Smlouva o poskytování softwarových služeb



Příloha č. 3 Výzvy k podání nabídky

Smlouva o poskytování softwarových služeb

Č. UKRUK/______/2022

(dále jen „smlouva“)

uzavřená níže uvedeného dne, měsíce a roku podle ust. § 2586 a násl. zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, mezi dále uvedenými smluvními stranami:

[Pozn. pro uchazeče (bude vymazána před podpisem smlouvy): žlutě označená místa budou před podpisem smlouvy o poskytování softwarových služeb vyplněna v závislosti na vítězné nabídce a vybraném dodavateli]

Jméno/název vybraného dodavatele

Se sídlem: ………………………….........

IČ: ……………………………………….......

Zastoupen/a: ……………………….......

Číslo účtu: ………………………….......

ID datové schránky: ……………........

Kontaktní e-mail: ….......................

(dále jenPoskytovatel”)

a

Univerzita Karlova

Se sídlem: Xxxxxx xxx 000/0, 000 00 Xxxxx 0

IČ: 00216208

Zastoupená: Mgr. Xxxxxxxx Xxxxxxxx, pověřeným výkonem agendy kvestora

Pracovník pověřený jednáním: PhDr. Xxxxx Xxxxxxxx, Ph.X., ředitelka Ústřední knihovny UK

Číslo účtu: 909909339/0800, vedený u České spořitelny, a.s.

ID datové schránky: piyj9b4

Kontaktní e-mail: …............................

(dále jenObjednatel”)f



(dále také společně jakoSmluvní strany” nebo jenStrany”)

Přílohy smlouvy

Nedílnou součástí této smlouvy jsou následující přílohy:

  1. Příloha č. 1 - Rámcová specifikace systému [pozn. pro uchazeče (bude vymazána před podpisem smlouvy): tato příloha je současně přílohou č. 1 výzvy k podání nabídky]

  2. Příloha č. 2 - Harmonogram plnění [pozn. pro uchazeče (bude vymazána před podpisem smlouvy): harmonogram plnění bude doplněn tak, aby odpovídal nabídce Poskytovatele ve veřejné zakázce]

  3. Příloha č. 3 – Podmínky zpracování osobních údajů

  4. Příloha č. 4 – Bezpečnostní požadavky na systém

  1. Úvodní ustanovení

    1. Tato smlouva je uzavřena na základě výsledku zadávacího řízení veřejné zakázky malého rozsahu s názvem „RUK – ÚKUK – Platforma pro správu a zveřejňování audio a video záznamů UK” v rámci projektu „Transformace pro VŠ na UK“ financovaného z Národního plánu obnovy Reg. č.: NPO_UK_MSMT-16602/2022.

    2. Právní vztahy založené touto smlouvou se řídí jejími ustanoveními, ustanoveními příloh této smlouvy a podpůrně také příslušnými právními předpisy právního řádu České republiky, zejména zákonem č. 89/2012 Sb., občanským zákoníkem, v platném znění (dále jen „OZ”) a zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, v platném znění (dále jen „AZ”).

  2. Předmět smlouvy

    1. ZÁVAZEK PoskytovatelE

      1. Poskytovatel je poskytovatelem softwarové služby představující webovou aplikaci pro zpracování mediálních souborů (dále jen „Služba Systému”, „Systém“ nebo „Software”), která je specifikována v příloze č. 1. této smlouvy. Poskytovatel se zavazuje Objednateli zpřístupnit Software a poskytovat Objednateli softwarové služby v souladu s ustanoveními této smlouvy.

      2. Poskytovatel je oprávněn pověřit provedením části prací jinou osobu; v takovém případě však má Poskytovatel odpovědnost, jako by tyto činnosti prováděl sám.

      3. Poskytovatel začne plnit závazky plynoucí z této smlouvy ode dne účinnosti této smlouvy.

    2. ZÁVAZEK OBJEDNATELE

      1. Objednatel se zavazuje zejména převzít Systém dle této smlouvy a hradit cenu ve výši a za podmínek uvedených dále v této smlouvě.

      2. Objednatel se zavazuje poskytnout Poskytovateli požadovanou součinnost. Poskytovatel není v prodlení s předáním Softwaru v případech, kdy došlo k překročení sjednaného termínu v důsledku neposkytnutí součinnosti ze strany Objednatele.

  3. Zpřístupnění Softwaru a POSKYTOVÁNÍ SOFTWARU JAKO SLUŽBY

    1. Poskytovatel je povinen zpřístupnit Software přes webové rozhraní a poskytnout za tímto účelem veškeré přístupové údaje Objednateli. Údaje se zavazuje poskytnout Poskytovatel e-mailem. Objednatel příjem údajů a přístup potvrdí e-mailem.

    2. Poskytovatel se zavazuje provádět zprovoznění dle Harmonogramu plnění uvedeného v příloze č. 2 této smlouvy a s přihlédnutím k provozním potřebám Objednatele tak, aby byla jeho činnost omezena pouze v nezbytné míře.

    3. Zpřístupnění Služby Systému je rozděleno na 3 fáze:

      1. Fáze počáteční implementace – zahrnuje služby definované v příloze č. 1 této smlouvy v sekci s názvem „Fáze 1 – základní provozní požadavky“;

      2. Rozvojová fáze – zahrnuje služby definované v příloze č. 1 této smlouvy v sekci s názvem „Fáze 2 – rozvojové požadavky“;

      3. Fáze budoucího rozšíření Systému – tato fáze zahrnuje možné požadavky Objednatele v rámci vyhrazené změny závazku z této smlouvy dle čl. 6. této smlouvy, jako např. služby uvedené v příloze č. 1 této smlouvy v sekci s názvem „Fáze 3 – Možná budoucí rozšíření systému – směry rozvoje“. [pozn. pro uchazeče (bude vymazána před podpisem smlouvy): tato fáze je nepovinná a bude uplatněna pouze v případě, že Poskytovatel uvede ve své nabídce do veřejné zakázky další plnění v rámci vyhrazené změny závazku]

    4. Software bude poskytován formou služby přes výše uvedené webové rozhraní. Software bude provozován na serveru umístěném v hostingovém centru Poskytovatele či jeho smluvních partnerů. Poskytovatel se zavazuje, že servery, na kterých bude Software provozován, a to včetně serverů jeho smluvních partnerů, se nacházejí na území Evropské unie, příp. Evropského hospodářského prostoru.

    5. Data Objednatele budou umístěna na serverech Poskytovatele. Objednatel se zavazuje pravidelně, minimálně jednou měsíčně provádět zálohu dat na své technické zařízení. Poskytovatel nenese žádnou odpovědnost za ztrátu či změnu dat Objednatele na zálohách na technickém zařízení Objednatele.

    6. V rámci webové služby nebo hostingu jsou vyhrazeny kapacity diskového prostoru pro ukládání digitálních příloh. V ceně základní instalace je zahrnuta kapacita nejméně 100 GB.

    7. Poskytovatel se zavazuje provádět pravidelnou údržbu a vývoj Systému. Údržbou a vývojem se rozumí soubor činností, které mají zajistit udržitelnost Systému zachováním provozuschopného stavu. Tyto činnosti zahrnují nejméně následující služby:

  • aktualizace operačního systému,

  • aktualizace databází aplikací chránících provoz serveru proti napadení útočníky, 

  • aktualizaci bezpečnostních standardů,

  • zajištění šifrování dat.​

    1. Poskytovatel se zavazuje provozovat online helpdeskový systém pro evidenci požadavků, hlášení závad v režimu 24/7.

  1. TESTOVACÍ PROVOZ, ŠKOLENÍ, PŘEVZETÍ SYSTÉMU

    1. Objednatel může požadovat po Poskytovateli testování Systému před převzetím Systému po dokončení Fáze počáteční implementace dle odst. 3.3.1. této smlouvy a v termínech sjednaných dle dohody stran. Termín testovacího provozu bude sjednán písemně, navržen Poskytovatelem a potvrzen Objednatelem, a to předem prostřednictvím kontaktního e-mailu uvedeného v čl. 17. smlouvy.

    2. Poskytovatel se zavazuje za účelem ovládání Systému poskytnout v případě potřeby Objednatele školení pro jeho zaměstnance v počtu max. 10 osob, v rozsahu 2–8 hodin, a to v termínech sjednaných dle dohody Stran.

    3. Termíny jednotlivých dnů školení budou dohodnuty kontaktními osobami uvedenými v čl. 17. této smlouvy předem písemně (e-mailem) a vzájemně potvrzeny.

    4. Převzetí funkčních Služeb Systému Objednatelem v jakékoli fázi zpřístupnění Softwaru dle odst. 3.3. této smlouvy musí být písemně akceptované kontaktní osobou Objednatele prostřednictvím kontaktního e-mailu uvedeného v čl. 17. této smlouvy.



  1. Celková cena a platební podmínky

    1. CENA

      1. Cena za poskytování Služby a ostatních sjednaných činností v této smlouvě se stanovuje dohodou Smluvních stran následovně:

        1. Jednorázová cena za 1. a 2. fázi zpřístupnění Systému dle odst. 3.3.1. a 3.3.2. této smlouvy ve výši ………………………. Kč bez DPH;

        2. Roční poplatek za pravidelnou údržbu a vývoj systému dle odst. 3.7. ve výši …………………… Kč bez DPH.

      2. Součástí ceny dle odst. 5.1.1. nejsou další programátorské služby v rámci vyhrazené změny závazku dle čl. 6. této smlouvy.

      3. Cena je uvedena jako cena plnění bez DPH; výše DPH bude účtována v souladu se zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „ZDPH”).

      4. Smluvní strany se dohodly, že celková odměna za služby realizované na základě této smlouvy včetně vyhrazené změny závazku dle čl. 6. této smlouvy za žádných okolností nepřekročí částku ve výši 2 000 000,- Kč bez DPH.

    2. Platební podmínky

      1. Objednatel se zavazuje uhradit plnění bankovním převodem na účet Poskytovatele uvedený v záhlaví této smlouvy, a to na základě faktur vystavených Poskytovatelem. Cena bude hrazena následovně:

        1. Cenu za Implementační a Rozvojovou fázi dle odst. 5.1.1. písm. a) Objednatel uhradí ve dvou splátkách, a to po předložení výkazu splnění plnění této Smlouvy, v souladu s řílohou č. 2 -Harmonogram plnění, po otestování funkcionalit Systému a jejich převzetí Objednatelem.

        2. Harmonogram splátek za 1. a 2. fázi zpřístupnění Systému dle odst. 3.3.1. a 3.3.2. této smlouvy:

      1. Po převzetí Služeb Systému na úrovni fáze 1 dle odst. 3.3.1. této smlouvy - 50 % z ceny dle odst. 5.1.1. písm. a) této smlouvy

      2. Po převzetí Služeb Systému na úrovni fáze 2 dle odst. 3.3.2. této smlouvy - 50 % z ceny dle odst. 5.1.1. písm. a) této smlouvy

        1. Roční poplatek dle odst. 5.1.1. písm. b) této smlouvy Objednatel poprvé uhradí po převzetí služby Systému na úrovni fáze 1 dle odst. 3.3.1. této smlouvy a dále jednou (1x) ročně formou předplatného vždy k datu výročí první platby Ročního poplatku za údržbu a vývoj systému.

      1. Splatnost faktury je 30 dní ode dne jejího doručení Objednateli. Za den úhrady faktury bude považován den odepsání fakturované částky z účtu Objednatele.

      2. Faktura musí splňovat náležitosti daňového dokladu v souladu s požadavky stanovenými ZDPH. Daňový doklad musí mj. obsahovat následující informaci: „Tento doklad je hrazen z projektu Transformace pro VŠ na UK, financovaného z Národního plánu obnovy, reg. č.: NPO_UK_MSMT-16602/2022“.

      3. Objednatel je oprávněn vrátit Poskytovateli fakturu do data její splatnosti, nebude-li obsahovat veškeré náležitosti daňového dokladu dle ZDPH nebo náležitosti stanovené touto smlouvou. V takovém případě začne běžet nová lhůta splatnosti faktury až doručením řádně opraveného daňového dokladu Poskytovatelem.

      4. Poskytovatel prohlašuje, že ke dni podpisu smlouvy není nespolehlivým plátcem DPH dle § 106a ZDPH, a že není veden v registru nespolehlivých plátců DPH. V případě, že se Poskytovatel stane nespolehlivým plátcem DPH, je povinen tuto skutečnost oznámit Objednateli nejpozději do 5 pracovních dnů ode dne, kdy tato skutečnost nastala, přičemž oznámením se rozumí den, kdy Objednatel předmětnou informaci prokazatelně obdržel. V případě porušení některé z těchto povinnosti je Poskytovatel povinen uhradit Objednateli smluvní pokutu podle odst. 16.3. této smlouvy, a to za každý jednotlivý případ porušení povinnosti. Uhrazení smluvní pokuty se nedotýká nároku na náhradu škody způsobené porušením této povinnosti. Poskytovatel dále souhlasí s tím, aby Objednatel provedl zajišťovací úhradu DPH přímo na účet jeho správce daně, jestliže Poskytovatel bude ke dni uskutečnění zdanitelného plnění veden v registru nespolehlivých plátců DPH.

  1. VYHRAZENÁ ZMĚNA závazku

    1. Objednatel si vyhrazuje možnost změny závazku z této smlouvy v případě, že dojde v průběhu plnění smlouvy k dalšímu požadavku Objednatele na služby od Poskytovatele.

    2. Objednatel tyto služby může objednat v průběhu plnění této smlouvy, avšak není povinen nabídku takovýchto dodatečných služeb akceptovat.

    3. Tato vyhrazená změna závazku zahrnuje programovací práce na dalším rozvoji Systému např. na aplikacích a funkcionalitách dle odst. 3.3.3. této smlouvy – Fáze budoucího rozšíření Systému, a to v takovém rozsahu, aby nedošlo k překročení limitu stanoveném v odst. 5.1.4. této smlouvy.

    4. Termíny plnění služeb v rámci této vyhrazené změny závazku budou sjednány písemně dle dohody stran, prostřednictvím kontaktních osob a kontaktních e-mailů uvedených v čl. 17. této smlouvy.

    5. Služby v rámci vyhrazené změny závazku budou vždy předmětem dodatku k této smlouvě. Tyto dodatky budou obsahovat specifikaci služby objednané v rámci vyhrazené změny závazku, její cenu a termíny plnění.

    6. Ceník služeb v rámci této vyhrazené změny závazku:

  • Cena za člověkohodinu programovacích prací činí _____ Kč bez DPH.

    1. Cena služby uvedené v tomto článku bude vždy podléhat předchozímu písemnému schválení ze strany Objednatele prostřednictvím kontaktní osoby Objednatele uvedené v čl. 17. této smlouvy.

    2. Fakturace za služby uvedené v tomto článku nastat po otestování objednaných funkcionalit či aplikací a jejich převzetí Objednatelem za podmínek uvedených v odst. 5.2 této smlouvy.

  1. OPCE

    1. Smluvní strany se dohodly, že pokud nedojde k vyčerpání finančního limitu 2 000 000 Kč bez DPH dle odst. 5.1.4. této smlouvy v době účinnosti smlouvy dle odst. 18.4. této smlouvy, je Objednatel oprávněn využít opci a čerpat dál služby uvedené v této smlouvě, zejména služby v rámci vyhrazené změny závazku dle čl. 6. této smlouvy do vyčerpání finančního limitu dle odst. 5.1.4. této smlouvy.

    2. Pokud dojde k opčnímu prodloužení účinnosti této smlouvy, zavazuje se Objednatel platit Poskytovateli Roční poplatek za pravidelnou údržbu a vývoj systému dle odst. 5.1.1. písm. b) této smlouvy za stejných podmínek uvedených v této smlouvě.

  2. Licence

    1. Předáním Systému poskytuje Poskytovatel nevýhradní licenci ve smyslu ust. § 2361 OZ, tj. časově omezené, nevýlučné a nepřevoditelné právo užívat Software.

    2. Licenci podle odst. 8.1. tohoto článku Poskytovatel uděluje na dobu trvání této smlouvy.

    3. Objednatel je povinen systém užívat výlučně pro své vnitřní účely v souladu s účely, pro které byl Software vytvořen.

    4. Objednatel není oprávněn systém šířit, kopírovat nebo jiným způsobem umožnit jeho užívání jinými osobami, ledaže by měl k takovému jednání písemný souhlas Poskytovatele. To neplatí pro veřejně dostupné část Služby Systému.

    5. Objednatel je povinen Poskytovateli neprodleně písemně e-mailem oznámit každou změnu, která má nebo by mohla mít vliv na jeho užívání systému.





  1. POVINNOST SOUČINNOSTI

    1. Objednatel je povinen poskytnout potřebnou součinnost Poskytovateli v souvislosti s plněním této smlouvy, a to zejména:

      1. Poskytnout nezbytnou technickou a odbornou součinnost při implementaci Systému, napojení na úložiště a služby třetích stran;

      2. Zajistit součinnost třetích stran při integraci s jinými informačními systémy; zejm. je Objednatel povinen zajistit, že bude třetí stranou zajištěno následující:

        1. Funkčnost úložiště a jeho zpřístupnění;

        2. Funkčnost enkódovacího serveru;

        3. Funkční instalace streamovacího serveru.

      3. Předávat požadované úpravy systému, úpravy a opravy konverzí dat ze stávajícího systému písemnou formou.

    2. Objednatel je povinen na výzvu Poskytovatele obratem potvrdit nebo odmítnout požadovanou součinnost. Přitom je povinen komunikovat bez zbytečných odkladů, a v případě žádosti Poskytovatele následně tuto komunikaci potvrdit v písemné podobě.

    3. Poskytovatel je povinen Objednateli veškerou možnou odbornou pomoc při nápravě obtíží vzniklých při užívání Softwaru.

  2. POVINNOST MLČENLIVOSTI

    1. Smluvní strany se vzájemně zavazují zachovávat mlčenlivost o všech podstatných skutečnostech získaných při své činnosti vyplývající z této smlouvy, a to zejména o skutečnostech, které tvoří jejich obchodní tajemství a důvěrné informace, vyjma povinného poskytování informací dle platných právních předpisů.

    2. Za důvěrné informace Smluvní strany považují ty skutečnosti provozní či obchodní povahy, které se kterákoli Smluvní strana dozví v souvislosti s činností dle této smlouvy, které nejsou veřejně dostupné.

    3. Pod pojem důvěrné informace Smluvní strany zahrnují i obchodní tajemství, kterým se podle ust. § 504 OZ rozumí konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti, které souvisejí se společností a jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení.

    4. Jako porušení důvěrných informací je kvalifikováno jednání, jímž jedna Smluvní strana třetí osobě neoprávněně sdělí, zpřístupní, pro sebe nebo pro jiného využije důvěrné informace získané při své činnosti od druhé Smluvní strany, pokud je to v rozporu se zájmy druhé Smluvní strany, a pokud tak učiní bez jejího souhlasu.

    5. Smluvní strany jsou povinny zachovávat mlčenlivost ohledně veškerých důvěrných informací i po zániku závazku, ledaže budou mlčenlivosti zproštěny nebo se dané informace stanou veřejně dostupnými.

  3. SOUHLAS SE ZVEŘEJNĚNÍM REFERENCE

    1. Poskytovatel je oprávněn zveřejnit, že Objednatel je uživatelem systému nebo služby ve svých informačních a reklamních materiálech nebo referenčních listech. Tuto informaci je oprávněn sdělovat prostřednictvím internetu nebo jiných prostředků komunikace.

    2. Způsob použití reference nesmí poškodit dobré jméno Objednatele.

  4. PARAMETRY POSKYTOVÁNÍ SLUŽBY

    1. DOSTUPNOST SLUŽBY

      1. Služba je dostupná z jakéhokoliv místa, podmínkou je zařízení (počítač) plnohodnotně připojený do mezinárodní sítě internet.

      2. Služba je dostupná přes síť internet a to 24 hodin denně, 7 dní v týdnu. Poskytovatel garantuje dostupnost minimálně 97 % z celkové předpokládané doby provozu služby dle podmínek této smlouvy. Pokud služba není dostupná z důvodů technických problémů na straně Objednatele, není toto zahrnuto do výpočtu garantované dostupnosti.

      3. Výpadek služby je definován jako kompletní přerušení poskytování služby minimálně na 15 minut, a to z důvodů, které jsou prokazatelně na straně Poskytovatele a nejsou způsobeny vyšší mocí. Pokud je služba dostupná, ale vykazuje sníženou funkčnost nebo má pomalejší odezvu, nejedná se o výpadek služby.

    2. PLÁNOVANÉ ODSTAVENÍ SLUŽBY

      1. V některých případech je nutné službu dočasně odstavit z důvodů údržby či update systému. Takové plánované odstavení služby není zahrnuto do výpočtu garantované dostupnosti služby. Poskytovatel se zavazuje provádět plánované odstavení služby pouze na nezbytně nutnou dobu, a to přednostně v časech od 23:00 do 05:00 hod.

      2. Poskytovatel je povinen Objednatele předem informovat o plánovaném odstavení služby delším než 30 minut, a to během běžné pracovní doby, a to minimálně 3 pracovní dny předem prostřednictvím kontaktního e-mailu.

    3. BEZPEČNOST SLUŽBY

      1. Služba je provozována v digitálním prostředí na území Evropské unie, příp. Evropského hospodářského prostoru, dle výběru Poskytovatele.

      2. Služba je poskytována pomocí zabezpečeného protokolu HTTPS, který je průmyslovým standardem v oblasti zabezpečeného připojení webových aplikací. Pro jeho použití je potřeba, aby klientská zařízení akceptovala tento protokol.

      3. Objednatel je povinen uchovávat v tajnosti své přístupové údaje k Softwaru a chránit je před zneužitím ze strany třetích osob. Objednatel souhlasí s tím, že přístupové údaje nesdělí žádné třetí osobě. Poskytovatel nenese žádným způsobem odpovědnost za užití přístupových údajů třetí osobou.

    4. ZÁLOHOVÁNÍ DAT

      1. Poskytovatel zajišťuje denní zálohy databází a dat nutných k provozu služby a tyto archivuje v režimu 3 poslední denní zálohy, 1 poslední týdenní záloha a 1 poslední měsíční záloha.

      2. Poskytovatel bude provádět zálohu Systému jednou za 14 dní a tyto archivuje v režimu 3 poslední zálohy.

      3. Poskytovatel provede zálohu Systému, databází a dat nutných k provozu vždy před každou aktualizací.

      4. Zálohy jsou uložené jednou ve stejném datovém centru na území Evropské unie, příp. Evropského hospodářského prostoru, a podruhé v geograficky odděleném datovém centru na území Evropské unie, příp. Evropského hospodářského prostoru.

      5. Objednatel má právo přístupu ke všem zálohám svých dat. Zálohy jsou dostupné přes zabezpečené webové rozhraní nebo voláním API přes url nebo wget, ke kterému je předán na jednorázové vyžádání trvalý přístup.

  5. ODPOVĚDNOST ZA VADY A ZÁRUKA

    1. Poskytovatel je povinen plnit bez vad; tak, aby bylo možné plnění použít Objednatelem podle smlouvy a jejích příloh. Je-li splněno vadně, má Objednatel práva z vadného plnění podle ust. § 1914 a násl. OZ.

    2. Objednatel si je vědom toho, že systém je softwarové dílo a jako takové reaguje na okolnosti působící na něj během jeho činnosti, přičemž tyto jeho reakce mohou spočívat např. v nepředvídaných přerušeních prováděné akce, v potřebě zadání opakovaného příkazu k provedení akce či v jiných potížích při jeho užívání a provozování. Takové ojedinělé reakce systému přechodného rázu nejsou považovány za vadu Systému. Poskytovatel je však povinen poskytnout Objednateli veškerou možnou odbornou pomoc při překonávání takovýchto situací v souladu s odst. 9.3. této smlouvy.

    3. Poskytovatel neručí za chybné fungování Systému způsobené chybnými daty zadanými Objednatelem do Systému nebo technickými nedostatky na straně Objednatele.

    4. Vady systému budou Objednatelem ohlášeny prostřednictvím zadání požadavku do helpdeskového systému Poskytovatele. Poskytovatel odstraní vadu bez zbytečného odkladu, nejpozději ve lhůtě stanovené tabulkou v odst. 13.5. této smlouvy, přičemž závazná doba reakce dle této tabulky začíná běžet okamžikem doručení ohlášení vady Objednatelem.

    5. Garantované lhůty pro řešení nahlášených vad systému se liší v závislosti na prioritě závady. Pravidla pro určení priority požadavků a lhůty pro odstranění vad v závislosti na prioritě závady určuje následující tabulka:

      6. Priorita

      Vysvětlení

      Lhůta pro reakci

      Lhůta pro odstranění vady

      A – Blocker

      Zásadní problém dostupnosti systému, neumožňuje systém využívat vůbec nebo nefungují základní funkce a činnosti.

      do 2 hodin

      do 8 hodin

      B – Critical

      Závada brání primární funkčnosti systému a/nebo způsobuje chyby v datech na více místech softwaru nebo chyby, které výrazně ovlivňují chod dalších součástí softwaru, způsobuje chyby v datech, které nemohou být opraveny Objednatelem a neexistuje náhradní řešení (tzv. workaround).

      do 8 hodin

      do 24 hodin

      C – Major

      Závažný problém v jedné ze základních funkčností systému. Problém lze obejít náhradním řešením nebo je funkčnost závislá na zařízení od třetí osoby.

      do 2 dnů

      do 14 dnů

      D – Minor

      Méně závažné požadavky a drobné chyby, které nemají vliv na správnou funkci systému.

      do 7 dnů

      do 30 dnů

  6. ODPOVĚDNOST ZA ŠKODU

    1. Poskytovatel odpovídá za škodu vzniklou při poskytování hostingu nebo služby, kterou zaviní porušením povinnosti z této smlouvy nebo jejích příloh.

    2. Objednatel odpovídá za škodu vzniklou při využívání hostingu nebo služby, kterou zaviní porušením povinnosti z této smlouvy nebo jejích příloh.

    3. Poskytovatel neodpovídá za škody vzniklé v důsledku okolností nezávislých na vůli Poskytovatele, které lze označit za okolnosti vylučující odpovědnost; nastane-li taková okolnost, je Poskytovatel povinen toto bez zbytečného odkladu oznámit Objednateli. Účinky okolnosti vylučující odpovědnost jsou omezeny na dobu, dokud trvá překážka, s níž jsou tyto účinky spojeny, ledaže došlo v důsledku těchto okolností k závadám systému, popř. úplnému zničení technických zařízení nebo softwaru nezbytných pro provoz Systému. Za okolnost vylučující odpovědnost se pro účely této smlouvy považuje zejména:

      1. Průnik virů do informačního systému Objednatele, popř. jiný obdobný útok;

      2. Překážky způsobené v důsledku stávky zaměstnanců Objednatele, tj. v důsledku částečného nebo úplného přerušení práce zaměstnanci;

      3. Živelná katastrofa;

      4. Cílený kybernetický útok na zařízení Objednatele nebo Poskytovatele.

  7. SANKCE (SMLUVNÍ POKUTY)

    1. V případě prodlení Smluvní strany s plněním v souladu s přílohou č. 2 (Harmonogram plnění), má Objednatel právo na uhrazení smluvní pokuty ve výši 0,05 % z celkové ceny dle odst. 5.1.1. písm a) této smlouvy za každý den prodlení.

    2. V případě neodstranění vady systému ve lhůtách dle tabulky v odst. 13.5. této smlouvy má Objednatel právo na uhrazení smluvní pokuty ve výši 0,02 % z celkové ceny dle odst. 5.1.1. písm. a) této smlouvy za každých 8 hodin prodlení.

    3. V případě porušení některé z povinností stanovených v odst. 5.2.5. této smlouvy má Objednatel právo na uhrazení smluvní pokuty ve výši 10 000,- Kč, a to za každý jednotlivý případ porušení povinnosti.

    4. V případě porušení povinnosti stanovené v odst. 17.3. této smlouvy má Objednatel právo na uhrazení smluvní pokuty ve výši 10 000,- Kč, a to za každý jednotlivý případ porušení této povinnosti.

    5. V případě porušení povinnosti stanovené v odst. 17.4. této smlouvy má Objednatel právo na uhrazení smluvní pokuty ve výši 100 000,- Kč, a to za každý jednotlivý případ porušení této povinnosti.

    6. Smluvní strany se odchylně od ust. § 2050 OZ shodly, že zaplacením jakékoli smluvní pokuty podle této smlouvy není dotčena povinnost Poskytovatele nahradit Objednateli v plné výši též škodu vzniklou porušením povinnosti, na kterou se smluvní pokuta vztahuje.

  8. zánik závazku

    1. Závazek zaniká uplynutím doby, na kterou je smlouva uzavřena.

    2. Závazek dále zaniká:

      1. vyčerpáním finančního limitu dle odst. 5.1.4. této smlouvy, resp. okamžikem, kdy již není možné uhradit následující Roční poplatek za pravidelnou údržbu a vývoj Systému dle odst. 5.1.1. písm. b) této smlouvy, aniž by došlo k překročení finančního limitu uvedeném v tomto bodě;

      2. písemnou dohodou Smluvních stran o zániku závazku;

      3. odstoupením od smlouvy kteroukoliv ze Smluvních stran, a to v případech podstatného porušení povinnosti plynoucí z této smlouvy a jejích příloh;

      4. výpovědí kterékoliv Smluvní strany s výpovědní lhůtou 1 rok, která začne plynout prvním dnem kalendářního měsíce následujícího po doručení výpovědi a končí posledním dnem dvanáctého kalendářního měsíce.

    3. Podstatným porušením povinnosti plynoucí ze smlouvy či jejích příloh je zejména:

      1. prodlení Objednatele s placením ceny nebo její části delší než 30 dnů;

      2. prodlení Poskytovatele s plněním harmonogramu (příloha č. 2) delší než 30 dnů;

      3. neposkytnutí nutné součinnosti ze strany Objednatele, pokud toto znemožňuje splnění povinností Poskytovatele dle této smlouvy a pokud na to Poskytovatel Objednatele písemně upozornil a poskytl mu přiměřenou lhůtu pro nápravu závadného stavu;

      4. nedostupnost služby dle garance uvedené v odst. 12.1.2. této smlouvy.

    4. Odstoupení od smlouvy musí být učiněno písemně; odstoupení od smlouvy je účinné dnem doručení písemného oznámení o odstoupení od smlouvy druhé Smluvní straně.

    5. Zanikne-li závazek v průběhu období, za které Objednatel uhradil Poskytovateli roční poplatek za pravidelnou údržbu a vývoj systému ve formě předplatného Služby podle odst. 5.2.1. písm. c) této smlouvy, je Poskytovatel povinen vrátit Objednateli poměrnou část uhrazeného ročního poplatku.

    6. V případě zániku závazku může Objednatel písemně požádat Poskytovatele o export dat ze systému Poskytovatele ve formátu strojově čitelných dat. Poskytovatel je povinen této žádosti Objednatele vyhovět a následně data ze svého systému odstranit. Objednatel je oprávněn tato data importovat do dalších systémů sloužících Univerzitě Karlově.

  9. KONTAKTNÍ OSOBY PRO PLNĚNÍ TÉTO SMLOUVY

    1. Kontaktní osoby za Poskytovatele:

      1. Jméno

      2. e-mail

      3. Telefon

      4. Hlavní projektový manažer

    2. Kontaktní osoby za Objednatele:

      1. Jméno

      2. e-mail

      3. Telefon

      4. Funkce pro plnění této smlouvy

    3. Hlavní projektový manažer dle odst. 17.1. této smlouvy je výlučným zástupcem Poskytovatele v realizačních záležitostech souvisejících s plněním této smlouvy a odpovídá za řízení činností všech zaměstnanců Poskytovatele i případných poddodavatelů či třetích osob na straně Poskytovatele.

    4. Změnu na pozici Hlavního projektového manažera dle odst. 17.1. této smlouvy je Poskytovatel oprávněn provést pouze po vzájemné písemné dohodě smluvních stran a po předchozím doložení kvalifikace a hodnocených zkušeností nově jmenovaného Hlavního projektového manažera. Kvalifikace a hodnocené zkušenosti nově jmenovaného Hlavního projektového manažera musí odpovídat v celém rozsahu doložené kvalifikaci a hodnoceným zkušenostem nahrazovaného Hlavního projektového manažera, jenž jsou uvedeny v nabídce Poskytovatele ve veřejné zakázce identifikované v odst. 1.1. této smlouvy.

  10. Závěrečná ustanovení

    1. Smluvní vztah vzniklý z této smlouvy se řídí českým právem. Pokud není v této smlouvě uvedeno jinak, platí v ostatním ustanovení OZ a AZ.

    2. Tato smlouva je uzavírána elektronicky připojením uznávaných elektronických podpisů obou Smluvních stran, ve smyslu ust. § 6 odst. 2 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, pokud se smluvní strany nedohodnou jinak. Smlouva může být měněna pouze písemnými, vzestupně číslovanými a oboustranně podepsanými dodatky.

    3. Smlouva vstupuje v platnost dnem jejího podpisu oběma smluvními stranami, přičemž platí datum posledního podpisu a účinnosti smlouva nabude dnem jejího uveřejnění v registru smluv dle odst. 18.6. tohoto článku.

    4. Tato smlouva je uzavřena na dobu určitou, a to do 30. 6. 2024, nebo do vyčerpání limitu uvedeného v odst. 7.1. smlouvy, podle toho, která skutečnost nastane později.

    5. V případě, že by některé ustanovení této Smlouvy bylo nebo se v budoucnu stalo z jakýchkoliv důvodů neplatné, nezpůsobuje neplatnost ostatních částí této Smlouvy. Smluvní strany se zavazují bezodkladně nahradit po vzájemné dohodě neplatné ustanovení ustanovením novým, odpovídajícím svým obsahem účelu neplatného ustanovení.

    6. Smluvní strany berou na vědomí, že tato smlouva vyžaduje uveřejnění v registru smluv podle zákona č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů, a s tímto uveřejněním souhlasí. Zaslání smlouvy do registru smluv zajistí Objednatel neprodleně po podpisu smlouvy. Objednatel se současně zavazuje informovat druhou smluvní stranu o provedení registrace tak, že zašle druhé smluvní straně kopii potvrzení správce registru smluv o uveřejnění smlouvy bez zbytečného odkladu poté, kdy sám potvrzení obdrží, popř. již v průvodním formuláři vyplní příslušnou kolonku s ID datové schránky druhé smluvní strany (v takovém případě potvrzení od správce registru smluv o provedení registrace dohody obdrží obě smluvní strany zároveň).

    7. Poskytovatel se zavazuje umožnit provádět kontrolu subjektům oprávněným ke kontrole dotačních prostředků. Poskytovatel při plnění této smlouvy musí vzít na vědomí, že podle ust. § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, v platném znění, bude Poskytovatel osobou povinnou spolupůsobit při výkonu finanční kontroly. Tato povinnost se týká rovněž těch částí nabídek, této smlouvy a souvisejících dokumentů, které podléhají ochraně podle zvláštních právních předpisů (např. obchodní tajemství, utajované informace) za předpokladu, že budou splněny požadavky kladené právními předpisy (např. zákonem č. 255/2012 Sb., o kontrole, ve znění pozdějších předpisů). Poskytovatel bere na vědomí, že obdobnou povinností je povinen smluvně zavázat také své poddodavatele.

    8. Smluvní strany prohlašují, že této smlouvě porozuměly a na důkaz svého souhlasu s jejími ustanoveními připojují níže své podpisy.

Za Poskytovatele: Za Objednatele:









Příloha č. 1 - Rámcová specifikace systému [pozn. pro uchazeče (bude vymazána před podpisem smlouvy): tato příloha je současně přílohou č. 1 výzvy k podání nabídky]





Příloha č. 2 - Harmonogram plnění [pozn. pro uchazeče (bude vymazána před podpisem smlouvy): harmonogram plnění bude doplněn tak, aby odpovídal nabídce Poskytovatele ve veřejné zakázce]





Příloha č. 3 – Podmínky zpracování osobních údajů

PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Příloha č. 3 smlouvy o poskytování softwarových služeb, č. j. ……………………………..


[Pozn. pro uchazeče (bude vymazána před podpisem smlouvy): žlutě označená místa budou před podpisem smlouvy o poskytování softwarových služeb vyplněna v závislosti na vybraném dodavateli]

[Pozn. pro uchazeče (bude vymazána před podpisem smlouvy): Podmínky zpracování osobních údajů jsou přílohou č. 3 smlouvy o poskytování softwarových služeb a současně přílohou č. 4 výzvy k podání nabídky]


Vybraný dodavatel……………………

Se sídlem: ………………………….........

IČ: ……………………………………….......

Zastoupen/a: ……………………….......

Číslo účtu: ………………………….......

ID datové schránky: ……………........

Kontaktní e-mail: ….......................


(dále jen „Zpracovatel”)



a


Univerzita Karlova

Se sídlem: Xxxxxx xxx 000/0, 000 00 Xxxxx 0

IČ: 00216208

Zastoupená: Mgr. Xxxxxxxx Xxxxxxxx, pověřeným výkonem agendy kvestora

Pracovník pověřený jednáním: PhDr. Xxxxx Xxxxxxxx, Ph.X., ředitelka Ústřední knihovny UK

Číslo účtu: 909909339/0800, vedený u České spořitelny, a.s.

ID datové schránky: piyj9b4

Kontaktní e-mail: …............................


(dále jen „Správce”)









I.

Úvodní ustanovení

  1. Tyto podmínky zpracování osobních údajů (dále jen „Podmínky“) jsou nedílnou součástí smlouvy o poskytování softwarových služeb, č. j. …………………, kterou uzavřeli Správce jakožto objednatel softwarových služeb a Zpracovatel jakožto poskytovatel softwarových služeb (dále jen „SaaS Smlouva“).

  2. Účelem těchto Podmínek je zajistit soulad zpracování osobních údajů s požadavky plynoucími z nařízení Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR”) a ze zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (dále jen „ZZOÚ”).

  3. Jsou-li v těchto Podmínkách používány pojmy definované v čl. 4 GDPR, mají tyto pojmy stejný význam jako v GDPR.

  4. Správce je „správcem” osobních údajů ve smyslu GDPR a ZZOÚ.

  5. Zpracovatel je „zpracovatelem” osobních údajů ve smyslu GDPR a ZZOÚ.

  6. Zpracovatel zpracovává osobní údaje, které mu předal Správce, a to za účelem výkonu činností pro Správce podle XxxX Xxxxxxx. Tyto činnosti jsou specifikovány v SaaS Smlouvě. Hlavním předmětem SaaS Smlouvy je dle odst. 2.1.1. SaaS Smlouvy poskytnutí softwarové služby představující webovou aplikaci pro zpracování mediálních souborů. Tato softwarová služba je blíže specifikována v příloze č. 1 SaaS Smlouvy „Rámcová specifikace systému“.



II.

Povaha a účel zpracování

  1. Povahou zpracování je shromažďování a ukládání osobních údajů do elektronické databáze na serverech Zpracovatele v souladu s účelem zpracování definovaného v čl. II. odst. 2 těchto Podmínek. Servery Zpracovatele se nacházejí na území Evropské unie, příp. Evropského hospodářského prostoru.

  2. Osobní údaje jsou Zpracovatelem zpracovávány výlučně za účelem využívaní funkcí streamovacího serveru s personalizovanými službami. Personalizovanými službami je myšleno zejména vytváření osobních profilů uživatele za účelem vytváření kolekcí záznamů v systému nebo jiná obdobná činnost, a to za předpokladu, že uživatel projeví o takové personalizované služby zájem.

  3. Procesy, kterými jsou do elektronické databáze Zpracovatele ukládány osobní údaje jsou podrobně popsány v příloze č. 1 SaaS Smlouvy „Rámcová specifikace systému“, a to zejména v jejím čl. 1 („Uživatelské role“) a v čl. 5 („Autentizace uživatelů a anonymizace údajů“).

  4. Základní funkce systému (vyhledání záznamu a shlédnutí záznamu) nejsou vázány na vytvoření profilu uživatele v systému. Funkce vyhledání bude dostupná otevřeným přístupem bez omezení. Funkce shlédnutí záznamu (audio/video) bude podle uložených atributů přístupná otevřeným přístupem bez omezení všem subjektům i mimo vztah k Univerzitě Karlově nebo pro předem určenou skupinu uživatelů. Podrobně jsou procesy zpřístupnění popsány v příloze č. 1 SaaS Smlouvy „Rámcová specifikace systému“, zejména v čl. 1 („Uživatelské role“).

  5. Zpracovatel nenese odpovědnost za zpracování osobních údajů, které jsou součástí video a audiozáznamů, které jsou zpřístupňovány prostřednictvím služeb systému. Za zpracování těchto osobních údajů je odpovědný Správce.

III.

Doba trvání zpracování a výmaz osobních údajů

  1. Zpracovatel je povinen zpracovávat osobní údaje pouze po dobu účinnosti XxxX Xxxxxxx.

  2. Zpracovatel je povinen osobní údaje uchovat pouze po dobu nezbytnou k naplnění účelu jejich zpracování.

  3. Po ukončení SaaS Smlouvy Zpracovatel dle rozhodnutí Správce:

    1. vymaže veškeré osobní údaje zpracovávané jménem Správce a písemně potvrdí Správci, že tak učinil, nebo

    2. vrátí veškeré osobní údaje Správci a vymaže stávající kopie.

  4. Dokud nejsou osobní údaje vymazány nebo vráceny, Zpracovatel nadále zajišťuje dodržování souladu s těmito Podmínkami a s ustanoveními GDPR.

IV.

Typ osobních údajů a kategorie subjektů údajů

  1. Zpracovatel je Správcem pověřen zpracovávat následující osobní údaje:

    1. eduID;

    2. Xxxxx a příjmení;

    3. Seznam platných afiliací v rámci Univerzity Karlovy, tj. vztah osoby ke konkrétní fakultě nebo součásti Univerzity Karlovy;

    4. E-mailová adresa.

  2. Předmětem zpracování osobních údajů nejsou zvláštní kategorie osobních údajů ve smyslu GDPR.

  3. Zpracovatel zpracovává osobní údaje následujících subjektů údajů:

    1. Studenti Univerzity Karlovy;

    2. Zaměstnanci Univerzity Karlovy

    3. Osoby se vztahem k Univerzitě Karlově (např. frekventanti kurzů celoživotního vzdělávání).

V.

Povinnosti Zpracovatele

  1. Zpracovatel je povinen osobní údaje chránit před zneužitím a neoprávněným zpracováním.

  2. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě písemně doložených pokynů Správce. Správce může po celou dobu zpracování osobních údajů vydávat další pokyny, které musí být vždy písemně doloženy. Má-li Zpracovatel za to, že pokyny Správce porušují GDPR či ZZOÚ, neprodleně o tom informuje Správce.

  3. Zpracovatel je povinen přijmout přinejmenším technická a organizační opatření k zabezpečení ochrany osobních údajů uvedená v příloze A těchto Podmínek - „Technická a organizační opatření k zajištění zabezpečení osobních údajů”. Tato opatření je po jejich přijetí Zpracovatel povinen pravidelně testovat a aktualizovat, aby bylo vyloučeno náhodné nebo protiprávní zničení, ztráta, změna, neoprávněné zpřístupnění nebo přístup k osobním údajům. Při posuzování vhodné úrovně zabezpečení vezmou strany v úvahu aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování a rizika pro subjekty údajů.

  4. Zpracovatel poskytne svým zaměstnancům přístup ke zpracovávaným osobním údajům pouze v rozsahu nezbytně nutném pro provádění, správu a kontrolu SaaS Smlouvy, jejíž předmět je specifikován v čl. 2 SaaS Smlouvy a podrobně popsán v Příloze č. 1 SaaS Smlouvy „Rámcová specifikace systému“. Zpracovatel je povinen zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti.

  5. Zpracovatel je povinen bez zbytečného odkladu vyřídit dotazy Správce, které se týkají zpracování osobních údajů podle těchto Podmínek.

  6. Zpracovatel poskytne Správci veškeré informace potřebné k prokázání souladu s povinnostmi stanovenými v GDPR nebo v těchto Podmínkách.

  7. Zpracovatel je povinen na žádost Správce kdykoliv umožnit provedení auditu týkajícího se činností zpracování osobních údajů podle těchto Podmínek (a tedy i Saas Smlouvy), a při těchto auditech Správci poskytne potřebnou součinnost. Správce se může rozhodnout, zda audit provede sám, nebo jím pověří nezávislého auditora.

  8. Zpracovatel je povinen informovat Správce o každé žádosti subjektů údajů týkající se výkonu jejich práv bez zbytečného odkladu. Žádosti subjektů údajů vyřizuje Správce. V souladu s pokyny Správce je Zpracovatel Správci nápomocen při plnění Správcovy povinnosti reagovat na žádosti subjektů údajů, jakož i při plnění dalších povinností plynoucích z GDPR.

  9. Zpracovatel neprodleně informuje Správce v případě, že z jakéhokoli důvodu není schopen plnit ustanovení těchto Podmínek.

VI.

Ohlašování případů porušení zabezpečení osobních údajů

  1. V případě porušení zabezpečení osobních údajů Zpracovatel spolupracuje se Správcem a pomáhá mu při plnění jeho povinností podle článků 33 a 34 GDPR.

  2. V případě porušení zabezpečení osobních údajů zpracovávaných Zpracovatelem o tom Zpracovatel informuje Správce bez zbytečného odkladu poté, co se o tomto porušení dozvěděl. Takové oznámení obsahuje alespoň:

    1. popis povahy daného případu porušení (včetně, nikoli však výlučně, kategorií a přibližného počtu dotčených subjektů údajů a záznamů údajů) a časový údaj, kdy k porušení došlo;

    2. údaje o kontaktním místě, kde lze získat více informací o daném porušení zabezpečení osobních údajů;

    3. popis pravděpodobných důsledků a popis opatření přijatých nebo navržených k přijetí v souvislosti s porušením zabezpečení, a to včetně opatření ke zmírnění možných nepříznivých dopadů.

Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.

  1. V případě porušení zabezpečení osobních údajů zpracovávaných Správcem Zpracovatel spolupracuje se Správcem a pomáhá Správci při plnění jeho povinností, zejm. při:

    1. ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů podle čl. 33 GDPR;

    2. získávání informací, které je podle čl. 33 odst. 3 GDPR Správce povinen uvést v oznámení o porušení zabezpečení osobních údajů;

    3. při plnění povinnosti v souladu s čl. 34 GDPR oznámit bez zbytečného odkladu subjektu údajů porušení zabezpečení osobních údajů, pokud je pravděpodobné, že dané porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

VII.

Zapojení dílčích zpracovatelů

  1. Správce tímto dává Zpracovateli obecné povolení k zapojení dalších zpracovatelů ze schváleného seznamu, který tvoří přílohu B těchto Podmínek - „Seznam schválených dílčích zpracovatelů”, aby jménem Xxxxxxx provedli určité činnosti zpracování.

  2. Zpracovatel písemně informuje Správce o všech zamýšlených změnách uvedeného seznamu (přílohy B těchto Podmínek) přijetím nových nebo nahrazením stávajících dílčích zpracovatelů. O takové zamýšlené změně schváleného seznamu (přílohy B těchto Podmínek) musí Zpracovatel písemně uvědomit Správce nejméně 30 dní předem. Správce si vyhrazuje právo zapojení nového dílčího zpracovatele odmítnout, a to ve lhůtě 10 pracovních dnů od prokazatelného oznámení Správci o zapojení nového dílčího zpracovatele.

  3. Zpracovatel je povinen s každým dílčím zpracovatelem uzavřít písemnou smlouvu, která uloží dílčímu zpracovateli v podstatě shodné povinnosti v oblasti ochrany osobních údajů, jaké vyplývají Zpracovateli z ustanovení těchto Podmínek. Zpracovatel nese vůči Správci plnou odpovědnost za to, aby dílčí zpracovatel plnil povinností vyplývající ze smlouvy uzavřené mezi Zpracovatelem a dílčím zpracovatelem. Zpracovatel Správce uvědomí, pokud dílčí zpracovatel neplní své povinnosti vyplývající z uvedené smlouvy.

  4. Na žádost Správce poskytne Zpracovatel Správci opis smlouvy s dílčím zpracovatelem. V rozsahu nutném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může Zpracovatel před poskytnutím opisu text smlouvy upravit.

  5. Zpracovatel může zapojit pouze takového dílčího zpracovatele, který je usazen na území Evropské unie, případně Evropského hospodářského prostoru. Servery tohoto dílčího zpracovatele, na kterých by osobní údaje byly uloženy, se musí nacházet na území Evropské unie, případně Evropského hospodářského prostoru.

  6. Zpracovatel s dílčím zpracovatelem schválí doložku ve prospěch třetí strany (Správce), podle níž v případě, že Zpracovatel fakticky zmizí, z právního hlediska zanikne, nebo se ocitne v platební neschopnosti, má Správce právo ukončit smlouvu s dílčím zpracovatelem namísto Zpracovatele a pověřit dílčího zpracovatele, aby osobní údaje vymazal nebo vrátil.

VIII.

Mezinárodní předávání osobních údajů

  1. Zpracovatel se zavazuje, že během doby trvání zpracování, ani po jejím skončení, nepředá jakékoliv osobní údaje do třetí země.

  2. Třetí zemí se rozumí jakákoliv země mimo Evropskou unii a Evropský hospodářský prostor, s výjimkou případů, kdy je tato země předmětem platného a účinného rozhodnutí Evropské komise podle čl. 45 GDPR o odpovídající ochraně osobních údajů ve třetích zemích.

IX.

Kontaktní osoby pro plnění těchto Podmínek

[Pozn. pro uchazeče: bude doplněno na základě nabídky]

  1. Kontaktní osoby za Správce:

    1. Jméno

    2. e-mail

    3. Telefon

    4. Funkce pro plnění těchto Podmínek

Kontaktní e-mailová adresa Správce, pokud jde o hlášení porušení zabezpečení osobních údajů, ke kterému došlo na straně Zpracovatele v souvislosti s těmito Podmínkami, je xxxx@xxxx.xx.

  1. Kontaktní osoby za Zpracovatele:

    1. Jméno

    2. e-mail

    3. Telefon

    4. Funkce pro plnění těchto Podmínek

  2. Kontaktní osoby spolu komunikují a hlášení porušení zabezpečení osobních údajů se oznamuje v českém jazyce.

X.

Společná a závěrečná ustanovení

  1. Aniž jsou dotčena jakákoli ustanovení GDPR, pokud Zpracovatel poruší své povinnosti vyplývající mu z těchto Podmínek, může mu Správce nařídit, aby pozastavil zpracovávání osobních údajů, dokud Zpracovatel nebude plnit povinnosti vyplývající mu z těchto Podmínek.

  2. Platnost a účinnost těchto Podmínek je odvislá od platnosti a účinnosti SaaS Smlouvy. Ukončením SaaS Smlouvy pozbývají platnosti a účinnosti i tyto Podmínky.

  3. Tyto Podmínky se v záležitostech zvláště neupravených řídí obecně závaznými právními předpisy. Tyto Podmínky budou vykládány zejména v souladu s GDPR, ZZOÚ a dále pak v souladu s českým právním řádem.

  4. Tyto Podmínky mohou být měněny nebo zrušeny pouze písemně, pokud se v těchto Podmínkách nestanoví jinak.

  5. Tyto Podmínky jsou vyhotoveny a podepsány ve dvou vyhotoveních s platností originálu, přičemž Správce obdrží jedno vyhotovení a Zpracovatel obdrží jedno vyhotovení.

  6. V případě, že je některé z ustanovení těchto Podmínek neplatné nebo neúčinné, a týká-li důvod neplatnosti nebo neúčinnosti jen takové části právního jednání, kterou lze od jeho ostatního obsahu oddělit, je neplatnou nebo neúčinnou jen tato část, lze-li předpokládat, že by k právnímu jednání došlo i bez neplatné nebo neúčinné části, rozpoznala by kterákoli ze smluvních stran neplatnost včas.

  7. Smluvní strany prohlašují, že těmto Podmínkám porozuměly a na důkaz svého souhlasu s jejich ustanoveními připojují níže své podpisy.

Za Správce: Za Zpracovatele:







Příloha A podmínek zpracování osobních údajů:

Technická a organizační opatření k zajištění zabezpečení ochrany osobních údajů

[pozn. pro uchazeče (bude vymazána před podpisem smlouvy): příloha A podmínek zpracování osobních údajů - „Technická a organizační opatření k zajištění zabezpečení osobních údajů” musí být dle čl. 7 výzvy k podání nabídky vyplněna před podpisem Xxxxxxx o poskytování softwarových služeb. Technická a organizační opatření musí být popsána konkrétně, a nikoli obecně; je nutné uvést popis technických a organizačních bezpečnostních opatření zavedených zpracovatelem (včetně příslušných osvědčení) k zajištění odpovídající úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování, jakož i k rizikům pro práva a svobody fyzických osob.

Příklady možných opatření:

  • opatření pro pseudonymizaci a šifrování osobních údajů,

  • opatření zajišťující neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,

  • opatření zajišťující schopnost obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů,

  • procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření k zajištění zabezpečení zpracování,

  • opatření pro identifikaci uživatelů a poskytování uživatelských oprávnění,

  • opatření na ochranu údajů během jejich přenosu,

  • opatření na ochranu údajů během jejich uchovávání,

  • opatření k zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje,

  • opatření zajišťující zaznamenávání událostí,

  • opatření zajišťující konfiguraci systému, včetně výchozí konfigurace,

  • opatření pro vnitřní správu a řízení IT a bezpečnosti IT,

  • opatření pro certifikaci / zabezpečení procesů a produktů,

  • opatření zajišťující minimalizaci údajů,

  • opatření zajišťující kvalitu údajů,

  • opatření zajišťující omezené uchovávání údajů,

  • opatření zajišťující odpovědnost,

  • opatření umožňující přenositelnost údajů a zajištění výmazu.

U předání (dílčímu) zpracovateli rovněž popište konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl správci poskytovat pomoc.]





Příloha B podmínek zpracování osobních údajů:

Seznam schválených dílčích zpracovatelů

[pozn. pro uchazeče (bude vymazána před podpisem smlouvy): chce-li dodavatel jakožto zpracovatel osobních údajů zapojit do činností zpracování osobních údajů dílčí zpracovatele, je povinen v souladu s čl. 7 výzvy k podání nabídky dodat seznam těchto dílčích zpracovatelů před podpisem Smlouvy o poskytování softwarových služeb. Tento seznam podléhá schválení zadavatele veřejné zakázky jakožto správce osobních údajů, a následně bude tvořit přílohu B podmínek zpracování osobních údajů - „Seznam schválených dílčích zpracovatelů”.]

Správce povolil využití těchto dílčích zpracovatelů:

1.

Jméno/název: …...........................................................................................................................

Adresa: ….....................................................................................................................................

Jméno, funkce a kontaktní údaje kontaktní osoby: …..................................................................

Popis zpracování: .........................................................................................................................



2.

Jméno/název: …...........................................................................................................................

Adresa: ….....................................................................................................................................

Jméno, funkce a kontaktní údaje kontaktní osoby: …..................................................................

Popis zpracování: .........................................................................................................................




3.

...





Příloha č. 4 – Bezpečnostní požadavky na systém

BEZPEČNOSTNÍ POŽADAVKY NA SYSTÉM

Příloha č. 4 smlouvy o poskytování softwarových služeb, č. j. ……………………………..

(v textu níže dále jen „Bezpečnostní požadavky“)

[Pozn. pro uchazeče (bude vymazána před podpisem smlouvy): žlutě označená místa budou před podpisem smlouvy o poskytování softwarových služeb vyplněna v závislosti na vybraném dodavateli]

Článek 1

Úvod

1. Tento dokument popisuje bezpečnostní požadavky kladené na Poskytovatele v rámci realizace veřejné zakázky „RUK – ÚKUK – Platforma pro správu a zveřejňování audio a video záznamů UK“, zejména pro naplnění požadavků vyplývajících pro Poskytovatele ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“), a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti; dále jen „VyKB“), a je jako příloha č. 4 nedílnou součástí smlouvy o poskytování softwarových služeb, č. j. ……………………., uzavřené mezi Poskytovatelem a Objednatelem v rámci výše specifikované veřejné zakázky (dále jen „SaaS Smlouva“).

2. Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl naplněn účel právní úpravy oblasti bezpečnostních opatření kybernetické bezpečnosti ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle ZoKB. V takovém případě je Objednatel oprávněn požadovat od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této příloze, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.





Článek 2

Bezpečnostní požadavky

2.1. Účel

1. Tyto Bezpečnostní požadavky stanoví způsoby a úrovně realizace bezpečnostních opatření pro Poskytovatele a určuje vzájemný vztah odpovědnosti za zavedení a kontrolu bezpečnostních opatření mezi Objednatelem a Poskytovatelem. Požadavky na Poskytovatele jsou definovány dle platné právní úpravy, především pak dle ZoKB a VyKB.

2. Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků ZoKB, VyKB, či souvisejících právních předpisů z oblasti bezpečnosti informací, uzavřou bez zbytečného odkladu po výzvě kterékoli smluvní strany písemný dodatek SaaS Smlouvy zohledňující takové požadavky.

2.2. Obecné požadavky

1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje plnit následující povinnosti:

    1. postupovat v souladu s účinnými právními předpisy, zejména pak požadavky vyplývajícími pro Poskytovatele, jakožto budoucího významného dodavatele softwarových služeb, ze ZoKB, VyKB a reflektovat případné novely dotčených právních předpisů či novou právní úpravu;

    2. dodržovat příslušná ustanovení bezpečnostních politik, metodik a postupů předaných Poskytovateli Objednatelem, resp. platné řídící dokumentace Objednatele či její části anebo platné řídící dokumentace, k jejímuž dodržování se Objednatel zavázal, pokud byl Poskytovatel s takovými dokumenty nebo jejich částmi seznámen, a to bez ohledu na způsob, jakým byl s takovou dokumentací Objednatele seznámen (např. školením, protokolárním předáním příslušné dokumentace Poskytovateli, elektronickým předáním prostřednictvím e-mailu, zřízením přístupu Poskytovateli na sdílené úložiště aj.);

    3. rozvíjet bezpečnostní povědomí svých zaměstnanců a příp. dalších osob, které se podílejí na plnění SaaS Smlouvy a průběžně je seznamovat s prováděnými nebo plánovanými změnami. Zaměstnanci a další osoby na straně Poskytovatele podílející se na plnění SaaS Smlouvy musí být prokazatelně seznámeni s platnými předpisy a bezpečnostními požadavky Objednatele, a to ještě před zahájením jakékoli činnosti ze strany těchto osob pro Objednatele v souvislosti s plněním SaaS Smlouvy;

    4. zaznamenávat podstatné okolnosti související s poskytovaným předmětem plnění dle SaaS Smlouvy (technické záznamy, organizační záznamy o školení, pověření apod.) a informovat o nich Objednatele;

    5. přidělovat svým jednotlivým pracovníkům zaměstnancům oprávnění k výkonu činností a přísně při tom dodržovat bezpečnostní zásadu tzv. „potřeba vědět“ (need-to-know principle), tedy zejména dbát o to, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele;

    6. průběžně dokumentovat, kontrolovat a vyhodnocovat oprávněnost přístupu, jak fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují k předmětu plnění dle SaaS Smlouvy;

    7. průběžně detekovat technické zranitelnosti a konfigurační nesoulady předmětu plnění SaaS Smlouvy a o zjištěných skutečnostech bez zbytečného odkladu informovat Objednatele. Detekované technické zranitelnosti musí být vyhodnoceny s ohledem na související riziko a musí podle povahy předmětu plnění dojít k nápravným opatřením ze strany Poskytovatele. Nápravná opatření musí být schválena Objednatelem;

    8. realizovat bezpečnostní opatření pro ochranu dat souvisejících s plněním předmětu XxxX Xxxxxxx podle čl. 2 SaaS Smlouvy.

2.3. Bezpečnost informací

1. Poskytovatel je povinen zajistit utajení získaných důvěrných informací Objednatele způsobem obvyklým pro utajování takových informací, není-li výslovně sjednáno jinak. Tato povinnost platí bez ohledu na ukončení účinnosti SaaS Smlouvy. Poskytovatel je povinen zajistit utajení důvěrných informací i u svých zaměstnanců, zástupců, jakož i jiných spolupracujících třetích stran, pokud jim takové informace byly poskytnuty.

2. Právo užívat, poskytovat a zpřístupnit důvěrné informace má Poskytovatel pouze v rozsahu a za podmínek nezbytných pro řádné plnění práv a povinností vyplývajících ze SaaS Smlouvy.

3. Za důvěrné informace se bez ohledu na formu jejich zachycení považují veškeré informace, které nebyly Objednatelem označeny jako veřejné a které se týkají SaaS Smlouvy a jejího plnění (zejména informace o právech a povinnostech smluvních stran jakož i informace o cenách), které se týkají Objednatele, jeho smluvních partnerů, pacientů, obchodní tajemství, anebo informace pro nakládání, s nimiž je stanoven právními předpisy zvláštní režim utajení. Dále se považují za důvěrné informace takové informace, které jsou jako důvěrné výslovně Objednatelem označeny.

4. Za důvěrné informace se v žádném případě nepovažují informace, které se staly veřejně přístupnými, pokud se tak nestalo porušením povinnosti jejich ochrany, dále informace získané na základě postupu nezávislého na SaaS Smlouvě a informace poskytnuté třetí osobou, která takové informace nezískala porušením povinnosti jejich ochrany.

5. Poskytovatel je povinen zajistit bezpečnost informací z pohledu dostupnosti. Informace se z pohledu dostupnosti považují za bezpečné, jestliže jsou dostupné autorizovaným uživatelům v době, kdy jsou potřeba.

6. Poskytovatel je povinen zajistit bezpečnost informací z pohledu integrity. Informace se z pohledu integrity považují za bezpečné, jestliže je zaručena jejich správnost, bezchybnost a jsou vyloučeny jejich neautorizované změny.

2.4. Oprávnění užívat data

1. Poskytovatel je při poskytování plnění pro Objednatele oprávněn užívat informace předaná Poskytovateli Objednatelem za účelem plnění předmětu SaaS Smlouvy, avšak vždy pouze v rozsahu nezbytném ke splnění předmětu SaaS Smlouvy.

2. Poskytovatel se při poskytování plnění pro Objednatele zavazuje nakládat s informacemi pouze v souladu se XxxX Xxxxxxxx a příslušnými právními předpisy, zejména XxXX, VyKB a dalšími souvisejícími právními předpisy.

2.5. Řetězení a řízení dodavatelů

1. Poskytovatel nezapojí do poskytování plnění dle SaaS Smlouvy žádného dalšího poddodavatele bez předchozího konkrétního nebo obecného písemného povolení Objednatele.

2. Poskytovatel se zavazuje, že se bude řídit požadavky Objednatele na řízení bezpečnosti informací a poskytne Objednateli veškerou nezbytnou součinnost v otázkách řízení bezpečnosti informací a pokud využívá při poskytování plnění poddodavatele, zajistí, že bude Objednateli poskytnuta veškerá nezbytná součinnost v otázkách řízení bezpečnosti informací také od těchto poddodavatelů.

3. Poskytovatel je povinen předat Objednateli kontaktní údaje všech osob dodávajících systémovou a technickou podporu pro řešení.

4. Pokud Poskytovatel využívá při poskytování plnění poddodavatele, zavazuje se, že budou dodržovat bezpečnostní požadavky stanovené těmito Bezpečnostními požadavky a požadavky plynoucí z podmínek zpracování osobních údajů, které jsou přílohou č. 3 SaaS Smlouvy.

5. Poskytovatel se zavazuje bezodkladně doložit Objednateli na základě jeho výzvy smluvní dokumenty se svými poddodavateli, ze kterých bude vyplývat závazek poddodavatele poskytovat plnění v souladu s bezpečnostními požadavky vyplývajícími z těchto Bezpečnostních požadavků.

6. Zhotovitel odpovídá za to, že jeho poddodavatelé nebudou jednat v rozporu s bezpečnostními požadavky vyplývajícími z těchto Bezpečnostních požadavků.

2.6. Řízení změn

1. Poskytovatel se zavazuje provést hodnocení dopadů Objednatelem navrhovaných změn na termíny a cenu předmětu plnění SaaS Smlouvy. Pokud by však takovéto hodnocení vyžadovalo dodatečné náklady anebo by nepříznivě ovlivnilo pracovní vytížení zaměstnanců nebo využití jiných prostředků určených k provádění předmětu plnění, Poskytovatel tuto skutečnost oznámí Objednateli a hodnocení provede pouze na základě písemného pověření Objednatelem. V takovém případě bude hodnocení hrazeno podle stráveného času v sazbách platných v době hodnocení. 

2. Poskytovatel u významných změn dokumentuje jejich řízení, provádí analýzu rizik, přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami, aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci, zajistí testování informačního systému a zajistí možnost navrácení do původního stavu.

3. Poskytovatel má povinnost informovat Objednatele o výsledcích řízení změn, které mají dopady na plnění předmětu SaaS Smlouvy dle čl. 2 SaaS Smlouvy ze strany Poskytovatele.

4. Poskytovatel má povinnost přijmout účinná opatření ke snížení nepříznivých dopadů v souladu s výsledky řízení změn

5. Poskytovatel se zavazuje poskytnout Objednateli veškerou nezbytnou součinnost při analýze souvisejících rizik, přijímání opatření za účelem snížení všech nepříznivých dopadů spojených se změnami, aktualizaci bezpečnostní dokumentace, souvisejícím testováním a zajištění možnosti navrácení do původního stavu.

6. V případě realizace penetračního testování nebo testování zranitelnosti řešení poskytne Poskytovatel Objednateli veškerou potřebnou součinnost.

2.7. Akvizice, vývoj a údržba

1. Poskytovatel se zavazuje v rozsahu plnění na své straně zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.

2. Poskytovatel se zavazuje předat Objednateli dokumentaci předmětu plnění obsahující zejména:

    1. dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů;

    2. dokumentaci obsahující popis autorizačního konceptu a oprávnění;

    3. dokumentaci obsahující instalační a konfigurační postupy.

3. V případě, že předmět plnění zahrnuje vývoj software, zavazuje se Poskytovatel:

    1. dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru definované na základě smluvního vztahu, nebo dodaného Objednatelem;

    2. na vyžádání umožnit Objednateli provedení auditu prováděného nebo provedeného plnění, předložit Objednateli vyvíjený kód SW;

    3. poskytnout Objednateli v termínech stanovených Objednatelem, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje SW či kdykoli po jeho předání;

    4. zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně v SaaS Smlouvě (např. že SW nebude obsahovat žádné nepotřebné komponenty, programové vzorky apod.);

    5. pokud je součástí plnění i instalace operačního systému případně SW třetích stran, zajistit v průběhu jeho instalace, že budou použity předepsané verze těchto produktů kompatibilní a funkční v IT prostředí Objednatele;

    6. zajistit bezpečnost testovacího prostředí u Poskytovatele a ochranu poskytnutých testovacích dat Objednatelem;

    7. zajistit, že do produkčního prostředí Objednatele bude dodán jen předmětem SaaS Smlouvy specifikovaná kompilovaný, resp. spustitelný kód a další nezbytná data pro provozování předmětu plnění;

    8. instalovat SW pouze na základě Objednatelem předem schválených migračních postupů;

    9. předat zdrojový kód Objednateli bezpečnou formou zajišťující jeho integritu;

    10. zajistit řízení verzí zdrojového kódu;

    11. zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí;

    12. nevyvíjet, nekompilovat a nešířit v IT prostředí Objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.

2.8. Zvládání kybernetických bezpečnostních událostí a incidentů

1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje v rozsahu poskytovaných služeb dle SaaS Smlouvy, že:

    1. stanoví činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních událostí a incidentů, podle takto stanovených a popsaných pravidel bude postupovat, a bude hlásit všechny bezpečnostní události a incidenty neprodleně po jejich detekci Objednateli prostřednictvím ohlašovacích kanálů na osobu odpovědnou za kybernetickou bezpečnost, v případech, kdy situace nestrpí odklad telefonicky.

    2. nastavená pravidla pro zvládání bezpečnostních incidentů budou respektovat požadavek na legalitu zajištění stop, tj. jejich původ a oprávněnost jejich získaní musí být v souladu s platnými zákony a standardy tak, aby bylo možné jejich následné využití v rámci forenzní analýzy a eventuální použití jako důkazního materiálu;

    3. navrhne řešení tak, aby byl systém detekce a zvládání bezpečnostních událostí a incidentů začleněn do procesů a systémů a realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti;

    4. provede analýzu příčin bezpečnostního incidentu a navrhne opatření s cílem zamezit jeho opakování v případě, že Poskytovatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.

2.9. Informační povinnost a povinnosti při výměně informací

1. Poskytovatel se během poskytování plnění pro Objednatele zavazuje Objednatele informovat o:

    1. způsobu řízení rizik, zbytkových rizicích souvisejících s plněním SaaS Smlouvy a bez zbytečného odkladu také o změnách ve způsobu řízení rizik;

    2. změně vlastnictví zásadních aktiv, využívaných Poskytovatelem k plnění SaaS Smlouvy, a změně oprávnění nakládat s těmito aktivy, a to nejpozději do tří pracovních dnů po uskutečnění této změny.

2. Poskytovatel se během poskytování plnění pro Objednatele zavazuje dostatečně zabezpečit veškerý přenos dat a informací z pohledu bezpečnostních požadavků na jejich důvěrnost, integritu a dostupnost.

2.10. Řízení kontinuity činností

1. Objednatel má oprávnění zapojit Poskytovatele do řízení kontinuity činností, a to zejména oprávnění k zahrnutí Poskytovatele do plánu kontinuity činností, který souvisí s informačním systémem a souvisejících služeb a/nebo zahrnutí Poskytovatele do Plánu obnovy (DRP) Objednatele. Objednatel má oprávnění požadovat po Poskytovateli zpracování Plánů obnovy (DRP) disaster recovery postupů.

2. Objednatel má povinnost informovat Poskytovatele o způsobu zapojení do řízení kontinuity činností.

2.11. Bezpečnost lidských zdrojů

1. Poskytovatel zajistí poučení všech svých zaměstnanců podílejících se na dodávce o bezpečnostních pravidlech uvedených v těchto Bezpečnostních požadavcích, jež se musí v průběhu dodávky dodržovat a zajistí jejich dodržování nasazením kontrolních a vynucovacích mechanismů. Rozsah poučení podléhá schválení Objednatele osobou určenou za kybernetickou bezpečnost.

2. Poskytovatel se zaváže zajistit dostatečnou míru zastupitelnosti pro technické aspekty řešení (zajištění kontinuity dodávky, zastupitelnost zaměstnanců).

3. Poskytovatel je povinen vést písemnou evidenci uskutečněných poučení v rozsahu předmět poučení, datum a seznam poučených osob. Poskytovatel se zavazuje předložit tuto evidenci Objednateli bezodkladně poté, co k tomu bude Objednatelem vyzván.

2.12. Bezpečnost komunikace

1. Zaměstnanci Poskytovatele, kteří mají přidělen přístup do interní sítě Univerzity Karlovy (většinou na konkrétní server), odpovídají za své činnosti prováděné v rámci interní sítě Univerzity Karlovy. Z důvodu zajištění bezpečnosti zaměstnanci Poskytovatele nesmí zejména:

    1. zneužívat síťové prostředky pro osobní účely a zatěžovat kapacitu sítě;

    2. šířit škodlivý kód;

    3. připojovat do sítě jiná, než schválená zařízení Poskytovatelem (včetně USB zařízení, soukromých mobilních zařízení, IoT zařízení apod.);

    4. využívat nástroje sloužící k maskování identity;

    5. provádět bezdůvodné skenování portů;

    6. provádět jakoukoliv formou monitorování počítačoví sítě, které může vést k zachycení informací/dat, pokud není předmětem plnění smlouvy;

    7. obcházet autentizaci uživatele nebo obcházet zabezpečení jakéhokoliv počítače, počítačové sítě;

    8. provádět jakékoliv nepracovní aktivity vedoucí k omezování nebo odepírání služeb jiným uživatelům;

    9. užívat jakékoliv programy, skripty nebo příkazy, nebo zasílat zprávy v jakékoliv formě s úmyslem omezit nebo znemožnit poskytování služeb nebo terminálových relací lokálně nebo přes počítačovou síť, internet nebo intranet;

    10. využívat bezpečnostních mezer nebo vytvářet útoky na komunikaci v počítačových sítích (např. přístup k datům, jichž není zaměstnanec zamýšleným příjemcem, přihlašování na server nebo účet zaměstnancem, který není k tomuto přístupu výslovně oprávněn, s výjimkou případů, kdy tyto aktivity jsou součástí řádných pracovních úkolů);

    11. předávat informace o konfiguraci a topologii sítě cizím osobám; tyto informace je oprávněn předat pouze odpovědný zaměstnanec Univerzity Karlovy, pokud jsou takové informace nutné z hlediska přípravy či plnění smluvního vztahu.

2. Při práci na pracovní stanici, mobilním zařízení připojeného do sítě nebo do informačního systému Univerzity Karlovy musí Poskytovatel dodržovat tyto základní zásady:

    1. umožnit přístup jen poučenému zaměstnanci Poskytovatele;

    2. chránit ICT prostředky Univerzity Karlovy;

    3. po ukončení práce provést neprodleně odhlášení tak, aby se zamezilo zneužití jeho přístupových práv.

2.13. Řízení přístupu

1. Poskytovatel bere na vědomí, že přístup k datům, informacím či zařízením souvisejícím s předmětem SaaS Smlouvy je možné povolit pouze fyzické identitě zaměstnance Poskytovatele poučené o těchto Bezpečnostních požadavcích, a to na základě požadavku Poskytovatele na přístup.

2. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí být řízeno zásadou tzv. „potřeba vědět“ (need-to-know principle) a není nárokové.

3. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci Zhotovitele.

4. Poskytovatel se zavazuje, že nebude instalovat a používat žádné nástroje, které nebyly předem písemně odsouhlaseny osobou odpovědnou za kybernetickou bezpečnost na straně Objednatele a jejichž užívání by mohlo ohrozit kybernetickou bezpečnost.

5. Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části technologického nebo komunikačního systému programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci technologického nebo komunikačního systému nebo nelegální získání dat a informací. Poskytovatel bere na vědomí, že přístup do interní sítě a/nebo k technologickým a komunikačním systémům bude realizován výhradně s využitím zařízení Objednatele.

6. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění Objednateli, kteří přistupují do interní sítě a/nebo technologického nebo komunikačního systému chránili autentizační prostředky a údaje k systémům Objednatele. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele může být příslušný účet zablokován a řešen jako bezpečnostní incident ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu.

7. Poskytovatel se zavazuje, že nebude instalovat a používat zejména nástroje typu Keylogger, Sniffer, Analyzátor zranitelností a Port Scanner, Backdoor, rootkit a trojský kůň nebo jinou podobu malware.

8. Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či skutečnost vzniklá v důsledku porušení bezpečnostních požadavků nebude posuzována jako okolnost vylučující odpovědnost Poskytovatele za prodlení s řádným a včasným plněním předmětu SaaS Smlouvy a nebude důvodem k jakékoli náhradě případné újmy Poskytovateli či jiné osobě ze strany Objednatele. 

9. Na základě smluvního vztahu může být konkrétním zaměstnancům Poskytovatele umožněn přístup k předmětným ICT prostředkům pomocí vzdáleného přístupu přes VPN. Pracovní stanice, přenosná zařízení zaměstnanců Poskytovatele přistupující k ICT prostředkům Objednatele musí mít instalován výrobcem podporovaný aktualizovaný operační systém a systém pro ochranu před škodlivým kódem (antivirový program) s nejnovější verzí virové databáze.

10. Lokální přístup Poskytovatele do provozního prostředí může být povolen pouze v odůvodněných případech. Tento přístup musí probíhat ve zvláštním režimu dohledu ze strany Objednatele.

2.14. Ochrana před škodlivým kódem

1. Poskytovatel se zavazuje, že zajistí maximální ochranu před zavlečením škodlivého SW do interní sítě Objednatele. Zaměstnanci, resp. subdodavatelé Poskytovatele mají zakázáno používat soukromou výpočetní techniku pro připojování do interní sítě Objednatele.

2.15. Monitorování činností

1. Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění realizované v rámci plnění předmětu SaaS Smlouvy podle jejího čl. 2 nebo s ním úzce související budou Objednatelem průběžně a pravidelně monitorovány a vyhodnocovány s ohledem na obsah SaaS Smlouvy.

2.16. Kontrola souladu s požadavky bezpečnosti

1. Poskytovatel se zavazuje umožnit Objednateli nebo jím pověřené třetí osobě provést audit plnění povinností Poskytovatele dle této Smlouvy, zejména způsobu plnění bezpečnostních opatření, způsobu řízení dodavatelů, nakládání s daty, způsobu identifikace a hlášení kybernetických bezpečnostních incidentů. Objednatel se zavazuje vyrozumět Poskytovatele o termínu a případně osobě pověřené provedením auditu alespoň 3 pracovní dny předem. Poskytovatel se zavazuje umožnit provedení auditu ve všech prostorách, v nichž dochází k plnění předmětu SaaS Smlouvy. Náklady na uskutečnění auditu ponese každá smluvní strana zvlášť; Poskytovatel nemá právo na poskytnutí úhrady nákladů či jakéhokoliv jiného plnění v souvislosti s auditem. V případě, že výsledkem auditu budou zjištění o pochybeních na straně Poskytovatele, zavazuje se Poskytovatel bezodkladně po výzvě Objednatele veškeré takové nedostatky na své náklady odstranit. Poskytovatel je povinen zajistit umožnění auditu za stejných podmínek i u svých poddodavatelů.

2. Poskytovatel je povinen pravidelně provádět také vlastní hodnocení rizik a kontrolu zavedených bezpečnostních opatření. Tato kontrola probíhá v pravidelných intervalech stanovených Objednatelem, na žádost Objednatele nebo v případě vzniku kybernetického bezpečnostního incidentu v rámci poskytované služby nebo v případě, že se vznik bezpečnostního incidentu jeví jako pravděpodobný. O výsledku kontroly podá Poskytovatel Objednateli bez zbytečného odkladu písemnou kontrolní zprávu.

2.17. Porušení Bezpečnostních požadavků

1. Poskytovatel odpovídá za to, že jeho zaměstnanci a/nebo poddodavatelé nebudou jednat v rozporu s bezpečnostními požadavky vyplývajícími z těchto Bezpečnostních požadavků. V případě, že dojde k nedodržení těchto požadavků ze strany zaměstnance a/nebo poddodavatele Poskytovatele, považuje se každé takové nedodržení požadavků za porušení povinnosti Poskytovatele plynoucí z těchto Bezpečnostních požadavků.







Shape1

Stránka 35 z 35

Document Metadata

Filed: October 4th, 2024