Contract
Smluvní strany, vědomy si svých závazků v této Rámcové dohodě obsažených a s úmyslem být touto Rámcovou dohodou vázány, dohodly se na následujícím znění Rámcové dohody:
2. ÚVODNÍ USTANOVENÍ
2.1 Objednatel prohlašuje, že je organizační složkou státu v přímé řídící působnosti Ministerstva zdravotnictví České republiky, splňuje veškeré podmínky a požadavky v této Rámcové dohodě stanovené a je oprávněn tuto Rámcovou dohodu uzavřít a řádně plnit závazky v ní obsažené.
2.2 Poskytovatel prohlašuje, že:
2.2.1 je právnickou osobou řádně založenou a existující podle českého právního řádu, splňuje veškeré podmínky a požadavky v této Rámcové dohodě stanovené a je oprávněn tuto Rámcovou dohodu uzavřít a řádně plnit závazky v ní obsažené.
2.2.2 je dostatečně obeznámen s předmětem plnění této Rámcové dohody a okolnostmi s tím souvisejícími a s přihlédnutím k tomu prohlašuje, že disponuje veškerými odbornými dovednostmi, profesními předpoklady, zkušenostmi a prostředky umožňujícími mu splnit předmět této Rámcové dohody.
2.2.3 má zájem Xxxxxxxx zakázku (jak je tento pojem definován v čl. 3.1 níže) pro Objednatele řádně a včas splnit za úplatu sjednanou v této Rámcové dohodě. Dále Poskytovatel prohlašuje, že se detailně seznámil s rozsahem a povahou předmětu Xxxxxxx zakázky, že jsou mu známy veškeré technické, kvalitativní a jiné podmínky nezbytné k její realizaci, těmto podmínkám rozumí a je schopný je dodržet, a
2.2.4 disponuje veškerými profesními znalostmi a dovednostmi k řádnému splnění předmětu Veřejné zakázky, a že všechny osoby, které použije k plnění této Rámcové dohody, mají potřebné vzdělání, zkušenosti či jinou profesní způsobilost k plnění, které má Poskytovatel dle této Rámcové dohody poskytovat.
2.2.5 bere na vědomí, že Objednatel je správcem významných informačních systémů dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), a zároveň Významným dodavatelem a Provozovatelem KII a VIS, jejichž správcem je Ministerstvo zdravotnictví, dle ZKB. Poskytovatel dále tímto bere na vědomí, že plnění dle této Rámcové dohody bude prováděno na podpůrných aktivech KII a VIS.
2.2.6 se zavazuje postupovat v souladu se zavedeným systémem řízení bezpečnosti informací Objednatele.
2.2.7 bere na vědomí, že je informován Objednatelem, že je Významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1, písm. f) a odst. 2 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „VKB“) ve znění Přílohy č. 7
Strana 2
3. ÚČEL RÁMCOVÉ DOHODY
3.1 Účelem této Rámcové dohody je splnění předmětu nadlimitní Veřejné zakázky s názvem „Služby provozní podpory systému eREG a rozvoj“, část 1 ev. číslo: Z2021- 043691 (dále též jen „Veřejná zakázka“) jak vyplývá ze zadávací dokumentace k Veřejné zakázce (dále též jen „ZD“), tedy poskytování služeb paušální podpory (dále též jen „paušální podpora“) a poskytování ad-hoc služeb specifikovaných v této Rámcové dohodě (dále také jen „ad-hoc“) (paušální podpora a ad-hoc společně dále též jen „Služby“) zahrnujících i rozvoj registrů. Účelem této Rámcové dohody je zajištění technické, uživatelské a administrativní správy a podpory registrů zahrnující všechny kategorie činností nezbytných k tomu, aby informační systém eREG fungoval bez vad.
Tato část Rámcové dohody se dále dělí na jednotlivé registry uvedené v příloze č. 1, přičemž pro účely této Rámcové dohody se registrem rozumí informační systém, případně agendový informační systém, provozovaný v rámci jednotné technologické platformy registrů Ministerstva zdravotnictví (EREG) (dále též jen „registr“ nebo
„registry“)
3.2 Poskytovatel garantuje Objednateli splnění zadání Veřejné zakázky a všech z toho vyplývajících podmínek podle ZD. Tato garance je nadřazena ostatním podmínkám a garancím uvedeným v Rámcové dohodě. Pro vyloučení jakýchkoliv pochybností to znamená, že:
3.2.1 v případě chybějících ustanovení této Rámcové dohody budou použita dostatečně konkrétní ustanovení ZD;
3.2.2 v případě jakýchkoliv nejasností o výkladu této Rámcové dohody se použije výklad nejpřesněji odpovídající obsahu a účelu ZD;
3.2.3 Poskytovatel je vázán svou nabídkou předloženou Objednateli v rámci zadávacího řízení na zadání Veřejné zakázky, která se pro úpravu vzájemných vztahů vyplývajících z této Rámcové dohody použije subsidiárně.
4. PŘEDMĚT RÁMCOVÉ DOHODY
4.1 Předmětem Rámcové dohody uzavřené na základě plnění Veřejné zakázky, je poskytování paušální podpory informačního systému eREG, tedy technická, uživatelská a administrativní správa a podpora zahrnující všechny kategorie činností nezbytných k tomu, aby informační systém eREG fungoval bez vad a dále rozvoj registrů. Těmito službami se zejména rozumí dohled nad správnou funkčností a bezproblémovým chodem systému, , řešení nahlášených incidentů v rámci garantovaných reakčních časů, realizace změnových požadavků, optimalizace výkonu a další rozvoj tohoto systému a dále poskytování ad-hoc služeb uvedených v čl. 7.7 a
7.8 Rámcové dohody. Objednatel se zavazuje zaplatit Poskytovateli za řádné poskytnutí plnění cenu sjednanou v této Rámcové dohodě a v jednotlivých objednávkách.
4.2 V případě registru, u kterého nedochází ze strany Objednatele k čerpání paušální podpory dle ZD, jsou všechna ustanovení Rámcové dohody, která paušální podporu, tedy část předmětu Rámcové dohody, a všechna ustanovení s ní související, popisují, považovány za bezpředmětné a vztahy Smluvních stran se těmito ustanoveními, vyjma čl. 7.6.8 a 7.6.9., neřídí.
Strana 3
4.3 | Objednatel poskytne Poskytovateli součinnost za předpokladu, že si Poskytovatel tuto součinnost výslovně vyžádal a s ohledem na předmět plnění této Rámcové dohody lze její poskytnutí po Objednateli spravedlivě požadovat. Objednatel zejména není povinen poskytnout Poskytovateli požadovanou součinnost v rozsahu, v jakém si Poskytovatel může zajistit obdobné plnění, jako je předmět požadované součinnosti, jinými způsoby než prostřednictvím součinnosti Objednatele nebo je předmět požadované součinnosti součástí předmětu plnění této Rámcové dohody. | |
4.4 | Nestanoví-li tato Rámcová dohoda výslovně jinak, není povinností Poskytovatele podle této Rámcové dohody obstarávat pro Objednatele prodloužení trvání užívacích práv k software, který Objednatel užíval v okamžiku nabytí účinnosti Rámcové dohody (dále jen „Stávající software“), a Poskytovatel není povinen hradit udržovací či jiné poplatky spojené se Stávajícím softwarem, není-li touto Rámcovou dohodou výslovně sjednáno jinak. Poskytovatel se zavazuje seznámit se s licenčními podmínkami Stávajícího software a při poskytování Služeb dle této Rámcové dohody dbát na jejich dodržování. Aniž je tím dotčeno ujednání uvedené v rámci předchozí věty, je Poskytovatel povinen upozornit Objednatele na případné porušení licenčních podmínek Stávajícího software neprodleně poté, co se o jejich porušení či hrozbě takového porušení dozví, bez ohledu na to, kdo takové porušení způsobil. | |
4.5 | Poskytovatel se zavazuje Služby poskytovat sám, nebo s využitím třetích osob (poddodavatelů) uvedených v Příloze č. 2 této Rámcové dohody. Jakákoliv dodatečná změna osoby poddodavatele nebo zvětšení rozsahu plnění svěřeného poddodavateli musí být předem písemně schválena Objednatelem. Při poskytování Služeb poddodavatelem, ať již Objednatelem schváleným či neschváleným, má Poskytovatel odpovědnost, jako by Služby poskytoval sám. | |
4.6 | Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnostních aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systémů je určen předmětem této Rámcové dohody. | |
5. | EXIT | |
5.1 | Poskytovatel se zavazuje dle pokynů Objednatele poskytnout veškerou potřebnou součinnost, dokumentaci a informace, účastnit se jednání s Objednatelem a popřípadě třetími osobami za účelem plynulého a řádného převedení všech činností spojených s poskytováním Služeb na Objednatele a/nebo nového poskytovatele, ke kterému dojde po skončení účinnosti této Rámcové dohody (dále jen „Exit“). | |
5.2 | Za tímto účelem se Poskytovatel zavazuje ve lhůtách dle čl. 5.3 Rámcové dohody dopracovat na základě pokynu Objednatele dokumentaci vymezující postup provedení Exitu (dále jen „Exitový plán“) s úpravou dle aktuální znalosti plynoucí z plnění této Rámcové dohody, a poskytnout plnění nezbytná k realizaci tohoto Exitového plánu za přiměřeného použití vhodných ustanovení této Rámcové dohody. Součástí „Exitového plánu“ bude „Migrační plán“, který bude uplatněn v případě přechodu na nový systém. Závazek dle tohoto ustanovení platí i po uplynutí doby trvání této Rámcové dohody, a to nejméně 6 měsíců po jejím ukončení. | |
5.3 | Objednatel je oprávněn požádat o dopracování Exitového plánu nejdříve 15 měsíců před řádným ukončením účinnosti této Rámcové dohody, kdykoli spolu s odstoupením Objednatele od této Rámcové dohody nebo výpovědí této Rámcové dohody ze strany Objednatele či Poskytovatele, nebo i po odstoupení od této |
Strana 4
Rámcové dohody či výpovědi této Rámcové dohody ze strany Objednatele či Poskytovatele. Poskytovatel se zavazuje vypracovat Exitový plán a poskytnout plnění nezbytná k jeho realizaci do 1 měsíce od doručení takového požadavku Objednatele, nestanoví-li Objednatel jinak. Vypracováním Exitového plánu se rozumí jeho schválení Objednatelem.
5.4 Smluvní strany se dohodly, že cena za vypracování Exitového plánu a poskytnutí plnění nezbytného k realizaci Exitového plánu či poskytování další součinnosti dle tohoto článku Rámcové dohody bude hrazena v rámci činnosti dle ad-hoc požadavku ze strany Objednatele s názvem „Konzultace a odborné posudky, včetně dokumentačních služeb“.
6. DOBA A MÍSTO PLNĚNÍ
6.1 Místem poskytování Služeb jsou dle povahy plnění prostory Objednatele a jeho přidružená pracoviště nebo sídlo Poskytovatele. Některé činnosti Poskytovatele dle této Rámcové dohody (např. vzdálený dohled, testování apod.) může Poskytovatel provádět ve svých prostorách či vzdáleným přístupem, bude-li takový postup v souladu s právními předpisy a oprávněnými zájmy Objednatele, a pokud Objednatel nebude mít vůči takovému postupu výhrady.
6.2 Poskytovatel se zavazuje poskytovat Služby v době stanovené v nabídce
Poskytovatele k Veřejné zakázce a objednávkách Objednatele.
6.3 Poskytovatel se zavazuje zahájit poskytování všech služeb paušální podpory ode dne následujícího po ukončení Inicializace dle čl. 7.1 Rámcové dohody a poskytovat je následně v plném rozsahu po celou zbývající dobu účinnosti Rámcové dohody. Pro vyloučení pochybností se uvádí, že služby paušální podpory nejsou po dobu jejich Inicializace poskytovány a za toto období nárok na úhradu měsíční ceny služeb paušální podpory nevzniká.
7. ZPŮSOB POSKYTOVÁNÍ SLUŽEB
7.1 Poskytovatel se zavazuje provést inicializaci služeb paušální podpory v souladu s čl.
7.1 a 7.2 Rámcové dohody (dále jen „Inicializace“). Služby paušální podpory budou poskytovány od okamžiku ukončení jejich Inicializace, který bude smluvními stranami potvrzen v písemném protokolu o Inicializaci služby. Pro vyloučení pochybností se uvádí, že obecné parametry služeb paušální podpory, které jsou specifikovány v této Rámcové dohodě, nepodléhají samostatné Inicializaci.
7.2 Služby paušální podpory budou inicializovány ve spolupráci Poskytovatele s Objednatelem a též ve spolupráci s dosavadním poskytovatelem služeb obdobných službám paušální podpory (dále jen „služby obdobné“ a „Dosavadní poskytovatel“), pokud tento existuje. Smyslem Inicializace je předání znalostí Poskytovateli a seznámení se Poskytovatele s podmínkami poskytování služeb obdobných v takovém rozsahu, aby Poskytovatel byl schopen poskytování služby paušální podpory řádně zahájit a nést plnou odpovědnost za toto plnění.
7.3 Bude-li Objednatel požadovat zpracování Exitového plánu dle této Rámcové dohody Poskytovatelem, zavazuje se Poskytovatel detailně zpracovat a dále aktualizovat Exitový plán, aby byla zohledněna specifika prostředí Objednatele a případné požadavky Objednatele a tento předložit Objednateli k akceptaci. Pro vyloučení pochybností, kde se v této Rámcové dohodě odkazuje na Exitový plán, má se na
Strana 5
mysli jeho aktualizovaná verze, a to od okamžiku, kdy k akceptaci takové aktualizace došlo.
7.4 Poskytovatel poskytuje k výsledkům poskytovaného plnění včetně Služeb, které podléhá akceptaci dle této Rámcové dohody, záruku za jakost v trvání 24 měsíců ode dne akceptace výsledku poskytnutých Služeb. V rámci záruky za jakost dle tohoto článku odpovídá Poskytovatel za to, že výsledky poskytovaného plnění včetně Služeb budou plně funkční a způsobilé pro použití ke smluvenému účelu, budou odpovídat sjednané funkční a technické specifikaci a parametrům uvedeným v této Rámcové dohodě a budou bez jakýchkoliv vad. Záruka se vztahuje na všechny části výsledků poskytovaného plnění včetně Služeb, stejně jako jeho příslušenství a pokrývá všechny součásti plnění týkající se provedení výsledků poskytovaného plnění včetně Služeb, stejně jako produktů třetích stran, které byly využity při realizaci poskytnutého plnění včetně Služeb. Neoznámení vady bez zbytečného odkladu nemá vliv na uplatnitelnost nároku Objednatele z odpovědnosti Poskytovatele za tyto vady, pokud vady byly oznámeny alespoň před koncem záruční doby.
7.5 Poskytovatel se zavazuje, že v záruční lhůtě zdarma odstraní veškeré vady, které budou způsobovat, že Služba není způsobilá pro použití ke smluvenému účelu, nebo že pozbude smluvené či obvyklé vlastnosti. Je-li součástí Služby poskytované dle této Rámcové dohody software, vztahuje se záruka i na takovýto software za přiměřeného použití výše uvedených podmínek. Pro vyloučení pochybností se uvádí, že ustanovení tohoto článku se vztahuje rovněž na dokumentaci vypracovávanou, dodávanou či upravovanou podle této Rámcové dohody, která byla předána Objednateli. Neoznámení vady bez zbytečného odkladu nemá vliv na uplatnitelnost nároku Objednatele z odpovědnosti Poskytovatele za tyto vady, pokud vady byly oznámeny alespoň před koncem záruční doby.
7.6 Paušální podpora
7.6.1 U registrů, kde jsou uvedeny služby paušální podpory, a budou realizovány pravidelné paušální platby, budou požadovány pro části aplikací provozovaných v garantovaném režimu pro provozní, testovací či školící prostředí dle Přílohy č. 4 ZD následující činnosti prováděné v rámci paušální podpory:
Bezpečnostní upgrade aplikačního SW |
Monitoring a optimalizace chodu aplikace, hlášení nedostatků |
Kontrola logů, monitoring dostupnosti a výkonu |
Změny konfigurace |
Datové konverze |
Zpracování analýz a nacenění požadavků Zadavatele |
Pohotovost (dostupnost veškeré podpory a komunikačních kanálů) |
Metodická konzultace 2nd level - rozšířený rozsah |
Aktualizace uživatelské a systémové dokumentace |
Projektové řízení výše uvedených činností |
v rozsahu dle Objednatelem stanoveného počtu běžných člověkodnů za kalendářní měsíc / kalendářní rok pro jednotlivé části Veřejné zakázky.
Strana 6
7.6.2 Službami paušální podpory se rozumí také zajištění správy a údržby programového vybavení pro informační systém eREG, hlášení provozních problémů/havárií tak, aby nebyl v žádném okamžiku ohrožen řádný výkon a data registrů, jež jsou součástí informačního systému eREG;
7.6.3 Dále se službami paušální podpory rozumí podpora a obsluha užívání registru, zejména zodpovídáním telefonických dotazů, řešení servisních požadavků a e-mailových dotazů vznesených uživateli registru, podávání technických informací o registru a v poskytování asistence uživatelům prostřednictvím vzdáleného přístupu;
7.6.4 Aktualizací uživatelské a systémové dokumentace se rozumí udržování dokumentace v souladu a aktuálním stavem registrů a dalších informačních systémů (dále také jen „IS“), zejména se jedná o následující dokumenty:
a) uživatelská dokumentace
b) systémová dokumentace
c) bezpečnostní dokumentace
d) programátorská dokumentace
7.6.5 Paušální podpora zajistí, aby nebyl v žádném okamžiku ohrožen řádný výkon a data Registrů, jež jsou součástí informačního systému eREG;
7.6.6 Poskytovatel se zavazuje v rámci plnění paušální činnosti „Monitoring a optimalizace chodu aplikace, hlášení nedostatků“ nahlásit Objednateli dohodnutým způsobem jím zjištěné havárie, chyby a nedostatky neprodleně od zjištění této skutečnosti, nejdéle pak do 30 min.
7.6.7 Poskytovatel se zavazuje vyjma urgentních případů (havárií) informovat poskytovatele všech dalších IS provozovaných na společné jednotné technologické platformě o všech změnových požadavcích, které mohou mít dopad na předmětný systém podporovaný daným Poskytovatelem. Poskytovatel se v rámci zajištění služeb paušální podpory zavazuje k takto zaslaným požadavkům vyjádřit bez zbytečného prodlení, nejpozději do 1 (slovy „jednoho“) pracovního dne od jejich doručení, a to v kategorii, zda realizace tohoto požadavku má či nemá dopad na jím podporované systémy. V případě, že ano, zavazuje se v rámci paušální podpory popsat dopad na jeho systémy, a to tak, aby bylo možné požadavek redefinovat či specifikovat požadavky navazující.
7.6.8 Poskytovatel se zavazuje provést analýzu dopadu a nacenění požadavku Objednatele v rámci plnění paušální podpory „Zpracování analýz a nacenění požadavků Objednatele“ a to v těchto časech pro tyto kategorie požadavků:
7.6.8.1 Havárie (A) – do 2 hodin od oslovení Objednatelem
7.6.8.2 Chyba (B) do 2 dnů od oslovení Objednatelem, nedostatek (C) – dle
vzájemné dohody mezi objednatelem a dodavatelem
7.6.9 V případě, že není u registru uvedeno žádné finanční plnění v rámci paušální podpory, zavazuje se Poskytovatel provést činnost „Zpracování analýz a nacenění požadavků Objednatele v rámci součinnosti s Objednatelem , a to v těchto časech pro tyto kategorie požadavků:
7.6.9.1 Havárie (A) – do 2 hodin od oslovení Objednatelem
Strana 7
7.6.9.2 Chyba (B) do 2 dnů od oslovení Objednatelem, nedostatek (C) – dle
vzájemné dohody mezi objednatelem a dodavatelem
7.6.10 V případě, že bude formou ad-hoc objednávek ze strany Objednatele objednán konkrétní změnový požadavek, u něhož Poskytovatel vypracoval v rámci činnosti „Zpracování analýz a nacenění požadavků Objednatele“ analýzu dopadu (návrh technické specifikace řešení) a pracnost řešení, budou tyto informace použity jako součást ad-hoc objednávky.
7.6.11 Poskytovatel se zavazuje poskytovat paušální podporu s odbornou péčí a s péčí řádného hospodáře odpovídající podmínkám sjednaným v této Rámcové dohodě; dostane-li se Poskytovatel do prodlení s povinností poskytovat služby paušální podpory řádně bez zavinění Objednatele či v důsledku překážky vylučující povinnost k náhradě škody po dobu delší 10 pracovních dnů od prvního dne, kdy se Poskytovatel dostal do prodlení, je Objednatel oprávněn zajistit poskytování paušální podpory dle této Rámcové dohody po dobu prodlení Poskytovatele jinou osobou; v takovém případě nese náklady spojené s náhradním plněním Poskytovatel;
7.6.12 Paušální podpora bude poskytována nepřetržitě od jejího zahájení poskytování až do data skončení platnosti Rámcové dohody.
7.6.13 Poskytovatel se zavazuje, že v rámci služeb paušální podpory zprovozní nejpozději ke dni zahájení jejich poskytování řešení pro monitoring provozu příslušného registru, který bude sloužit k dohledu nad poskytováním paušální podpory. Zprovozněné řešení monitoringu služeb paušální podpory umožní předávání a přijímání informací ke sledování kvalitativních a kvantitativních parametrů paušální podpory v středisku technické podpory Objednatele (dále jen „Service Desk“) a současně také sledování kvalitativních a kvantitativních parametrů služby paušální podpory Poskytovatelem (dále jen „Monitoring“).
7.6.14 Na základě Monitoringu budou Poskytovatelem vypracovávány a Objednateli doručovány přehledné a kompletní výkazy a výsledky Monitoringu, informace ze Service Desku a další informace relevantní pro poskytování služby paušální podpory, a to formou písemné zprávy o poskytování paušální podpory (dále též jen „Report“), Reporty budou vypracovávány vždy pro vyhodnocovací období 1 kalendářního měsíce (dále jen „Vyhodnocovací období“) a budou Objednateli doručeny nejpozději do 15 pracovních dní od ukončení daného Vyhodnocovacího období.
7.6.15 Za účelem poskytování služeb paušální podpory a pro příjem servisních požadavků je Poskytovatel povinen, nestanoví-li Rámcová dohoda odlišně, případně, nedojde-li k jiné dohodě mezi objednatelem a poskytovatelem, udržovat po celou dobu účinnosti této Rámcové dohody či po dobu poskytování služeb paušální podpory rozhraní (Service Desk) napojené na HelpDesk Objednatele, dle dokumentu UZIS_HelpDesk_Email Control, v rámci kterého budou moci uživatelé na straně Objednatele telefonicky komunikovat v českém jazyce za v místě a čase běžné hovorné a jemuž budou moci zasílat své servisní požadavky.
7.6.16 Ve vztahu k poskytování služeb paušální podpory se Poskytovatel dále
zavazuje:
Strana 8
7.6.16.1 udržovat vlastní technické prostředky, které slouží k poskytování služeb paušální podpory, ve stavu umožňujícím nepřetržitý provoz a zabezpečení garantované a dohodnuté kvality poskytovaných služeb paušální podpory;
7.6.16.2 přijmout potřebná technická a věcná opatření tak, aby byla zajištěna integrita, důvěrnost a dostupnost dat uložených v daném registru v souladu s účelem této Rámcové dohody;
7.6.16.3 písemně oznámit Objednateli požadovaný termín a rozsah odstávky daného registru a též požadované termíny výluky služby paušální podpory prováděné za účelem plánované údržby registru (dále jen jako „odstávka Registru“), alespoň 10 pracovních dnů předem. Odstávka Registru je možná pouze se souhlasem Objednatele. Objednatel se zavazuje, že svůj souhlas nebude bezdůvodně odpírat. Pokud nebude souhlas udělen ve vztahu ke konkrétnímu termínu, není Poskytovatel oprávněn takovouto odstávku registru provést a Objednatel je povinen bezodkladně navrhnout nový termín pro provedení údržby registru. Takto sjednaná doba odstávky registru se nezapočítává do procentuální dostupnosti registrů provádět nepřetržitý Monitoring provozu registru a služeb paušální podpory zajišťovat průběžně správu pro optimální provoz registru a služeb paušální podpory. Poskytovatel je v rámci služeb paušální podpory povinen poskytovat veškeré činnosti zahrnuté do služeb paušální podpory bez ohledu na skutečný počet vynaložených člověkodní a v případě překročení Objednatelem závazně stanovené pracnosti nemá nárok na úhradu jakýchkoli dalších nákladů. Současně v případě, kdy budou služby paušální podpory poskytovány s pracností nižší, nemá Objednatel nárok na slevu z ceny služeb paušální podpory.
7.6.17 V případě porušení povinností Poskytovatele poskytovat paušální podporu dle článku 7.6 Rámcové dohody vzniká Objednateli nárok na smluvní pokutu ve výši 5.000,- Kč za každý započatý den neposkytování paušální podpory.
7.6.18 V případě porušení povinnosti Poskytovatele s dobou řešení incidentu dle čl. 7.9 Rámcové dohody vzniká objednateli nárok na smluvní pokutu:
• ve výši 1.000 Kč za každou hodinu zpoždění v případě Havárie (A)
• ve výši 5000 Kč za každý i započatý den zpoždění v případě Chyby (B) či Nedostatku (C)
7.7 Realizace běžného ad-hoc požadavku
Činnosti poskytované v rámci realizace ad-hoc požadavku, které budou realizovány formou ad-hoc objednávek, budou Objednatelem objednány dle níže uvedeného postupu:
7.7.1 Objednatel je oprávněn objednat u Poskytovatele plnění ad-hoc Služeb (dále též jen „objednávka“), přičemž objednávka musí obsahovat:
Strana 9
7.7.1.1 Konkrétní označení a termín dodání plnění.
7.7.1.2 Předpokládaný rozsah plnění v člověkodnech (dále též jen „MD“).
7.7.1.3 Změnovou kartu požadavku (dále též jen „ZP“), která obsahuje technickou specifikaci a je na ní uvedeno:
a) Název požadavku
b) Dostatečně podrobný popis požadovaného plnění.
c) Navržené řešení požadovaného plnění ze strany
Poskytovatele (analýza dopadu).
d) Případné požadavky na nezbytnou součinnost Objednatele při realizaci plnění, je-li to požadováno;
e) Dobu poskytnutí plnění, která musí respektovat v Objednávce určený termín plnění, ledaže by tento termín byl nepřiměřeně krátký a Poskytovatel tuto skutečnost ve specifikaci dostatečně odůvodní s návrhem nejbližšího možného termínu plnění, který je realizovatelný;
f) Počet MD, který musí respektovat v objednávce stanovený rozsah pracnosti, ledaže by tento rozsah byl nepřiměřeně nízký a Poskytovatel tuto skutečnost v příslušné specifikaci dostatečně odůvodní s návrhem nejnižšího rozsahu pracnosti, v rámci kterého je realizace plnění proveditelná;
g) V případě prodlení Poskytovatele s dodáním požadovaného plnění ve stanoveném termínu, má Objednatel nárok na smluvní pokutu ve výši 1 000,-
Kč za každou započatou hodinu prodlení
h) Informace, zda má realizace ad-hoc služby vliv na funkčnost JTP, či funkčnost ostatních registrů implementovaných v JTP.
i) Informace, zda po realizaci ad-hoc služby dochází ke změně v dokumentaci daného registru.
j) Informace, zda plnění objednávky bude otestováno na produkčním, nebo testovacím prostředí.
7.7.1.4 Body c) – f) vyplňuje Poskytovatel samostatně zdarma, ostatní Objednatel ve spolupráci s Poskytovatelem.
7.7.1.5 Informace na základě jakého smluvního vztahu bude objednávka vystavena.
7.7.2 V případě, že si Objednatel vyžádá úpravu specifikace, je Poskytovatel povinen tuto úpravu provést. Akceptace objednávky je provedena podpisem Poskytovatele na objednávce.
7.7.3 Pokud celková fakturace za realizaci objednávky překročí částku
50.000,- Kč bez DPH, je objednávka účinná až jejím zveřejněním v
Strana 10
realizaci příslušné ad-hoc služby a Poskytovatel jako odborník o nutnosti poskytnutí takových plnění věděl, nebo měl vědět; pro vyloučení pochybností, cena za ad-hoc služby již zahrnuje odměnu za taková dodatečná plnění. V případě zrušení ad-hoc požadavku z důvodu na straně Objednatele, má Poskytovatel nárok na proplacení účelně vynaložených nákladů.
7.8 Realizace urgentního ad-hoc požadavku
7.8.1 V případech realizace urgentního ad-hoc požadavku a oznámení nutných úkonů dle čl. 7.8.2 Rámcové dohody se též připouští možnost Objednatele využít telefonického, nebo emailového oznámení, které musí být bezodkladně po provedení takového úkonu potvrzeno způsobem dle čl. 8.6 Rámcové dohody. Smluvní strany nebo interní předpis Objednatele mohou stanovit tyto procedury odchylně, za předpokladu, že k tomu došlo písemně a obě smluvní strany jsou s dohodnutým postupem srozuměny.
7.8.2 Poskytovatel je povinen i bez pokynů Objednatele bezodkladně oznámit Objednateli způsobem dle čl. 7.8.1 Rámcové dohody nutné úkony, které bez ohledu na to, zda jsou či nejsou předmětem této Rámcové dohody, budou s ohledem na nepředvídané okolnosti pro plnění této Rámcové dohody nebo objednávky nezbytné nebo jsou nezbytné pro zamezení vzniku škody a tyto úkony ihned po jejich zjištění provést.
7.8.3 Za nutné úkony dle čl. 7.8.2 je nezbytné považovat rovněž takové činnosti, jejichž periodicita je vymezena v SLA, avšak akutní potřeba jejich provedení vyvstane dříve.
7.8.4 V případě prodlení Poskytovatele s dodáním požadovaného plnění ve stanoveném termínu, má Objednatel nárok na smluvní pokutu ve výši 1 000,- Kč za každou započatou hodinu prodlení
7.8.5 Pokud celková fakturace za realizaci objednávky překročí částku 50.000,- Kč bez DPH, je objednávka účinná až jejím zveřejněním v registru smluv podle zákona č.340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů. Podmínkou pro zveřejnění je písemná akceptace objednávky ze strany Poskytovatele, kterou Poskytovatel zašle nejpozději následující pracovní den od doručení na e-mail adresu xxxxxxxx@xxxx.xx. Touto akceptací Poskytovatel souhlasí se zveřejněním v registru smluv, v souladu se zákonem o registru smluv.
7.8.6 Forma akceptace je následující:
Vaši objednávku č. …. ze dne:…. akceptujeme v plném rozsahu s celkovou cenou plnění …… ,- Kč bez DPH.
Akceptace provedena dne :DD.MM.RRRR
akceptuje: Poskytovatel: Xxxxx, Xxxxx a příjmení, Podpis
7.9 Řešení incidentů dle SLA.
7.9.1 Řešení incidentů se řídí dle SLA. Tabulky se stanovenými hodnotami SLA
k jednotlivým částem registrů (Příloha č. 4 ZD) mají následující podobu:
Strana 13
Poptávaná služba v provozním, testovacím či školícím prostředí registrů/systémů | |||||
Kategorie požadavku | Garantovaná doba přijetí hlášeného incidentu | Dostupnost služby (servisní doba) | Řešení zahájeno (response time) od akceptace objednávky Poskytovatelem | Výsledku dosaženo (fix time) od akceptace objednávky Poskytovatele m | |
Havárie (A) | doba | počet dní x počet hodin | doba | doba | |
Chyba (B) | doba | počet dní x počet hodin | doba | doba | |
Nedostatek (C) | doba | počet dní x počet hodin | doba | doba | |
7.9.1.1 Havárie (A) chyba či vada, která způsobuje provozní problémy a znemožňuje používání a využívání Registru či jeho jakékoli části k účelu, k němuž je určen. Havárií (A) se rozumí urgentní ad-hoc požadavek, dle čl. 7.8.
7.9.1.2 Chyba (B) - rozumí se méně závažné poruchy, chyby či vady nebo diference, které funkčně nebo kapacitně omezují používání a využívání Registru či jeho jakékoli části k účelu, k němuž je určen. Chybou (B) se rozumí Paušální podpora dle čl. 7.6 a Běžný požadavek ad-hoc, dle čl. 7.7
7.9.1.3 Nedostatek (C) - rozumí se ostatní chyby či vady nebo diference, které málo nebo vůbec neomezují používání a využívání Registru či jeho jakékoli části k účelu, k němuž je určen, nejsou však v souladu s dokumentací. Nedostatkem (C) se rozumí Paušální podpora dle čl. 7.6 a Běžný požadavek ad-hoc, dle čl. 7.7
7.9.1.4 O definitivní klasifikaci požadavku rozhoduje Objednatel. Vypořádání konkrétní kategorie požadavku je rozloženo do služeb paušální podpory a do činností realizovaných v rámci ad-hoc požadavků.
7.9.2 Den je v případě podpory v režimu 5x8 brán jako den pracovní, a to konkrétně od 8:00 do 16:00 hod. V případě podpory v režimu 7x24 se jedná o celý kalendářní den.
7.9.3 U ad-hoc požadavků přesahujících časových rámec dosažení výsledku, který je uveden v tabulkách SLA dle jednotlivých registrů, bude dosažení výsledku upřesněno v objednávce, dle výše uvedeného postupu.
7.9.4 Objednatel se zavazuje zaplatit Poskytovateli za řádné poskytnutí služby cenu
sjednanou v této Rámcové dohodě a v jednotlivých objednávkách.
Strana 14
8 POVINNOSTI SMLUVNÍCH STRAN
8.1 Objednatel je oprávněn při kontrole Přílohy č. 7 Rámcové dohody využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu.
8.2 Poskytovatel se zavazuje alokovat na poskytování Služeb dle této Rámcové dohody kapacity svých členů realizačního týmu a poskytovat plnění dle této Rámcové dohody za účasti členů realizačního týmu uvedeného v Příloze č. 2 této Rámcové dohody, xxxxx Xxxxxxxxxxxx prokázal svou kvalifikaci v zadávacím řízení Xxxxxxx xxxxxxx. Alokací kapacity se rozumí dostupnost kteréhokoliv člena realizačního týmu nebo jeho odpovídajícího náhradníka, jež má minimálně stejnou kvalifikaci jako nahrazovaný člen. Jakákoliv dodatečná změna členů realizačního týmu musí být předem projednána a písemně schválena Objednatelem, přičemž toto bude Objednatelem schváleno v závažných a odůvodněných případech. Poskytovatel se v takovém případě zavazuje nahradit osobu realizačního týmu takovou osobou, která disponuje požadovanými minimálními znalostmi a odbornou kvalifikací dle požadavků Objednatele uvedených v Zadávací dokumentaci.
8.3 Poskytovatel je povinen kdykoliv v průběhu doby trvání Rámcové dohody Objednateli na základě jeho výzvy do tří dnů od jejího doručení prokázat, že členy týmu uvedenými v příloze č. 2 disponuje.
8.4 Služby budou všemi členy týmu poskytovány v českém jazyce. Jestliže kterýkoli z členů týmu nehovoří českým jazykem na komunikativní úrovni, pak je Objednatel oprávněn ve vztahu k takovému členovi týmu využít služeb tlumočníka, přičemž v takovém případě uhradí veškeré náklady spojené s využitím služeb tlumočníka Poskytovatel. Změna členů týmu je možná jen z objektivních důvodů, přičemž tuto změnu je třeba písemně s Objednatelem potvrdit.
8.5 Poskytovatel se zavazuje poskytovat Služby dle této Rámcové dohody sám, nebo s využitím poddodavatelů uvedených v Příloze č. 2 této Rámcové dohody. Jakákoliv dodatečná změna osoby poddodavatele nebo rozsahu plnění svěřeného poddodavateli musí být předem písemně schválena Objednatelem, ledaže by plnění původně svěřené poddodavateli realizoval Poskytovatel sám. Smluvní strany výslovně uvádějí, že při poskytování plnění dle této Rámcové dohody prostřednictvím jakékoliv třetí osoby dle tohoto odstavce má Poskytovatel odpovědnost, jako by plnění dle této Rámcové dohody realizoval sám.
8.6 Poskytovatel se zavazuje:
a) upozorňovat Objednatele včas na všechny hrozící vady svého plnění, a to včetně vad vycházejících ze stávající platné legislativy dle této Rámcové dohody nebo dle objednávky, jakož i poskytovat Objednateli veškeré informace, které jsou pro plnění této Rámcové dohody nebo objednávky nezbytné;
b) na své náklady a s péčí řádného hospodáře podporovat, spravovat a udržovat veškeré technické prostředky Objednatele, které Poskytovatel převzal do užívání;
c) neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v plnění předmětu této Rámcové dohody nebo objednávky a výkonu dalších činností souvisejících s plněním předmětu této Rámcové dohody nebo objednávky;
d) upozornit Objednatele na potenciální rizika vzniku škod a včas a řádně dle svých možností provést taková opatření, která riziko zcela vyloučí nebo sníží;
e) postupovat při poskytování plnění podle této Rámcové dohody s odbornou péčí a aplikovat procesy „best practice“;
Strana 15
f) v případě potřeby průběžně komunikovat s Objednatelem a třetími osobami, vyžaduje-li to řádné poskytnutí plnění, přičemž veškerá taková komunikace bude probíhat v českém jazyce (případně slovenském, nebo za využití překladatele do českého jazyka);
g) zajistit, aby všechny osoby podílející se na plnění jeho závazků z této Rámcové dohody, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly účinné právní předpisy o bezpečnosti a ochraně zdraví při práci a veškeré interní předpisy Objednatele, s nimiž Objednatel Poskytovatele obeznámil;
h) informovat Objednatele o plnění svých povinností podle této Rámcové dohody a podle objednávky a o důležitých skutečnostech, které mohou mít vliv na výkon práv a plnění povinností smluvních stran;
i) chránit práva duševního vlastnictví Objednatele a třetích osob;
j) upozorňovat Objednatele na možné či vhodné rozšíření či změny Služeb;
k) upozorňovat Objednatele v odůvodněných případech na případnou nevhodnost pokynů Objednatele.
8.7 Poskytovatel se zavazuje, že nebude jakýmkoliv způsobem odporujícím oprávněným zájmům Objednatele jednat v součinnosti s jakoukoliv jinou osobou, která se podílí na poskytování plnění, které bylo předmětem Xxxxxxx zakázky.
8.8 Všechna oznámení mezi smluvními stranami, která se vztahují k této Rámcové dohodě, nebo která mají být učiněna na základě této Rámcové dohody, musí být učiněna v písemné podobě a druhé straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou na titulní stránce této Rámcové dohody, není-li stanoveno nebo mezi smluvními stranami dohodnuto jinak. Nemá-li komunikace dle předchozí věty mít vliv na platnost a účinnost Rámcové dohody, připouští se též doručení prostřednictvím faxu nebo e-mailu. Poskytovatel je oprávněn komunikovat s Objednatelem prostřednictvím datové schránky.
8.9 Poskytovatel se při plnění zavazuje dodržovat zásady bezpečnosti informací v souladu se ZKB a VKB. Bezpečností informací se v souladu se ZKB rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány, vytvářeny nebo zpracovávány v rámci plnění Poskytovatele dle této Rámcové dohody nebo v systémech, které mají vazbu na plnění Poskytovatele dle této Rámcové dohody a v souvislosti s kterými Objednateli vznikají právní povinnosti na základě ZKB (§ 3 tohoto zákona).
8.10 Poskytovatel je dále povinen:
a) bezodkladně oznamovat neobvyklé chování informačního a komunikačního systému a podezření na jakékoliv zranitelnosti bezpečnosti informací Objednatele,
b) poskytnout součinnost při realizaci auditu Poskytovatele Objednatelem dle relevantních právních předpisů o kybernetické bezpečnosti,
c) informovat Objednatele o výskytu bezpečnostních incidentů dle VKB,
d) informovat Objednatele o rizicích plnění a jejich řízení ze strany Poskytovatele,
e) informovat Objednatele o významné změně ovládání Poskytovatele. Ovládáním se rozumí vliv ovládání či řízení dle § 71 a násl. Zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů, či ekvivalentní postavení dle VKB.
8.11 Poskytovatel se zavazuje poskytnout Objednateli veškerou součinnost nezbytnou k tomu, aby
Strana 16
Objednatel řádně naplňoval právní povinnosti stanovené ZKB a VKB. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích. Zejména se Poskytovatel zavazuje poskytnout Objednateli součinnost směřující k zavedení a provádění bezpečnostních opatření podle uvedených právních předpisů.
8.12 Jestliže vznikne v souvislosti se zavedením a prováděním bezpečnostních opatření podle právních předpisů uvedených v předchozím odstavci potřeba uzavřít dodatek k této Rámcové dohodě nebo zvláštní smlouvu, zavazuje se Poskytovatel poskytnout veškerou součinnost nezbytnou k formulaci obsahu takového dodatku, resp. smlouvy, a k uzavření takového dodatku, resp. smlouvy.
8.13 Rozsah a povaha součinnosti Poskytovatele sjednané v Rámcové dohodě budou vždy určeny zejména podle rozsahu a povahy vlivu plnění Poskytovatele na bezpečnost informací Objednatele a rovněž podle rozsahu a vazeb plnění Poskytovatele na systémy, v souvislosti s kterými Objednateli vznikají právní povinnosti na základě zákona o kybernetické bezpečnosti (§ 3 tohoto zákona) a jeho prováděcích předpisů.
8.14 Poskytovatel prohlašuje, že má zavedena všechna bezpečnostní opatření, procesy a technologie, které prohlásil za zavedené (odpověděl ANO) v dotazníku Významného dodavatele dle vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat, který tvoří přílohu č. 8 Rámcové dohody.
8.15 Poskytovatel je povinen v rozsahu plnění této Rámcové dohody naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 7 Rámcové dohody. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Rámcové dohody a 1 (slovy: jeden) rok po ukončení platnosti Rámcové dohody provedení zákaznického auditu (kontroly):
a) jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Rámcové dohody a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a
b) jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle
§ 5 Přílohy č. 7 Rámcové dohody.
8.16 Poskytovatel umožní Objednateli kontrolu Přílohy č. 7 Rámcové dohody provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují.
8.17 Poskytovatel se nad rámec ustanovení této Rámcové dohody zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 MD (MD = člověkoden v rozsahu 8 pracovních hodin) při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků.
8.18 Poskytovatel se dále zavazuje nedostatky zjištěné:
1) na základě provedení hodnocení rizik dle § 5 v Příloze 7 Rámcové dohody
2) v rámci zákaznického auditu dle čl. 8.14 Rámcové dohody odstranit ve lhůtě určené v písemném oznámení Objednatele.
8.19 Čl. 8.1 a čl. 8.15 až 8.17 včetně této Rámcové dohody se neaplikují, pokud je Poskytovatel pro
poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB.
8.20 Poskytovatele se nad rámec ustanovení této Rámcové dohody také zavazuje:
a) Poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou
Strana 17
prokazovat naplnění Kybernetických požadavků dle Přílohy č. 7 Rámcové dohody.
b) Na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Rámcové dohody detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků dle Přílohy č. 7 Rámcové dohody a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.
c) Neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků dle Přílohy č. 7 Rámcové dohody, které nastanou kdykoli v průběhu trvání této Rámcové dohody.
d) Bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků dle Přílohy č. 7 Rámcové dohody, pokud stávající řešení přestalo být funkční a efektivní.
e) Bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Rámcové dohody.
f) Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům dle Přílohy č. 7 Rámcové dohody a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo obecně závaznými právními předpisy.
8.21 Poskytovatel se zavazuje zajistit, že veškeré činnosti budou podléhat definovaným standardům pro rozvoj a provoz Jednotné technologické platformy (dále jen „JTP“), kam budou jednotlivé registry implementovány. Jedná se zejména o metodiky:
a) Metodika vývoje software
b) Programátorská dokumentace
c) Metodika pro zavádění nových registrů
d) Metodika postupu testovacích prací
e) Metodika pro řízení provozu a rozvoje
f) Metodika testování software a jeho komponent
8.22 Poskytovatel nesmí postoupit jakoukoliv pohledávku vzniklou z této Rámcové dohody, nebo v souvislosti s ní, třetí straně bez předchozího písemného souhlasu Objednatele.
8.23 Poskytovatel se dále zavazuje poskytnout Objednateli veškeré informace potřebné ke splnění povinností Objednatele dle § 219 ZZVZ, popř. dle právního předpisu jej nahrazujícího, zejména, nikoli však výlučně:
a) nejpozději do 28. února následujícího kalendářního roku informaci o ceně uhrazené za plnění dle této Rámcové dohody v předchozím kalendářním roce plnění Rámcové dohody.
9 PŘEDÁNÍ A PŘEVZETÍ PLNĚNÍ
9.1 Každý výsledek služeb (běžný ad-hoc požadavek/ urgentní ad-hoc požadavek), který představuje samostatný předmět způsobilý přejímky (dále jen „dílčí plnění“), bude Objednatelem akceptován na základě akceptační procedury dle této Rámcové dohody a ZD.
Strana 18
Akceptační procedura, zahrnuje ověření, zda Poskytovatelem poskytnuté dílčí plnění je výsledkem, ke kterému se Poskytovatel zavázal, a to porovnáním skutečných vlastností jednotlivých dílčích plnění Poskytovatele s jejich závaznou specifikací uvedenou v příslušné objednávce či jiném dohodnutém závazném dokumentu za využití akceptačních kritérií tam stanovených nebo později pro tento účel dohodnutých smluvními stranami.
9.2 Akceptační procedura zahrnuje ověření, zda Poskytovatelem provedené dílčí plnění vedlo k výsledku, který je požadován objednávkou, tedy odpovídá specifikaci, která je na základě objednávky závaznou, a to porovnáním skutečných vlastností a funkcí jednotlivých částí takového plnění se sjednanými vlastnostmi.
9.3 Dílčí plnění bude předáváno Objednateli celé, případně po částech, přičemž vlastnosti jednotlivých předávaných částí dílčích plnění budou ověřeny prostřednictvím příslušné akceptace v souladu s postupem stanoveným v Příloze č. 4 této Rámcové dohody, není-li v této Rámcové dohodě výslovně stanoveno jinak.
9.4 K podpisu akceptačního protokolu jsou oprávněny tyto osoby:
a) Za Objednatele statutární zástupce, případně tímto zástupcem pověřená osoba; osoba Objednatele, která testuje funkčnost plnění.
b) Za věcného správce registru, jehož se akceptace plnění týká; statutární zástupce, případně tímto orgánem pověřená osoba (garant registru).
c) Za Poskytovatele statutární zástupce, případně tímto zástupcem pověřená osoba nebo oprávněná osoba
9.5 U služeb paušální podpory akceptace, vzhledem k přesně danému počtu člověkodnů, neprobíhá, nicméně počet člověkodnů musí odpovídat počtu u jednotlivých registrů daných ZD a přílohou č. 1 Rámcové dohody.
10 DOKUMENTACE
10.1 Objednatel má právo, aby mu byla Poskytovatelem dodána kompletní dokumentace ve vztahu k poskytnutým Službám, k nimž je běžně taková dokumentace vytvářena nebo bylo poskytnutí dokumentace sjednáno v objednávce, a to i po každé změně v předmětu poskytnutých Služeb.
11 CENA A PLATEBNÍ PODMÍNKY
11.1 Odměna za Služby bude dělena do dvou kategorií:
a) Odměna za služby poskytované v rámci paušální podpory dle. čl. 7.6 Rámcové dohody bude hrazena Objednatelem vždy zpětně za kalendářní měsíc dle počtu člověkodnů vymezených pro jednotlivé registry uvedené v příloze č. 4 ZD.
b) Odměna za služby poskytované v rámci ad-hoc podpory dle čl. 7.7 a čl. 7.8 Rámcové dohody bude hrazena Objednatelem v podobě souhrnného seznamu poskytnutého plnění, vždy zpětně za kalendářní měsíc, po předání a akceptaci jednotlivých požadavků vzešlých z objednávek.
11.2 Poskytovatel je povinen vždy ve svých nabídkách vytvořených dle objednávky stanovit celkovou cenu v Kč ve struktuře cena bez DPH, sazba DPH v %, cena vč. DPH, přičemž účtována DPH bude vždy ve výši určené platnými právními předpisy v době zdanitelného plnění
Strana 19
11.3 Odměna za Služby bude vždy zahrnovat všechny náklady Poskytovatele související s poskytnutím plnění (zejména dopravu, pojištění, daňové náklady, bankovní poplatky, clo, instalaci v místě určení, uvedení předmětu plnění do provozu, zaškolení obsluhy a další související náklady).
11.4 Odměnu za Služby je možné překročit v souvislosti se změnou výše sazby daně z přidané hodnoty dle příslušných právních předpisů, a to pouze o tuto legislativní změnu. Jiná změna se nepřipouští.
11.5 Náležitosti faktury:
a) faktura jako daňový doklad musí splňovat všechny náležitosti daňových dokladů v souladu s platnou právní úpravou České republiky, zejména § 28 zák. č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších právních předpisů;
b) U služeb poskytovaných v rámci ad-hoc podpory faktura musí obsahovat ve vztahu k plnění věcně správné údaje a její přílohou je kopie akceptačních a předávacích protokolů stvrzujících řádné poskytnutí plnění nebo jeho příslušné části. Faktura bude dále vždy obsahovat příslušné Výkazy práce obsahující popis činností a jejich časový rozsah v daném období;
c) U služeb poskytovaných v rámci služeb paušální podpory faktura musí obsahovat ve vztahu k plnění věcně správné údaje a její přílohou je Objednatelem schválený Report dle čl. 7.6.14 stvrzující řádné poskytnutí plnění nebo jeho příslušné části.
d) veškeré platby budou probíhat výhradně v české měně a rovněž všechny cenové údaje budou uváděny v české měně.
11.6 Splatnost:
a) doba splatnosti ceny za poskytnutí Služeb či její příslušné části uvedené ve faktuře je
30 kalendářních dnů ode dne doručení faktury Objednateli;
b) cena se považuje za zaplacenou dnem připsání peněžité částky na účet
Poskytovatele.
11.7 Nesplňuje-li faktura náležitosti uvedené v tomto článku, je Objednatel oprávněn vrátit ji v době splatnosti Poskytovateli. Nová doba splatnosti v délce trvání 30 kalendářních dnů začne běžet ode dne doručení opravené faktury Objednateli.
11.8 V případě prodlení Objednatele se zaplacením peněžité částky vzniká oprávněné straně nárok na úrok z prodlení ve výši jedné setiny procenta (0,01 %) z dlužné částky za každý i započatý den prodlení. Tím není dotčen ani omezen nárok na náhradu vzniklé škody.
11.9 Objednatel bude hradit přijaté faktury pouze na bankovní účty Poskytovatele zveřejněné správcem daně způsobem umožňujícím dálkový přístup ve smyslu § 96 odst. 2 zákona o DPH. V případě, že Poskytovatel nebude mít svůj bankovní účet tímto způsobem zveřejněn, uhradí Objednatel Poskytovateli pouze základ daně, přičemž daň z přidané hodnoty (dále jen „DPH“) uhradí Poskytovateli až po zveřejnění příslušného účtu Poskytovatele v registru plátců a identifikovaných osob Poskytovatelem.
11.10 Poskytovatel prohlašuje, že správce daně před uzavřením této Rámcové dohody nerozhodl, že Poskytovatel je nespolehlivým plátcem ve smyslu § 106a zákona o DPH (dále jen „nespolehlivý plátce“). V případě, že správce daně rozhodne o tom, že Poskytovatel je nespolehlivým plátcem, zavazuje se Poskytovatel o tomto informovat Objednatele do 2 pracovních dní. Stane-li se Poskytovatel nespolehlivým plátcem, uhradí Objednatel Poskytovateli pouze základ daně, přičemž DPH bude Objednatelem uhrazena
Strana 20
Poskytovateli až po písemném doložení Poskytovatele o jeho úhradě této DPH příslušnému správci daně.
12 ZDROJOVÝ KÓD
12.1 Poskytovatel je povinen předat Objednateli zdrojový kód každého jednotlivého plnění, které je počítačovým programem (počítačový program dále rozuměno včetně databázových či jiných skriptů) a které je Objednateli poskytováno na základě plnění této Rámcové dohody. Zdrojový kód musí být spustitelný v prostředí Objednatele a zaručující možnost ověření, že je kompletní a ve správné verzi, tzn. umožňující kompilaci, instalaci, spuštění a ověření funkcionality, a to včetně podrobné dokumentace zdrojového kódu takovéto části Registrů. Povinnost Poskytovatele uvedená výše se přiměřeně použije i pro jakékoliv opravy, změny, doplnění, upgrade nebo update zdrojového kódu jednotlivého dílčího plnění tvořícího Registry, k nimž dojde při plnění této Rámcové dohody nebo v rámci záručních oprav (dále jen „změna zdrojového kódu“). Dokumentace změny zdrojového kódu musí obsahovat podrobný popis a komentář každého zásahu do zdrojového kódu.
12.2 Poskytovatel je povinen předat Objednateli dokumentovaný zdrojový kód nebo dokumentovanou změnu zdrojového kódu nejpozději v den předání a převzetí příslušného plnění podle této Rámcové dohody. V případě předčasného ukončení této Rámcové dohody je Poskytovatel povinen předat Objednateli aktuální dokumentované zdrojové kódy a koncepční přípravné materiály všech součástí Registru tak, aby byl Objednatel držitelem zdrojového kódu minimálně k v dané chvíli aktuální verzi Registru.
13 VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA
Vlastnické právo
13.1 V případě, že součástí plnění Poskytovatele podle této Rámcové dohody jsou věci, které se mají stát vlastnictvím Objednatele, nabývá Objednatel vlastnické právo k těmto věcem dnem předání takového plnění Objednateli. Nebezpečí škody na předaných věcech přechází na Objednatele okamžikem jejich faktického předání do dispozice Objednatele, pokud o takovém předání byl sepsán písemný záznam podepsaný oprávněnými osobami smluvních stran.
Základní rozsah licence
13.2 Vzhledem k tomu, že Služby poskytované Poskytovatelem podle této Rámcové dohody je i plnění, které ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“), může naplňovat znaky autorského díla či být považováno za autorské dílo ve smyslu autorského zákona (dále společně jen
„autorská díla“), je k tomuto plnění poskytována, postupována či zprostředkovávána (dále také společně jen „poskytování“) licence či podlicence (dále společně jen „licence“) za podmínek sjednaných dále v tomto článku Rámcové dohody.
a) Objednatel je oprávněn od okamžiku účinnosti poskytnutí licence k autorskému dílu užívat toto autorské dílo k jakémukoliv účelu a v rozsahu, v jakém uzná za nezbytné, vhodné či přiměřené. Pro vyloučení pochybností to znamená, že Objednatel je oprávněn užívat autorské dílo v neomezeném množstevním a územním rozsahu, a to všemi v úvahu přicházejícími způsoby a s časovým
Strana 21
rozsahem omezeným pouze dobou trvání majetkových autorských práv
k takovémuto autorskému dílu.
b) Součástí licence je neomezené oprávnění Objednatele provádět jakékoliv modifikace, úpravy, změny autorského díla a dle svého uvážení do něj zasahovat, zapracovávat ho do dalších autorských děl, zařazovat ho do děl souborných či do databází apod., a to i prostřednictvím třetích osob.
c) Objednatel je bez potřeby jakéhokoliv dalšího svolení Poskytovatele oprávněn udělit třetí osobě podlicenci k užití autorského díla nebo svoje oprávnění k užití autorského díla třetí osobě postoupit.
d) Licence k autorskému dílu je poskytována jako nevýhradní. Objednatel není povinen licenci využít.
e) V případě počítačových programů se licence vztahuje ve stejném rozsahu na autorské dílo ve strojovém i zdrojovém kódu, jakož i koncepční přípravné materiály, a to i na případné další verze počítačových programů poskytovaných na základě této Rámcové dohody.
f) Účinnost licence nastává okamžikem akceptace součásti plnění, která příslušné autorské dílo obsahuje; do té doby je Objednatel oprávněn autorské dílo užít v rozsahu a způsobem nezbytným k provedení akceptace příslušné součásti plnění.
g) Udělení licence nelze ze strany Poskytovatele vypovědět a její účinnost trvá i po skončení účinnosti této Rámcové dohody, nedohodnou-li se Smluvní strany výslovně jinak.
h) Pro vyloučení veškerých pochybností Smluvní strany výslovně prohlašují, že pokud při poskytování plnění dle této Rámcové dohody vznikne činností Poskytovatele a Objednatele dílo spoluautorů a nedohodnou-li se Smluvní strany výslovně jinak, platí, že k okamžiku vzniku takového díla spoluautorů postoupil Poskytovatel Objednateli právo vykonávat majetková autorská práva k dílu spoluautorů a udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů. Cena plnění je stanovena se zohledněním tohoto ustanovení a Poskytovateli nevzniknou v případě vytvoření díla spoluautorů žádné nové nároky na odměnu.
i) Poskytovatel je povinen postupovat tak, aby udělení licence k autorskému dílu dle této Rámcové dohody včetně oprávnění udělit podlicenci a souvisejících oprávnění zabezpečil, a to bez újmy na právech třetích osob.
Možnost užití standardního software
13.3 Součástí plnění Poskytovatele podle této Rámcové dohody může být tzv. proprietární (standardní) software anebo tzv. open source software Poskytovatele nebo třetích stran (dále společně jen „standardní software“) u kterých Poskytovatel nemůže udělit Objednateli licenci v rozsahu dle čl. 13.2 nebo to po něm nelze spravedlivě požadovat, pouze při splnění některé z následujících podmínek (pro vyloučení veškerých pochybností Smluvní strany uvádí, že v případě, kdy je vývoj počítačového programu hrazen Objednatelem na základě této Rámcové dohody, může Objednatel vždy požadovat udělení oprávnění dle čl. 13.2):
Strana 22
a) Jedná se o software, který je v době uzavření Rámcové dohody prokazatelně užíván v produktivním prostředí nejméně u deseti na sobě nezávislých a vzájemně nepropojených subjektů a jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi na sobě nezávislými a vzájemně nepropojenými subjekty:
13.3.a.1 pokud jsou tyto subjekty oprávněny takovýto software implementovat,
přizpůsobovat požadavkům Objednatele a udržovat; nebo
13.3.a.2 pokud k takovému software není poskytnutí licence v rozsahu dle čl.
13.2 účelné a nebrání dalšímu rozvoji Registru ze strany Objednatele (zejména vývojový software, databázový software, kancelářský software, operační systém aj.).
b) Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
c) Jedná se o software, který je veřejnosti poskytován zdarma, včetně detailně komentovaných zdrojových kódů, úplné uživatelské, provozní a administrátorské dokumentace a práva software měnit. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
d) Jedná se o software, k němuž Poskytovatel Objednateli nejpozději do 30 dnů po ukončení implementace poskytne nebo zprostředkuje poskytnutí úplných komentovaných zdrojových kódů a bezpodmínečné právo provádět jakékoliv modifikace, úpravy, změny takového software a dle svého uvážení do něj zasahovat, zapracovávat ho do dalších autorských děl, zařazovat ho do děl souborných či do databází apod., a to i prostřednictvím třetích osob. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat. Poskytovatel je povinen udržovat prohlášení dle tohoto článku platnosti. V případě že Poskytovatel poruší tuto povinnost, nepředloží Objednateli příslušné prohlášení či nejpozději do 1 měsíce na výzvu Objednatele relevantní skutečnosti neprokáže, je Objednatel oprávněn požadovat úhradu smluvní pokuty ve výši 1.000.000,- Kč za každý jednotlivý případ a bezodkladné zajištění nápravy, a to včetně náhrady příslušného software.
Minimální rozsah licence
13.4 Pokud se bude jednat o standardní software dle čl. 13.3 tak na rozdíl od licence ke zbývajícím částem plnění udělované dle čl. 13.2 postačí, aby udělená licence k takovému software zahrnovala nevýhradní oprávnění užít jej jakýmkoli způsobem nejméně po dobu
5 let od nabytí účinnosti této Rámcové dohody, na území České republiky a v množstevním rozsahu, který je objektivně nezbytný pro pokrytí potřeb Objednatele ke dni uzavření této Rámcové dohody, a to včetně práva Objednatele do standardního software zasahovat, pokud tak stanoví znění této Rámcové dohody.
13.5 Poskytovatel se zavazuje samostatně zdokumentovat veškeré využití standardního software při poskytování Služeb a předložit Objednateli ucelený přehled využitého standardního software, jehož součástí budou licenční podmínky takového standardního software a seznam jeho alternativních dodavatelů. Tento přehled je Poskytovatel povinen předložit Objednateli vždy do 3 pracovních dnů po akceptaci plnění, v jehož rámci Poskytovatel využil standardní software a dále vždy do 1 měsíce od doručení výzvy
Strana 23
Objednatele, kterou může Objednatel učinit kdykoli, nejpozději však do 2 let od skončení účinnosti Rámcové dohody z jakéhokoli důvodu.
13.6 Poplatky spojené s užitím standardního software si hradí Objednatel sám z vlastních zdrojů, pokud se smluvní strany nedohodnou jinak.
Přechod práv, licenční odměna a garance rozsahu licence
13.7 Práva získaná v rámci plnění této Rámcové dohody přechází i na případného právního nástupce Objednatele. Případná změna v osobě Poskytovatele (např. právní nástupnictví) nebude mít vliv na oprávnění udělená v rámci této Rámcové dohody Poskytovatelem Objednateli.
14 POJISTNÁ SMLOUVA
14.1 Poskytovatel je povinen udržovat v platnosti a účinnosti po celou dobu účinnosti Rámcové dohody pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě (zejména Objednateli), a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy, nesmí být nižší než 50.000.000,- Kč za rok. Pojistnou smlouvu dle tohoto odstavce, popř. pojistku nebo pojistný certifikát potvrzující uzavření takové smlouvy je Poskytovatel povinen předložit Objednateli kdykoliv bezodkladně po písemném vyžádání Objednatele, nejpozději pak do 10ti dnů od doručení písemného vyžádání.
15 OCHRANA OSOBNÍCH ÚDAJŮ
15.1 S ohledem na předmět této Rámcové dohody smluvní strany předpokládají, že Poskytovatel bude zpracovávat osobní údaje nebo citlivé údaje (dále jen „osobní údaje“) zaměstnanců Objednatele, osob evidovaných v Registrech či dalších osob (dále jen
„subjekty údajů“).
15.2 Ochrana osobních údajů se řídí zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále také jen „ZZOÚ“) a NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“). Poskytovatel tímto prohlašuje, že v případě, že bude níže uvedené osobní údaje zpracovávat pro jiné účely než účely stanovené v odst. 15.7.a) této Rámcové dohody, bude tak činit výhradně v souladu se ZZOÚ a GDPR, zejména přijme veškerá technická a organizační opatření tak, aby zpracování osobních údajů splňovalo požadavky ZZOÚ a GDPR.
15.3 Níže uvedená ustanovení upravují zpracování uvedených osobních údajů pro účely této Rámcové dohody, tedy osobních údajů vedených v registrech, ke kterým Poskytovatel poskytuje Služby.
15.4 Typ zpracovávaných osobních údajů, kategorie subjektu údajů jsou stanoveny zákonem zákonem č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách) ve znění pozdějších předpisů a jeho prováděcí vyhlášce č. 373/2016 Sb., o předávání údajů do Národního zdravotnického informačního systému
15.5 Poskytovatel dále bere na vědomí, že Objednatel je správce osobních údajů (dále též jen
„Správce“) zpracovávaných na základě této Rámcové dohody.
Strana 24
15.6 Osobní údaje budou na základě této Rámcové dohody zpracovávány manuálně
a automatizovaně.
15.7 Obecné zásady zpracování osobních údajů subjektů údajů
a) Objednatel jako Správce pověřuje Poskytovatele jako zpracovatele zpracováváním údajů uvedených v čl. 15.1. této Rámcové dohody, a to způsobem dle čl. 28 odst. 3 GDPR v rozsahu nezbytném pro plnění Rámcové dohody a výhradně za účelem vyplývajícím z účelu Rámcové dohody a z účelu plnění poskytovaného dle Rámcové dohody a v souladu s ZZOÚ.
b) Pověření dle odst. 15.7 písm. a) této Rámcové dohody se vztahuje i na poddodavatele s tím, že Poskytovatel výslovně prohlašuje, že pokud do zpracování osobních údajů zapojí dalšího poddodavatele, bude tento poskytovat dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování osobních údajů splňovalo GDPR a zaváže jej smlouvou ke stejným povinnostem, které má ve vztahu k Objednateli, v důsledku čeho se poddodavatelé Poskytovatele stanou dalšími zpracovateli ve smyslu čl. 28 odst. 2 GDPR. Poskytovatel je povinen informovat Objednatele o veškerých zamýšlených změnách týkajících se přijetí dalších osob nebo zpracovatelů nebo jejich nahrazení a poskytnout mu příležitost vyslovit vůči těmto změnám námitky. Poskytovatel výslovně prohlašuje, že v případě, pokud dále zapojený poddodavatel poruší své povinnosti v oblasti ochrany osobních údajů, odpovídá Objednateli za plnění těchto povinností.
c) Povinnosti Poskytovatele týkající se ochrany osobních údajů se Poskytovatel zavazuje plnit po dobu účinnosti této Rámcové dohody, pokud z ustanovení této Rámcové dohody nevyplývá, že mají trvat i po zániku její účinnosti.
d) Poskytovatel je povinen při zpracování postupovat s řádnou péčí.
e) Poskytovatel se zavazuje zpracovávat osobní údaje v souladu s požadavky tohoto smluvního ujednání a v souladu s povinnostmi uloženými s GDPR zpracovateli osobních údajů, vč. zejména následujících závazků:
a) zohledňovat povahu zpracování,
b) být nápomocen při vyřizování žádostí subjektu údajů,
c) být nápomocen v plnění povinností dle čl. 32 až 36 GDPR,
d) poskytovat Správci a Objednateli veškeré informace potřebné
k doložení skutečnosti, že byly splněny povinnosti dle čl. 28 GDPR,
e) umožnit audity, vč. inspekcí prováděných Správcem, Objednatelem či jimi pověřenými osobami a poskytnout součinnost u těchto auditů.
f) Poskytovatel se zavazuje zajistit výmaz osobních údajů v registrech ve
lhůtách stanovených Správcem.
g) V případě ukončení této Rámcové dohody je Poskytovatel povinen předat Objednateli protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li od Objednatele jiné pokyny.
Strana 25
h) Poskytovatel je povinen dbát, aby žádný subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbát na ochranu subjektů údajů před neoprávněným zasahováním do soukromého a osobního života a zajistit veškerá práva subjektu údajů, která je z pozice zpracovatele povinen zajišťovat dle GDPR.
i) Poskytovatel se zavazuje dodržovat všechny povinnosti, které mu vyplývají z GDPR, jakož i z interních předpisů Objednatele a rozhodnutí či doporučení nebo stanovisek vydaných pro tyto osoby příslušným orgánem státní správy, s nimiž byl seznámen, a to včetně rozhodnutí či stanovisek nebo doporučení vydaných v budoucnu. Za účelem plnění povinností dle tohoto článku Rámcové dohody se Objednatel zavazuje bezodkladně po jejich obdržení poskytovat Poskytovateli jakákoliv rozhodnutí či doporučení nebo stanoviska vydaná Správcem nebo příslušnými orgány státní správy.
j) Pokud Poskytovatel zjistí, že Objednatel nebo Správce porušuje povinnosti stanovené GDPR, je povinen na to Objednatele neprodleně upozornit.
k) V případě, kdy je ze strany Úřadu pro ochranu osobních údajů (dále jen
„ÚOOÚ“) či jiného správního orgánu provedena kontrola zpracování osobních údajů Poskytovatelem či v případě zahájení správního řízení ze strany ÚOOÚ či jiného správního orgánu ve vztahu k zpracování osobních údajů Poskytovatelem, je Poskytovatel tuto skutečnost povinen okamžitě oznámit Objednateli a poskytnout mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení.
l) Poskytovatel není oprávněn osobní údaje subjektů údajů jím zpracovávané či k nimž mu byl umožněn přístup žádným způsobem ukládat, kopírovat, tisknout, opisovat, činit z nich výpisky či opisy či je pozměňovat, pokud toto není nezbytné pro plnění jeho povinností dle této Rámcové dohody.
m) Poskytovatel je povinen umožnit Objednateli na vyžádání kontrolu dodržování povinností dle tohoto článku Rámcové dohody zejména přístupy do prostor, v nichž jsou osobní údaje uchovávány, předložení seznamu osob s přístupem k osobním údajům či doložení, že veškeré osoby přistupující k osobním údajům splňují požadavky pověřené osoby.
15.8 Záruky o technickém a organizačním zabezpečení osobních údajů subjektů údajů
a) Poskytovatel je povinen zabezpečit řádnou technickou a organizační ochranu zpracovávaných osobních údajů a výslovně prohlašuje, že zavede vhodná technická a organizační opatření tak, aby zpracování osobních údajů splňovalo požadavky GDPR.
b) Poskytovatel je povinen při zpracování osobních údajů zajistit ochranu osobních údajů minimálně na takové úrovni, aby byly dodrženy veškeré záruky o technickém a organizačním zabezpečení osobních údajů uvedené níže v tomto článku Rámcové dohody.
c) Poskytovatel se zavazuje zajistit taková opatření, aby nemohlo dojít k neoprávněnému ani nahodilému přístupu k osobním údajům, k jejich úplné ani částečné změně, zničení či ztrátě, neoprávněným přenosům či sdružení s jinými osobními údaji, či k jinému neoprávněnému zpracování v rozporu s touto Rámcovou dohodou. Poskytovatel zároveň užije taková opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
Strana 26
d) Poskytovatel se za účelem ochrany osobních údajů zavazuje zajistit zejména, že:
a) Přístup k osobním údajům bude umožněn výlučně pověřeným osobám, které budou v pracovněprávním, příkazním či jiném obdobném poměru k Poskytovateli, budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů a jejich zpracováním (dále jen „pověřené osoby“). Splnění této povinností zajistí Poskytovatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání.
b) Zaměstnanci Poskytovatele a jiné osoby, které budou zpracovávat osobní údaje dle této Rámcové dohody, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu Objednatelem stanoveném a odpovídajícím této Rámcové dohodě a GDPR, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací pověřených osob. Splnění této povinností zajistí Poskytovatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání.
c) Při zpracování osobních údajů budou osobní údaje uchovávány výlučně na zabezpečených serverech nebo na zabezpečených nosičích dat, jedná-li se o osobní údaje v elektronické podobě.
d) Při zpracování osobních údajů v jiné než elektronické podobě budou osobní údaje uchovány v místnostech s náležitou úrovní zabezpečení, do kterých budou mít přístup výlučně pověřené osoby.
e) Přístup k osobním údajům bude pověřeným osobám umožněn výlučně pro účely zpracování osobních údajů v rozsahu a za účelem stanoveným touto Rámcovou dohodou.
e) Poskytovatel se zavazuje na písemnou žádost Objednatele přijmout v přiměřené lhůtě stanovené Objednatelem další záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.
f) Poskytovatel se zavazuje zpracovat a dokumentovat přijatá a provedená technickoorganizační opatření k zajištění ochrany osobních údajů v souladu s GDPR, jinými právními předpisy a předpisy, přičemž zajišťuje, kontroluje a odpovídá zejména za:
a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům;
b) zabránění neoprávněným osobám přistupovat k osobním údajům
a k prostředkům pro jejich zpracování;
Strana 27
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje; a
d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
g) V případě zjištění porušení záruk dle této Rámcové dohody je Poskytovatel povinen zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu Objednatelem vyzván.
h) V oblasti automatizovaného zpracování osobních údajů je Poskytovatel
v rámci opatření podle předchozích odstavců povinen také:
a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze pověřené osoby;
b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
c) pořizovat a uchovávat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a zabránit neoprávněnému přístupu k datovým nosičům.
i) Poskytovatel se zavazuje, že přijme všechna opatření k zabezpečení zpracování případně včetně:
a) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost
a odolnost systémů a služeb zpracování;
b) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas
v případě fyzických či technických incidentů;
c) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
15.9 Ohlašování porušení zabezpečení osobních údajů
a) Poskytovatel je povinen v případě porušení zabezpečení osobních údajů dle čl. 33 nebo 34 GDPR dodržovat ustanovení tohoto článku 15.7.
b) Poskytovatel je povinen neprodleně, nejpozději však do 24 hodin, informovat Objednatele o všech případech porušení zabezpečení osobních údajů, které musí být dle čl. 33 a 34 GDPR oznamovány ÚOOÚ nebo subjektu údajů.
c) Poskytovatel poskytne dále Správci a Objednateli na jejich žádost veškeré informace, které budou považovat za nutné k řádnému posouzení porušení zabezpečení osobních údajů, minimálně však informace uvedené v čl. 33 odst. 3 GDPR.
Strana 28
d) Poskytovatel se dále zavazuje poskytnout Objednateli v případě potřeby neprodleně veškerou součinnost při poskytování dodatečných informací o porušení zabezpečení osobních údajů ÚOOÚ a subjektům údajů.
e) Poskytovatel se zavazuje vypracovat plán postupu pro případ porušení zabezpečení osobních údajů. Tento plán předloží Poskytovatel na požádání Objednateli. Poskytovatel se zavazuje informovat Objednatele o veškerých podstatných změnách tohoto plánu.
f) Poskytovatel je povinen vést podrobnou evidenci veškerých případů porušení zabezpečení osobních údajů bez ohledu na skutečnost, zda tyto představují riziko pro práva a svobody fyzických osob, s uvedením skutečností, které se týkají daného porušení, jeho účinků a přijatých nápravných opatření. Tato evidence musí obsahovat minimálně informace uvedené v čl. 33 odst. 3 GDPR a Poskytovatel je povinen poskytnout ji Objednateli a Správci na jejich žádost.
15.10 Jestliže vznikne v souvislosti se zajištěním ochrany osobních údajů podle právních předpisů uvedených v tomto článku 15 nebo dle stanoviska ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů potřeba uzavřít dodatek k této Rámcové dohodě nebo zvláštní smlouvu, zavazuje se Poskytovatel poskytnout veškerou součinnost nezbytnou k formulaci obsahu takového dodatku, resp. smlouvy a k uzavření takového dodatku, resp. smlouvy.
16 OCHRANA INFORMACÍ
16.1 Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této Rámcové dohody:
a) si mohou vzájemně vědomě nebo opominutím poskytnout informace, které budou považovány za důvěrné (dále jen „důvěrné informace“);
b) mohou jejich zaměstnanci a osoby v obdobném postavení získat vědomou činností druhé strany nebo i jejím opominutím přístup k důvěrným informacím druhé strany;
c) Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě důvěrné informace, které při plnění této Rámcové dohody získala od druhé smluvní strany.
16.2 Za třetí osoby se nepovažují:
a) zaměstnanci smluvních stran a osoby v obdobném postavení;
b) orgány smluvních stran a jejich členové;
c) ve vztahu k důvěrným informacím Objednatele poddodavatelé Poskytovatele
v rámci konkrétního plnění dle této Rámcové dohody;
d) ve vztahu k důvěrným informacím Poskytovatele Správce a externí dodavatelé Objednatele, a to i potenciální; za předpokladu, že se podílejí na plnění této Rámcové dohody nebo jsou jinak spojeni s plněním dle této Rámcové dohody, důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této Rámcové dohodě.
16.3 Nedohodnou-li se Smluvní strany výslovně písemnou formou jinak, považují se za důvěrné implicitně všechny informace, které jsou anebo by mohly být součástí obchodního
Strana 29
tajemství, tj. například, ale nejenom, popisy nebo části popisů technologických procesů a vzorců, technických vzorců a technického know-how, informace o provozních metodách, procedurách a pracovních postupech, obchodní nebo marketingové plány, koncepce a strategie nebo jejich části, nabídky, kontrakty, smlouvy, dohody nebo jiná ujednání s třetími stranami, informace o výsledcích hospodaření, o vztazích s obchodními partnery, o pracovněprávních otázkách a o činnosti smluvních stran a všechny další informace, jejichž zveřejnění přijímající stranou by předávající straně mohlo způsobit škodu.
16.4 Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
a) se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající Smluvní strany či právních předpisů;
b) měla přijímající strana prokazatelně legálně k dispozici před uzavřením této Rámcové dohody, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené smlouvy o ochraně informací;
c) jsou výsledkem postupu, při kterém k nim přijímající strana dospěje nezávisle a je to
schopna doložit svými záznamy nebo důvěrnými informacemi třetí strany;
d) po podpisu této Rámcové dohody poskytne přijímající straně třetí osoba, jež není
omezena v takovém nakládání s informacemi;
e) pokud je jejich zpřístupnění třetím osobám stanoveno zákonem či jiným právním předpisem včetně práva EU nebo závazného rozhodnutí oprávněného orgánu veřejné moci.
16.5 Smluvní strany se zavazují v plném rozsahu zachovávat povinnost mlčenlivosti a povinnost chránit důvěrné informace vyplývající z této Rámcové dohody a též z příslušných právních předpisů, zejména povinnosti vyplývající ze ZZOÚ (GDPR). Smluvní strany se v této souvislosti zavazují poučit veškeré osoby, které se na jejich straně budou podílet na plnění této Rámcové dohody, o výše uvedených povinnostech mlčenlivosti a ochrany důvěrných informací a dále se zavazují vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění této Rámcové dohody.
16.6 Poskytovatel se zavazuje zachovávat mlčenlivost ve vztahu k obsahu informacím obsažených v systému Objednatele v souladu s právními předpisy a dále s vnitřními předpisy Objednatele, bude-li mu jejich obsah jakkoli zpřístupněn.
16.7 Bez ohledu na jiná ustanovení této Rámcové dohody je Objednatel za účelem splnění svých povinností plynoucích z obecně závazných právních předpisů nebo z interních předpisů v rezortu Ministerstva zdravotnictví oprávněn zveřejnit všechny náležitosti smluvního vztahu podle této Rámcové dohody včetně změn a dodatků, výši skutečně uhrazené ceny za plnění Veřejné zakázky a seznam poddodavatelů Poskytovatele.
16.8 Za porušení povinnosti mlčenlivosti smluvní stranou se považují též případy, kdy tuto povinnost poruší kterákoliv z osob uvedených v čl. 16.2, které daná smluvní strana poskytla důvěrné informace druhé smluvní strany.
16.9 Poruší-li Poskytovatel povinnosti vyplývající z této Rámcové dohody ohledně ochrany důvěrných informací, je povinen zaplatit Objednateli smluvní pokutu ve výši 1.000.000,- Kč za každé porušení takové povinnosti. Povinnost zaplatit smluvní pokutu dle tohoto článku této Rámcové dohody není dotčen nárok Objednatele na náhradu škody či případné újmy, způsobené porušením povinností k ochraně osobních údajů zpracovávaných Poskytovatelem dle této Rámcové dohody, která ke vzniku nároku vedla, a to v plné výši.
Strana 30
16.10 Ukončení účinnosti této Rámcové dohody z jakéhokoliv důvodu se nedotkne tohoto ustanovení Rámcové dohody týkajících se ochrany osobních údajů a jejich účinnost přetrvá i po ukončení účinnosti této Rámcové dohody.
16.11 Poskytovatel dále výslovně prohlašuje a bere na vědomí, že tato Rámcová dohoda nepředstavuje jeho obchodní tajemství ani neobsahuje jeho důvěrné informace a souhlasí s tím, aby tato Rámcová dohoda byla v plném rozsahu zveřejněna na webových stránkách určených Objednatelem.
16.12 Povinnost utajovat důvěrné informace podle tohoto článku zavazuje Poskytovatele ode dne účinnosti Rámcové dohody a platí i po skončení doby trvání Rámcové dohody.
16.13 Poskytovatel se zavazuje zpřístupnit důvěrné informace, resp. osobní údaje osobám uvedeným v Příloze č. 3 jen v rozsahu, v jakém je to nezbytně nutné pro splnění povinnosti dle této Rámcové dohody.
16.14 Poskytovatel prohlašuje, že osoby uvedené v Příloze č. 3 jsou oprávněny k přístupu k důvěrným informacím a osobním údajům a zavazuje se zajistit jejich prokazatelné proškolení dle platných právních předpisů, vč. prohlášení o mlčenlivosti dle ZZOÚ od data jeho účinnosti GDPR a povinnosti prokázat svoji totožnost Objednateli.
17 OPRÁVNĚNÉ OSOBY
17.1 Každá ze smluvních stran jmenuje oprávněné osoby, popř. jejich zástupce. Oprávněné osoby budou zastupovat smluvní stranu ve všech záležitostech souvisejících s plněním této Rámcové dohody. Oprávněné osoby jsou oprávněny jménem stran provádět veškeré úkony v rámci akceptačních procedur dle této Rámcové dohody, zastupovat strany ve změnovém řízení a připravovat dodatky k Rámcové dohodě pro jejich písemné schválení osobám oprávněným zavazovat strany (statutárním orgánům) nebo jejich zplnomocněným zástupcům.
17.2 Oprávněné osoby nejsou zmocněny k jednání, jež by mělo za přímý následek změnu této Rámcové dohody nebo jejich předmětu.
17.3 Jména oprávněných osob jsou uvedena v Příloze č. 3 této Rámcové dohody a jejich role stanoví xxxx Xxxxxxx dohoda
17.4 Smluvní strany jsou oprávněny změnit oprávněné osoby, jsou však povinny na takovou změnu druhou smluvní stranu písemně upozornit. Zmocnění zástupce oprávněné osoby musí být písemné s uvedením rozsahu zmocnění.
17.5 Poskytovatel prohlašuje, že je oprávněn zpracovávat osobní údaje oprávněných osob, vč. jejich předání k dalšímu zpracování.
18 NÁHRADA ŠKODY
18.1 Každá ze stran je povinna nahradit způsobenou škodu v rámci platných právních předpisů a této Rámcové dohody. Obě strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
Strana 31
18.2 Poskytovatel je povinen nahradit Objednateli veškeré škody, způsobené porušením této Rámcové dohody či povinností uložených Poskytovateli dle ZZOÚ a GDPR. Poskytovatel se zároveň zavazuje Objednatele odškodnit za jakékoliv škody, které mu v důsledku porušení povinností Poskytovatele vzniknou na základě pravomocného rozhodnutí soudu či jiného státního orgánu.
18.3 Žádná ze stran není povinna nahradit škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé strany. V případě, že Objednatel poskytl Poskytovateli chybné zadání a Poskytovatel s ohledem na svou povinnost poskytovat Služby s odbornou péčí mohl a měl chybnost takového zadání zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybné zadání Objednatele písemně upozornil a Objednatel trval na původním zadání.
18.4 Žádná ze smluvních stran nemá povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících z této Rámcové dohody, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku.
18.5 Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu na vzniklé překážky vylučující povinnost k náhradě škody bránící řádnému plnění této Rámcové dohody. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání překážek vylučujících povinnost k náhradě škody.
18.6 Případná náhrada škody bude zaplacena v měně platné na území České republiky, přičemž pro propočet na tuto měnu je rozhodný kurs České národní banky ke dni vzniku škody.
18.7 Každá ze smluvních stran je oprávněna požadovat náhradu škody i v případě, že se jedná o porušení povinnosti, na kterou se vztahuje smluvní pokuta či sleva z ceny, a to v celém rozsahu.
19 SMLUVNÍ SANKCE A ZAJIŠTĚNÍ SPLNĚNÍ POVINNOSTÍ POSKYTOVATELE
19.1 Smluvní strany se dohodly, že:
a) v případě porušení povinnosti Poskytovatele dle čl. 8.7 této Rámcové dohody, má Objednatel nárok na smluvní pokutu ve výši 1.000.000,- Kč.
b) v případě prodlení Poskytovatele s předložením pojistné smlouvy Objednateli ve lhůtě dle čl. 14 této Rámcové dohody vzniká Objednateli nárok na smluvní pokutu ve výši 10.000,- Kč za každý i započatý den prodlení, přičemž se jedná o podstatné porušení této Rámcové dohody;
c) v případě prodlení Poskytovatele s provedením aktualizace dokumentace vzniká Objednateli nárok na smluvní pokutu ve výši 5.000,- Kč za každý i započatý den prodlení; Aktualizace dokumentace musí být provedena automaticky ke dni akceptace plnění daného požadavku, pokud realizace tohoto požadavků má dopad na stávající dokumentaci.
d) v případě porušení povinnosti Poskytovatele alokovat na plnění dle této Rámcové dohody kapacitu členů realizačního týmu a provádět jejich změny pouze se souhlasem Objednatele dle čl. 8.2 této Rámcové dohody nebo poskytovat plnění dle této Rámcové dohody s využitím poddodavatelů uvedených v Příloze č. 2 této Rámcové dohody vzniká Objednateli nárok na smluvní pokutu ve výši 10.000,- Kč za každé jednotlivé porušení takovéto povinnosti.
Strana 32
e) V případě, že Poskytovatel ve stanovené lhůtě řádně neprokáže, že splňuje svou povinnost dle odst. 8.3 této Rámcové dohody, zavazuje se Objednateli uhradit smluvní pokutu ve výši 100.000,- Kč za každého člena týmu, kterým nedisponuje.
f) V případě nesplnění povinnosti Poskytovatele dle čl. 8.3 do lhůty stanovené Objednatelem, jedná se o podstatné porušení Rámcové dohody.
g) V případě, že Poskytovatel neposkytne součinnost při řešení Inicializace dle čl. 7.1 a 7.2, zavazuje se Objednateli uhradit smluvní pokutu ve výši 50.000,- Kč za každý započatý den prodlení, přičemž prodlení začíná běžet třetím dnem následujícím po dni doručení výzvy k poskytnutí součinnosti Objednatelem. Tato smluvní pokuta může být vymáhána opakovaně v případě opakující se nesoučinnosti ze strany Poskytovatele.
h) v případě neposkytnutí součinnosti ze strany Poskytovatele k provedení auditu Poskytovatele dle čl. 8.15 písm. a) a b) a kontrole naplnění požadavků na systém řízení bezpečnosti informací ve smyslu §8 Vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) uvedených v příloze č. 7B Rámcové dohody, má Objednatel nárok na zaplacení smluvní pokuty ve výši 50.000,- Kč.
i) v případě nereagování Poskytovatele na bezpečnostní incident dle VKB nejpozději do 24 hodin od jeho identifikace, má Objednatel nárok na zaplacení smluvní pokuty ve výši 200.000,- Kč.
19.2 Smluvní pokuty a/nebo úroky z prodlení jsou splatné 30. den ode dne doručení písemné výzvy oprávněné smluvní strany k jejich úhradě povinnou smluvní stranou, není-li ve výzvě uvedena lhůta delší.
19.3 Není-li v této Rámcové dohodě stanoveno jinak, zaplacení jakékoliv sjednané smluvní
pokuty nezbavuje povinnou Smluvní stranu povinnosti splnit své závazky.
19.4 Smluvní pokuty stanovené v této Rámcové dohodě nezbavují oprávněnou stranu nároku na náhradu vzniklé škody v plném rozsahu.
20 ROZHODNÉ PRÁVO A ŘEŠENÍ SPORŮ
20.1 Xxxx Xxxxxxx dohoda a vztahy smluvních stran vyplývající z této Rámcové dohody touto Rámcovou dohodou výslovně neupravené se řídí občanským zákoníkem a dalšími právními předpisy českého právního řádu.
20.2 Všechny spory vznikající z této Rámcové dohody a v souvislosti s ní budou rozhodovány, pokud se Smluvní strany dohody nedohodnou mimosoudně, věcně a místně příslušným soudem České republiky.
21 PLATNOST A ÚČINNOST RÁMCOVÉ DOHODY
21.1 Tato Rámcová dohoda nabývá platnosti dnem jejího podpisu oprávněnými zástupci obou smluvních stran a účinnosti dnem jejího zveřejnění v Registru smluv (ISRS). Tato Xxxxxxx dohoda se uzavírá na dobu určitou, a to na dobu čtyř (4) let od dne nabytí její účinnosti.
21.2 Rámcovou dohodu lze ukončit písemnou dohodou Smluvních stran, jejíž součástí je i vypořádání vzájemných závazků a pohledávek.
Strana 33
21.3 Objednatel je oprávněn okamžitě odstoupit od Rámcové dohody v případě neposkytnutí součinnosti Poskytovatele k provedení auditu Poskytovatele dle čl. 8.15, písm. a) a b) nebo v případě okamžitého neodstranění závadného stavu vyvolaného porušením požadavků na zajištění kybernetické bezpečnosti ze strany Poskytovatele.
21.4 Objednatel dále může odstoupit od této Rámcové dohody v případě:
a) podstatného porušení této Rámcové dohody ze strany Poskytovatele;
b) prokáže-li se kterékoliv prohlášení Poskytovatele jako nepravdivé;
c) pokud bylo příslušným orgánem vydáno pravomocné rozhodnutí zakazující plnění této Rámcové dohody;
d) pokud na majetek Poskytovatele je prohlášen úpadek nebo Poskytovatel sám podá dlužnický návrh na zahájení insolvenčního řízení;
e) pokud Poskytovatel vstoupí do likvidace; nebo
f) pokud proti Poskytovateli je zahájeno trestní stíhání pro trestný čin podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob, ve znění pozdějších předpisů.
21.5 Odstoupení je účinné okamžikem doručení druhé smluvní straně na adresu uvedenou v záhlaví Rámcové dohody, případně na poslední prokazatelně oznámenou korespondenční adresu.
21.6 Objednatel je oprávněn Rámcovou dohodu ukončit výpovědí bez udání důvodu, s výpovědní dobou tří měsíců, která začíná běžet prvního dne měsíce následujícího po měsíci, v němž byla výpověď doručena.
21.7 Smluvní strany jsou povinny do třiceti (30) dní od ukončení Rámcové dohody vypořádat písemnou dohodou své vzájemné závazky a pohledávky.
21.8 Ukončením této Rámcové dohody nebo její části nejsou dotčena ustanovení týkající se smluvní pokuty, ochrany důvěrných informací, náhrady škody a jiných nároků a závazků, přetrvávajících ze své povahy i po ukončení Rámcové dohody.
22 ZÁVĚREČNÁ USTANOVENÍ
22.1 Smluvní vztah mezi Smluvními stranami se řídí českým právním řádem.
22.2 Xxxx Xxxxxxx dohoda nahrazuje všechna předchozí ústní nebo písemná ujednání
Smluvních stran vztahující se k předmětu této Rámcové dohody.
22.3 Případné obchodní zvyklosti, týkající se sjednaného či navazujícího plnění, nemají přednost před Rámcovou dohodou, ani před ustanoveními zákona, byť by tato ustanovení neměla donucující účinky.
22.4 Odpověď strany této Rámcové dohody, podle § 1740 odst. 3 občanského zákoníku, s dodatkem nebo odchylkou, není přijetím nabídky, ani když podstatně nemění podmínky nabídky.
22.5 Žádná ze smluvních stran není oprávněna vtělit jakékoliv právo, plynoucí jí z Rámcové dohody či jejího porušení, do podoby cenného papíru.
22.6 Smluvní strany se dohodly, že žádná z nich není oprávněna postoupit svá práva a povinnosti vyplývající z této Rámcové dohody třetí straně bez předchozího písemného souhlasu druhé smluvní strany, s výjimkou peněžitých pohledávek za druhou smluvní
Strana 34
stranou a přechodu této Rámcové dohody při právním nástupnictví, o čemž je povinna druhou smluvní stranu písemně informovat.
22.7 Veškeré změny či doplnění Rámcové dohody lze činit pouze na základě písemné dohody Smluvních stran. Takové dohody musí mít podobu datovaných, číslovaných a oběma Smluvními stranami podepsaných dodatků Rámcové dohody.
22.8 Smluvní strany se dohodly, že nad rámec výslovných ustanovení této Rámcové dohody nebudou jakákoliv práva a povinnosti dovozovány z dosavadní či budoucí praxe zavedené mezi smluvními stranami či zvyklostí zachovávaných obecně či v odvětví týkajícím se předmětu plnění této Rámcové dohody, ledaže je v Rámcové dohodě výslovně sjednáno jinak. Pro vyloučení pochybností Smluvní strany výslovně potvrzují, že na závazky z této Rámcové dohody vzniklé se nepoužijí tato ustanovení § 1793 až § 1795, § 1765 a § 1805 odst. 2 občanského zákoníku.
22.9 Vztahuje-li se důvod neplatnosti jen na některé ustanovení Rámcové dohody, je neplatným pouze toto ustanovení, pokud z jeho povahy nebo obsahu anebo z okolností, za nichž bylo ujednáno, nevyplývá, že jej nelze oddělit od ostatního obsahu Rámcové dohody.
22.10 Xxxx Xxxxxxx dohoda včetně jejích příloh a případných změn (např. dodatek Rámcové dohody) bude uveřejněna Objednatelem v registru smluv v souladu se zákonem č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv).
22.11 Nedílnou součást Rámcové dohody tvoří tyto přílohy:
Příloha č. 1 | Smluvní cena |
Příloha č. 2 | Seznam poddodavatelů a realizační tým |
Příloha č. 3 | Oprávněné osoby |
Příloha č. 4 | Akceptační protokol |
Příloha č. 5 Příloha č. 6 Příloha č. 7 A Příloha č. 7 B Příloha č. 8 | Výkaz práce Zadávací dokumentace Vyrozumění o významném dodavateli Požadavky na systém řízení bezpečnosti informací ve smyslu §8 Vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) Dotazník Významného dodavatele dle vyhlášky 82/2018 Sb., o bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat |
22.12 Xxxx Xxxxxxx dohoda je uzavřena ve čtyřech (4) stejnopisech, z nichž každý bude považován za prvopis. Objednatel obdrží dva (2) a Poskytovatel obdrží dva (2) stejnopisy této Rámcové dohody. Je-li Rámcová dohoda podepsána elektronicky, pak je podepsána v jednom (1) originále pomocí uznávaných elektronických podpisů osob oprávněných jednat za smluvní strany.
Strana 35
Smluvní strany prohlašují, že si tuto Rámcovou dohodu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.
Objednatel Poskytovatel
Česká republika - Ústav zdravotnických informací a statistiky České republiky
prof. RNDr. Xxxxxxxx Xxxxx, Ph.D. ředitel
Strana 36
Příloha č. 2
Seznam poddodavatelů a realizační tým
A. Seznam poddodavatelů
Pro realizaci zakázky nebude použito služeb poddodavatelů
Strana 38
Programátor
Programátor
Programátor
Programátor
Strana 40
Příloha č. 3
Oprávněné osoby Osoby oprávněné jednat ve věcech smluvních a technických:
Za Objednatele:
Ve věcech smluvních:
Xxxxx a příjmení |
Adresa |
Telefon |
Ve věcech technických:
Xxxxx a příjmení |
Adresa |
Telefon |
Xxxxx a příjmení |
Adresa |
Telefon |
Za Poskytovatele:
Xxxxx a příjmení |
Adresa |
Telefon |
Strana 41
Xxxxx a příjmení |
Adresa |
Telefon |
Osoby oprávněné ve věcech přístupu k důvěrným informacím, resp. osobním údajům vedeným v systémech:
Xxxxx a příjmení |
Adresa trvalého pobytu |
Datum narození |
Telefon |
Strana 42
Příloha č. 6 Zadávací dokumentace
volná příloha
Strana 47
Příloha č. 7 A Vyrozumění o Významném dodavateli
Vyrozumění Poskytovatele o skutečnosti, že v souladu §8 s vyhláškou 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále Vyhláška ZoKB) se podpisem této Rámcové dohody stává Významným dodavatelem.
1. Identifikace Správce a Provozovatele
Ústav zdravotnických informací a statistiky České republiky Organizační složka státu
se sídlem: Xxxxxxxxx xxxxxxx 0, XXX 000 00 Xxxxx 0
IČO: 00023833
zastoupen: prof. RNDr. Xxxxxxxxxx Xxxxxx, Ph.D. ředitelem (dále jen „Správce a Provozovatel“)
2. Identifikace informačního a komunikačního systému
a) ICT infrastruktura Datových center, které je využita pro provoz Významných infomačních systémů a Kritických infomačních systémů ve smyslu zákona 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů.
b) ICT infrastruktura umístěna v ostatních prostorách Správce a Poskytovatele, či Správce za jejichž provoz Správce a Provozovatel odpovídá a ve smyslu Vyhlášky ZoKB je Provozovatelem.
c) Veškeré Typové infomační systémy ve smyslu Vyhlášky ZoKB
Vysvětlení.:
ICT infrastrukturou jsou myšleny všechny aktivní i pasivní prvky počítačové sítě, servery a jejich operační systémy, úložiště dat, zálohovací systémy a hardware, dohledové a SIEM aplikace a hardware, veškeré koncové stanice, databázové stroje, a další Podpůrná či technická aktiva využívaná pro provoz a správu KII a VIS ve smyslu zákona 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů.
Strana 48
3. Identifikace Významného dodavatele Název společnosti: CCA Group a.s.
Sídlo Karlovo nám. 288/17, 120 00 Praha 2
IČO 25695312
Zastoupen
(dále jen „Významný dodavatel“)
4. Pravidla Poskytovatele
V souladu s §8 odstavce 1 písmene a) vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) je Významný dodavatel povinen dodržovat pravidla, která zohledňují požadavky systému řízení bezpečnosti informací dle Přílohy č. 5 B této Rámcové dohody.
Strana 49
Příloha č. 7 B
Požadavky na systém řízení bezpečnosti informací ve smyslu §8 Vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
(Kybernetické požadavky)
§ 3 Systém řízení bezpečnosti informací
Poskytovatel (pro účely této přílohy dle VKB dále jen „Dodavatel“) se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §3 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (dále jen „VKB“), které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Dodavatele při poskytování předmětu plnění.
b. Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je, vyhodnocovat jejich účinnost.
c. Vést záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy Objednateli zpřístupnit.
d. Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Dodavatele při poskytování předmětu plnění. Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.
e. Stanovit a udržovat aktuální opatření bezpečnosti ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.
§ 4 Řízení aktiv
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §4 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění této Rámcové dohody (pro účely této přílohy dle VKB dále jen „smlouva“) (aktivy se rozumí např. data a informace k předmětu plnění dle této smlouvy, systémy ICT, moduly, HW prvky - infrastruktura hlasové a datové komunikace, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač nebo notebook, mobilní koncová zařízení – přenosná zařízení typu telefon, tablet, notebook, netbook, PDA, apod.), a tato aktiva strukturovaně popsat a Objednateli předložit do 30 dnů od podpisu této smlouvy a následně na vyžádání, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.
§ 5 Řízení rizik
Strana 50
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §5 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.
b. V minimálním intervalu 1x ročně vytvořit a předložit Zprávu o řízení kybernetických rizik, která bude minimálně pokrývat:
i. Vyhodnocení stavu kybernetické bezpečnosti za hodnocený rok
ii. Identifikaci a hodnocení rizik s vazbou na předmět plnění
iii. Realizovaná bezpečnostní opatření
iv. Nepokrytá bezpečnostní rizika a návrh opatření
v. Vyhodnocení bezpečnostních událostí a incidentů
vi. Aktuální stav souladu Dodavatele s těmito Kybernetickými požadavky
§ 6 Organizační bezpečnost
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §6 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Jmenovat nejpozději do 5 dnů po uzavření této smlouvy odpovědnou kontaktní osobu pro potřeby zajištění plnění těchto Kybernetických požadavků a související komunikaci mezi Stranami dohody (dále také jen „Kontaktní osoba“). Kontaktní osobu sdělí Dodavatel písemně Objednateli v téže lhůtě. Objednatel stanovuje, že určení Kontaktní osoby pro bezpečnost na straně Dodavatele nemá dopad na ustanovení článku 17 a Přílohu č. 3 Rámcové dohody týkající se odpovědných osob ve věcech smluvních a technických.
b. Využívat pro poskytování předmětu plnění pouze oprávněných osob, které byly řádně seznámeny příslušnými ustanoveními interních řídících aktů Objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění.
§ 8 Řízení dodavatelů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §8 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Využívá-li při poskytování předmětu plnění poddodavatele, zajistit adekvátní dodržování Kybernetických požadavků rovněž ve smluvních vztazích se svými poddodavateli, přičemž tuto skutečnost se Dodavatel zavazuje doložit Objednateli do
10 dnů od podpisu příslušné Prováděcí smlouvy, na jejímž plnění se budou poddodavatelé podílet, písemné prohlášení o dodržování Kybernetických požadavků u svých poddodavatelů.
b. Pokud při poskytování předmětu plnění dochází ke zpracování osobních údajů, zajistit uzavření samostatných smluv (tj. smluv se svými poddodavateli, zaměstnanci a případnými dalšími osobami podílejícími se na poskytování plnění z této smlouvy) ve smyslu GDPR a ZZOÚ
Strana 51
§ 9 Bezpečnost lidských zdrojů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §9 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Zajistit, aby Kontaktní osoba nejpozději do 30 dnů od uzavření smlouvy potvrdila písemně Objednateli, že všechny osoby podílející se na poskytování předmětu plnění za stranu Dodavatele byly prokazatelně seznámeny s těmito Kybernetickými požadavky a příslušnými ustanoveními interních řídících aktů Objednatele.
b. Dodržovat příslušná ustanovení interních řídících aktů Objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje školení pracovníků Dodavatele zajištěné Objednatelem, protokolární či elektronické předání příslušné dokumentace nebo Objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení.
c. V případě, že je součástí předmětu plnění služba dohledu nad předmětem plnění, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění.
d. Zajistit, aby osoby podílející se na poskytování plnění Objednateli v prostředí nebo s prostředky Objednatele, a to i tehdy, pokud jsou prostředky Objednatele používány mimo jeho prostředí:
i. Pro uložení a sdíleni dat a informací Objednatele využívali pouze k tomu
schválené prostředky (aktiva);
ii. Neukládali ani nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno Objednatele;
iii. Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo AZ;
iv. Nenavštěvovali internetové stránky s eticky nevhodným obsahem;
v. Nerealizovali pokusy o neautorizovaný přístup ke zdrojům Objednatele ani ke zdrojům jiných subjektů;
vi. Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků Objednatele, a to ani v případě, kdy jim byl prostředek Objednatele svěřen do správy;
vii. Nepodíleli se s prostředky Objednatele na šíření spamu ani škodlivého
softwaru.
2. Dodavatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům Objednatele je na straně Objednatele zpracování osobních údajů pracovníků Dodavatele, kteří se podílejí na zajištění předmětu plnění. Pokud nebude Objednateli umožněno osobní údaje dotčených pracovníků Dodavatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům Objednatele.
§ 10 Řízení provozu a komunikací
Strana 52
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §10 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Zajistit bezpečný provoz informačního systému a infrastruktury využívané pro
poskytování předmětu plnění.
b. Na vyžádání poskytnout Objednateli přehled, report, či jinou adekvátní informaci
o bezpečnostních opatřeních zavedených na svém informačním systému
a infrastruktuře.
c. Zajistit, že pro poskytování předmětu plnění budou využívány pouze aplikace a technologie, které jsou v souladu s platnou českou a evropskou legislativou, především s ohledem na licenční podmínky a AZ.
§ 11 Řízení změn
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §11 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Přiměřeně reagovat na změny na straně Objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.
b. Aktivně spolupracovat při testování významné změny.
§12 Řízení přístupu
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §12 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele.
b. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu Dodavatele, pokud sdílený přístup nevyžaduje využívaná technologie. V takovém případě musí Dodavatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit Objednateli kdykoli v průběhu trvání účinnosti této smlouvy a 2 roky po ukončení její platnosti.
c. Stanovit v požadavku na přístup rozsah dat/informací, služby, účelu, pro které je přístup k systému ICT objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den).
d. Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.
e. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně Dodavatele, které přistupují do prostředí Objednatele.
Strana 53
2. Dodavatel bere na vědomí, že přístup k systému ICT je možné povolit pouze fyzické identitě zaměstnance Dodavatele / poddodavatele Dodavatele zaevidované v Active Directory (registr identit), a to na základě požadavku Dodavatele na přístup.
3. Dodavatel bere na vědomí, že přidělení oprávnění zaměstnanci Dodavatele musí být řízeno principem nezbytného minima a není nárokové.
4. Dodavatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu Dodavatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům Objednatele).
§ 13 Akvizice, vývoj a údržba
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §13 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.
b. Předat Objednateli dokumentaci předmětu plnění minimálně v následujícím rozsahu:
i. dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů
ii. dokumentaci obsahující popis autorizačního konceptu a oprávnění
iii. dokumentaci obsahující instalační a konfigurační postupy
2. V případě, že předmět plnění zahrnuje vývoj softwaru, zavazuje se Dodavatel:
a. Dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru definované na základě smluvního vztahu.
b. Na vyžádání umožnit Objednateli provedení auditu prováděného nebo provedeného plnění, předložit objednateli vyvíjený kód SW a výstupy z provedeného codereview (automatizovaně prostřednictvím bezpečnostního nástroje i manuálně), po jeho dokončení, pokud není v této smlouvě stanoveno jinak, a to zejména za účelem ověření skutečnosti, zda Dodavatel postupuje či postupoval při poskytování plnění v souladu se smlouvou a těmito Kybernetickými požadavky.
c. Poskytovat Objednateli v termínech stanovených Objednatelem, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje softwaru či kdykoli po jeho předání.
d. Zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně ve smlouvě (zejména, že software nebude obsahovat žádné nepotřebné komponenty, žádné programové vzorky apod.).
e. Pokud je součástí plnění i instalace operačního systému případně softwaru třetích stran, zajistit v průběhu jeho instalace, že budou použity předepsané verze těchto produktů kompatibilní a funkční v prostředí Objednatele.
f. Zajistit bezpečnost testovacího prostředí u Dodavatele a ochranu poskytnutých testovacích dat Objednatelem.
Strana 54
g. Zajistit, že do produkčního prostředí Objednatele bude dodán jen předmětem smlouvy specifikovaný kompilovaný, respektive spustitelný kód a další nezbytná data pro provozování předmětu plnění.
h. Zajistit, že v rámci poskytovaného plnění bude dodávaný software
i. v souladu s bezpečnostními politikami a standardy Objednatele
ii. otestován na soulad s bezpečnostními politikami Objednatele (platí pro Dodavatele, pokud byl s takovými bezpečnostními politikami seznámen)
i. Instalovat software pouze na základě Objednatelem předem schválených migračních postupů.
j. Předat zdrojový kód Objednateli bezpečnou formou zajištující jeho integritu.
k. Zajistit řízení verzí zdrojového kódu.
l. Zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí.
m. Zajistit, aby distribuce zdrojových kódy obsahovala soubor z vývojového prostředí na řízenou kompilaci těchto zdrojových kódů.
n. Nevyvíjet, nekompilovat a nešířit v prostředí Objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.
§ 14 Zvládání kybernetických bezpečnostních událostí a incidentů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §14 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Xxxxxxxx a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání bezpečnostních incidentů.
b. Bez zbytečného odkladu hlásit Objednateli všechny bezpečnostní události a incidenty s potenciálním negativním dopadem na Objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby.
c. Vyhodnocovat informace o bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky platné české a evropské legislativy.
d. V případě vzniku bezpečnostní události a následného zvládání a vyhodnocování bezpečnostního incidentu a/nebo v případě podezření na bezpečnostní incident poskytnout Objednateli aktivní součinnost a relevantní informace o podezřelém zařízení či osobě na straně Dodavatele.
e. Bez zbytečného odkladu a po dohodě s Objednatelem realizovat opatření požadovaná Objednatelem v dohodnutých termínech ke snížení dopadu bezpečnostního incidentu nebo zamezení pokračování incidentu.
f. Spolupracovat při analýze příčin bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že Dodavatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.
2. Dodavatel bere na vědomí, že postup zvládání bezpečnostního incidentu či jiný důsledek porušení Kybernetických požadavků, jehož příčina je na straně Dodavatele, nebude
Strana 55
posuzován jako okolnost vylučující odpovědnost Dodavatele za prodlení s řádným a včasným plněním předmětu této smlouvy a nebude důvodem k jakékoli náhradě případné újmy Dodavateli či jiné osobě ze strany objednatele. Ostatní ustanovení ohledně odpovědnosti Dodavatele za prodlení obsažená v této smlouvě nejsou tímto ustanovením dotčena.
§15 Řízení kontinuity činností
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §15 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění.
b. Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle sjednané úrovně služeb.
§ 16 Kontrola a audit
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §8 a §16 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění poskytnout adekvátní součinnost při výkonu kontroly Objednatele ze strany Úřadu dle § 23 ZKB.
§ 17 Fyzická bezpečnost
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §17 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT, anebo datové nosiče.
b. V rozsahu předmětu plnění zajistit fyzické zabezpečení, zejména označení, uchování a likvidaci, instalačních, záložních nebo archivních médií a dokumentace v souladu s klasifikací aktiv Objednatele, pokud s ní byl Dodavatel seznámen.
§ 18 – 27 Bezpečnostní nástroje
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v §18 až §27 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Realizovat bezpečnostní opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity komunikační sítě.
b. Realizovat přístup z mobilního zařízení do prostředí Objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN) nebo zvolit adekvátní technické opatření.
c. Připojovat do prostředí Objednatele pouze ta síťová zařízení (switch, přístupový bod wifi, router, hub apod.), která prošla schvalovacím procesem a jejich připojení bylo
Strana 56
schváleno oprávněnou osobu ve věcech technických na straně Objednatele určenou v této smlouvě.
d. Bez zbytečného odkladu deaktivovat všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, který je v rozsahu předmětu plnění a je ve správě Dodavatele.
e. Na aktiva Objednatele neinstalovat a nepoužívat v prostředí Objednatele tyto typy nástrojů, pokud nejsou součástí předmětu plnění:
i. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.
ii. Sniffer – software nebo hardware umožňující odposlouchávání síťového
provozu.
iii. Analyzátor zranitelností (scanner zranitelností) – softwarový nebo hardwarový nástroj umožňující vyhledávání zranitelností systémů ICT, detekování dostupných síťových služeb a portů, běžících procesů, běžících aplikací a jejich verzí apod.
iv. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.
v. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje
bezpečnostní opatření v prostředí Objednatele.
f. Připojovat do prostředí Objednatele pouze zařízení ICT, která jsou chráněna proti
malware a jinému škodlivému softwaru, pokud to jejich technologie umožňuje.
g. Průběžně zaznamenávat a uchovávat data o provozu zařízení ICT (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platné české a evropské legislativy.
h. Na vyžádání poskytnout Objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.
i. Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.
j. Pro on-line transakce realizované prostřednictvím webových technologií implementovat TLS/SSL certifikáty s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.
k. Veškeré neveřejné informace poskytnuté Objednatelem chránit vhodným šifrováním a proti neautorizovanému přístupu, a to zejména na mobilních zařízeních.
2. Dodavatel bere na vědomí, že v případě, kdy technické spojení Objednatele s Dodavatelem narušuje chod služeb Objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato smlouva nestanoví jinak.
3. Dodavatel bere na vědomí, že veškeré aktivity Dodavatele a jeho plnění realizované v prostředí Objednatele jsou monitorovány a vyhodnocovány v rozsahu předměty plnění a v souladu s interními dokumenty Objednatele, se kterými byl Dodavatel seznámen.
Strana 57
Příloha č. 8
Dotazník Významného dodavatele dle vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat
(samostatná příloha)
Strana 58