti pro zlepšování.
Fyzická datová centra, která vlastní a provozuje AWS, jsou opatřeny záložním vybavením připraveným pro stavy nouze. Voda, elektrická energie, telekomunikační služby a připojení k internetu jsou navrženy s velkou rezervou, aby byly zachovány pro případ nouze. Systémy elektrické energie jsou ze strany AWS navrženy jako plně zálohované, aby v případě přerušení mohly být využity jednotky pro nepřerušitelnou dodávku elektrické energie pro zvláštní funkce, zatímco generátory mohou poskytovat záložní elektrickou energii pro celé zařízení. AWS zaměstnává a využívá lidí a
systémů k monitorování a ovládání teploty a vlhkosti, aby se předešlo přehřátí, a dále snížení možných výpadků dodávek.
Firewally, systémy detekce průniků a prevence (IDS/IPS) a antivirový software jsou používány za účelem pomoci zamezit přístupu, změnám, odcizení nebo zničení citlivých informací ze strany jakékoli neoprávněné osoby. Výsledek těchto zabezpečovacích nástrojů je monitorován pro 24 hodin každý den. V případě zjištění jakékoli neobvyklé činnosti budou přijaty proaktivní kroky za účelem zamezení poškození systému, a pokud to bude potřebné, záležitost bude vyšetřena a zdokumentována.
3.2 Posuzování rizik a testování
Posuzování rizik zahrnuje hodnocení více faktorů, které mohou mít vliv na zabezpečení, jakož i na pravděpodobnost a vliv ze ztráty důvěrnosti, integrity a dostupnosti informací a systémů.
3.3 Návrh záložního systému
Návrh systému zahrnuje využití Amazon S3. S3 nabízí infrastrukturu pro trvanlivé uchovávání pro ukládání zásadních a primárních dat. Amazon S3 záložně uchovává data v různých zařízeních a na více místech v rámci každého zařízení. Za účelem zvýšení trvanlivosti Amazon S3 synchronizovaně ukládá data napříč různými zařízeními před tím, než potvrdí, že data byla úspěšně uložena. Vedle toho Amazon S3 počítá kontrolní součty u veškerého síťového provozu za účelem detekce poškození datových paketů při ukládání nebo obnově dat. Amazon S3 provádí pravidelné, systematické kontroly datové integrity a je vytvořen jako automaticky se opravující. S3 je zajištěn na základě smlouvy o úrovni služeb (tzv. SLA) pro Amazon S3, pokud jde o dostupnost, je navržen pro trvanlivost 99.999999999% a dostupnost objektů 99.99% v rámci daného roku a je vytvořen, aby přetrval současnou ztrátu dat ve dvou zařízeních.
3.4 Zálohy
Zálohovací strategie, které zajišťují, že služby mohou být rychle obnoveny a data jsou zachována. Za použití mikro-služeb, které zpracovávají data, blok S3, který obsahuje nestrukturovaná data, a strukturovaná relační databáze používá proměnlivé zálohy a technologie a postupy pro obchodní kontinuitu.
3.5 Rychlá obnova (Článek 32 odstavec 1 písm. c) GDPR) (Článek 32 odstavec 1 písm. c) GDPR)
Jsou používány zálohovací strategie za účelem zajištění, že služby mohou být rychle obnoveny a data jsou zachována. Rychlá obnova je řízena prostřednictvím vedení automatizovaných soustavných dodávek, které mohou spustit nové nasazení softwaru a dat na vyžádání.
Relační databáze umístěné ve službě relační databáze AWS (Relational Database Service - RDS) používá automatizované zálohovací vlastnosti Amazon RDS, které umožňují obnovu instancí databází (instance DB) k určitému okamžiku. Automatizované zálohy mohou být umožněny. Amazon RDS automaticky pořizuje úplné každodenní náhledy dat (během upřednostňovaných zálohovacích oken) a zaznamenává logy transakcí. Operace obnovy k určitému okamžiku použití logy transakcí, které jsou nejvhodnější denní zálohou pro obnovu instancí DB k určitému požadovanému okamžiku. Záložní archivační lhůty jsou nastavitelné. Obnovy k určitému okamžiku lze uskutečnit k jakémukoli okamžiku během archivační lhůty, až do Posledního obnovitelného okamžiku. Obnova databáze závisí na velikosti databáze.
4 Postupy pro pravidelné testování, posuzování a hodnocení (článek 32 odstavec 1 písm. d) GDPR; článek 25 odstavec 1 GDPR)
Roche implementovala soustavný monitorovací rámec, který zahrnuje pravidelné sledování přístupu uživatelů, datový přístup, řízení odpovědí na nehody
4.1 Řízení příkazů nebo smlouvy
Zákaz zpracování údajů podle článku 28 GDPR bez odpovídajících pokynů ze strany ZÁKAZNÍKA, např. jasné a nezavádějící smluvní ujednání, formalizované řízení příkazů, přísné kontroly výběru Poskytovatele služby, povinnost předchozího hodnocení, dohledové kontroly dodržování.
5 Bezpečnostní předpisy
ROCHE nebo jeho Subdodavatelé pro sjednané služby budou dodržovat globálně aplikovatelné předpisy, normy a postupy zamýšlené k ochraně osobních údajů. Takové předpisy zahrnují zejména:
- Zabezpečení systému
- Zabezpečení informací a systémy přijatelného použití
- Důvěrnost
- Důvěrnost údajů
- Řízení údajů
XXXXX na žádost Zákazníka poskytne souhrny těchto předpisů.
PŘÍLOHA D
Aktivity Klienta
1. Jako protiplnění za Služby poskytované ze strany Roche podle této Smlouvy je Klient povinen poskytnout svým prostřednictvím a prostřednictvím Oprávněných uživatelů Aktivity Klienta, jež spočívají ve službách popsaných co do detailu a rozsahu níže a uvedených v tabulce tvořící součást této Přílohy D. Odměna za Aktivity Klienta je specifikovaná taktéž v uvedené tabulce.
2. V případě, že Klient a/nebo jeho Oprávnění uživatelé na základě objednávky Roche provedou služby nad rámec Aktivit Klienta, pak Strany tímto souhlasí, že spravedlivá tržní hodnota každé hodiny času Oprávněného uživatele Klienta bude oceněna na základě pozice a takého Oprávněného uživatele, a bude se rovnat:
Pozice Oprávněného uživatele Klienta | Hodnota za hodinu v Kč |
Sestra, laboratorní technik, data manažer, ostatní (Kat. 1) | 1.000 |
Lékařská nebo vědecká pozice se zkušenostmi v oboru 10 a více let (Kat. 2) | 2.500 |
Profesor, vedoucí oddělení, člen managementu nemocnice (Kat. 3) | 3.500 |
3. Zaznamenávání. Klient bude evidovat veškeré hodiny strávené Klientem a Oprávněných uživatelů na Aktivitách Klienta a bude je dodržovat a potvrdí je Roche nejpozději jednou za každé kalendářní čtvrtletí předplatného. Každý evidenční dokument Klienta musí obsahovat následující informace: (i) činnost provedená Klientem; (ii) údaje o takovém plnění; (iii) doba strávená takovou činností (v hodinách); a (iv) pozice/funkce jednotlivce, který takovou činnost provádí. Klient bude uchovávat veškeré evidenční záznamy po dobu trvání tohoto VP a po dobu tří (3) let poté. Roche bude oprávněn provést audit jakýchkoli takových záznamů, jak bylo uvedeno v článku 4 Smlouvy.
4. Dodatečné služby poskytnuté Roche ze strany Klienta. V případě, že počet hodin strávených Klientem na činnostech přesahuje Aktivity Klienta, jak byly sjednány pro dané období, Roche uhradí Klientovi každou takovou dodatečnou hodinu strávenou Oprávněnými uživateli Klienta na činnostech v souladu se spravedlivou tržní hodnotou každé takové hodiny, jak je uvedeno v tabulce obsažené v článku 2 výše. Pro vyloučení nejasností se uvádí, že Xxxxx zaplatí Klientovi do šedesáti (60) dnů od obdržení ověřitelného časového rozpisu v souladu s článkem 2 výše. Jakékoli platby, které může Roche Klientovi podle této Smlouvy dlužit, budou vyplaceny přímo Klientovi. S výjimkou výslovně uvedenou v této Příloze nebudou Klientovi ze strany Roche poskytnuty žádné finanční nebo jiné náhrady.
Obecná specifikace služeb:
Činnost | Popis | Rozsah hodin + kategorie | Očekávaná cena v Období 1 | ||
Poster – průběžná prezentace výsledků | Příprava a prezentace projektu Protarget a nebo používání Navify | 2 hodiny/ Kat. 2 (lékař) =2x 2500 Kč; + 9 hodin/ Kat. 1 (laborant)= 9x 1000 Kč | 14 000 Kč | ||
Publikace v lokálních zahraničních časopisech | či | Prezentace během konferencí a publikace průběžných výsledků, příprava článků, zpracování dat, příprava prezentací | 28 hodin/ Kat. 2 (lékař) =28x2500 | 70 000 Kč | |
Mediální propagace | Tisková zpráva nebo PR ( příprava a organizace tiskové zprávy) | 4 hodiny/ Kat. 3 (profesor)= 4x 3500 Kč; + 10 hodin/ Kat. 2 (lékař)= 10x 2500 Kč; + 11 hodin/ Kat. 1 (datamanažer)= 11x 1000Kč | 50 000 Kč | ||
Školení kolegů | dalších | Rozšíření vědomostí v rámci organizace klienta | 10 hodin/ Kat. 1 (laboratorní technik/datamanažer)= 10x1000 Kč; + 3,5 hodiny/Kat. 2 (lékař)= 3,5x2500 Kč | 18 750 Kč | |
Školení kolegů mimo organizaci | Rozšíření vědomostí mimo organizaci | 25 hodin/Kat. 1 (datamanažˇer)=25x1000 Kčˇ; + 30 hodin/ Kat. 2 (le´karˇ) = 30x2500 Kčˇ | 100 000 Kč | ||
Návštěvy | Referenční návštěvy (národní i mezinárodní) - příprava a prezentace během návštěvy | 10 hodin/ Kat. 2 (lékař)= 10x2500 Kč; + 25 hodin /Kat 1 (laborant)= 25x1000 Kč | 50 000 Kč | ||
Práce datamanažerů | Manuální zadávání hodnot a parametrů pacientů do systému | 155 hodin (datamanažeři) 155x1000 Kč | / Kat. | 1 = | 155 000 Kč |
celkem | Cena za služby v Období 1. | 457 750 Kč | |||
TABULKA: Aktivity klienta v Období 1.