Smlouva
Evidenční číslo smlouvy ČNB: 00-000-00 Příloha č. 1 ZD
Smlouva
o poskytování služeb bezpečnostních auditů informačních systémů
uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“),
mezi:
Českou národní bankou
Na Příkopě 28
115 03 Praha 1
zastoupenou: Ing. Xxxxxxx Xxxxxxxxx, ředitelem sekce informatiky
a a
Xxx. Xxxxxxx Xxxxxxxx, ředitelem sekce správní
IČO: 48136450
DIČ: CZ48136450
(dále jen „objednatel“ nebo také „ČNB“)
a
………………..
se sídlem: ………………..
………………..
zastoupenou/jednající:
IČO: .............................
DIČ: ............................
bankovní spojení/číslo účtu
(plátce DPH uvede svůj účet, který je zveřejněn podle § 98 zákona o DPH)
….. (doplní účastník)
(dále jen „poskytovatel“)
Preambule
ČNB provozuje systém ABO/ABO-K, SKD a CERTIS náležející mezi informační systémy kritické informační infrastruktury a je dále provozovatelem významných informačních systémů JERRS a KRZR ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). Vzhledem k důležitosti těchto informačních systémů z pohledu naplňování úkolů a fungování ČNB a rovněž i vzhledem k naplňování požadavků výše uvedených právních předpisů v oblasti kybernetické bezpečnosti stanovuje objednatel dále uvedené požadavky, lhůty, platební podmínky, smluvní pokuty a další smluvní ujednání, které z této důležitosti vycházejí.
Článek I
Předmět a rozsah plnění
Předmětem plnění podle této smlouvy je povinnost poskytovatele poskytovat objednateli služby bezpečnostních auditů informačních systémů a infrastruktury. Tyto audity sestávají zejména z následujících činností:
Penetrační testy informačních systémů,
Penetrační testy infrastruktury,
Audity konfigurace serverů,
Audity architektury IS/IT,
Další formy auditů bezpečnosti IS/IT dle konkrétních požadavků objednatele.
Výstupem každého bezpečnostního auditu bude „Zpráva s výsledky bezpečnostního auditu“ obsahující zejména manažerské shrnutí, popis metodiky testování, podrobný popis zjištěných zranitelností a návrhy opatření vedoucí ke zmírnění rizik (dále jen „zpráva“). Zpráva bude objednateli předána nejméně ve dvou tištěných vyhotoveních a dále v elektronickém formátu (.docx).
Součástí plnění dle odst. 1 tohoto článku je rovněž poskytování konzultací objednateli k případně nalezeným zranitelnostem a k návrhům na opatření.
Podrobná specifikace předmětu plnění je uvedena v příloze č. 3 této smlouvy.
Objednatel za poskytnutá plnění zaplatí cenu podle čl. III této smlouvy.
Článek II
Místo a způsob plnění
Místem plnění je sídlo objednatele na adrese Xx Xxxxxxx 00, 000 00 Xxxxx 0, nebude-li mezi smluvními stranami dohodnuto jinak.
Plnění podle čl. I bude poskytováno na základě výzvy pověřené osoby objednatele zaslané e-mailem pověřené osobě poskytovatele a bude poskytováno v sídle objednatele. Bližší postup je uveden v čl. V této smlouvy.
Plnění bude převzato po předání závěrečné zprávy dle čl. I odst. 2, a to na základě akceptačního protokolu, který podepíší pověřené osoby smluvních stran.
Článek III
Cena a platební podmínky
Smluvní strany se dohodly, že cena za jednotlivá plnění podle čl. I bude stanovena dohodou pověřených osob smluvních stran na základě odsouhlasené nabídky poskytovatele jako cena pevná (tj. bez ohledu na skutečný objem pracnosti). Nabídková cena poskytovatele bude stanovena na základě předpokládaného objemu pracnosti a hodinové sazby dle odst. 2 tohoto článku. Konzultace k případně zjištěným zranitelnostem a návrhům na opatření podle čl. I odst. 3 jsou zahrnuty ve sjednané ceně.
Hodinová sazba pracovníků poskytovatele byla sjednána dohodou smluvních stran a činí ................. (doplní účastník) Kč bez DPH.
Cena je uvedena bez DPH a jsou v ní zahrnuty veškeré náklady poskytovatele související s plněním dle této smlouvy.
Smluvní strany jsou oprávněny navrhnout změnu hodinové sazby uvedené v odst. 2 tohoto článku v návaznosti na vývoj indexu cen tržních služeb, stejné období předchozího roku = 100, konkrétně index „Tržní služby celkem“ sloupec „Průměr od počátku roku“, a to průměr za předchozí kalendářní rok, který vyhlašuje Český statistický úřad. Ceny mohou být zvýšeny maximálně o částku odpovídající předmětné roční inflaci. Úpravu cen je poskytovatel oprávněn navrhnout nejdříve po uplynutí jednoho roku ode dne nabytí účinnosti smlouvy. Úprava cen bude provedena formou dodatku ke smlouvě.
Daňový doklad za plnění podle čl. I je poskytovatel oprávněn vystavit nejdříve v den převzetí příslušného plnění pověřenými osobami objednatele na základě akceptačního protokolu dle čl. II odst. 3. Akceptační protokol bude přílohou daňového dokladu.
Daňový doklad bude obsahovat náležitosti stanovené v zákoně o dani z přidané hodnoty a údaje podle § 435 občanského zákoníku a dále evidenční číslo smlouvy ČNB a bankovní účet, na který má být placeno a který je uveden v záhlaví této smlouvy nebo který byl později aktualizován poskytovatelem (dále jen „určený účet“). V případě, že doklad bude postrádat některou ze stanovených náležitostí nebo bude obsahovat chybné údaje, je objednatel oprávněn jej vrátit poskytovateli, a to až do lhůty splatnosti. Nová lhůta splatnosti začíná běžet dnem doručení bezvadného daňového dokladu.
V případě, že bude v daňovém dokladu uveden jiný než určený účet, je pověřená osoba poskytovatele povinna na základě výzvy objednatele sdělit na e-mailovou adresu, ze které byla výzva odeslána, zda má být zaplaceno na bankovní účet uvedený v dokladu, nebo na určený účet. V tomto případě se daňový doklad nevrací s tím, že lhůta splatnosti začíná běžet až dnem doručení sdělení poskytovatele podle předchozí věty.
Doklady k úhradě bude poskytovatel zasílat elektronicky na adresu xxxxxxx@xxx.xx, přičemž doklad k úhradě musí být vložen jako příloha e-mailové zprávy ve formátu PDF. V jedné e-mailové zprávě smí být pouze jeden doklad. Mimo vlastní doklad k úhradě může být přílohou e-mailové zprávy jedna až tři přílohy k dokladu ve formátech PDF, DOC, DOCX, XLS, XLSX. Nebude-li možné zaslat doklad k úhradě elektronicky, zašle jej poskytovatel na adresu:
Česká národní banka
sekce rozpočtu a účetnictví
odbor centrální účtárna
Na Příkopě 28
115 03 Praha 1.
Splatnost daňového dokladu je 14 dnů od doručení objednateli. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu objednatele ve prospěch účtu poskytovatele.
Smluvní strany se dohodly, že objednatel je oprávněn započíst jakoukoli svou peněžitou pohledávku za poskytovatelem, ať splatnou či nesplatnou, oproti jakékoli peněžité pohledávce poskytovatele za objednatelem, ať splatné či nesplatné.
Článek IV
Osoby poskytovatele poskytující plnění
Poskytovatel se zavazuje, že plnění dle čl. I bude poskytováno osobami, z nichž vždy minimálně jedna bude disponovat alespoň jedním z certifikátů CEH (Certified Ethical Hacker) nebo OSCP (Offensive Security Certified Professional) či obdobným certifikátem prokazujícím potřebnou znalost a zkušenost na požadované úrovni odpovídající některému z výše uvedených certifikátů. Požadovaný certifikát musí být platný po celou dobu účinnosti této smlouvy. Poskytovatel je povinen kdykoliv po dobu účinnosti této smlouvy na výzvu objednatele tuto skutečnost doložit, a to do 5 pracovních dnů od doručení výzvy.
Změna v certifikovaných osobách poskytujících plnění může být provedena pouze se souhlasem objednatele, a to po splnění kvalifikačních požadavků objednatele ve stejném rozsahu, jaký byl stanoven v zadávacím řízení na výběr dodavatele pro poskytování služeb uvedených v této smlouvě, nebude-li dohodnuto jinak. Odsouhlasení změny bude provedeno e-mailem alespoň jednou pověřenou osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě.
Objednatel si za splnění podmínek dle odst. 2 tohoto článku vyhrazuje právo požádat o výměnu některé z osob poskytujících plnění z důvodu opakované nespokojenosti s kvalitou jí odváděné práce nebo nedostatečnou komunikací s objednatelem.
Poskytovatel je povinen:
V souladu s ust. § 105 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“) poskytnout objednateli identifikační údaje všech poddodavatelů, kteří nebyli identifikováni dle věty první uvedené v § 105 odst. 3 ZZVZ a kteří se následně zapojí do plnění předmětu dle této smlouvy, a to nejpozději před zahájením plnění předmětu dle této smlouvy poddodavatelem;
V případě poskytování služeb prostřednictvím poddodavatele platí všechna ustanovení tohoto článku také pro poddodavatele a jeho pracovníky, kteří se budou na plnění smlouvy podílet. V případě, že poskytovatel splnil některý z požadavků stanovených objednatelem v zadávací dokumentaci zadávacího řízení na předmět této smlouvy prostřednictvím poddodavatele, je povinen v případě změny tohoto poddodavatele požádat objednatele o souhlas a prokázat, že nový poddodavatel tento požadavek splňuje, a to do 5 pracovních dnů přede dnem zahájení poskytování plnění dle této smlouvy poddodavatelem. Odsouhlasení změny poddodavatele bude provedeno e-mailem alespoň jednou pověřenou osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě;
Za plnění poskytovaná poddodavatelem je poskytovatel odpovědný jako by toto plnění poskytoval sám. Poskytovatel se zavazuje, že poskytne objednateli, pokud bude i část plnění poskytována poddodavatelem, seznam kontaktních údajů na osoby provádějící plnění za poddodavatele. Objednatel je oprávněn průběh plnění realizovaný poddodavatelem řešit napřímo s jeho pracovníky a poskytovatel není oprávněn tuto komunikaci s poddodavatelem či jeho pracovníky jakkoliv omezovat nebo mařit.
Nesplnění kterékoliv povinnosti poskytovatele uvedené v tomto článku je považováno za podstatné porušení smlouvy. Nesplnění kteréhokoliv požadavku objednatele uvedeného v odst. 5.1 až 5.5 je považováno za podstatné porušení smlouvy.
Článek V
Uplatnění požadavků na poskytnutí služeb
Postup při uplatnění požadavku na poskytnutí služeb dle čl. I odst. 1 je následující:
objednatel výzvu na poskytnutí služeb uvedených v čl. I odst. 1 zašle e-mailem pověřené osobě poskytovatele;
poskytovatel ve lhůtě 5 pracovních dnů od doručení výzvy zašle e-mailem pověřeným osobám objednatele nabídku, která obsahuje nabídkovou cenu (dle počtu očekávaných hodin potřebných na poskytnutí poptávaných služeb a příslušné hodinové sazby pracovníků poskytovatele) a harmonogram prací;
po vzájemném odsouhlasení nabídky včetně harmonogramu prací dle předchozího odstavce je poskytovatel povinen práce realizovat, a to dle harmonogramu uvedeného v nabídce.
Článek VI
Součinnost, kontaktní osoby
Objednatel se zavazuje poskytnout poskytovateli všechny informace, podklady a písemnosti, které má k dispozici a které jsou nezbytné pro činnost poskytovatele podle této smlouvy.
Pověřenými osobami smluvních stran jsou:
za poskytovatele:
jméno........................tel.: ......................e-mail: ...................... (doplní účastník),
za objednatele:
Xxx. Xxxxx Xxxxx, Ph.D., tel.: x000 000 000 000, e-mail: xxxxx.xxxxx@xxx.xx.
V případě změny pověřených osob smluvních stran nebo jejich kontaktních údajů jsou smluvní strany povinny nahlásit změnu následující pracovní den po provedení změny na e-mailové adresy pověřených osob druhé smluvní strany. Změna osob je účinná dnem jejího oznámení druhé smluvní straně, a to bez povinnosti uzavírat dodatek k této smlouvě.
Poskytovatel se zavazuje v případě zjištění závažnějšího nedostatku v systému objednatele, jehož další testování by mohlo vést k snížení dostupnosti či poškození systémového prostředí, kontaktovat pověřenou osobu objednatele uvedenou v odst. 2 tohoto článku a v testování pokračovat až po jejím souhlasu.
Článek VII
Mlčenlivost, bezpečnostní požadavky objednatele, pojištění
Poskytovatel se zavazuje zajistit, že veškeré osoby podílející se na plnění dle této smlouvy zachovají mlčenlivost o všech skutečnostech, se kterými se seznámí v průběhu plnění této smlouvy a které nejsou veřejně dostupné. Povinnost mlčenlivosti trvá i po skončení platnosti smlouvy.
Pracovníci či poddodavatelé poskytovatele a jejich pracovníci smí používat informace získané v souvislosti s plněním dle této smlouvy výhradně pro účely plnění této smlouvy. Dostane-li se kterákoliv z osob uvedených v tomto odstavci v průběhu plnění do kontaktu s údaji objednatele vyplývajícími z jeho provozní činnosti, zavazuje se tyto údaje nezneužít, nezměnit ani nijak nepoškodit, neztratit či znehodnotit.
Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali bezpečnostní požadavky objednatele uvedené v příloze č. 1 této smlouvy.
Poskytovatel se zavazuje, že nebude využívat plnění pro objednatele (resp. označení České národní banky) jako veřejně dostupnou referenci bez předchozího písemného souhlasu objednatele.
Poskytovatel prohlašuje, že je ke dni uzavření této smlouvy pojištěn pro případ vzniku odpovědnosti za škodu způsobenou v souvislosti s plněním této smlouvy, a to s horní hranicí pojistného plnění nejméně ve výši 1 000 000 Kč (slovy: jeden milion korun českých). Poskytovatel se zavazuje zajistit, že pojistná smlouva zůstane v uvedeném rozsahu platná a účinná po celou dobu trvání této smlouvy. Na výzvu objednatele je poskytovatel povinen kdykoliv v průběhu trvání smlouvy tuto skutečnost prokázat, a to do 5 pracovních dnů od doručení výzvy.
Článek VIII
Kybernetická bezpečnost
Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů.
Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB.
Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy.
Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB.
Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“).
Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní.
Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy.
Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy.
Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací.
Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny.
Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny.
Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškerá data a informace získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB.
Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.
Článek IX
Trvání smlouvy, výpověď a odstoupení od smlouvy
Smlouva se uzavírá na dobu neurčitou.
Smlouvu může vypovědět kterákoliv ze smluvních stran písemnou výpovědí doručenou druhé straně. Výpovědní doba je šestiměsíční a běží od prvého dne měsíce následujícího po doručení písemné výpovědi druhé smluvní straně.
Poruší-li kterákoliv strana podstatným způsobem závazky vyplývající z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to i v části, prostřednictvím písemného odstoupení. Takové odstoupení bude platné a nabude účinnosti dnem jeho doručení druhé smluvní straně.
Za podstatné porušení smlouvy strany považují zejména tyto případy:
ze strany poskytovatele:
nesplnění kterékoliv povinnosti poskytovatele dle čl. IV,
nesplnění povinností poskytovatele uvedených v čl. VII odst. 1, 2, 3 a 5,
nesplnění povinnosti poskytovatele uvedené v čl. VIII odst. 5 nebo
porušení podmínek sjednaných ve smlouvě o zpracování osobních údajů,
ze strany objednatele:
prodlení s úhradou ceny plnění dle této smlouvy delší než 30 dnů.
Smluvní strany se dohodly, že je objednatel oprávněn odstoupit od smlouvy kdykoliv v průběhu insolvenčního řízení zahájeného na majetek poskytovatele.
Objednatel je dále oprávněn odstoupit od smlouvy, pokud dojde k významné změně kontroly nad poskytovatelem, přičemž kontrolou se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení nebo dojde ke změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy a tato změna bude objednatelem vyhodnocena jako bezpečnostní riziko ve smyslu ZKB a/nebo VKB.
Článek X
Smluvní pokuta, úrok z prodlení, náhrada škody
V případě prodlení poskytovatele ve lhůtách plnění stanovených v odsouhlaseném harmonogramu dle čl. V písm. c) je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý den prodlení.
V případě prodlení poskytovatele ve lhůtě dle čl. V písm. b) k zaslání nabídky je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý pracovní den prodlení.
V případě prodlení poskytovatele se splněním smluvní povinnosti ve stanovené lhůtě dle čl. VII odst. 5 se poskytovatel zavazuje zaplatit objednateli smluvní pokutu ve výši 500 Kč za každý pracovní den prodlení.
V případě porušení povinnosti poskytovatele dle čl. VII odst. 1 je objednatel oprávněn požadovat smluvní pokutu ve výši 20 000 Kč za každé jednotlivé porušení mlčenlivosti.
V případě porušení jakékoliv povinnosti poskytovatele dle čl. IV nebo VIII je objednatel oprávněn požadovat smluvní pokutu ve výši 20 000 Kč za každé jednotlivé porušení.
V případě prodlení objednatele s úhradou daňového dokladu je poskytovatel oprávněn požadovat úrok z prodlení podle nařízení vlády č. 351/2013 Sb.
Smluvní pokuta i úrok z prodlení jsou splatné do 14 dnů od doručení příslušného dokladu povinné smluvní straně. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu povinného ve prospěch účtu oprávněného.
Smluvní pokutou není dotčeno právo na náhradu škody.
Poskytovatel se zavazuje postupovat tak, aby jeho činností nedošlo ke vzniku škody na zařízeních nebo datech objednatele. Toto ustanovení se nevztahuje na škody, jejichž skutečnou příčinou je vada systému, která se projevila na základě provádění šetření v rámci plnění předmětu smlouvy.
Článek XI
Uveřejnění smlouvy a skutečně uhrazené ceny
Poskytovatel si je vědom zákonné povinnosti objednatele uveřejnit na svém profilu tuto smlouvu včetně všech jejích případných změn a dodatků a výši skutečně uhrazené ceny za plnění této smlouvy.
Profilem objednatele je elektronický nástroj, prostřednictvím kterého objednatel, jako veřejný zadavatel dle ZZVZ, uveřejňuje informace a dokumenty ke svým veřejným zakázkám způsobem, který umožňuje neomezený dálkový přístup, přičemž profilem objednatele v době uzavření této smlouvy je xxxxx://xxxx.xxx.xx.
Povinnost uveřejňování dle tohoto článku je objednateli uložena § 219 ZZVZ.
Uveřejňování bude prováděno dle ZZVZ a příslušného prováděcího předpisu k ZZVZ.
Článek XII
Závěrečná ustanovení
Smlouva nabývá platnosti a účinnosti dnem podpisu oprávněnými zástupci obou smluvních stran.
Smlouva může být měněna a doplňována pouze formou písemných vzestupně číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran, není-li ve smlouvě uvedeno jinak.
Smluvní strany se dohodly, že závazkový vztah založený touto smlouvou se řídí občanským zákoníkem.
Spory vyplývající z této smlouvy budou řešeny především dohodou smluvních stran. Nebude-li možné dosáhnout dohody, bude spor řešen před místně a věcně příslušným soudem České republiky.
Tato smlouva je sepsána v českém jazyce. Veškerá komunikace mezi smluvními stranami vztahující se k této smlouvě bude probíhat v českém jazyce, nebude-li smluvními stranami v konkrétním případě dohodnuto jinak.
Tato smlouva je vyhotovena ve třech stejnopisech, z nichž objednatel obdrží dvě a poskytovatel jedno vyhotovení.
Přílohy: č. 1 – Bezpečnostní požadavky objednatele
č. 2 – Obecná pravidla pro dodavatele v oblasti bezpečnosti IT
č. 3 – Podrobná specifikace předmětu plnění
č. 4 – Ujednání o zpracování osobních údajů
V Praze dne: ……………. V …………….dne: …………..
Za objednatele: Za poskytovatele:
……………………………………… ………………………………
Xxx. Xxxxx Xxxxxxx (doplní účastník)
ředitel sekce informatiky
……………………………..
Xxx. Xxxxxx Xxxxxx
ředitel sekce správní
Příloha č. 1
Bezpečnostní požadavky objednatele
Poskytovatel odpovídá za to, že do objektů objednatele (dále jen „ČNB“) budou vstupovat nebo vjíždět pouze ti jeho pracovníci, kteří jsou jmenovitě uvedeni v seznamu pracovníků schváleném ČNB (dále jen „seznam“). Tato povinnost se vztahuje i na posádky vozidel poskytovatele vjíždějících do garáží ČNB za účelem složení a naložení nákladu. Poskytovatel předloží seznam ČNB nejpozději pět pracovních dní před zahájením plnění.
Seznam bude obsahovat tyto položky: jméno, příjmení a číslo průkazu totožnosti každého z pracovníků poskytovatele. Poskytovatel se zavazuje zajistit, aby všichni jeho pracovníci uvedení v seznamu byli ještě před předložením seznamu ČNB proškoleni o podmínkách zpracování osobních údajů a o právech subjektů údajů ve smyslu obecného nařízení o ochraně osobních údajů – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Poskytovatel se zejména zavazuje, že všichni jeho pracovníci uvedení v seznamu budou nejpozději do okamžiku předložení seznamu ČNB poučeni:
o tom, že poskytovatel předá jejich osobní údaje v rozsahu: jméno, příjmení a číslo průkazu totožnosti České národní bance, sídlem Na Příkopě 28, Praha 1 v rámci plnění této smlouvy, a to za účelem ochrany práv a oprávněných zájmů ČNB (zajištění evidence osob vstupujících do budovy ČNB z důvodu ochrany majetku a osob a správy systému kontrol vstupů ČNB);
o veškerých právech subjektu údajů, která mohou uplatnit vůči poskytovateli a ČNB, zejména o právu na přístup k osobním údajům, které jsou o nich zpracovávány, právu na námitku proti zpracování osobních údajů, právu požadovat nápravu situace, která je v rozporu s právními předpisy, a to zejména formou zastavení nakládání s osobními údaji, jejich opravou, doplněním či odstraněním, jakož i o právu podat stížnost k Úřadu pro ochranu osobních údajů.
Za poučení svých pracovníků ponese poskytovatel vůči ČNB následně odpovědnost. V případě nesplnění povinnosti podle bodu 2. nahradí poskytovatel újmu, která v souvislosti s uvedeným ČNB vznikne, a to včetně případné nemajetkové újmy vzniklé poškozením dobrého jména a dobré pověsti, újmy vzniklé v důsledku postihu pravomocně uloženého ČNB správním nebo jiným k tomu oprávněným orgánem veřejné moci a újmy vzniklé ČNB v důsledku úspěšného uplatnění práv pracovníků poskytovatele vůči ČNB.
Požadavky na případné doplňky a změny schváleného seznamu je nutno neprodleně oznámit ČNB. Případné doplňky a změny seznamu podléhají schválení ČNB. Osoby neschválené ze strany ČNB nemohou vstupovat do objektů ČNB, přičemž ČNB si vyhrazuje právo neuvádět důvody jejich neschválení.
Poskytovatel uvede předem ty své pracovníky, pro které požaduje vystavení vstupních karet ke vstupu do objektů ČNB. Vystavení vstupních karet podléhá schválení ze strany ČNB. První vstupní karty budou vystaveny na náklady ČNB. Každé další vystavení vstupní karty bude zpoplatněno částkou 200 Kč (vč. DPH) s tím, že tato částka bude poskytovateli vyfakturována. Za vystavení nové vstupní karty nebude nutné platit v případech, kdy:
dosavadní karta přestane fungovat bez viditelného mechanického poškození,
dojde ke změně příjmení pracovníka,
byla karta odcizena a událost je doložitelná protokolem od Policie ČR.
Poskytovatel bude při zahájení činnosti pro ČNB vybaven základním počtem vstupních karet pro jednotlivé pracovníky podle schváleného seznamu. Vstupní karta umožní oprávněnému pracovníkovi poskytovatele samostatný vstup do vyhrazených prostor objektu ČNB a samostatný pohyb v nich. Každá vstupní karta bude nepřenosná a bude vydávána odborem bankovní bezpečnosti a krizového řízení ČNB.
Vstupní karty budou vydávány ze strany ČNB pro každého pracovníka poskytovatele jednotlivě proti podpisu, a to po předložení výpisu z rejstříku trestů, který nebude starší než tři měsíce. Výpis z rejstříku trestů bude pracovníkovi vrácen. Při převzetí vstupní karty bude dotčený pracovník poskytovatele poučen o způsobu používání vstupní karty a o režimu vstupu osob a vjezdu vozidel do objektů ČNB a o pohybu v nich.
Pracovník poskytovatele, kterému byla vydána vstupní karta, je povinen okamžitě po zjištění ztráty, odcizení, zneužití, zničení nebo poškození vstupní karty, které brání jejímu řádnému užívání, toto oznámit odboru bankovní bezpečnosti a krizového řízení ČNB.
Při ukončení pracovního poměru pracovníka poskytovatele uvedeného v seznamu nebo při ukončení plnění podle smlouvy je poskytovatel povinen neprodleně vrátit vstupní kartu dotčeného pracovníka odboru bankovní bezpečnosti a krizového řízení ČNB.
ČNB si vyhrazuje právo nevydat vstupní karty pracovníkům poskytovatele bez udání důvodu.
ČNB si vyhrazuje právo vstupní kartu pracovníkovi poskytovatele odebrat z důvodu porušení režimu vstupu osob a vjezdu vozidel do objektu ČNB nebo porušení režimu pohybu v něm.
ČNB si vyhrazuje právo vyřadit i schválené pracovníky poskytovatele ze seznamu bez udání důvodů. Schválení pracovníci musí dodržovat směrnice ČNB a pokyny ostrahy pro vstup do vyhrazených prostor a pro pobyt v nich.
Pracovníci poskytovatele jsou povinni podrobit se při každém vstupu do objektu ČNB bezpečnostní kontrole prováděné bankovními policisty.
ČNB si vyhrazuje právo nevpustit do objektů ČNB pracovníka poskytovatele, který je zjevně pod vlivem alkoholu, drog nebo jiné omamné látky.
Vstup do objektů ČNB se zvířaty je zakázán.
Vstup soukromých návštěv do vnitřních prostor objektů ČNB je zakázán. Pro tyto účely je možné využít určené návštěvní místnosti.
Poskytovatel je povinen zajistit, že jeho pracovníci budou vstupovat do prostorů ČNB
a zdržovat se v nich pouze ve firemním pracovním oděvu s viditelným nesnímatelným označením logem poskytovatele. Pracovní oděv musí být doplněn viditelně nošenou vstupní kartou vydanou ČNB každému pracovníkovi poskytovatele podle schváleného seznamu.Poskytovatel a jeho pracovníci budou věnovat při plnění podle této smlouvy v oblasti požární ochrany zvýšenou pozornost:
dodržování právních předpisů o požární ochraně,
předpisům ČNB při provádění požárně nebezpečných prací se zvýšeným požárním nebezpečím (svařování, řezání plamenem, pájení, broušení, rozbrušování apod.),
průrazům a průchodům u rozvodů instalací a technologií hranicemi požárních úseků, včetně zachování, obnovení nebo nového vyhotovení jejich protipožárních ucpávek.
Poskytovatel se zavazuje zajistit, že jeho pracovníci, jakož i pracovníci případných jeho poddodavatelů, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se v průběhu plnění seznámí a které nejsou veřejně známy.
Povinnost mlčenlivosti podle bodu 19. výše není časově omezena.
V případě mimořádné události se pracovníci poskytovatele musí řídit pokyny bankovních policistů nebo dozorujícího zaměstnance ČNB a dále instrukcemi vyhlašovanými vnitřním rozhlasem ČNB.
Pracovníci poskytovatele nesmí vnášet do prostor ČNB nebezpečné předměty, jako jsou střelné zbraně, výbušniny, hořlavé kapaliny, tlakové lahve apod. O tom, co je či není nebezpečný předmět, rozhodují bankovní policisté v souladu s vnitřními předpisy ČNB.
Fotografování a pořizování videozáznamů je ve všech prostorách objektů ČNB zakázáno. Výjimku tvoří pořizování dokumentace technických havárií a poruch. Konkrétní případ musí předem písemně povolit ředitel odboru bankovní bezpečnosti a krizového řízení nebo ředitel příslušné pobočky ČNB.
Ve všech prostorách objektů ČNB je přísný zákaz kouření a používání otevřeného ohně. O povolení k provedení požárně nebezpečné práce se zvýšeným požárním nebezpečím požádá poskytovatel písemnou formou dozorujícího zaměstnance ČNB, a to vždy nejpozději jeden pracovní den před zahájením prací.
Pracovníci poskytovatele se musí zdržet poškozování či odcizení majetku ČNB, a dále i jakéhokoli nevhodného chování vůči zaměstnancům a návštěvníkům ČNB.
Pracovníci poskytovatele uvedení na seznamu se musí před započetím výkonu práce v objektech ČNB prokazatelně seznámit s „Pravidly pro smluvní partnery ČNB k zajištění bezpečnosti a ochrany zdraví při práci, požární ochrany a ochrany životního prostředí v ČNB“ (dále jen „pravidla“). Pravidla předá v listinné formě zástupci poskytovatele požární a bezpečnostní technik ČNB. Zástupce poskytovatele s pravidly seznámí všechny dotčené pracovníky poskytovatele.
ČNB je oprávněna v objektu ČNB kdykoliv podrobit kontrole kteréhokoliv pracovníka poskytovatele uvedeného na seznamu ohledně dodržování požární ochrany, bezpečnosti práce a všech výše uvedených ustanovení.
Příloha č. 2
Obecná pravidla pro dodavatele v oblasti bezpečnosti IT
Pokud jsou tato obecná pravidla v rozporu s ustanovením textu smlouvy nebo zadávací dokumentace nebo její jinou přílohou, má přednost ustanovení textu smlouvy nebo zadávací dokumentace nebo její jiná příloha.
Dodavatel je povinen zajistit, že jeho pracovníci či poddodavatelé a jejich pracovníci, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně dostupné. Povinnost mlčenlivosti není časově omezena.
Dodavatel je rovněž povinen chránit informace, které nejsou veřejně dostupné, zejména předanou dokumentaci, před jejich prozrazením a/nebo zpřístupněním neoprávněným osobám a dále použít získané informace výhradně pro účely plnění smlouvy s ČNB.
Dodavatel nemá vzdálený přístup k systémům a do počítačové sítě ČNB.
Pracovníci dodavatele, kteří budou samostatně přistupovat k informačním systémům a systémovému prostředí ČNB, se před nebo při prvním přístupu musí seznámit s bezpečnostními požadavky a svými povinnostmi vyplývajícími z vnitřních předpisů ČNB.
Dodavatel a jeho pracovníci nejsou oprávněni:
obcházet bezpečnostní mechanizmy prostředků výpočetní techniky;
sdělovat své přístupové údaje k systémům ČNB;
sdílet přístup k systémům ČNB (umožnit jinému pracovat pod uživatelovým oprávněním);
provádět akce požadované třetí osobou (instalace softwaru, návštěva webových stránek apod.) bez ověření oprávněnosti požadavku.
Dodavatel a jeho pracovníci jsou povinni:
okamžitě nahlásit sekci informatiky, pokud identifikují možnost obejití bezpečnostních mechanizmů prostředků výpočetní techniky. To neplatí pro dodavatele a uživatele, jejichž předmět smlouvy nebo pracovní náplň obsahuje tuto činnost;
při opuštění pracovní stanice stanici uzamknout (např. vytažením multifukčního průkazu ze stanice) nebo se odhlásit a ověřit, že k odhlášení/uzamčení opravdu došlo;
bezpečně zlikvidovat nepotřebná výměnná média (např. CD/DVD, flash disk, paměťová karta) prostřednictvím služby HelpDesku;
bez prodlení odebrat z tiskárny vytištěné dokumenty, popřípadě pro zajištění důvěrnosti použít zabezpečený tisk, pokud to nastavení tiskárny umožňuje;
v případě detekce viru nebo podezření na přítomnost škodlivého kódu neprodleně kontaktovat HelpDesk a stanici kompletně prověřit antivirovým programem za případné spolupráce HelpDesku.
Pracovníci dodavatele nesmí:
zaznamenávat heslo tak, aby mohlo být snadno identifikováno (týká se i zapisování do elektronických dokumentů, např. Notepad). Pro uchování je možné použít například bezpečné úložiště na čipové kartě uživatele (SmartNotes);
používat stejná hesla v systémech ČNB a pro přístup do dalších systémů a aplikací mimo ČNB (např. soukromá e-mailová schránka, Facebook, LinkedIn).
Pracovníci dodavatele nejsou oprávněni:
používat soukromou e-mailovou schránku pro činnosti související s plněním dle smlouvy, kromě výjimečné situace, která nesnese odkladu a při níž hrozí nebezpečí z prodlení v případě nedostupnosti nebo poruchy pracovního e-mailu;
nastavovat automatické přeposílání e-mailů z pracovní e-mailové adresy mimo systémové prostředí ČNB;
ukládat jiné než veřejné informace mimo úložiště pod správou ČNB (případně pod správou smluvně zajištěného partnera), zejména do cloudových služeb (např. xxxx.xx, xxxxxxxxxxxx.xx, Google Disk, Microsoft OneDrive a další).
Dodavatel a jeho pracovníci nejsou oprávněni:
nepovoleně používat, kopírovat a šířit software, jako např.:
instalovat nebo spouštět na počítačích ČNB soukromě pořízený software (včetně softwaru licencovaného na uživatele jako soukromou osobu);
instalovat nebo spouštět na počítačích ČNB z internetu stažený software (včetně komerčního software, software typu shareware, freeware, public domain a software licencovaného modelem GPL – General Public Licence). To neplatí v případech, kdy předmět smlouvy obsahuje tuto činnost;
instalovat či přenášet software ve vlastnictví ČNB na jiné počítače ČNB, na své soukromé počítače nebo na počítače třetích stran nebo pořizovat kopie softwaru instalovaného v počítači ČNB. To neplatí
pro situace výslovně schválené a popsané v jiném vnitřním předpisu (např. vzdálený přístup ze zařízení, které není ve vlastnictví ČNB) a
v případech, kdy předmět smlouvy obsahuje tuto činnost;
používat nebo poskytnout neoprávněně jiným uživatelům sériová čísla, licenční klíče, hardwarové klíče nebo jiné technické prostředky sloužící k zajištění ochrany nebo jednoznačné identifikaci vlastníka licence softwaru získané v ČNB;
bránit spouštění nástrojů sloužících pro automatizované kontroly nainstalovaného a spouštěného softwaru a provádět činnosti, které by vedly ke zkreslení získaných dat z těchto nástrojů.
Archivace elektronické pošty
Zpráva zaslaná tak, že alespoň jedním z adresátů zprávy je emailová adresa ...@xxx.xx, se ukládá současně s přijetím i do dlouhodobého archivního úložiště.
Veškeré zprávy odesílané z emailové adresy ...@xxx.xx se ukládají do dlouhodobého archivního úložiště současně s odesláním.
Kontrola přístupu na Internet
Z důvodu zvláštní povahy činnosti ČNB a z toho plynoucí povinnosti zajištění bezpečnosti informačních systémů ČNB, z nichž některé jsou součástí kritické informační infrastruktury státu, jsou přístupy uživatelů na Internet automaticky zaznamenávány na úrovni domén 2. řádu (tj. např. xxxxx.xx).
Příloha č. 3
Podrobná specifikace předmětu plnění
Činnosti uvedené v čl. I odst. 1 písm. a) této smlouvy budou probíhat na systémovém prostředí sestávajícím z následujících technologií/produktů (uvedeny pouze vybrané položky):
Operační systém: Windows server 2008 R2, Windows server 2016, Windows 7, Windows 10, Red Hat Enterprise Linux 5/6/7
Databáze: Oracle DB 11/12, MSSQL
Aplikační servery: Oracle Application Server, WebLogic
Webové servery: Apache, Tomcat, Oracle HTTP Server, Microsoft IIS
Virtualizace: VMWare, OracleVM, Citrix XenApp
Pracovník poskytovatele při plnění využívá své vlastní zařízení (notebook), které bude připojeno do vnitřní sítě ČNB, pokud nebude dohodnuto jinak. Pracovník poskytovatele je povinen zajistit důvěrnost dat uložených na tomto zařízení pomocí šifrování pevného disku.
Pokud je to pro daný audit nutné, bude pracovník poskytovatele vybaven přístupovým oprávněním pro testované prvky/IS a dodatečnými informacemi o testovaných prvcích/IS. Pracovník je povinen uchovávat přístupové údaje a další informace o testovaných prvcích/IS v tajnosti.
Pro každý audit bude pracovník poskytovatele vybaven přesným vymezením testovaných prvků/IS buď ve formě IP adres, doménových jmen, nebo jiným vymezením rozsahu (části) aplikace/infrastruktury.
Během auditu bude pracovník poskytovatele průběžně informovat pověřenou osobu objednatele o plánovaných dílčích testech a jejich výsledcích. Pokud dojde k nalezení vysoce rizikové zranitelnosti, pracovník poskytovatele informuje pověřenou osobu objednatele neprodleně.
Před provedením testů, které by mohly mít dopad na dostupnost či integritu testovaných prvků/IS, je pracovník poskytovatele povinen další postup konzultovat s pověřenou osobou objednatele a pokračovat pouze po získání jejího souhlasu.
Po skončení auditu a vytvoření závěrečné zprávy pracovník poskytovatele buď veškerá data získaná během auditu smaže, nebo uloží do bezpečného úložiště s řízeným přístupem. Zejména tato data nesmí zůstávat na zařízení, které bylo využíváno po dobu auditu.
Pokud bude zařízení pracovníka poskytovatele odnášeno během auditu mimo prostory ČNB, je nezbytné vždy konzultovat rozsah a obsah dat, která se nachází na tomto zařízení, s pověřenou osobou objednatele.
Celý proces auditu bude pracovníkem poskytovatele dokumentován. Zaznamenány budou jednotlivé kroky v dostatečné podrobnosti a s časovými značkami. Také budou vytvořeny logy z využitých nástrojů (těch, které toto podporují). Tato dokumentace bude předána objednateli společně se závěrečnou zprávou.
Na vyžádání poskytovatel poskytne závěrečnou formální prezentaci výsledků auditu v sídle objednatele.
Příloha č. 4
Ujednání o zpracování osobních údajů
(dále také jen „Ujednání“)
Smluvní strany se dohodly na tomto Ujednání, které naplňuje požadavky stanovené pro smlouvu o zpracování osobních údajů podle ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).
1. Úvodní ustanovení
1.1. Česká národní banka (dále též „správce“) v souladu se smlouvou o poskytování služeb bezpečnostních auditů informačních systémů, evidenční číslo smlouvy ČNB: 00-000-00 (dále jen „smlouva“) určuje účel a prostředky zpracování osobních údajů zaměstnanců objednatele (dále jen „interní uživatelé“) a případných dalších uživatelů informačních systémů v systémovém prostředí správce (dále jen „externí osoby“) (společně dále jen „subjekty údajů“) a je tedy v postavení správce osobních údajů ve smyslu čl. 4 odst. 7 GDPR.
1.2. __________ (bude doplněno před uzavřením smlouvy s vybraným dodavatelem) (dále též „zpracovatel“) bude na základě smlouvy zpracovávat osobní údaje subjektů údajů a bude ve vztahu ke správci v postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 GDPR.
2. Předmět Ujednání
Toto Ujednání upravuje vztahy mezi správcem a zpracovatelem a určuje jejich práva a povinnosti při zpracování osobních údajů zpracovatelem a v souvislosti s ním, zejména pak vymezuje rozsah osobních údajů, které bude zpracovatel zpracovávat, prostředky a účel, pro který bude osobní údaje zpracovávat, dobu zpracování osobních údajů, jakož i podmínky a záruky zpracovatele z hlediska technického a organizačního zabezpečení ochrany osobních údajů tak, aby zpracování probíhalo v souladu s právními předpisy v oblasti ochrany osobních údajů.
3. Účel zpracování a rozsah zpracovávaných osobních údajů
3.1. Zpracovatel bude zpracovávat osobní údaje subjektů údajů pouze v rozsahu nezbytném pro zajištění realizace smlouvy. Za osobní údaje jsou podle tohoto Ujednání považovány informace uvedené ve výčtu v odstavci 3.2 tohoto Ujednání („osobní údaje“).
3.2. Zpracovatel bude zpracovávat osobní údaje předané ze strany správce pro účely zajištění bezpečnostních auditů pouze v následujícím rozsahu nezbytném pro výkon práv a povinností podle smlouvy:
jméno a příjmení subjektů údajů;
osobní číslo interních uživatelů;
uživatelské jméno subjektů údajů;
e-mailovou adresu subjektů údajů (pracovní e-mailovou adresu, v případě uvedení ze strany externích uživatelů i soukromou e-mailovou adresu);
telefonní číslo subjektů údajů (pracovní telefonní číslo, v případě uvedení ze strany externích uživatelů i soukromé telefonní číslo).
3.3. Zpracovatel bude osobní údaje zpracovávat následujícími způsoby ve smyslu čl. 4 odst. 2 GDPR: sběrem od správce, shromážděním, zaznamenáním, uspořádáním, uložením a také jejich výmazem nebo jiným způsobem v souvislosti s účelem zpracování osobních údajů podle odstavce 3.2 tohoto Ujednání.
3.4. Zpracovatel je ve všech případech při zpracování osobních údajů vázán prokazatelnými pokyny správce. Zpracovatel nesmí bez předchozího prokazatelného výslovného souhlasu anebo pokynu správce zpracovávané osobní údaje upravit nebo pozměnit, třídit nebo kombinovat, zpřístupnit ani předat třetí osobě, šířit ani zveřejňovat, ani jakýmkoli způsobem použít pro vlastní potřebu.
4. Doba zpracování
4.1. Zpracovatel bude osobní údaje zpracovávat po dobu nezbytnou pro účel zajištění realizace smlouvy.
4.2. Po uplynutí doby zpracování podle odstavce 4.1 tohoto Ujednání bude zpracovatel osobní údaje zpracovávat v souladu s čl. 6 odst. 1 písm. c) a f) GDPR pouze v nezbytném rozsahu a výhradně za účelem plnění právními předpisy uložených povinností a ochrany práv a právem chráněných zájmů správce, zpracovatele, příjemce nebo jiné dotčené osoby, a to nejdéle po dobu vyplývající z příslušných zvláštních právních předpisů.
5. Práva a povinnosti smluvních stran
5.1. Správce pověřuje zpracovatele zpracováním osobních údajů výhradně za účelem podle odstavce 3.2 tohoto Ujednání.
5.2. Osobní údaje nebudou zpracovatelem zpracovávány ani s nimi nebude nakládáno jinak, než pouze za účelem, pro který byly osobní údaje zpracovateli poskytnuty, a vždy v souladu s pokyny správce; to platí i pro zpřístupnění či poskytnutí osobních údajů třetí osobě nebo předání mimo území EU.
5.3. Zpracovatel je povinen při každém případném využití cloudové služby předem informovat správce o tom, ve kterých zemích budou zpracovávané osobní údaje umístěny, a to i v případě jakékoli změny. Zařízení, na nichž budou osobní údaje uchovávány nebo jinak zpracovávány, se budou nacházet výlučně v zemích EU a osobní údaje budou předávány a uchovávány pouze v těchto zemích. Zpracovatel je zároveň povinen zajistit zpracování osobních údajů správce odděleně od případných osobních údajů jiných klientů zpracovatele.
5.4. Zpracovatel je povinen zabezpečit osobní údaje a zachovávat mlčenlivost o osobních údajích a řídit se pokyny správce ve všech případech, kdy se jedná o zpracování či zabezpečení osobních údajů. Zpracovatel přijme technická, organizační a personální opatření adekvátní způsobu zpracování a v souladu s pokyny správce – přičemž toto zabezpečení bude odpovídat příslušným aktuálním používaným bezpečnostním standardům (podrobněji v odstavci 5.5 a násl. tohoto Ujednání).
5.5. Správce stanoví opatření, která považuje za dostatečná pro technické a organizační zabezpečení osobních údajů následovně:
Technické zabezpečení osobních údajů bude zajištěno pomocí prostředků:
(i) počítačové bezpečnosti; zpracovatel se zavazuje ke zpracování používat výhradně takové technické a programové prostředky, jejichž používání při vyloučení nepředvídatelných okolností eliminuje možnost narušení, ztráty, zničení či poškození osobních údajů, neoprávněného přístupu k nim, či neoprávněného nakládání s osobními údaji;
(ii) komunikační bezpečnosti; zpracovatel se zavazuje dodržovat taková opatření k zabezpečení ochrany osobních údajů při jejich přenosu telekomunikačními kanály (včetně datových nosičů), jejichž povaha eliminuje při vyloučení nepředvídatelných okolností možnost narušení (šifrování);
(iii) fyzické bezpečnosti; v tomto ohledu zpracovatel prohlašuje, že místo, ve kterém budou osobní údaje zpracovávány a ve kterém budou uchovávány spisy a dokumenty, bude mít charakter prostoru zabezpečeného před možností narušení bezpečnosti.
Zpracovatel bude plnit všechny povinnosti stanovené v tomto ustanovení písm. a) využíváním prostředků odpovídajících dosaženému stupni technického pokroku a nárokům odborné péče.
Organizační zabezpečení:
osobní údaje budou zpřístupněny pouze určeným osobám z oprávněného personálu zpracovatele a případně oprávněným osobám, které odpovídají za zajištění bezpečnosti systému, kde jsou osobní údaje uloženy, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
zpracovatel je povinen zabezpečit poučení osob, které mají v rámci zpracování osobních údajů přístup k těmto údajům, aby všechny tyto osoby byly řádně poučeny o svých povinnostech při zpracovávání osobních údajů, zejména pak o povinnosti mlčenlivosti ve vztahu k těmto osobním údajům.
Dále je zpracovatel povinen:
zabránit neoprávněným osobám v přístupu k osobním údajům a k prostředkům pro jejich zpracování, a také zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
5.6. Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany osobních údajů v souladu s právními předpisy, zejména s GDPR a dalšími předpisy v oblasti ochrany osobních údajů, jakož i provádět nejméně jednou ročně hodnocení efektivnosti přijatých opatření, a to včetně vedení a zpřístupnění následující dokumentace:
seznamu osob, které jsou oprávněny přistupovat k osobním údajům (včetně rozsahu oprávnění);
elektronického přehledu informací o veškerých přístupech jednotlivých osob k osobním údajům.
5.7. Zpracovatel bude neprodleně písemně informovat správce v případě jakýchkoliv potíží při plnění povinností vyplývajících z tohoto Ujednání, jakož i o všech okolnostech týkajících se porušení povinností při zpracování a ochraně osobních údajů, zejména o případech, kdy dojde k náhodnému nebo protiprávnímu zničení, ztrátě či změně zpracovávaných osobních údajů nebo neoprávněnému poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. V takovém případě zpracovatel přijme v nejkratším možném termínu veškerá nezbytná opatření k zajištění dostatečné ochrany osobních údajů, notifikuje správce o těchto skutečnostech prostřednictvím kontaktních osob uvedených ve smlouvě a následně postupuje v souladu s GDPR a pokyny správce, budou-li mu sděleny.
5.8. V případě, že v souvislosti se zpracováním osobních údajů zpracovatelem bude zahájeno řízení ze strany orgánu veřejné správy, zpracovatel poskytne správci v těchto řízeních veškerou potřebnou součinnost.
5.9. Zpracovatel je správci na jeho žádost nápomocen při posuzování vlivu zpracovávání osobních údajů na ochranu osobních údajů a při konzultacích správce s dozorovým orgánem, při zohlednění povahy zpracovávání a informací, jež má zpracovatel k dispozici.
5.10. Zpracovatel nezapojí do zpracovávání osobních údajů dalšího zpracovatele bez předchozího písemného povolení správce. V případě, že jakákoliv část zpracovávání osobních údajů bude vykonávaná dalším zpracovatelem po předchozím písemném povolení správce, zůstává zpracovatel plně odpovědný vůči správci za zpracovávání osobních údajů.
5.11. Správce je oprávněn kontrolovat dodržování pravidel stanovených pro zpracování v GDPR či v tomto Ujednání u zpracovatele, resp. i na jiném místě, kde dochází ke zpracování osobních údajů. Zpracovatel za tímto účelem zajistí zástupcům správce, kteří budou provedením kontroly pověřeni, přístup ke všem relevantním informacím a na všechna příslušná místa tak, aby mohlo být řádně provedeno hodnocení oprávněnosti zpracování. Zpracovatel poskytne správci na jeho vyžádání veškeré podklady o přijatých a provedených technických a organizačních opatřeních k zajištění ochrany osobních údajů.
5.12. Po ukončení poskytování služeb podle smlouvy zpracovatel neprodleně vrátí veškeré osobní údaje správci, s výjimkou údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.
6. Odpovědnost za újmu a smluvní pokuty
6.1. Článek 6 upravuje odpovědnost za újmu a nárok na smluvní pokuty v případě porušení podmínek tohoto Ujednání. Znění tohoto článku 6 se nevztahuje na smluvní pokutu a úrok z prodlení podle článku X smlouvy, ve znění pozdějších dodatků, jehož platnost a účinnost zůstává v plném rozsahu zachována.
6.2. Zpracovatel se zavazuje nahradit správci jakoukoliv újmu, včetně nemajetkové, která vznikne z důvodu porušení tohoto Ujednání ze strany zpracovatele. V tomto závazku zpracovatele je zahrnuta i povinnost odškodnit správce za (i) jakékoliv nároky, a to zejména zadostiučinění, peněžité náhrady nebo pokuty, úspěšně uplatněné v soudním popř. správním řízení, ze strany třetích osob, (ii) za správní pokuty uložené správci pravomocně dozorovým orgánem, nebo (iii) jakoukoli újmu utrpěnou poškozením dobré pověsti v příčinné souvislosti s porušením povinností stanovených právními předpisy nebo tímto Ujednáním ze strany zpracovatele.
6.3. Pokud dojde k porušení GDPR nebo jiných právních předpisů v oblasti ochrany osobních údajů pouze v důsledku jednání té smluvní strany, které je v souvislosti s tímto porušením uložena správní pokuta, hradí náklady na uhrazení správní pokuty plně ta strana, která GDPR nebo jiný právní předpis v oblasti ochrany osobních údajů prokazatelně porušila a jíž současně byla uložena pokuta.
6.4. V případě, že zpracovatel správci neumožní kontrolu ohlášenou v souladu s odstavcem 5.11 tohoto Ujednání, anebo během kontroly správci neposkytne pro předmět kontroly potřebnou součinnost, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den takto trvajícího prodlení na straně zpracovatele.
6.5. Zpracovatel je povinen odstranit kontrolou zjištěné nedostatky ve lhůtě 5 dnů, není-li mezi zpracovatelem a správcem dohodnuto jinak. V případě, že zpracovatel neodstraní kontrolou zjištěné nedostatky, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1 000 Kč za každý započatý den prodlení na straně zpracovatele.
6.6. V případě, že zpracovatel poruší kteroukoli z povinností sjednaných v čl. 5 (vyjma odstavce 5.11) tohoto Ujednání, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5 000 Kč za každý jednotlivý případ takového porušení.
6.7. Ujednáním o smluvní pokutě podle tohoto článku není dotčeno právo správce na náhradu škody vzniklé z porušení povinnosti.
6.8. Zpracovatel prohlašuje, že má platně uzavřeno pojištění v dostatečném rozsahu pro případ škody vzniklé porušením jeho povinností z tohoto Ujednání, a bude jej udržovat po celou dobu trvání závazků z tohoto Ujednání.
7. Trvání závazků
7.1. Závazek ke zpracování osobních údajů se sjednává pouze na dobu existence závazkového vztahu vzniklého ze smlouvy, nejpozději do dne likvidace posledního zpracovávaného osobního údaje zpracovatelem ve smyslu povinnosti zlikvidovat osobní údaje podle příslušných ustanovení GDPR.
7.2. V případě ukončení smlouvy předá zpracovatel veškeré osobní údaje správci na dohodnutém datovém nosiči a následně neprodleně zlikviduje veškeré záznamy (s výjimkou upravenou v odstavci 4.2 tohoto Ujednání) v jím spravovaných datových úložištích a na datových nosičích, včetně provozně-bezpečnostních záloh zpracovatele i datových záloh uložených u jeho případného poddodavatele
8. Další ujednání
8.1. Smluvní strany se zavazují vstoupit v jednání o doplnění tohoto Ujednání, pokud vyjde najevo potřeba takového doplnění zejména s ohledem na nově přijaté právní předpisy, stanoviska dozorových orgánů, nebo rozhodování soudních či správních orgánů, a poskytnout si veškerou potřebnou součinnost ke sjednání dodatku smlouvy, pokud bude pro potřeby plnění požadavků obecného nařízení či jiných právních předpisů potřebný.
8.2. Za písemnou formu se pro účely tohoto Ujednání nepovažuje e-mailová ani jiná elektronická forma. Výjimkou je situace, v níž zpracovatel informuje správce ve smyslu odstavce 5.7 (potíže při plnění povinností vyplývajících z tohoto Ujednání a okolnosti týkající se porušení povinností při zpracování a ochraně osobních údajů), a také oznámení kontroly ve smyslu odstavce 5.11, které lze provést i elektronickým oznámením prokazatelně doručeným druhé smluvní straně. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e‑mailovou adresu ______ (bude doplněno před uzavřením smlouvy s vybraným dodavatelem) určenou pro tento účel zpracovatelem.
10