Číslo 2021/268 NAKIT

Smlouva o dodávce a implementaci software

a poskytování služeb

Smlouva o dodávce a implementaci software a poskytování služeb

Číslo 2021/268 NAKIT

Smluvní strany

Národní agentura pro komunikační a informační technologie, s. p.

se sídlem Xxxxxxxx 0000/00, Xxxxxxxx, 000 00 Xxxxx 00

IČO: 04767543

DIČ: CZ04767543

zastoupen: xxx

zapsán v obchodním rejstříku vedeném Městským soudem v Praze oddíl A vložka 77322 bankovní spojení xxx

(dále jen „Objednatel“)

a

NETIA®, s.r.o.

se sídlem Hliníky 259, 679 72 Kunštát

IČO: 25588869

DIČ: CZ25588869

zastoupen: xxx

zapsán v obchodním rejstříku Vedeném u Krajského soudu v Brně, oddíl C, vložka 36167 bankovní spojení xxx

(dále jen „Dodavatel“)

dále jednotlivě jako „Smluvní strana“, nebo společně jako „Smluvní strany“ uzavírají v souladu s ustanovením § 1746 odst. 2, § 2358 a násl., a § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Občanský zákoník“) a zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „Autorský zákon“) tuto Smlouvu o dodávce a implementaci software a poskytování služeb (dále jen „Smlouva“).

Preambule

Objednatel provedl v souladu s § 31 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „Zákon o zadávání veřejných zakázek“), zadávací řízení k veřejné zakázce malého rozsahu „Software pro podporu Řízení rizik, Compliance a Interního auditu“ (dále jen „Zadávací řízení“) na uzavření této Smlouvy. Smlouva je uzavřena s Dodavatelem na základě výsledku Zadávacího řízení. Objednatel tímto ve smyslu ust. § 1740 odst. 3 Občanského zákoníku předem vylučuje přijetí nabídky na uzavření této Xxxxxxx s dodatkem nebo odchylkou.

1. Předmět a účel Smlouvy

1. Předmětem této Smlouvy je závazek Dodavatele:

   1. dodat a naimplementovat Objednateli na svůj náklad a nebezpečí, řádně a včas, a s vynaložením veškeré odborné péče systém pro řízení rizik, compliance a (učiní- li Objednatel výzvu podle čl. 2 odst. 2.4 Smlouvy) interního auditu (dále jen

„Software“), spolu s veškerou dokumentací vztahující se k Software (včetně bezpečnostní dokumentace podle čl. 4 odst. 4.1 Přílohy č. 2 Smlouvy), bez níž by nemohlo docházet k řádnému užívání Software v souladu s touto Smlouvou, a poskytnout Objednateli oprávnění k výkonu práva užít Software (včetně dokumentace) v souladu s článkem 6 Smlouvy.

Software je pro účely této Smlouvy rozdělen do následujících funkčních celků:

1. Řízení rizik;

2. Compliance;

3. Interní audit

(jednotlivé funkční celky budou pro účely této Smlouvy dále označovány jako

„moduly“ a modul Řízení rizik a modul Compliance budou pro účely této Smlouvy dále označovány také jako „soubor modulů“), přičemž modul Interní audit podle písm. iii) výše bude Dodavatelem Objednateli dodán a naimplementován na základě písemné výzvy Objednatele s tím, že Objednatel není povinen tuto výzvu učinit (viz čl. 2 odst. 2.4 Smlouvy).

Požadavky na Software jsou obsaženy v Příloze č. 1 a v Příloze č. 2 Smlouvy. Součástí dodávky Software (resp. každého jednotlivého modulu Software) je rovněž poskytnutí školících služeb spočívajících v zaškolení administrátorů Software (resp. každého jednotlivého modulu Software) a bezpečnostní školení administrátorů a uživatelů Software (resp. každého jednotlivého modulu Software);

2. poskytovat Objednateli služby podpory k Software (resp. k souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, k modulu Interní audit)

v souladu se specifikací obsaženou v Příloze č. 3a Smlouvy (dále jen „Podpora“), po dobu uvedenou v čl. 2 odst. 2.5 Smlouvy;

3. poskytovat Objednateli aktualizace (bezpečnostní i funkční) k Software (resp. k souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, k modulu Interní audit) v souladu se specifikací obsaženou v Příloze č. 3b Smlouvy (dále jen „Maintenance“), po dobu uvedenou v čl. 2 odst. 2.6 Xxxxxxx;

4. poskytovat Objednateli služby zákaznického rozvoje a konzultační služby v rozsahu maximálně padesát (50) člověkodní, za podmínek sjednaných v čl. 2 odst. 2.7 až 2.12 Smlouvy (dále jen „Služby“)

(dohromady dále též jen jako „Předmět plnění“).

2. Objednatel se zavazuje řádně a včas poskytnutý Předmět plnění v souladu s podmínkami této Smlouvy převzít a zaplatit za něj Dodavateli sjednanou cenu způsobem ve Xxxxxxx definovaným.

3. Dokumentace vztahující se k Software, bez níž by nemohlo docházet k řádnému užívání Software v souladu s touto Smlouvou (včetně bezpečnostní dokumentace podle čl. 4 odst. 4.1 Přílohy č. 2 Smlouvy), bude Objednateli dodána v českém jazyce v elektronické podobě ve formátu určeném Objednatelem.

4. Po uzavření Smlouvy sdělí Objednatel Dodavateli tzv. čísla dvou evidenčních objednávek (EOBJ), a to zvlášť pro plnění dle odst. 1.1 písm. a) Xxxxxxx a zvlášť pro plnění dle odst. 1.1 písm. b), c) a d) Xxxxxxx, která mají pouze evidenční charakter pro Objednatele a nemají žádný vliv na plnění Smlouvy. Čísla evidenčních objednávek Objednatele jsou čísla, která musí být vždy uvedena na daňovém dokladu (faktuře). Neuvedení čísel evidenčních objednávek na daňovém dokladu (faktuře) je důvodem k neproplacení faktury a jejímu oprávněnému vrácení Dodavateli ve smyslu ustanovení čl. 5 odst. 5.11 Xxxxxxx.

5. Účelem této Smlouvy je podpora výkonu funkce vybraných útvarů Objednatele,

a to útvarů řízení rizik, compliance a interní audit.

6. Hovoří-li se v přílohách této Smlouvy o „Zadavateli“, rozumí se jím Objednatel, hovoří-li se v přílohách této Smlouvy o „GRC“, rozumí se jím Software.

2. Místo, doba a podmínky plnění

1. Místem plnění je sídlo Objednatele, tj. Xxxxxxxx 0000/00, 000 00 Xxxxx 00 – Xxxxxxxx.

2. Dodávka a implementace každého modulu Software podle čl. 1 odst. 1.1 písm. a)

Smlouvy bude probíhat postupem stanoveným v Příloze č. 4 Smlouvy.

3. Dodavatel se zavazuje dodat Objednateli modul Řízení rizik a modul Compliance, provést implementaci tohoto souboru modulů Software a předat Objednateli tento soubor

modulů Software do akceptačního řízení nejpozději do devíti (9) měsíců od nabytí účinnosti Smlouvy.

4. Objednatel je nejpozději do 30. 6. 2023 oprávněn (nikoli však povinen) písemně vyzvat Dodavatele k dodávce modulu Interní audit a k provedení implementace tohoto modulu, výzvou zaslanou kontaktní osobou Objednatele kontaktní osobě Dodavatele uvedené v čl. 12 odst. 12.4 Smlouvy. Vyzve-li Objednatel Dodavatele k dodávce modulu Interní audit a k provedení jeho implementace, je Dodavatel povinen dodat Objednateli modul Interní audit, provést implementaci a předat modul Interní audit Objednateli do akceptačního řízení nejpozději do jedno sto osmdesáti (180) kalendářních dnů ode dne doručení výzvy Dodavateli.

5. Podpora k modulu Řízení rizik a k modulu Compliance bude Dodavatelem poskytována po dobu pěti (5) let ode dne podpisu Akceptačního protokolu tohoto souboru modulů oběma Smluvními stranami.

Podpora k modulu Interní audit bude Dodavatelem poskytována ode dne podpisu Akceptačního protokolu tohoto modulu oběma Smluvními stranami, a to po dobu do uplynutí pěti (5) let ode dne podpisu Akceptačního protokolu modulu Řízení rizik a modulu Compliance oběma Smluvními stranami.

6. Maintenance k modulu Řízení rizik a k modulu Compliance bude Dodavatelem poskytována po dobu pěti (5) let ode dne podpisu Akceptačního protokolu tohoto souboru modulů oběma Smluvními stranami.

Maintenance k modulu Interní audit bude Dodavatelem poskytována ode dne podpisu Akceptačního protokolu tohoto modulu oběma Smluvními stranami, a to po dobu do uplynutí pěti (5) let ode dne podpisu Akceptačního protokolu modulu Řízení rizik a modulu Compliance oběma Smluvními stranami.

Způsob a podmínky poskytování Služeb

7. Objednatel je oprávněn (nikoli však povinen) vystavovat dle svých potřeb Požadavky (jak je tento pojem specifikován níže v odst. 2.8.5 Smlouvy) na Služby, po dobu účinnosti Smlouvy.

8. Požadavky na Služby budou Objednatelem vystavovány následovně:

   1. Objednatel vyzve Poskytovatele písemnou výzvou k podání nabídky. Objednatel

ve výzvě uvede zejména:

1. specifikaci rozsahu Služeb;

2. požadovaný termín poskytnutí Služeb; a

3. místo a čas prvního jednání týkajícího se předmětných Služeb.

1. Na jednání bude mezi Smluvními stranami dohodnut počet člověkodní (případně počet člověkohodin práce Dodavatele) potřebný k poskytnutí předmětných

Služeb, a termín podání nabídky Dodavatelem Objednateli. O výsledku jednání bude pořízen zápis v písemné podobě, který bude podepsán kontaktními osobami Smluvních stran. Dodavatel je povinen doručit Objednateli svou nabídku ve lhůtě stanovené na jednání.

3. Nabídka Dodavatele musí obsahovat alespoň tyto náležitosti:

   1. identifikační údaje Dodavatele a Objednatele;

   2. číslo Smlouvy;

   3. specifikaci a rozsah předmětných Služeb včetně počtu člověkodní, případně člověkohodin práce Dodavatele dle dohody z jednání;

   4. cenu za Služby uvedenou jako jednotkovou cenu [za jeden (1) člověkoden, který představuje osm (8) hodin práce Dodavatele (dále také jen „MD“), a za jednu (1) člověkohodinu práce Dodavatele] i celkovou cenu;

   5. termín poskytnutí Služeb v souladu s výzvou;

   6. další náležitosti požadované Objednatelem ve výzvě; a

   7. podpis oprávněné osoby Dodavatele.

4. Nabídka Xxxxxxxxxx nesmí být v rozporu s touto Smlouvou, výzvou a závěry z jednání.

5. Po doručení nabídky Dodavatele Objednatel posoudí, zda nabídka splňuje požadavky dohodnuté na jednání. Pokud nabídka požadavky dohodnuté na jednání splní, zašle Objednatel Dodavateli písemný požadavek na poskytnutí předmětných Služeb (dále jen „Požadavek“). Požadavek dle tohoto odstavce Smlouvy musí obsahovat minimálně tyto náležitosti:

   1. identifikační údaje Dodavatele a Objednatele;

   2. číslo této Smlouvy;

   3. označení objednávaných Služeb (množství a popis);

   4. cena objednávaných Služeb v českých korunách;

   5. termín poskytnutí objednávaných Služeb.

6. Požadavek musí být před započetím jeho realizace, nejpozději do pěti (5) kalendářních dnů, písemně odsouhlasen a akceptován Dodavatelem. Potvrzení

– akceptace Požadavku Dodavatelem musí obsahovat minimálně tyto náležitosti:

1. identifikační údaje Objednatele a Dodavatele v souladu s údaji dle obchodního rejstříku;

2. podpis oprávněné osoby Dodavatele.

Požadavek je považován za odsouhlasený a akceptovaný Dodavatelem doručením potvrzení – akceptace Požadavku Objednateli.

9. Služby dle čl. 1 odst. 1.1 písm. d) této Smlouvy budou Objednateli poskytnuty vždy

v termínu a v rozsahu specifikovaném v příslušném Požadavku.

10. V případě, že Dodavatel překročí v rámci poskytování Služeb maximální́ množství jednotek práce padesát (50) MD, nemá́ nárok na zaplacení množství́ práce tuto hranici přesahující, a toto množství́ práce nebude Objednatelem akceptováno.

11. Dodavatel je povinen vést detailní záznamy o poskytování Služeb v příslušném kalendářním měsíci (dále jen „Výkaz plnění“). Výkaz plnění bude obsahovat přehled a množství poskytnutých Služeb, tj. počet MD, počet odpracovaných člověkohodin (viz čl. 5 odst. 5.5 Smlouvy) a popis Dodavatelem realizovaných činností za daný kalendářní měsíc.

12. Smluvní strany pro vyloučení případných nejasností sjednávají, že Dodavatel je i při poskytování Služeb povinen respektovat a dodržovat požadavky Objednatele obsažené v Příloze č. 1 a Příloze č. 2 Smlouvy.

3. Akceptační řízení

Akceptace modulů Software

1. Dodavatel předá moduly Software Objednateli do akceptačního řízení nejpozději

v termínech stanovených v čl. 2 odst. 2.3 a 2.4 Xxxxxxx.

2. Ohledně modulu Řízení rizik a modulu Compliance proběhne jedno společné akceptačního řízení:

   • O předání a převzetí modulu Řízení rizik a modulu Compliance do akceptačního řízení bude mezi Smluvními stranami sepsán a podepsán Předávací protokol. Objednatel převezme tento soubor modulů Software do akceptačního řízení a podepíše Předávací protokol pouze za předpokladu, že byly provedeny veškeré činnosti uvedené v písm. a) až i) Přílohy č. 4 Smlouvy. Odmítne-li Objednatel převzít tento soubor modulů Software do akceptačního řízení, protože nebyly bez zavinění Objednatele provedeny veškeré činnosti uvedené v písm. a) až i) Přílohy č. 4 Xxxxxxx, uvede tuto skutečnost do Předávacího protokolu a stanoví Dodavateli lhůtu k provedení zbývajících činností. Uplynula-li současně lhůta pro předání souboru těchto modulů Software Objednateli do akceptačního řízení, je Dodavatel v prodlení s předáním tohoto souboru modulů Software Objednateli do akceptačního řízení se všemi důsledky z toho vyplývajícími.

   • V rámci akceptačního řízení Objednatel ověří, zda modul Řízení rizik a modul Compliance splňují požadavky stanovené v Příloze č. 1 a v Příloze č. 2 Smlouvy a provede testy zranitelností a penetrační bezpečnostní testy dle článku 4 Přílohy č. 2 Smlouvy. Dodavatel se zavazuje poskytnout Objednateli při provádění testů zranitelností a penetračních bezpečnostních testů veškerou potřebnou součinnost.

• Objednatel podepíše Akceptační protokol modulu Řízení rizik a modulu Compliance v případě, že bude ověřeno, že tyto moduly Software splňují požadavky stanovené v Příloze č. 1 a v Příloze č. 2 Smlouvy, testy zranitelností a penetrační bezpečnostní testy dle Přílohy č. 2 Smlouvy neodhalily žádné nedostatky, tedy bylo ověřeno, že plnění je provedeno kvalitně, odborně a odpovídá požadavkům stanoveným v Příloze č. 1 a Příloze č. 2 této Smlouvy.

• Zjistí-li Objednatel v rámci akceptačního řízení, že modul Řízení rizik a/nebo modul Compliance má vady (tj. že, zejména, nikoli však výlučně, neodpovídá požadavkům stanoveným v Příloze č. 1 a Příloze č. 2 této Smlouvy), nebude soubor modulů Software Objednatelem akceptován až do odstranění vad. Pokud Objednatel soubor modulů Software neakceptuje, protože obsahuje vady, je povinen specifikovat tyto vady v Akceptačním protokolu souboru modulů Software. Smluvní strany se dohodnou, do kdy Dodavatel bezplatně odstraní vady modulu Řízení rizik a/nebo modulu Compliance tak, aby byla splněna všechna kritéria funkčnosti Software dle Přílohy č. 1 a Přílohy č. 2 Smlouvy. Ohledně opakovaného předložení souboru modulů Software k akceptačnímu řízení platí přiměřeně ustanovení tohoto odstavce Smlouvy. Akceptační procedura se bude opakovat, dokud soubor modulů Software nesplní všechna kritéria funkčnosti Software dle Přílohy č. 1 a Přílohy č. 2 Smlouvy.

1. Akceptační řízení týkající se modulu Interní audit (bude-li Dodavatelem na základě písemné výzvy Objednatele dle čl. 2 odst. 2.4 Smlouvy Objednateli dodán a naimplementován), bude probíhat analogicky podle odst. 3.2 tohoto článku Smlouvy.

2. Podpis Akceptačního protokolu Objednatelem nezbavuje Dodavatele odpovědnosti za vady příslušného modulu Software, které má příslušný modul Software v okamžiku podpisu Akceptačního protokolu Objednatelem.

3. Vzor Akceptačního protokolu je obsažen v Příloze č. 5 této Smlouvy.

Akceptace Služeb podle čl. 1 odst. 1.1 písm. d) Smlouvy

6. Služby dle čl. 1 odst. 1.1 písm. d) této Smlouvy budou převzaty na základě oboustranně podepsaného Akceptačního protokolu Služeb. Akceptační protokol Služeb bude Dodavatelem vystaven vždy nejpozději do pěti (5) kalendářních dnů od konce kalendářního měsíce, ve kterém byly Služby poskytnuty. Přílohou Akceptačního protokolu Služeb bude vždy Výkaz plnění dle čl. 2 odst. 2.11 Xxxxxxx.

7. Objednatel je oprávněn Služby odmítnout akceptovat, pokud nebyly poskytnuty v souladu s popisem Služeb obsaženým v Požadavku a/nebo pokud vykázaný rozsah poskytnutých Služeb neodpovídá skutečně poskytnutému rozsahu. Odmítnutí akceptace Služeb bude uvedeno v Akceptačním protokolu Služeb. Dodavatel je povinen nejpozději do pěti (5) pracovních dnů vady odstranit a neprodleně vyzvat Objednatele k nové akceptační proceduře. Ohledně opakovaného akceptačního řízení ve smyslu tohoto

odstavce Smlouvy platí přiměřeně ustanovení tohoto odstavce Smlouvy. Podpisem Akceptačního protokolu Služeb Objednatel stvrzuje, že Služby byly Dodavatelem v daném kalendářním měsíci provedeny řádně a ve vykázaném rozsahu.

8. Vzor Akceptačního protokolu je obsažen v Příloze č. 5 této Smlouvy.

4. Cena

1. Cena za dodávku a provedení implementace Software dle čl. 1 odst. 1.1 písm. a) Smlouvy činí 435 000,- Kč (slovy: čtyři sta třicet pět tisíc korun českých) bez DPH, a skládá se z následujících částí:

   1. cena za dodávku modulu Řízení rizik a modulu Compliance a provedení implementace tohoto souboru modulů (včetně oprávnění k výkonu práva užít tento soubor modulů včetně dokumentace) činí 270 000,- Kč (slovy: dvě stě sedmdesát tisíc korun českých) bez DPH;

   2. cena za dodávku modulu Interní audit a provedení implementace tohoto modulu (včetně oprávnění k výkonu práva užít modul Interní audit včetně dokumentace) činí 165 000,- Kč (slovy: jedno sto šedesát pět tisíc korun českých) bez DPH,

Cena za dodávku a provedení implementace Software je blíže specifikována v Příloze č. 6 Smlouvy.

2. Cena za poskytování Podpory k modulu Řízení rizik a modulu Compliance činí 60 000,- Kč (slovy: šedesát tisíc korun českých) bez DPH / rok.

Cena za poskytování Podpory k modulu Interní audit činí 60 000,- Kč (slovy: šedesát tisíc korun českých) bez DPH / rok.

3. Cena za poskytování Maintenance k modulu Řízení rizik a modulu Compliance činí

18 000,- Kč (slovy: Osmnáct tisíc korun českých) bez DPH / rok.

Cena za poskytování Maintenance k modulu Interní audit činí 14 000,- Kč (slovy: čtrnáct tisíc korun českých) bez DPH / rok.

4. Cena za jeden (1) MD práce Dodavatele v rámci poskytování Služeb podle čl. 1 odst. 1.1 písm. d) Smlouvy činí 9 600,- Kč (slovy: devět tisíc šest set korun českých) bez DPH, přičemž cena za jednu (1) člověkohodinu práce činí 1 200,- Kč (slovy: jeden tisíc dvě stě korun českých) bez DPH.

5. Cena za Služby podle čl. 1 odst. 1.1 písm. d) Xxxxxxx poskytnuté v příslušném kalendářním měsíci bude pro jednotlivé případy vždy stanovena na základě jednotkové ceny za MD, případně jednotkové ceny za jednu (1) člověkohodinu práce (viz čl. 5 odst. 5.5 Smlouvy) a počtu čerpaných MD, případně člověkohodin práce, v souladu s příslušným Požadavkem.

6. Ceny za jednotlivé části Předmětu plnění dle předchozích ustanovení tohoto článku Smlouvy jsou stanoveny jako ceny konečné a nejvýše přípustné. K těmto cenám bude připočtena daň z přidané hodnoty (DPH) na základě platných právních předpisů ke dni uskutečnění zdanitelného plnění.

7. Dodavatel výslovně prohlašuje a ujišťuje Objednatele, že ceny za jednotlivé části Předmětu plnění dle odst. 4.1 až 4.4 tohoto článku Smlouvy již v sobě zahrnují veškeré náklady Dodavatele spojené s plněním dle této Smlouvy. Součástí cen jsou i činnosti, které ve Smlouvě sice nejsou výslovně uvedeny, ale Dodavatel, jakožto odborník o nich ví nebo má vědět, neboť jsou nezbytné pro provedení Předmětu plnění dle této Smlouvy.

5. Platební podmínky

1. Daňový doklad (faktura) za dodávku modulu Řízení rizik a modulu Compliance a za provedení implementace tohoto souboru modulů bude Dodavatelem vystaven po podpisu Akceptačního protokolu modulu Řízení rizik a modulu Compliance oběma Smluvními stranami. Dnem uskutečnění zdanitelného plnění je v tomto případě den podpisu Akceptačního protokolu modulu Řízení rizik a modulu Compliance Objednatelem.

2. Daňový doklad (faktura) za dodávku modulu Interní audit a za provedení implementace tohoto modulu podle čl. 2 odst. 2.4 Smlouvy bude Dodavatelem vystaven po podpisu Akceptačního protokolu modulu Interní audit oběma Smluvními stranami. Dnem uskutečnění zdanitelného plnění je v tomto případě den podpisu Akceptačního protokolu modulu Interní audit Objednatelem.

3. Daňové doklady (faktury) za poskytování Podpory k souboru modulů a zvlášť k modulu Interní audit, budou vystavovány vždy ročně zpětně, tj. vždy za období po sobě jdoucích dvanácti (12) měsíců, v němž byla Podpora k souboru modulů / k modulu Interní audit poskytována. Za den uskutečnění zdanitelného plnění se považuje poslední kalendářní den dvanáctiměsíčního období, ve kterém byla Xxxxxxx poskytována. V případě, že Podpora nebude poskytována po celý rok [tj. po celé období po sobě jdoucích dvanácti (12) měsíců], přísluší Dodavateli pouze poměrná část ceny dle čl. 4 odst. 4.2 této Smlouvy.

4. Daňové doklady (faktury) za poskytování Maintenance k souboru modulů a zvlášť k modulu Interní audit, budou vystavovány vždy ročně zpětně, tj. vždy za období po sobě jdoucích dvanácti (12) měsíců, v němž byla Maintenance poskytována. Za den uskutečnění zdanitelného plnění se považuje poslední kalendářní den dvanáctiměsíčního období, ve kterém byla Maintenance poskytována. V případě, že Maintenance nebude poskytována po celý rok [tj. po celé období po sobě jdoucích dvanácti (12) měsíců], přísluší Dodavateli pouze poměrná část ceny dle čl. 4 odst. 4.3 této Smlouvy.

5. Daňové doklady (faktury) za poskytování Služeb dle čl. 1 odst. 1.1 písm. d) Smlouvy budou vystavovány dle skutečně poskytnutého plnění, a to vždy za kalendářní měsíc, ve kterém byly Služby poskytnuty. Přílohou každého daňového dokladu bude Akceptační protokol Služeb. Za den uskutečnění zdanitelného plnění se považuje den podpisu Akceptačního protokolu Služeb Objednatelem.

Smluvní strany pro vyloučení případných nejasností sjednávají, že Dodavatel je oprávněn vystavit fakturu za Služby poskytnuté v daném kalendářním měsíci i v případě, že v daném kalendářním měsíci nebyly odpracovány celé člověkodny práce, tj. je oprávněn vystavit za výše uvedených podmínek fakturu i toliko za odpracované celé člověkohodiny práce. Odpracované celé člověkohodiny práce se za účelem dodržení maximálního rozsahu Služeb dle č. 1 odst. 1.1 písm. d) Xxxxxxx sčítají.

6. Cena za navýšení počtu uživatelů dle posledního pododstavce čl. 6 odst. 6.1 Smlouvy bude Objednatelem uhrazena na základě daňového dokladu vystaveného Dodavatelem po podpisu Protokolu o navýšení počtu uživatelů oběma Smluvními stranami.

7. Daňový doklad (faktura) musí vždy obsahovat náležitosti řádného daňového dokladu podle příslušných právních předpisů, zejména dle § 29 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „Zákon o DPH“), zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, a zejména níže uvedené údaje:

   1. číslo Smlouvy;

   2. číslo Evidenční objednávky (EOBJ) – viz čl. 1 odst. 1.4 Xxxxxxx;

   3. popis fakturovaného plnění, rozsah, jednotkovou a celkovou cenu;

   4. platební podmínky v souladu se Smlouvou;

   5. přílohou daňového dokladu za dodávku souboru modulů / modulu Interní audit a za provedení implementace souboru modulů / modulu Interní audit bude kopie Akceptačního protokolu souboru modulů / modulu Interní audit podepsaného oběma Smluvními stranami;

   6. přílohou daňového dokladu za poskytnutí Služeb bude vždy kopie Akceptačního protokolu Služeb podepsaného oběma Smluvními stranami;

   7. přílohou daňového dokladu za navýšení počtu uživatelů dle posledního pododstavce čl. 6 odst. 6.1 Smlouvy bude vždy kopie Protokolu o navýšení počtu uživatelů podepsaného oběma Smluvními stranami.

8. Daňové doklady (faktury) budou Dodavatelem Objednateli zasílány spolu s veškerými požadovanými dokumenty do tří (3) pracovních dnů od jejich vystavení jedním z následujících způsobů:

   1. buď v elektronické podobě na adresu: xxx

2. nebo doporučeným dopisem na následující adresu:

Národní agentura pro komunikační a informační technologie, s. p. Xxxxxxxx 0000/00, Xxxxxxxx, 000 00 Xxxxx 00.

9. Platba bude provedena v české měně formou bankovního převodu na účet Dodavatele uvedený v záhlaví této Smlouvy.

10. Splatnost faktury vystavené na základě této Smlouvy činí třicet (30) kalendářních dnů od jejího doručení Objednateli. Xxxx se považuje za uhrazenou dnem odepsání fakturované částky z účtu Objednatele ve prospěch účtu Dodavatele.

11. V případě, že faktura nebude obsahovat stanovené náležitosti, je Objednatel oprávněn vrátit ji ve lhůtě splatnosti Dodavateli k doplnění či opravě, aniž se tím dostane do prodlení. Nová lhůta splatnosti v délce třiceti (30) kalendářních dní počíná běžet znovu ode dne doručení náležitě doplněné či opravené faktury Objednateli.

12. Objednatel neposkytuje Dodavateli jakékoliv zálohy na cenu.

13. Všechny částky poukazované vzájemně Smluvními stranami musí být prosté jakýchkoliv bankovních poplatků nebo jiných nákladů spojených s převodem na jejich účty.

14. Smluvní strany si ve smyslu ust. § 2620 odst. 2 Občanského zákoníku ujednaly, že Dodavatel na sebe přebírá nebezpečí změny okolností.

15. Smluvní strany se dohodly, že pokud bude v okamžiku uskutečnění zdanitelného plnění správcem daně zveřejněna způsobem umožňujícím dálkový přístup skutečnost, že poskytovatel zdanitelného plnění (Dodavatel) je nespolehlivým plátcem ve smyslu

§ 106a Zákona o DPH, nebo má-li být platba za zdanitelné plnění uskutečněné Dodavatelem v tuzemsku zcela nebo z části poukázána na bankovní účet vedený poskytovatelem platebních služeb mimo tuzemsko, je příjemce zdanitelného plnění (Objednatel) oprávněn část ceny odpovídající dani z přidané hodnoty zaplatit přímo na bankovní účet správce daně ve smyslu § 109a Zákona o DPH. Na bankovní účet Dodavatele bude v tomto případě uhrazena část ceny odpovídající výši základu daně z přidané hodnoty. Úhrada ceny plnění (základu daně) provedená Objednatelem v souladu s ustanovením tohoto odstavce Smlouvy bude považována za řádnou úhradu ceny plnění poskytnutého dle této Smlouvy.

16. Bankovní účet uvedený na daňovém dokladu, na který bude ze strany Dodavatele požadována úhrada ceny za poskytnuté zdanitelné plnění, musí být Dodavatelem zveřejněn způsobem umožňujícím dálkový přístup ve smyslu § 96 Zákona o DPH. Smluvní strany se výslovně dohodly, že pokud číslo bankovního účtu Dodavatele, na který bude ze strany Dodavatele požadována úhrada ceny za poskytnuté zdanitelné plnění dle příslušného daňového dokladu, nebude zveřejněno způsobem umožňujícím dálkový přístup ve smyslu § 96 Zákona o DPH a cena za poskytnuté zdanitelné plnění dle příslušného daňového dokladu přesahuje limit uvedený v § 109 odst. 2 písm. c)

Zákona o DPH, je Objednatel oprávněn zaslat daňový doklad zpět Dodavateli k opravě. V takovém případě se doba splatnosti zastavuje a nová doba splatnosti počíná běžet dnem doručení opraveného daňového dokladu Objednateli s uvedením správného bankovního účtu Dodavatele, tj. bankovního účtu zveřejněného správcem daně.

6. Práva duševního vlastnictví

1. Software je autorským dílem ve smyslu Autorského zákona. Dodavatel poskytuje Objednateli nevýhradní oprávnění k výkonu práva užít Software (resp. soubor modulů Software a, bude-li Dodavatelem dodán a naimplementován, modul Interní audit) včetně dokumentace [nevýhradní licenci k užití Software (resp. souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit), včetně dokumentace], a to s účinností, která nastává okamžikem podpisu Akceptačního protokolu souboru modulů Software / modulu Interní audit (dle relevance), oběma Smluvními stranami. Licence dle této Smlouvy je Objednateli poskytnuta jako licence:

   • neomezená územním rozsahem;

   • poskytnutá na dobu trvání majetkových práv autorských;

   • převoditelná a postupitelná, tj. udělená s právem udělení podlicence či postoupení licence jakékoliv třetí osobě.

Licence opravňuje Objednatele k tomu, aby sám nebo prostřednictvím třetích osob měnil, rozšiřoval a jinak upravoval Software (resp. soubor modulů Software a, bude-li Dodavatelem dodán a naimplementován, modul Interní audit) v souladu se svými potřebami, k čemuž mu Dodavatel tímto výslovně uděluje souhlas.

Umožňují-li to licenční podmínky Dodavatele, resp. výrobce Software, je Dodavatel povinen předat Objednateli za tím účelem ke dni podpisu Akceptačního protokolu souboru modulů Software / modulu Interní audit, veškeré zdrojové a strojové kódy k souboru modulů Software / modulu Interní audit analogicky v rozsahu a způsobem stanoveným v odst. 6.5 Smlouvy, přičemž podpisem Akceptačního protokolu souboru modulů Software / modulu Interní audit, oběma Smluvními stranami se Objednatel stane jejich vlastníkem. Dojde-li v rámci poskytování Předmětu plnění dle této Smlouvy po předání zdrojových a strojových kódů Objednateli k aktualizaci zdrojových a strojových kódů, budou aktualizované zdrojové a strojové kódy Objednateli předány v souvislosti s ukončením této Smlouvy nejpozději do pěti (5) pracovních dnů od konce účinnosti této Smlouvy, a to analogicky v rozsahu a způsobem stanoveným v odst. 6.5 této Smlouvy.

Smluvní strany sjednávají, že Objednatel je oprávněn kdykoli v průběhu účinnosti této Smlouvy požádat Dodavatele o navýšení počtu uživatelů Software (resp. modulu Řízení rizik, modulu Compliance a/nebo, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit) nad počet uvedený v článku 2 Přílohy č. 1

Xxxxxxx, a to písemným požadavkem zaslaným kontaktní osobou Objednatele kontaktní osobě Dodavatele uvedené v čl. 12 odst. 12.4 Smlouvy. Dodavatel se zavazuje navýšit v takovém případě počet uživatelů v souladu s požadavkem Objednatele nejpozději v termínu uvedeném v příslušném požadavku. Navýšení počtu uživatelů bude potvrzeno Protokolem o navýšení počtu uživatelů podepsaným oběma Smluvními stranami. Dodavatel garantuje Objednateli, že cena za navýšení počtu uživatelů nebude vyšší než cena uvedená v Příloze č. 6 Smlouvy.

2. Smluvní strany pro vyloučení případných nejasností sjednávají, že do podpisu Akceptačního protokolu souboru modulů Software / modulu Interní audit oběma Smluvními stranami je Objednatel oprávněn užívat daný modul Software v rozsahu a způsobem nezbytným pro ověření provedení činností uvedených v písm. a) až i) Přílohy č. 4 Smlouvy a k provedení akceptace souboru modulů Software / modulu Interní audit (dle relevance).

3. Smluvní strany sjednávají, že v případě provedení úprav (patchů), aktualizací (updatů), nových verzí (upgradů) či jiných změn Software (resp. souboru modulů Software a, bude- li Dodavatelem dodán a naimplementován, modulu Interní audit) ze strany Dodavatele v průběhu účinnosti této Smlouvy je licence poskytnuta i k takto změněnému Software (resp. souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit); totéž platí i pro případné aktualizace dokumentace vztahující se k Software (resp. souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit), provedené v průběhu účinnosti této Smlouvy.

4. Licenční podmínky pro užití Software jsou dále obsaženy v Příloze č. 7 Smlouvy. Smluvní strany pro vyloučení případných nejasností sjednávají, že bude-li se ujednání obsažené v těle této Smlouvy nebo v některé z ostatních příloh Xxxxxxx odchylovat od ustanovení obsaženého v Příloze č. 7 Smlouvy, má ujednání obsažené v těle této Smlouvy nebo v některé z ostatních příloh Smlouvy přednost před ustanovením obsaženým v Příloze č. 7 Smlouvy.

5. Smluvní strany sjednávají, že budou-li ze strany Dodavatele poskytnuty služby zákaznického rozvoje dle čl. 1 odst. 1.1 písm. d) Smlouvy, jejichž výsledkem bude úprava Software (resp. souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit) dle požadavků Objednatele reflektující specifika prostředí Objednatele, Dodavatel poskytne Objednateli nevýhradní oprávnění k výkonu práva užít takto upravené části Software (nevýhradní licenci k užití takto upravených částí Software), a to s účinností ode dne podpisu příslušného Akceptačního protokolu Služeb oběma Smluvními stranami. Licence dle tohoto odstavce Smlouvy je Objednateli poskytnuta jako licence:

   • neomezená územním rozsahem a rovněž tak neomezená rozsahem užití, zejména neomezená počtem uživatelů či mírou využívání;

• poskytnutá na dobu trvání majetkových práv autorských;

• převoditelná a postupitelná, tj. udělená s právem udělení podlicence či postoupení licence jakékoliv třetí osobě.

Dodavatel uděluje Objednateli souhlas k tomu, aby nejpozději ke dni podpisu příslušného Akceptačního protokolu Služeb oběma Smluvními stranami byl Objednatel (či Objednatelem pověřená třetí osoba) oprávněn takové dílo (či jeho část) zejména upravovat, spojit s dílem jiným a zařadit jej do díla souborného.

Objednatel se za tím účelem stává vlastníkem zdrojových a strojových kódů takového autorského díla a Dodavatel se zavazuje předat Objednateli veškeré zdrojové a strojové kódy k autorskému dílu včetně související dokumentace, a to tak, že budou uloženy na k tomu vyhrazeném repozitáři (GIT) Objednatele s tím, že

• předaný kód musí být čitelný a komentovaný, a

• Dodavatel musí Objednateli poskytnout rovněž všechny nástroje a komponenty pro korektní editaci a kompilaci kódu (resp. musí specifikovat, které běžně dostupné nástroje byly použity, v jaké verzi a konfiguraci).

Smluvní strany sjednávají, že dojde-li v rámci poskytování Předmětu plnění dle této Smlouvy po předání zdrojových a strojových kódů Objednateli k aktualizaci zdrojových a strojových kódů, budou aktualizované zdrojové a strojové kódy Objednateli předány v souvislosti s ukončením této Smlouvy nejpozději do pěti (5) pracovních dnů od konce účinnosti této Smlouvy, a to způsobem a v souladu s tímto odstavcem Smlouvy.

Smluvní strany pro vyloučení případných nejasností sjednávají, že do podpisu příslušného Akceptačního protokolu Služeb oběma Smluvními stranami je Objednatel oprávněn užívat autorská díla podle tohoto odstavce Xxxxxxx v rozsahu a způsobem nezbytným pro provedení akceptace příslušných Služeb podle čl. 1 odst. 1.1 písm. d) Smlouvy.

6. Vzniknou-li v rámci poskytování Předmětu plnění jiná než výše uvedená plnění naplňující znaky autorského díla ve smyslu Autorského zákona, Dodavatel poskytuje Objednateli výhradní oprávnění k výkonu práva užít taková plnění (výhradní licenci k užití takových plnění), s účinností, která nastává okamžikem převzetí takového plnění Objednatelem. Objednatel je oprávněn užívat autorská díla podle tohoto odstavce Xxxxxxx jakýmkoli zákonem povoleným způsobem a neomezeně co do rozsahu užití, zejména neomezeně co do počtu uživatelů či míry využívání, v neomezeném územním rozsahu a po dobu trvání majetkových práv k těmto autorským dílům. Dodavatel uděluje Objednateli souhlas k tomu, aby nejpozději při převzetí takového plnění byl Objednatel (či Objednatelem pověřená třetí osoba) oprávněn takové dílo (či jeho část) zejména upravovat, spojit s dílem jiným a zařadit jej do díla souborného.

7. Smluvní strany v souvislosti s poskytnutím výhradních licencí dle tohoto článku 6

Smlouvy pro vyloučení případných nejasností výslovně vylučují ustanovení § 2378,

§ 2379, § 2380, § 2381 a § 2382 Občanského zákoníku.

8. Smluvní strany sjednávají, že poskytnutí licencí dle tohoto článku 6 Smlouvy nelze ze strany Dodavatele vypovědět nebo jinak jednostranně zrušit, a jejich účinnost trvá i po skončení účinnosti této Smlouvy, nedohodnou-li se Smluvní strany výslovně jinak.

9. Objednatel není povinen licenční oprávnění dle tohoto článku 6 Smlouvy využít.

10. Dodavatel prohlašuje, že případné změny, rozšíření a jiné úpravy Software (resp. souboru modulů Software a, bude-li Dodavatelem dodán a naimplementován, modulu Interní audit) mohou být prováděny Objednatelem i jinými k tomu oprávněnými osobami, odlišnými od Dodavatele.

11. Dodavatel prohlašuje, že autorská díla dle tohoto článku 6 Smlouvy ani jejich části nemají žádné právní vady, že nejsou zatížena právy třetích osob týkajících se zejména vlastnického práva a práv duševního vlastnictví a že Dodavatel je zcela oprávněn disponovat bez jakéhokoli omezení veškerými majetkovými právy k autorským dílům a jejich částem a uzavřít s Objednatelem tuto Smlouvu na celý rozsah Předmětu plnění. V případě, že se uvedené prohlášení Dodavatele nezakládá na pravdě, Dodavatel odpovídá Objednateli za vyplývající důsledky v plném rozsahu včetně odpovědnosti za skutečnou škodu a ušlý zisk. Uplatní-li třetí osoba své právo k předmětným autorským dílům a/nebo jejich části, zavazuje se Dodavatel bez zbytečného odkladu a na vlastní náklady učinit potřebná opatření k ochraně oprávnění k výkonu práv užít autorská díla Objednatelem, pokud jej k tomu Objednatel zmocní.

12. Je-li součástí Předmětu plnění jakýkoliv software třetí osoby (jiný než Software), je Dodavatel povinen zajistit, aby Objednatel nabyl veškerá oprávnění z práv duševního vlastnictví, která se týkají takového autorského díla a která jsou nezbytná k jeho užívání Objednatelem jako součásti Předmětu plnění, a k jeho řádnému užívání a zachování jeho funkčnosti, a to po celou dobu trvání majetkových práv autorských. Odměna Dodavatele za plnění dle předchozí věty je součástí ceny podle článku 4 této Smlouvy. Dodavatel prohlašuje a zavazuje se zajistit, že nositelům práv k softwaru dle tohoto odstavce Smlouvy nepřísluší a nebude příslušet vůči Objednateli žádné právo na odměnu, či jakékoliv jiné plnění v souvislosti s užitím Předmětu plnění nebo jeho částí. Dodavatel prohlašuje, že užitím takového softwaru nejsou dotčena autorská ani jiná práva třetích osob. Dodavatel odpovídá Objednateli za škodu, která by vznikla Objednateli v důsledku uplatnění práv třetích osob vůči Objednateli pro řádné užívání takového softwaru. Dodavatel se zavazuje poskytnout Objednateli na svůj náklad veškerou účinnou součinnost nutnou pro úspěšnou obranu práv Objednatele ve vztahu k uplatnění práv duševního vlastnictví třetích osob.

13. Vznikne-li v rámci poskytování Předmětu plnění dle Smlouvy plnění naplňující znaky databáze dle Autorského zákona, poskytuje Dodavatel Objednateli k okamžiku podpisu příslušného Akceptačního protokolu zvláštní právo pořizovatele databáze, a to zejména právo databázi vytěžovat i zužitkovávat, a to jak celý její obsah, tak i její kvalitativně nebo kvantitativně podstatné části. Dodavatel dále poskytuje Objednateli právo udělit oprávnění k výkonu práva pořizovatele databáze jinému subjektu v rozsahu, jak je udělil Dodavatel Objednateli.

14. Odměny za poskytnutí veškerých oprávnění a licencí dle tohoto článku 6 Smlouvy (včetně práv ke zdrojovým a strojovým kódům dle odst. 6.1 a 6.5 Smlouvy) jsou zahrnuty v ceně dle článku 4 Smlouvy.

7. Vlastnické právo

1. Vlastnické právo k hmotným složkám plnění vyplývajícím z této Smlouvy se převádí na Objednatele okamžikem jejich předání Objednateli. Nebezpečí škody na hmotných složkách plnění přechází na Objednatele okamžikem jejich předání Objednateli. Cena hmotných složek plnění je již zahrnuta v ceně dle článku 4 této Smlouvy.

2. Smluvní strany pro vyloučení případných pochybností výslovně sjednávají, že vlastníkem veškerých dat, které Objednatel či jím pověřená třetí osoba vytvoří, je Objednatel.

8. Záruka

1. Na Software (resp. soubor modulů Software a, bude-li Dodavatelem dodán a naimplementován, modul Interní audit) se vztahuje záruka výrobce Software, a to v rozsahu a dle podmínek uvedených v licenčních podmínkách obsažených v Příloze č. 7 Smlouvy.

2. Dodavatel je v souvislosti s řešením záručních vad povinen zajistit provedení zásahů do provozního prostředí Objednatele dle pokynů Objednatele. Tyto zásahy nesmí mít dopad do provozu ostatních informačních systémů Objednatele, v opačném případě Dodavatel odpovídá za škodu Objednateli tím způsobenou.

9. Ochrana Důvěrných informací

1. Smluvní strany sjednávají, že veškeré skutečnosti jakkoli se týkající nebo související se Smluvními stranami a veškeré další skutečnosti, o nichž se dozví v souvislosti s touto Smlouvou, jsou Smluvními stranami považovány za důvěrné, aniž by bylo nutné tyto informace jednotlivě jako důvěrné výslovně označovat (dále jen „Důvěrné informace“). Důvěrnými informacemi jsou zejména obsah veškerých dokumentů, dokladů a podkladů, které za účelem splnění závazků dle této Smlouvy zpřístupní

Objednatel Dodavateli, a dále veškeré další informace, které za tímto účelem poskytne Objednatel Dodavateli v jakékoli podobě a jakoukoli formou.

2. Smluvní strany se zavazují, že veškeré Důvěrné informace, které od sebe navzájem získají, budou použity výhradně pro účely řádného splnění závazků dle této Smlouvy a bude s nimi nakládáno jako s obchodním tajemstvím.

3. Přijímající Smluvní strana se zavazuje používat k ochraně Důvěrné informace před jejím neoprávněným užíváním, poskytnutím, zveřejněním nebo šířením přiměřené péče, avšak v žádném případě ne v menší míře, než je míra péče, kterou využívá k ochraně svých důvěrných informací, které jsou podobného významu.

4. Smluvní strany se zavazují, že Důvěrné informace jiným subjektům nesdělí, nezpřístupní, ani nevyužijí pro sebe nebo pro jinou osobu. Přijímající Smluvní strana může poskytnout či zpřístupnit jakoukoli Důvěrnou informaci třetí straně, která nebyla adresátem Důvěrné informace, pouze po obdržení písemného souhlasu sdělující Smluvní strany.

5. Každá ze Smluvních stran se zavazuje vynaložit maximální úsilí, aby tajnost Důvěrných informací druhé Smluvní strany byla důsledně dodržována jejími zaměstnanci i osobami, které v souladu s touto Smlouvou k plnění účelu spolupráce použije. Použije-li některá ze Smluvních stran k plnění třetí osoby, je oprávněna zpřístupnit jí Důvěrné informace získané od druhé Smluvní strany pouze v rozsahu nezbytně nutném pro jí poskytované plnění a je rovněž povinna zavázat třetí osobu povinností zachování Důvěrných informací v rozsahu dle této Smlouvy. Za porušení povinností třetí osobou odpovídá Smluvní strana, která jí Důvěrné informace zpřístupnila.

6. Povinnost plnit ustanovení tohoto článku Smlouvy se nevztahuje na informace, které:

   1. je Smluvní strana povinna sdělit na základě zákonem stanovené povinnosti;

   2. byly písemným souhlasem poskytující Smluvní strany zproštěny těchto omezení;

   3. jsou známé nebo byly zveřejněny jinak, než následkem zanedbání povinnosti jedné

ze Smluvních stran;

4. příjemce je zná dříve, než je sdělí Smluvní strana;

5. jsou vyžádány soudem, státním zastupitelstvím nebo příslušným správním orgánem

na základě zákona;

6. je Objednatel povinen poskytnout svému zakladateli;

7. je Objednatel povinen poskytnout jakékoli třetí osobě.

1. Povinnost ochrany Důvěrných informací trvá bez ohledu na ukončení platnosti a účinnosti Smlouvy, a to až do doby, kdy se Důvěrné informace stanou obecně známými za předpokladu, že se tak nestane porušením povinnosti mlčenlivosti Smluvní strany.

8. Dodavatel zajistí, aby přístup k elektronickým datovým souborům obsahujícím osobní údaje a Důvěrné informace byl dostatečně zabezpečen v souladu s požadavky na důvěrnost a integritu dat podle vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).

9. Je-li pro účel kontroly správného fungování Software nebo odstranění vady nezbytné poskytnout Dodavateli kopii databází, souborů nebo nosičů údajů obsahujících jakékoliv údaje z činnosti Objednatele a jím určených organizací, je Dodavatel povinen s takovými údaji nakládat tak, aby nedošlo k jejich úniku či zneužití.

10. Dodavatel je povinen nejpozději do čtrnácti (14) kalendářních dnů po ukončení účinnosti této Smlouvy jemu písemně předané Důvěrné informace, dle formy zachycení těchto písemných informací a dle dohody s Objednatelem Objednateli vrátit nebo je prokazatelně zničit. O vrácení či zničení dle tohoto odstavce Smlouvy musí být sepsán protokol, který musí být podepsán oprávněnými osobami obou Smluvních stran.

10. Zpracování osobních údajů

1. Pokud řádné poskytování Předmětu plnění dle této Smlouvy vyžaduje zpracování osobních údajů zaměstnanců Objednatele, budou osobní údaje zaměstnanců Objednatele Dodavatelem zpracovány v následujícím rozsahu:

   1. jméno a příjmení, titul;

   2. telefonní číslo;

   3. e-mailová adresa.

2. Zpracování osobních údajů je definováno příslušnou právní úpravou, přičemž se jedná zejména o jejich shromažďování, ukládání na nosiče informací, používání, třídění nebo kombinování, blokování a likvidace s využitím manuálních a automatizovaných prostředků v rozsahu nezbytném pro zajištění řádného poskytování Předmětu plnění dle této Smlouvy.

3. Osobní údaje budou zpracovány po dobu poskytování Předmětu plnění dle této Smlouvy. Ukončením této Smlouvy nezanikají povinnosti Dodavatele týkající se bezpečnosti a ochrany osobních údajů až do okamžiku jejich protokolární úplné likvidace či protokolárního předání jinému zpracovateli.

4. Smluvní strany se dohodly, že Dodavatel nemá nárok na náhradu nákladů spojených se zpracováním osobních údajů či s plněním povinností vyplývajících z příslušné právní úpravy.

5. Objednatel prohlašuje, že tyto údaje budou aktuální, přesné a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování.

6. Objednatel je povinen přijmout vhodná opatření na to, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a učinil veškerá sdělení požadovaná Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen

„Nařízení“) ve spojení s právními předpisy upravujícími zpracování osobních údajů.

7. Dodavatel je při plnění této povinnosti povinen:

   1. zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele;

   2. zohledňovat povahu zpracování osobních údajů a být Objednateli nápomocen pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů, jakož i pro splnění dalších povinností ve smyslu Nařízení;

   3. zajistit, že jeho zaměstnanci budou zpracovávat osobní údaje pouze za podmínek

a v rozsahu Objednatelem stanoveném.

8. Dodavatel je při plnění této povinnosti oprávněn v rozsahu nezbytném pro plnění předmětu Smlouvy zapojit do zpracování i další případné zpracovatele, avšak pouze s výslovným písemným souhlasem Objednatele.

9. Smluvní strany jsou povinny:

   1. zavést technická, organizační, personální a jiná vhodná opatření ve smyslu Nařízení, aby zajistily a byly schopny kdykoliv doložit, že zpracování osobních údajů je prováděno v souladu s Nařízením a právními předpisy upravujícími zpracování osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům a k datovým nosičům, které tyto údaje obsahují, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití, a tato opatření podle potřeby průběžné revidovat a aktualizovat;

   2. vést a průběžné revidovat a aktualizovat záznamy o zpracování osobních údajů

ve smyslu Nařízení;

3. řádně a včas ohlašovat případná porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a spolupracovat s tímto úřadem v nezbytném rozsahu;

4. navzájem se informovat o všech okolnostech významných pro plnění dle tohoto článku Smlouvy;

5. zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení této Smlouvy;

6. postupovat v souladu s dalšími požadavky Nařízení a právními předpisy upravujícími zpracování osobních údajů, zejména dodržovat obecné zásady zpracování osobních údajů, plnit své informační povinnosti, nepředávat osobní

údaje třetím osobám bez potřebného oprávnění, respektovat práva subjektů údajů a poskytovat v této souvislosti nezbytnou součinnost.

11. Další práva a povinnosti Smluvních stran

1. Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si součinnost nezbytnou pro řádné provedení Předmětu plnění dle této Smlouvy. Smluvní strany jsou povinny informovat bezodkladně druhou Smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné provedení Předmětu plnění dle této Smlouvy. V případě prokazatelného prodlení povinné Smluvní strany s poskytnutím součinnosti není oprávněná Smluvní strana v prodlení s plněním svých závazků podle Xxxxxxx a veškeré lhůty se o prokazatelné prodlení povinné Smluvní strany prodlužují.

2. Objednatel se zavazuje vyjadřovat se k návrhům na další postup, bude-li to nezbytné pro řádné provedení Předmětu plnění a umožnit Dodavateli bezodkladně po uzavření Smlouvy přístup ke všem informacím a podkladům nezbytným pro realizaci Předmětu plnění, umožnit pracovníkům Dodavatele případný vstup do objektu Objednatele v pracovní dny. Za tímto účelem je Xxxxxxxxx povinen seznámit své pracovníky se zvláštními bezpečnostními a požárními opatřeními Objednatele a dále zvláštními předpisy platnými pro pracoviště Objednatele, byl-li s nimi Objednatelem seznámen.

3. Dodavatel se zavazuje postupovat při realizaci Předmětu plnění v profesionální kvalitě

a s odbornou péčí.

4. Realizační tým

   1. Dodavatel je povinen zajistit kontinuitu svých pracovníků podílejících se na plnění předmětu této Smlouvy uvedených v Příloze č. 8 Smlouvy (dále jen

„Realizační tým“) v průběhu plnění předmětu Smlouvy a zejména určit osoby odpovědné za plnění předmětu Smlouvy.

2. Objednatel si vyhrazuje právo písemně požádat Dodavatele o výměnu člena Realizačního týmu pro opakovanou nespokojenost s kvalitou jím odváděné práce nebo pro nedostatečnou komunikaci s Objednatelem. Pokud Objednatel požádá o výměnu člena Realizačního týmu, není Dodavatel oprávněn plnit prostřednictvím osoby, o jejíž výměnu Objednatel požádal, své závazky.

3. Bude-li ze závažných důvodů vzniklých na straně Dodavatele nutné nahradit kteréhokoliv člena Realizačního týmu nebo využije-li Objednatel svého práva požádat Dodavatele o výměnu člena Realizačního týmu, bude po předchozím schválení Objednatelem nahrazen novým členem Realizačního týmu, a to do deseti (10) pracovních dní od oznámení důvodů pro nahrazení Objednateli / doručení žádosti o výměnu člena Realizačního týmu Dodavateli. Dodavatel

je povinen zajistit, aby nový člen Realizačního týmu byl řádně a prokazatelně proškolen v oblasti bezpečnosti dat a informací. Dodavatel je povinen doložit Objednateli splnění kvalifikačních požadavků týkajících se nového člena Realizačního týmu před schválením této změny Objednatelem, a to stejnou formou, jaká byla vyžadována v Zadávacím řízení.

4. Smluvní strany pro vyloučení případných pochybností sjednávají, že v případě nahrazení člena Realizačního týmu novým členem není nutné k této Smlouvě uzavírat dodatek.

1. Dodavatel se zavazuje, že nezpůsobí, resp. učiní vše nezbytné a vynaloží veškerou možnou péči, kterou lze po něm objektivně požadovat, aby nedošlo k narušení, poškození nebo zničení HW a SW Objednatele, narušení důvěrnosti dostupnosti a integrity dat Objednatele, a to včetně napadení systémů a dat Objednatele škodlivým SW, neoprávněným přístupem apod. Pokud i přes veškeré vynaložené úsilí Dodavatele dojde v důsledku zavinění Dodavatele k narušení, poškození nebo zničení HW a SW Objednatele, narušení důvěrnosti dostupnosti a integrity dat Objednatele ve smyslu předchozí věty, je Dodavatel povinen učinit vše nezbytné a vynaložit veškerou možnou péči, kterou lze po něm objektivně požadovat, aby takové porušení odstranil. To Dodavatele nezbavuje povinnosti uhradit Objednateli újmu vzniklou tímto porušením povinnosti ze strany Dodavatele.

2. Dodavatel Objednateli zaručuje, že v Software ani jakékoli jeho části není a nebude zabudován škodlivý kód (tzv. backdoor) umožňující neoprávněně a bez vědomí Objednatele zasahovat do Software na dálku a ovládat jej. V opačném případě Dodavatel odpovídá Objednateli za veškerou újmu vzniklou v souvislosti s porušením této povinnosti.

3. Osoby, které se na straně Dodavatele přímo a/nebo nepřímo podílejí na plnění dle této Smlouvy musí splňovat požadavky na personální bezpečnost danou platnou a účinnou legislativou v oblasti kybernetické bezpečnosti, zejména musí být řádně a prokazatelně proškoleni v oblasti bezpečnosti dat a informací, kvalifikovány k výkonu příslušných činností.

4. Dodavatel je dále povinen:

1. dodržovat při realizaci Předmětu plnění veškeré bezpečnostní předpisy, veškeré zákony a jejich prováděcí vyhlášky, pokud se vztahují k prováděnému Předmětu plnění a týkají se činnosti Dodavatele, bezpečnosti práce, požární ochraně a ochraně životního prostředí. Pokud porušením těchto předpisů Dodavatelem vznikne škoda, nese náklady Dodavatel;

2. bez zbytečného odkladu písemně informovat Objednatele o skutečnostech, které mají nebo mohou mít vliv na plnění Smlouvy, a to neprodleně, nejpozději

následující pracovní den poté, kdy příslušná skutečnost nastane nebo Dodavatel zjistí, že by nastat mohla;

3. neprodleně hlásit Objednateli všechny kybernetické bezpečnostní incidenty související s plněním této Smlouvy, které mají dopad na bezpečnost dat a informací;

4. účastnit se na základě písemné pozvánky Objednatele všech jednání týkajících se předmětu Smlouvy. Odměna za účast Dodavatele na jednáních dle tohoto odstavce Smlouvy, jakož i veškeré náklady Dodavatele spojené s účastí na těchto jednáních, jsou plně zahrnuty v ceně dle článku 4 Smlouvy.

9. Objednatel je oprávněn provádět kdykoli kontrolu plnění Předmětu plnění a Dodavatel se zavazuje vytvořit mu k tomu podmínky, přičemž případné náklady nese Dodavatel.

10. Zjistí-li Dodavatel při realizaci Předmětu plnění překážky bránící jeho řádnému provedení, je povinen to bez zbytečného odkladu písemně oznámit Objednateli a navrhnout mu další postup.

11. Dodavatel se zavazuje nepoužít ve svých dokumentech jakýkoliv odkaz na název Objednatele nebo jakýkoliv jiný odkaz, který by mohl, byť i nepřímo, vést k identifikaci Objednatele, bez předchozího písemného souhlasu Objednatele.

12. Dodavatel není oprávněn postoupit ani převést jakákoliv svá práva či povinnosti vyplývající ze Smlouvy bez předchozího písemného souhlasu Objednatele na třetí osoby.

13. Dodavatel je oprávněn pověřit plněním závazků plynoucích ze Smlouvy jiné třetí osoby (poddodavatele), nebo takové třetí osoby (poddodavatele) změnit, uvedl-li je již ve své nabídce v Zadávacím řízení, pouze s předchozím písemným souhlasem Objednatele. Pokud se jedná o takové třetí osoby (poddodavatele), kterými Dodavatel prokazoval kvalifikaci, tak musí tato nová třetí osoba (poddodavatel) splňovat kvalifikační předpoklady minimálně v rozsahu stanoveném v Zadávacím řízení. Pokud byla tato třetí osoba (poddodavatel) taktéž součástí hodnocení nabídek v Zadávacím řízení, tak musí taktéž splňovat kvalifikační předpoklady minimálně v takovém rozsahu, v jakém byly započteny do tohoto hodnocení nabídek v Zadávacím řízení u původní třetí osoby (poddodavatele). Dodavatel je povinen splnění náležitostí dle předchozí věty doložit před odsouhlasením této změny Objednatelem, a to stejnou formou, jaká byla vyžadována v Zadávacím řízení. Udělí-li Objednatel s využitím nebo změnou třetí osoby (poddodavatele) souhlas, je Xxxxxxxxx povinen zavázat poddodavatele k zachování Důvěrných informací a k ochraně osobních údajů ve smyslu článku 9 a článku 10 této Smlouvy ve stejném rozsahu, v jakém je k této povinnosti zavázán sám. Dodavatel odpovídá za své poddodavatele jako za plnění vlastní, včetně odpovědnosti za způsobenou újmu.

14. Jestliže vznikne na straně Dodavatele nemožnost plnění ve smyslu § 2006 Občanského zákoníku, Dodavatel písemně uvědomí bez zbytečného odkladu o této skutečnosti a její příčině Objednatele. Pokud není jinak stanoveno písemně Objednatelem, bude Dodavatel pokračovat v realizaci svých závazků vyplývajících ze smluvního vztahu v rozsahu svých nejlepších možností a schopností a bude hledat alternativní prostředky pro realizaci té části plnění, kde není možné plnit. Pokud by podmínky nemožnosti plnění trvaly déle než třicet (30) kalendářních dnů, je Objednatel oprávněn od této Smlouvy odstoupit.

15. Brání-li některé ze Smluvních stran v plnění povinností ze Smlouvy mimořádná nepředvídatelná a nepřekonatelná překážka vzniklá nezávisle na její vůli ve smyslu ustanovení § 2913 odst. 2 Občanského zákoníku, prodlužují se o dobu, po kterou trvá překážka, lhůty pro plnění povinností stanovených Smluvním stranám Smlouvou. Dodavatel je povinen o vzniku a zániku takové překážky Objednatele neprodleně informovat a tuto překážku Objednateli doložit. Jakmile překážka přestane působit, zavazuje se Dodavatel vyvinout maximální úsilí vedoucí k naplnění účelu Smlouvy a zavazuje se zajistit splnění povinností ze Smlouvy bez zbytečného odkladu.

16. Smluvní strany se zavazují vzájemně se písemně informovat o případných změnách právní formy, změně bankovního spojení, zrušení registrace k DPH, a dalších významných skutečností rozhodných pro plnění ze Smlouvy, a to bezodkladně po uskutečnění takovéto změny.

12. Vzájemná komunikace Smluvních stran a kontaktní osoby

1. Veškerá komunikace mezi Smluvními stranami je činěna písemně, není-li touto Smlouvou stanoveno jinak, a to v listinné nebo elektronické podobě prostřednictvím doporučené pošty, e-mailu či datové schránky. Pro operativní komunikaci je možné využít též telefonického nebo osobního kontaktu, nicméně následně musí dojít k potvrzení ústního ujednání písemnou formou.

2. Veškerá oznámení mezi Smluvními stranami, která se vztahují ke Smlouvě, nebo která mají být učiněna na základě Smlouvy a která mají či mohou mít jakýkoliv účinek na trvání, změnu či ukončení této Smlouvy, musí být učiněna v písemné podobě a druhé Smluvní straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou v záhlaví této Smlouvy, není-li Smlouvou stanoveno nebo mezi Smluvními stranami pro konkrétní případy písemně dohodnuto jinak.

3. Smluvní strany se zavazují, že v případě změny své adresy budou o této změně druhou Smluvní stranu prokazatelně písemně informovat nejpozději do pěti (5) pracovních dnů.

4. Kontaktní osoby Objednatele a Dodavatele pro účely této Smlouvy jsou následující:

Za Objednatele:	jméno a příjmení:	xxx
	tel.:	xxx
	e-mail:

Za Dodavatele:

Kontaktní osoba pro věci obchodních:

jméno a příjmení: xxx

tel.: xxx

e-mail

Kontaktní osoba pro věci technických:

Xxxxx a příjmení: xxx

Tel: xxx

e-mail: xxx

Smluvní strany pro vyloučení případných nejasností sjednávají, že kontaktní osoby Dodavatele a Objednatele jsou oprávněny zejména podepsat Předávací protokoly a Akceptační protokoly dle článku 3 této Smlouvy, Protokol/y o navýšení počtu uživatelů podle čl. 6 odst. 6.1 Xxxxxxx, a vznášet požadavky a připomínky v rámci realizace Předmětu plnění.

5. Obě Smluvní strany jsou oprávněny jednostranně změnit kontaktní osoby uvedené v odst. 12.4 Smlouvy bez nutnosti uzavření dodatku ke Smlouvě, přičemž změna je účinná doručením písemného oznámení o takové změně druhé Smluvní straně. Po dobu své nepřítomnosti je kontaktní osoba oprávněna pověřit jinou osobu disponující stejnou nebo vyšší kvalifikaci.

13. Compliance ujednání

1. Smluvní strany se zavazují dodržovat právní předpisy a chovat se tak, aby jejich jednání nemohlo vzbudit důvodné podezření ze spáchání nebo páchání trestného činu přičitatelného jedné nebo oběma Smluvním stranám podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů.

2. Smluvní strany se zavazují, že učiní všechna opatření k tomu, aby se nedopustily ony a ani nikdo z jejich zaměstnanců či zástupců jakékoliv formy korupčního jednání, zejména jednání, které by mohlo být vnímáno jako přijetí úplatku, podplácení nebo nepřímé úplatkářství či jiný trestný čin spojený s korupcí dle zákona č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů.

3. Smluvní strany se zavazují, že:

1. neposkytnou, nenabídnou ani neslíbí úplatek jinému nebo pro jiného v souvislosti s obstaráváním věcí obecného zájmu anebo v souvislosti s podnikáním svým nebo jiného;

2. úplatek nepřijmou, ani si jej nedají slíbit, ať už pro sebe nebo pro jiného v souvislosti s obstaráním věcí obecného zájmu nebo v souvislosti s podnikáním svým nebo jiného.

Úplatkem se přitom rozumí neoprávněná výhoda spočívající v přímém majetkovém obohacení nebo jiném zvýhodnění, které se dostává nebo má dostat uplácené osobě nebo s jejím souhlasem jiné osobě, a na kterou není nárok.

4. Smluvní strany nebudou ani u svých obchodních partnerů xxxxxxxxx jakoukoliv formu korupce či uplácení.

5. V případě, že je zahájeno trestní stíhání Dodavatele, zavazuje se Dodavatel o tomto bez zbytečného odkladu Objednatele písemně informovat.

14. Odpovědnost za škodu a sankční ujednání

1. Každá ze Smluvních stran nese odpovědnost za škodu způsobenou při plnění závazků ze Smlouvy v důsledku porušení povinností vyplývajících z obecně závazných právních předpisů či vyplývajících ze Smlouvy. Obě Smluvní strany se zavazují vyvíjet maximální úsilí k předcházení škodám a k minimalizaci vzniklých škod.

2. Dodavatel odpovídá za škodu, kterou způsobil Objednateli v souvislosti s plněním Smlouvy nedodržením nebo porušením svých povinností vyplývajících ze Smlouvy. Odpovědnost za škodu způsobenou porušením smluvní povinnosti se řídí ustanovením

§ 2913 a násl. Občanského zákoníku.

3. V případě prodlení Dodavatele s provedením implementace modulu Řízení rizik a modulu Compliance a předáním tohoto souboru modulů Software Objednateli do akceptačního řízení v termínu dle čl. 2 odst. 2.3 Xxxxxxx, je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 0,05 % z ceny uvedené v čl. 4 odst. 4.1 písm. a) Xxxxxxx za každý i započatý kalendářní den prodlení.

4. V případě prodlení Dodavatele s provedením implementace modulu Interní audit a předáním modulu Interní audit Objednateli do akceptačního řízení v termínu dle čl. 2 odst. 2.4 Xxxxxxx, je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 0,05 % z ceny uvedené v čl. 4 odst. 4.1 písm. b) Smlouvy za každý i započatý kalendářní den prodlení.

5. V případě prodlení Dodavatele s potvrzením přijetí požadavku v rámci poskytování služeb Podpory ve lhůtě uvedené v Příloze č. 3a Smlouvy je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 500,- Kč (slovy: pět set korun českých) za každý i započatý kalendářní den prodlení.

6. V případě prodlení Dodavatele s odstraněním vady v rámci poskytování služeb Podpory ve lhůtě uvedené v Příloze č. 3a Smlouvy je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 1.000,- Kč (slovy: jeden tisíc korun českých) za každý i započatý kalendářní den prodlení.

7. V případě prodlení Dodavatele s poskytnutím Služeb v termínu dle Požadavku je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 1.000,- Kč (slovy: jeden tisíc korun českých) za každý i započatý kalendářní den prodlení.

8. V každém jednotlivém případě porušení závazku Dodavatele k ochraně Důvěrných informací dle článku 9 této Smlouvy je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 100.000,- Kč (slovy: jedno sto tisíc korun českých).

9. V každém jednotlivém případě porušení povinnosti Dodavatele při zpracování osobních údajů dle článku 10 této Smlouvy je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 100.000,- Kč (slovy: jedno sto tisíc korun českých).

10. V případě nedodržení lhůty splatnosti faktury, kterou od Xxxxxxxxxx převzal Objednatel k úhradě, se Objednatel zavazuje Dodavateli uhradit zákonný úrok z prodlení dle nařízení vlády č. 351/2013 Sb., kterým se určuje výše úroků z prodlení a nákladů spojených s uplatněním pohledávky, určuje odměna likvidátora, likvidačního správce a člena orgánu právnické osoby jmenovaného soudem a upravují některé otázky Obchodního věstníku a veřejných rejstříků právnických a fyzických osob, v platném znění.

11. Vyúčtování smluvní pokuty / úroků z prodlení – penalizační faktura, musí být druhé Smluvní straně zasláno doporučeně s dodejkou. Smluvní pokuta / úroky z prodlení jsou splatné ve lhůtě třiceti (30) kalendářních dnů ode dne doručení penalizační faktury povinné Smluvní straně. Úhrada smluvní pokuty / úroků z prodlení se provádí bankovním převodem na účet oprávněné Smluvní strany uvedený v penalizační faktuře. Částka se považuje za zaplacenou okamžikem jejího připsání ve prospěch účtu oprávněné Smluvní strany.

12. Uplatněním jakékoliv smluvní pokuty není nijak dotčeno právo Objednatele na náhradu vzniklé újmy v celém rozsahu způsobené újmy.

13. Objednatel je v případě uplatnění smluvní pokuty vůči Dodavateli dle této Smlouvy v případě neuhrazení smluvní pokuty ze strany Dodavatele oprávněn využít institut započtení vzájemných pohledávek.

15. Ustanovení o vzniku a ukončení Smlouvy

1. Tato Smlouva nabývá platnosti dnem podpisu oběma Smluvními stranami a účinnosti uveřejněním v registru smluv v souladu se zákonem č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů. Uveřejnění Xxxxxxx v registru smluv zajistí Objednatel.

2. Tuto Smlouvu lze předčasně ukončit:

   1. písemnou dohodou Smluvních stran;

   2. jednostranným odstoupením z důvodů stanovených právními předpisy nebo touto Smlouvou, nebo v případě podstatného porušení Smlouvy; nebo

   3. v části týkající se poskytování Podpory podle čl. 1 odst. 1.1 písm. b) Smlouvy a/nebo Maintenance podle čl. 1 odst. 1.1 písm. c) Xxxxxxx písemnou výpovědí Objednatele v souladu s odst. 15.8 Smlouvy.

3. Za podstatné porušení smluvních povinnosti Dodavatele, za kterých může Objednatel od této Smlouvy odstoupit, se, kromě případů uvedených výše v této Smlouvě, považuje zejména:

   1. prodlení Dodavatele s dodáním modulu Řízení rizik a modulu Compliance, s provedením implementace tohoto souboru modulů Software a předáním tohoto souboru modulů Software Objednateli do akceptačního řízení v termínu podle čl. 2 odst. 2.3 Smlouvy delší než třicet (30) kalendářních dní;

   2. prodlení Dodavatele s provedením implementace modulu Interní audit a předáním tohoto modulu Software Objednateli do akceptačního řízení v termínu podle čl. 2 odst. 2.4 Smlouvy delší než třicet (30) kalendářních dní;

   3. prodlení Dodavatele s poskytnutím Služeb delší než třicet (30) kalendářních dní;

   4. opakované, tj. nejméně 2 x bránění Objednateli v provádění kontrol plnění Předmětu plnění nebo jeho části;

   5. opakované, tj. nejméně 2 x, nebo hrubé porušení pravidel bezpečnosti práce, protipožární ochrany, ochrany zdraví při práci či jiných bezpečnostních předpisů a pravidel Dodavatelem nebo jeho poddodavatelem v místě plnění;

   6. porušení ochrany Důvěrných informací a/nebo porušení povinnosti při zpracování osobních údajů;

   7. porušení povinnosti poskytnout Objednateli licence a oprávnění v rozsahu dle této Smlouvy.

4. Objednatel je rovněž oprávněn odstoupit od Smlouvy:

   1. je-li Dodavatel v likvidaci nebo vůči jeho majetku probíhá insolvenční řízení,

v němž bylo vydáno rozhodnutí o úpadku nebo insolvenční návrh byl zamítnut proto,

že majetek nepostačuje k úhradě nákladů insolvenčního řízení, nebo byl konkurs zrušen proto, že majetek byl zcela nepostačující nebo byla zavedena nucená správa podle zvláštních právních předpisů;

2. byl-li Dodavatel pravomocně odsouzen pro trestný čin.

1. Za podstatné porušení smluvních povinností Objednatelem, za kterých může Dodavatel od této Smlouvy odstoupit, se považuje prodlení Objednatele s úhradou faktury delší než třicet (30) kalendářních dní.

2. Odstupuje-li od Xxxxxxx kterákoliv ze Smluvních stran, oznámí písemně tuto skutečnost druhé Smluvní straně, a to nejpozději do deseti (10) kalendářních dnů ode dne, kdy se tato Smluvní strana o důvodech zakládajících možnost odstoupení od této Smlouvy dozvěděla. Odstoupení je účinné doručením písemného oznámení o odstoupení druhé Smluvní straně.

3. Odstoupení od této Smlouvy ze strany Objednatele není spojeno s uložením jakékoliv sankce k tíži Objednatele.

4. Tato Smlouva může být v části týkající se poskytování Podpory k souboru modulů Software a/nebo k modulu Interní audit (byl-li Dodavatelem dodán a naimplementován) podle čl. 1 odst. 1.1 písm. b) Smlouvy a/nebo Maintenance k souboru modulů Software a/nebo k modulu Interní audit (byl-li Dodavatelem dodán a naimplementován) podle čl. 1 odst. 1.1 písm. c) Smlouvy ukončena rovněž výpovědí ze strany Objednatele bez udání důvodu s výpovědní dobou v délce šesti (6) měsíců počínající běžet prvním dnem měsíce následujícího po doručení výpovědi Dodavateli.

5. Plnění řádně poskytnutá ke dni ukončení Smlouvy či její části odstoupením, dohodou nebo výpovědí podle odst. 15.8 Smlouvy si Smluvní strany nebudou vracet, nebude-li v konkrétním případě Smluvními stranami dohodnuto jinak. V případě sjednání vracení plnění jsou Smluvní strany povinny vzájemnou dohodou písemně vypořádat dosavadní přijaté smluvní plnění nejpozději do šedesáti (60) kalendářních dnů od ukončení / zániku této Smlouvy či její části.

6. Dodavatel prohlašuje a potvrzuje Objednateli, že služby Podpory a Maintenance, jak jsou specifikovány v Příloze č. 3a a v Příloze č. 3b Smlouvy, mohou být poskytovány i jinou k tomu oprávněnou osobou, odlišnou od Dodavatele.

7. Ukončením účinnosti Smlouvy nebo její části nejsou dotčena ustanovení týkající se smluvní pokuty, záruky, náhrady újmy a jiných nároků a jiné přetrvávající závazky.

16. Závěrečná ustanovení

1. Právní vztahy výslovně Smlouvou neupravené se řídí právními předpisy České republiky, zejména relevantními ustanoveními Občanského zákoníku.

2. Dodavatel prohlašuje a potvrzuje, že na sebe přebírá nebezpečí změny okolností

ve smyslu ustanovení § 1765 odst. 2 Občanského zákoníku.

3. Smluvní strany si ve smyslu ustanovení § 1794 odst. 2 Občanského zákoníku ujednaly, že se Dodavatel výslovně vzdává jeho práva ve smyslu ustanovení § 1793 Občanského zákoníku a souhlasí s cenou tak, jak byla Smluvními stranami sjednána výše v této Smlouvě.

4. Všechny spory, které vzniknou ze Smlouvy nebo v souvislosti s ní a které se nepodaří vyřešit přednostně smírnou cestou, budou rozhodovány obecnými soudy v souladu s ustanoveními zákona č. 99/1963 Sb., občanského soudního řádu, ve znění pozdějších předpisů. Místně příslušným soudem pro řešení případných sporů bude soud příslušný dle místa sídla Objednatele.

5. Pokud jakákoliv ustanovení nebo jakékoliv části ustanovení Smlouvy budou považovány za neplatné nebo nevymahatelné, nebude mít taková neplatnost nebo nevymahatelnost za následek neplatnost nebo nevymahatelnost celé Smlouvy, ale celá Smlouva se bude vykládat tak, jako kdyby neobsahovala příslušná neplatná nebo nevymahatelná ustanovení nebo části ustanovení a práva a povinnosti Smluvních stran se budou vykládat přiměřeně. Smluvní strany se dále zavazují, že budou navzájem spolupracovat s cílem nahradit takové neplatné nebo nevymahatelné ustanovení platným a vymahatelným ustanovením, jímž bude dosaženo stejného ekonomického výsledku (v maximálním možném rozsahu v souladu s právními předpisy), jako bylo zamýšleno ustanovením, jež bylo shledáno neplatným či nevymahatelným.

6. Dnem doručení písemností odeslaných na základě této Smlouvy nebo v souvislosti s touto Smlouvou prostřednictvím provozovatele poštovních služeb, pokud není prokázán jiný den doručení, se rozumí poslední den lhůty, ve které byla písemnost pro adresáta uložena u provozovatele poštovních služeb, a to i tehdy, jestliže se adresát o jejím uložení nedověděl. Smluvní strany tímto výslovně vylučují ustanovení § 573 Občanského zákoníku.

7. Smlouva může být měněna pouze dohodou Smluvních stran v písemné formě, přičemž změna Smlouvy bude účinná k okamžiku stanovenému v takovéto dohodě. Nebude-li takovýto okamžik stanoven, pak změna Smlouvy bude účinná ke dni uzavření takovéto dohody. Podstatná změna textu této Smlouvy nebo změna, která by nebyla připuštěna Zákonem o zadávání veřejných zakázek, je vyloučena.

8. Tato Smlouva je vyhotovena elektronicky a podepsána oběma zástupci Smluvních stran zaručeným elektronickým podpisem.

9. Nedílnou součástí Smlouvy jsou následující přílohy: Příloha č. 1 – Funkční požadavky

Příloha č. 2 – Nefunkční požadavky

Příloha č. 3a – Specifikace Podpory Příloha č. 3b – Specifikace Maintenance

Příloha č. 4 – Požadovaný průběh implementace modulů Software Příloha č. 5 – Vzor Akceptačního protokolu

Příloha č. 6 – Specifikace ceny za dodávku a implementaci Software Příloha č. 7 – Licenční podmínky

Příloha č. 8 – Realizační tým

10. Smluvní strany prohlašují, že tato Smlouva je projevem jejich pravé a svobodné vůle a nebyla sjednána v tísni ani za jinak jednostranně nevýhodných podmínek. Na důkaz toho připojují Smluvní strany své podpisy.

V Praze dne: Dle elektronického podpisu V Kunštátě dne: Dle elektronického podpisu

.xxx		xxx
xxx Národní agentura pro komunikační a informační technologie, s. p.		xxx NETIA® s.r.o.

V Praze dne: Dle elektronického podpisu

xxx

xxx

Národní agentura pro komunikační

a informační technologie, s. p.

'

.

Funkční požadavky

na informační

systém GRC

Obsah

1. Účel dokumentu 2

2. Předmět zakázky 2

3. Interní audit 3

   1. Popis aktuálního a cílového stavu 3

   2. Přehled business požadavků Interní audit 5

4. Řízení rizik 7

   1. Popis Řízení rizik 7

   2. Přehled business požadavků Řízení rizik 7

5. Compliance 10

   1. Předpisová základna 10

   2. Kontrolní činnost 11

   3. Monitoring legislativy 11

   4. Přehled business požadavků Compliance 11

6. Budoucí požadavky 14

1. Účel dokumentu

Dokument shrnuje požadovaný rozsah funkčních (business) požadavků na dodávku a služby pro Projekt dodávky a implementace nástroje pro řízení auditů, rizik a Compliance realizovaný v rámci Veřejné zakázky popsané v této zadávací dokumentaci. Cílem tohoto dokumentu je popsat funkční požadavky ve státním podniku Národní agentura pro komunikační a informační technologie, s. p. (dále jen „Zadavatel“), které definují rozsah plnění zakázky.

2. Předmět zakázky

Předmět plnění je specifikován v čl. 1 odst. 1.1 Smlouvy.

Klíčovými uživateli budou pracovníci útvarů řízení rizik, compliance a interní audit. Poptávány jsou následující licence dle rolí:

• 3x auditor: aktivní role s možností plné funkcionality modulů

• 1x Compliance a Risk manažer: aktivní role s možností plné funkcionality modulů

• 5x Compliance Officer: pasivní role, možnost pouze náhledu do přehledů a reporting bez možnosti editace záznamů

• 2x právník: aktivní role s možností plné funkcionality modulů

• 1x správce předpisové základny: aktivní role s možností plné funkcionality modulů

• 1x ředitel sekce Legislativa: aktivní role s možností plné funkcionality modulů

• 1x licence pro IT administrátora, pokud to systém a licenční politika vyžaduje.

Celkem tedy 8-9 licencí pro aktivní přístup a 5 licencí s pasivní přístup. Systém bude umožňovat řešit přístupová oprávnění do jednotlivých modulů resp. funkčních oblastí a také k jednotlivým záznamům.

3. Interní audit

1. Popis aktuálního a cílového stavu

Činnost a postupy útvaru interního auditu se řídí Mezinárodními standardy. Útvar interního auditu nemá v současné době k dispozici software, který by podporoval činnost útvaru IA a který by umožňoval vedení interaktivní databáze rizik (společně s funkcí compliance a oprisk; výhledově i s oddělením bezpečnosti) a souvisejících kontrolních mechanismů v procesech v rámci podniku; evidenci základních údajů o provedené nebo plánované činnosti útvaru IA.

V současné situaci jsou pro veškeré dokumenty - pro strategické, roční plánování a zpracování auditní dokumentace - využívány standardní nástroje MS Office (MS Excel, MS Word). Z hlediska tvorby auditorského spisu - dokumentace konkrétní zakázky, bude tato praxe zachována i nadále.

Cílovým stavem je nákup a implementace SW pro účely podpory vybraných procesů (evidence základní údajů o provedených auditech a jejich výsledcích, plánování strategické a roční, hodnocení rizik, sledování nápravných opatření – follow-up, reporting a výkaznictví) v rámci výkonu a zajišťování funkce interního auditu. Jedná se zejména

o následující oblasti, které by měl SW podporovat:

• Auditní prostředí, tj. tzv. audit universe (přehled auditovaných oblastí, procesů, činností a útvarů a souvisejících rizik napříč podnikem), strategický plán a roční plán činnosti; předpokládáme že páteřní databází bude databáze rizik a souvisejících kontrolních mechanismů pro potřeby auditního plánování včetně elektronického plánovacího modulu, který bude součástí SW (data pro plánování budou přebírána z db rizik, ze strategického plánu a ročního plánu),

• Základní evidenční a statistické údaje o jednotlivých zakázkách (auditních, konzultačních a poradenství) realizovaných útvarem interního auditu – přehled auditů a konzultací v definovaném rozsahu údajů, včetně negativních zjištění, souvisejících rizik a nápravných opatření (doporučení); separátně budou evidovány základní údaje o kontrolách realizovaných externími subjekty (např. NKÚ, NUKIB, externí auditor atp.),

• Sledování termínů a vyhodnocování informací o plnění nápravných opatření, včetně e- mailové notifikace gestorům odpovědným za realizaci nápravných opatření,

• Manažerské reporty, výstupy a přehledy - díky vzájemnému propojení jednotlivých modulů SW bude možné automaticky generovat klíčové reporty pro potřeby auditu a vedení podniku,

• Součástí dodávky musí být migrace stávajících dat.

SW podpora-přínos činností útvaru IA zahrnuje tyto oblasti:

• Tvorba a správa evidenční údajů o auditních akcích prováděných interními kapacitami a šetřeních realizovanými externími kontrolními orgány (jedná se o 2 separátní evidence)

• SW umožňuje tvorbu a správu (aktualizaci) evidence o auditních a konzultačních zakázkách (evidenci základních údajů – rok, číslo, název, auditní tým, auditovaný útvar, časové milníky, celkové hodnocení, zjištění, doporučení a související rizika).

• SW umožňuje tvorbu a správu (aktualizaci) evidence o externích auditech a šetřeních provedených externími subjekty (evidenci základních údajů – rok, číslo, název, kontrolní subjekt, kontrolovaný útvar, závěry, zjištění a doporučení) celkové hodnocení, statistika rizik.

Databáze rizik

Jedná se o požadovanou základní funkcionalitu. Databáze rizik a souvisejících kontrolních mechanismů pak bude využívána pro potřeby auditního plánování – sestavení strategického tříletého plánu, ročního plánu činnosti.

Vkládání rizik a jejich administrace. Záznam rizika musí obsahovat následující políčka: ID rizika, název rizika, popis rizika, jméno vlastníka rizika, sekce/odbor ke které riziko váže, hodnocení inherentního rizika, hodnocení zbytkového rizika.

SW umožňuje hodnocení rizik (inherentní a zbytkové riziko).

Sledování a aktualizace informací o realizaci nápravných opatření

SW obsahuje funkcionalitu pro správu a sledování zjištění, navazujících rizik, doporučení a nápravných opatření a jejich gestorů/nositelů úkolů.

SW umožňuje vkládání zjištění a doporučení související s nálezy interního auditu jednotlivých misí.

SW umožňuje adresovat auditovaným jednotlivá doporučení. Auditovaní budou mít přístup k danému doporučení a budou moci popsat aktuální stav plnění. SW umožňuje posílání e-mailových upomínek auditovaným s odkazem na daná doporučení a pro účely urgování nesplnění doporučení.

Tvorba výstupů, sestav a reportů

SW umožňuje tvorbu volitelných sestav a reportů z datových zdrojů. Sestavy a statistiky bude možné exportovat přímo do formátu MS Excel, MS Word bez nutnosti složitých konverzí. Základní sestavy se týkají Plánů (strategický i roční), Přehledu rizik, Přehledu realizovaných akcí interních i externích, Přehledu doporučení a stavu jejich implementace.

Plánování

SW obsahuje nástroj/funkcionalitu pro umožnění sestavení strategického i ročního plánu auditu s využitím auditního prostředí („audit universe“) a databáze rizik podniku.

SW umožňuje generovat roční plán ze strategického tříletého plánu na základě definovaných kritérií – klíčových ukazatelů (např. inherentní riziko, zbytkové riziko, priorita)

– přebírá evidenční údaje ze strategického plánu.

SW umožňuje generovat záznam o auditní zakázce (Konzultaci/poradenství) výběrem položky z ročního plánu (přebírá údaje uvedené v plánu).

2. Přehled business požadavků Interní audit

D požadavku	Název	Popis požadavku na SW	Důležitost
IA1	Tvorba a správa auditních misí, konzultací a poradenství	SW umožňuje tvorbu a správu (aktualizaci) evidence o auditních a konzultačních zakázkách (evidenci základních údajů – rok, číslo, název, auditní tým, auditovaný útvar, časové milníky, celkové hodnocení, zjištění, doporučení a související rizika).	Povinný
IA2	Tvorba a správa externích kontrol	SW umožňuje tvorbu a správu (aktualizaci) evidence o externích auditech a šetřeních provedených externími subjekty (evidenci základních údajů – rok, číslo, název, kontrolní subjekt, kontrolovaný útvar, závěry, zjištění a doporučení) celkové hodnocení, statistika rizik.	Povinný
IA3	Databáze rizik	Jedná se o požadovanou základní funkcionalitu. Databáze rizik a souvisejících kontrolních mechanismů pak bude využívána pro potřeby auditního plánování – sestavení strategického tříletého plánu, ročního plánu činnosti.	Povinný

IA4	Správa databáze rizik	Vkládání rizik a jejich administrace. Záznam rizika musí obsahovat následující políčka: ID rizika, název rizika, popis rizika, jméno vlastníka rizika, sekce/odbor ke které riziko váže, hodnocení inherentního rizika, hodnocení zbytkového rizika.	Povinný
IA5	Hodnocení rizik	SW umožňuje hodnocení rizik (inherentní a zbytkové riziko) dle stanovené metodiky.	Povinný
IA6	Sledování a aktualizace informací o nápravných opatřeních	SW obsahuje funkcionalitu pro správu a sledování zjištění, navazujících rizik, doporučení a nápravných opatření a jejich gestorů/nositelů úkolů. SW umožňuje vkládání zjištění a doporučení související s nálezy interního auditu z jednotlivých akcí. SW umožňuje adresovat auditovaným jednotlivá doporučení.	Povinný
IA7	Notifikační e-maily pro správu opatření	SW umožňuje posílání e-mailových upomínek auditovaným s odkazem na daná doporučení a pro účely urgování nesplnění doporučení.	Povinný
IA8	Aktualizace údajů o opatřeních ze strany auditovaných	Auditovaní budou mít přístup k danému doporučení a budou moci popsat aktuální stav plnění.	Vítaný
IA9	Funkcionalita pro plánování auditů	SW obsahuje nástroj/funkcionalitu pro umožnění sestavení strategického i ročního plánu auditu s využitím auditního prostředí („audit universe“) a databáze rizik podniku.	Povinný

IA10	Sestavení ročního plánu	SW umožňuje generovat roční plán ze strategického tříletého plánu na základě definovaných kritérií – klíčových ukazatelů (např. inherentní riziko, zbytkové riziko, priorita) – přebírá evidenční údaje ze strategického plánu.	Povinný
IA11	Vytvoření záznamu o plánované akci	SW umožňuje generovat záznam o auditní zakázce (konzultaci /poraden- ství) výběrem položky z ročního plánu (přebírá údaje uvedené v plánu).	Povinný
IA12	Reporting	SW umožňuje tvorbu volitelných sestav a reportů z datových zdrojů. Sestavy a statistiky bude možné exportovat přímo do formátu MS Excel, MS Word bez nutnosti složitých konverzí. Základní sestavy se týkají Plánů (strategický i roční), Přehledu rizik, Přehledu realizovaných akcí interních i externích, Přehledu doporučení a stavu jejich implementace.	Povinný

4. Řízení rizik

1. Popis Řízení rizik

Oblast řízení Rizik je definovaná směrnicí SM_12_2016_NAKIT_Řízení rizik uvedená jako příloha zadávací dokumentace k veřejné zakázce.

2. Přehled business požadavků Řízení rizik

ID požadavku	Název	Popis požadavku na SW	Důležitost
R1	Karta rizik	Evidence základních parametrů o riziku jako je: Zranitelnost Potenciální riziko Vlastník rizika Provázanost na aktiva (včetně umístění a formy aktiva) Související hrozby Hodnota aktiva Síla zranitelnosti (Dle kategorií) Pravděpodobnost výskytu hrozby Míra rizika (Dle kategorií) Navržené opatření Přístup k riziku Síla zranitelnosti po přezkoumání rizika Míra rizika po realizaci opatření Finanční ohodnocení rizika a další	Povinný
R2	Katalog hrozeb	Základní evidence hrozeb, jejich kategorizace a ohodnocení	Povinný
R3	Katalog aktiv	Evidence aktiv, jejich kategorizace a ohodnocení	Povinný
R4	Evidence nápravných opatření	Evidence nápravných opatření se základními parametry: Název rizika Popis opatření % realizace opatření Předpoklad dokončení opatření Komentář a další Možnost sledování vývoje řešení nápravného opatření	Povinný

R5	Matice (mapa) celofiremních rizik	Hodnocení dílčích rizik, jejich hodnocení, prioritizace pro realizaci opatření s volitelnými osami dopadů pravděpodobnosti.	Povinný
R6	Výpočet rizika	Výpočet inherentního a výchozího rizika	Povinný
R7	Notifikační emaily	Zasílání notifikačních emailů vlastníkům rizik pro řešení opatření jak v předstihu, tak v případném prodlení	Povinný
R8	Přílohy	Vkládání příloh ve formátech PDF, JPG a jiné	Povinné
R9	Reporting	Příprava provozních reportů z evidovaných atributů Příprava manažerského dashboardů pro management Export do XLS, PDF případně PPT	Povinné
R10	Prohlášení o aplikovatelnosti	Automatické generování Prohlášení o aplikovatelnosti rizika	Povinné
R11	Plán zvládání rizik	Automatické generování Plánu zvládání rizik	Povinné
R12	Přístupová oprávnění	Přidělování přístupových práv a funkcionalit dle rolí: Risk manažer Risk specialista Vlastník rizik Auditor Čtenář	Povinné
R13	Import dat	Import historických dat ze stávající excelové evidence do systému	Povinné
R14	Databáze rizik	Poskytnutí seznamu rizik typických pro státní sektor a IT firmy, včetně typových hrozeb.	Povinné
R15	Historizace	Sledování historie u klíčových atributů a činností	Povinné
R16	Analýza rizik	Výpočet inherentního rizika	Povinné
R17	Integrace	Napojení na organizační strukturu a Active directory.	Povinné

Systém by se měl umět napojit na organizační strukturu a Active directory.

5. Compliance

V rámci zavedení GRC jsou zásadními požadavky:

Funkcionalita modulu pro Compliance musí pokrývat 3 základní oblasti funkcionalit:

• Předpisová základna

• Kontrolní činnost

• Monitoring legislativy

1. Předpisová základna

V souladu s interní Compliance politikou je každý rok revidována předpisová základna, jejím cílem je ověření věcné správnosti a souladu s platnou legislativou, předpisy vzájemně a také soulad s interními procesy.

Předpisy a informace o nich (garant, účinnost, verze atd.) jsou uloženy na interním Sharepointu, ze kterého lze vyexportovat přehled, který by měl systém naimportovat a ke každému předpisu vygenerovat úkol garantovi předpisu vyzívající ho k revizi. O této aktivitě by měl obdržet informační notifikaci do mailu včetně termínu ke splnění.

Z revize mohou vyplynout zjištění, která bude potřeba ve schváleném termínu napravit, přičemž z jedné revize předpisu může být identifikováno více zjištění, které mohou být směřovány více zaměstnancům.

Detailní popis procesu je popsán v přiloženém metodickém pokynu MP- 05_2021_NAKIT_Revize_Předpisové základny

V první fázi implementace řešení se neočekává, že by garanti předpisů výsledky revize zaznamenávali přímo do systému, ale dodají vstupy, které Compliance officer přepíše a vytvoří případné úkoly vyplývající z identifikovaných zjištění a nasměruje je na vlastníka.

Systém musí umožňovat zasílání notifikací, které budou garanta a vlastníka informovat

o zahájení a blížícího termínu revize předpisů a také o přidělených úkolech vyplývajících z revize včetně hlídání termínů předpokládané realizace.

Systém umožní sledovat formou reportů nebo přehledů stav plnění úkolů.

2. Kontrolní činnost

Jedním ze základních pilířů Compliace je kontrolní činnost, která eliminuje výskyt Compliace rizika. Kontrolní činnost má svého vlastníka, frekvenci vykonávání a detailní popis obsahu a rozsahu kontroly. Dle toho jsou generovány úkoly vyzývající vlastníky kontrol k jejich realizaci.

Výsledky kontrol jsou vkládány do systému compliance officerem. V případě zjištění compliance rizika umožní systém riziko založit a provázat s příslušnou kontrolní činností.

Systém musí umožňovat základní reporting přehledů kontrolních činností, stav realizace kontrol, zjištění a rizik, a další.

3. Monitoring legislativy

Systém musí umožňovat evidovat veškeré legislativní změny, které identifikuje odpovědný tým Zadavatele a mají dopad na fungování podniku. Daná legislativní změna je přiřazena odpovědné osobě Zadavatele, která zajišťuje její implementaci do prostředí Zadavatele (procesy, systémy, dokumentace aj.). Systém zajistí sledovat průběh vydání legislativní změny (v procesu návrhu), tak její nabytí účinnosti.

Compliance officerovi systém dovolí průběžně sledovat veškeré změny, které spolu s garantem legislativní změny průběžně vkládají do systému. Daná legislativní změna na sebe váže úkoly, které jsou přidělovány vlastníkům a ti ve spolupráci s Compliance officerem evidují jejich plnění, které eliminuje riziko pozdní nebo nedostatečné implementace legislativní změny.

4. Přehled business požadavků Compliance

ID požadavk u	Název	Popis požadavku na SW	Důležitost
C1	Evidence kontrolních mechanismů	Hierarchická evidence kontrolních mechanismů s následujícími parametry: Vlastník kontrol Organizační jednotka (3 úrovně) Frekvence kontroly Datum poslední kontroly Datum příští kontroly	Povinný

		Výsledek kontroly Nápravná opatření (Úkol) Přidělení vlastníka opatření Termín realizace opatření Závažnost Nálezu Identifikované compliance riziko Závažnost rizika a další s možností sledovat historii změn
C2	Evidence Compliance rizik	Evidence Compliance rizika a jeho parametrů s možností sledovat historii změn	Povinný
C3	Propojení Compliance rizik s databází rizik	Provazba Compliance rizika s databází rizik (prolink na založení a následné sledování průběhu řešení eliminace rizika)	Povinný
C4	Evidence úkolů (nápravných opatření)	Evidence úkolů vyplývajících z kontrol s parametry: Závažnost Vlastník Organizační jednotka (3 úrovně) Stav Termín realizace aj. s možností sledovat historii změn	Povinný
C5	Přílohy	Vkládání jednoho a více protokolů z provedených kontrol a jejich výsledků formou přílohy PDF, JPG a jiné	Povinný
C6	Reporting	Příprava provozních reportů evidovaných compliance atributů Příprava manažerského dashboardů pro management Export do XLS, PDF případně PPT	Povinný

C7	Notifikační emaily	Zasílání notifikačních emailů pro kontroly a řešení opatření jak v předstihu, tak v případném prodlení	Povinný
C8	Vkládání řešitelů a kontrolorů	Umožnění vkládání výsledků kontrol a řešení nápravných opatření s možností sledování historie změn.	Povinný
C9	Propojení na předpisovou základnu	Propojení na předpisovou základnu uloženou na podnikovém sharepointu formou URL odkazu	Povinný
C10	Přístupová oprávnění	Přidělování přístupových práv a funkcionalit dle rolí: Compliance manažer Compliance officer Compliance partner Kontrolor Řešitel Auditor	Povinné
C11	Monitoring legislativy	Evidence legislativních změn, stav jejich schvalovacího procesu, datum účinnosti, dopad do podniku, přidělení vlastníka legislativní změny, závažnost, URL na legislativní změnu, notifikace změn vlastníkovi, aj. s možností sledovat historii změn. Není očekáváno systémové řešení monitoringu legislativních změn, očekává se pouze jejich evidence na základě vstupů Zadavatele.	Povinné
C12	Import dat	Import historických dat z excelové evidence do systému	Povinné
C13	Databáze compliance rizik	Poskytnutí seznamu compliance rizik typických pro státní sektor a IT firmy.	Povinné
C14	Historizace	Sledování historie u klíčových atributů a činností	Povinné
C15	Integrace	Napojení na organizační strukturu a Active directory.	Povinné

6. Budoucí požadavky

Systém by měl do budoucna být rozšířitelný například o následující požadavky:

• Napojení na interní spisovou službu

• Napojení na interní workflow – proces schvalování

Nefunkční požadavky

1. Obsah

2. Účel dokumentu 3

3. Nefunkční požadavky 3

4. Požadavky na bezpečnost 3

   1. Obecné požadavky na bezpečnost 3

   2. Řízení přístupů 5

   3. Ochrana před škodlivým kódem 5

   4. Důvěrnost a integrita 6

   5. Auditovatelnost a nepopiratelnost 6

   6. Kryptografické prostředky 7

   7. Zálohování a obnova 7

   8. Požadavky na cloudová služby 8

5. Technické požadavky 9

   1. Provozní prostředí 9

      1. Specifikace serverového prostředí 9

      2. Specifikace koncových zařízení NAKIT 10

      3. Síťová konektivita aplikačního rozhraní 11

6. Implementace 11

7. Integrace 11

   1. Požadavky na Integraci 12

8. Školení 12

2. Účel dokumentu

Dokument shrnuje požadovaný rozsah nefunkčních (technických) požadavků na dodávku a služby pro Projekt dodávky a implementace nástroje pro řízení auditů, rizik a souladu s pravidly realizovaný v rámci veřejné zakázky popsané v této zadávací dokumentaci. Cílem tohoto dokumentu je popsat souvislosti ve státním podniku Národní agentura pro komunikační a informační technologie, s. p. (dále jen „Zadavatel“), které mají vliv na plnění zakázky, ale nejsou přímo vztažené k technickým a funkčním požadavkům na nakupované řešení.

2. Nefunkční požadavky

V rámci zavedení GRC jsou zásadními požadavky:

1. Schopnost integrace na ostatní systémy, a to dle stavu připravenosti a možností těchto systémů. Pokud není k dispozici integrační platforma, bude požadována přímá integrace na jednotlivé ostatní dílčí systémy a postupné integrace systémů či postupné náhrady větších celků za funkčně úzce vymezené. Nový systém musí umožnit sdílet integrační vazby, a především respektovat primární zdroje dat jako jsou např. centrální číselníky, centrální registry apod.

2. Otevřenost vůči externím systémům formou API v dále uvedeném rozsahu

3. Bezpečnost

4. Auditovatelnost a dohledatelnost historie dat

4. Požadavky na bezpečnost

1. Obecné požadavky na bezpečnost

Nabízený systém musí splňovat požadavky na řízení bezpečnosti informací v souladu s platnou legislativou, standardy v oblasti řízení bezpečnosti informací. Požadavky jsou rozděleny dle oblastí, které požaduje zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (ZoKB). Vzhledem k tomu, že poptávaný systém není určen jako VIS (KII), nejsou zahrnuty všechny požadavky tohoto zákona.

Systém nebude obsahovat údaje klasifikované dle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Předložené bezpečnostní požadavky lze chápat jako nutné minimum a zároveň je přihlédnuto k povaze informačního nástroje, který bude předmětem veřejné zakázky.

Součástí dodávky bude bezpečnostní dokumentace a bezpečnostní školení minimálně v následujícím rozsahu:

Bezpečnostní dokumentace

• Návrh bezpečných konfigurací (hardening) dodávaných komponent (HW i SW) a zařízení.

• Plán školení administrátorů

• Plán školení uživatelů

• Školící materiály

• Seznam účtů a rolí

• Seznam vydaných a použitých certifikátů

• Instalační příručka

• Systémová příručka, která bude obsahovat

• popis funkcí, včetně bezpečnostních, které používá správce systému pro provádění určených činností v informačním systému a návod na používání těchto funkcí

• podrobný popis IS nebo odkaz na dokument, ve kterém je popis uveden a který je zadavateli dostupný

• popis jednotlivých činností vykonávaných při správě IS, včetně činností definovaných pro role, určení fyzických osob, které tyto činnosti vykonávají a oprávnění nezbytných pro výkon těchto činností

• definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při využívání IS

• Uživatelská příručka obsahující

• popis funkcí, včetně bezpečnostních, které používá uživatel pro svou činnost v IS a návod na použití těchto funkcí,

• vymezení oprávnění a povinností uživatelů ve vztahu k IS

• Dokumentace skutečného provedení, a to včetně identifikovaných datových toků, protokolů, architektonického nákresu komponent a jejich spolupráce, diagram logického a fyzického zapojení.

Nedílnou součástí dodávky bude:

• bezpečnostní školení administrátorů

• bezpečnostní školení uživatelů

všechna školení budou provedena v dostatečném rozsahu a kvalitě

2. Řízení přístupů

Cílem řízení přístupů je přidělit jedinečné identifikátory jednotlivým uživatelům a administrátorům přistupujícím k informačnímu systému. Tyto identifikátory musí být řízeny a evidovány, stejně jako přístupová práva a oprávnění aplikací a technických účtů.

• Řízení přístupu musí být založeno na základě skupin a rolí.

• Musí probíhat ověřování proti záznamům v AD přes LDAP (ne vlastní správa hesel uživatelů).

• Pravidla pro nastavení hesel musí vycházet z požadavků ZoKB.

• Preferujeme použití SSO autentizace.

• Další pravidla pro řízení přístupů musí být v souladu s těmito požadavky:

• Všem uživatelům a administrátorům budou přidělena pouze nezbytná přístupová práva.

• Autentizace musí být vyžadována i na úrovni systémových účtů.

• Musí být zajištěno oddělení neslučitelných rolí (např. zadavatel, schvalovatel apod.)

• V případě servisních účtů musí být zajištěna změna implicitního hesla.

3. Ochrana před škodlivým kódem

V rámci informačního systému musí být umožněno implementovat způsob řešení ochrany před škodlivým kódem.

• Umožnit nainstalovat agenta pro detekci a odstranění škodlivých programů, který bude nejméně jednou denně aktualizován.

• Informační systém musí být pravidelně aktualizován.

• Informační systém musí být prověřen z hlediska možných zranitelností.

• Systém nesmí obsahovat žádné známé kritické zranitelnosti, vysoké zranitelnosti a střední zranitelnosti (dle CVE score).

• V prostředí informačního systému musí být zakázáno vzdálené spouštění kódu ze zdroje mimo jeho prostředí.

Odolnost proti zranitelnostem bude v rámci zakázky ověřena zadavatelem prostřednictvím penetračních testů.

Systém bude obsahovat osobní údaje, a tudíž tento systém a jeho dokumentace musí vyhovovat požadavkům legislativy, a to Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (tzv. GDPR).

4. Důvěrnost a integrita

Systém musí umožňovat zajištění důvěrnosti a integrity dat na úrovni databáze, a to i před správci provozního prostředí (vyjma administrátorů DB).

Systém musí zajistit důvěrnost a integritu dat na celé cestě mezi databázovým serverem a klientem, tedy je požadováno zabezpečené propojení mezi všemi architektonickými vrstvami systému vyjma zásahů a úprav realizovaných administrátory DB.

Důvěrnost a integrita dat musí být zachována i při zálohování a archivaci, a to jak při vlastním procesu, tak i následně vzhledem k médiím, na nichž jsou zálohy a archivní data uloženy vyjma zásahů a úprav realizovaných administrátory DB.

5. Auditovatelnost a nepopiratelnost

Informační systém musí zajišťovat auditovatelnost dat i procesů. Jedná se zejména o přístupy a změny v datech pro jednotlivé objekty (princip zajištění nepopiratelnosti). Auditovatelný musí být také proces řízení identit uživatelů.

Logy informačního systému musí být integrovatelné do centrálního řešení pro vyhodnocování provozních a bezpečnostních logů (log management).

Zaznamenávání událostí zohledňuje technické možnosti informačního systému a pro sběr záznamů ukládá minimálně tyto typy událostí:

1. přihlášení a odhlášení uživatelů a administrátorů, a to včetně neúspěšných pokusů,

2. činnosti provedené administrátory, o použití privilegovaných účtů, např. účtu supervisora, administrátora,

3. spuštění a ukončení informačního systému,

4. změny konfigurací,

5. úspěšné i neúspěšné činnosti vedoucí ke změně přístupových oprávnění,

6. zahájení a ukončení činností zařízení a aplikací,

7. automatická varovná nebo chybová hlášení zařízení a aplikací,

8. přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností,

9. použití mechanismů identifikace a autentizace včetně změny údajů, které slouží k přihlášení.

Všechny záznamy o činnosti v systému musí být zabezpečeny proti:

• neoprávněnému přístupu k datům (zachování důvěrnosti);

• neoprávněné manipulaci (zachování integrity a prokazatelnosti, resp. principu nepopiratelnosti);

• ztrátě uložených informací v požadované době dostupnosti záznamů (zálohování a archivace).

Přístup k záznamům o činnosti musí být umožněn pouze oprávněným osobám (nemusí být administrátoři daného provozního prostředí).

6. Kryptografické prostředky

Data a informace zpracovávaná v rámci informačního systému musí být chráněna proti zneužití vhodnými kryptografickými metodami, které zajistí pouze autorizovaný přístup k těmto datům a informacím. Šifrování uložených dat NÚKIB pouze doporučuje, a to v návaznosti na typ a charakter dat a v návaznosti na možné technologické řešení.

Informační systém by měl být připraven využívat aktuálně odolné kryptografické algoritmy dle doporučení NÚKIB. Toto doporučení lze nalézt na:

https://www.govcert.cz/cs/doporuceni-v-oblasti-kryptografickych-prostredku/

V případě použití jiného, než doporučeného algoritmu by mělo být toto použití řádně odůvodněno.

7. Zálohování a obnova

Systém musí umožňovat průběžné i dávkové zálohování všech dat, která jsou dotčena užíváním GRC, tedy nejen těch, která jsou uložena v databázi ale současně i dalších nastavení a konfigurací, která vznikají a jsou modifikována v průběhu užívání. Přesný seznam objektů (souborů), které jsou dotčeny chodem systému, musí být uveden v technické specifikaci v dokumentaci.

Zálohování GRC a jeho dat bude řešeno centrálně Zadavatelem. Zálohována jsou pouze data uložená v primárních datových uložištích Zadavatele. Pro zálohování je určen zálohovací systém Microsoft System Center Data Protection Manager (DPM).

Backup plán bude řešen po dohodě Zadavatele s Dodavatelem, na základě doporučení Dodavatele.

Aktuálně systém Zadavatele (MS Systém Center Data Protection) umožňuje tyto varianty zálohování:

• Souborová záloha CIFS

• Virtual machine backup

• Virtual machine snapshot

• MS Windows bare-metal backup

• MS SQL backup instance

8. Požadavky na cloudová služby

V případě, že je pro provoz informačního systému využíváno cloudových služeb, zajistí jeho dodavatel kybernetickou bezpečnost i z pohledu těchto služeb, a to bez ohledu na to, jaký typ cloudové služby je používán.

Podmínky pro využívání cloudových služeb:

1. deklarace místa uložení zákaznických dat v rámci jurisdikce EU,

2. deklarace úrovně bezpečnosti poskytovaných cloudových služeb – (doporučujeme doložení certifikátu ČSN ISO/IEC 27001 nebo Auditní zprávu SOC 2 Type II (AT101), případně zajištění auditu na místě),

3. šifrovaná komunikace (TLS/VPN) přes internet s využitím kryptografických algoritmů publikovaných v doporučení NÚKIB,

4. smlouva s provozovatelem cloudových služeb obsahující vymezení provozních podmínek (SLA) a tzv. exit strategii (exit plán) včetně přádání dat,

5. smluvní podmínky s provozovatelem cloudových služeb, které jsou v souladu s požadavky na zpracovatele dle čl. 28 Obecného nařízení GDPR (v případě zpracování osobních údajů v informačním m systému),

6. smlouva s provozovatelem cloudových obsahující povinnost informovat o bezpečnostních incidentech týkajících se daného zákazníka, a spolupracovat při jejich zvládání.

4. Technické požadavky

1. Provozní prostředí

Systém musí pracovat v technických podmínkách dále uvedeného provozního prostředí. Systém bude plně hostován v datových centrech Zadavatele. Zadavatel bude zřizovat správu a údržbu HW a SW. Dodavatel dodá licence, maintenance a řešení jakýchkoliv ad hoc problémů u koncového uživatele. Provozovateli systému bude umožněn dálkový přístup a dálková správa aplikace v rozsahu a v souladu s bezpečnostními pravidly pro datová centra ze strany Zadavatele. Dodavatel podáním nabídky garantuje, že jím dodávaný GRC splňuje zde požadované/uváděné požadavky a je provozuschopným v tomto prostředí.

1. Specifikace serverového prostředí

Zadavatel disponuje těmito serverovými prostředky pro GRC, které jsou cca 2/3 rezervovány pro jiné IS Zadavatele.

Virtualizace	Hyper-V
OS:	MS Server 2019
DB:	MS SQL 2019 Enterprise
Aplikace:	Exchange 365 online, hybridní Exchange, možné využití relay

• GRC bude provozován v provozním a testovacím prostředí Zadavatele a to On-Premises.

• GRC musí zajistit kompatibilitu a integraci s ostatními interními systémy Zadavatele – AD.

• Zadavatel připraví prostředí pro testovací (TEST) a produkční prostředí (PROD) ve zcela ekvivalentní podobě.

• Dodavatel ve své nabídce předloží technické specifikace nezbytné pro kompletní nastavení všech serverů, které jsou třeba pro běh GRC.

• Hardware a licence operačních systémů, virtualizační SW, licence pro databázový systém nejsou poptávány a Zadavatel neočekává, že budou součástí nabídky.

• Pokud GRC využívá produktů třetích stran, pro jejichž používání je třeba pořízení licence, musí být tyto licence součástí nabídky v počtu a rozsahu nezbytném pro provozování aplikace na obou prostředích (testovacím a provozním).

• Dodavatel musí disponovat vlastním vývojovým prostředím, tedy případný do-vývoj probíhá u Dodavatele, poté je rolován do testovacího prostředí Zadavatele a po uvolnění do produkce. Povolení o převodu verze z TEST na PROD uděluje Zadavatel.

• Upgrade GRC aplikace bude prováděn přes System Center Configuration Managera (SCCM)

• Instalační balíčky a patche na bezpečnostní díry budou aplikovány po vzájemné dohodě.

• Aktualizace aplikační platformy (např. jBoss, DotNet) bude prováděna Dodavatelem na základě vyžádaného přístupu pod dohledem, případně pracovníkem Dodavatele v prostorách Zadavatele.

• Instalaci, konfiguraci a správu operačních systémů na úrovni fyzických i virtuálních serverů provádí Zadavatel. Administrátorské účty OS spravuje Zadavatel. Dodavatel bude používat pro implementaci a podporu provozu databází a aplikací uživatelské účty, využití administrátorských účtů je možné pouze se součinností Zadavatele nebo bezpečným mechanismem schváleným Zadavatelem.

2. Specifikace koncových zařízení NAKIT

Systém musí být provozovatelný na koncovém zařízení v následující minimální konfiguraci:

• Veškeré produkty třetích stran, které GRC využívá pro provoz, musí být licenčně pokryty ze strany Dodavatele v počtu a rozsahu nezbytném pro provozování aplikace na obou prostředích (testovacím a produkčním).

• Pro práci tenkého klienta je používán prohlížeč Microsoft Edge, Chrome a Mozilla Firefox, a to vždy ve verzi aktuální (poslední) a minimálně dvě předchozí.

• GRC je kompatibilní s produktem Microsoft Office 2013, Microsoft Office 2016 a Microsoft Office 365, a to ve strukturách formátů souborů a zajištění komunikace s těmito systémy.

• Klient na koncové stanici splňuje požadavky na design pro Microsoft Windows 10 Ent., tj. aplikační kompatibilitu; funkčnost je zajištěna pod běžnými uživatelskými právy na koncové stanici (pozn.: na stanicích je zapnuto UAC).

• Instalační balík klienta umožňuje zcela tichou instalaci; při častých aktualizacích klienta koncových stanic je systém navržen tak, aby klient byl aktualizován pomocí nástrojů System Center Configuration Managera (SCCM).

• Není přípustné ukládat na klientskou stanici/Desktop data trvalé hodnoty, taková data je nutno ukládat na centrální diskové kapacity. Na klientské stanici nesmí být prováděno dávkové zpracování dat IS.

3. Síťová konektivita aplikačního rozhraní

• Klientské stanice jsou připojeny rychlostí typicky 1 Gb/s 1000Base-T nebo přes Wifi síť Zadavatele.

• Servery jsou připojeny do infrastruktury typicky rychlostí 1 Gb/s 1000Base-T, páteř je 10 Gb/s.

• Mezi servery a klientskými stanicemi je pouze L3 konektivita, mezi servery možná L2 nebo L3 konektivita.

• Datová síť je plně přepínaná s redundantním jádrem.

4. Implementace

Pro účely plnění dle tohoto výběrového řízení je Zadavatelem požadována kompletní implementace dodaného SW do prostředí Zadavatele. Očekává se plnohodnotné spuštění systému včetně proškolení odpovědných osob na straně Zadavatele. V rámci implementace není požadována integrace na jiné systémy Zadavatele, než je Active Directory (systém musí umět čerpat data z AD, z vícero OU – uživatelské a administrátorské skupiny jsou v různých OU), aby byl zajištěn intuitivní přístup do dodaného systému všem oprávněným zaměstnancům Zadavatele v kontextu s jejich popsanými rolemi. Vše viz samostatná kapitola této přílohy (Integrace).

4. Integrace

U provozovaných informačních systémů Zadavatele je realizována funkce Single Sign-On s využitím služby Microsoft Active Directory. Uživatel se autentizuje pouze jednou do domény, při vyvolání libovolné aplikace již pak není zadávání jména/hesla nutné, ani žádná další autentizace uživatele není preferována.

Dodaný GRC systém musí být schopen akceptovat uvedené.

GRC musí zajistit konektor do Active Directory (definice API dostupná u Zadavatele), kdy GRC bude přebírat z AD organizační strukturu (z různých OU, viz výše).

1. Požadavky na Integraci

Integrace
Integrace na AD	Přihlašování pomocí MS Active Directory.
Integrace na Spisovou službu	Podpora integračního rozhraní dle národního standardu pro elektronické spisové služby (NSESSS)
Integrace na SAP HR	Import organizační struktury prostřednictvím automatického importu přes formát *.xls apod., případně ruční import dat.
Rozhraní API	Prostředek pro výměnu informací s ostatními systémy prostřednictvím publikovaných standardních rozhraní (RestAPI, SOAP) – pro napojení na aplikaci AVYK, například.
Integrace na ITSM nástroje	Integrace řešení na systémy správy služeb IT (Service Desk)
Rozhraní API	Prostředek pro výměnu informací s ostatními systémy prostřednictvím publikovaných standardních rozhraní (RestAPI, SOAP)

4. Školení

Dodavatel zajistí proškolení administrátorů GRC, školení může probíhat v prostorách Zadavatele nebo po dohodě i v prostorách Dodavatele, pokud budou na území Prahy. Připouští se školení online formou při užití běžných komunikačních nástrojů (Webex, Skype, Teams atd.) umožňujících sdílení obrazovek apod. Školení proběhne na základě předané uživatelské dokumentace a musí proběhnout nejpozději 5 pracovních dní před spuštěním provozu, dokončení implementace.

Bude zaměřeno na:

• základní architekturu GRC;

• základní práci se systémem;

• řízení přístupových práv, řízení přístupů přes AD;

• řešení běžných problémů, seznámení se s databází běžných chyb, best-practices postupů, manuál pro administraci;

• konfigurace a parametrizace jednotlivých modulů, best-practices.

Rozsah školení minimálně 1 pracovní den pro minimálně 5 zaměstnanců Zadavatele.

Příloha č. 3a – Specifikace Podpory

1. Dodavatel se zavazuje poskytovat Objednateli služby Podpory v následujícím rozsahu:

   1. řešení vad souboru modulů Software / modulu Interní audit, přičemž postup řešení

vad je následující:

- nahlášení, potvrzení přijetí, započetí řešení, vyřešení, uzavření;

2. poskytování technických konzultací spojených s podporou souboru modulů Software

/ modulu Interní audit minimálně v rozsahu 96 hodin za rok (4 hodiny měsíčně).

2. Zadávání a řešení vad

   1. zadávání vad v rámci služeb Podpory dle této Smlouvy bude probíhat e-mailem,

prostřednictvím e-mailových adres uvedených v čl. 12 odst. 12.4 Smlouvy;

2. nahlášení vady Objednatelem musí vždy obsahovat alespoň následující údaje:

   • jméno a příjmení a kontaktní telefonní číslo osoby, která vadu nahlásila;

   • podrobný popis vady.

3. Dodavatel se zavazuje k řešení nahlášených vad za následujících podmínek:

   • Dodavatel potvrdí Objednateli převzetí požadavku na odstranění vady nejpozději do tří (3) kalendářních dnů ode dne obdržení požadavku;

   • garantovaná lhůta pro systémové odstranění vady (vyřešení) činí patnáct (15) kalendářních dnů ode dne obdržení požadavku (nedohodnou-li se Smluvní strany v konkrétním případě písemně, např. e-mailem, jinak), přičemž se jedná o dobu, ve které:

     • musí Dodavatel dodat opravný prostředek (např. softwarový patche, oprava konfigurace apod.), který zajistí systémové odstranění vady (za systémové odstranění vady se též považuje nasazení poslední stabilní verze souboru modulů Software / modulu Interní audit),

     • je Dodavatel povinen oznámit Objednateli systémové odstranění vady, a to e-mailem na e-mailovou adresu Objednatele uvedenou v čl. 12 odst. 12.4 Smlouvy.

Příloha č. 3b – Specifikace Maintenance

Pro účely této Smlouvy se Maintenance dle čl. 1 odst. 1.1 písm. c) Smlouvy rozumí:

1. právo na aktualizace (update), nové verze (upgrade) a úpravy (patche) souboru modulů Software / modulu Interní audit, přičemž aktualizace, nové verze a patche budou Objednateli Dodavatelem zasílány automaticky;

2. vývoj souboru modulů Software / modulu Interní audit vyvolaný odstraněním vad

a odhalením bezpečnostních hrozeb (zjištěných Objednatelem i třetími stranami).

Pod pojmem update se v této Smlouvě rozumí taková verze souboru modulů Software / modulu Interní audit, u které se oproti předcházející verzi souboru modulů Software / modulu Interní audit mění jejich funkčnost, a to na základě změny jakékoliv skutečnosti, podle které byla celá funkčnost souboru modulů Software / modulu Interní audit vytvořena, ale nemění se struktura dat datového fondu, se kterým tato verze souboru modulů Software / modulu Interní audit pracuje.

Pod pojmem upgrade se ve Smlouvě rozumí taková verze souboru modulů Software / modulu Interní audit, u které se oproti předcházející verzi souboru modulů Software / modulu Interní audit mění jejich funkčnost, a to na základě změny jakékoliv skutečnosti, podle které byla celá funkčnost souboru modulů Software / modulu Interní audit vytvořena, a zároveň se mění struktura vět datového fondu, se kterým tato verze souboru modulů Software / modulu Interní audit pracuje.

Pod pojmem patch se ve Smlouvě rozumí sada změn provedených v programu, anebo datech (update) určených k aktualizaci, opravě anebo vylepšení, a to obvykle prostřednictvím opravného balíčku. Provedená sada změn zahrnuje většinou opravu bezpečnostních anebo jiných chyb, a vede ke zlepšení bezpečnosti, výkonu či funkčnosti programu.

Ke každé verzi souboru modulů Software / modulu Interní audit po updatu, upgradu a patchi je Dodavatel povinen dodat seznam změn a úprav v elektronické formě, které byly provedeny do inovované verze. Budou-li inovované verze obsahovat modifikovanou funkčnost oproti předchozí verzi, potom budou tyto Dodavatelem distribuovány Objednateli spolu s náležitou dokumentací v elektronické podobě e-mailem na kontaktní e-mailovou adresu Objednatele uvedenou v čl. 12 odst. 12.4 Smlouvy, ve formátu určeném Objednatelem. V případě požadavku ze strany Objednatele je Dodavatel povinen zajistit školení s ohledem na dopady, které změny inovované verze souboru modulů Software / modulu Interní audit vyvolaly / vyvolají, přičemž cena za provedení tohoto školení je zahrnuta v ceně za poskytování Maintenance podle čl. 4 odst. 4.3 Smlouvy.

Příloha č. 4 Smlouvy – Požadovaný průběh implementace modulů Software

1. Instalace, konfigurace do testovacího prostředí Objednatele;

2. Integrace na Active Directory Objednatele, testovací OU, s podporou přihlášení SSO;

3. Ověření splnění Funkčních a Nefunkčních požadavků dle Přílohy č. 1 a Přílohy č. 2 Smlouvy;

4. Instalace, konfigurace do produkčního prostředí Objednatele;

5. Integrace na Active Directory Objednatele (produkční část), s podporou AD;

6. Ověření funkčnosti Funkčních a Nefunkčních požadavků dle Přílohy č. 1 a Přílohy č. 2 Smlouvy;

7. Školení;

8. Předání dokumentace Objednateli;

9. Pilotní provoz, pro zaučení uživatelů práce s příslušným modulem Software, na základních procesech práce se zdroji, jak v projektovém, tak neprojektovém režimu;

10. Akceptace.

Příloha č. 5 Smlouvy – Vzor Akceptačního protokolu

AKCEPTAČNÍ PROTOKOL Č. …

Objednatel	Národní agentura pro komunikační a informační technologie, s. p.
Dodavatel	Název Dodavatele, adresa (dle Smlouvy)
Smlouva	Označení Smlouvy
Název Projektu	…………………….
Číslo Projektu	Číslo Projektu

Předmět akceptace

Předmětem akceptace je ……………. dle Smlouvy:

Číslo	Popis	Akceptováno	Neakceptováno
01	Popis předmětu Akceptace	X

Výhrady

Seznam výhrad je uveden v následující tabulce:

Číslo	Popis výhrady	Kategorie vady	Termín pro vypořádání vady
01	Popis výhrady Akceptace (popis výhrad lze nahradit odkazem na přílohu)
02	Popis výhrady Akceptace

Seznam příloh

Seznam předané dokumentace

Ostatní dokumenty nutné pro akceptaci dle Smlouvy s Dodavatelem

Závěrečná ustanovení

Národní agentura pro komunikační a informační technologie, s. p. a Dodavatel svým podpisem stvrzují akceptaci …………. dle Smlouvy.

	Jméno a příjmení	Datum	Podpis
Akceptoval za Objednatele
Akceptoval za Dodavatele

Cena za dodávku a provedení implementace Software (dle čl. 4 odst.

4.1 Smlouvy) (součet buněk 6D a 7D)

435 000,00
	Předpokládaný požadovaný počet let	Cena za 5 let v Kč bez DPH
60 000,00	5	300 000,00
	Předpokládaný požadovaný počet let	Cena za 5 let v Kč bez DPH
60 000,00	5	300 000,00

Cena za poskytování Podpory k modulu Řízení rizik a modulu

Compliance (dle čl. 4 odst. 4.2 Smlouvy)

Cena za poskytování Podpory k modulu Interní audit (dle čl. 4 odst.

4.2 Smlouvy)

Příloha č. 6 Smlouvy – Specifikace ceny za dodávku a implementaci Software

Předmět plnění

Cena za dodávku modulu Řízení rizik a modulu Compliance a

provedení implementace tohoto souboru modulů (dle čl. 4 odst. 4.1 písm. a) Smlouvy)

Cena za dodávku modulu Interní audit a provedení

implementace tohoto modulu (dle čl. 4 odst. 4.1 písm b) Smlouvy)

270 000,00

165 000,00

Předmět plnění

Cena za poskytování Maintenance k modulu Řízení rizik a modulu

Compliance (dle čl. 4 odst. 4.3 Smlouvy)

Cena za poskytování Maintenance k modulu Interní audit (dle čl. 4

odst. 4.3 Smlouvy)

cena za 1 rok v kč bez DPH	Předpokládaný požadovaný počet let	Cena za 5 let v Kč bez DPH
18 000,00	5	90 000,00
14 000,00	5	70 000,00

Předmět plnění

Cena za poskytování služeb zákaznického rozvoje a

konzultačních služeb v rozsahu maximálně 50 člověkodní (dle čl. 4 odst. 4.4 Smlouvy)

Cena za 1 člověkohodinu	Cena za 1 člověkoden	Max. počet člověkodní	Celková cena v Kč bez DPH
1 200,00	9 600,00	50	480 000,00

Cena za celý Předmět plnění v Kč bez DPH - hodnotící údaj (součet

buněk 9D, 11D, 13D, 16F, 17F a 20G)

1 675 000,00

Tabulka slouží pouze pro hodnocení nabídek, skutečný rozsah odebraných služeb se může měnit

*Dodavatel vyplní pouze žlutě podbarvené buňky

1 člověkoden = 8 člověkohodin

NAl(IT

Smlouva o dodávce a implementaci software

a poskytování služeb

Příloha č. 7 Smlouvy - Licenční podmínky

Obchodní podmínky dodávek TAS

úvodní ustanovení

1. Výrobce softwaru Team assistant (dále jen Software) a průvodní dokumentace k tomuto Software (dále jen Dokumentace; právo užívání Software a Dokumentace dále též jen Licence) je Neit Consulting s.r.o. IČ 273 69 871, se sídlem Praha 1, Nové Město, Washingtonova 1624/5, PSČ 110 00

2. Společnost společností Netia s.r.o. IČ 255 88 869, se sídlem Kunštát, Hliníky 259, 679 72- PARTNER (dále jen Uživatel licence) je společnost založená a existující podle českého práva, zapsaná v obchodním rejstříku vedeném Brně oddíl C, vložka 36167.

3. Na základě Licenční smlouvy uzavřené s PARTNERem (dále jen Uživatel licence) je jakožto Poskytovatelem licence (dále jen Poskytovatel licence) oprávněn Licenci udělenou mu na základě těchto Obchodních podmínek dále poskytnou třetím osobám (koncovým zákazníkům).

4. Společnost Nakit s.p. (dále jen Koncový zákazník) je společnost založená a existující podle českého práva, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl A vložka 77322

5. Tyto Obchodní podmínky (dále jen Smlouva) obsahuje podmínky, za kterých Uživatel licence poskytuje licenci na užívání dále blíže specifikovaného softwaru Koncovému zákazníkovi a podmínky, za kterých je Koncový zákazník oprávněn tuto dále poskytnout třetím osobám (podlicence).

čl. 2.

Udělení licence

1. Uživatel licence touto Smlouvou uděluje Koncovému zákazníkovi nevýhradní právo užívání softwaru Team assistant (dále jen Software) a průvodní dokumentace k tomuto Software (dále jen Dokumentace; právo užívání Software a Dokumentace dále též jen Licence). Informace a data uložená v Software, jako je například nastavení a konfigurace jednotlivých automatizovaných procesů, jejich dokumentace, nastavení výstupních sestav, data automatizovaných případů, vložené dokumenty, poznámky apod., nejsou předmětem této licence a veškerá práva duševního vlastnictví zůstávají tvůrcům tohoto obsahu.

2. Koncový zákazník je oprávněn:

   1. užívat Software jen na vlastním zařízení Koncového zákazníka nebo na zařízení, které je pod kontrolou Koncového zákazníka a zároveň

   2. užívat Software jen prostřednictvím počtu uživatelů, který je uveden ve smlouv

   3. užívat Software bez územního omezení a zároveň

   4. užívat Software bez časového omezení a zároveň

   5. užívat Software k účelu, k němuž je určen, tedy k automatizaci firemních procesů, a zároveň

   6. umožnit užívání Software též svým externím spolupracovníkům a/nebo jiným obdobným dodavatelům zboží či služeb pro Koncového zákazníka.

3. Ustanovení odst. 2.2. této smlouvy platí přiměřeně i pro užívání Dokumentace.

4. Autorská práva k Softwaru, Dokumentaci a veškerým pořízeným kopiím náleží Poskytovateli licence. Neoprávněné kopírování Softwaru představuje porušení zákona č. 121/2000 Sb., o právu autorském, ve znění pozdějších právních předpisů, a podléhá sankcím podle občanského zákoníku a trestního zákoníku.

čl. 3.

Produktový support

NAl(IT

Smlouva o dodávce a implementaci software

a poskytování služeb

1. Uživatel licence se dále zavazuje poskytovat Koncovému zákazníkovi produktový support, kterým se rozumí služby podpory uživatelů v následujícím rozsahu:

   • zpřístupnění každé nové funkční verze Software a odpovídající Dokumentace k ní,

   • opravy chyb Softwaru a poskytování opravných kódů a opravy chyb Dokumentace,

   • Přístupu k Help Desku - včetně možnosti on-line záznamu a prioritizace požadavků

   • Vedení verzí Software, definuje platnost produktové podpory pro jednotlivé verze

   • V případě předání výrobci Software se řešení požadavku pozastavuje

2. Instalace nových funkčních verzí je mimo rámec poskytovaných služeb. Koncový zákazník je oprávněn objednat tuto instalaci samostatně.

3. Právní úprava Licence podle této smlouvy se vztahuje i ke všem částem, verzím či podobám Software a Dokumentace či jiným dílům či jejich složkám, poskytnutým či upraveným v rámci produktového supportu.

čl. 4.

Práva a povinnosti Koncového zákazníka

1. Tato licence opravňuje Koncového zákazníka ke zhotovení záložní kopie Softwaru (oprávnění zálohovat si prostředí). Dokumentace nesmí být rozmnožovaná bez výslovného písemného souhlasu Uživatele licence a smí být použita pouze za účelem podpory Softwaru.

2. Koncový zákazník se zavazuje, že nebude kopírovat zdrojový kód Softwaru ani jakoukoli jeho část, upravovat ho, vytvářet z něho odvozená díla nebo produkty, zpětně ho překládat, dekompilovat ho či se ho jiným způsobem pokoušet extrahovat, ledaže by k tomu byl výslovně oprávněn nebo povinen ze zákona nebo získal výslovný písemný souhlas od Uživatele licence. Koncový zákazník se zavazuje, že dané neumožní ani třetím osobám a za případné porušení daných povinností třetími osobami ponese odpovědnost vůči Uživateli licence resp. Poskytovateli licence přímo Koncový zákazník (včetně náhrady škody, která by jim mohla vzniknout).

3. Koncový zákazník dále není oprávněn:

   1. odstraňovat ani upravovat označení Softwaru ani žádné jiné informace o vlastnických právech Poskytovatele licence, zatěžovat práva používat Software zástavními právy,

   2. poskytovat Software nebo Dokumentaci jakýmkoli způsobem třetím stranám za účelemjejich užívání třetími stranami pro jejich obchodní činnosti (s výjimkou osob uvedených v odst. 2.2. písm. f) této smlouvy nebo výslovného povolení užití v rámci Licence),

   3. za žádným účelem Software ani dokumentaci upravovat či překládat nebo na jejich základě vytvářet odvozená díla bez předchozího písemného souhlasu Uživatele licence,

   4. použít jakékoliv zařízení, software nebo jiný prostředek s cílem obejít nebo odstranit jakoukoliv formu ochrany proti kopírování použitou Poskytovatelem licence v souvislosti se softwarem.

4. V případě porušení povinností vymezených výše v ustanovení 4.1., 4.2 nebo 4.3. této Smlouvy Koncovým zákazníkem je Uživatel licence oprávněn požadovat po Koncovém zákazníkovi úhradu smluvní pokuty ve výši 100.000 Kč za každé jednotlivé porušení povinností. Vedle smluvní pokuty se lze domáhat náhrady škody způsobené porušením povinnosti, k němuž se smluvní pokuta vztahuje, avšak jen v části převyšující smluvní pokutu.

čl. S. Podlicence

5.1. Koncový zákazník není oprávněn postoupit svá práva používat Software na třetí osoby (ani formou dílčí licence či podlicence). Porušením tohoto omezení není užívání Software v rámci výjimek uvedených v odst. 4.3. písm. b) této smlouvy

NAl(IT

Smlouva o dodávce a implementaci software

a poskytování služeb

čl. 6.

Převod licence v rámci právního nástupnictví

6.1. Licence je automaticky převáděna na právního nástupce právnické či fyzické osoby. Nový nabyvatel zašle Uživateli licence ověřený doklad prokazující jeho právní nástupnictví.

čl. 7. Úplata

1. Koncový zákazník se s Uživatelem Licence dohodli, že za udělení Licence uhradí Koncový zákazník Uživateli licence jednorázovou cenu, jejíž výše je ve smlouvě

2. Koncový zákazník se s Uživatelem Licence dohodli, že za poskytování produktového supportu uhradí Koncový zákazník Uživateli licence (za každý rok poskytování produktového supportu) cenu, jejíž výše je stanovena ve smlouv

čl. 8.

Užité komponenty

8.1. Software zahrnuje a využívá pro svůj řádný chod komponenty, jejichž výčet je uveden v Dokumentaci.

čl. 9.

Povinnost mlčenlivosti a ochrana dat

1. Smluvní strany se dohodly zachovávat mlčenlivost ohledně podmínek a předmětu uzavřené Smlouvy, uchovávat v tajnosti veškeré důvěrné informace a obchodní tajemství druhé strany získané v souvislosti s touto Smlouvou a využívat takové informace a tajemství pouze za účelem plnění této Smlouvy.

2. Koncový zákazník je oprávněn poskytnout Software a Dokumentaci třetím stranám a svým zaměstnancům pouze v rozsahu nezbytném pro výkon jeho licenčních práv poskytnutých mu dle této Smlouvy.

3. Koncový zákazník je povinen důkladně chránit předmět Smlouvy, zejména pak zdrojový kód a Dokumentaci, aby zabránil jejich zneužití.

4. Uživatel licence je povinen dodržovat ustanovení právních předpisů týkajících se ochrany informací.

Příloha č. 8 Realizační tým

Strana 1 (celkem 30)