SMLOUVA o poskytování komplexních služeb nad redakčním systémem DRUPAL

Evidenční číslo smlouvy ČNB: 00-000-00 Příloha č. 1 ZD

SMLOUVA

o poskytování komplexních služeb nad redakčním systémem DRUPAL

pro potřeby ČNB včetně tvorby webových stránek

uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“) a zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“),

mezi:

Českou národní bankou

Na Příkopě 28

115 03 Praha 1

zastoupenou: Ing. Xxxxxxx Xxxxxxxxx, ředitelem sekce informatiky

a

Ing. Xxxxxxx Xxxxxxxx, ředitelem sekce správní

IČO: 48136450

DIČ: CZ48136450

(dále jen „objednatel“ nebo „ČNB“)

a

……………………………………

zapsanou v obchodním rejstříku vedeném u ................................................................

se sídlem/místem podnikání: .........................................................................................

zastoupenou: .................................................................

IČO: .........................

DIČ: .........................

číslo účtu ............./kód banky .................. (plátce DPH uvede svůj účet, který je zveřejněn podle § 98 zákona o DPH)

(dále jen „poskytovatel“) (doplní dodavatel)

Článek I

Předmět smlouvy, místo plnění a provozní doba objednatele

1. Předmětem této smlouvy je poskytování komplexních služeb nad redakčním systémem DRUPAL instalovaným v systémovém prostředí objednatele nebo v cloudu pronajatém objednatelem (dle objednatelem zvolené varianty), včetně návrhu a tvorby webových stránek xxx.xxx.xx provozovaných nad tímto redakčním systémem, a to v rozsahu a za podmínek níže uvedených v této smlouvě a jejích přílohách.

2. Poskytovatel se zavazuje dodat veškeré potřebné komponenty, moduly a licence redakčního systému DRUPAL (dále jen „RS DRUPAL“) pro zajištění provozu nových webových stránek xxx.xxx.xx, nainstalovat je do systémového prostředí objednatele dle odsouhlasené architektury, nakonfigurovat, parametrizovat a upravit (dále jen „dílo“). Dílo bude po celou dobu trvání této smlouvy provozováno v testovacím i provozním prostředí. Dílo bude instalováno do systémového prostředí objednatele, případný přesun do cloudu pronajatého objednatelem může nastat až po převzetí díla objednatelem.

3. Součástí díla dle odst. 2 je:

1. Vypracování realizační studie, kde bude popsán postup instalace, konfigurace, úprav a parametrizace všech potřebných komponent a modulů RS DRUPAL do systémového prostředí objednatele a alternativně v cloudu pronajatém ČNB dle odsouhlasené architektury pro zajištění provozu nových webových stránek xxx.xxx.xx. Bližší rozsah a struktura realizační studie jsou uvedeny v příloze č. 1. Realizační studie musí prokázat splnění veškerých požadavků objednatele na dílo dle této smlouvy (vítané požadavky nemusí být splněny) a jejích příloh (zejména přílohy č. 2). Realizační studie musí vycházet z návrhu realizace řešení dle přílohy č. 9, nestanoví-li objednatel jinak;

2. Vypracování testovacích scénářů, které budou umožňovat kontrolu provedení díla a budou odpovídat části „Šablona pro testovací scénáře“ přílohy č. 6; testovací scénáře musí zejména umožňovat ověření naplnění všech požadavků objednatele podle přílohy č. 2 a přílohy č. 4 (výjimkou jsou vítané požadavky), stejně jako dalších vlastností díla, které jsou uvedeny v příloze č. 2 nebo této smlouvě samotné. Jeden testovací scénář může ověřovat naplnění více požadavků či více vlastností díla;

3. Vypracování realizační dokumentace v souladu s přílohou č. 3 smlouvy;

4. Vytvoření rozhraní pro napojení RS DRUPAL pomocí API/WS na zdroj dynamických dat ČNB (kurzovní lístek apod.) předávaných a publikovaných na webových stránkách xxx.xxx.xx (ve stávajícím redakčním systému řešeno „datovou pumpou“);

5. Vytvoření Demo webu v souladu s přílohou č. 4. Jedná se o vytvoření ukázkových stránek/podstránek blíže specifikovaných v příloze č. 4, které budou obsahovat prvky/moduly pro ověření vybraných funkcionalit;

6. Školení (cca 10 zaměstnanců objednatele) spočívající v seznámení se základními funkcionalitami RS DRUPAL a realizační dokumentací, zejména s důrazem na znalosti a další činnosti nutné pro zajištění akceptačního testování v rámci testovacího a ověřovacího provozu, včetně vypracování a poskytnutí školicích materiálů a scénářů. Školení proběhne před akceptačním testováním; bez provedení zaškolení nemůže započít akceptační testování;

7. Předání čitelného a kompletního zdrojového kódu v rozsahu provedených úprav v RS DRUPAL (včetně komentářů k tomuto kódu), a to v elektronické podobě dohodnutým způsobem.

1. Dílo musí splňovat veškeré požadavky objednatele dle přílohy č. 2 smlouvy (vítané požadavky splňovat nemusí) a být plně funkční v systémovém prostředí objednatele dle přílohy č. 5 smlouvy. Dílo musí odpovídat objednatelem akceptované realizační studii, nedomluví-li se pověřené osoby smluvních stran jinak. Poskytovatel se zavazuje, že objednatel bude disponovat oprávněním k užívání díla (licenci/podlicenci) v rozsahu uvedeném v čl. VIII smlouvy.

2. Předmětem smlouvy je dále závazek poskytovatele:

1. poskytnout školení věcných správců RS DRUPAL a šéfredaktorů/redaktorů webových stránek ČNB (cca 20 zaměstnanců objednatele) spočívající ve vypracování a poskytnutí školicích materiálů a seznámení s funkcionalitami RS DRUPAL a příslušnými částmi realizační dokumentace, zejména s důrazem na znalosti potřebné k užívání RS DRUPAL v jednotlivých rolích uživatelů, a to do 3 měsíců od převzetí a předání díla dle čl. II odst. 2 a v rozsahu potřebném pro řádné užívání díla, minimálně však v rozsahu 1 pracovního dne. Provedení školení bude potvrzeno podpisem zápisu o provedení školení pověřenou osobou objednatele.

Prostory pro veškerá školení dle této smlouvy zajistí a konkrétní datum školení určí objednatel po dohodě s poskytovatelem.

2. poskytovat provozní podporu provozního i testovacího prostředí dle čl. III smlouvy;

3. provádět pro objednatele nebo v součinnosti s ním, a případně s třetími osobami určenými objednatelem, další úpravy, doplnění nebo změny související s dílem včetně migrace, popř. přesunu RS DRUPAL včetně všech aktuálně provozovaných stránek, subdomén/microsites a modulů do cloudu, bude-li to objednatel požadovat (dále též „budoucí rozvoj“) dle čl. IV smlouvy;

4. poskytovat konzultace dle čl. V smlouvy;

5. poskytovat doplňkové školení dle požadavku objednatele, které bude provedeno na základě dohody smluvních stran. Cena doplňkového školení bude stanovena na základě hodinové sazby uvedené v příloze č. 10 smlouvy a doby trvání školení. Provedení doplňkového školení bude potvrzeno podpisem zápisu o provedení doplňkového školení pověřenou osobou objednatele.

1. Předmětem této smlouvy je rovněž závazek objednatele poskytovat poskytovateli potřebnou součinnost a zaplatit za poskytnutá plnění ceny dle čl. VII smlouvy.

2. Místem plnění je sídlo objednatele na adrese: Xx Xxxxxxx 00, 000 00 Xxxxx 0, nedohodnou-li se pověřené osoby smluvních stran jinak.

3. Provozní dobou objednatele je:

• pondělí až čtvrtek od 7.45 do 16.15 hodin;

• pátek od 7.45 do 15.00 hodin;

mimo svátky a dny pracovního klidu.

Veškerá plnění z této smlouvy, která je třeba provádět nebo jinak realizovat v místě plnění nebo za součinnosti objednatele, jeho pracovníků nebo jím určených třetích osob, musí být prováděna nebo jinak realizována ve stanovenou provozní dobu objednatele, nedohodnou-li se v konkrétním případě pověřené osoby smluvních stran jinak.

9. Veškerá komunikace dle této smlouvy bude vedena v českém nebo slovenském jazyce a veškerá plnění dle této smlouvy budou poskytnuta v českém jazyce:

1. nebude-li pověřenými osobami smluvních stran v konkrétním případě dohodnuto jinak,

2. nebude-li se jednat o použití konkrétních názvů nebo odborných pojmů, nemajících v českém jazyce ekvivalent; na požádání pověřené osoby objednatele musí být takový název nebo pojem vysvětlen v českém jazyce;

3. nejde-li o výňatky zdrojového kódu/programového kódu/programovacího jazyka.

Článek II

Lhůty, předání a převzetí díla

1. Dílo bude prováděno v následujících lhůtách:

1. Do 2 měsíců od podpisu smlouvy poskytovatel předá objednateli k akceptaci realizační studii, jejíž náležitosti jsou uvedeny v příloze č. 1, při naplnění podmínek podle kap. 1.1. přílohy č. 6.

2. Do 5 měsíců od podpisu smlouvy poskytovatel předá dílo včetně demo webu dle přílohy č. 4 objednateli k akceptaci v testovacím prostředí při naplnění podmínek podle kap. 1.2. přílohy č. 6.

3. Bylo-li dílo v souladu s přílohou č. 6 akceptováno s výhradami, pak ve lhůtách určených v  protokolu o akceptaci díla poskytovatel odstraní vady díla v tomto protokolu uvedené.

4. Do 9 měsíců od podpisu smlouvy poskytovatel implementuje RS DRUPAL do systémového prostředí objednatele (viz příloha č. 5) a předá dílo objednateli do ověřovacího provozu v provozním prostředí při naplnění podmínek podle kap. 2 přílohy č. 6.

5. Do 1 roku od podpisu smlouvy poskytovatel předá objednateli dílo, včetně zejména kompletní realizační dokumentace dle čl. I odst. 3 písm. c), obsahující komentář ke zdrojovému kódu, a čitelného a kompletního zdrojového kódu k provedeným úpravám v souladu s čl. I odst. 3 písm. g).

6. Bylo-li dílo podle odst. 2 tohoto článku převzato s výhradami, pak ve lhůtách určených v předávacím protokolu poskytovatel odstraní vady díla uvedené v protokolu.

2. Dílo bude předáno na základě předávacího protokolu, který podepíše alespoň jedna pověřená osoba za každou smluvní stranu. Pro předávací protokol se použije vzor uvedený v části „Vzor Předávacího protokolu“ přílohy č. 6. Vykazuje-li dílo v okamžiku předání vady, je převzato s výhradami a objednatel, po projednání s poskytovatelem, uvede v předávacím protokolu pro každou z vad lhůtu pro její odstranění; lhůta může být stanovena i s odkládací podmínkou¹; lhůta se nestanovuje pro neodstranitelné vady kategorie C, které objednatel považuje za natolik nevýznamné, že s nimi lze dílo převzít. Dílo nebude převzato s jakoukoli vadou kategorie A. Blíže viz příloha č. 6 této smlouvy.

3. Poskytovatel není oprávněn dílo předat a objednatel není povinen dílo převzít, nebyl-li ověřovací provoz nebo poslední opakovaný ověřovací provoz ukončen úspěšně.

4. Poskytovatel garantuje, že:

1. dílo neobsahuje škodlivý software nebo známé zranitelnosti (dle seznamu OWASP TOP10 a CWE TOP 25),

2. dílo je schopno rutinního provozu ve standardním systémovém prostředí objednatele (viz příloha č. 5) s daty objednatele, a to i za pravidelného nasazování aktualizací (update/upgrade/patch/hotfix) komponent systémového prostředí objednatele. Pokud bude nezbytné k užívání díla využít SW produkty a/nebo služby nad rámec standardního systémového prostředí objednatele, poskytovatel musí tyto zajistit na své náklady včetně potřebných licencí a jejich provozní podporu tak, aby je bylo možné provozovat bez nutnosti zásahů a speciálních znalostí technické správy objednatele. Tato plnění se poskytovatel zavazuje poskytnout objednateli v rámci plnění dle této smlouvy a zajistit plnou podporu těchto SW produktů v rámci podpory řešení, přičemž ceny plnění dle čl. VII zahrnují i tyto náklady,

3. dílo je funkční dle předané realizační dokumentace,

4. v případě negativního dopadu do stávajících provozovaných systémů objednatele upraví dílo takovým způsobem, aby tyto dopady vyloučil, přičemž ceny plnění dle čl. VII zahrnují i tyto náklady,

5. dílo je vytvořeno v souladu se všemi příslušnými právními předpisy.

5. Objednatel si vyhrazuje právo prodloužit lhůty uvedené v tomto článku (stanovené na základě této smlouvy), a to přiměřeně okolnostem, na základě písemné a odůvodněné žádosti poskytovatele, ve které poskytovatel doloží, že objektivně nemohl pokračovat v plnění dle této smlouvy z důvodu, že mu objednatel neposkytl povinnou a nezbytnou součinnost, nebo z důvodu skutečností stojících na straně poskytovatele, které ani poskytovatel jednající s náležitou péčí nemohl předvídat a které sám nezpůsobil (včetně např. výpadku či zdržení v dodavatelsko-odběratelském řetězci, výpadku v pracovní síle poskytovatele z důvodu opatření uložených orgány veřejné moci, nikoli v důsledku protiprávního jednání poskytovatele, zdržení v plnění jiných smluvních partnerů objednatele, které se plnění dle této smlouvy dotýká a které nebylo způsobeno objednatelem). Žádost poskytovatele dle tohoto odstavce musí být objednateli doručena v dostatečném předstihu před uplynutím lhůt(y) a musí obsahovat i návrh jejich prodloužení, ten však není pro objednatele závazný. Změna lhůt uvedených v tomto článku bude provedena formou dodatku ke smlouvě. Ostatní lhůty uvedené, resp. stanovené na základě této smlouvy, mohou být měněny písemnou dohodou pověřených osob smluvních stran, avšak pouze za podmínky, že nemají dopad na lhůty uvedené v tomto článku, jinak je jejich změna možná jen formou dodatku ke smlouvě.

Článek III

Provozní podpora

1. Provozní podpora bude poskytovatelem poskytována okamžikem předání a převzetí díla, a to jak pro testovací, tak pro provozní prostředí, přičemž tato podpora zahrnuje:

1. Provozní podporu spočívající v:

1. Zajištění provozu nových webových stránek xxx.xxx.xx včetně RS DRUPAL 24x7x365 v standardním prostředí objednatele, či v cloudu pronajatém objednatelem (na základě následného požadavku objednatele na přesun ze systémového prostředí objednatele do cloudu);

2. (Vzdálené) správě v systémovém prostředí objednatele/popř. v cloudu, dojde-li k přesunu ze systémového prostředí objednatele;

3. Udržování metodické a technologické jednotnosti a konzistentnosti všech prvků webových stránek xxx.xxx.xx;

4. Informování objednatele o všech výrobcem připravovaných a realizovaných změnách RS DRUPAL zasláním informace na e-mailové adresy pověřených osob objednatele, a to bez zbytečného odkladu, nejpozději do 20 pracovních dnů od získání informace od výrobce;

5. Podpoře při řešení provozních problémů přímo souvisejících s provozem webových stránek xxx.xxx.xx nebo jejich aktualizacemi ve formě konzultací poskytnutých objednateli, sloužících jako návody a rady, jak používat RS DRUPAL či jak by mělo být nastaveno prostředí webových stránek xxx.xxx.xx k jejich optimálnímu fungování. Konzultace budou poskytovány telefonicky na tel. ................ (doplní dodavatel), e-mailem ................ (doplní dodavatel) nebo ………….. (dodavatel doplní, pokud nabízí i jinou formou, např. prostřednictvím Helpdesku), a to v pracovní dny v době ................ (doplní dodavatel min. v rozsahu 4 hod./den mezi 8:00 a 16:00 hod.). V případě, že objednatel v rámci konzultací zašle poskytovateli dotaz na výše uvedenou e-mailovou adresu, je poskytovatel povinen poskytnout informace nejpozději do 3 pracovních dnů od doručení e-mailové zprávy objednatele. Případná změna v tel. či e-mailu bude poskytovatelem oznámena na e-mailové adresy pověřených osob objednatele, bez povinnosti uzavřít dodatek k této smlouvě;

6. Poskytování instrukcí pro plnou funkční konfiguraci všech částí webových stránek xxx.xxx.xx po aplikaci aktualizace provedené objednatelem;

7. Odstraňování vad webových stránek xxx.xxx.xx;

8. Odstraňování vad webových stránek xxx.xxx.xx za které poskytovatel neodpovídá, a to na základě výzvy objednatele zaslané na e-mailové adresy pověřených osob poskytovatele nebo nahlášené na Hotline/Helpdesk dle odst. 1 bodu 1.2.4 tohoto článku. Lhůta plnění bude stanovena dohodou pověřených osob smluvních stran.

9. Obnově poškozených či ztracených dat objednatele umístěných v RS DRUPAL způsobených objednatelem, a to na základě výzvy objednatele zaslané na e-mailové adresy pověřených osob poskytovatele nebo nahlášené na Hotline/Helpdesk dle odst. 1 bodu 1.2.4 tohoto článku. Lhůta plnění bude stanovena dohodou pověřených osob smluvních stran.

2. Poskytování služby Hotline/Helpdesk

1.2.1 Služba Hotline/Helpdesk spočívá v povinnosti poskytovatele technicky, organizačně a personálně zajistit efektivní komunikaci objednatele s odbornými pracovníky poskytovatele prostřednictvím telefonického spojení, elektronické pošty, případně webového portálu, a to o všech záležitostech provozní podpory díla.

1.2.2 Hotline/Helpdesk zahrnuje:

1. Konzultační podporu;

2. Evidenci (ohlašování) a vyřizování nahlášených vad a požadavků na jejich odstranění;

3. Evidenci požadavků na konzultace;

4. Evidenci požadavků na obnovu dat.

1.2.3 Oznámení učiněné telefonicky potvrzuje objednatel následně elektronickou poštou nebo prostřednictvím webového portálu. Služba Helpdesk je objednateli k dispozici nepřetržitě.

1.2.4 Kontaktní údaje na Hotline/Helpdesk: ………. (dodavatel doplní). Hotline/Helpdesk musí fungovat bezplatně, resp. bez jakýchkoli poplatků, bezprostředně, nepřetržitě (Helpdesk), s následným e-mailovým potvrzením o ohlášení vady. Změnu v kontaktních údajích je poskytovatel povinen oznámit na e-mailové adresy pověřených osob objednatele před jejich změnou, bez povinnosti uzavřít dodatek k této smlouvě.

1.2.5 Poskytovatel potvrdí příjem požadavku objednatele nejpozději do 2 hodin od jeho doručení, nestanoví-li tato smlouva jinde jinak.

1.3 Zajištění bezpečnosti provozu

Průběžné zajištění bezpečnosti provozu zahrnuje zejména:

1. Aplikaci bezpečnostních standardů a politik objednatele;

2. Zajištění mechanismů pro řízení přístupů;

3. Zajištění aktuálních a bezpečných kryptografických prostředků;

4. Zajištění aktuálních a bezpečných softwarových komponent;

5. Zajištění čistého a bezpečného zdrojového kódu (aplikace principů bezpečného vývoje);

6. Zajištění bezpečnostních záznamů (logů);

7. Spolupráci při integraci s bezpečnostními a monitorovacími nástroji objednatele;

8. Spolupráci při zajištění business continuity managementu a disaster recovery;

9. Zajištění důvěrnosti, integrity a dostupnosti dat jak při přenosu, tak při uložení.

1.4 Aplikace nových standardů a aktualizací

1.4.1 Aplikace nových standardů a aktualizací zahrnuje zejména:

1. Informování objednatele o aktualizacích/nových verzích RS DRUPAL (tj. update/upgrade/patch/hotfix).

2. Aktualizace RS DRUPAL řešící opravy chyb a nové funkce RS DRUPAL na základě výzvy objednatele, a to včetně komponent systému, které byly vytvořeny/ naprogramovány nad RS DRUPAL. Jedná se o aktualizaci systému zahrnující i majoritní verze včetně případných úprav doprogramovaných modulů. Aktualizaci včetně implementace a proškolení, bude-li součástí, poskytne poskytovatel objednateli nejpozději do 4 týdnů od výzvy objednatele k příslušné aktualizaci, nedohodnou-li se pověřené osoby smluvních stran jinak. Součástí majoritní aktualizace systému je i proškolení pracovníků objednatele zaměřené na rozdíly a nové vlastnosti oproti stávající verzi. Školení není součástí ceny za provozní podporu, bude provedeno v souladu s čl. I odst. 5 písm. e).

3. Bezpečnostní záplaty RS DRUPAL, přičemž bezpečnostní záplatu poskytne včetně její implementace poskytovatel objednateli nejpozději do 2 týdnů od uvedení příslušné bezpečnostní záplaty výrobcem RS DRUPAL na trh, nedohodnou-li se pověřené osoby smluvních stran jinak. V případě, že se jedná o vážnou zranitelnost (např. webové stránky xxx.xxx.xx by nemohly být v provozu), poskytne poskytovatel objednateli bezpečnostní záplatu bez zbytečného odkladu. O tom, zda se jedná o vážnou zranitelnost, rozhoduje objednatel.

4. Aktualizace vynucené změnami standardního systémového prostředí objednatele s ohledem na pravidelný proces implementace aktualizací standardního systémového prostředí objednatele (např. aktualizace webového prohlížeče, nasazení vyšší verze operačního systému apod.), přičemž aktualizaci poskytne včetně její implementace poskytovatel nejpozději do 4 týdnů od výzvy objednatele k příslušné aktualizaci, nedohodnou-li se pověřené osoby smluvních stran jinak.

5. Aktualizace dokumentace v důsledku implementace aktualizací nejpozději do 4 týdnů od implementace aktualizace, nedohodnou-li se pověřené osoby smluvních stran jinak. Aktualizace dokumentace musejí být v českém jazyce (resp. v souladu s čl. I odst. 9) a v elektronické podobě ve standardním formátu MS Office 2016 a také ve formátu PDF/A-1a umožňujícím fulltextové prohledávání obsahu.

1.4.2 Implementaci aktualizace nebo bezpečnostní záplaty provede poskytovatel na základě výzvy objednatele bez přerušení dostupnosti webových stránek xxx.xxx.xx pro koncové uživatele. V případě, že bude za účelem instalace aktualizace nebo bezpečnostní záplaty nutný restart nebo přerušení provozu webových stránek xxx.xxx.xx, o čemž je poskytovatel vždy povinen předem informovat některou z pověřených osob objednatele, budou webové stránky xxx.xxx.xx nedostupné maximálně po dobu 10 minut, nedohodnou-li se pověřené osoby smluvních stran jinak.

1.5 Optimalizace výkonu, capacity planning

V rámci optimalizace výkonu a capacity planning poskytovatel provádí zejména:

Průběžně:

1. Monitorování provozu;

2. Návrhy úprav na optimalizaci výkonu na základě průběžného monitorování provozu;

3. Testy a práce zajišťující optimalizaci výkonu;

4. Analýzu logů zátěže pro nastavení vhodných scénářů, přípravu testů a ladění;

5. Generování dostatečné zátěže pro testy a práce zajišťující optimalizaci výkonu;

6. Testování a vyhodnocení výsledků, analýzy výstupů;

přičemž poskytovatel zašle na výzvu objednatele zprávu o činnostech prováděných dle písm. a) až f) tohoto odstavce, a to na e-mailové adresy pověřených osob objednatele ve lhůtě 5 pracovních dnů od obdržení výzvy;

Na výzvu objednatele:

7. Porady a konzultace pro plánování HW kapacit, a to ve lhůtě 5 pracovních dnů od obdržení výzvy objednatele zaslané na e-mailové adresy pověřených osob poskytovatele nebo nahlášené na Hotline/Helpdesk dle odst. 1 bodu 1.2.4 tohoto článku;

8. Implementace řešení, a to ve lhůtě 14 pracovních dnů od obdržení výzvy objednatele zaslané na e-mailové adresy pověřených osob poskytovatele nebo nahlášené na Hotline/Helpdesk dle odst. 1 bodu 1.2.4 tohoto článku.

2. Odstraňování vad webových stránek xxx.xxx.xx je poskytovatel povinen provádět takto:

2.1 Kritická vada:

• do 1 hodiny od ohlášení vady webových stránek xxx.xxx.xx informovat pověřené osoby objednatele o přijetí ohlášení vady;

• do 2 hodin od ohlášení vady vadu odstranit nebo nalézt a implementovat dočasné řešení vady (workaround);

• do 8 hodin od ohlášení vady vadu odstranit za pomoci trvalého řešení.

Kritickou vadou je vada, která znemožňuje či omezuje práci s webovými stránkami xxx.xxx.xx, a/nebo zapříčiňuje chování, při kterém dochází k nenapravitelnému poškozování informací uložených v RS DRUPAL či prezentovaných na webových stránkách xxx.xxx.xx, resp. ke ztrátě důvěry v pravdivost a úplnost těchto informací, popř. jiným závažným způsobem narušuje chod webových stránek xxx.xxx.xx.

Bezpečnostní zranitelnosti dle seznamu OWASP TOP10 a CWE/SANS TOP 25 jsou vždy kritickou vadou.

Kritickými vadami jsou zejména:

• webové stránky xxx.xxx.xx jsou nefunkční;

• webové stránky xxx.xxx.xx při svém fungování zapříčiňují porušování platných právních předpisů;

• webové stránky xxx.xxx.xx při svém fungování zapříčiňují ohrožení provozu nebo dostupnosti ostatních programových prostředků (SW) nebo technických prostředků (HW) v prostředí objednatele;

• není možné ovládání webových stránek xxx.xxx.xx jako celku nebo není možné ovládání základních funkcí webových stránek xxx.xxx.xx podle realizační dokumentace;

• není možné používání webových stránek xxx.xxx.xx jako celku nebo je znemožněno používání základních funkcí webových stránek xxx.xxx.xx podle realizační dokumentace;

• webové stránky xxx.xxx.xx ohrožují bezpečnost systémového prostředí objednatele nebo přistupujících klientů;

• webové stránky xxx.xxx.xx mají omezenou funkcionalitu takovým způsobem, že je omezením zasažen významný počet uživatelů, byť i v rámci jedné role;

• došlo ke ztrátě dat uložených v RS DRUPAL a tato data nelze obnovit bez záruky, že jsou úplná a totožná k okamžiku ztráty;

• výskyt vady, která zapříčiňuje nemožnost používání nebo ovládání RS DRUPAL;

• výskyt vady, která dle objednatele je schopna zapříčinit ztrátu dat nebo úplně znemožní užití RS DRUPAL;

• výskyt vady, která způsobuje, že použití RS DRUPAL by nebylo bezpečné nebo by plně neodpovídalo zásadám bezpečnostní politiky objednatele;

• výskyt vady, která ohrožuje provoz nebo dostupnost ostatních aplikací i samotného RS DRUPAL v provozním prostředí;

• výskyt vady, která způsobuje, že RS DRUPAL (webové stránky xxx.xxx.xx) není schopen zpracovat běžnou provozní zátěž;

• výskyt vady, která za provozních podmínek vede k omezení funkcionality webových stránek xxx.xxx.xx s dopadem na významný počet uživatelů;

• výskyt vady, která se projevuje stále, občas nebo náhodně a splňuje některou z výše popsaných charakteristik.

2.2 Podstatná vada:

• do 2 hodin od ohlášení vady webových stránek xxx.xxx.xx informovat pověřené osoby objednatele o přijetí ohlášení vady;

• do 48 hodin od ohlášení vady vadu odstranit za pomoci trvalého řešení.

Podstatnou vadou je vada, která podstatně ztěžuje práci s webovými stránkami xxx.xxx.xx, a/nebo zapříčiňuje chování webových stránek xxx.xxx.xx takového charakteru, že dochází k poškozování informací uložených v RS DRUPAL či prezentovaných na webových stránkách xxx.xxx.xx, avšak informace uložené v RS DRUPAL lze obnovit s plnou důvěrou v jejich pravdivost a úplnost, popř. jiným způsobem narušuje chod webových stránek xxx.xxx.xx, a zároveň je možno ji bezprostředně dočasně vyřešit organizačním či jiným opatřením.

Podstatnými vadami jsou zejména:

• není možné ovládání méně podstatných funkcí RS DRUPAL podle realizační dokumentace;

• není možné používání méně podstatných funkcí webových stránek xxx.xxx.xx podle realizační dokumentace;

• webové stránky xxx.xxx.xx mají omezenou funkcionalitu takovým způsobem, že je omezením zasažen malý počet uživatelů v rámci jedné role;

• došlo ke ztrátě dat uložených v RS DRUPAL, tato data lze však obnovit se zárukou, že jsou úplná a totožná k okamžiku ztráty;

• webové stránky xxx.xxx.xx nejsou schopny zpracovávat maximální provozní zátěž.

3. Nepodstatná vada:

• do 1 pracovního dne od ohlášení vady informovat pověřené osoby objednatele o přijetí ohlášení vady;

• do 30 pracovních dnů od ohlášení vady vadu odstranit za pomoci trvalého řešení.

Nepodstatnou vadou je vada, která nemá vliv na fungování webových stránek xxx.xxx.xx, a všechny ostatní vady, které nejsou vadami kritickými nebo podstatnými.

Nepodstatnými vadami jsou zejména:

• vzhled webových stránek xxx.xxx.xx neodpovídá v drobných detailech realizační dokumentaci;

• webové stránky xxx.xxx.xx (nikoliv informace na stránkách obsažené) obsahují pravopisnou nebo gramatickou chybu, překlep nebo nevhodné formátování;

• omezená funkcionalita webových stránek xxx.xxx.xx je vázána na jediného uživatele, který nemá jedinečnou roli.

Kategorizaci vady stanovuje objednatel v rámci jejího ohlášení. Pokud poskytovatel nebude souhlasit se zařazením vady do určité kategorie a vznese námitku proti jejímu zařazení, rozhoduje o námitce s konečnou platností objednatel.

Článek IV

Budoucí rozvoj

1. Budoucí rozvoj zahrnuje zejména:

1. Vypracování písemných analýz a návrhů řešení nových uživatelských požadavků na rozvoj RS DRUPAL, vývoj a implementaci dalších stránek, subdomén/microsites a modulů a úpravy nových webových stránek xxx.xxx.xx;

2. Vypracování písemných analýz a návrhů řešení nových uživatelských požadavků objednatele na vývoj a implementaci nových webových služeb a mobilních aplikací;

3. Rozvoj RS DRUPAL, instalaci nových modulů a komponent a dále vývoj a implementaci dalších stránek, subdomén/microsites a modulů, úpravy stávajících webových stránek xxx.xxx.xx, subdomén/microsites a modulů;

4. Vývoj a implementaci nových webových služeb a mobilních aplikací;

5. Upgrade webových stránek xxx.xxx.xx, jehož potřeba vznikla na základě organizačních a technických změn v ČNB, změn vnitřních předpisů ČNB, a rovněž upgrade webových stránek xxx.xxx.xx spojený se změnou systémového prostředí nad rámec nasazování aktualizací (update/upgrade/patch) komponent systémového prostředí;

6. Programátorské práce požadované objednatelem v souvislosti s úpravami webových stránek xxx.xxx.xx a nezahrnuté v provozní podpoře či jiném plnění dle této smlouvy;

7. Vytvoření čitelného a kompletního zdrojového kódu úprav RS DRUPAL/webových stránek xxx.xxx.xx včetně komentářů k tomuto kódu a dalších podkladů potřebných ke správě, údržbě a úpravám webových stránek xxx.xxx.xx, včetně aktualizované dokumentace (např. datový model, programové knihovny), to vše v elektronické podobě na CD/DVD/USB flash;

8. Migraci z původních webových stránek do nových webových stránek xxx.xxx.xx, zahrnující zejména:

   1. sběr analytických podkladů pro migraci;

   2. analýzu a přípravu vstupních/zdrojových dat a metadat;

   3. +tvorbu migračních skriptů;

   4. migraci obsahu:

• export dat a metadat z původních webových stránek xxx.xxx.xx a ostatních subdomén/microsites,

• import dat a metadat do nových webových stránek xxx.xxx.xx a ostatních subdomén/microsites;

5. kontrolu zmigrovaného obsahu.

V rámci migrace musí poskytovatel zajistit:

1. zachování časových značek publikování;

2. že zmigrovaný obsah odpovídá původnímu obsahu a v případě, že to objednatel požaduje, i původnímu layoutu;

3. v případě, že to bude objednatel pro dané konkrétní URL požadovat, také zachování původních URL adres publikovaných stránek;

4. zachování původních metadat, pokud byla součástí původního řešení a jsou i nadále vyžadována.

Konečné rozhodnutí o akceptaci migrace má objednatel.

9. Přesunutí RS DRUPAL včetně všech aktuálně provozovaných stránek, subdomén/microsites a modulů do cloudu pronajatého objednatelem, včetně spolupráce (součinnosti) s pronajímatelem cloudu, přičemž lhůta pro přesun nesmí být delší než 6 měsíců. Objednatel oznámí plánovaný přesun do cloudu poskytovateli minimálně 6 měsíců předem.

2. Vyžádaný budoucí rozvoj bude prováděn na základě výzvy objednatele a nabídky poskytovatele. Součástí výzvy objednatele bude věcné zadání a navrhovaná lhůta provedení. Součástí nabídky poskytovatele bude předpokládaná pracnost vyžádaného budoucího rozvoje, uvedení pracovníků (dle rolí), kteří se na budoucím rozvoji budou podílet a lhůta pro jeho provedení. V případě, že pověřená osoba objednatele nabídku akceptuje, oznámí to e-mailem pověřené osobě poskytovatele. S prováděním budoucího rozvoje může poskytovatel začít až po doručení objednávky objednatele, popř. po uzavření prováděcí smlouvy. Bude-li budoucí rozvoj prováděn na základě objednávky, objednatel objednávku zašle na e-mailové adresy pověřených osob poskytovatele.

3. Plnění (u kterých je to relevantní) musí být provedena v souladu s platnou legislativou, zejména s požadavky na přístupnost webových stránek, které jsou stanoveny v zákoně č. 99/2019 Sb., o přístupnosti internetových stránek a mobilních aplikací a o změně zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů a související legislativě, a dále s požadavky na práci s Cookies upravenými v zákoně č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a v souladu s GDPR a dalšími souvisejícími právními předpisy. Grafická podoba plnění musí být v souladu s Grafickým manuálem a Grafickým manuálem Návštěvnického centra ČNB.

4. Plnění nesmí obsahovat škodlivý software nebo známé zranitelnosti (dle seznamu OWASP TOP10 a CWE/SANS TOP 25) a skryté nebo neakceptované funkcionality nebo reklamu.

5. Objednatel umožní poskytovateli v provozní době objednatele ověření funkčnosti plnění v prostředí objednatele.

6. Výstupy bude poskytovatel předávat objednateli v elektronické podobě zasláním na stanovené e-maily nebo na obecně užívaném paměťovém médiu (např. CD, DVD, USB flash) do podatelny objednatele; má-li výstup formu dokumentu nebo jeho aktualizace, pak ve formátech čitelných aplikacemi MS Word 2016 nebo MS Excel 2016. Zdrojové kódy musejí být čitelné a kompletní. Spolu s výstupem musejí být předány vždy též všechny další podklady (např. datový model) potřebné ke správě, údržbě a úpravám výstupu. V případě interpretovaných programovacích jazyků musí být místo kompilovatelnosti zajištěna podmínka interpretovatelnosti zdrojového kódu v příslušném prostředí daného programovacího jazyka.

7. U výstupů plnění dle odst. 1 písm. d) až f), h) a i) tohoto článku bude provedena akceptace a ověřovací provoz (ověřovací provoz pouze u složitých úprav – dle rozhodnutí objednatele). Postupy pro akceptaci, ověřovací provoz a předání a převzetí plnění se použijí obdobně jako pro převzetí díla, a to zejména dle přílohy č. 6.

8. Poskytovatel se zavazuje poskytovat provozní podporu k plněním vzniklým na základě budoucího rozvoje v souladu s čl. III této smlouvy okamžikem jejich převzetí objednatelem, nestanoví-li pověřená osoba objednatele písemně jinak.

Článek V

Konzultace

1. Poskytovatel poskytne objednateli na základě požadavků objednatele konzultace, a to v sídle objednatele, nedohodnou-li se pověřené osoby jinak, a to zejména v následujících oblastech:

1. nové uživatelské požadavky na další rozvoj RS DRUPAL či úpravy webových stránek xxx.xxx.xx, subdomén/microsites a modulů;

2. návrh vývoje, implementace dalších stránek, subdomén/microsites a modulů, úpravy stávajících;

3. návrh a vývoj nových webových služeb a mobilních aplikací;

4. správa RS DRUPAL do úrovně operačního systému (UNIX);

5. zajištění bezpečnosti provozu;

6. aplikace nových standardů;

7. optimalizace výkonu, capacity planning;

8. migrace;

9. identifikace provozních vad.

2. Pověřené osoby objednatele budou zasílat své požadavky poskytovateli na e-mail: ……….. (doplní dodavatel). Následující pracovní den po obdržení požadavku objednatele poskytovatel na e‑mail pověřené osoby objednatele, ze které obdržel požadavek, zašle návrh uvádějící nejvýše dva pracovníky poskytovatele, kteří se budou konzultace účastnit (nedomluví-li se pověřené osoby smluvních stran na vyšším počtu), navrhovaný termín zahájení a předpokládaný rozsah (hodinovou náročnost) konzultace. Pověřená osoba objednatele následně na výše uvedený e-mail poskytovatele návrh potvrdí, nebo zašle požadavek na úpravu návrhu a postup podle tohoto odstavce se opakuje.

3. Nedohodnou-li se smluvní strany na obsahu, termínu a rozsahu (hodinové náročnosti) konzultace způsobem podle odst. 2 tohoto článku ani po druhém opakování uvedeným postupem, určí tyto objednatel závazným požadavkem, zaslaným pověřenou osobou objednatele na e-mail podle odst. 2 tohoto článku. Poskytovatel je povinen takové určení přijmout, není-li určen termín konzultace dříve než 3 pracovní dny od okamžiku zaslání závazného požadavku objednatelem poskytovateli.

Článek VI

Pověřené osoby smluvních stran

1. Smluvní strany si do 7 pracovních dnů ode dne uzavření smlouvy vymění písemný seznam pověřených osob, včetně jejich telefonického a e-mailového spojení.

2. V případě změny pověřených osob smluvních stran nebo jejich kontaktních údajů jsou smluvní strany povinny nahlásit změnu nejpozději 1 pracovní den před provedením změny na e‑mailové adresy pověřených osob druhé smluvní strany. Změna pověřených osob je účinná dnem jejího oznámení druhé smluvní straně, a to bez povinnosti uzavírat dodatek k této smlouvě.

Článek VII

Cena a platební podmínky

(dodavatel nedoplňuje, bude doplněno dle nabídky vybraného dodavatele)

1. Xxxx za dílo byla stanovena dohodou smluvních stran a činí …… Kč bez DPH. V ceně je zahrnuto oprávnění objednatele k užívání díla v rozsahu a za podmínek dle této smlouvy, zejména viz čl. VIII. Bližší specifikace ceny díla je uvedena v příloze č. 10 smlouvy. Cena díla bude uhrazena na základě daňového dokladu, který je poskytovatel oprávněn vystavit nejdříve po podpisu předávacího protokolu dle čl. II odst. 2. Přílohou daňového dokladu bude kopie předávacího protokolu díla.

2. Cena za školení dle čl. I odst. 5 písm. a) činí ….. Kč bez DPH. Cena bude uhrazena na základě daňového dokladu, který je poskytovatel oprávněn vystavit po provedení školení. Přílohou daňového dokladu bude kopie zápisu o provedeném školení pověřenou osobou objednatele.

3. Cena za provozní podporu dle čl. III byla stanovena dohodou smluvních stran a činí …… Kč bez DPH měsíčně, vyjma plnění dle čl. III odst. 1 bod 1.1 písm. h) a i), které budou účtovány způsobem uvedeným v odst. 4 tohoto článku. Cena podpory může být navýšena v případě rozšíření podporovaných modulů, stránek apod. či na základě poskytovatelem provedeného budoucího rozvoje. Poskytovatel navrhne navýšení ceny měsíční podpory, které může činit maximálně 10 % z ceny měsíční podpory, přičemž je povinen objednateli prokázat zvýšení rozsahu podpory. Zvýšení ceny podpory (v případě dohody smluvních stran na zvýšení ceny) bude provedeno dodatkem ke smlouvě. Paušální cena za provozní podporu bude hrazena měsíčně na základě daňového dokladu, který je poskytovatel oprávněn vystavit nejdříve poslední den kalendářního měsíce, za který se platí. Výše paušální ceny za období kratší než kalendářní měsíc se vypočte jako alikvotní část měsíční úhrady.

4. Cena za odstranění vady ohlášené v rámci provozní podpory dle čl. III odst. 1 bod 1.1 písm. h) a i) bude stanovena jako součin hodinové sazby za budoucí rozvoj dle příslušné role/rolí pracovníka/ů poskytovatele dle přílohy č. 10 smlouvy a počtu skutečně odpracovaných člověkohodin pracovníků poskytovatele.

5. Cena za budoucí rozvoj bude stanovena dohodou pověřených osob smluvních stran, na základě cenové nabídky poskytovatele, zaslané na e-maily pověřených osob objednatele. Cenová nabídka bude kalkulována podle předpokládané pracnosti a hodinové sazby budoucího rozvoje dle role/rolí příslušného pracovníka/ů poskytovatele dle přílohy č. 10 smlouvy. V ceně je zahrnuta licence/podlicence v rozsahu dle této smlouvy, vznikne‑li v důsledku budoucího rozvoje autorské dílo a nejedná-li se o bezúplatnou GPL licenci.

6. Cena za konzultace bude stanovena jako součin hodinové sazby uvedené v příloze č. 10 smlouvy a počtu skutečně odpracovaných člověkohodin pracovníků poskytovatele.

7. Cena za doplňkové školení bude stanovena jako součin hodinové sazby uvedené v příloze č. 10 smlouvy a počtu skutečně strávených hodin pracovníkem poskytovatele poskytováním školení.

8. Ceny podle odst. 1 až 7 zahrnují veškeré náklady vzniklé poskytovateli v souvislosti s plněním podle této smlouvy a jsou konečné včetně případného dopravného či ztráty času pracovníků poskytovatele na cestě do místa plnění a zpět.

9. Daňový doklad na ceny plnění podle odst. 4 až 7 je poskytovatel oprávněn vystavit  po poskytnutí příslušného plnění. Přílohou daňového dokladu na cenu plnění podle odst. 5 bude vždy kopie příslušného protokolu o předání plnění. Přílohou daňového dokladu na cenu plnění podle odst. 4 nebo 6 bude vždy objednatelem schválený výkaz práce. Přílohou daňového dokladu na cenu plnění podle odst. 7 bude kopie zápisu o provedeném školení pověřenou osobou objednatele.

10. Doklad k úhradě (fakturu) zašle poskytovatel elektronicky jako přílohu e-mailové zprávy na adresu xxxxxxx@xxx.xx ve formátu ISDOC. Pokud není možné vytvořit doklad ve formátu ISDOC, je možné zasílat jej ve formátu PDF. V jedné e-mailové zprávě smí být pouze jeden doklad k úhradě. Mimo vlastní doklad k úhradě může být přílohou e-mailové zprávy jedna až sedm příloh k dokladu ve formátech PDF, DOC, DOCX, XLS, XLSX. Přijaty budou i doklady k úhradě v jiném formátu, který bude v souladu s evropským standardem elektronické faktury. Nebude-li možné zaslat doklad k úhradě elektronicky, zašle jej poskytovatel v analogové formě na adresu:

Česká národní banka

sekce rozpočtu a účetnictví

odbor účetnictví

Na Příkopě 28

115 03 Praha 1

11. Doklad k úhradě bude obsahovat údaje podle § 435 občanského zákoníku a bankovní účet, na který má být placeno a který je uveden v záhlaví této smlouvy nebo který byl později aktualizován poskytovatelem (dále jen „určený účet“). Daňový doklad bude nadto obsahovat náležitosti stanovené v zákoně o dani z přidané hodnoty. Nezbytnou náležitostí každého dokladu je také číslo této smlouvy (ve formátu ISDOC v poli ID ve skupině Contract References), nebo číslo objednávky (ve formátu ISDOC v poli External_Order_ID ve skupině OrderReference), jsou-li objednávky v rámci smlouvy vystavovány. Pokud doklad bude postrádat některou ze stanovených náležitostí nebo bude obsahovat chybné údaje, je objednatel oprávněn jej vrátit poskytovateli, a to až do lhůty splatnosti. Nová lhůta splatnosti začíná běžet dnem doručení bezvadného dokladu.

12. V případě, že bude v dokladu k úhradě uveden jiný než určený účet, je pověřená osoba poskytovatele povinna na základě výzvy objednatele sdělit na e-mailovou adresu, ze které byla výzva odeslána, zda má být zaplaceno na bankovní účet uvedený v dokladu, nebo na určený účet. V tomto případě se doklad k úhradě nevrací s tím, že lhůta splatnosti začíná běžet až dnem doručení sdělení poskytovatele podle předchozí věty.

13. Splatnost dokladu k úhradě je 14 dnů od doručení objednateli. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu objednatele ve prospěch účtu poskytovatele.

14. Smluvní strany se ve smyslu ustanovení § 1991 občanského zákoníku dohodly, že je objednatel oprávněn započíst jakoukoli svou peněžitou pohledávku za poskytovatelem, ať splatnou či nesplatnou, oproti jakékoli peněžité pohledávce poskytovatele za objednatelem, ať splatné či nesplatné.

15. Poskytovatel je oprávněn navrhnout objednateli změnu paušální ceny za provozní podporu a hodinových sazeb za budoucí rozvoj a/nebo konzultace a/nebo školení (doplňkové) v návaznosti na vývoj indexu cen v tržních službách, stejné období předchozího roku = 100, konkrétně index „J62“ Služby v oblasti programování a poradenství a související služby, sloupec „Průměr od počátku roku“, a to průměr za předchozí kalendářní rok, který vyhlašuje Český statistický úřad. Ceny mohou být upraveny maximálně o částku odpovídající výši předmětného inflačního indexu za bezprostředně předcházející kalendářní rok. Úpravy cen (v případě dohody smluvních stran na zvýšení ceny) budou prováděny formou dodatků ke smlouvě. První úpravu cen je poskytovatel oprávněn navrhnout nejdříve po uplynutí jednoho roku ode dne převzetí díla dle čl. II odst. 2.

Článek VIII

Licenční ujednání

1. Pro užívání díla, jakož i veškerých děl (autorských děl) vzniklých na základě této smlouvy platí GPL licence.

2. V případě, že v rámci plnění na základě této smlouvy dojde ze strany poskytovatele nebo jeho poddodavatelů (resp. jeho pracovníků) k vytvoření autorského díla (nebo ke vzniku práv souvisejících s právem autorským), které nepokrývá GPL licence, poskytovatel poskytuje objednateli veškerá práva k užití takovéhoto plnění ve smyslu ust. § 12 odst. 4 autorského zákona, formou licence či podlicence k výkonu práv ke všem autorským dílům, která jsou součástí plnění dle této smlouvy (dále jen „autorská díla“), a to okamžikem předání příslušného plnění objednateli.

3. Poskytovatel výslovně prohlašuje a zaručuje, že je, a/nebo nejpozději v okamžiku odevzdání příslušného plnění (autorského díla) objednateli bude, oprávněn k výkonu majetkových práv k autorskému dílu a je, a/nebo bude nejpozději v okamžiku odevzdání příslušného plnění (autorského díla), objednateli oprávněn k poskytnutí licence či podlicence dle této smlouvy.

4. Poskytovatel dále prohlašuje, že udělením licencí či podlicencí dle této smlouvy a/nebo užitím takovýchto licencí či podlicencí dle této smlouvy nezpůsobí neoprávněný zásah do práv třetích osob, a odpovídá za škodu, která by objednateli vznikla, pokud by se kdykoli zjistilo, že toto prohlášení bylo nepravdivé. V případě porušení práv třetích osob chráněných autorským zákonem poskytovatel zajistí na své náklady náhradu škod uplatněných třetími osobami a nápravu vzniklého stavu tak, aby objednatel mohl dotčené autorského dílo oprávněně užívat.

5. Poskytovatel uděluje objednateli s účinností ke dni odevzdání příslušného autorského díla objednateli licenci či podlicenci (u autorských děl, u nichž má poskytovatel sám pouze licenci) ke zveřejnění autorského díla, spojení autorského díla s jinými autorskými díly, k libovolné úpravě, změně, kopírování či editaci, k užití v celku či po částech. Licenci či podlicenci poskytuje poskytovatel objednateli ke všem způsobům užití, všemi formami a všemi technickými prostředky. Licence či podlicence je poskytnuta jako nevýhradní, celosvětová a neomezená co do rozsahu a poskytuje se na celou dobu právní ochrany příslušných autorských děl, nedomluví-li se smluvní strany v konkrétním případě formou dodatku jinak.

6. Poskytovatel výslovně prohlašuje, za podmínek stanovených v tomto článku, a nepokrývá-li to GPL licence, že poskytuje objednateli licence/podlicence zejména k užívání díla včetně všech jeho aktualizací (tj. update/upgrade/patch/hotfix atd.) nebo úprav v rámci vyžádaného budoucího rozvoje řešení, včetně aktualizací nebo úprav dokumentace, které vzniknou na základě plnění podle této smlouvy a ponesou znaky autorského díla, k účelu vyplývajícímu ze smlouvy.

7. Licence/podlicence musí umožňovat užívat dílo nebo jeho části neomezeným počtem osob, bez omezení počtu současně pracujících uživatelů nebo kategorií uživatelského přístupu.

8. Objednatel je oprávněn udělit podlicenci třetí osobě, případně převést licenci na třetí osobu, a to bez souhlasu poskytovatele, nedohodnou-li se smluvní strany na základě dodatku jinak.

9. Objednatel není povinen licenci či podlicenci užít.

10. Ceny za poskytnutí práv dle tohoto článku jsou v plné výši obsaženy v cenách plnění dle čl. VII smlouvy a z tohoto titulu nebude poskytovatel či jiná osoba po objednateli požadovat jakékoli jiné finanční nároky.

Článek IX

Mlčenlivost, bezpečnost a ochrana informací a další povinnosti poskytovatele

1. Poskytovatel se zavazuje zajistit, že jeho pracovníci a pracovníci jeho poddodavatelů, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně známy. Povinnost mlčenlivosti není časově omezena.

2. Poskytovatel se zavazuje v plném rozsahu dodržovat Obecná pravidla pro dodavatele v oblasti bezpečnosti IT, která jsou přílohou č. 7 smlouvy, a Bezpečnostní požadavky objednatele, které jsou přílohou č. 8 smlouvy.

3. Poskytovatel prohlašuje, že po dobu trvání této smlouvy bude mít sjednáno pojištění pro případ vzniku odpovědnosti za škodu způsobenou třetí osobě v souvislosti s plněním této smlouvy, a to s pojistným plněním ve výši nejméně 5 000 000 Kč (slovy: pět milionů korun českých) s tím, že jeho spoluúčast nepřevyšuje 5 %. Poskytovatel se zavazuje, že pojištění v uvedené výši a rozsahu zůstane účinné po celou dobu trvání této smlouvy, a do 5 pracovních dnů od výzvy objednatele je poskytovatel povinen toto objednateli prokázat.

4. Poskytovatel se zavazuje, že práva a závazky vyplývající z této smlouvy nepřevede na třetí osobu bez písemného souhlasu objednatele.

5. Poskytovatel se zavazuje objednateli oznámit výskyt jakýchkoli okolností, které by mohly mít vliv na plnění dle této smlouvy, a na základě výzvy objednatele jej bez zbytečného odkladu informovat o aktuálním stavu provádění plnění.

6. Poskytovatel a objednatel prohlašují, že v rámci této smlouvy dochází ke zpracování osobních údajů poskytovatelem pro objednatele a podle jeho pokynů. Smluvní strany se proto zavazují uzavřít do 20 pracovních dnů od podpisu této smlouvy Ujednání o zpracování osobních údajů, jehož vzor je přílohou č. 11 této smlouvy. Poskytovatel je rovněž povinen počínat si při nakládání s osobními údaji v souladu s platnými právními předpisy, zejména s nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

7. Poskytovatel se dále zavazuje, že v souvislosti s plněním dle této smlouvy:

1. zajistí legální zaměstnávání osob a férové a důstojné pracovní podmínky pro všechny pracovníky podílející se na plnění této smlouvy. Férovými a důstojnými pracovními podmínkami se přitom rozumí takové pracovní podmínky, které splňují alespoň minimální standardy stanovené pracovněprávními a mzdovými předpisy. Poskytovatel je povinen zajistit splnění požadavků dle tohoto ustanovení i u svých poddodavatelů;

2. zajistí řádné a včasné plnění finančních závazků vůči svým poddodavatelům, kdy za řádné a včasné plnění se považuje plné uhrazení poddodavatelem vystavených faktur za plnění poskytnutá poskytovateli v souvislosti s touto smlouvou, a to nejpozději do 14 dnů od obdržení platby ze strany objednatele (pokud již splatnost poddodavatelem vystavené faktury nenastala dříve). Objednatel je oprávněn požadovat předložení dokladů o provedených platbách poddodavatelům.

Článek X

Osoby poskytovatele poskytující plnění (tým), poddodavatel

1. Poskytovatel se zavazuje zajistit, že osoby, které se budou podílet na plnění podle této smlouvy (dále jen „členové týmu“, jednotlivě „člen týmu“), budou po celou dobu trvání této smlouvy splňovat kvalifikaci požadovanou objednatelem v zadávacích podmínkách zadávacího řízení na předmět této smlouvy (dále jen „zadávací podmínky“). Poskytovatel je po dobu trvání této smlouvy povinen na požádání kvalifikaci jednotlivých členů týmu objednateli doložit způsobem shodným se zadávacími podmínkami, a to do 5 pracovních dnů ode dne doručení požadavku objednatele.

2. Změnu ve složení týmu je poskytovatel povinen oznámit objednateli do 5 pracovních dnů od provedení změny a současně doložit splnění kvalifikace v souladu s odst. 1 tohoto článku. Nebude-li člen týmu splňovat kvalifikaci dle odst. 1 tohoto článku, je poskytovatel povinen člena týmu vyměnit ve lhůtě 10 pracovních dnů, nestanoví-li objednatel či nedomluví-li se smluvní strany jinak, bez povinnosti uzavření dodatku.

3. Poskytovatel je povinen:

   1. V souladu s ust. § 105 odst. 3 zákona č. 134/2016 Sb. o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“) poskytnout objednateli identifikační údaje všech poddodavatelů, kteří nebyli identifikováni dle věty první § 105 odst. 3 ZZVZ, resp. nebyli identifikováni v nabídce poskytovatele, a kteří se následně zapojí do plnění předmětu dle této smlouvy, včetně uvedení příslušného plnění, které bude provádět poddodavatel, a předložení čestného prohlášení poskytovatele, že poddodavatel nenaplňuje definiční znaky určených subjektů nebo určených osob ve smyslu čl. XI, a to nejpozději 5 pracovních dnů před zapojením tohoto poddodavatele do plnění dle této smlouvy. V případě, že poskytovatel splnil některý z požadavků na kvalifikaci uvedený v zadávacích podmínkách prostřednictvím poddodavatele, je povinen v případě změny tohoto poddodavatele prokázat, že nový poddodavatel tuto kvalifikaci splňuje, a to ve lhůtě uvedené ve větě předchozí.

   2. V případě poskytování služeb prostřednictvím poddodavatele platí všechna relevantní ustanovení této smlouvy také pro poddodavatele (včetně čl. XI) a pro jeho pracovníky, kteří se budou na plnění smlouvy podílet.

   3. Za plnění poskytovaná poddodavatelem je poskytovatel odpovědný, jako by toto plnění poskytoval sám. Poskytovatel se zavazuje, že poskytne objednateli, pokud bude i část plnění poskytována poddodavatelem, seznam kontaktních údajů na osoby provádějící plnění za poddodavatele. Objednatel je oprávněn průběh plnění realizovaný poddodavatelem řešit napřímo s jeho pracovníky a poskytovatel není oprávněn tuto komunikaci s poddodavatelem či jeho pracovníky jakkoliv omezovat nebo mařit.

4. Objednatel si vyhrazuje právo ověřit si plnění povinností stanovených v tomto článku. Nesplnění kterékoli z povinností uvedených v tomto článku je považováno za porušení smlouvy podstatným způsobem.

Článek XI

Potvrzení poskytovatele, další závazky poskytovatele a objednatele

1. Poskytovatel potvrzuje, že ke dni účinnosti této smlouvy on ani jeho poddodavatelé nenaplňují definiční znaky subjektů uvedených v čl. 5k nařízení (EU) č. 833/2014 ze dne 31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 833/2014“), nebo subjektů uvedených v čl. 1h rozhodnutí Rady 2014/512/SZBP ze dne 31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále jen „rozhodnutí 2014/512/SZBP“), kterým je zakázáno zadat či plnit jakoukoli veřejnou zakázku nebo koncesní smlouvu ve smyslu v tomto ustanovení uvedeného nařízení či rozhodnutí. Subjekty naplňující definiční znaky subjektů uvedených v čl. 5k nařízení č. 833/2014 nebo subjektů uvedených v čl. 1h rozhodnutí 2014/512/SZBP budou dále označovány jako „určené subjekty“.

2. Poskytovatel dále potvrzuje, že ke dni účinnosti této smlouvy není osobou uvedenou v příloze I nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění jeho změn (dále také jako „nařízení č. 269/2014“) nebo v příloze I nařízení Rady (EU) č. 208/2014 ze dne 6. března 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 208/2014“) nebo v příloze I nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska, ve znění jeho změn (dále také jako „nařízení č. 765/2006“) nebo v příloze rozhodnutí Rady 2014/145/SZBP ze dne 17. března 2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění jeho změn (dále také jako „rozhodnutí 2014/145/SZBP“). Osoba uvedená v příloze I nařízení č. 269/2014 nebo v příloze I nařízení č. 208/2014 nebo v příloze I nařízení č. 765/2006 nebo v příloze rozhodnutí Rady 2014/145/SZBP bude dále označována jako „určená osoba“.

3. Poskytovatel se současně zavazuje, že určeným osobám dle předchozího odstavce (není-li jí sám) nebo v jejich prospěch nezpřístupní žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo.

4. Poskytovatel dále potvrzuje, že plnění jím poskytované dle této smlouvy neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie [tj. zejména zákazy dovozu výrobků ze železa a oceli ve smyslu nařízení Rady (EU) č. 2022/428 ze dne 15. března 2022, kterým se mění „základní“ nařízení (EU) č. 833/2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, nebo nařízení Rady (EU) č. 2022/355 ze dne 2. března 2022, kterým se mění „základní“ nařízení (ES) č. 765/2006 o omezujících opatřeních vzhledem k situaci v Bělorusku apod.]. Objednatel je oprávněn při porušení této povinnosti poskytovatele plnění nepřevzít v jakékoliv jeho části.

5. V případě, že by v průběhu účinnosti této smlouvy poskytovatel nebo jeho jakýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo se poskytovatel stal určenou osobou, je poskytovatel povinen o takové skutečnosti objednatele bez zbytečného odkladu, nejpozději do 2 pracovních dnů od nastání takové skutečnosti, písemně informovat.

6. Dojde-li za dobu účinnosti této smlouvy ke změnám v kterémkoliv z výše uvedených nařízení Rady (EU) či rozhodnutí Rady nebo k přijetí jakékoliv jiné nové legislativy tak, že bude nezbytné dát tuto smlouvu s nařízením Rady (EU), rozhodnutím Rady nebo jinou novou legislativou do souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran v rámci této smlouvy (sankční mechanismy či nové možnosti ukončení smlouvy z toho nevyjímaje), a to bez zbytečného odkladu, nejpozději do 15 pracovních dnů poté, co změny nařízení Rady (EU), rozhodnutí Rady či jiná nová legislativa nabydou platnosti, nedohodnou-li se smluvní strany jinak.

7. Vznikne-li objednateli v souvislosti s nepravdivým tvrzením nebo porušením povinností či závazků poskytovatele dle tohoto článku jakákoliv škoda, je poskytovatel tuto škodu objednateli povinen v plné výši nahradit.

Článek XII

Smluvní pokuty, úrok z prodlení

1. V případě prodlení poskytovatele ve lhůtě podle čl. I odst. 5 písm. a), čl. II odst. 1 písm. a) či b) je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 2 000 Kč za každý započatý pracovní den prodlení.

2. V případě prodlení poskytovatele ve lhůtě podle čl. II odst. 1 písm. d) či písm. e) je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 5 000 Kč za každý započatý pracovní den prodlení.

3. V případě prodlení poskytovatele s odstraněním vad ve lhůtě podle čl. II odst. 1 písm. c) či písm. f) je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 500 Kč za každou vadu kategorie C a každý započatý pracovní den prodlení a ve výši 2 000 Kč za každou vadu kategorie B a každý započatý pracovní den prodlení.

4. V případě nedostupnosti telefonické podpory dle čl. III odst. 1 bod 1.1 písm. e) je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý takovýto případ, a to i opakovaně až do poskytnutí požadované podpory; byl-li zaslán dotaz e-mailem či prostřednictvím Helpdesk (bude upraveno dle vyplnění další formy dodavatelem v čl. III odst. 1 bod 1.1 písm. e), je objednatel oprávněn požadovat smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den prodlení.

5. V případě prodlení poskytovatele v jakékoliv lhůtě podle čl. I odst. 5 písm. e), čl. III odst. 1 bod 1.1 písm. d), h) či i), čl. III odst. 1 bod 1.4 podbod 1.4.1 písm. b) až e), čl. III odst. 1 bod 1.5, čl. X odst. 2 či odst. 3 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 500 Kč za každý započatý den prodlení, resp. za každý započatý pracovní den prodlení, je-li lhůta stanovena v pracovních dnech.

6. V případě prodlení poskytovatele ve lhůtě podle čl. III odst. 1 bod 1.4 podbod 1.4.2 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 500 Kč za každou započatou minutu.

7. V případě prodlení poskytovatele s informováním objednatele nebo nalezením a implementováním dočasného řešení kritické vady nebo odstraněním kritické vady podle čl. III odst. 2 bod 2.1 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 1 000 Kč za každou hodinu prodlení.

8. V případě prodlení poskytovatele s informováním objednatele podle čl. III odst. 2 bod 2.2 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 200 Kč za každou hodinu prodlení.

9. V případě prodlení poskytovatele s odstraněním podstatné vady podle čl. III odst. 2 bod 2.2 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den prodlení.

10. V případě prodlení poskytovatele s informováním objednatele nebo odstraněním nepodstatné vady podle čl. III odst. 2 bod 2.3 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 500 Kč za každý započatý pracovní den prodlení.

11. V případě prodlení poskytovatele ve lhůtě určené v rámci budoucího rozvoje podle čl. IV odst. 2 je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý započatý pracovní den prodlení.

12. V případě prodlení poskytovatele ve lhůtě určené v rámci konzultace podle čl. V odst. 2, nebo ve lhůtě určené objednatelem podle čl. V odst. 3, je objednatel oprávněn požadovat smluvní pokutu ve výši 200 Kč za každý započatý pracovní den prodlení.

13. V případě, že se prohlášení poskytovatele dle čl. VIII odst. 3 nebo 4 nebo 6 ukáže jako nepravdivé, vzniká objednateli nárok na smluvní pokutu ve výši 100 000 Kč za každé nepravdivé prohlášení.

14. V případě porušení závazku mlčenlivosti podle čl. IX odst. 1 je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 200 000 Kč za každý zjištěný případ takového porušení, a to i opakovaně.

15. V případě prodlení poskytovatele v kterékoliv lhůtě uvedené v čl. IX odst. 3 nebo odst. 6, čl. X odst. 1, 2 nebo odst. 3 bod 3.1 je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý započatý pracovní den prodlení.

16. V případě porušení závazku poskytovatele dle čl. IX odst. 7 písm. a) či b) je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý zjištěný případ takového porušení, a to i opakovaně.

17. V případě, že se ukáže tvrzení poskytovatele uvedené v čl. XI odst. 1, 2 nebo 4 jako nepravdivé nebo poruší-li poskytovatel závazek stanovený v čl. XI odst. 3, vzniká objednateli nárok účtovat poskytovateli smluvní pokutu ve výši 100 000 za každé zjištěné nepravdivé tvrzení poskytovatele či za každé zjištěné porušení závazku poskytovatele.

18. V případě prodlení poskytovatele v kterékoliv lhůtě dle čl. XI odst. 5 a 6 této smlouvy je objednatel oprávněn účtovat poskytovateli smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den prodlení.

19. V případě prodlení s uhrazením daňového dokladu zaplatí objednatel poskytovateli úrok z prodlení podle předpisů občanského práva.

20. Smluvní pokutou není dotčen nárok na náhradu škody v plné výši.

21. Smluvní pokuta se neuplatní, pokud prodlení poskytovatele bylo způsobeno neposkytnutím součinnosti ze strany objednatele či z jiného důvodu na straně objednatele.

22. Smluvní pokuta a úrok z prodlení jsou splatné do 14 dnů od doručení dokladu k úhradě povinné smluvní straně.

Článek XIII

Trvání smlouvy, výpověď smlouvy, odstoupení, zrušení smlouvy zaplacením odstupného

1. Tato smlouva se v části týkající se provozní podpory, budoucího rozvoje, konzultací a doplňkového školení uzavírá na dobu neurčitou s 6měsíční výpovědní dobou ze strany objednatele a 12měsíční výpovědní dobou ze strany poskytovatele, která počíná běžet prvním dnem kalendářního měsíce následujícího po doručení písemné výpovědi druhé smluvní straně. Poskytovatel je oprávněn podat výpověď nejdříve 4 roky ode dne podpisu protokolu o předání a převzetí díla dle čl. II odst. 2 pověřenými osobami smluvních stran.

2. Objednatel je oprávněn vypovědět tuto smlouvu bez výpovědní doby či odstoupit od této smlouvy kdykoli, a to i v její jakékoliv části, v případě, kdy na základě písemné informace od poskytovatele či z vlastní iniciativy shledá, že poskytovatel:

- nebo jeho kterýkoliv poddodavatel naplnili definiční znaky určeného subjektu ve smyslu čl. XI odst. 1,

- se stane určenou osobou ve smyslu čl. XI odst. 2,

- neuzavře dodatek ke smlouvě ve smyslu čl. XI odst. 6 této smlouvy,

- poruší závazek dle čl. XI odst. 3 nezpřístupnit jakékoliv určené osobě (není-li jí sám) nebo v její prospěch žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo, nebo

- poruší povinnost dodat či poskytnout plnění, které neporušuje žádným způsobem jakékoliv platné právní předpisy ve smyslu čl. XI odst. 4.

Výpověď či odstoupení dle tohoto odstavce je účinné dnem doručení písemné výpovědi/odstoupení poskytovateli.

3. Smluvní strany se dohodly, že objednatel je oprávněn odstoupit od smlouvy kdykoliv v průběhu insolvenčního řízení zahájeného na majetek poskytovatele či kdykoliv po vstupu poskytovatele do likvidace.

4. Poruší-li kterákoliv smluvní strana podstatným způsobem povinnost vyplývající pro ni z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to písemným oznámením o odstoupení. Odstoupení je účinné dnem doručení druhé smluvní straně. Odstoupit lze i od části smlouvy. Odstoupením od smlouvy nejsou dotčena ustanovení týkající se smluvních pokut, závazku mlčenlivosti poskytovatele a dále ustanovení týkající se takových práv a povinností, z jejichž povahy vyplývá, že mají trvat i po odstoupení od smlouvy.

5. Za podstatné porušení smluvní povinnosti se považuje zejména:

ze strany poskytovatele:

1. prodlení poskytovatele v kterékoliv lhůtě dle čl. II odst. 1 delší než 30 dnů,

2. porušení jakékoli povinnosti poskytovatele stanovené v čl. IX;

3. pokud není realizační studie akceptována ani po prvním opakování akceptace;

4. pokud není dílo akceptováno (příp. akceptováno s výhradami) ani po prvním opakování akceptace;

5. pokud byl ověřovací provoz ukončen neúspěšně i po druhém opakování;

ze strany objednatele:

1. prodlení s úhradou kterékoliv platby dle této smlouvy delší než 30 dnů.

6. Smluvní strany si v souladu s ustanovením § 1992 občanského zákoníku sjednávají, že objednatel je oprávněn zrušit tuto smlouvu zaplacením odstupného ve výši odpovídající částce 100 000 Kč na účet poskytovatele, a to kdykoli před akceptací realizační studie. Zrušení smlouvy je účinné zaplacením sjednaného odstupného na účet poskytovatele. Zaplacením odstupného zanikají všechna práva a povinnosti obou smluvních stran vyplývající ze zrušené smlouvy s výjimkou stanovenou v čl. XV odst. 7 smlouvy.

Článek XIV

Uveřejnění smlouvy a skutečně uhrazené ceny

1. Poskytovatel si je vědom zákonné povinnosti objednatele uveřejnit na svém profilu tuto smlouvu včetně všech jejích případných změn a dodatků a výši skutečně uhrazené ceny za plnění této smlouvy.

2. Profilem objednatele je elektronický nástroj, prostřednictvím kterého objednatel, jako veřejný zadavatel dle ZZVZ, uveřejňuje informace a dokumenty ke svým veřejným zakázkám způsobem, který umožňuje neomezený a přímý dálkový přístup, přičemž profilem objednatele v době uzavření této smlouvy je xxxxx://xxxx.xxx.xx/.

3. Povinnost uveřejňování dle tohoto článku je objednateli uložena § 219 ZZVZ.

4. Uveřejňování bude prováděno dle ZZVZ a příslušného prováděcího předpisu k ZZVZ.

Článek XV

Závěrečná ustanovení

1. Smlouva nabývá platnosti a účinnosti dnem jejího podpisu oprávněnými zástupci obou smluvních stran.

2. Smlouvu je možno měnit nebo doplňovat pouze formou písemných, vzestupně číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran, není-li ve smlouvě uvedeno jinak. Dodatek v elektronické podobě se považuje za řádně podepsaný objednatelem, je-li podepsán kvalifikovanými elektronickými podpisy.

3. Závazkový vztah založený touto smlouvou se řídí českým právním řádem, zejména občanským zákoníkem a příslušnými ustanoveními autorského zákona.

4. Spory vyplývající z této smlouvy budou řešeny především dohodou smluvních stran. Nebude-li možné dosáhnout dohody, bude spor řešen před místně a věcně příslušným soudem České republiky, a to výlučně podle českého práva.

5. Odpověď stran této smlouvy podle § 1740 odst. 3 občanského zákoníku s dodatkem nebo odchylkou není přijetím nabídky, ani když podstatně nemění podmínky nabídky.

6. Smluvní strany vylučují na smluvní vztah založený touto smlouvou uplatnění ustanovení § 1765 a § 1766 občanského zákoníku, čímž se ruší nárok poskytovatele na jednání podle § 1765 odst. 1 občanského zákoníku a poskytovatel tak přebírá nebezpečí změny okolností dle § 1765 odst. 2 občanského zákoníku. Smluvní strany dále vylučují uplatnění ustanovení § 2620 či uplatnění domněnky doby dojití dle § 573 občanského zákoníku.

7. Ukončením/zrušením smlouvy nejsou dotčena ustanovení smlouvy týkající se nároků z odpovědnosti za vady, nároků z odpovědnosti za škodu a nároků ze smluvních pokut, závazku mlčenlivosti, či další ustanovení, z jejichž povahy vyplývá, že mají trvat i po ukončení/zrušení smlouvy.

8. Smlouva je vyhotovena ve třech stejnopisech s platností originálu, z nichž objednatel obdrží dva stejnopisy a poskytovatel jeden stejnopis./Smlouva je vyhotovena v elektronické podobě, přičemž každá ze smluvních stran obdrží vyhotovení smlouvy opatřené elektronickými podpisy (před uzavřením smlouvy bude zvolena varianta dle dohody smluvních stran).

9. Nedílnou součástí smlouvy jsou její přílohy č. 1 až 13. V případě rozporu mezi některými ustanoveními smlouvy a jejími přílohami má přednost smlouva, nedohodnou-li se smluvní strany (pověřené osoby smluvních stran) v konkrétním případě jinak.

Přílohy:

č. 1 – Šablona realizační studie

č. 2 – Věcné a technické zadání (bude poskytnuto po obdržení žádosti v souladu s bodem 11 ZD)

č. 3 – Realizační dokumentace

č. 4 – Demo web (bude poskytnuto po obdržení žádosti v souladu s bodem 11 ZD)

č. 5 – Systémové prostředí objednatele (bude poskytnuto po obdržení žádosti v souladu s bodem 11 ZD)

č. 6 – Akceptace, ověřovací a testovací provoz

č. 7 – Obecná pravidla pro dodavatele v oblasti bezpečnosti IT

č. 8 – Bezpečnostní požadavky objednatele

č. 9 – Návrh realizace řešení (bude doplněno při uzavření smlouvy s vybraným dodavatelem dle jeho nabídky – viz bod 9.3.7 ZD)

č. 10 – Specifikace cen (bude doplněno při uzavření smlouvy s vybraným dodavatelem dle jeho cenové nabídky)

č. 11 – Ujednání o zpracování osobních údajů (vzor)

č. 12 – Datová pumpa (bude poskytnuto po obdržení žádosti v souladu s bodem 11 ZD)

č. 13 – DB model tabulek (bude poskytnuto po obdržení žádosti v souladu s bodem 11 ZD)

V Praze dne: ……………. V ……………. dne: …………….

Za objednatele: Za poskytovatele:

…………………………….. ……………………………..

Xxx. Xxxxx Xxxxxxx (doplní dodavatel)

ředitel sekce informatiky

……………………………..

Xxx. Xxxxxx Xxxxxx

ředitel sekce správní

Příloha č. 1

Šablona realizační studie

Externí web ČNB

Realizační studie

Verze

Datum poslední modifikace

Autor

Vedoucí projektu poskytovatele

Vedoucí projektu objednatele

Tento dokument obsahuje informace důvěrného charakteru a informace v něm obsažené jsou vlastnictvím České národní banky. Žádná část dokumentu nesmí být kopírována, uchovávána v dokumentovém systému nebo přenášena jakýmkoliv způsobem včetně elektronického, mechanického, fotografického či jiného záznamu a uveřejněna či poskytnuta třetí straně bez předchozí dohody a písemného souhlasu vlastníků.

Některé názvy použité v tomto dokumentu mohou být registrovanými ochrannými známkami nebo obchodními značkami, které jsou majetkem svých vlastníků.

Historie změn

Verze Datum Autor Popis změny

Obsah

1. Úvod

   1. Účel dokumentu

Realizační studie je dokument typu „Low Level Design“, který na základě analýzy zadání specifikovaného ve smlouvě, zejména v příloze č. 2 – Věcné a technické zadání a příloze č. 5 – Systémové prostředí objednatele, popisuje detailní způsob realizace.

Realizační studie zároveň slouží jako podklad pro realizační dokumentaci (Příručku uživatele, Administrátorskou příručku, Příručku technického správce, Provozní řád a Technickou dokumentaci), která bude během plnění díla poskytovatelem postupně vytvářena a průběžně aktualizována.

2. Seznam pojmů a zkratek

[Výčet klíčových zkratek a pojmů s jejich vysvětlením.]

Termín/Zkratka Popis/Význam

3. Přehled použitých symbolů

[Popis použitých grafických symbolů v dokumentu.]

Grafický symbol Význam

4. Struktura dokumentu

[Popis struktury dokumentu, jak je organizován.]

2. Popis řešení

[Doporučený/minimální obsah jednotlivých kapitol. Obsah lze dle potřeby doplňovat o další podkapitoly]

1. Obecný popis řešení

2. Detailní popis řešení

   1. Architektura

      1. Prezentační vrstva

      2. Administrační vrstva

   2. Loadbalancer

   3. Výpočetní nody

   4. Databázové nody

   5. Použitý SW

   6. Dynamická část – „Datová pumpa“

   7. Komunikace mezi jednotlivými částmi RS

   8. Bezpečnost

1. Požadavky na systémové prostředí ČNB

[Podrobná specifikace a konfigurace HW + SW objednatele (příloha č. 5) potřebného pro instalaci a provoz RS DRUPAL dle přílohy č. 2]

4. Požadavky na součinnost objednatele při instalaci a testování dle kapitol 5 – 7 a 11 – 13 této studie

5. Instalace RS DRUPAL do prostředí ČNB

   1. Popis jednotlivých kroků instalace testovacího prostředí

   2. Popis jednotlivých kroků instalace provozního prostředí

6. Integrace (napojení na „datovou pumpu“)

   1. Popis jednotlivých kroků instalace/integrace v testovacím prostředí

   2. Popis jednotlivých kroků instalace/integrace provozním prostředí

7. Realizace Demo webu dle přílohy č. 4 včetně splnění všech uživatelských požadavků (vítané požadavky nemusí být splněny)

   1. Popis realizace Demo webu

   2. Popis jednotlivých kroků instalace do testovacího prostředí

8. Harmonogram realizace jednotlivých kroků (uvedených v kapitolách 5 – 7 této studie)

9. Popis zaškolení zaměstnanců ČNB

10. Návrh testovacích scénářů

    1. Pro RS DRUPAL

    2. Pro Demo web

    3. Pro integraci (datovou pumpu) na další systémy ČNB

11. Popis zabezpečení provozní podpory (čl. III odst. 1 body 1.1 až 1.5 smlouvy)

12. Popis zajištění migrace vybraných stránek, subdomén/microsites (dle článku IV odst. 1 písm. h) smlouvy) v případě, že bude požadována

13. Popis přesunu RS DRUPAL včetně všech aktuálně provozovaných stránek, subdomén/microsites a modulů do cloudu (dle článku IV odst. 1 písm. i) smlouvy) v případě, že bude požadován.

Příloha č. 3

Realizační dokumentace

Realizační dokumentace je vypracována v českém jazyce a ve formátech čitelných aplikacemi MS Word 2016 nebo MS Excel 2016.

Realizační dokumentace zachycuje skutečný a konečný stav konfigurace a nastavení RS DRUPAL včetně všech modulů, stránek, podstránek i subdomén/microsites. Pozmění-li poskytovatel v rámci odstraňovaní vad (ať již na základě akceptace s výhradami, převzetí s výhradami nebo provozní podpory) konfigurace a nastavení RS DRUPAL, jednotlivých modulů, stránek, podstránek i subdomén/microsites tak, že realizační dokumentace přestane zachycovat skutečný stav konfigurace a nastavení RS DRUPAL jednotlivých modulů, stránek, podstránek i subdomén/microsites, je povinen neprodleně a bezplatně upravit realizační dokumentaci tak, aby opětovně odpovídala skutečnému a konečnému stavu RS DRUPAL včetně všech modulů, xxxxxxx, podstránek i subdomén/microsites, a poskytnout ji objednateli.

Realizační dokumentace obsahuje následující součásti:

a) Příručku uživatele.

b) Administrátorskou příručku, obsahující:

• popis způsobu administrace RS DRUPAL a dále jeho funkční a technickou specifikaci;

• recovery plán obsahující všechny nezbytné informace pro pracovníky objednatele, jak mají postupovat v případě řešení krizových stavů (např. obnova po havárii) a jakou součinnost mají poskytovateli poskytovat v případě, že krizový stav řeší poskytovatel (např. jako vadu). Půjde zejména o:

• Informace o umístění nezbytných záznamů (logů) vedoucí k bližší identifikaci závady a základní informace o tom, jak logy analyzovat (případně informaci, že konkrétní log je určen pro analýzu ve vyšších stupních podpory a jak se tento log dá uložit do souboru, aby mohl být odeslán např. e-mailem).

• Informace o postupech při typických závadách a chybových hlášeních a popis postupu/ů, jak blíže identifikovat závadu. V této části by měl být uveden popis typických závad, které mohou nastat a mohou být odstraněny pracovníky objednatele.

• Informace o postupech při atypických závadách (např. informaci o tom, že se má kontaktovat poskytovatel).

• Informaci, jak zprovoznit příslušné komponenty RS DRUPAL v náhradní lokalitě.

c) Příručku technického správce, obsahující popis jednotlivých kroků instalace, konfigurace a zprovoznění systému. Zahrnuje všechny nezbytné instalační kroky nad rámec instalace operačního systému, dále zahrnuje výčet všech nezbytných komponent včetně verzí, licencí a konfigurací, a to včetně operačního systému, DB a knihoven. Obsahuje část popisující způsob nahrání aplikace z testovacího prostředí do produkčního prostředí včetně nástrojů k tomuto přesunu potřebných, dále provozní postupy pro správce infrastruktury (postupy při provozu, nastavení omezení přístupu, konfiguraci, bezpečnostní nastavení, přidání a odebrání uživatele, základní každodenní činností obsluhy RS DRUPAL včetně všech modulů, stránek, podstránek i subdomén/microsites).

d) Provozní řád, obsahující popis funkcí, včetně bezpečnostních, které jsou pro uživatele k dispozici a návod na jejich použití, vymezení oprávnění a povinností uživatelů, které musí být v souladu s aplikační dokumentací. Zahrnuje:

• popis funkcí, včetně bezpečnostních, které používá uživatel i administrátor pro svou činnost a návod na použití takových funkcí, podrobný popis infrastruktury, systému a aplikací,

• popis jednotlivých činností vykonávaných při správě infrastruktury, systému a aplikací,

• vymezení oprávnění a povinností uživatelů a skupin uživatelů ve vztahu k využívání infrastruktury, systému a aplikací,

• popis pravidel a postupů pro přidělování uživatelských oprávnění,

• parametry kvality, které vycházejí z požadavků na kvalitu, specifikované objednatelem,

• detailní návody specifikující efektivní používání infrastruktury, systému a aplikací,

• manuál, který detailně popisuje infrastrukturu, systém a aplikace za účelem poskytnutí efektivní podpory

e) Technickou dokumentaci, obsahující:

• popis architektury systému a jeho jednotlivých částí,

• popis konkrétních technologií,

• popis aplikačního programového rozhraní,

• popis databázových tabulek,

• komentář ke zdrojovému kódu (resp. komentovaný zdrojový kód),

• jakékoliv další podklady, nezbytné pro správu a provoz RS DRUPAL včetně všech modulů, xxxxxxx, podstránek i subdomén/microsites v budoucnosti.

Příloha č. 6

Akceptace, ověřovací a testovací provoz

1. Akceptace

O akceptaci bude sepsán akceptační protokol, který podepíše alespoň jedna pověřená osoba za každou smluvní stranu.

Průběh akceptace, ani její opakování či opakování jakékoliv její části, nemá vliv na lhůty a doby podle smlouvy/objednávky, resp. na jejich plynutí, nestanoví-li smlouva/objednávka jinak.

1. Akceptace „Realizační studie“

1.1.1. Podmínky zahájení akceptace realizační studie:

Poskytovatel předal objednateli realizační studii, a to v elektronické podobě zasláním na e-maily pověřených osob objednatele nebo předáním na obecně užívaném paměťovém médiu (např. CD, DVD, USB flash) do podatelny ČNB v místě plnění, ve formátech čitelných aplikacemi MS Word 2016 nebo MS Excel 2016, a současně informoval e-mailem zaslaným pověřeným osobám objednatele o předání realizační studie do podatelny ČNB.

1.1.2. Průběh akceptace realizační studie:

Objednatel ověří, že realizační studie má stanovený obsah, neobsahuje vnitřní logické rozpory a je technicky i jazykově jednoznačná (včetně prověření pravopisné a gramatické správnosti realizační studie).

1.1.3. Výsledek akceptace realizační studie:

Do 30 pracovních dnů od naplnění podmínek pro zahájení akceptace realizační studie informuje objednatel poskytovatele že:

• realizační studie je bez vad, a je tedy akceptována, nebo

• realizační studie obsahuje vady, a tedy není akceptována; v takovém případě sdělí objednatel k realizační studii připomínky.

Do 15 pracovních dnů od sdělení připomínek objednatele k realizační studii poskytovatel odstraní vady realizační studie, poté se opakuje akceptace realizační studie obdobně podle tohoto bodu 1.1.

Akceptace realizační studie se může opakovat i vícekrát, avšak není-li realizační studie akceptována po prvním opakování akceptace, či nepředá-li poskytovatel realizační studii k opakování akceptace po odstranění vad ve stanovené lhůtě, je objednatel oprávněn od smlouvy odstoupit.

1.2. Akceptace díla

1.2.1. Podmínky zahájení akceptace díla:

• poskytovatel předal objednateli realizační dokumentaci vyjma komentáře ke zdrojovému kódu;

• poskytovatel implementoval požadované úpravy webových stránek xxx.xxx.xx do testovacího prostředí a

• poskytovatel informoval e-mailem pověřené osoby objednatele, že je možno započít s akceptací.

1.2.2. Průběh akceptace díla:

Objednatel ověří, že požadované úpravy webových stránek xxx.xxx.xx jsou funkční, že splňují všechny požadavky objednatele (vítané požadavky splněny být nemusí) a jsou způsobilé k implementaci do provozního prostředí.

Ověření proběhne zejména otestováním a popř. provedením penetračních testů a skenováním známých zranitelností ze strany objednatele.

Během testovacího provozu je poskytovatel povinen na vyžádání objednatele zajistit přítomnost pracovníků poskytovatele v dostatečném počtu, nejméně však jednoho pracovníka.

Ověření vč. testovacího provozu se bude provádět zásadně na úrovni jednotlivých rolí a nikoliv pod účtem systémového administrátora a takovým způsobem, při kterém se projeví případné nekonzistence z hlediska přístupových práv apod.

1.2.3. Kategorizace vad:

Během ověření je poskytovatel povinen průběžně odstraňovat zjištěné vady díla.

Každé zjištěné vadě díla, která nebude odstraněna poskytovatelem bezprostředně po jejím zjištění, bude přidělena kategorie:

A – odpovídající kategorii kritická vada dle čl. III odst. 2.1 smlouvy, s tím, že vady zjištěné penetračním testováním nebo skenováním známých zranitelností je možno zařadit do této kategorie i bez ohledu na jejich další charakteristiku,

B – odpovídající kategorii podstatná vada dle čl. III odst. 2.2 smlouvy, s tím, že za vady kategorie B se dále považují rovněž vady, kdy část textového obsahu neodpovídá skutečnosti popisovaného systému, procesu, oblasti apod., jehož výklad však neznemožňuje používání systému,

C – odpovídající kategorii nepodstatná vada dle čl. III odst. 2.3 smlouvy.

O kategorizaci vady rozhodne s konečnou platností objednatel.

Poskytovatel je povinen bez zbytečného odkladu odstranit jakoukoliv zjištěnou vadu díla znemožňující pokračovat v akceptaci díla.

1.2.4. Výsledek akceptace díla:

Do 6 týdnů od naplnění podmínek pro zahájení akceptace díla informuje kterákoliv z pověřených osob objednatele e-mailem pověřené osoby poskytovatele, že:

• dílo je bez vad, a je tedy akceptováno;

• dílo má vadu nebo vady, avšak je akceptováno s výhradami; v takovém případě určí objednatel, po projednání s poskytovatelem, v akceptačním protokolu pro každou z vad závaznou lhůtu pro její odstranění; lhůta může být stanovena i s odkládací podmínkou;

• dílo má vadu nebo vady, a tedy není akceptováno; v takovém případě sdělí objednatel k dílu své připomínky, které mohou spočívat v pouhém výčtu vad díla. Po odstranění vad díla se opakuje akceptace díla obdobně podle tohoto bodu 1.2.

Lhůta podle předchozího odstavce neběží po dobu, po kterou není možno provádět akceptaci z důvodů nezaviněných objednatelem, tj. zejména, že:

• poskytovatel neposkytl potřebnou součinnost, zejména jeho pracovník či pracovníci nejsou na vyžádání objednatele přítomni testovacímu provozu;

• vyskytla se vada díla znemožňující pokračovat v akceptaci a nebyla doposud poskytovatelem odstraněna (zejména, avšak nikoliv výlučně, vada kategorie A, zabraňující pokračovat v testovacím provozu).

Dílo bez vad musí objednatel akceptovat.

Dílo s jakoukoliv vadou kategorie A nesmí objednatel akceptovat, a to ani s výhradami.

Akceptace díla se může opakovat i vícekrát, avšak není-li dílo akceptováno (příp. akceptováno s výhradami) ani po prvním opakování akceptace, či nepředá-li poskytovatel dílo k opakování akceptace po odstranění vad ve stanovené lhůtě, je objednatel oprávněn od smlouvy odstoupit.

2. Ověřovací provoz

Ověřovací provoz nelze zahájit, není-li dílo akceptováno, popř. akceptováno s výhradami.

Objednatel zkontroluje konečný stav díla před jeho převzetím provedením ověřovacího provozu požadovaných úprav v provozním prostředí. Při ověřovacím provozu se ověřuje, že dílo splňuje všechny požadavky objednatele (vítané požadavky splněny být nemusí), že dílo jako celek funguje, nevykazuje zranitelnosti a nezpůsobuje problémy v provozním prostředí. Součástí kontroly konečného stavu díla je i ověření konečného stavu realizační dokumentace.

Během ověřovacího provozu je poskytovatel povinen na vyžádání objednatele zajistit přítomnost pracovníků poskytovatele v dostatečném počtu, nejméně však jednoho pracovníka.

Průběh ověřovacího provozu, ani jeho opakování či opakování jakékoliv jeho části, nemá vliv na lhůty a doby podle smlouvy/objednávky, resp. na jejich plynutí, nestanoví-li smlouva/objednávka jinak.

2.1. Podmínky ověřovacího provozu:

• dílo bylo akceptováno, popř. akceptováno s výhradami,

• poskytovatel implementoval požadované úpravy webových stránek xxx.xxx.xx do testovacího prostředí,

• poskytovatel předal objednateli realizační dokumentaci s úpravami nezbytnými s ohledem na průběh akceptace, a

• poskytovatel informoval e-mailem pověřené osob objednatele, že je možno započít s ověřovacím provozem.

2.2. Průběh ověřovacího provozu:

Ověřovací provoz bude probíhat zejména:

• užíváním webových stránek xxx.xxx.xx a všech jejich funkcionalit při různých stupních zátěže,

• provedením penetračních testů a skenování známých zranitelností třetími osobami (externími subjekty), které zajistí objednatel – pokud tak objednatel stanoví (nepovinné).

Pozmění-li poskytovatel v rámci ověřovacího provozu webové stránky xxx.xxx.xx tak, že realizační dokumentace přestane zachycovat skutečný stav, je povinen pozměnit do ukončení ověřovacího provozu příslušným způsobem i realizační dokumentaci.

2.3. Kategorizace vad:

Během ověřovacího provozu je poskytovatel povinen průběžně odstraňovat zjištěné vady díla.

Každé zjištěné vadě díla, která nebude odstraněna poskytovatelem bezprostředně po jejím zjištění, bude přidělena kategorie:

A – odpovídající kategorii kritická vada dle čl. III odst. 2.1 smlouvy s tím, že vady zjištěné penetračním testováním nebo skenováním známých zranitelností je možno zařadit do této kategorie i bez ohledu na jejich další charakteristiku,

B – odpovídající kategorii podstatná vada čl. III odst. 2.2 smlouvy s tím, že za vady kategorie B se dále považují rovněž vady, kdy část textového obsahu neodpovídá skutečnosti popisovaného systému, procesu, oblasti apod., jehož výklad však neznemožňuje používání systému,

C – odpovídající kategorii nepodstatná vada čl. III odst. 2.3 smlouvy.

O kategorizaci vady rozhodne s konečnou platností objednatel.

Poskytovatel je povinen bez zbytečného odkladu odstranit jakoukoliv zjištěnou vadu díla znemožňující pokračovat v ověřovacím provozu.

2.4. Výsledek ověřovacího provozu:

Do 6 týdnů od naplnění podmínek pro zahájení ověřovacího provozu díla informuje kterákoliv z pověřených osob objednatele e-mailem pověřené osoby poskytovatele, že:

• dílo je bez vad nebo vykazuje pouze vadu/y kategorií B a/nebo C, které objednatel považuje za plně a snadno odstranitelné, včetně jejich výčtu a lhůt pro jejich odstranění, a tedy ověřovací provoz byl ukončen úspěšně;

• dílo vykazuje vadu/y kategorie C, které jsou neodstranitelné, avšak objednatel je považuje za natolik nevýznamné, že s nimi lze dílo převzít, a tedy ověřovací provoz byl ukončen úspěšně, v tomto případě se nestanoví lhůta pro jejich odstranění;

• dílo vykazuje vadu/y kategorií A a/nebo B a/nebo C, které objednatel považuje za obtížně odstranitelné, včetně jejich výčtu a lhůt pro jejich odstranění, a tedy ověřovací provoz byl ukončen neúspěšně.

Lhůta podle předchozího odstavce neběží po dobu, po kterou není možno provádět ověřovací provoz z důvodů nezaviněných objednatelem, tj. zejména, že:

• poskytovatel neposkytl potřebnou součinnost, zejména jeho pracovník či pracovníci nejsou na vyžádání objednatele přítomni ověřovacímu provozu;

• vyskytla se vada díla znemožňující pokračovat v ověřovacím provozu a nebyla doposud poskytovatelem odstraněna (zejména, avšak nikoliv výlučně, vada kategorie A, zabraňující pokračovat v ověřovacím provozu).

Pokud byl ověřovací provoz ukončen neúspěšně, může poskytovatel odstranit vady, které vedly k neúspěchu, ve stanovené lhůtě a předat objednateli dílo k opakování ověřovacího provozu; poté se opakuje ověřovací provoz obdobně podle tohoto bodu 2.

Byl-li ověřovací provoz ukončen neúspěšně i po druhém opakování, či nepředal-li poskytovatel dílo k opakování ověřovacího provozu po odstranění vad ve stanovené lhůtě, je objednatel oprávněn od smlouvy odstoupit.

Poskytovatel není oprávněn dílo předat a objednatel není povinen dílo převzít, nebyl-li ověřovací provoz nebo poslední opakovaný ověřovací provoz ukončen úspěšně.

Vzor Akceptačního protokolu

Akceptační protokol

Poskytovatel	Objednatel
IČO: DIČ:	Česká národní banka Na Příkopě 28 115 03 Praha 1 IČO: 48136450 DIČ: CZ48136450

Evidenční číslo smlouvy v ČNB

Název smlouvy

Předmět akceptace:

Závěr akceptačního řízení

[..shrnutí obsahu akceptačního řízení...]

Z výše uvedených důvodů bylo akceptační řízení uzavřeno s výsledkem:

Neakceptováno/Akceptováno s výhradami/Akceptováno

[...další kroky např.: Poskytovatel akceptoval uvedené vady s tím, že tyto vady, uvedené v příloze č.1, odstraní do ........]

V Praze dne .....................

Za poskytovatele:
...................................., vedoucí projektu
………………………………… Podpis Za objednatele:
...................................., zadavatel
………………………………… Podpis
...................................., vedoucí projektu
………………………………… Podpis

Příloha č.1: Seznam vad

ID Kategorie Popis

Vzor Předávacího protokolu

Předávací protokol

Poskytovatel	Objednatel
IČO: DIČ:	Česká národní banka Na Příkopě 28 115 03 Praha 1 IČO: 48136450 DIČ: CZ48136450

Evidenční číslo smlouvy ČNB

Název smlouvy

Důvod předání

Předmět předání

Dnešního dne poskytovatel předal a objednatel převzal za účelem .............................. dle smlouvy (s evidenčním číslem ČNB: .....................) následující dokumenty:

V Praze dne .......................................

Za poskytovatele:
........................................., vedoucí projektu
………………………………… Podpis Za objednatele:
......................................., zadavatel
………………………………… Podpis
........................................, vedoucí projektu
………………………………… Podpis

Šablona pro testovací scénáře

Nový WEB

Testovací scénáře

Verze

Datum poslední modifikace

Autor

Vedoucí projektu poskytovatele

Vedoucí projektu objednatele

Tento dokument obsahuje informace důvěrného charakteru a informace v něm obsažené jsou vlastnictvím České národní banky. Žádná část dokumentu nesmí být kopírována, uchovávána v dokumentovém systému nebo přenášena jakýmkoliv způsobem včetně elektronického, mechanického, fotografického či jiného záznamu a uveřejněna či poskytnuta třetí straně bez předchozí dohody a písemného souhlasu vlastníků.

Některé názvy použité v tomto dokumentu mohou být registrovanými ochrannými známkami nebo obchodními značkami, které jsou majetkem svých vlastníků.

Historie změn

Verze Datum Autor Popis změny

1. Příprava a podmínky testů

   1. Testovací prostředí

Testovacím prostředím je testovací prostředí Externího webu ČNB instalované v ČNB dle specifikace uvedené v akceptované realizační studii.

2. Provedení testu a jeho vyhodnocení

Testovací scénáře budou prováděny v pořadí, ve kterém jsou uvedeny v „Seznamu testovacích scénářů“. Z provozních důvodů je možné toto pořadí změnit. V případě potřeby budou, v průběhu testování, vždy k danému testovacímu scénáři, vytvořeny přílohy obsahující opisy obrazovek a chybových logů.

Testy budou probíhat pokud možno paralelně, s výjimkou testů administrace a dalších testů, které mohou ovlivnit průběh ostatních testů. Tyto testy budou provedeny samostatně na závěr.

3. Účast poskytovatele

Testy proběhnou za účasti dostatečného počtu pracovníků poskytovatele.

2. Seznam testovacích scénářů

[O pořadí rozhoduje poskytovatel při dodržení požadavků podle smlouvy.]

ID scénáře	Testovací scénář	Testované požadavky/vlastnosti	Výsledek
			bez vad/s vadou kategorie A/B/C

3. Jednotlivé testovací scénáře

[V souladu se smlouvou vytvoří poskytovatel.]

1. Popis polí testovacího scénáře

• Název – název testovacího scénáře ve vazbě na testovanou oblast/proces

• Verze – verze testovacího scénáře

• ID scénáře – pořadové číslo scénáře ve formátu Txx

• Popis – stručný popis testované oblasti/procesu

• Testované požadavky – seznam testovaných uživatelských požadavků (ID požadavku)

• Vstupní podmínky - popis podmínek pro realizaci testovacího scénáře, např.: nastavení rolí, způsob přihlášení, dostupnost/připravenost dat apod.

• Krok - popis jednotlivých kroků postupu, které bude provádět tester při testování ve struktuře A – požadovaná akce, R – předpokládaná reakce systému

[Popsaná pole musí být vyplněna v návrhu každého testovacího scénáře.]

2. Šablona testovacího scénáře

[Opakuje se pro každý testovací scénář.]

Název
ID scénáře					Verze
Popis
Testované požadavky
Vstupní podmínky
Popis kroků
Krok	Činnost					Výsledek
	A:					[OK/ chyba]
	R:
	A:
	R:
	A:
	R:
	A:
	R:
	A:
	R:
Hodnocení		[Vyplní se na základě výsledků testování – s vadou/s vadami/bez vad.]
Odůvodnění		[Vyplní se na základě výsledků testování.]
Poznámka		[Vyplní se na základě výsledků testování.]
Datum		[Vyplní se v rámci testování.]	Podpis testera	[Vyplní se v rámci testování.]

Příloha č. 7

Obecná pravidla pro dodavatele v oblasti bezpečnosti IT

1. Pokud jsou tato obecná pravidla v rozporu s ustanovením textu smlouvy nebo zadávací dokumentace nebo její jinou přílohou, má přednost ustanovení textu smlouvy nebo zadávací dokumentace nebo její jiná příloha.

2. Dodavatel je povinen zajistit, že jeho pracovníci či poddodavatelé a jejich pracovníci, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně dostupné. Povinnost mlčenlivosti není časově omezena.

3. Dodavatel je rovněž povinen chránit informace, které nejsou veřejně dostupné, zejména předanou dokumentaci, před jejich prozrazením a/nebo zpřístupněním neoprávněným osobám a dále použít získané informace výhradně pro účely plnění smlouvy s ČNB.

4. Pracovníci dodavatele, kteří budou samostatně přistupovat k informačním systémům a systémovému prostředí ČNB, se před nebo při prvním přístupu musí seznámit s bezpečnostními požadavky a svými povinnostmi vyplývajícími z vnitřních předpisů ČNB.

5. Dodavatel a jeho pracovníci nejsou oprávněni:

   1. obcházet bezpečnostní mechanizmy prostředků výpočetní techniky;

   2. sdělovat své přístupové údaje k systémům ČNB;

   3. sdílet přístup k systémům ČNB (umožnit jinému pracovat pod uživatelovým oprávněním);

   4. provádět akce požadované třetí osobou (instalace softwaru, návštěva webových stránek apod.) bez ověření oprávněnosti požadavku.

6. Dodavatel a jeho pracovníci jsou povinni:

   1. okamžitě nahlásit sekci informatiky ČNB, pokud identifikují možnost obejití bezpečnostních mechanizmů prostředků výpočetní techniky. To neplatí pro dodavatele, jejichž předmět smlouvy obsahuje tuto činnost;

   2. při opuštění pracovní stanice stanici uzamknout (např. vytažením multifukčního průkazu ze stanice) nebo se odhlásit, a ověřit, že k odhlášení/uzamčení opravdu došlo;

   3. bezpečně zlikvidovat nepotřebná výměnná média (např. CD/DVD, flash disk, paměťová karta) prostřednictvím služby HelpDesku ČNB;

   4. bez prodlení odebrat z tiskárny vytištěné dokumenty, popřípadě pro zajištění důvěrnosti použít zabezpečený tisk, pokud to nastavení tiskárny umožňuje;

   5. v případě detekce viru nebo podezření na přítomnost škodlivého kódu neprodleně kontaktovat HelpDesk ČNB a stanici kompletně prověřit antivirovým programem za případné spolupráce HelpDesku ČNB.

7. Pracovníci dodavatele nesmí:

   1. zaznamenávat heslo tak, aby mohlo být snadno identifikováno (týká se i zapisování do elektronických dokumentů, např. Notepad). Pro uchování je možné použít například bezpečné úložiště na čipové kartě uživatele (SmartNotes);

   2. používat stejná hesla v systémech ČNB a pro přístup do dalších systémů a aplikací mimo ČNB (např. soukromá e-mailová schránka, Facebook, LinkedIn).

8. Pracovníci dodavatele nejsou oprávněni:

   1. používat soukromou e-mailovou schránku pro činnosti související s plněním dle smlouvy, kromě výjimečné situace, která nesnese odkladu a při níž hrozí nebezpečí z prodlení v případě nedostupnosti nebo poruchy pracovního e-mailu;

   2. nastavovat automatické přeposílání e-mailů z pracovní e-mailové adresy mimo systémové prostředí ČNB;

   3. ukládat jiné než veřejné informace mimo úložiště pod správou ČNB nebo dodavatele (případně pod správou smluvně zajištěného partnera), zejména do cloudových služeb (např. xxxx.xx, xxxxxxxxxxxx.xx, Google Disk, Microsoft OneDrive a další).

9. Dodavatel a jeho pracovníci nejsou oprávněni:

   1. nepovoleně používat, kopírovat a šířit software, jako např.:

      1. instalovat nebo spouštět na počítačích ČNB soukromě pořízený software (včetně softwaru licencovaného na uživatele jako soukromou osobu);

      2. instalovat nebo spouštět na počítačích ČNB z internetu stažený software (včetně komerčního software, software typu shareware, freeware, public domain a software licencovaného modelem GPL – General Public Licence). To neplatí v případech, kdy předmět smlouvy obsahuje tuto činnost;

      3. instalovat či přenášet software ve vlastnictví ČNB na jiné počítače ČNB, na své soukromé počítače nebo na počítače třetích stran nebo pořizovat kopie softwaru instalovaného v počítači ČNB. To neplatí

         1. pro situace výslovně schválené a popsané v jiném vnitřním předpisu (např. vzdálený přístup ze zařízení, které není ve vlastnictví ČNB) a

         2. v případech, kdy předmět smlouvy obsahuje tuto činnost;

   2. používat nebo poskytnout neoprávněně jiným uživatelům sériová čísla, licenční klíče, hardwarové klíče nebo jiné technické prostředky sloužící k zajištění ochrany nebo jednoznačné identifikaci vlastníka licence softwaru získané v ČNB;

   3. bránit spouštění nástrojů sloužících pro automatizované kontroly nainstalovaného a spouštěného softwaru a provádět činnosti, které by vedly ke zkreslení získaných dat z těchto nástrojů.

Archivace elektronické pošty

1. Zpráva zaslaná tak, že alespoň jedním z adresátů zprávy je emailová adresa ...@xxx.xx, se ukládá současně s přijetím i do dlouhodobého archivního úložiště.

2. Veškeré zprávy odesílané z emailové adresy ...@xxx.xx se ukládají do dlouhodobého archivního úložiště současně s odesláním.

Kontrola přístupu na Internet

Z důvodu zvláštní povahy činnosti ČNB a z toho plynoucí povinnosti zajištění bezpečnosti informačních systémů ČNB, z nichž některé jsou součástí kritické informační infrastruktury státu, jsou přístupy uživatelů na Internet ze sítě ČNB automaticky zaznamenávány na úrovni domén 2. řádu (tj. např. xxxxx.xx).

Příloha č. 8

Bezpečnostní požadavky objednatele

1. Poskytovatel odpovídá za to, že do objektů objednatele (dále jen „ČNB“) budou vstupovat nebo vjíždět pouze ti jeho pracovníci, kteří jsou jmenovitě uvedeni v písemném seznamu schváleném ČNB (dále jen „seznam“). Tato povinnost se vztahuje i na posádky vozidel poskytovatele vjíždějících do garáží ČNB za účelem složení a naložení nákladu. Seznam poskytovatel předloží ČNB nejpozději den před zahájením prací.

2. Seznam bude obsahovat tyto položky: jméno, příjmení a číslo průkazu totožnosti každého z pracovníků poskytovatele. Poskytovatel se zavazuje zajistit, aby všichni jeho pracovníci uvedení v seznamu byli ještě před předložením seznamu ČNB proškoleni o podmínkách zpracování osobních údajů a o právech subjektů údajů ve smyslu obecného nařízení oochraně osobních údajů - Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Poskytovatel se zejména zavazuje, že všichni jeho pracovníci uvedení v seznamu budou nejpozději do okamžiku předložení seznamu ČNB poučeni:

1. o tom, že poskytovatel předá jejich osobní údaje v rozsahu: jméno, příjmení a číslo průkazu totožnosti České národní bance, sídlem Na Příkopě 28, Praha 1 v rámci plnění této smlouvy, a to za účelem ochrany práv a oprávněných zájmů ČNB (zajištění evidence osob vstupujících do budovy ČNB z důvodu ochrany majetku a osob a správy přístupového systému ČNB);

2. o veškerých právech subjektu údajů, která mohou uplatnit vůči poskytovateli a ČNB, zejména o právu na přístup k osobním údajům, které jsou o nich zpracovávány, právu na námitku proti zpracování osobních údajů, právu požadovat nápravu situace, která je v rozporu s právními předpisy, a to zejména formou zastavení nakládání s osobními údaji, jejich opravou, doplněním či odstraněním, jakož i o právu podat stížnost k Úřadu pro ochranu osobních údajů.

3. Za poučení svých pracovníků ponese poskytovatel vůči ČNB následně odpovědnost. V případě nesplnění povinnosti podle odst. 2 této přílohy nahradí poskytovatel újmu, která v souvislosti s uvedeným ČNB vznikne, a to včetně případné nemajetkové újmy vzniklé poškozením dobrého jména a dobré pověsti, újmy vzniklé v důsledku postihu pravomocně uloženého ČNB správním nebo jiným k tomu oprávněným orgánem veřejné moci a újmy vzniklé ČNB v důsledku úspěšného uplatnění práv pracovníků poskytovatele vůči ČNB.

4. Požadavky na případné doplňky a změny schváleného seznamu je nutno neprodleně oznámit ČNB. Případné doplňky a změny seznamu podléhají schválení ČNB. Osoby neschválené ČNB nemohou vstupovat do objektů ČNB, přičemž ČNB si vyhrazuje právo neuvádět důvody jejich neschválení.

5. Při příchodu do objektů ČNB pracovníci poskytovatele sdělí důvod vstupu, prokáží se osobním dokladem a podrobí se bezpečnostní kontrole. Osoby, které nejsou uvedeny v seznamu, nebudou do objektů ČNB vpuštěny.

6. Schválení pracovníci poskytovatele musí dbát pokynů bankovních policistů, které se týkají režimu vstupu, pohybu a vjezdu do objektu ČNB. Pracovníci poskytovatele budou do prostor ČNB vstupovat a v těchto prostorách se pohybovat v režimu návštěv, to znamená vždy pouze v doprovodu zaměstnance ČNB nebo zaměstnance referátu bankovní policie ČNB.

7. V případě mimořádné události se pracovníci poskytovatele musí řídit pokyny bankovních policistů nebo dozorujícího zaměstnance ČNB, a dále instrukcemi vyhlašovanými vnitřním rozhlasem ČNB.

8. Pracovníci poskytovatele nesmí vnášet do prostor ČNB nebezpečné předměty, jako jsou střelné zbraně, výbušniny apod. O tom, co je či není nebezpečný předmět, rozhodují bankovní policisté v souladu s vnitřními předpisy ČNB.

9. ČNB si vyhrazuje právo nevpustit do objektů ČNB pracovníka poskytovatele, který je zjevně pod vlivem alkoholu, drog nebo jiné omamné látky.

10. Bez písemného povolení ČNB je zakázáno fotografování a pořizování videozáznamů z interiéru objektů ČNB.

11. Ve všech prostorech objektů ČNB je přísný zákaz kouření a používání otevřeného ohně. O povolení práce se zvýšeným požárním nebezpečím požádá poskytovatel písemnou formou vždy nejpozději jeden pracovní den před zahájením prací dozorujícího zaměstnance ČNB. Dále se pracovníci poskytovatele musí zdržet poškozování či odcizování majetku ČNB, a dále i jakéhokoli nevhodného chování vůči zaměstnancům a návštěvníkům ČNB.

12. Pracovníci poskytovatele uvedení v seznamu se musí před započetím výkonu práce v objektech ČNB seznámit, ve smyslu předpisů o požární ochraně, bezpečnosti a hygieně práce, se specifiky daných objektů ČNB (např. způsob vyhlášení požárního poplachu, určení ohlašovny požáru, seznámení s únikovými cestami, poplachovými směrnicemi, evakuačním plánem, umístěním věcných prostředků požární ochrany apod.). ČNB je oprávněna kdykoliv podrobit kontrole kterékoliv pracovníka poskytovatele uvedeného na seznamu ohledně dodržování těchto předpisů a ustanovení.

Příloha č. 9

Návrh realizace řešení

(bude doplněno při uzavření smlouvy s vybraným dodavatelem dle jeho nabídky)

Příloha č. 10

Specifikace cen

(bude doplněno při uzavření smlouvy s vybraným dodavatelem dle jeho nabídky)

Příloha č. 11

Ujednání o zpracování osobních údajů (vzor)

(dále také jen „Ujednání“)

(dodavatel nedoplňuje, bude doplněno a uzavřeno po uzavření smlouvy

s vybraným dodavatelem)

Smluvní strany se dohodly na tomto Ujednání, které naplňuje požadavky stanovené pro smlouvu o zpracování osobních údajů podle ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).

1. Úvodní ustanovení

1.1. Česká národní banka (dále též „správce“) v souladu se smlouvou o poskytování komplexních služeb nad redakčním systémem DRUPAL pro potřeby ČNB včetně tvorby webových stránek, evidenční číslo smlouvy ČNB: ev. číslo ČNB: č. 00-000-00 (dále jen „smlouva“) určuje účel a prostředky zpracování osobních údajů zaměstnanců objednatele (dále jen „interní uživatelé“), uživatelů webových stránek xxx.xxx.xx a ostatních osob, jejichž osobní údaje budou uvedeny na stánkách xxx.xxx.xx (dále jen „externí osoby“) (společně dále jen „subjekty údajů“) a je tedy v postavení správce osobních údajů ve smyslu čl. 4 odst. 7 GDPR.

1.2. __________ (dále též „zpracovatel“) bude na základě smlouvy zpracovávat osobní údaje subjektů údajů a bude ve vztahu ke správci v postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 GDPR.

2. Předmět Ujednání

Toto Ujednání upravuje vztahy mezi správcem a zpracovatelem a určuje jejich práva a povinnosti při zpracování osobních údajů zpracovatelem a v souvislosti s ním, zejména pak vymezuje rozsah osobních údajů, které bude zpracovatel zpracovávat, prostředky a účel, pro který bude osobní údaje zpracovávat, dobu zpracování osobních údajů, jakož i podmínky a záruky zpracovatele z hlediska technického a organizačního zabezpečení ochrany osobních údajů tak, aby zpracování probíhalo v souladu s právními předpisy v oblasti ochrany osobních údajů.

3. Účel zpracování a rozsah zpracovávaných osobních údajů

3.1. Zpracovatel bude zpracovávat osobní údaje subjektů údajů pouze v rozsahu nezbytném pro zajištění realizace smlouvy. Za osobní údaje jsou podle tohoto Ujednání považovány informace uvedené ve výčtu v odstavci 3.2 tohoto Ujednání („osobní údaje“).

3.2. Zpracovatel bude zpracovávat osobní údaje předané ze strany správce pro účely vývoje (testování apod.) a provozu (odstraňování chyb, správa cookies apod.) redakčního systému DRUPAL a webových stránek xxx.xxx.xx a jejich provozu pouze v následujícím rozsahu nezbytném pro výkon práv a povinností podle smlouvy:

1. identifikační údaje;

2. kontaktní údaje;

3. kvalifikační údaje;

4. profesní údaje;

5. rodinné údaje;

6. pracovněprávní údaje;

7. síťové identifikátory;

8. údaje týkající se rozhodnutí ve správních věcech;

9. obrazový záznam;

10. zvukový záznam.

3.3. Zpracovatel bude osobní údaje zpracovávat následujícími způsoby ve smyslu čl. 4 odst. 2 GDPR: sběrem od správce, shromážděním, zaznamenáním, uspořádáním, strukturováním, uložením, přizpůsobením nebo pozměněním, vyhledáním, nahlédnutím, zpřístupněním, seřazením či zkombinováním, zničením, výmazem nebo jiným způsobem v souvislosti s účelem zpracování osobních údajů podle odstavce 3.2 tohoto Ujednání.

3.4. Zpracovatel je ve všech případech při zpracování osobních údajů vázán prokazatelnými pokyny správce. Zpracovatel nesmí bez předchozího prokazatelného výslovného souhlasu anebo pokynu správce zpracovávané osobní údaje upravit nebo pozměnit, třídit nebo kombinovat, zpřístupnit ani předat třetí osobě, šířit ani zveřejňovat, ani jakýmkoli způsobem použít pro vlastní potřebu.

4. Doba zpracování

4.1. Zpracovatel bude osobní údaje zpracovávat po dobu nezbytnou pro účel zajištění realizace smlouvy.

4.2. Po uplynutí doby zpracování podle odstavce 4.1 tohoto Ujednání zpracovatel neprodleně vrátí veškeré osobní údaje správci, s výjimkou údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.

5. Práva a povinnosti smluvních stran

5.1. Správce pověřuje zpracovatele zpracováním osobních údajů výhradně za účelem podle odstavce 3.2 tohoto Ujednání.

5.2. Osobní údaje nebudou zpracovatelem zpracovávány ani s nimi nebude nakládáno jinak, než pouze za účelem, pro který byly osobní údaje zpracovateli poskytnuty, a vždy v souladu s pokyny správce; to platí i pro zpřístupnění či poskytnutí osobních údajů třetí osobě nebo předání mimo území EU.

5.3. Zpracovatel je povinen při každém případném využití cloudové služby předem informovat správce o tom, ve kterých zemích budou zpracovávané osobní údaje umístěny, a to i v případě jakékoli změny. Zařízení, na nichž budou osobní údaje uchovávány nebo jinak zpracovávány, se budou nacházet výlučně v zemích EU a osobní údaje budou předávány a uchovávány pouze v těchto zemích. Zpracovatel je zároveň povinen zajistit zpracování osobních údajů správce odděleně od případných osobních údajů jiných klientů zpracovatele.

5.4. Zpracovatel je povinen zabezpečit osobní údaje a zachovávat mlčenlivost o osobních údajích a řídit se pokyny správce ve všech případech, kdy se jedná o zpracování či zabezpečení osobních údajů. Zpracovatel přijme technická, organizační a personální opatření adekvátní způsobu zpracování a v souladu s pokyny správce – přičemž toto zabezpečení bude odpovídat příslušným aktuálním používaným bezpečnostním standardům (podrobněji v odstavci 5.5 a násl. tohoto Ujednání).

5.5. Správce stanoví opatření, která považuje za dostatečná pro technické a organizační zabezpečení osobních údajů následovně:

1. Technické zabezpečení osobních údajů bude zajištěno pomocí prostředků:

(i) počítačové bezpečnosti; zpracovatel se zavazuje ke zpracování používat výhradně takové technické a programové prostředky, jejichž používání při vyloučení nepředvídatelných okolností eliminuje možnost narušení, ztráty, zničení či poškození osobních údajů, neoprávněného přístupu k nim, či neoprávněného nakládání s osobními údaji;

(ii) komunikační bezpečnosti; zpracovatel se zavazuje dodržovat taková opatření k zabezpečení ochrany osobních údajů při jejich přenosu telekomunikačními kanály (včetně datových nosičů), jejichž povaha eliminuje při vyloučení nepředvídatelných okolností možnost narušení (šifrování);

(iii) fyzické bezpečnosti; v tomto ohledu zpracovatel prohlašuje, že místo, ve kterém budou osobní údaje zpracovávány a ve kterém budou uchovávány spisy a dokumenty, bude mít charakter prostoru zabezpečeného před možností narušení bezpečnosti.

Zpracovatel bude plnit všechny povinnosti stanovené v tomto ustanovení písm. a) využíváním prostředků odpovídajících dosaženému stupni technického pokroku a nárokům odborné péče.

2. Organizační zabezpečení:

1. osobní údaje budou zpřístupněny pouze určeným osobám z oprávněného personálu zpracovatele a případně oprávněným osobám, které odpovídají za zajištění bezpečnosti systému, kde jsou osobní údaje uloženy, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;

2. zpracovatel je povinen zabezpečit poučení osob, které mají v rámci zpracování osobních údajů přístup k těmto údajům, aby všechny tyto osoby byly řádně poučeny o svých povinnostech při zpracovávání osobních údajů, zejména pak o povinnosti mlčenlivosti ve vztahu k těmto osobním údajům;

3. Dále je zpracovatel povinen:

1. zabránit neoprávněným osobám v přístupu k osobním údajům a k prostředkům pro jejich zpracování, a také zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.

5.6. Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany osobních údajů v souladu s právními předpisy, zejména s GDPR a dalšími předpisy v oblasti ochrany osobních údajů, jakož i provádět nejméně jednou ročně hodnocení efektivnosti přijatých opatření, a to včetně vedení a zpřístupnění následující dokumentace:

1. seznamu osob, které jsou oprávněny přistupovat k osobním údajům (včetně rozsahu oprávnění);

2. elektronického přehledu informací o veškerých přístupech jednotlivých osob k osobním údajům.

5.7. Zpracovatel bude neprodleně písemně informovat správce v případě jakýchkoliv potíží při plnění povinností vyplývajících z tohoto Ujednání, jakož i o všech okolnostech týkajících se porušení povinností při zpracování a ochraně osobních údajů, zejména o případech, kdy dojde k náhodnému nebo protiprávnímu zničení, ztrátě či změně zpracovávaných osobních údajů nebo neoprávněnému poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. V takovém případě zpracovatel přijme v nejkratším možném termínu veškerá nezbytná opatření k zajištění dostatečné ochrany osobních údajů, notifikuje správce o těchto skutečnostech prostřednictvím kontaktních osob uvedených ve smlouvě a následně postupuje v souladu s GDPR a pokyny správce, budou-li mu sděleny.

5.8. V případě, že v souvislosti se zpracováním osobních údajů zpracovatelem bude zahájeno řízení ze strany orgánu veřejné správy, zpracovatel poskytne správci v těchto řízeních veškerou potřebnou součinnost.

5.9. Zpracovatel je správci na jeho žádost nápomocen při posuzování vlivu zpracovávání osobních údajů na ochranu osobních údajů a při konzultacích správce s dozorovým orgánem, při zohlednění povahy zpracovávání a informací, jež má zpracovatel k dispozici.

5.10. Zpracovatel nezapojí do zpracovávání osobních údajů dalšího zpracovatele bez předchozího písemného povolení správce. V případě, že jakákoliv část zpracovávání osobních údajů bude vykonávaná dalším zpracovatelem po předchozím písemném povolení správce, zůstává zpracovatel plně odpovědný vůči správci za zpracovávání osobních údajů.

5.11. Správce je oprávněn kontrolovat dodržování pravidel stanovených pro zpracování v GDPR či v tomto Ujednání u zpracovatele, resp. i na jiném místě, kde dochází ke zpracování osobních údajů. Zpracovatel za tímto účelem zajistí zástupcům správce, kteří budou provedením kontroly pověřeni, přístup ke všem relevantním informacím a na všechna příslušná místa tak, aby mohlo být řádně provedeno hodnocení oprávněnosti zpracování. Zpracovatel poskytne správci na jeho vyžádání veškeré podklady o přijatých a provedených technických a organizačních opatřeních k zajištění ochrany osobních údajů.

5.12. Po ukončení poskytování služeb podle smlouvy zpracovatel neprodleně vrátí veškeré osobní údaje správci, s výjimkou údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.

6. Odpovědnost za újmu a smluvní pokuty

6.1. Článek 6 upravuje odpovědnost za újmu a nárok na smluvní pokuty v případě porušení podmínek tohoto Ujednání. Znění tohoto článku se nevztahuje na smluvní pokutu a úrok z prodlení dle smlouvy, ve znění pozdějších dodatků, které tímto nejsou dotčeny a jejichž platnost a účinnost zůstává v plném rozsahu zachována.

6.2. Zpracovatel se zavazuje nahradit správci jakoukoliv újmu, včetně nemajetkové, která vznikne z důvodu porušení tohoto Ujednání ze strany zpracovatele. V tomto závazku zpracovatele je zahrnuta i povinnost odškodnit správce za (i) jakékoliv nároky, a to zejména zadostiučinění, peněžité náhrady nebo pokuty, úspěšně uplatněné v soudním popř. správním řízení, ze strany třetích osob, (ii) za správní pokuty uložené správci pravomocně dozorovým orgánem, nebo (iii) jakoukoli újmu utrpěnou poškozením dobré pověsti v příčinné souvislosti s porušením povinností stanovených právními předpisy nebo tímto Ujednáním ze strany zpracovatele.

6.3. Pokud dojde k porušení GDPR nebo jiných právních předpisů v oblasti ochrany osobních údajů pouze v důsledku jednání té smluvní strany, které je v souvislosti s tímto porušením uložena správní pokuta, hradí náklady na uhrazení správní pokuty plně ta strana, která GDPR nebo jiný právní předpis v oblasti ochrany osobních údajů prokazatelně porušila a jíž současně byla uložena pokuta.

6.4. V případě, že zpracovatel správci neumožní kontrolu ohlášenou v souladu s odstavcem 5.11 tohoto Ujednání, anebo během kontroly správci neposkytne pro předmět kontroly potřebnou součinnost, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5 000 Kč za každý započatý den takto trvajícího prodlení na straně zpracovatele.

6.5. Zpracovatel je povinen odstranit kontrolou zjištěné nedostatky ve lhůtě 5 dnů, není-li mezi zpracovatelem a správcem dohodnuto jinak. V případě, že zpracovatel neodstraní kontrolou zjištěné nedostatky, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5 000 Kč za každý započatý den prodlení na straně zpracovatele.

6.6. V případě, že zpracovatel poruší kteroukoli z povinností sjednaných v čl. 5 (vyjma odstavce 5.11) tohoto Ujednání, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 50 000 Kč za každý jednotlivý případ takového porušení.

6.7. Ujednáním o smluvní pokutě podle tohoto článku není dotčeno právo správce na náhradu škody vzniklé z porušení povinnosti.

6.8. Zpracovatel prohlašuje, že má platně uzavřeno pojištění v dostatečném rozsahu pro případ škody vzniklé porušením jeho povinností z tohoto Ujednání, a bude jej udržovat po celou dobu trvání závazků z tohoto Ujednání.

7. Trvání závazků

7.1. Závazek ke zpracování osobních údajů se sjednává pouze na dobu existence závazkového vztahu vzniklého ze smlouvy, nejpozději do dne likvidace posledního zpracovávaného osobního údaje zpracovatelem ve smyslu povinnosti zlikvidovat osobní údaje podle příslušných ustanovení GDPR.

7.2. V případě ukončení smlouvy předá zpracovatel veškeré osobní údaje správci na dohodnutém datovém nosiči, nedohodnou-li se smluvní strany jinak, a následně neprodleně zlikviduje veškeré záznamy (s výjimkou upravenou v odstavci 4.2 tohoto Ujednání) v jím spravovaných datových úložištích a na datových nosičích, včetně provozně-bezpečnostních záloh zpracovatele i datových záloh uložených u jeho případného poddodavatele

8. Další ujednání

8.1. Smluvní strany se zavazují vstoupit v jednání o doplnění tohoto Ujednání, pokud vyjde najevo potřeba takového doplnění zejména s ohledem na nově přijaté právní předpisy, stanoviska dozorových orgánů, nebo rozhodování soudních či správních orgánů, a poskytnout si veškerou potřebnou součinnost ke sjednání dodatku smlouvy, pokud bude pro potřeby plnění požadavků obecného nařízení či jiných právních předpisů potřebný.

8.2. Za písemnou formu se pro účely tohoto Ujednání nepovažuje e-mailová ani jiná elektronická forma. Výjimkou je situace, v níž zpracovatel informuje správce ve smyslu odstavce 5.7 (potíže při plnění povinností vyplývajících z tohoto Ujednání a okolnosti týkající se porušení povinností při zpracování a ochraně osobních údajů), a také oznámení kontroly ve smyslu odstavce 5.11, které lze provést i elektronickým oznámením prokazatelně doručeným druhé smluvní straně. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e‑mailovou adresu ______ určenou pro tento účel zpracovatelem.

1 Např. do 5 pracovních dnů poté, co výrobce programového prostředku (SW) vydá příslušný update nebo patch.

25