Smlouva o poskytování služeb „Zajištění akreditačního systému pro předsednictví ČR v Radě EU v roce 2022“ uzavřená dle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)

Úřad vlády České republiky

Číslo smlouvy objednatele: 21/127-0

Č.j. 13813/2021-UVCR-39

Smlouva o poskytování služeb

„Zajištění akreditačního systému pro předsednictví ČR v Radě EU v roce 2022“

uzavřená dle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)

Česká republika - Úřad vlády České republiky

kterou zastupuje: Xxxxx Xxxxxxxxx, M.A. ředitelka Odboru pro předsednictví ČR v Radě EU, na základě vnitřního předpisu

se sídlem: nábř. X. Xxxxxx 128/4, 118 01 Praha 1 - Malá Strana

IČO: 00006599

DIČ: CZ00006599

bankovní spojení: ČNB Praha, účet č.: XXXXX

kontaktní osoba: Xx. Xxx Xxxxx, tel. XXXXX

(dále jen „objednatel“)

a

MAGICWARE, společnost s ručením omezeným

Zastoupená: Ing. Xxxxxxx Xxxxxxxxx, Jednatelem

Se sídlem: Krohova 2212/75, 160 00 Praha 6 Dejvice

IČO: 625 76 836

DIČ: CZ625 76 836

Bankovní spojení: Československá obchodní banka, a.s., číslo účtu: XXXXX

zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 32719

(dále jen „poskytovatel“)

nebo též jako “smluvní strany”, a/nebo jednotlivě “smluvní strana”.

uzavřely na základě rozhodnutí zadavatele o výběru dodavatele v zadávacím řízení na veřejnou zakázku na služby s názvem „Zajištění akreditačního systému pro předsednictví ČR v Radě EU v roce 2022“ (dále jen „veřejná zakázka“ nebo “akreditační systém”) zadávanou v otevřeném nadlimitním řízení podle § 56 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), sp. zn. 13813/2021-UVCR ve smyslu podmínek a ustanovení uvedených v kompletní zadávací dokumentaci a v souladu s nabídkou poskytovatele níže uvedeného dne, měsíce a roku v souladu s § 1746 odst. 2 občanského zákoníku tuto smlouvu o poskytování služeb „Zajištění akreditačního systému pro předsednictví ČR v Radě EU v roce 2022” (dále jen „smlouva“).

Článek I.

Účel smlouvy

Výše uvedené smluvní strany uzavírají tuto smlouvu na základě výsledků zadávacího řízení pro nadlimitní veřejnou zakázku s názvem „Zajištění akreditačního systému pro předsednictví ČR v Radě EU v roce 2022“. V rámci tohoto zadávacího řízení vystupoval objednatel v pozici zadavatele a poskytovatel v pozici dodavatele, jehož nabídka byla na základě provedeného hodnocení vybrána jako nejvhodnější.

Účelem smlouvy je nalezení, vytvoření a poskytnutí konkrétního softwarového řešení a hardwarového řešení akreditačního systému vč. zabezpečeného hostingu pro akce objednatele konané v rámci předsednictví ČR v Radě EU v roce 2022 (dále také jen „služby“), přičemž podrobná specifikace předmětu smlouvy je uvedena v příloze č. 1 této smlouvy.

Účelem smlouvy je tedy zajistit objednateli akreditační systém, prostřednictvím kterého se budou akreditovat účastníci jednotlivých akcí konaných na území ČR během CZ PRES 2022. Nad rámec toho akreditační systém musí umožnit zadávat služby související s organizačním a logistickým zajištěním zasedání (tj. např. logistika přepravy delegátů pomocí oficiálních konvojů, zajištění cateringu, ubytování delegátů, přehled doprovodného programu zasedání). U vybraných akcí budou data ze systému také využívána bezpečnostními složkami ČR za účelem prověřování osob.

Článek II.

Předmět smlouvy

1. Předmětem smlouvy (nebo též “akreditačního systému”) je závazek poskytovatele přinést objednateli veškeré hardwarové a softwarové řešení akreditačního systému v české a anglické jazykové mutaci, včetně aplikační podpory systému a veškerých souvisejících služeb a činností, přičemž podrobná specifikace těchto služeb je uvedena dále v této smlouvě, zejména v příloze č. 1, a závazek objednatele převzít řádně a včas poskytnuté služby a platit za ně sjednanou cenu.

Předmětem smlouvy je tak zajištění komplexních služeb poskytovatele, konkrétně poskytnutí, inicializace, otestování a odzkoušení provozu celého systému, průběžné poskytování technické podpory a údržby a dále úprav a rozvoje programového vybavení, jež slouží k podpoře činností akreditačního systému po celou dobu platnosti této smlouvy. Jednotlivé služby, systémy, aplikace a hardware, jež jsou předmětem plnění, jsou podrobně popsány v obecné technické specifikaci, která tvoří přílohu č. 1 této smlouvy.

2. Poskytovatel je povinen dle přílohy č. 2, této smlouvy zajistit dodržení časového harmonogramu. Poskytovatel je povinen u fází zmíněných v příloze č. 2, této smlouvy předložit předávací protokoly, které musí odsouhlasit pověřený zaměstnanec objednatele.

3. Na vyžádání objednatele budou probíhat jednání zaměstnanců objednatele a poskytovatele uvedených v čl. XVII této smlouvy, jejichž předmětem bude průběžné vyhodnocování průběhu plnění smlouvy či řešení případných nedostatků systému.

4. Poskytovatel se zavazuje objednateli předat do 8 týdnů po podepsání této smlouvy beta verzi systému customizovanou o požadavky dle přílohy č. 1 této smlouvy. Toto předání bude potvrzeno předávacím protokolem.

5. Po představení beta verze dle přílohy č. 2 této smlouvy se poskytovatel zavazuje zapracovat případné drobné dílčí změny systému, které budou poskytovateli předány objednatelem v písemné formě. Poskytovatel se zavazuje upozornit objednatele v případě, že by požadované drobné dílčí změny systému byly neúčelné či nevhodné, a mohly mít negativní dopad na předmět plnění této smlouvy.

6. Poskytovatel se zavazuje odstranit závady, které budou objeveny v rámci obou testovacích fází uvedených v příloze č. 2, této smlouvy.

7. Poskytovatel se zavazuje poskytnout školení všem určeným zaměstnancům gestorů akcí dle přílohy č. 1 této smlouvy.

8. Poskytovatel se zavazuje předat systém do plného ostrého provozu nejpozději do 1. dubna 2022. Toto předání bude potvrzeno předávacím protokolem, který bude nutno nechat odsouhlasit pověřeným zaměstnancem objednatele.

9. Poskytovatel je povinen zřídit helpdesk dle požadavků vyplývajících ze specifikace předmětu plnění v příloze č. 1 této smlouvy.

10. Poskytovatel odpovídá za bezproblémové a kompletní plnění předmětu této smlouvy, které je popsáno v příloze č. 1 této smlouvy.

11. Poskytovatel se zavazuje mezi 1. lednem 2023 a 31. lednem 2023 bezpečně ukončit provoz systému a bezpečně zlikvidovat všechna data, se kterými systém pracoval. O této skutečnosti bude informovat předávacím protokolem se záznamem o bezpečné likvidaci veškerých dat. Objednatel je oprávněn provést samostatnou kontrolu a speciální audit bezpečné likvidace veškerých dat u poskytovatele, a to buď prostřednictvím svých vlastních odborných kapacit nebo prostřednictvím externího odborníka či znalce, a to nejpozději do 31.12.2023. Poskytovatel je povinen realizovat plnou součinnost objednateli při případné samostatné kontrole nebo speciálním auditu bezpečné likvidace veškerých dat.

12. Poskytovatel se zavazuje vždy nejméně 3 dny před každou vrcholnou akcí v rámci předsednictví ČR v radě EU v období od 01.06.2022 do 31.12.2022 akreditační systém vždy mimořádně odzkoušet po všech provozních, resp. funkčních stránkách a připravit jeho plnou použitelnost na každou vrcholnou akci¹. O plné připravenosti a mimořádném odzkoušení akreditačního systému poskytovatel v každém jednotlivém případě neprodleně stručně písemně informuje objednatele prostřednictvím kontaktní osoby objednatele, a to vždy v době nejméně 48 hodin před samotným zahájením každé vrcholné akce. Pro případ porušení povinností poskytovatele odzkoušet po všech provozních, resp. funkčních stránkách akreditační systém a připravit jeho plnou použitelnost na každou vrcholnou akci, poskytovatel uhradí objednateli smluvní pokutu ve výši 100.000 Kč za každé mimořádné neodzkoušení akreditačního systému na každou jednotlivou vrcholnou akci. Poskytovatel se dále zavazuje 3 dny před konáním každé vrcholné akce a po celou dobu konání každé vrcholné akce neprodleně vyřešit a zcela odstranit nahlášené závady v provozu akreditačního systému, které brání řádnému použití předmětu plnění smlouvy, po všech provozních, resp. funkčních stránkách a obnovit jeho plnou použitelnost nejpozději do 4 hodin od nahlášení problému (závady nebo vady). Pro případ porušení povinností poskytovatele vyřešit nahlášené závady v provozu akreditačního systému a obnovit plnou funkčnost předmětu plnění smlouvy do 4 hodin od nahlášení problému uhradí poskytovatel smluvní pokutu objednateli ve výši 10.000 Kč za každou další započatou hodinu nefunkčnosti systému. V časovém období nejméně 3 dny před konáním každé vrcholné akce a po celou dobu konání každé vrcholné akce bude help-line a plná podpora poskytovatele provozována v režimu 24 hodin každý den. Případné časové upřesnění termínů jednotlivých vrcholných akcí sdělí objednatel poskytovateli nejpozději 4 týdny před konáním každé jednotlivé vrcholné akce. Vrcholnou akcí se pro účely této smlouvy rozumí akce s účastí premiéra (prezidenta), ministrů či nejvyšších představitelů evropských institucí. Sankce dle tohoto článku Smlouvy jsou mimořádnými a zcela samostatnými sankcemi, kterými je zatížen poskytovatel, a nemají jakýkoliv vliv a význam na uplatňování dalších řádných sankčních mechanismů dle dalších ustanovení této smlouvy (existuje zde tedy možnost kumulace jednotlivých sankcí).

Článek III.

Doba a místo poskytování služeb, předání a převzetí poskytnutých služeb

1. Poskytovatel je povinen zahájit realizaci služeb dnem nabytí účinnosti této smlouvy uveřejněním v Registru smluv s tím, že dle časového harmonogramu, obsaženého v příloze č. 2, této smlouvy, bude poskytovatelem realizováno intenzivní zaškolování a předávání veškerých informací o akreditačním systému u objednatelem určených osob. Nejzazší termín zahájení ostré verze provozu akreditačního systému je 1. duben 2022. Bližší časový harmonogram jednotlivých činností je přesně vymezen v příloze č. 2 této smlouvy.

2. Tato smlouva se uzavírá na dobu určitou, která je vymezena dnem nabytí její účinnosti a ukončena k 31. lednu 2023. V průběhu ledna 2023 musí proběhnout řádné ukončení systému a bezpečné zničení veškerých dat shromážděných za dobu používání systému.

3. Místem poskytování služeb je Praha.

4. Poskytovatel se zavazuje provést dodávku a související služby dle této smlouvy v souladu s časovým harmonogramem, uvedeným v příloze č. 2, této smlouvy.

Článek IV.

Cena a platební podmínky

1. Celková cena za předmět plnění činí 2.670.000 Kč bez DPH, tj. 3.230.700 Kč s DPH. Celkovou a pro účely fakturace rozhodnou cenou se rozumí cena včetně DPH.

Celková cena za předmět plnění je zároveň uvedena v položkovém členění v příloze č. 3, této smlouvy a je tvořena součtem jednotlivých položek pod číslem 1 až 7.

Cena plnění za 1 hodinu poskytování služeb dalšího rozvoje systému nad rámec služeb pod položkami č. 1 až 6, která činí 3.300 Kč bez DPH, tj. 3.993 Kč s DPH.

2. Při předání každého dílčího plnění dle harmonogramu v příloze č. 2 této smlouvy bude poskytovatelem a objednatelem podepsán protokol o předání a převzetí prací (dále jen “Protokol”), potvrzující, že splnění proběhlo bez vad. Protokol bude vyhotoven ve dvou výtiscích a poskytovatel a objednatel si ponechá jedno paré. Pokud objednatel shledá Protokol poskytovatele jako neúplný či nesprávně zpracovaný, je poskytovatel povinen provést jeho opravu do podoby akceptovatelné objednatelem, a to do 5 pracovních dnů od zjištění závady.

3. Objednatel je oprávněn neakceptovat plnění, případně jeho část, nebude-li splňovat podmínky stanovené v této smlouvě. V takovém případě je objednatel oprávněn pozastavit úhradu faktur, a to až do doby řádného splnění předmětu smlouvy, resp. jeho části.

4. Na základě odsouhlasení protokolu o předání systému do ostrého a plného provozu dle definice obsažené v příloze č. 2, této smlouvy objednatel uhradí poskytovateli částku ve výši 1.292.280 v Kč s DPH, která je rovna 40 % celkové ceny dle této smlouvy. Zbylou částku ve výši 1.938.420 v Kč s DPH, která je rovna 60 % z celkové ceny dle této smlouvy, je objednatel povinen zaplatit poskytovateli po ukončení provozu systému a po bezpečné likvidaci veškerých dat dle definice obsažené v příloze č. 2. Tato skutečnost bude potvrzena protokolem, který bude obsahovat informace o ukončení provozu systému a záznam o bezpečné likvidaci dat. Cena plnění za 1 hodinu poskytování služeb dalšího rozvoje systému nad rámec služeb pod položkami č. 1 až 6 bude objednatelem hrazena dle skutečného objemu služeb na základě vzájemně odsouhlaseného předávacího protokolu, který připraví poskytovatel.

5. Položkový rozpočet předmětu plnění je uveden v příloze č. 3, této smlouvy. Celková cena za předmět plnění a cena plnění za 1 hodinu dalších služeb dle odstavce 1 tohoto článku smlouvy je nepřekročitelná a zahrnuje veškeré náklady související s předmětem plnění dle této smlouvy. Cena zahrnuje i veškeré výlohy, výdaje a náklady na plnění předmětu smlouvy poskytovatele, jako je např. cestovné, náklady na cestu na schůzky s objednatelem, ubytování, administrativní práce, telefony apod. Součástí ceny je i cena za služby a dodávky, které nejsou výslovně uvedeny, ale poskytovatel jakožto odborník o nich ví, nebo má vědět, že jsou nezbytné pro řádné a včasné plnění. Poskytovatel nese veškeré náklady, nutně nebo účelně vynaložené při plnění závazku ze smlouvy, včetně správních poplatků. Cenu je možné měnit pouze v případě změny sazby DPH; v takovém případě není třeba uzavírat dodatek k této smlouvě.

6. Objednatel si v souladu s § 100 odst. 1 ZZVZ vyhrazuje změnu závazku ze smlouvy, a to možné navýšení ceny plnění v jednotkových cenách o míru inflace, vyjádřenou přírůstkem průměrného ročního indexu spotřebitelských cen, vyhlášenou Českým statistickým úřadem za předcházející kalendářní rok, a to počínaje 1. dnem kalendářního měsíce následujícího po měsíci, v němž byla průměrná míra inflace spotřebitelských cen za uplynulý kalendářní rok vyhlášena.

7. Splatnost faktur je 21 dnů ode dne jejich prokazatelného doručení objednateli, a to na adresu sídla objednatele.

8. Zaplacením se rozumí den odepsání fakturované částky z účtu objednatele ve prospěch účtu poskytovatele.

9. Faktura poskytovatele musí obsahovat náležitosti obchodní listiny dle § 435 občanského zákoníku a daňového dokladu dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů a dle zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „ZDPH“). Na faktuře musí být uvedeno evidenční číslo této smlouvy uvedené v záhlaví této smlouvy.

10. V případě, že faktura nebude obsahovat stanovené náležitosti, je objednatel oprávněn zaslat ji ve lhůtě splatnosti zpět poskytovateli k doplnění či opravě, aniž se tím dostane do prodlení s jejím zaplacením; lhůta splatnosti počíná běžet znovu ode dne doručení bezvadné faktury.

11. Poskytovatel je oprávněn fakturu včetně všech jejích příloh vystavit v elektronické formě dle § 26 ZDPH, a to ve formátu ISDOC nebo ISDOCX verze 5.2 nebo vyšší. Poskytovatel je dále oprávněn vystavit fakturu ve formátu, který je v souladu s evropským standardem elektronické faktury dle technické normy ČSN EN 16931-1:2017. Elektronickou fakturu je možné zaslat datovou schránkou (identifikace: trfaa33) nebo elektronickou poštou na adresu xxxxx@xxxxx.xx.

12. Registr plátců DPH; Registr nespolehlivých plátců DPH

(i) Smluvní strany berou na vědomí, že správce daně zveřejňuje ode dne 01.01.2013 nespolehlivého plátce DPH v rejstříku nespolehlivých plátců DPH vedeném MF ČR a že objednatel, pokud přijme zdanitelné plnění s místem plnění v tuzemsku uskutečněné poskytovatelem zdanitelného plnění, tj. jiným plátcem DPH, nebo poskytne úplatu na takové plnění, ručí podle § 109 ZDPH jako příjemce zdanitelného plnění za nezaplacenou daň z tohoto plnění, pokud v okamžiku uskutečnění zdanitelného plnění nebo poskytnutí platby je poskytovatel zdanitelného plnění (poskytovatel) veden v rejstříku nespolehlivých plátců DPH, anebo nastane některá z jiných skutečností rozhodných pro ručení objednatele ve smyslu tohoto ustanovení. Poskytovatel se zavazuje po dobu trvání této smlouvy či trvání některého ze závazků z této smlouvy pro něj plynoucích řádně a včas zaplatit DPH pod sankcí smluvní pokuty sjednané v čl. XIII odst. 9 této smlouvy.

(ii) Poskytovatel prohlašuje a svým podpisem v závěru smlouvy potvrzuje pod sankcí smluvní pokuty sjednané dle této smlouvy, že ke dni uzavření smlouvy není veden v rejstříku nespolehlivých plátců DPH, a pro případ, že se stane nespolehlivým plátcem DPH až po uzavření této smlouvy, zavazuje se bezodkladně a prokazatelně informovat objednatele o této skutečnosti pod sankcí smluvní pokuty sjednané v této smlouvě.

(iii) Pokud objednatel jako příjemce zdanitelného plnění zjistí po doručení daňového dokladu (faktury), že poskytovatel je v evidenci plátců DPH označen jako nespolehlivý plátce DPH ve smyslu první odrážky tohoto odstavce, anebo bankovní účet, který poskytovatel uvede na daňovém dokladu (faktuře), není zveřejněn v registru plátců DPH, má se za to, že úhrada daňového dokladu (faktury) bez DPH je provedena ve správné výši.

(iv) V případě, že:

1. úhrada ceny má být provedena zcela nebo zčásti bezhotovostním převodem na účet vedený poskytovatelem platebních služeb mimo tuzemsko ve smyslu § 109 odst. 2 písm. b) ZDPH nebo

2. číslo bankovního účtu poskytovatele uvedené v této smlouvě nebo na daňovém dokladu vystaveném poskytovatelem nebude uveřejněno způsobem umožňujícím dálkový přístup ve smyslu § 109 odst. 2 písm. c) ZDPH,

je objednatel oprávněn uhradit poskytovateli pouze tu část peněžitého závazku vyplývajícího z daňového dokladu, jež odpovídá výši základu daně, a zbylou část pak ve smyslu § 109a ZDPH uhradit přímo správci daně. Stane-li se poskytovatel nespolehlivým plátcem ve smyslu § 106a ZDPH, použije se ujednání podle této odrážky obdobně.

Článek V.

Práva duševního vlastnictví

1. Poskytovatel se zavazuje, že při poskytování služeb dle této smlouvy neporuší práva třetích osob, která těmto osobám mohou plynout z práv k duševnímu vlastnictví, zejména z autorských práv a práv průmyslového vlastnictví, že je plně oprávněn disponovat s právy, které touto smlouvou postupuje na objednatele, nebo k jejichž užití poskytuje objednateli dle této smlouvy licenci a zavazuje se za tímto účelem zajistit řádné a nerušené užívání výstupů z poskytování služeb (dále pro účely tohoto článku jen „dílo“) objednatelem, včetně případného zajištění dalších souhlasů a licencí od autorů děl v souladu se zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“), popř. od nositelů jiných práv duševního vlastnictví v souladu s právními předpisy. Poskytovatel se zavazuje, že objednateli uhradí veškeré náklady, výdaje, škody a majetkovou i nemajetkovou újmu, které objednateli vzniknou v důsledku porušení povinností dle předchozí věty.

2. Je-li výsledkem činnosti poskytovatele dle této smlouvy anebo součástí předaného díla výtvor, který je předmětem práv autorských, práv souvisejících či předmětem práv pořizovatele k jím pořízené databázi, a nejde přitom ve smyslu odst. 6 tohoto článku o dílo anebo jeho části vytvořené jako zaměstnanecké dílo (dále pro účely tohoto článku souhrnně jen „Předměty ochrany podle autorského zákona“), náleží od okamžiku předání díla dle této smlouvy objednateli pro území celého světa včetně České republiky nevýhradní neomezené právo k užití těchto Předmětů ochrany podle autorského zákona, a to na dobu trvání práva k Předmětům ochrany podle autorského zákona, resp. na zákonnou dobu ochrany. Poskytovatel touto smlouvou poskytuje objednateli oprávnění k výkonu uvedeného nevýhradního práva k užití Předmětů ochrany podle autorského zákona (licence) bez časového, územního a množstevního omezení a pro všechny způsoby užití. Objednatel je oprávněn Předměty ochrany podle autorského zákona užít v původní nebo jiným zpracované či jinak změněné podobě, samostatně nebo v souboru anebo ve spojení s jiným dílem či prvky. Oprávnění k užití Předmětů ochrany podle autorského zákona získává objednatel jako převoditelná s právem podlicence a dále postupitelná. Postoupení licence nebo její části na třetí osobu nevyžaduje souhlas poskytovatele a objednatel není povinen postoupení licence nebo její části na třetí osobu poskytovateli oznamovat. Toto právo objednatele k Předmětům ochrany podle autorského zákona se automaticky vztahuje i na všechny nové verze, úpravy a překlady Předmětů ochrany podle autorského zákona dodané poskytovatelem. Objednatel není povinen výše uvedenou licenci využít. Poskytovatel dále poskytuje objednateli právo upravovat a/nebo překládat Předměty ochrany podle autorského zákona, včetně práva objednatele zadat provedení těchto úprav a/nebo překladů třetím osobám. Dohodou smluvních stran se stanoví, že cena za užití Předmětů ochrany podle autorského zákona dle tohoto odstavce je součástí ceny dle čl. IV.

3. Je-li výsledkem činnosti poskytovatele dle této smlouvy anebo součástí předaného díla výtvor, který je předmětem práv průmyslového vlastnictví, avšak dosud nebyl k ochraně nebo na základě přihlášky zapsán či udělen anebo se jeho zápis nevyžaduje, zejména vynález, užitný vzor či průmyslový vzor (dále pro účely tohoto článku souhrnně jen „Nezapsané předměty průmyslových práv“), převádí poskytovatel na objednatele od okamžiku předání díla dle této smlouvy veškerá práva na Nezapsané předměty průmyslových práv, zejména pak právo na patent, právo na užitný vzor a právo na průmyslový vzor. Objednatel je oprávněn zejména Nezapsané předměty průmyslových práv přihlásit k ochraně na území České republiky a jiných teritoriích a neomezeně je i po jejich zápisu využívat na území celého světa včetně České republiky. Toto právo objednatele k Nezapsaným předmětům průmyslových práv se automaticky vztahuje i na všechny nové verze a úpravy Nezapsaných předmětů průmyslových práv dodaných poskytovatelem na základě této smlouvy. Poskytovatel je o takovémto výtvoru povinen objednatele neprodleně informovat. Dohodou smluvních stran se stanoví, že cena za převod práv k Nezapsaným předmětům průmyslových práv je součástí ceny dle čl. IV.

4. Je-li výsledkem činnosti poskytovatele dle této smlouvy anebo součástí předaného díla výtvor, který je již chráněn zapsaným či uděleným právem z průmyslového vlastnictví, zejména udělený či zapsaný vynález, užitný vzor či průmyslový vzor (dále pro účely tohoto článku souhrnně jen „Zapsané předměty průmyslových práv“), náleží objednateli od okamžiku předání díla podle této smlouvy k Zapsaným předmětům průmyslových práv nevýhradní neomezené právo k užití těchto Zapsaných předmětů průmyslových práv, a to pro území celého světa včetně České republiky. Poskytovatel touto smlouvou opravňuje objednatele k výkonu uvedených nevýhradních práv k Zapsaným předmětům průmyslových práv, a to bez časového, územního a množstevního omezení a pro všechny způsoby užití. Oprávnění k užití Zapsaných předmětů průmyslových práv získává objednatel jako převoditelná s právem podlicence a dále postupitelná. Toto právo objednatele k Zapsaným předmětům průmyslových práv se automaticky vztahuje i na všechny nové verze a úpravy Zapsaných předmětů průmyslových práv dodaných poskytovatelem, ať již budou přihlášeny k ochraně či nikoliv. Poskytovatel je o takovémto výtvoru povinen objednatele neprodleně informovat. Poskytovatel je dále povinen učinit veškeré nezbytné úkony a poskytnout objednateli veškerou nezbytnou součinnost směřující k zápisu uvedené licence k Zapsaným předmětům průmyslových práv do příslušných rejstříků. Poskytovatel rovněž poskytuje objednateli právo upravovat a modifikovat Zapsané předměty průmyslových práv, včetně práva objednatele zadat vývoj a provedení těchto úprav a modifikací třetím osobám. Dohodou smluvních stran se stanoví, že cena za převod práv k Zapsaným předmětům průmyslových práv je součástí ceny dle čl. IV.

5. Je-li výsledkem činnosti poskytovatele dle této smlouvy anebo součástí předaného díla výtvor, který může být předmětem majetkových práv, vyjma v předchozích odstavcích tohoto článku a odst. 6 tohoto článku uvedených předmětů chráněných podle autorského zákona a předmětů průmyslového vlastnictví požívajících zvláštní ochrany, přičemž jde zejména o know-how či nezapsaná označení (dále pro účely tohoto článku souhrnně jen „Ostatní předměty duševního vlastnictví“), převádí poskytovatel na objednatele od okamžiku předání díla veškerá práva k Ostatním předmětům duševního vlastnictví. Objednatel je oprávněn zejména Ostatní předměty duševního vlastnictví neomezeně využívat na území celého světa včetně České republiky. Toto právo objednatele k Ostatním předmětům duševního vlastnictví se automaticky vztahuje i na všechny nové verze a úpravy Ostatních předmětů duševního vlastnictví dodaných poskytovatelem. Poskytovatel je o takovémto výtvoru povinen objednatele neprodleně informovat. Dohodou smluvních stran se stanoví, že cena za užití Ostatních předmětů duševního vlastnictví dle tohoto odstavce je součástí ceny dle čl. IV.

6. Je-li výsledkem nebo součástí díla i zaměstnanecké či kolektivní dílo, které je předmětem autorských práv, práv souvisejících s právem autorským či práv pořizovatele k jím pořízené databázi, poskytovatel jako zaměstnavatel či osoba, z jejíhož podnětu a pod jejímž vedením je dílo vytvářeno a pod jejímž jménem je dílo uváděno na veřejnost, ke dni předání díla dle této smlouvy postupuje právo výkonu majetkových práv k dílu na objednatele, přičemž výše odměny za postoupení je již zahrnuta v ceně dle čl. IV. Objednatel se tím stává ve vztahu ke všem částem díla i dílu jako celku vykonavatelem autorských práv majetkových v pozici zaměstnavatele se všemi souvislostmi včetně oprávnění vyplývajících z omezení osobnostních práv původních autorů v plném rozsahu dle § 58 autorského zákona, přičemž právo výkonu majetkových práv autorských získává objednatel jako dále postupitelné. Objednatel je tak především oprávněn dílo i jeho části bez dalšího sám jakýmkoli způsobem užít v původní, zpracované či jinak změněné podobě a udělit třetím osobám oprávnění (licenci) k výkonu práva dílo a jeho části užít. Objednatel je dále oprávněn nehotové anebo nedostatečně podrobné části díla dokončit, a to bez ohledu na podmínky podle ustanovení § 58 odst. 5 autorského zákona. Poskytovateli ani původním autorům nenáleží nárok na přiměřenou dodatečnou odměnu podle ustanovení § 58 odst. 6 autorského zákona. Objednatel je oprávněn dílo anebo jeho části zveřejnit, upravovat, zpracovávat včetně překladu, spojit s jiným dílem, zařadit do díla souborného a uvádět je na veřejnost pod vlastním jménem.

Článek VI.

Ochrana informací

1. Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této smlouvy

1. si mohou vzájemně vědomě nebo opomenutím poskytnout informace, které budou považovány za důvěrné (dále jen „důvěrné informace“),

2. mohou jejich zaměstnanci či osoby v obdobném postavení získat vědomou činností druhé smluvní strany nebo i jejím opomenutím přístup k důvěrným informacím druhé smluvní strany.

2. Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě důvěrné informace (bez ohledu na formu jejich zachycení), které získaly během jednání vedoucích k uzavření této smlouvy nebo během plnění závazků z této smlouvy. Tím není dotčeno oprávnění smluvních stran sdělovat tyto údaje svým advokátům, daňovým poradcům, auditorům nebo jiným osobám vázaným na základě zvláštního právního předpisu povinností mlčenlivosti. Tyto osoby musí být na důvěrnost údajů upozorněny.

3. Za třetí osoby dle odst. 2 tohoto článku se nepovažují:

1. zaměstnanci smluvních stran a osoby v obdobném postavení,

2. orgány smluvních stran a jejich členové,

3. ve vztahu k důvěrným informacím objednatele poddodavatelé poskytovatele,

4. ve vztahu k důvěrným informacím poskytovatele externí poskytovatelé objednatele, a to i potenciální,

za předpokladu, že se podílejí na plnění této smlouvy nebo plnění spojeném s plněním dle této smlouvy, důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této smlouvě.

4. Smluvní strany se zavazují v plném rozsahu zachovávat povinnost mlčenlivosti a povinnost chránit důvěrné informace vyplývající z této smlouvy a z příslušných právních předpisů, zejména povinnosti vyplývající z Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „obecné nařízení“).

5. Smluvní strany se zavazují poučit veškeré osoby, které se na jejich straně budou podílet na plnění této smlouvy, o výše uvedených povinnostech mlčenlivosti a ochrany informací a dále se zavazují vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění této smlouvy.

6. Budou-li informace poskytnuté objednatelem, poskytovatelem nebo třetími stranami, které jsou nezbytné pro plnění dle této smlouvy, obsahovat data podléhající režimu zvláštní ochrany dle obecného nařízení, zavazují se smluvní strany plnit všechny povinnosti, které obecné nařízení vyžaduje, a obstarat předepsané souhlasy subjektů osobních údajů předaných ke zpracování.

7. Veškeré důvěrné informace zůstávají výhradním vlastnictvím předávající strany a příjímací strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní důvěrné informace. S výjimkou rozsahu, který je nezbytný pro plnění této smlouvy, se smluvní strany zavazují neduplikovat žádným způsobem důvěrné informace druhé strany, nepředávat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni, aby mohli plnit tuto smlouvu. Obě smluvní strany se zároveň zavazují nepoužít důvěrné informace druhé smluvní strany jinak, než za účelem plnění této smlouvy.

8. Nedohodnou-li se smluvní strany výslovně písemnou formou jinak, považují se za důvěrné implicitně všechny informace, které jsou anebo by mohly být součástí obchodního tajemství, tj. například, ale nejenom, popisy nebo části popisů technologických procesů a vzorců, technických vzorců a technického know-how, informace o provozních metodách, procedurách a provozních postupech, obchodní nebo marketingové plány, koncepce a strategie nebo jejich části, nabídky, kontakty, smlouvy, dohody nebo jiná ujednání s třetími stranami, informace o výsledcích hospodaření, o vztazích s obchodními partnery, o pracovních otázkách a všechny další informace, jejichž zveřejnění přijímající stranou by předávající straně mohlo způsobit škodu.

9. Pokud jsou důvěrné informace poskytovány v písemné podobě anebo ve formě textových souborů na elektronických nosičích dat (médiích), je předávající strana povinna upozornit přijímající stranu na důvěrnost takového materiálu jejím vyznačením alespoň na titulní stránce nebo přední straně média. Absence takového upozornění však nezpůsobuje zánik povinnosti ochrany takto poskytnutých informací.

10. Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:

1. se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající smluvní strany či právních předpisů,

2. měla přijímající strana prokazatelně legálně k dispozici před uzavřením této smlouvy, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené smlouvy o ochraně informací,

3. jsou výsledkem postupu, při kterém k nim přijímající strana dospěje nezávisle, a to je schopna doložit svými záznamy nebo informacemi, včetně důvěrných, třetí strany,

4. po podpisu této smlouvy poskytne přijímající straně třetí osoba, jež není omezena v takovém nakládání s informacemi,

5. mají být zpřístupněny na základě zákona či jiného právního předpisu včetně práva EU nebo závazného rozhodnutí oprávněného orgánu veřejné moci,

6. jsou obsažené v této smlouvě a jsou zveřejněné dle § 219 ZZVZ nebo dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů (dále jen „Registr smluv“ - xxxxx://xxxxxxx.xxx.xx/).

11. Každá smluvní strana se zavazuje přijmout technická a organizační vnitřní opatření nezbytná k ochraně důvěrných informací. Poskytovatel je povinen poučit své zaměstnance a členy svých orgánů o povinnosti zachovávat mlčenlivost podle této smlouvy a je povinen zachování mlčenlivosti z jejich strany řádně kontrolovat. Zaměstnanci poskytovatele nesmí důvěrné skutečnosti, které se dozvěděli v souvislosti s touto smlouvou, sdělovat ani jiným zaměstnancům poskytovatele nebo členům orgánů poskytovatele, není-li to nezbytné k plnění jejich pracovních úkolů nebo z hlediska funkčního zařazení.

12. Poskytovatel je povinen zavázat povinností mlčenlivosti a ochrany důvěrných informací dle tohoto článku rovněž všechny poddodavatele, kteří se budou podílet na plnění předmětu veřejné zakázky dle této smlouvy.

13. Za porušení povinnosti mlčenlivosti osobami, které se budou podílet na plnění předmětu smlouvy, odpovídá poskytovatel, jako by povinnost porušil sám.

14. Ukončení účinnosti této smlouvy z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku a jeho účinnost přetrvá i po ukončení účinnosti této smlouvy.

Článek VII.

Realizační tým

1. Realizační tým poskytovatele bude tvořen následujícími pozicemi:

1. Vedoucí týmu a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

2. Hlavní senior konzultant pro oblast SW řešení a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

3. Hlavní senior konzultant pro modul HW řešení a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

4. Hlavní senior konzultant pro oblast ochrany, uložení dat a GDPR a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

5. IT specialista programátor a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

6. Manažer kybernetické bezpečnosti a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

7. Garant aktiva a jeho zástupce uvedení v nabídce poskytovatele podané v zadávacím řízení

2. Poskytovatel je oprávněn do realizačního týmu jmenovat další osoby potřebné pro zajištění plnění v rozsahu sjednaném touto smlouvou.

3. Poskytovatel je povinen postupovat při plnění předmětu smlouvy s odbornou péčí tak, aby bylo dosaženo cíle a účelu plnění, jež je předmětem této smlouvy.

4. Složení realizačního týmu, které bylo předloženo v nabídce poskytovatele podané v zadávacím řízení, je pro poskytovatele závazné, stejně jako požadavky na jednotlivé členy realizačního týmu uvedené v zadávací dokumentaci.

5. Členové realizačního týmu uvedení v nabídce dodavatele jako účastníka zadávacího řízení se musí aktivně podílet na plnění předmětu této smlouvy. V případě potřeby změny člena realizačního týmu uvedeného v nabídce poddodavatele je změna možná pouze se souhlasem objednatele. Objednatel tento souhlas neudělí v případě, že by po takové změně realizační tým nesplňoval požadavky objednatele na realizační tým dle zadávací dokumentace. Objednatel tento souhlas neudělí v případě, že by po takové změně nový člen realizačního týmu nesplňoval veškeré požadavky objednatele pro danou pozici člena realizačního týmu uvedené jako kritéria technické kvalifikace v zadávací dokumentaci.

6. V případě potřeby změny člena realizačního týmu poddodavatel písemně požádá o souhlas objednatele s touto změnou alespoň 14 dní před touto změnou. Výjimkou je situace, kdy poddodavatel jednoznačně prokáže, že lhůtu dle předchozí věty nemohl dodržet z důvodu nespočívajícím na jeho straně (např. pracovní neschopnost člena realizačního týmu, smrt člena realizačního týmu), v takovém případě je povinen požádat o souhlas bezodkladně po zjištění těchto důvodů. Součástí žádosti o souhlas se změnou člena realizačního týmu musí být doklady prokazující splnění kvality a kvalifikace nahrazovaného člena realizačního týmu.

7. Změna člena realizačního týmu bez souhlasu objednatele se považuje za podstatné porušení smlouvy, a to bez ohledu na to, zda se jedná o člena vyhovujícího požadavkům dle zadávacích podmínek a této smlouvy či nikoliv.

Článek VIII.

Odpovědnost za vady a odpovědnost za škodu

1. Poskytovatel odpovídá za to, že služby budou poskytnuty v souladu s touto smlouvou v odpovídající odborné kvalitě. Vadou se pro účely této smlouvy rozumí služba provedená neúplně či v nedostačující kvalitě anebo zcela neprovedená.

2. V případě, že objednatel zjistí vady plnění, je poskytovatel povinen tyto vady odstranit ve lhůtě stanovené objednatelem dle přílohy č. 1 této smlouvy.

3. Poskytovatel odpovídá za vady poskytnutých služeb v průběhu trvání této smlouvy.

4. Uplatněním odpovědnosti za vady nejsou dotčeny nároky na náhradu škody nebo na uplatnění smluvní pokuty.

5. V případě sporu o oprávněnost reklamace budou smluvní strany respektovat vyjádření
   a konečné stanovisko soudního znalce vybraného objednatelem. Náklady na vypracování znaleckého posudku nese v plné výši smluvní strana, která nebude ve sporu o oprávněnost reklamace úspěšná.

6. Každá smluvní strana je povinna nahradit způsobenou škodu v rámci platných právních předpisů a této smlouvy. Obě smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.

7. Žádná ze stran neodpovídá za škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. V případě, že jedna ze smluvních stran poskytla druhé smluvní straně chybné zadání a příslušná smluvní strana s ohledem na svoji povinnost poskytovat plnění s odbornou péčí mohla a měla chybnost takového zadání zjistit, smí se ustanovení předchozí věty domáhat pouze v případě, že na chybné zadání příslušná smluvní strana druhou smluvní stranu písemně upozornila a druhá smluvní strana trvala na původním zadání.

8. Případná náhrada škody bude nahrazena uvedením do původního stavu a v případě nemožnosti uvedení v původní stav bude uhrazena v měně platné na území České republiky, přičemž pro propočet na tuto měnu je rozhodný kurz České národní banky ke dni vzniku škody.

Článek IX.

Využití poddodavatelů

1. Poskytovatel prohlašuje, že poskytnutí plnění vyplývajícího z této smlouvy zajistí třetí osoby (poddodavatelé, dodavatelé atd.), jejichž seznam byl poskytovatelem předložen v nabídce podané v zadávacím řízení. Tento seznam třetích osob podílejících se přímo nebo nepřímo na plnění této smlouvy je pro poskytovatele závazný.

2. Poddodavatelé, kterými poskytovatel prokazoval část kvalifikace, uvedení v nabídce poskytovatele jako účastníka zadávacího řízení se musí aktivně podílet na plnění předmětu této smlouvy v rozsahu, v jakém prokazovali splnění kvalifikace. V případě potřeby změny poddodavatele, kterým poskytovatel prokazoval v nabídce část chybějící kvalifikace, je změna možná pouze se souhlasem objednatele. Objednatel tento souhlas neudělí v případě, že by po takové změně nový poddodavatel nesplňoval veškeré požadavky objednatele uvedené v zadávací dokumentaci v rozsahu, v jakém prostřednictvím něho prokazoval poskytovatel splnění kvalifikace.

3. V případě potřeby změny poddodavatele poskytovatel písemně požádá o souhlas objednatele s touto změnou alespoň 14 dní před touto změnou. Výjimkou je situace, kdy poskytovatel jednoznačně prokáže, že lhůtu dle předchozí věty nemohl dodržet z důvodu nespočívajícím na jeho straně; v takovém případě je povinen požádat o souhlas bezodkladně po zjištění těchto důvodů. Součástí žádosti o souhlas se změnou poddodavatele musí být doklady prokazující splnění kvalifikace nahrazovaného poddodavatele, a to v rozsahu, v jakém prostřednictvím něho prokazoval poskytovatel splnění kvalifikace.

4. Změna poddodavatele bez souhlasu objednatele se považuje za podstatné porušení smlouvy, a to bez ohledu na to, zda se jedná o poddodavatele vyhovujícího požadavkům dle zadávacích podmínek a této smlouvy či nikoliv.

5. Poskytovatel je povinen smluvně zajistit, že všichni poddodavatelé v poddodavatelském řetězci se zaváží dodržovat v plném rozsahu ujednání mezi objednatelem a poskytovatelem a smluvní závazky mezi poskytovatelem a poddodavatelem nebo poddodavateli navzájem nebudou v rozporu s požadavky objednatele na poskytovatele.

Článek X.

Vyhrazená změna dodavatele

1. Objednatel si dle § 100 odst. 2 ZZVZ vyhrazuje změnu poskytovatele (dále též jen v tomto článku „dodavatel“) v průběhu plnění veřejné zakázky, a to v případě kdy uzavřená smlouva s vybraným dodavatelem bude ukončena

1. dohodou smluvních stran nebo výpovědí,

2. odstoupením od smlouvy z důvodů dle § 223 odst. 2 ZZVZ,

3. z důvodu zániku závazku pro následnou nemožnost plnění,

4. zánikem právnické osoby bez právního nástupce,

5. v důsledku právního nástupnictví v souvislosti s přeměnou dodavatele, jeho smrtí nebo převodem jeho závodu, popřípadě části závodu, kdy nový dodavatel splňuje kritéria kvalifikace stanovená v této zadávací dokumentaci,

6. v případě zániku účasti některého z dodavatelů v případě společné účasti dodavatelů dle § 82 ZZVZ,

7. v případě prohlášení insolvence na dodavatele, vstupu dodavatele do likvidace, vydání rozhodnutí o úpadku na dodavatele, nařízení nucené správy podle jiného právního předpisu na dodavatele nebo nastane-li u dodavatele obdobná situace podle právního řádu země jeho sídla,

8. v důsledku zániku právnické osoby nebo smrti fyzické osoby, která je jinou osobou, prostřednictvím níž prokazoval dodavatel splnění kvalifikace dle § 83 ZZVZ.

Nastane-li některý z případů popsaných v předchozí větě, je objednatel oprávněn uzavřít smlouvu na plnění veřejné zakázky s novým dodavatelem za podmínek uvedených níže v odst. 2 a 3 tohoto článku a za předpokladu, že s touto změnou bude nový dodavatel souhlasit a vstoupí do práv a povinností plynoucích ze smlouvy s původním dodavatelem. V případě změny dodavatele může dojít ke změně na pozicích členů realizačního týmu, v souladu s nabídkou nového dodavatele a podmínkami stanovenými v této smlouvě, zejm. v čl. VII a IX této smlouvy, a údajů vztahujících se k osobě dodavatele (např. kontaktní osoby, kontaktní údaje, déle jen „povolené změny smlouvy“).

2. V případě zániku účasti některého z dodavatelů v případě společné účasti dodavatelů dle § 82 ZZVZ je zadavatel oprávněn uzavřít smlouvu se zbývajícími dodavateli, pokud i nadále budou splňovat kritéria kvalifikace stanovená v zadávací dokumentaci. V případě, že zbývající dodavatelé nebudou splňovat kritéria kvalifikace stanovená v zadávací dokumentaci nebo nepřevezmou práva a povinnosti ze smlouvy o poskytování služeb v plném rozsahu s výjimkou povolených změn smlouvy, může zadavatel postupovat dle odst. 3 tohoto článku, tj. uzavřít smlouvu s druhým účastníkem zadávacího řízení v pořadí dle hodnocení nabídek.

3. V případě ukončení smlouvy dle odst. 1 písm. a) až h) tohoto článku je objednatel oprávněn uzavřít smlouvu s druhým účastníkem v pořadí dle hodnocení nabídek v zadávacím řízení. Objednatel nebude provádět nové hodnocení nabídek, ale bude vycházet z pořadí nabídek v původním zadávacím řízení. Objednatel však provede posouzení splnění podmínek účasti, pokud tak neučinil v zadávacím řízení s ohledem na § 39 odst. 4 ZZVZ a posoudí, zda u tohoto účastníka nejsou naplněny povinné důvody pro vyloučení vybraného dodavatele dle § 48 ZZVZ (dále jen „důvody, pro které by nebylo možno uzavřít smlouvu s druhým účastníkem v pořadí“). Pokud jsou naplněny důvody, pro které by nebylo možno uzavřít smlouvu s druhým účastníkem v pořadí v původním zadávacím řízení, může objednatel oslovit dodavatele, který se umístil na třetím místě v pořadí. Druhý, příp. další účastník v pořadí je povinen splnit další podmínky uzavření smlouvy dle zadávací dokumentace. Smlouva musí odpovídat původní smlouvě, která bude zohledňovat pouze povolené změny smlouvy. V případě, že vybraný dodavatel již předmět veřejné zakázky zčásti splnil a ukončení smlouvy nemá dopad na tuto část poskytnutého plnění, lze s druhým účastníkem v pořadí uzavřít smlouvu jen na zbylou část předmětu plnění veřejné zakázky, pokud je tato část oddělitelná a z nabídky tohoto účastníka lze dovodit její poměrnou cenu.

4. Postup dle předchozího odstavce se použije obdobně pro další účastníky v pořadí, pokud druhý účastník smlouvu odmítne uzavřít, neposkytne součinnost k jejímu uzavření, nesplní podmínky účasti, jsou naplněny důvody pro vyloučení nebo již neexistuje.

5. Postup dle tohoto článku je právem objednatele, nikoliv jeho povinností, a nelze se jej právně domáhat.

Článek XI.

Další podmínky plnění předmětu smlouvy, dodržování environmentálních požadavků

1. Poskytovatel se zavazuje, že při plnění předmětu této smlouvy bude dbát o dodržování environmentálních požadavků, konkrétně, že bude plnit níže uvedené požadavky objednatele stanovené v souladu s „Pravidly uplatňování odpovědného přístupu při zadávání veřejných zakázek a nákupech státní správy a samosprávy“ dle usnesení vlády ČR č. 531 ze dne 24. července 2017.

2. Poskytovatel se zavazuje, že po celou dobu plnění smlouvy o dílo na základě předmětné veřejné zakázky bude dbát o dodržování důstojných pracovních podmínek svých zaměstnanců, resp. všech osob, které se na plnění předmětu smlouvy o dílo budou podílet a to zejména, dodržováním pracovněprávních práv a povinností, mj. pravidel odměňování, pracovní doby a doby odpočinku, bezpečnosti a ochrany zdraví při práci (zejména před případným škodlivým působením chemikálií, elektrických zařízení nebo povětrnostních podmínek). Poskytovatel se tedy konkrétně zavazuje, že bude:

1. plnění zakázky zajišťovat zaměstnanci s řádně uzavřenými pracovními smlouvami;

2. ve vztahu k zaměstnancům důsledně dodržovat pracovněprávní práva a povinnosti vyplývající z obecně závazných právních předpisů a smluv, zejména vytvářet slušné a důstojné pracovní podmínky, dbát na bezpečnost a o ochranu zdraví zaměstnanců při práci, poskytovat vhodné a dostatečné pracovní pomůcky a ochranné prostředky, dodržovat pravidla pro stanovování pracovní doby a doby odpočinku mezi směnami, placené přesčasy, zajistit vedení zaměstnanců v příslušných registrech (např. v registru pojištěnců České správy sociálního zabezpečení), zajistit u zaměstnanců příslušná povolení k pobytu v České republice;

3. zaměstnancům poskytovat pracovněprávní odměnu v souladu s právní úpravou odměňování v pracovněprávních vztazích včetně výplaty ve výplatním termínu a rovněž odpovídající odměnu (příplatek) za případnou práci přesčas, práci ve svátek atp.;

4. na výzvu objednatele za účelem kontroly předkládat (či zajistit předložení) příslušné doklady (zejména, nikoli však výlučně pracovněprávních smluv a dokladu o vyplacení mzdy, dokladu o provedených platbách poddodavateli), a to bez zbytečného odkladu od výzvy, nejpozději však do 2 pracovních dnů;

5. umožňovat objednateli, na jeho žádost, kontrolu výše uvedených důstojných pracovních podmínek svých zaměstnanců a poskytovat nezbytnou součinnost objednateli k jejímu provedení;

6. oznamovat objednateli, že vůči poskytovateli nebo jeho poddodavateli bylo orgánem veřejné moci (např. Státním úřadem inspekce práce či oblastními inspektoráty, Krajskou hygienickou stanicí) zahájeno řízení pro porušení právních předpisů, jichž se dotýká ujednání v tomto prohlášení, a k němuž došlo při plnění smlouvy nebo v souvislosti s ní, a to nejpozději do 10 dnů ode dne doručení oznámení o zahájení řízení;

7. předávat objednateli kopii pravomocného rozhodnutí, jímž se řízení dle předchozího bodu končí, a to nejpozději do 10 dnů ode dne nabytí právní moci tohoto rozhodnutí;

8. v případě, že poskytovatel či jeho poddodavatel bude v rámci řízení zahájeného dle předchozího bodu pravomocně uznán vinným ze spáchání přestupku, správního deliktu či jiného obdobného protiprávního jednání, budu povinen přijmout nápravná opatření a o těchto opatřeních písemně informovat objednatele, a to v přiměřené lhůtě stanovené po dohodě s objednatelem.

9. k výše uvedenému smluvně poskytovatel zaváže všechny případné poddodavatele.

Článek XII.

Kontrola a audit poskytovatele

1. Poskytovatel je povinen umožnit objednateli na jeho žádost provedení kontroly plnění této smlouvy.

2. Poskytovatel je povinen předkládat objednateli informace nezbytné k plnění této smlouvy.

3. Za účelem výkonu kontrolního oprávnění objednatele je poskytovatel povinen umožnit objednateli provedení kontroly nebo auditu.

4. Poskytovatel je povinen na žádost objednatele strpět provedení kontroly, popř. auditu za účelem ověření plnění této smlouvy objednatelem. Předmětem kontroly nebo auditu je ověření úplnosti a pravdivosti informací, které poskytovatel poskytl objednateli dle této smlouvy. Předmětem auditu je zejména posouzení toho, zda poskytovatel poskytuje objednateli úplné a pravdivé informace, zda poskytovatel naplňuje environmentální požadavky objednatele uvedené v čl. XI této smlouvy. Předmětem auditu je primárně verifikace plnění požadavků kybernetické bezpečnosti dle čl. I – XV Přílohy č. 4 této smlouvy.

5. Kontrolu u poskytovatele provedou osoby určené objednatelem a audit provede auditor určený objednatelem.

6. Poskytovatel je povinen osobám provádějícím kontrolu nebo auditorovi (dále jen „kontrolní osoby“):

1. poskytnout včas a řádně součinnost potřebnou k řádnému provedení kontroly nebo auditu dle této smlouvy, zejména mu poskytnout pravdivé a úplné informace k předmětu kontroly nebo auditu,

2. umožnit za obvyklých podmínek vstup do svých provozoven,

3. umožnit nahlédnout za účasti pověřeného zaměstnance poskytovatele do svých účetních dokladů, smluv, a dalších listin a podkladů týkajících se plnění smlouvy,

4. umožnit nahlížet do logisticko-účetního informačního systému a pořídit z tohoto systému export dat v elektronické podobě, eventuálně v listinné podobě, není-li pořízení exportu dat v elektronické podobě možné,

5. umožnit provedení kontroly na území České republiky, a rovněž mimo území České republiky, pokud se poskytovatel a objednatel nedohodnou z důvodů hodných zvláštního zřetele jinak.

7. Kontrolní osoby jsou povinny postupovat s odbornou péčí, chránit důvěrné informace objednatele a nesdělovat údaje tvořící součást tohoto obchodního tajemství třetím osobám s výjimkou objednatele. Objednatel je povinen kontrolní osoby k plnění těchto povinností výslovně zavázat a za plnění těchto povinností ze strany kontrolních osob nese odpovědnost objednatel.

8. Po provedení kontroly nebo auditu zpracují kontrolní osoby zprávu, v níž bude uvedeno, zda poskytovatel plnil řádně své povinnosti, jejichž plnění je předmětem kontrol nebo auditu, a jaké konkrétní povinnosti a jakým způsobem případně poskytovatel porušil (porušení smlouvy, popis o jaké porušení se jedná, zda je porušení z hlediska smlouvy významné, zda je s porušením povinnosti pro objednatele spojeno nějaké riziko, případně sankce ze strany kontrolních orgánů, zda je s porušením povinnosti spojena sankce dle této smlouvy – smluvní pokuta, možnost ukončení smlouvy).

9. Zprávu předají kontrolní osoby objednateli a poskytovateli. Před předáním zprávy jsou kontrolní osoby povinny projednat předběžné znění zprávy se zhotovitelem, ledaže mu tento k takovému projednání neposkytne bez zbytečného odkladu potřebnou součinnost.

10. Objednatel je oprávněn požadovat provedení kontroly nebo auditu u všech osob zapojených v dodavatelsko-odběratelském řetězci (poddodavatelů), pokud se podílejí na plnění této smlouvy a provedení kontroly nebo auditu je účelné a nezbytné ke kontrole plnění této smlouvy.

11. Ustanovení tohoto článku je pro smluvní strany závazné i po dobu 12 měsíců od ukončení této smlouvy.

Článek XIII.

Smluvní pokuta, úrok z prodlení

1. V případě prodlení s řádným poskytnutím služeb ve lhůtách (doba na přijetí, doba na vyřešení) uvedených v příloze č. 1 a č. 2 této smlouvy, přičemž takovým prodlením se rozumí i nepřijetí požadavku ve stanovené lhůtě, je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši:

   1. 2.000 Kč za každý započatý den prodlení s plněním jednotlivých dílčích termínů plnění uvedených v příloze č. 2, této smlouvy s výjimkou prodlení s předáním akreditačního systému do plného ostrého provozu.

   2. 6.000 Kč za každý započatý den prodlení s předáním akreditačního systému do plného ostrého provozu.

   3. 3.000 Kč za každý započatý pracovní den prodlení s vyřešením nahlášeného nefunkčního hardwaru (tiskáren a skenerů QR kódů) s výhradou akcí dle čl. II odst. 12 (dle článku 2.1.6 Přílohy č. 1 této smlouvy).

   4. 4.000 Kč za každých započatých 24 hodin prodlení s vyřešením nahlášených závad v provozu akreditačního systému s výhradou akcí dle čl. II odst. 12 (dle článku 2.1.6 Přílohy č. 1 této smlouvy).

   5. v případě porušení povinností poskytovatele uvedené v čl. II odst. 12 smlouvy uhradí poskytovatel smluvní pokutu ve výši 10.000 Kč objednateli za každou započatou hodinu. (Podrobně je upraveno v článku II. odst. 12 této smlouvy).

   6. pro případ porušení povinností poskytovatele odzkoušet po všech provozních, resp. funkčních stránkách akreditační systém a připravit jeho plnou použitelnost na každou vrcholnou akci, poskytovatel uhradí objednateli smluvní pokutu ve výši 100.000 Kč za každé mimořádné neodzkoušení akreditačního systému na každou jednotlivou vrcholnou akci².

2. V případě porušení povinnosti dle čl. V této smlouvy je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 50.000 Kč za každý takový případ.

3. V případě porušení povinností uvedených v čl. VI je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 50.000 Kč za každý takový případ.

4. V případě porušení povinností uvedených v čl. XV nebo čl. XVIII nebo přílohy č. 4, této smlouvy je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 30.000 Kč za každý takový případ.

5. V případě porušení jakékoliv povinnosti poskytovatele dle čl. VII je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 50.000 Kč za každý takový případ, s výjimkou porušení povinnosti dle čl. VII odst. 7 věty druhé, za níž náleží smluvní pokuta ve výši 10.000 Kč za každý takový případ.

6. V případě porušení povinnosti poskytovatele upozornit objednatele na potřebu provedení aktualizace akreditačního systému v návaznosti na změny právních předpisů a navrhnout vhodný způsob provedení této aktualizace je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 50.000 Kč za každý takový případ.

7. Objednatel je oprávněn požadovat po poskytovateli zaplacení smluvní pokuty, pokud poskytovatel poruší povinnosti dle čl. IX této smlouvy (změní poddodavatele uvedeného v nabídce, kterým poskytovatel prokazoval splnění části kvalifikace, a to bez písemného souhlasu objednatele). Výše této smluvní pokuty činí 10.000 Kč za každý takový případ.

8. Poskytovatel se zavazuje řádně a včas plnit své povinnosti vztahující se ke správě DPH po dobu trvání této smlouvy, zejména tuto daň řádně a včas zaplatit. Pokud v důsledku porušení tohoto závazku příslušný finanční úřad vyzve objednatele k zaplacení DPH z důvodu jeho ručení ve smyslu čl. IV odst. 12 bodu (i) této smlouvy, poskytovatel se zavazuje zaplatit objednateli jednorázovou smluvní pokutu ve výši DPH vztahující se k porušení závazku poskytovatele řádně a včas zaplatit DPH (včetně příslušenství), s níž je spojeno ručení objednatele ve smyslu čl. IV odst. 12 bodu (i) této smlouvy.

9. Celková výše smluvních pokut není omezena jakýmkoliv limitem a smluvní pokuty mohou být kombinovány (tzn., že uplatnění jedné smluvní pokuty nevylučuje souběžné uplatnění jakékoliv jiné smluvní pokuty).

10. Smluvní pokutu uplatní objednatel zasláním oznámení o uložení smluvní pokuty poskytovateli. Smluvní pokuta je splatná do 21 dnů ode dne doručení příslušného oznámení poskytovateli. Pro případ pochybností o doručení oznámení o uložení smluvní pokuty se sjednává, že se oznámení považuje za doručené druhé straně třetím dnem od jeho odeslání.

11. V případě prodlení objednatele se zaplacením faktury poskytovatele je poskytovatel oprávněn účtovat objednateli úroky z prodlení v zákonné výši z dlužné částky za každý den prodlení.

12. Zaplacením smluvní pokuty není jakkoliv dotčen nárok objednatele na náhradu škody a nemajetkové újmy; nárok na náhradu škody a nemajetkové újmy je objednatel oprávněn uplatnit vedle smluvní pokuty v plné výši. Zaplacením smluvní pokuty není dotčeno splnění povinnosti, která je prostřednictvím smluvní pokuty zajištěna.

13. Výše smluvních pokut je nastavena s ohledem na význam plnění povinností poskytovatelem, které pro objednatele představuje jejich porušení.

14. Objednatel je povinen zaplatit poskytovateli za prodlení s úhradou fakturované částky po sjednané lhůtě splatnosti úrok z prodlení v zákonné výši z dlužné částky za každý i započatý den prodlení.

15. Smluvní pokuta a úrok z prodlení jsou splatné do 14 kalendářních dnů ode dne jejich uplatnění.

16. Smluvní pokutu lze uložit opakovaně, zaplacením smluvní pokuty a úroku z prodlení není dotčen nárok smluvních stran na náhradu škody nebo odškodnění v plném rozsahu ani povinnost poskytovatele dále řádně poskytovat služby ve sjednané kvalitě a lhůtě.

Článek XIV.

Ukončení smluvního vztahu

1. Smluvní vztah vzniklý na základě této smlouvy lze ukončit těmito způsoby:

1. odstoupením od smlouvy

1. za podmínek uvedených v občanském zákoníku v případě porušení smlouvy druhou smluvní stranou podstatným způsobem,

2. v případech, které si smluvní strany ujednaly dále v tomto článku smlouvy.

2. dohodou smluvních stran.

2. Objednatel je oprávněn od této smlouvy odstoupit v případě

1. prodlení poskytovatele s poskytováním služeb proti lhůtám jednotlivých dílčích plnění dle přílohy č. 2 této smlouvy delším než 14 dnů,

2. neodstranění jiných vad plnění poskytovatelem v objednatelem stanovené lhůtě,

3. opakovaného (více než 2x) porušení povinnosti poskytovatelem dle čl. V,

4. opakovaného (více než 2x) porušení povinností dle čl. VI poskytovatelem,

5. opakovaného (více než 2x) porušení povinnosti poskytovatelem dle čl. VII,

6. opakovaného (více než 2x) porušení povinnosti poskytovatele upozornit objednatele na potřebu provedení aktualizaci akreditačního systému v návaznosti na změny právních předpisů a navrhnout vhodný způsob provedení této aktualizace,

7. pokud řádně uplatní u poskytovatele své požadavky nebo připomínky v průběhu plnění předmětu smlouvy a poskytovatel je bez vážného důvodu neakceptuje nebo podle nich nepostupuje,

3. Poskytovatel je oprávněn od této smlouvy odstoupit v případě prodlení objednatele se zaplacením řádně fakturované ceny za plnění předmětu smlouvy delším než 14 dní.

4. Účinky odstoupení od smlouvy nastávají okamžikem doručení písemného projevu vůle odstoupit od této smlouvy druhé smluvní straně.

5. Odstoupením od smlouvy není dotčen případný nárok na náhradu škody.

6. Poskytovatel není oprávněn odstoupit od smlouvy z důvodů uvedených § 2382 občanského zákoníku.

7. Tuto smlouvu je možné dále ukončit písemnou dohodou smluvních stran.

Článek XV.

Další práva a povinnosti smluvních stran

1. Poskytovatel je povinen informovat neprodleně, nejpozději do 24 hodin objednatele o bezpečnostních incidentech souvisejících s plněním této smlouvy, které mohou mít vliv na bezpečnost informací (např. napadení mailové komunikace poskytovatele příp. jeho poddodavatelů, napadení serverů poskytovatele příp. jeho poddodavatelů, ztráta informací v papírové podobě nebo na nosičích dat apod.).

2. Poskytovatel je povinen informovat neprodleně objednatele o významné změně, ke které došlo v ovládání poskytovatele podle zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů, nebo o změně vlastnictví zásadních aktiv využívaných poskytovatelem při plnění smlouvy (např. prodej podniku nebo jeho části), popř. změně oprávnění nakládat s těmito aktivy (např. insolvence poskytovatele).

Článek XVI.

Důvěrnost informací

1. Poskytovatel se zavazuje během plnění předmětu smlouvy i po uplynutí doby, na kterou je smlouva uzavřena, zachovávat mlčenlivost o všech skutečnostech, o kterých se při plnění předmětu smlouvy dozví a nakládat s nimi jako s důvěrnými (s výjimkou informací, které již byly veřejně publikovány).

2. Poskytovatel bere na vědomí, že HW a SW akreditačního systému je citlivou a důvěrnou informací, přičemž se zavazuje, že tyto informace a data nezpřístupní třetí osobě bez písemného souhlasu objednatele. Poskytovatel se dále zavazuje, že bude veškerou dokumentaci a data chránit před ztrátou či odcizením tak, aby nemohlo dojít k jejich nežádoucímu zpřístupnění jiné osobě a případně k jejich zneužití.

Článek XVII.

Další ujednání

1. Kontaktní osoby objednatele:

Příjmení, jméno, titul	Pevná linka	Mobilní telefon	E-mail	Pracovní nebo služební pozice
Xxxxxxxxx, Xxxxx, M.A.	XXXXX	XXXXX	XXXXX	Ředitelka Odboru pro předsednictví ČR v Radě EU
Xxxxx, Xxxxx, PhDr.	XXXXX	XXXXX	XXXXX	Vedoucí Oddělení pro logistiku a organizaci předsednictví ČR v Radě EU
Hájek, Xxx, Bc.	XXXXX	XXXXX	XXXXX	Organizační pracovník Oddělení pro logistiku a organizaci předsednictví ČR v Radě EU

2. Kontaktní osoby poskytovatele:

Příjmení, jméno titul	Pevná linka	Mobilní telefon	E-mail	Pracovní pozice
Xxxxxxx, Xxxxx, Ing.	XXXXX	XXXXX	XXXXX	Jednatel s podpisovým právem za společnost, vedoucí projektu
Krobová Xxxxx	XXXXX	XXXXX	XXXXX	Asistentka ve věcech administrativy a účetních agent
Xxxxxxxx Xxxxx	XXXXX	XXXXX	XXXXX	Zástupce vedoucího projektu
Xxxxx Xxxxxxxx	XXXXX	XXXXX	XXXXX	Zástupce jednatele v organizačních agendách, implementační ředitelka společnosti

3. Kontaktní osoby uvedené v tomto článku mohou být poskytovatelem a objednatelem kdykoliv změněny na základě jednostranného písemného oznámení druhé smluvní straně. V tomto případě se nevyžaduje žádný dodatek k této smlouvě.

Článek XVIII.

Kybernetická bezpečnost

1. Není-li v této smlouvě nebo v souladu s touto smlouvou stanoveno jinak, poskytovatel tímto bere na vědomí, že:

1. Objednatel je správcem významných informačních systémů dle § 3 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“).

2. Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“).

3. Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, a tedy povinnou osobou dle § 3 písm. e) ZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“).

4. Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB.

5. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx.

6. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum.

7. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018.

8. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána.

9. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli.

2. Smluvní strany potvrzují, že rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv akreditačního systému je určen předmětem této smlouvy.

3. Poskytovatel je povinen v rozsahu plnění této smlouvy naplnit požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 4, této smlouvy (dále jen „KB požadavky“), a to nejpozději do termínu zahájení realizace předmětu plnění této smlouvy a následně též po celou jeho dobu plnění.

4. Poskytovatel umožní objednateli kdykoli po dobu realizace předmětu plnění této smlouvy provedení zákaznického auditu:

a) jehož rozsah bude ohraničen využíváním aktiv poskytovatele pro potřeby plnění této smlouvy a informačními aktivy objednatele uloženými či zpracovávanými prostřednictvím technických aktiv poskytovatele a

b) jehož předmětem bude verifikace naplnění KB požadavků dle článku I. až XVI. přílohy č. 4, této smlouvy.

5. Objednatel je oprávněn při kontrole naplnění KB požadavků využít třetí stranu. V případě využití třetí strany bude objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám.

6. Poskytovatel umožní objednateli kontrolu naplnění KB požadavků, provedenou prostředky objednatele nebo třetí strany, a to v lokalitě poskytovatele i vzdáleně, pokud to technické prostředky poskytovatele umožňují.

7. Poskytovatel se zavazuje nedostatky zjištěné:

a) na základě provedení hodnocení rizik dle článku III. přílohy č. 4 této smlouvy nebo

b) v rámci zákaznického auditu dle odst. 4 článku XVIII této smlouvy odstranit ve lhůtě určené v písemném oznámení objednatele. Nestanoví-li objednatel lhůtu v písemném oznámení, zavazují se strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 30 kalendářních dnů.

8. Poskytovatel se dále zavazuje:

1. poskytnout na vyžádání objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění KB požadavků;

2. na požádání s objednatelem konzultovat kdykoli v průběhu realizace plnění dle této smlouvy detailní nastavení bezpečnostních opatření k naplnění KB požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků;

3. neprodleně informovat objednatele o všech významných změnách v naplnění KB požadavků, které nastanou kdykoli v průběhu trvání této smlouvy;

4. bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění KB požadavků, pokud stávající řešení přestalo být funkční a efektivní;

5. bezodkladně informovat objednatele o kybernetických bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této smlouvy či informační aktiva objednatele ve smyslu jejich dostupnosti, důvěrnosti a integrity;

f) při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke KB požadavkům, jejichž následkem může vzniknout újma na informačních aktivech objednatele nebo nesoulad se zákony či jinými obecně závaznými právními předpisy.

Článek XIX.

Společná a závěrečná ustanovení

1. Smlouva je uzavřena na dobu určitou a může být ukončena dohodou smluvních stran či odstoupením od smlouvy. Při ukončení smlouvy jsou smluvní strany povinny vzájemně vypořádat své závazky, zejména si vrátit věci předané k provedení služby a uhradit veškeré splatné peněžité závazky podle smlouvy; zánikem smlouvy rovněž nezanikají práva na již vzniklé (splatné) smluvní pokuty, náhradu škody a ochranu dat a informací. Všechna data, která se vztahují k plnění této smlouvy a jež smluvní strany získaly před zahájením plnění nebo v průběhu plnění této smlouvy, a která si vzájemně nevrací při ukončení smlouvy, jsou smluvní strany oprávněny uchovávat pouze po nezbytně nutnou dobu nebo po dobu stanovenou zvláštními právními předpisy a poté se zavazují takováto data zlikvidovat v souladu se zákonem č. 499/2009 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, a osobní údaje v souladu s obecným nařízením.

2. Tuto smlouvu lze měnit nebo doplňovat pouze formou vzestupně číslovaných písemných dodatků, podepsaných oprávněnými zástupci smluvních stran na jedné listině.

3. Obě smluvní strany podpisem této smlouvy vylučují, aby nad rámec jejích výslovných ustanovení a ustanovení jejích příloh byla jakákoliv jejich práva či povinnosti dovozovány z dosavadní či budoucí praxe zavedené mezi smluvními stranami.

4. Poskytovatel převzal na sebe nebezpečí změny okolností po uzavření této smlouvy, a proto mu nepřísluší domáhat se práv uvedených v § 1765 odst. 1 a 2620 odst. 2 občanského zákoníku.

5. Objednatel je povinným subjektem ve smyslu zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů (dále jen „Registr smluv“ - xxxxx://xxxxxxx.xxx.xx/). Poskytovatel souhlasí se zveřejněním této smlouvy, včetně všech jejích případných dodatků, s výjimkou přílohy č. 1 a 2, které jsou neuveřejňované, především na profilu zadavatele v systému E-ZAK a v Registru smluv. Splnění této zákonné povinnosti není porušením důvěrnosti informací. Poskytovatel výslovně souhlasí s tím, že uveřejněno bude úplné znění této smlouvy, s výjimkou přílohy č. 1 a 2, které jsou neuveřejňované, včetně všech identifikačních a kontaktních údajů osob, které poskytovatel uvedl v textu této smlouvy, a podpisu osoby/podpisů osob zastupujících poskytovatele. Je-li podle Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů (obecného nařízení o ochraně osobních údajů) k uveřejnění těchto údajů potřebný souhlas dotčených osob, poskytovatel výslovně prohlašuje, že takový souhlas všech dotčených osob zajistil. Smluvní strany se dohodly, že smlouvu zašle správci Registru smluv k uveřejnění objednatel a bude poskytovatele písemně informovat o uveřejnění smlouvy v Registru smluv. Poskytovatel je povinen zkontrolovat, že smlouva byla v Registru smluv - xxxxx://xxxxxxx.xxx.xx/ řádně uveřejněna. V případě, že poskytovatel zjistí jakékoliv nepřesnosti či nedostatky, je povinen bez zbytečného odkladu o nich objednatele informovat. Objednatel je dále v souladu se ZZVZ povinen na profilu zadavatele uveřejnit skutečně uhrazenou cenu.

6. Poskytovatel tímto dává objednateli výslovný souhlas se zpracováním a uchováváním, popř. uveřejněním (pokud takové uveřejní zvláštní právní předpisy vyžadují) osobních údajů dle Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a to v rozsahu, v jakém poskytovatel poskytl tyto údaje objednateli v rámci zadávacího řízení (zejména doklady o kvalifikaci poskytovatele, jména a kontaktní údaje osob zastupujících poskytovatele a kontaktních osob, jména skutečných vlastníků právnických osob, údajů, jejichž předložení si objednatel vyhradil jako podmínku uzavření smlouvy atd.) a v rozsahu, v jakém jsou nezbytně nutné pro plnění zákonných povinností ze strany objednatele vztahujících se k zadávacímu řízení a plnění předmětu veřejné zakázky a plnění smluvních povinností ze strany poskytovatele.

7. Poskytovatel a objednatel jsou plně srozuměni s tím, že dle § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů, bude poskytovatel osobou povinnou spolupůsobit při výkonu finanční kontroly.

8. Tato smlouva nabývá platnosti dnem jejího podpisu smluvními stranami a účinnosti dnem jejího uveřejnění v Registru smluv. V Registru smluv uveřejní smlouvu objednatel a bude poskytovatele písemně informovat o uveřejnění smlouvy v Registru smluv.

9. Jednotlivá ustanovení smlouvy jsou oddělitelná v tom smyslu, že neplatnost některého z nich nepůsobí neplatnost smlouvy jako celku. Pokud jakýkoli závazek dle smlouvy nebo kterékoli ustanovení smlouvy je nebo se stane neplatným či nevymahatelným, nebude to mít vliv na platnost a vymahatelnost ostatních závazků a ustanovení dle smlouvy a smluvní strany se zavazují takovýto neplatný nebo nevymahatelný závazek či ustanovení nahradit novým, platným a vymahatelným závazkem, nebo ustanovením, jehož předmět bude nejlépe odpovídat předmětu a ekonomickému účelu původního závazku či ustanovení.

10. Pokud by se v důsledku změny právní úpravy některé ustanovení smlouvy dostalo do rozporu s českým právním řádem (dále jen „kolizní ustanovení“) a předmětný rozpor by působil neplatnosti smlouvy jako takové, bude smlouva posuzována, jako by kolizní ustanovení nikdy neobsahovala a vztah smluvních stran se bude v této záležitosti řídit obecně závaznými právními předpisy, pokud se smluvní strany nedohodnou na znění nového ustanovení, jež by nahradilo kolizní ustanovení tak, aby vystihovalo co nejpřesněji podstatu původního ujednání a aby co nejlépe odpovídalo duchu smlouvy.

11. Dle § 100 odst. 3 ZZVZ zadavatel (objednatel) uvedl možnost použití jednacího řízení bez uveřejnění pro poskytnutí nových služeb, jejichž předpokládaná hodnota nepřevýší 30 % předpokládané hodnoty veřejné zakázky s možností uplatnění této změny závazku ze smlouvy po dobu platnosti a účinnosti této smlouvy, nejpozději do 31.01.2023 (dále jen „opční právo“), a to pro případ potřeby dalšího rozvoje předmětu plnění v návaznosti na nové, další požadavky zadavatele souvisejících s akcemi CZ PRES 2022. Zadavatel zahrnul vyhrazené změny závazku ze smlouvy do předpokládané hodnoty veřejné zakázky.

12. Tato smlouva je sepsána v 4 vyhotoveních, z nichž 1 obdrží poskytovatel, 3 obdrží objednatel.

13. Přílohou (nedílnou) této smlouvy je:

Příloha č. 1 – Specifikace předmětu plnění

Příloha č. 2 – Časový harmonogram

Příloha č. 3 – Položkový rozpočet předmětu plnění

Příloha č. 4 – Požadavky na kybernetickou bezpečnost

V Praze dne ........................... V Praze dne ...........................

za poskytovatele MAGICWARE, společnost s ručením omezeným		za Českou republiku Úřad vlády České republiky
Xxx. Xxxxx Xxxxxxx, v.r.		Xxxxx Xxxxxxxxx, M.A., v.r.
Jednatel		ředitelka Odboru pro předsednictví ČR v Radě EU

Příloha 3 - Položkový rozpočet předmětu plnění
Celková cena jednotlivých částí dodávané služby
Požadavky zadavatele	Specifikace	Požadovaný/ předpokládaný počet jednotek za dobu plnění	Cena za jednotku	Celková cena bez DPH v Kč	Sazba DPH v %**	Celková cena včetně DPH v Kč
1. Vývoj systému, prezentace beta verze systému, testování systému a zaškolení pověřených zaměstnanců zadavatele	Zahrnuje veškeré činnosti, které jsou uvedeny v příloze J_Technická, obsahová a bezpečnostní specifikace, konkrétně veškeré činnosti, které budou učiněny od podepsání smlouvy dodavatele se zadavatelem do spuštění ostré verze systému (nejpozději 1. dubna 2022).	1		750.000	21	907.500
2. Údržba a podpora systému a hardwarového příslušenství	Zahrnuje veškeré činnosti, které jsou uvedeny v příloze J_Technická, obsahová a bezpečnostní specifikace, kokrétně veškeré činnosti, které budou učiněny od spuštění ostré verze systému (nejpozději 1. dubna 2022) do ukončení provozu systému dne 31. ledna 2023.	1		1.000.000	21	1.210.000
3. Pronájem tiskáren	Pronájem 30 ks tiskáren určených pro oboustranný barevný tisk plastových badgů na období od 1. června 2022 do 31. prosince 2022.	1		510.000	21	617.100
4. Pronájem čteček QR kódů	Pronájem 25 ks čteček QR kódů na období od 1. června 2022 do 31. prosince 2022.	1		95.000	21	114.950
5. Materiál na výrobu badgů	30 000 ks čistých plastových karet opatřených otvorem pro upevnění šňůrky na krk určených pro tisk badgů, vč. veškerých dalších spotřebních materiálů (např. barva do tiskárny).	1		150.000	21	181.500
6. Poplatky za pronájem cloudových úložišť *	Poplatky za případný pronájem cloudových úložišt, které budou splňovat podmínky dle přílohy č. 4 Smlouvy o poskytování služeb (příloha B Zadávací dokumentace)	1		0	21	0
7. Cena za poskytování služeb dalšího rozvoje systému nad rámec služeb uvedených v předchozích položkách (v hodinách)	Dle aktuálních požadavků zadavatele a Akreditačního systému	50	3.300	165.000	21	199.650
Nabídková cena (je předmětem hodnocení nabídek)				2.670.000		3.230.700
* V případě, že má poskytovatel vlastní serverová úložiště a cloudových úložišť nevyužije, uvede v tabulce hodnotu 0.
** V případě, že dodavatel není povinen v České republice přiznat DPH a tuto povinnost musí splnit zadavatel, je dodavatel povinen uvést cenu dle čl. 6.1 zadávací dokumentace (vztahuje se zejména na zahraničního dodavatele). Neplátci DPH uvedou sazbu DPH ve výši 0 (%).
*** Nabídkové ceny za jednotlivé položky musejí obsahovat veškeré náklady dodavatele nezbytné k realizaci předmětu veřejné zakázky podle podmínek stanovených zadavatelem v této zadávací dokumentaci a v souladu s právními předpisy upravujícími odměňování zaměstnanců (včetně mzdových nákladů, provozních nákladů, nákladů na dopravu do místa plnění, nákladů na činnost členů realizačního týmu, nákladů na administraci, nákladů na ubytování, telefonní poplatky a diety pracovníků dodavatele, přiměřeného zisku dodavatele a dalších možných nákladů).
**** Předpokládaný počet 50 hodin byl stanoven zadavatelem pouze pro účely hodnocení nabídek a vzájemné porovnatelnosti nabídek. Ve smlouvě o poskytování služeb s vybraným dodavatelem bude následně uvedena pouze hodinová odměna za 1 hodinu poskytování služeb dalšího rozvoje systému nad rámec služeb uvedených v předchozích položkách kalkulace nabídkové ceny bez DPH a včetně DPH.

Příloha ke smlouvě č. 4

Požadavky na zajištění kybernetické bezpečnosti

(KB požadavky)

Poskytovatelem zajišťovaný Akreditační systém, je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“) a poskytovatel se tímto stává jeho provozovatelem, a tedy povinnou osobou dle § 3 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“).

Za účelem plnění povinností stanovených objednatelem, jakožto povinnou osobou ve smyslu XxXX a jeho prováděcího předpisu, vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“) je poskytovatel v roli provozovatele VIS povinen nad rámec povinností stanovených smlouvou plnit níže uvedené povinnosti, a to zejména součinnostního a bezpečnostního charakteru dle této přílohy.

Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem tak, aby byl naplněn účel právní úpravy v oblasti bezpečnostních opatření, kybernetických bezpečnostních incidentů, reaktivních opatření, náležitostí podání v oblasti kybernetické bezpečnosti a likvidaci dat ve vztahu k povinnostem, které tato právní úprava stanovuje objednateli jakožto povinné osobě dle předpisů z oblasti kybernetické bezpečnosti, a to i v případě změny příslušné právní úpravy. V takovém případě je objednatel oprávněn požadovat od poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této příloze, avšak vždy pouze za účelem zajištění plnění povinnosti poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.

Článek I.

Systém řízení bezpečnosti informací

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 3 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení informačních aktiv objednatele, které jsou zpracovávány na straně poskytovatele při poskytování předmětu plnění.

2. Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je a vyhodnocovat jejich účinnost.

3. Vést záznamy o zpracování informačních aktiv objednatele v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto aktiv a na vyžádání tyto záznamy objednateli zpřístupnit.

4. Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení informačních aktiv objednatele, které jsou zpracovávány na straně poskytovatele při poskytování předmětu plnění. Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.

5. Stanovit a udržovat aktuální bezpečnostní opatření ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.

Článek II.

Řízení aktiv

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 4 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění smlouvy (aktivy se rozumí např. data a informace k předmětu plnění dle této smlouvy, systémy ICT, SW moduly, HW prvky - infrastruktura, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač nebo notebook, mobilní koncová zařízení – přenosná zařízení typu chytrý mobilní telefon, tablet apod.), a tato aktiva strukturovaně popsat a objednateli předložit do 30 dnů od akceptace návrhu celkového řešení Akreditačního systému a následně kdykoli na jeho vyžádání, a to po celou dobu trvání smlouvy.

Článek III.

Řízení rizik

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 5 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.

2. Vytvářet a každých 30 dní provozu Akreditačního systému, počínaje dnem jeho spuštění objednateli předkládat zprávu o řízení kybernetických bezpečnostních rizik, která bude minimálně pokrývat:

1. Vyhodnocení aktuálního stavu kybernetické bezpečnosti s vazbou na předmět plnění.

2. Identifikaci a hodnocení rizik s vazbou na předmět plnění.

3. Realizovaná bezpečnostní opatření.

4. Nepokrytá bezpečnostní rizika a návrh opatření.

5. Vyhodnocení bezpečnostních událostí a incidentů.

6. Aktuální stav souladu poskytovatele s těmito KB požadavky.

Článek IV.

Organizační bezpečnost

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 6 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Jmenovat nejpozději do 30 dnů od uzavření této smlouvy odpovědnou kontaktní osobu (dále jen „Kontaktní osoba“), pro potřeby zajištění plnění KB požadavků a související komunikace mezi smluvními stranami či mezi poskytovatelem a Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“). Kontaktní osobu sdělí v téže lhůtě poskytovatel písemně objednateli a stejně tak i NÚKIB, a to spolu s ostatními kontaktními údaji dle § 34 VoKB.

2. Využívat pro poskytování předmětu plnění pouze oprávněných osob, které byly řádně seznámeny příslušnými ustanoveními interních řídících aktů objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění.

Článek V.

Bezpečnostní role

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 7 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Určit roli manažera kybernetické bezpečnosti.

2. Určit roli garanta aktiva.

Článek VI.

Řízení dodavatelů

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 8 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Využívá-li při poskytování předmětu plnění poddodavatele, zajistit adekvátní dodržování KB požadavků rovněž ve smluvních vztazích se svými poddodavateli.

2. Pokud při poskytování předmětu plnění dochází ke zpracování osobních údajů, zajistit uzavření samostatných smluv (tj. smluv se svými poddodavateli, zaměstnanci a případnými dalšími osobami podílejícími se na poskytování plnění z této smlouvy) ve smyslu příslušných ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Článek VII.

Bezpečnost lidských zdrojů

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 9 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Zajistit, aby Kontaktní osoba nejpozději do 30 dnů od uzavření smlouvy potvrdila písemně objednateli, že všechny osoby podílející se na poskytování předmětu plnění za stranu poskytovatele byly prokazatelně seznámeny s těmito KB požadavky a příslušnými ustanoveními interních řídících aktů objednatele, byly-li takové poskytovateli zpřístupněny.

2. Dodržovat příslušná ustanovení interních řídících aktů objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje školení pracovníků poskytovatele zajištěné objednatelem, protokolární či elektronické předání příslušné dokumentace nebo objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení. Současně s tím se poskytovatel zavazuje k mlčenlivosti o informacích, které se v souvislosti s dokumentací poskytnutou objednatelem dozvěděl.

3. V případě, že je součástí předmětu plnění služba dohledu nad předmětem plnění, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění.

4. Zajistit, aby osoby podílející se na poskytování plnění objednateli v prostředí nebo s prostředky objednatele, a to i tehdy, pokud jsou prostředky objednatele používány mimo jeho prostředí:

1. Pro uložení a sdíleni dat a informací objednatele využívali pouze k tomu schválené prostředky.

2. Neukládali ani nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno objednatele.

3. Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem.

4. Nenavštěvovali internetové stránky s eticky nevhodným obsahem.

5. Nerealizovali pokusy o neautorizovaný přístup ke zdrojům objednatele ani ke zdrojům jiných subjektů.

6. Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků objednatele, a to ani v případě, kdy jim byl prostředek objednatele svěřen do správy.

7. Nepodíleli se s prostředky objednatele na šíření spamu ani škodlivého softwaru.

3. Poskytovatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům (informačním / technickým) objednatele je na straně objednatele zpracování osobních údajů pracovníků poskytovatele, kteří se podílejí na zajištění předmětu plnění. Pokud nebude objednateli umožněno osobní údaje dotčených pracovníků poskytovatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům objednatele.

Článek VIII.

Řízení provozu a komunikací

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 10 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Zajistit bezpečný provoz Akreditačního systému a podpůrné infrastruktury využívané pro poskytování předmětu plnění.

2. Na vyžádání poskytnout objednateli přehled, report, či jinou adekvátní informaci o bezpečnostních opatřeních zavedených na Akreditačním systému a podpůrné infrastruktuře.

3. Zajistit, že pro poskytování předmětu plnění budou využívány pouze aplikace a technologie, které jsou v souladu s platnou českou a evropskou legislativou, především s ohledem na licenční podmínky a autorský zákon.

Článek IX.

Řízení změn

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 11 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Přiměřeně reagovat na změny na straně objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.

2. Oznamovat významné změny objednateli a aktivně spolupracovat při jejich testování.

Článek X.

Řízení přístupu

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 12 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednatele.

2. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatele. V takovém případě musí poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli kdykoli v průběhu trvání účinnosti smlouvy.

3. Stanovit v požadavku na přístup rozsah dat/informací, služby a účely, pro které je přístup k informačním aktivům objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den).

4. Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.

5. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatele, které přistupují k informačním aktivům objednatele.

3. Poskytovatel bere na vědomí, že přístup k informačním aktivům objednatele je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. poddodavatele poskytovatele, a to na základě požadavku poskytovatele na přístup.

4. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění a principu need-to-know.

5. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům objednatele).

Článek XI.

Akvizice, vývoj a údržba

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 13 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.

2. Předat objednateli dokumentaci předmětu plnění minimálně v následujícím rozsahu:

1. Dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů.

2. Dokumentaci obsahující popis autorizačního konceptu a oprávnění.

3. Dokumentaci obsahující instalační a konfigurační postupy

3. V případě, že předmět plnění zahrnuje též vývoj softwaru, zavazuje se poskytovatel:

1. Dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru v rámci celého jeho životního cyklu.

2. Na vyžádání umožnit objednateli realizaci auditu prováděného nebo provedeného plnění a na vyžádání předložit objednateli relevantní část zdrojového kódu k softwaru na provedení codereview, a to zejména za účelem ověření skutečnosti, zda poskytovatel postupuje či postupoval při poskytování plnění v souladu se smlouvou a těmito KB požadavky.

3. Poskytnout objednateli v jím stanoveném termínu, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje softwaru či kdykoli po jeho dokončení.

4. Zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně ve smlouvě (zejména, že software nebude obsahovat žádné nepotřebné či z pohledu objednatele nežádoucí komponenty).

5. Pokud je součástí plnění též instalace operačních systémů a softwaru třetích stran, zajistit že budou použity aktuální, podporované a kompatibilní verze těchto produktů.

6. Zajistit bezpečnost testovacího prostředí a ochranu objednatelem poskytnutých testovacích dat.

7. Zajistit, že do produkčního prostředí objednatele bude dodán jen předmětem smlouvy specifikovaný kompilovaný, respektive spustitelný kód a další nezbytná data pro provozování předmětu plnění.

8. Zajistit, že v rámci poskytovaného plnění bude dodávaný software/služba

1. v souladu s bezpečnostními politikami a standardy objednatele;

2. otestován na soulad s bezpečnostními politikami objednatele (platí pro poskytovatele, pokud byl s takovými bezpečnostními politikami seznámen)

9. Zajistit řízení verzí zdrojového kódu.

10. Zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí.

11. Nevyvíjet, nekompilovat a nešířit v prostředí objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.

Článek XII.

Zvládání kybernetických bezpečnostních událostí a incidentů

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 14 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Xxxxxxxx a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních incidentů.

2. Bez zbytečného odkladu hlásit objednateli všechny kybernetické bezpečnostní události a incidenty s potenciálním negativním dopadem na informační aktiva objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby.

3. Vyhodnocovat informace o kybernetických bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky platné české a evropské legislativy.

4. V případě vzniku kybernetické bezpečnostní události či incidentu a jeho následného zvládání a vyhodnocování a/nebo v případě podezření na kybernetický bezpečnostní incident poskytnout objednateli bezodkladnou aktivní součinnost a veškeré relevantní informace.

5. Bez zbytečného odkladu a po dohodě s objednatelem realizovat bezpečnostní opatření požadovaná objednatelem v dohodnutých termínech, ke snížení dopadu kybernetického bezpečnostního incidentu nebo zamezení jeho pokračování.

6. Spolupracovat při analýze příčin vzniku kybernetického bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že poskytovatel kybernetický bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.

3. Poskytovatel bere na vědomí, že postup zvládání kybernetického bezpečnostního incidentu či jiný důsledek porušení KB požadavků, jehož příčina je na straně poskytovatele, nebude posuzován jako okolnost vylučující odpovědnost poskytovatele.

Článek XIII.

Řízení kontinuity činností

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 15 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění.

2. Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle požadované úrovně služeb.

Článek XIV.

Kontrola a audit

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 8 a § 16 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění poskytnout adekvátní součinnost při výkonu kontroly objednatele ze strany NÚKIB dle § 23 ZoKB.

Článek XV.

Fyzická bezpečnost

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 17 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT nebo datové nosiče.

2. V rozsahu předmětu plnění zajistit fyzické zabezpečení, označení, uchování a likvidaci informačních aktiv objednatele, instalačních, záložních nebo archivních médií a dokumentace v souladu s Přílohou č. 1 VoKB a klasifikací informačních aktiv objednatele, pokud s ní byl poskytovatel seznámen.

Článek XVI.

Bezpečnostní nástroje

1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 18 až § 27 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB.

2. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

1. Realizovat opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity a bezpečnosti komunikační sítě.

2. Realizovat přístup z mobilního zařízení do prostředí objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN), pokud mu takový přístup byl udělen.

3. Nepřipojovat do infrastruktury, která je součástí dodaného řešení Akreditačního systému technické prostředky potenciálně rizikových výrobců, které jsou předmětem varování NÚKIB.

4. Bez zbytečného odkladu deaktivovat všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, který je v rozsahu předmětu plnění a je ve správě poskytovatele.

5. Na technická aktiva, která jsou součástí řešení Akreditačního systému bez písemného souhlasu objednatele neinstalovat a nepoužívat v prostředí dodaného řešení tyto typy nástrojů, pokud nejsou součástí předmětu plnění:

1. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.

2. Sniffer – software nebo hardware umožňující odposlouchávání síťového provozu.

3. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.

4. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí dodaného řešení.

6. Připojovat do prostředí dodaného řešení pouze technická aktiva, která jsou chráněna proti malware a jinému škodlivému softwaru a která jsou v souladu s interními bezpečnostními předpisy objednatele nebo jím schválená.

7. Průběžně zaznamenávat a uchovávat data o provozu technických aktiv (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platné české a evropské legislativy.

8. Na vyžádání poskytnout objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění, a to po celou dobu trvání smlouvy.

9. Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.

10. Pro on-line transakce realizované prostřednictvím webových technologií implementovat na aktuálně bezpečných kryptografických algoritmech založené TLS/SSL certifikáty, s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.

11. Veškeré neveřejné informace poskytnuté objednatelem chránit proti neautorizovanému přístupu aktuálně bezpečnými kryptografickými nástroji.

3. Poskytovatel bere na vědomí, že v případě, kdy technické spojení ze strany poskytovatele narušuje chod služeb objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato smlouva nestanoví jinak.

Článek XVII.

Využití cloud computingu

Poskytovatelem se v kontextu využití xxxxx computingu rozumí subjekt, který tuto službu (část dodaného řešení) přímo zajišťuje. Může jím být tedy jak samotný poskytovatel dle smlouvy, tak některý z jeho poddodavatelů (který tuto část řešení zajišťuje).

1. Obecné podmínky v případě využití cloud computingu

1. Poskytovatel zajistí, aby měl objednatel k dispozici dostatek jasných a srozumitelných informací o provozu dané služby cloud computingu, o poloze zpracování zákaznických dat a rizicích souvisejících se zpracováním zákaznických dat v dané poloze.

2. Poskytovatel zajistí, že zákaznická data a provozní údaje jsou dlouhodobě a nepřetržitě uložena výlučně na území členských států EU/EHP.

3. Poskytovatel zajistí, že zákaznická data a provozní údaje jsou zpracovávána výlučně na území členských států EU/EHP.

4. Poskytovatel je držitelem platné certifikace ČSN ISO/IEC 27001 nebo ISO/IEC 27001, od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, a do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě, že rozsah certifikace není uveden jednoznačně na certifikátu, poskytovatel předloží čestné prohlášení, ve kterém bude uvedeno, na které služby se certifikace vztahuje.

2. Organizace bezpečnosti informací

1. Poskytovatel musí mít zaveden systém řízení bezpečnosti informací (dále jen „ISMS“). Rozsah ISMS zahrnuje organizační jednotky poskytovatele, lokality a procesy k poskytování služby cloud computingu. Opatření jsou dokumentována pro řízení, implementaci, údržbu a neustálé zlepšování ISMS. Dokumentace obsahuje rozsah ISMS, prohlášení o aplikovatelnosti, ve kterém jsou doložena, jaká bezpečnostní opatření byla vybrána pro potlačení bezpečnostních rizik a výsledky posledního interního či certifikačního auditu poskytovatele.

2. Poskytovatel musí disponovat politikou bezpečnosti informací, kterou se řídí a kterou komunikuje interním a externím zaměstnancům a svým dodavatelům. Politika bezpečnosti informací popisuje význam bezpečnosti informací, bezpečnostní cíle, požadovanou bezpečnostní úroveň, nejvýznamnější aspekty bezpečnostní strategie k dosažení stanovených cílů a organizační strukturu poskytovatele v rozsahu ISMS.

3. Poskytovatel zavede na základě vlastní politiky bezpečnosti informací přiměřená bezpečnostní opatření.

3. Politiky

1. Politika bezpečnosti informací poskytovatele musí být v souladu s požadavky objednatele na bezpečnost informací.

2. Politiky poskytovatele musí být v souladu s politikou bezpečnosti informací poskytovatele, dokumentovány v jednotné struktuře a vhodným způsobem sdíleny a komunikovány všem interním i externím zaměstnancům poskytovatele. Politiky musí být verzovány, kontrolovány a schvalovány vrcholovým vedením dodavatele.

3. Politiky zahrnují alespoň následující oblasti:

1. Cíle.

2. Rozsah.

3. Bezpečnostní role a odpovědnosti, včetně kvalifikačních požadavků a pravidel zastupitelnosti.

4. Role a závislosti na jiných organizacích.

5. Postupy pro implementaci politik v rámci bezpečnostní strategie.

6. Platné právní a regulatorní požadavky.

4. Fyzická bezpečnost

1. Poskytovatel zajistí, že bezpečnostní požadavky na budovy a prostory vztahujících se k poskytování služeb cloud computingu jsou založeny na bezpečnostních cílech politiky bezpečnosti informací, identifikovaných bezpečnostních požadavcích a posouzení rizik fyzické a environmentální bezpečnosti. Poskytovatel též zajistí, že tyto bezpečnostní požadavky jsou zdokumentovány, komunikovány a poskytovány ve formě bezpečnostních politik.

2. Poskytovatel zajistí alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra.

3. Poskytovatel zajistí, že primární i záložní datové centrum, ze kterého jsou poskytovány služby, jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo je přijato adekvátní bezpečnostní opatření, nebo se primární a záložní datové centrum nacházejí ve vzájemné vzdálenosti nejméně 50 km, a jsou umístěna v lokalitách, které svým geografickým charakterem vylučují současné nebo následné škodlivé působení přírodních vlivů nebo jevů vyvolaných činností člověka vedoucích k poškození nebo zničení dat anebo vyžadujících provedení záchranných prací.

4. Poskytovatel na vstupu do prostor a budov sloužících k poskytování služby cloud computingu kontroluje fyzický přístup, aby tak zabránil případnému neautorizovanému přístupu osob.

5. Provoz

1. Poskytovatel zajistí, že nebude zákaznický obsah zpracovávat jiným způsobem, než se dohodl dokumentovaným způsobem s objednatelem.

2. Poskytovatel vyhodnocuje informace a podklady týkající se zranitelností a hrozeb poskytované služby cloud computingu a přijímá odpovídající opatření.

3. Poskytovatel bezpečně a striktně odděluje zákaznická data, která jsou uložená a zpracovávaná na sdílených virtuálních a fyzických strojích tak, aby byla zajištěna důvěrnost a integrita těchto dat.

6. Správa identit a řízení přístupu

1. Poskytovatel umožní využívat pro přístup do správy služby cloud computingu vícefaktorovou autentizaci.

2. Poskytovatel umožňuje řídit přístupy uživatelů do služby cloud computingu zejména ve smyslu:

1. Přiřazovat jedinečná uživatelská jména.

2. Udělovat a upravovat uživatelské účty a přístupová oprávnění na základě zásady nejnižšího oprávnění a pravidla need-to-know.

3. Pravidelně kontrolovat přidělení uživatelských účtů a přístupových oprávnění, alespoň jednou za 90 dní.

4. Blokovat a odebírat přístupové účty v případě nečinnosti.

5. Odebírat nebo měnit přístupová oprávnění při ukončení nebo změně smluvního vztahu.

3. Poskytovatel v rámci své organizace řídí přístupy k informačnímu systému využívaného k poskytování služeb cloud computingu objednateli.

7. Správa klíčů a šifrování

1. Poskytovatel má zavedené a zdokumentované politiky týkající se technických a organizačních opatření pro kryptografické procedury a správu kryptografických klíčů, ve kterých jsou popsány alespoň tyto činnosti a oblasti:

1. Používání aktuálně odolných kryptografických postupů a bezpečných síťových protokolů zohledňujících nejnovější poznatky a postupy v dané oblasti.

2. Šifrování, které je na základě risk-based analýzy přizpůsobeno povaze dat, komunikačním kanálům, typu, síle a kvalitě šifrování.

3. Požadavků na zabezpečení generování, uchovávání, vyzvednutí, distribuci, stažení a výmaz šifrovacích klíčů.

4. Zvážení relevantních právních a regulatorních závazků a požadavků.

2. Poskytovatel má zavedeny procesy a technická opatření s aktuálně odolnými kryptografickými nástroji a autentizací pro přenos zákaznických dat po sítích mimo kontrolu poskytovatele.

3. Poskytovatel má zavedeny procesy a technická opatření pro šifrování zákaznických dat a uživatelů během uchovávání.

4. Postupy a technická opatření pro bezpečné řízení klíčů a certifikátů v oblasti odpovědnosti poskytovatele zahrnují zejména:

1. Generování klíčů pro různé kryptografické systémy a aplikace.

2. Vydávání a získávání certifikátů veřejného klíče.

3. Poskytování a aktivace klíčů.

4. Bezpečné ukládání klíčů (oddělení systému správy klíčů od úrovně aplikací a middlewaru) včetně popisu toho, jak oprávnění uživatelé získávají přístup.

5. Změna nebo aktualizace kryptografických klíčů včetně politik definujících, za jakých podmínek a jakým způsobem mají být změny nebo aktualizace provedeny.

6. Zacházení s klíči podezřelými z kompromitace.

7. Zneplatnění a vymazání klíčů.

8. Jsou-li použity předem sdílené klíče, specifická ustanovení týkající se bezpečného použití tohoto postupu jsou specifikována samostatně.

8. Zabezpečení komunikace

1. Poskytovatel má zavedeny technické záruky, které jsou vhodné k rychlému odhalení a reakci na síťové útoky na základě nepravidelných vzorců příchozího nebo odchozího provozu a/nebo distribuované útoky typu Denial-of-Service (DDoS).

2. Data objednatele, přenášená do služby cloud computingu jsou chráněna proti neoprávněnému zásahu, kopírování, úpravě, přesměrování nebo vymazání v souladu s jeho požadavky na zajištění bezpečnosti informací.

3. Poskytovatel chrání data objednatele přenášená ze služby cloud computingu proti neoprávněnému zásahu, kopírování, úpravě, přesměrování nebo vymazání v souladu se svou politikou bezpečnosti informací.

9. Přenositelnost, propojení a exit strategie

1. Poskytovatel vydá při ukončení využívání služby cloud computingu zákaznická data a provozní údaje, které souvisí s provozem služby cloud computingu objednateli, nebo je zpřístupní přes definovaná rozhraní (formát a rozsah dat odpovídají smluvním dohodám, které byly uzavřeny před používáním služby cloud computingu).

2. Poskytovatel má povinnost uhradit objednateli náklady spojené s přenosem dat od poskytovatele do systému určeného objednatelem v případě, že je aktivování exit strategie způsobeno hrubým porušením smluvního vztahu, které nebylo způsobeno objednatelem.

3. Poskytovatel zajistí při ukončení využívání služby cloud computingu bezpečnou likvidaci informačních aktiv objednatele (zákaznická data a provozní údaje) po bezprostředně po jejich vydání objednateli, a to v souladu se smluvními ujednáními a relevantními právními a regulatorními požadavky.

10. Nákup, vývoj a úprava informačních systémů

1. Poskytovatel má zaveden proces řízení změn.

2. Produkční prostředí poskytovatele je fyzicky nebo logicky odděleno od testovacích nebo vývojových prostředí, aby se zabránilo neautorizovanému přístupu k zákaznickým datům, šíření malwaru nebo změnám technických aktiv.

3. Data obsažena v produkčních prostředích se nepoužívají v testovacích nebo vývojových prostředích, aby nedošlo k ohrožení jejich důvěrnosti.

11. Řízení dodavatelů

1. Poskytovatel informuje o svých systematických zpracovatelích, a to jak před uzavřením smlouvy, tak vždy s dostatečným předstihem, než dojde k jejich změně.

2. V případě nesouhlasu objednatele se změnou systematického zpracovatele, poskytovatel tuto změnu neprovede nebo objednatel může jednostranně ukončit smluvní vztah s poskytovatelem bez sankcí ze strany poskytovatele.

12. Správa kybernetických bezpečnostních událostí a incidentů

1. Poskytovatel bez zbytečného odkladu informuje objednatele stanoveným způsobem o každém kybernetickém bezpečnostním incidentu, který se týká zákaznických dat objednatele a souvisejících provozních údajů.

2. Poskytovatel má zaveden a využívá nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí.

13. Řízení kontinuity činností

Poskytovatel zajistí, že v jeho pohotovostních plánech je zahrnut případ neočekávaného omezení přístupu k datům objednatele.

1 objednatel v současné době předběžně počítá s realizací celkem 20 vrcholných akcí

2 vizte článek II. odstavec 12 této smlouvy