Smlouva o zajištění některých požadavků kybernetické bezpečnosti uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „občanský zákoník“), a podle § 8 odst. 1 písm. f) vyhlášky č. 82/2018 Sb., o kybernetické...
Smlouva o zajištění některých požadavků kybernetické bezpečnosti
uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „občanský zákoník“), a podle § 8 odst. 1 písm. f) vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (dále jen „VKB“), mezi těmito stranami:
[DOPLNÍ DODAVATEL]
IČ: [DOPLNÍ DODAVATEL]
DIČ: [DOPLNÍ DODAVATEL]
se sídlem: [DOPLNÍ DODAVATEL]
zastoupena: [DOPLNÍ DODAVATEL]
bankovní spojení: [DOPLNÍ DODAVATEL]
číslo účtu: [DOPLNÍ DODAVATEL]
zapsána v obchodním rejstříku vedeném [DOPLNÍ DODAVATEL] soudem v [DOPLNÍ DODAVATEL], oddíl [DOPLNÍ DODAVATEL], vložka [DOPLNÍ DODAVATEL],
(dále jen „Dodavatel“) na straně jedné
a
Fakultní nemocnice Brno
IČ: 65269705
DIČ: CZ65269705
se sídlem: Xxxx, Xxxxxxxxx 00, PSČ 625 00
zastoupena: MUDr. Xxxx Rovným, MBA, ředitelem
bankovní spojení: Česká národní banka
číslo bankovního účtu: 71234621/0710
FN Brno je státní příspěvková organizace zřízená rozhodnutím Ministerstva zdravotnictví. Nemá zákonnou povinnost zápisu do obchodního rejstříku, je zapsána v živnostenském rejstříku vedeném Živnostenským úřadem města Brna,
(dále jen „FN Brno“) na straně druhé,
a to v následujícím znění:
Účel smlouvy a úvodní ujednání
FN Brno je významným poskytovatelem zdravotních služeb na základě zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů. FN Brno při poskytování zdravotních služeb využívá informační systémy, které kvalifikuje jako informační systémy základní služby zařazené do systému řízení bezpečnosti informací (dále jen „ISZS“).
Tato smlouva o zajištění některých požadavků kybernetické bezpečnosti je uzavřena v rámci výběrového řízení na veřejnou zakázku s názvem „Architekt kybernetické bezpečnosti“ (dále jen „Veřejná zakázka“). Na základě tohoto výběrového řízení FN Brno uzavřela rovněž smlouvu, jejímž předmětem je poskytování služby výkonu bezpečnostní role architekta kybernetické bezpečnosti (dále jen „Smlouva o architektovi KB“).
Dodavatel bere na vědomí, že v souvislosti s plněním Smlouvy o architektovi KB je v postavení významného dodavatele ve smyslu § 2 písm. n) VKB.
FN Brno za účelem plnění svých povinností podle ZKB a VKB stanovila pravidla pro dodavatele dle § 8 odst. 1 písm. a) VKB, která jsou přílohou č. 1 této smlouvy a ve kterých má Dodavatel postavení dodavatele (dále jen „Pravidla pro dodavatele“).
Účelem této smlouvy je naplnění povinnosti FN Brno upravené v § 8 odst. 1 písm. f) VKB.
Smluvní strany shodně prohlašují, že mají zájem na výkonu role architekta kybernetické bezpečnosti s cílem dosahovat vysoké úrovně kybernetické bezpečnosti a postupovat při tom v souladu se ZKB a VKB. Smluvní strany se dohodly, že si za tím účelem budou poskytovat veškerou nezbytnou součinnost a uplatňovat postupy best practices v oblasti informační a kybernetické bezpečnosti.
Předmět smlouvy
FN Brno je povinna do 1 měsíce od nabytí účinnosti této smlouvy Dodavateli poskytnout nebo zpřístupnit údaje podle § 8 odst. 3 VKB v rozsahu, ve kterém nejsou součástí této smlouvy, a poskytnout nebo zpřístupnit bezpečnostní politiky FN Brno, kterými se rozumí dokumenty FN Brno zpracované za účelem naplnění požadavků VKB a uvedené v příloze č. 5 VKB jakožto bezpečnostní politiky. Dodavatel bere na vědomí, že FN Brno považuje veškeré informace poskytnuté nebo zpřístupněné podle věty předchozí za důvěrné.
Okamžikem splnění povinnosti FN Brno podle odst. II.1 této smlouvy se Dodavatel považuje za řádně informovaného dle § 8 odst. 1 písm. c) VKB o tom, že je veden v evidenci významných dodavatelů FN Brno. Smluvní strany jsou počínaje týmž okamžikem povinny při plnění Smlouvy o architektovi KB postupovat podle Pravidel pro dodavatele, ledaže z jejich povahy vyplývá, že pro tento účel nejsou relevantní, a plnit povinnosti pro ně z Pravidel pro dodavatele vyplývající. Odměna za plnění povinností vyplývajících z této smlouvy a z Pravidel pro dodavatele je zahrnuta v odměnách sjednaných ve Smlouvě o architektovi KB, ledaže z Pravidel pro dodavatele vyplývá něco jiného. Dodavatel výslovně prohlašuje, že souhlasí s ujednáním věty předchozí.
V případě rozporu mezi touto smlouvou a Pravidly pro dodavatele, má přednost tato smlouva. V případě rozporu mezi touto smlouvou a Smlouvou o architektovi KB má přednost Smlouva o architektovi KB.
Bezpečnost informací
Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této smlouvy:
si mohou vzájemně vědomě nebo opomenutím poskytnout informace, které budou poskytující stranou považovány za důvěrné (dále jen „Důvěrné informace“);
mohou jejich zaměstnanci a osoby v obdobném postavení, zejména osoby jednající z jejich pověření, získat vědomou činností druhé strany nebo i jejím opomenutím přístup k Důvěrným informacím druhé strany.
Za Důvěrné informace se vždy považují:
veškeré osobní údaje;
informace, které jako důvěrné smluvní strana výslovně označí;
veškeré informace související se zabezpečením Důvěrných informací;
veškeré informace související s provozem a zabezpečením zdravotnických prostředků, přístrojů, počítačových programů a dalších systémů zpracovávajících Důvěrné informace; a
veškeré informace související s provozem a zabezpečením počítačových sítí a informační a komunikační infrastruktury FN Brno.
Smluvní strana, která přijala Důvěrné informace nebo které byly Důvěrné informace z jakéhokoli důvodu zpřístupněny, je povinna s odbornou péčí zachovávat jejich důvěrnost a k ochraně jejich důvěrnosti vyvíjet alespoň takové úsilí, jako by se jednalo o její vlastní důvěrné informace.
Smluvní strany se zavazují, že žádná z nich Důvěrné informace nezpřístupní třetí osobě, nezveřejní ani je neužije v rozporu s účelem této smlouvy, a to ani pro svůj vlastní prospěch. Za třetí osoby podle věty první se nepovažují zaměstnanci FN Brno. Za třetí osoby podle věty první se nepovažují ani osoby, které jsou Dodavatelem pověřeny k poskytování plnění dle této smlouvy nebo dle Smluv. Dodavatel je však povinen tyto osoby zavázat k mlčenlivosti, zajišťování bezpečnosti informací a ochraně osobních údajů ve stejném rozsahu a za stejných podmínek, jako je k tomu sám zavázán podle této smlouvy. Dodavatel je na písemnou výzvu FN Brno povinen FN Brno písemně prokázat existenci právního vztahu se třetí osobou splňujícího podmínky věty předchozí, a to do 5 pracovních dnů od doručení takové písemné výzvy a s uvedením zaměstnavatele takové třetí osoby, je-li to relevantní, a dále jejího jména, příjmení, pracovního zařazení, e-mailu a telefonního čísla. Dodavatel je na písemnou výzvu FN Brno povinen FN Brno předložit seznam svých zaměstnanců podílejících se na plnění této smlouvy nebo Smluv s uvedením jména, příjmení, pracovního zařazení, e-mailu a telefonního čísla, kteří se podílejí na plnění této smlouvy, a to do 5 pracovních dnů od doručení takové písemné výzvy.
Smluvní strany se zavazují poučit veškeré osoby, které se na jejich straně podílejí nebo budou podílet na plnění této smlouvy, o povinnosti zachovávat mlčenlivost a chránit Důvěrné informace podle této smlouvy a právních předpisů.
V případě, že se strana této smlouvy dozvěděla, že došlo k narušení bezpečnosti Důvěrných informací druhé strany nebo je bezpečnost Důvěrných informací druhé strany vážně ohrožena, je povinna o takové skutečnosti druhou stranu bez zbytečného odkladu písemně uvědomit a přijmout veškerá smysluplná opatření na ochranu takových Důvěrných informací.
Žádným ustanovením této smlouvy nejsou dotčeny povinnosti FN Brno vyplývající z právních předpisů, zejména ze zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, a ze zákona č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů.
Závěrečná ujednání
Tato smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o registru smluv, v platném znění. Tato smlouva se uzavírá na dobu určitou, a to do skončení účinnosti Smlouvy o architektovi KB, a to bez ohledu na důvod, pro který byla Smlouva o architektovi KB ukončena.
FN Brno je oprávněna tuto smlouvu kdykoli vypovědět, a to i bez udání důvodu. Výpovědní doba je 6 měsíců a počíná běžet prvním dnem kalendářního měsíce následujícího po kalendářním měsíci, ve kterém byla výpověď doručena Dodavateli. Dodavatel není oprávněn tuto smlouvu vypovědět.
Ukončením účinnosti této dohody z jakéhokoli důvodu nejsou dotčena ujednání této dohody týkající se mlčenlivosti, nároků z odpovědnosti za újmu a nároky ze smluvních pokut, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po skončení účinnosti této dohody.
Osoby podepisující tuto dohodu jménem Xxxxxxxxxx prohlašují, že podle stanov společnosti, společenské smlouvy nebo jiného obdobného organizačního předpisu jsou oprávněny tuto dohodu podepsat a k platnosti této dohody není třeba podpisu jiné osoby.
Jakékoliv změny či doplňky této dohody lze činit pouze formou písemných číslovaných dodatků podepsaných oběma smluvními stranami. Odstoupení od této dohody lze provést pouze písemnou formou.
Tato smlouva je sepsána ve třech vyhotoveních stejné platnosti a závaznosti, přičemž FN Brno obdrží dvě vyhotovení a Dodavatel obdrží jedno vyhotovení. Pokud je tato smlouva podepsána uznávaným elektronickým podpisem, obdrží každá smluvní strana její vyhotovení elektronicky podepsané oběma smluvními stranami.
Smluvní strany prohlašují, že se důkladně seznámily s obsahem této smlouvy, kterému zcela rozumí a plně vyjadřuje jejich svobodnou a vážnou vůli.
-
V [DOPLNÍ DODAVATEL] dne
V Brně dne
[DOPLNÍ DODAVATEL]
[DOPLNÍ DODAVATEL]
Fakultní nemocnice Brno
MUDr. Xxx Xxxxx, MBA, ředitel
Příloha č. 1
PRAVIDLA PRO DODAVATELE
Tento dokument stanovuje na základě § 8 odst. 1 písm. a) a f) ve spojení s přílohou č. 7 vyhlášky č. 82/2018 Sb. (dále jen „Vyhláška“) závazná pravidla a bezpečnostní opatření zohledňující požadavky systému řízení bezpečnosti informací (dále také jen „Pravidla“), která se vztahují na dodavatele, kteří pro FN Brno (výhradně či jako součást předmětu plnění) dodávají, vyvíjí, implementují a/nebo provádějí servis software či hardware (dále také jen „SW“ či „HW“), a/nebo kteří v souvislosti s plněním pro FN Brno přistupují do informačního systému FN Brno, který byl FN Brno identifikován jako informační systém základní služby a který je uveden ve smlouvě, k níž jsou tato Pravidla připojena (dále také „ISZS“) v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“) a/nebo kteří v rámci poskytovaného plnění pro FN Brno zpracovávají, a/nebo přenášejí a/nebo ukládají a/nebo uchovávají informace, data a/nebo provozní údaje FN Brno, a/nebo poskytují FN Brno jiná plnění, která jsou významná z hlediska bezpečnosti některého ISZS.
Není-li dále výslovně uvedeno jinak, rozumí se v těchto Pravidlech pod pojmem „smlouva“ Smlouva o architektovi KB. Pod pojmem „zadávací dokumentace“ se rozumí zadávací dokumentace v zadávacím řízení na Veřejnou zakázku. V případě pochybností musí být ustanovení těchto Pravidel vykládána v souladu se smlouvou, ZoKB, Vyhláškou a s účelem sledovaným zadávací dokumentací a těmito Pravidly.
Bezpečnostními politikami se rozumí dokumenty FN Brno zpracované FN Brno za účelem naplnění požadavků Vyhlášky a uvedené v příloze č. 5 Vyhlášky jako bezpečnostní politiky. Dokumentací systému řízení bezpečnosti informací FN Brno se rozumí bezpečnostní politiky podle přílohy č. 5 Vyhlášky zpracované za účelem naplnění požadavků Vyhlášky dle § 30 Vyhlášky. Ustanovení těchto Pravidel týkající se dokumentace systému řízení bezpečnosti informací FN Brno je dodavatel povinen dodržovat počínaje okamžikem, kdy byl s touto dokumentací seznámen, a pouze v rozsahu, ve kterém byl s touto dokumentací seznámen.
Účelem těchto Pravidel je dosažení FN Brno stanovené úrovně kybernetické bezpečnosti a bezpečnosti informací v souladu s požadavky ZoKB, Vyhlášky a dokumentace systému řízení bezpečnosti informací FN Brno.
Není-li dále uvedeno jinak, rozumí se pojmy užívanými v tomto dokumentu pojmy ve smyslu ZoKB, Vyhlášky, nebo dokumentace systému řízení bezpečnosti informací ve FN Brno, se kterou byl dodavatel seznámen.
Pro účely těchto Pravidel se práva a povinnosti dodavatele stanovená těmito Pravidly považují za bezpečnostní opatření.
Dodavatel bere na vědomí, že FN Brno je správcem ISZS ve smyslu ZoKB a Vyhlášky. Dodavatel je proto povinen poskytovat plnění dle smlouvy v souladu se všemi právními předpisy upravujícími kybernetickou bezpečnost ve FN Brno a v souladu s vnitřními předpisy FN Brno, se kterými byl FN Brno seznámen, resp. tak, aby se dodavatel vyvaroval jakékoliv činnosti, jež by mohla být označena za porušení uvedených právních předpisů nebo interních předpisů FN Brno, se kterými byl FN Brno seznámen. Pro účely těchto Pravidel platí, že veškeré povinnosti dodavatele, směřující k dosažení FN Brno stanovené úrovně kybernetické bezpečnosti a bezpečnosti informací v souladu s požadavky ZoKB, Vyhlášky a dokumentace systému řízení bezpečnosti informací FN Brno, se vztahují výhradně k předmětu plnění sjednanému ve smlouvě, ledaže je výslovně stanoveno jinak.
DODAVATEL JE PŘI POSKYTOVÁNÍ PLNĚNÍ PRO FN BRNO POVINEN PLNIT NÁSLEDUJÍCÍ POVINNOSTI:
postupovat v souladu s platnými právními předpisy, zejména pak v souladu s požadavky vyplývajícími ze ZoKB a Vyhlášky, a reflektovat případné novely uvedených právních předpisů či novou právní úpravu.
dodavatel je povinen zachovat bezpečnost informací a dat obsažených v ISZS, nebo v jiných informačních systémech, které jsou plněním této smlouvy dotčeny, a to zejm. z pohledu důvěrnosti, dostupnosti a integrity. Plnění dle této smlouvy je dodavatel povinen poskytovat tak, aby důvěrnost, dostupnost a integrita informací a dat dle předchozí věty nebyla porušena, ohrožena, ani omezena v souladu s požadavky dokumentace systému řízení bezpečnosti informací ve FN Brno. Dodavatel prohlašuje, že si je vědom všech povinností, které je povinen z hlediska zachování bezpečnosti informací ve FN Brno dodržovat. Je-li k plnění dle této smlouvy nezbytné důvěrnost, dostupnost či integritu informací nebo dat omezit, ohrozit nebo porušit, může tak dodavatel učinit pouze po předchozím souhlasu FN Brno a jen v rozsahu FN Brno předem odsouhlaseném.
dodavatel je povinen FN Brno písemně informovat o způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním této smlouvy, a to bez zbytečného odkladu, nejpozději do 180 dnů od nabytí účinnosti této smlouvy. Dodavatel je povinen zejména identifikovat jednotlivá konkrétní rizika spojená s plněním dle této smlouvy, jednotlivá konkrétní opatření k jejich eliminaci a zbytková rizika, která není možné přijatými opatřeními eliminovat. Dodavatel je povinen řídit rizika související s plněním této smlouvy po celou dobu účinnosti smlouvy a na žádost FN Brno způsob řízení rizik FN Brno prokázat. FN Brno je oprávněna řízení rizik dodavatelem kontrolovat a dodavatel je povinen k tomu FN Brno poskytnout nejvyšší možnou součinnost. FN Brno je oprávněna provádět kontrolu způsobu řízení rizik dodavatelem pouze v takovém rozsahu, aby tím nepřiměřeně nezasahovala do plnění dle této smlouvy, neohrozila důvěrnost, dostupnost a integritu dat dodavatele a nezvyšovala náklady na straně dodavatele.
smluvní strany jmenují a druhé smluvní straně sdělí nejpozději do 10 pracovních dnů od nabytí účinnosti těchto Pravidel zodpovědné kontaktní osoby pro potřeby zajištění plnění bezpečnostních opatření a související komunikace mezi smluvními stranami (dále také jen „kontaktní osoby“). Případnou změnu kontaktní osoby je smluvní strana povinna oznámit druhé smluvní straně do 5 pracovních dnů od provedení změny;
zajistit, aby kontaktní osoba dodavatele nejpozději do 30 dnů od nabytí účinnosti těchto Pravidel potvrdila písemně FN Brno k rukám „kontaktní osoby FN Brno, že všechny osoby podílející se na poskytování plnění této smlouvy za stranu dodavatele a/nebo jeho poddodavatelé byli prokazatelně seznámeni s těmito Pravidly;
pokud při plnění předmětu smlouvy dodavatel zpracovává osobní údaje pro FN Brno, zavazuje se dodavatel uzavřít s FN Brno smlouvu o zpracování osobních údajů v souladu s Nařízením evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, nebo také „GDPR“) a zákonem č.110/2019 Sb., o zpracování osobních údajů v aktuálním znění.
dodavatel není oprávněn užít informace ani data obsažená v ISZS, nebo v jiných informačních systémech, které jsou plněním této smlouvy dotčeny, k jiným účelům než ke splnění závazků z této smlouvy. Informace či data dle předchozí věty může dodavatel využít k jiným účelům než k plnění této smlouvy jen po předchozím souhlasu FN Brno a jen v rozsahu FN Brno předem odsouhlaseném. Bude-li na základě této smlouvy pořízena databáze, je pořizovatelem takové databáze vždy FN Brno. Dodavatel je povinen informace a data obsažená v ISZS, nebo v jiných informačních systémech, které jsou plněním této smlouvy dotčeny, chránit proti jejich neoprávněnému užití třetí osobou.
předmět plnění nesmí být nevyhovující z hlediska informační bezpečnosti, přičemž za nevyhovující je považováno jakékoli plnění, které obsahuje technologie/klíčové prvky, vůči jejichž výrobcům příslušný správní orgán vydal opatření v souladu se ZoKB, a které dle analýzy rizik představují kritické riziko; případné změny plnění v souladu s předchozí větou budou provedeny dodavatelem na základě pokynu FN Brno a na náklady dodavatele.
zaznamenávat podstatné okolnosti související s poskytovaným předmětem plnění dle smlouvy (technické záznamy, organizační záznamy o školení, pověření apod.) a informovat o nich FN Brno.
zavést na své straně opatření pro ochranu zálohy dat vztahujících se k plnění smlouvy a pravidelně testovat funkčnost těchto záloh. Tato povinnost se nevztahuje na aplikační data ISZS, ledaže smlouva stanoví jinak.
dodavatel garantuje schopnost v případě potřeby FN Brno za podmínek smlouvy obnovit ISZS do stavu požadovaného dle smlouvy.
realizovat bezpečnostní opatření pro ochranu dat souvisejících s plněním předmětu smlouvy.
poskytovat FN Brno v termínech stanovených FN Brno, resp. bez zbytečného odkladu, požadovanou součinnost na provedení bezpečnostního testování SW.
dodat systémové a provozní bezpečnostní dokumentace nejpozději do doby předání a převzetí SW, a to minimálně v rozsahu nezbytném pro zajištění kybernetické bezpečnosti dle této smlouvy a v souladu se všemi právními předpisy upravujícími kybernetickou bezpečnost ve FN Brno.
pokud součástí plnění je i instalace operačního systému případně SW třetích stran, musí být použity nejnovější aktualizované verze těchto produktů schválené FN Brno.
veškeré informace vyžadující vyšší míru ochrany1 poskytnuté FN Brno při poskytování plnění budou chráněny proti neautorizovanému přístupu; certifikáty a přístupová hesla nebudou uchovávány v nešifrovaném tvaru, pokud nebude mezi smluvními stranami v konkrétním případě dohodnuto jinak.
v produkčním prostředí systému ISZS bude obsažen jen kompilovaný, respektive spustitelný kód a další nezbytná data pro provozování systému ISZS.
před spuštěním SW v produkčním prostředí daného ISZS provede dodavatel kontrolu souladu daného SW s bezpečnostními opatřeními FN Brno a v případě zjištění nesouladu zajistí za podmínek smlouvy soulad dodávaného SW s bezpečnostními opatřeními, pokud byl s takovými opatřeními seznámen.
bude instalovat nový SW nebo nové verze SW pouze na základě FN Brno předem schválených migračních postupů2.
dodavatel odpovídá za to, že do ISZS budou implementovány jen nejnovější, stabilní, bezpečné a řádně odzkoušené bezpečnostní aktualizace (patche)3.
PERSONÁLNÍ BEZPEČNOST
pokud dodavatel využívá při poskytování plnění FN Brno poddodavatele, zavazuje se zajistit dodržování veškerých bezpečnostních opatření stanovených FN Brno rovněž ve smluvních vztazích se svými poddodavateli, přičemž tuto skutečnost se dodavatel zavazuje doložit FN Brno na vyžádání předložením příslušného smluvního vztahu uzavřeného s tímto poddodavatelem, případně předložením čestného prohlášení o řádném naplňování této povinnosti.
xxxxxxxxx je povinen ve svých interních procesech a ve vztahu k osobám na své straně realizovat tato opatření:
má stanoven plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí a který obsahuje formu, obsah a rozsah:
poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice;
potřebných teoretických i praktických školení uživatelů, administrátorů a osob zastávajících bezpečnostní role;
má určeny osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu uvedeny;
v souladu s plánem rozvoje bezpečnostního povědomí zajišťuje poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a poddodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení;
pro osoby zastávající bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí zajišťuje pravidelná odborná školení, přičemž vychází z aktuálních potřeb v oblasti kybernetické bezpečnosti;
v souladu s plánem rozvoje bezpečnostního povědomí zajišťuje pravidelné školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní;
zajišťuje kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role;
v případě ukončení smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajišťuje předání odpovědností;
hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených se zlepšováním bezpečnostního povědomí;
určuje pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role;
vede o provedených školení přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.
FYZICKÁ OCHRANA A BEZPEČNOST PROSTŘEDÍ
dodavatel se zavazuje dodržovat provozní řády areálů a budov (režimová opatření) FN Brno a využívaných prostor, se kterými byl prokazatelně seznámen, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny komponenty ISZS anebo datové nosiče (dále také jen „pracoviště“).
dodavatel se zavazuje, že na pracovišti neponechá volně dostupná instalační, záložní nebo archivní média ani dokumentaci k systému ISZS, který je předmětem plnění dle smlouvy.
DODRŽOVÁNÍ BEZPEČNOSTNÍ POLITIKY
dodavatel je povinen při plnění smlouvy dodržovat bezpečnostní politiky FN Brno a to počínaje okamžikem, kdy s nimi byl seznámen, a pouze v rozsahu, ve kterém s nimi byl seznámen.
ŘÍZENÍ PŘÍSTUPU
dodavatel bere na vědomí, že přístup k systému ISZS je možné povolit pouze po evidenci osoby zastupující dodavatele v registru identit FN Brno nebo obdobném systému FN Brno, a to na základě požadavku dodavatele na přístup.
dodavatel bere na vědomí, že jeho zaměstnanec musí poskytnout své osobní údaje FN Brno, a to v rozsahu nutném pro zřízení přístupu, v opačném případě FN Brno není povinen přístup k systému ISZS zaměstnanci dodavatele povolit. Dodavatel za účelem zajištění zákonnosti zpracování osobních údajů jeho zaměstnanců s přiděleným přístupem (fyzickým, logickým) k ISZS, které za účelem plnění smluvních vztahů s dodavatelem provádí FN Brno, zajistí splnění informačních povinností vyplývajících z tohoto zpracování.
dodavatel bere na vědomí, že přidělení oprávnění zaměstnancům dodavatele musí být řízeno principem nezbytného minima a není nárokové.
nestanoví-li smlouva jinak, zavazuje se dodavatel, že udělený přístup nesmí být sdílen více osobami na jeho straně.
dodavatel se zavazuje, že vzdálený přístup do systému ISZS bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení VPN.
dodavatel se zavazuje, že před připojením koncového zařízení, mobilního koncového zařízení nebo aktivního síťového prvku jako síťové switche, WiFi access pointy, routery či huby do počítačové sítě zažádá o schválení připojení kontaktní osobu na straně FN Brno.
dodavatel se zavazuje, že bez zbytečného odkladu deaktivuje všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, pokud daná činnost bude při plnění předmětu smlouvy vyžadována.
nedohodnou-li se smluvní strany v konkrétním případě jinak, zavazuje se dodavatel, že nebude instalovat a používat zejména typy nástrojů keylogger, sniffer, analyzátor zranitelností a port scanner, backdoor, rootkit a trojský kůň nebo jinou podobu malware.
dodavatel se zavazuje, že všechny jeho informační systémy, které se připojují do síťové infrastruktury FN Brno, jsou a budou chráněny proti malware.
dodavatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části ISZS programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci systému ISZS nebo nelegální získání dat a informací.
dodavatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění FN Brno v ISZS:
neukládaly, nesdílely, data ani informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno FN Brno.
nestahovaly, nesdílely, neukládaly, nearchivovaly a/nebo neinstalovaly datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem.
nezasílaly řetězové e-maily.
nestanoví-li smlouva jinak, zavazuje se dodavatel zajistit, aby osoby podílející se na poskytování plnění FN Brno, kteří přistupují do interní sítě nebo ISZS FN Brno, měly v externím zařízení typu notebook/počítač aplikovány bezpečnostní záplaty a nainstalovanou, spuštěnou a aktualizovanou antivirovou ochranu.
dodavatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění FN Brno, které přistupují do interní sítě a/nebo systému ISZS FN Brno chránily autentizační prostředky a údaje k systémům ISZS FN Brno. Dodavatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele může být příslušný účet zablokován a řešen jako kybernetická bezpečnostní událost ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné postupy zvládání kybernetické bezpečnostní události (např. okamžité zrušení přístupu k informačním aktivům fyzických osob externího subjektu). Dodavatel bere na vědomí, že postup zvládáním kybernetické bezpečnostní události či jiný důsledek porušení bezpečnostních opatření nebude posuzován jako okolnost vylučující odpovědnost dodavatele za prodlení s řádným a včasným plněním předmětu smlouvy a nebude důvodem k jakékoli náhradě případné újmy dodavateli či jiné osobě ze strany FN Brno.
ŘÍZENÍ ZMĚN A KONTINUITA ČINNOSTÍ
FN Brno v rámci řízení změn ISZS nebo jeho HW komponent přezkoumává možné dopady změn a určuje významné změny dle Vyhlášky. Dodavatel je povinen spolupracovat s FN Brno na řízení změn.
FN Brno u významných změn dokumentuje jejich řízení, provádí analýzu rizik, přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami, aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci, zajistí testování ISZS a zajistí možnost navrácení do původního stavu.
FN Brno má povinnost informovat dodavatele o výsledcích řízení změn, které mají dopady na plnění předmětu smlouvy ze strany dodavatele.
dodavatel má povinnost přijmout účinná opatření ke snížení nepříznivých dopadů v souladu s výsledky řízení změn.
dodavatel se zavazuje poskytnout FN Brno veškerou nezbytnou součinnost při analýze souvisejících rizik, přijímání opatření za účelem snížení všech nepříznivých dopadů spojených se změnami, aktualizaci bezpečnostní dokumentace, souvisejícím testováním a zajištění možnosti navrácení do původního stavu.
v případě realizace penetračního testování nebo testování zranitelnosti řešení poskytne dodavatel FN Brno za podmínek smlouvy veškerou potřebnou součinnost.
FN Brno má oprávnění zapojit dodavatele do řízení kontinuity činností, a to zejména oprávnění k zahrnutí dodavatele do plánu kontinuity činností, který souvisí s ISZS nebo s jeho HW komponentami a souvisejících služeb a/nebo zahrnutí dodavatele do havarijního plánu FN Brno.
MONITOROVÁNÍ ČINNOSTÍ
dodavatel bere na vědomí, že veškerá jeho aktivita a jeho plnění realizované v systémovém prostředí FN Brno budou FN Brno průběžně a pravidelně monitorovány a vyhodnocovány s ohledem na oprávněné zájmy FN Brno, jakož i s ohledem na obsah smlouvy a interních dokumentů FN Brno, se kterými byl dodavatel seznámen.
VÝMĚNA INFORMACÍ
pokud je předmětem smlouvy výměna informací mezi FN Brno a dodavatelem, musí být mezi smluvními stranami uzavřena dohoda o ochraně předmětných informací, zejména při jejich výměně, uložení, archivaci a ukončení smlouvy.
SPECIFIKACE PODMÍNEK PRO FORMÁT PŘEDÁNÍ DAT, PROVOZNÍCH ÚDAJŮ A INFORMACÍ PO VYŽÁDÁNÍ FN BRNO
veškerá uživatelská a/nebo provozní data ISZS musí být FN Brno předána bez zbytečného odkladu po doručení žádosti o export, a to v elektronické, strojově čitelné podobě, v otevřeném formátu, jehož využití není zatíženo právy třetích osob a FN Brno jej může užít bez jakéhokoliv omezení. Součástí předávaných exportovaných dat musí vždy být úplný popis formátu včetně datových typů a vzájemných vazeb v českém jazyce, ledaže by se jednalo o otevřený, standardizovaný formát. Neurčí-li FN Brno jinak, je dodavatel povinen data exportovat v kódování českého jazyka UTF-8. Soulad exportovaných dat s těmito požadavky, jakož i jejich úplnost, podléhá akceptaci FN Brno.
ZVLÁDÁNÍ KYBERNETICKÝCH BEZPEČNOSTNÍCH INCIDENTŮ
dodavatel se zavazuje, že při poskytování plnění pro FN Brno stanoví činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních událostí a incidentů, podle takto stanovených a popsaných pravidel bude postupovat, a bude hlásit všechny kybernetické bezpečnostní události a incidenty včetně případů porušení zabezpečení osobních údajů neprodleně po jejich detekci FN Brno.
dodavatel navrhne řešení tak, aby bylo možné zvládat a detekovat kybernetické bezpečnostní události a incidenty a realizuje opatření pro zvýšení odolnosti informačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti a vychází při tom zejména z požadavků stanovených Vyhláškou.
dodavatel má povinnost neprodleně informovat FN Brno o kybernetických bezpečnostních incidentech souvisejících s plněním předmětu smlouvy. Součástí oznámení musí být popis povahy případu kybernetického bezpečnostního incidentu.
dodavatel má povinnost provést analýzu příčin kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu a navrhne opatření s cílem zamezit jeho opakování v případě, že dodavatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.
OCHRANA DŮVĚRNÝCH INFORMACÍ
strany se zavazují zachovat mlčenlivost o veškerých informacích, osobních údajích, datech či zprávách, o nichž se dozvěděly v souvislosti s přípravou či plněním této smlouvy (dále jen „důvěrné informace“), a to včetně předmětu smlouvy, vlastní spolupráce a vnitřních záležitostí stran.
důvěrné informace ve smyslu této smlouvy nepředstavují utajované informace klasifikované stupněm „důvěrné“ ve smyslu zákona č. 412/2005 sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů.
strany se zavazují, že zajistí, aby se všechny osoby oprávněné zpracovávat důvěrné informace zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. Závazek mlčenlivosti a ochrany důvěrných informací zůstává v platnosti po ukončení této smlouvy.
KONTROLA A AUDIT DODAVATELE (PRAVIDLA ZÁKAZNICKÉHO AUDITU)
dodavatel se zavazuje poskytnout FN Brno veškeré informace potřebné k doložení toho, že byly splněny povinnosti vyplývající z této smlouvy, jakož i ze ZoKB a Vyhlášky, a za tímto účelem se zavazuje umožnit FN Brno provedení kontrol, včetně auditů prováděných FN Brno či auditorem, kterého FN Brno k auditu pověří, a poskytne k těmto kontrolám a auditům veškerou potřebnou součinnost.
dodavatel je povinen FN Brno zpřístupnit veškerou potřebnou dokumentaci pro účely kontroly či auditu, zejména výčet zavedených technických a organizačních opatření.
dodavatel má povinnost určit svého zástupce (případně své zástupce), který bude po dobu provádění kontroly či auditu přítomen.
kontrola nebo audit mohou být provedeny v prostorách dodavatele nebo jeho poddodavatele a dodavatel má povinnost tyto kontroly nebo audity FN Brno či FN Brno pověřené osobě umožnit, přispět k nim a poskytnout FN Brno či FN Brno pověřené osobě k jejich provedení maximální možnou součinnost, kterou lze po dodavateli rozumně požadovat. Řádný audit lze provést maximálně jednou (1) za dva (2) roky. Mimořádnou kontrolu nebo audit může provádět FN Brno na základě písemné objednávky.
FN Brno má povinnost písmeně oznámit dodavateli provedení kontroly či auditu, a to nejméně 14 dnů před provedením kontroly či auditu. Součástí oznámení bude i seznam osob, které jsou pověřeny ze strany FN Brno k provedení kontroly či auditu.
výstupem v provedené kontroly či auditu může být kontrolní/auditní zpráva; s jejími výsledky bude dodavatel seznámen a může se k nim vyjádřit.
dodavatel je dále povinen umožnit provedení kontroly či auditu i ze strany dozorových orgánů.
dodavatel je povinen pravidelně provádět také vlastní hodnocení rizik a kontrolu zavedených bezpečnostních opatření. Tato kontrola probíhá v pravidelných intervalech stanovených FN Brno, a to na základě objednávky FN Brno nebo v případě vzniku kybernetického bezpečnostního incidentu v rámci poskytovaného plnění nebo v případě, že se vznik bezpečnostního incidentu jeví jako pravděpodobný. O výsledku kontroly podá dodavatel FN Brno bez zbytečného odkladu písemnou kontrolní zprávu.
AUTORSTVÍ
není-li ve smlouvě, v zadávací dokumentaci ani v jiné smlouvě uzavřené mezi týmiž smluvními stranami sjednáno jinak, platí následující autorskoprávní ujednání:
Licence
Dodavatel poskytuje FN Brno licenci nebo podlicenci, není-li oprávněn licenci poskytnout, na veškerý software, který má povahu autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů, dodaný podle smlouvy, ke kterému je oprávněn licenci nebo podlicenci poskytnout (veškerý takový software dále souhrnně jen „vlastní software“), a zavazuje se zajistit, aby nejpozději k okamžiku instalace softwaru dodaného podle smlouvy, nebo nabytím účinnosti smlouvy byla FN Brno udělena licence nebo podlicence na software dodaný podle smlouvy, ke kterému dodavatel není oprávněn licenci nebo podlicenci poskytnout (dále jen „cizí software“, licence a podlicence k vlastnímu a cizímu software dále souhrnně též jen „licence na software“). Licence na software se poskytuje, resp. musí být poskytnuta:
jako bezúplatná;
jako nevýhradní;
z hlediska časového rozsahu na dobu trvání majetkových práv k předmětu licence na software;
z hlediska územního rozsahu na území České republiky;
z hlediska věcného rozsahu (způsobu použití) bez omezení;
z hlediska osobního rozsahu bez omezení.
Dodavatelem
udělená nebo zajištěná licence na software se vztahuje ve shora
uvedeném rozsahu i na jakákoli rozšíření, upgrady, updaty,
patche a další změny autorských děl,
jsou-li dodány
dodavatelem podle smlouvy.
Licenční smlouva obsahující licenci na software bude součástí každé dodávky cizího softwaru.
FN Brno není povinna licenci na software využívat. Pro vyloučení pochybností se uvádí, že ujednání smlouvy a požadavky zadávací dokumentace mají přednost před tímto odstavcem Pravidel.
SOULAD SMLOUVY S OBECNĚ ZÁVAZNÝMI PRÁVNÍMI PŘEDPISY
smlouva je uzavřena, s výjimkou právních předpisů upravujících kybernetickou bezpečnost, také v souladu s obecně závaznými právními předpisy platnými a účinnými k okamžiku uzavření této smlouvy, a dopadajícími na poskytované plnění. Dodavatel je povinen v průběhu plnění této smlouvy monitorovat změny těchto právních předpisů a poskytovat plnění v souladu s aktuálním zněním těchto právních předpisů.
ODSTOUPENÍ OD SMLOUVY
vedle důvodů sjednaných ve smlouvě, je FN Brno oprávněna odstoupit od této smlouvy rovněž tehdy, pokud dojde k významné změně kontroly nad dodavatelem, přičemž kontrolou se zde rozumí zejména ovládání či řízení podle § 74 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, či ekvivalentní postavení, nebo dojde ke změně vlastnictví či oprávnění nakládat s aktivy využívanými dodavatelem k plnění této smlouvy a tato změna bude FN Brno vyhodnocena jako nepřijatelné bezpečnostní riziko ve smyslu ZoKB a/nebo Vyhlášky.
POVINNOSTI PŘI UKONČENÍ SMLOUVY, EXIT PLÁN, MIGRACE DAT
dodavatel se zavazuje poskytnout FN Brno veškerou potřebnou součinnost, dokumentaci a informace, s výjimkou informací, které jsou součástí obchodního tajemství dodavatele ve smyslu § 504 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, a které nejsou nezbytné k plnění povinností vyplývajících ze ZoKB nebo Vyhlášky, účastnit se jednání s FN Brno a popřípadě třetími osobami za účelem plynulého a řádného převedení všech činností spojených s provozem, servisem a rozvojem předmětu smlouvy na FN Brno a/nebo nového dodavatele, ke kterému dojde po skončení účinnosti této smlouvy, a to vše dle pokynů FN Brno (dále jen „ukončení smlouvy“).
dodavatel se zavazuje poskytnout součinnost do doby přijetí a implementace nového řešení nebo jeho HW komponent v nezbytné míře tak, aby byla zachována funkčnost ISZS během přechodu na nové řešení, např. součinnost spočívající v migraci dat, podpory řešení atd.
součinnost bude spočívat zejména ve zpracování návrhu plánu předání a dále v součinnosti dodavatele při případné migraci dat ze stávajícího ISZS nebo do nového ISZS. Dodavatel se v rámci této součinnosti zavazuje zejména zajistit FN Brno definované datové rozhraní v rámci stávajícího ISZS nebo vhodné datové rozhraní navrhnout a popsat, a to jak na úrovni syntaktického a sémantického popisu, tak i na úrovni vlastní přípravy a zpracování dat, konverze či transformace dat a jejich případné čištění. Smluvní strany se přitom zavazují postupovat podle následujících pravidel:
Dodavatel se zavazuje na výzvu FN Brno bez zbytečného odkladu vypracovat plán migrace, zejména veškerých uživatelských dat a databází na nového dodavatele a předložit tento plán FN Brno k akceptaci (dále jen „plán migrace“). Plán migrace musí obsahovat kompletní strukturu databáze včetně popisu vazeb a datových struktur, dále musí zahrnovat harmonogram migrace, jakož i veškeré činnosti, postupy a požadavky uvedené dále.
Dodavatel je zejména povinen:
postupovat v souladu s plánem migrace zpracovaným dodavatelem a akceptovaným FN Brno, ledaže toto není objektivně možné ani při vynaložení přiměřeného úsilí, nebo pokud se strany dohodnou jinak;
předložit FN Brno přehled vzájemných pohledávek z plnění poskytnutého v souladu se smlouvou do čtyřiceti pěti (45) kalendářních dnů od ukončení účinnosti smlouvy;
neprodleně uhradit všechny případné nedoplatky vůči FN Brno;
k datu stanovenému plánem migrace, nejpozději však k datu ukončení účinnosti smlouvy, předat FN Brno v elektronické podobě veškerá dodavateli dostupná provozní, vývojová, a testovací data či provozní údaje v rozsahu, v jakém FN Brno náleží, a v rozsahu vymezeném plánem migrace poskytnout součinnost k migraci;
umožnit FN Brno provést migraci podle harmonogramu uvedeného v plánu migrace;
protokolárně vymazat nebo jinak zlikvidovat veškeré dodavateli dostupné kopie dat či provozních údajů, které byly dodavateli zpřístupněny nebo dodavatelem (jeho poddodavateli) vytvořeny na základě smlouvy nebo v souvislosti s plněním smlouvy, a to dle pokynů a v termínech stanovených dodavatelem. Dodavatel je povinen před likvidací předat všechna taková data a provozní údaje FN Brno; dodavatel umožní FN Brno dohled nad průběhem likvidace kopií dat a provozních údajů;
předat FN Brno za účelem provádění správy software vlastními silami FN Brno veškeré přístupové a jiné údaje k vlastnímu software a cizímu software a nezbytnou technickou dokumentaci v termínu stanoveném plánem migrace, nejpozději však k datu ukončení smlouvy, a to tak, aby FN Brno mohla software plně spravovat, provozovat a využívat v rozsahu dle smlouvy;
v případě, že FN Brno je na základě smlouvy nebo jiné smlouvy mezi dodavatelem a FN Brno oprávněna provádět úpravy vlastního software, je dodavatel povinen předat FN Brno úplné, řádně komentované a aktualizované zdrojové kódy vlastního software včetně struktury databází a včetně dokumentace; pro vyloučení pochybností se uvádí, že zdrojové kódy vlastního software a další údaje podle tohoto písmene je dodavatel povinen FN Brno předat pouze a jen v případě, kdy FN Brno má na základě smlouvy sjednáno právo provádět úpravy vlastního software a současně je ve smlouvě, případně v jiné smlouvě mezi dodavatelem a FN Brno, sjednáno právo FN Brno ke zdrojovým kódům vlastního software;
předat FN Brno všechna hesla, šifrovací klíče, certifikáty a další autentizační prostředky, které správci umožní administrátorský přístup k veškerým datům, databázím, dílčím systémům a software, případně k dalším technickým prostředkům, a to v termínu stanoveném plánem migrace, nejpozději však k datu ukončení smlouvy;
předat FN Brno všechny konfigurační soubory potřebné pro provoz softwaru nebo ISZS v termínu stanoveném plánem migrace, nejpozději však k datu ukončení smlouvy;
předat kompletní komunikační matice (poskytnutí přehledu všech nutných kontaktních/kompetentních osob, včetně kontaktů na poddodavatele dodavatele) v termínu stanoveném plánem migrace, nejpozději však k datu ukončení smlouvy;
předat potřebné znalosti a poskytnout konzultace FN Brno nebo jím určené třetí osobě zejména v souvislosti s přípravou FN Brno nebo jím určené třetí osoby na správu a provoz nového ISZS, a to do třiceti (30) pracovních dnů od výzvy FN Brno k jejich poskytnutí, a to po dobu do skončení účinnosti smlouvy a dále nejvýše do uplynutí šesti (6) měsíců od ukončení účinnosti smlouvy; pro vyloučení pochybností předávání znalostí bude probíhat v běžné pracovní době zaměstnanců dodavatele v pracovní dny, elektronicky nebo na pracovišti FN Brno a nezahrnuje vytváření nových dokumentů anebo kódů, úpravy existujících dokumentů anebo kódu a vytváření jakýchkoliv autorských děl;
pokud k okamžiku skončení účinnosti smlouvy, zejména v případě předčasného ukončení smlouvy před sjednanou dobou trvání nebyla splněna některá z povinností dle písm. d) až k), nedošlo k migraci nebo některá poskytovaná plnění nebyla z jakéhokoli důvodu ukončena v souladu s plánem migrace a jejich okamžité ukončení by mohlo FN Brno způsobit náklady nebo škodu, nebo nelze-li z jakéhokoli důvodu postupovat podle plánu migrace, je dodavatel povinen:
neprodleně vypracovat za součinnosti FN Brno plán ukončení plnění dle smlouvy (dále jen „Exit plán“) a předložit jej FN Brno k akceptaci; předmětem Exit plánu bude plán postupného ukončení plnění dle smlouvy, které bylo v okamžiku předčasného skončení účinnosti smlouvy poskytováno dodavatelem, dle požadavků FN Brno za účelem minimalizace dopadů jeho ukončení na činnost FN Brno, a to v časovém rozpětí až šesti (6) měsíců od předčasného skončení účinnosti smlouvy;
od okamžiku skončení účinnosti smlouvy až do akceptace Exit plánu FN Brno i nadále poskytovat plnění dle smlouvy, a to v rozsahu a za podmínek, za kterých je byl dodavatel povinen poskytovat dle smlouvy, ledaže FN Brno stanoví rozsah nižší nebo podmínky mírnější;
po schválení Exit plánu ukončit nebo postupně ukončovat poskytovaná plnění v souladu s Exit plánem, přičemž takové plnění musí být poskytováno v rozsahu a za podmínek, za kterých je byl dodavatel povinen poskytovat dle smlouvy, ledaže FN Brno stanoví rozsah nižší nebo podmínky mírnější.
pokud bylo ukončeno veškeré poskytované plnění, na výzvu FN Brno zajistit odvoz všech technických prostředků ve vlastnictví dodavatele, které dodavatel užíval k poskytování plnění a které se nacházejí v prostorách FN Brno;
FN Brno je na písemnou žádost dodavatele povinna:
neprodleně uhradit všechny případné splatné nedoplatky vůči dodavateli;
má-li být vypracován Exit plán, poskytnout na své náklady veškerou nezbytnou součinnost k vypracování Exit plánu dodavateli a k jeho akceptaci či zajistit k jeho vypracování poskytnutí součinnosti třetích stran;
pokud bylo ukončeno veškeré poskytované plnění, umožnit dodavateli manipulaci a odvoz všech technických prostředků dodavatele, které je dodavatel povinen odstranit z prostor či lokalit FN Brno nebo určené třetí osoby.
PRAVIDLA PRO LIKVIDACI DAT
dodavatel se zavazuje poskytnout FN Brno veškerou potřebnou součinnost pro likvidaci nepotřebných dat, za tím účelem smluvní strany dohodnou lhůty pro provádění likvidace dat, kde určí konkrétní rozsah a časové intervaly pro likvidaci dat. Smluvní strany sjednávají, že k likvidaci dat přistoupí po vzájemném odsouhlasení likvidace, podmínky likvidace musí být v souladu přílohou č. 4 Vyhlášky.
DŮSLEDKY PORUŠENÍ POVINNOSTI SMLUVNÍCH STRAN
Pro případ, že:
dodavatel nesplní informační povinnost stanovenou mu tímto dodatkem, nebo
dojde u dodavatele k významné změně kontroly nad osobou dodavatele, nebo
dojde u dodavatele ke změně kontroly nad zásadními aktivy dodavatele využívanými k plnění smlouvy, nebo
dodavatel zapojí do plnění smlouvy poddodavatele bez písemného povolení FN Brno
je FN Brno oprávněna odstoupit od smlouvy. Účinky odstoupení nastávají dnem doručení odstoupení od smlouvy dodavateli. Odstoupení nezbavuje dodavatele povinnosti poskytnout součinnost dle ustanovení těchto Pravidel při ukončení smlouvy.
pro případ porušení povinností dodavatele dle těchto Pravidel se sjednávají následující smluvní pokuty a sankce:
pro případ porušení informační povinnosti stanovené těmito Pravidly je dodavatel povinen zaplatit FN Brno smluvní pokutu ve výši 50 000,- Kč za každé takové porušení,
pro případ porušení některého z bezpečnostních opatření stanovených těmito Pravidly je dodavatel povinen zaplatit FN Brno smluvní pokutu ve výši 10 000,- Kč za každé takové porušení,
pro případ porušení povinnosti dodavatele poskytnout součinnost stanovenou těmito Pravidly je dodavatel povinen zaplatit FN Brno smluvní pokutu ve výši 10 000,- Kč za každé takové porušení.
smluvní pokutou není dotčen nárok FN Brno na náhradu škody vzniklé v souvislosti s porušením smlouvy.
ÚPLATA ZA NĚKTERÁ PLNĚNÍ
povinnosti podle odst. 48, 68, 69 a 70 je dodavatel povinen plnit na základě výzvy FN Brno a pouze za úplatu, která se stanoví podle počtu člověkohodin potřebných na splnění povinnosti, přičemž na tomto počtu člověkohodin se smluvní strany dohodnou a sazba za člověkohodinu se určí podle smlouvy. Nelze-li sazbu za člověkohodinu určit podle smlouvy, nebo jestliže některá smluvní strana nesouhlasí se sazbou za člověkohodinu určenou podle smlouvy, určí se sazba za člověkohodinu dohodou smluvních stran. Nelze-li takové dohody dosáhnout, určí se sazba za člověkohodinu znaleckým posudkem zpracovaným osobou, na níž se smluvní strany dohodnou. Nedohodnou-li se smluvní strany na tom, kolik člověkohodin je potřebných na splnění povinnosti podle věty první, určí se tento počet člověkohodin znaleckým posudkem zpracovaným osobou, na níž se smluvní strany dohodnou. Náklady na zpracování znaleckých posudků podle tohoto odstavce se rozdělí mezi smluvní strany rovným dílem. Objednatelem těchto znaleckých posudků bude FN Brno, ledaže se smluvní strany dohodnou v konkrétním případě jinak. Splatnost faktur vystavených dodavatelem na základě tohoto odstavce je 60 dnů od vystavení. Dodavatel je povinen doručit fakturu FN Brno bez zbytečného odkladu po jejím vystavení.
1 Za informace vyžadující vyšší míru ochrany se ve smyslu této přílohy považují zejména identifikační údaje.
2 Migrační postup – soubor kroků definující převod dat mezi dvěma nebo více ISZS, nebo mezi dvěma nebo více verzemi téhož ISZS.
3 Aktualizace software na vyšší vývojovou verzi.
19