SERVISNÍ SMLOUVA
SERVISNÍ SMLOUVA
uzavřená v souladu s § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „OZ“)
mezi stranami:
Česká republika – Státní ústav pro kontrolu léčiv, organizační složka státu IČ: 00023817
se sídlem: Xxxxxxxxx 00, 000 00, Xxxxx 00
zastoupena: Mgr. Xxxxxx Xxxxxxxx, příkazem k zastupování pověřenou řízením Státního ústavu pro kontrolu léčiv
bankovní spojení, č.ú.: 623101/0710
(dále jen "Objednatel") a
IBA CZ, s.r.o.
IČ: 25783572
DIČ: CZ25783572
se sídlem: Xxxxxxxx 000/000x, 000 00 Xxxxx 0 zastoupen: Xxxxxx Xxxxxx, jednatelem bankovní spojení, č.ú.: XXX
(dále jen „Poskytovatel“)
(Objednatel a Poskytovatel dále společně také jen jako „smluvní strany“)
Preambule
Objednatel vyhlásil jako zadavatel veřejné zakázky SÚKL řízení č. VZ07/2018 „Servisní podpora informačních systémů SÚKL", v němž byla nabídka podaná Poskytovatelem vyhodnocena jako nejvýhodnější, a proto Objednatel s Poskytovatelem jako vybraným dodavatelem uzavírá tuto smlouvu o poskytování servisní podpory vybraných informačních systémů SÚKL (dále jen „Smlouva“):
Článek 1.
Předmět a účel Smlouvy
1.01 Touto Smlouvou se Poskytovatel zavazuje poskytovat Objednateli služby spočívající
v servisní podpoře těchto informačních systémů SÚKL:
a) Externi identity pro eRecept,
b) Externí identity
c) Hlášení dodávek léčivých přípravků DIS-13
d) Hlášení výdeje léčivých přípravků LEK-13
e) Hlášení dodávek léčivých přípravků do ČR REG-13
f) Hlášení závad
g) Číselníky
(dále jen „Systémy“, jednotlivě „Systém“).
Přehled Systémů, popis Systémů, jejich technická specifikace a parametry jsou dány Přílohou č. 2 této Smlouvy.
1.02 Služby servisní podpory budou poskytovány v následujícím rozsahu:
a) Identifikace a odstranění kritických závad
b) Identifikace a odstranění běžných závad
c) Servisní podpora klientských požadavků a helpdeskový systém
d) Vedení dokumentace
e) Servisní podpora platforem a komponent Systémů
f) Produktová podpora systémů pro SW třetích stran
g) Školení
h) Proaktivní monitoring
i) Oznamování incidentu narušení ochrany osobních údajů
j) Oznamování incidentu narušení kybernetické bezpečnosti (dále jen souhrnně „Služby“, jednotlivě „Služba“).
Bližší specifikace jednotlivých Služeb a režimu jejich poskytování je obsažena v čl. 2 a v
Příloze č. 1 této Smlouvy, která je její nedílnou součástí.
1.03 V každém kalendářním měsíci je Poskytovatel povinen zajistit dostupnost Systémů v rozsahu stanoveném v Příloze č. 1 této Smlouvy. Výpočet dostupnosti je uveden v Příloze č. 1 této Smlouvy. Poskytovatel je povinen písemně zpracovat vyhodnocení dostupnosti Systémů dle tohoto odstavce a Přílohy č. 1 za každý kalendářní měsíc. Poskytovatel je povinen zasílat toto vyhodnocení dostupnosti e-mailem oprávněné osobě Objednatele (viz odst. 15.01 této Smlouvy) vždy do 10. kalendářního dne měsíce následujícího po hodnoceném měsíci.
1.04 Objednatel v souladu s § 4a odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZoKB“) informuje Poskytovatele, že IS Externí identity pro eRecept je podpůrným aktivem prvku kritické informační infrastruktury ve smyslu § 2 písm. b) ZoKB a Objednatel je ve smyslu
§ 2 písm. e) ZoKB správcem tohoto Systému, přičemž Poskytovatel bere toto na vědomí. Poskytovatel rovněž bere na vědomí, že se po dobu účinnosti této Smlouvy stává provozovatelem Systému ve smyslu § 2 písm. g) ZoKB a dle § 3 písm. c) rovněž osobou, jíž jsou v této souvislosti ZoKB a příslušnými prováděcími předpisy ukládány povinnosti v oblasti kybernetické bezpečnosti.
1.05 Objednatel se zavazuje za Služby poskytované v souladu s touto Smlouvou zaplatit Poskytovateli sjednanou cenu.
1.06 Účelem této Smlouvy je zajištění plnění úkolů vyplývajících z kompetencí vymezených Objednateli platnými právními předpisy, zejména zákonem č. 378/2007 Sb., o léčivech, ve znění pozdějších předpisů, prostřednictvím spolehlivého a bezvadného provozu Systémů.
Článek 2.
Režim a doba poskytování Služeb
2.01 Služby dle odst. 1.02 písm. a) až j) budou poskytovány po celou dobu účinnosti této Smlouvy ve dvou režimech. Služby dle odst. 1.02 písm. a), b), e), h), i) a j) budou poskytovány nepřetržitě v režimu 24 hodin x 7 dní v týdnu a Služby dle odst. 1.02 písm. c), d), f) a g) budou poskytovány v pracovní dny od 8:00 do 17:00 hodin.
2.02 Požadavky na reakční časy pro jednotlivé Služby uvedené v Příloze č. 1 této Smlouvy jsou započitatelné pouze v rámci času uvedeného v odst. 2.01 této Smlouvy. Započítávaný čas Služeb v odst. 1.02 písm. c), d), f) a g) této Smlouvy se každý pracovní den v 17:00 hodin pozastavuje.
2.03 Rozsah Služeb uvedených v odst. 1.02 písm. a), b), c), d), e), f), h), i) a j) této Smlouvy není v rámci měsíční paušální platby dle odst. 5.01 této Smlouvy časově omezen. Rozsah čerpání Služby dle odst. 1.02 písm. g) této Smlouvy je v rámci měsíční paušální platby dle odst. 5.01 této Smlouvy časově omezen na 3 člověkodny (dále jen „ČD“) za celou dobu platnosti a účinnosti této Smlouvy.
2.04 Jeden ČD je 8 člověkohodin. Jedna člověkohodina je jedna hodina práce jednoho člověka.
Článek 3.
Práva a povinnosti Poskytovatele
3.01 Poskytovatel bude poskytovat Služby dle této Smlouvy na svou vlastní odpovědnost a bude poskytovat všechny ekonomické, materiální a lidské prvky tak, aby byl naplněn účel této Smlouvy.
3.02 Po celou dobu poskytování Služeb a činností dle této Smlouvy se Poskytovatel zavazuje poskytovat tyto Služby v nejvyšší kvalitě, zavazuje se postupovat s odbornou péčí a s přihlédnutím k zájmům Objednatele.
3.03 Poskytovatel se zavazuje dbát pokynů Objednatele. Poskytovatel je povinen bezodkladně oznámit Objednateli všechny okolnosti, které zjistí při své činnosti dle této Smlouvy, a které mohou mít vliv na poskytování Služeb dle této Smlouvy nebo na vydání pokynů Objednatele či jejich změnu. Poskytovatel vždy upozorní Objednatele na případnou nevhodnost jeho pokynů; v případě, že Objednatel přes upozornění Poskytovatele na splnění svých pokynů trvá, je Poskytovatel v odpovídajícím rozsahu zproštěn odpovědnosti za případné vady plnění vzniklé prokazatelně v důsledku provedení takových nevhodných pokynů.
3.04 Poskytovatel se zavazuje předat Objednateli bez zbytečného odkladu po uzavření této Smlouvy seznam osob, které se budou podílet na poskytování Služeb dle této Smlouvy, a to svých pracovníků. Seznam bude vyhotoven, pro účely zajištění přístupu do objektu Objednatele V seznamu budou osoby označeny jménem a příjmením a bude u nich uvedeno označení jejich zaměstnavatele (popř. kontraktora, pokud se nejedná
o pracovněprávní vztah). Poskytovatel je povinen předat tento seznam osob Objednateli s výslovným písemným souhlasem těchto osob se zpracováním jejich osobních údajů Objednatelem pro účely zajištění jejich přístupu do objektu Objednatele a pro zajištění přístupu k příslušným částem informačního systému Objednatele. Při porušení této povinnosti nese Poskytovatel plnou odpovědnost dle zákona o ochraně osobních údajů. Objednatel se zavazuje, že bude zpracovávat tyto osobní údaje pouze pro potřeby realizace Služeb a v souladu s platnými právními předpisy, a to až do odvolání souhlasu písemnou formou. Určení konkrétní pracovní doby a doby pohybu osob poskytujících Služby dle této Smlouvy v místech Objednatele je Poskytovatel povinen předem domluvit s Objednatelem, o čemž bude pořízen zápis stvrzený podpisy oprávněných osob.
Seznam osob je Poskytovatel povinen v případech jakýchkoliv personálních změn neprodleně aktualizovaný předat Objednateli.
3.05 V případě, že pro plnění předmětu této Smlouvy bude Poskytovatel požadovat pro své zaměstnance přístupová oprávnění k informačním systémům Objednatele, zavazuje se Poskytovatel neprodleně po vzniku takové potřeby předat Objednateli vyplněnou a podepsanou žádost o přístup do informačního systému Objednatele pro osoby, které se budou podílet na plnění této Smlouvy, a to svých pracovníků. V případě, že v průběhu plnění této Smlouvy bude Poskytovatel požadovat změnu v osobách přistupujících k informačním systémům Objednatele, je vždy povinen nejprve podat žádost o ukončení přístupu do informačního systému pro osobu/osoby, jejichž oprávnění má být zrušeno, a současně podat novou žádost o přístup do informačního systému pro osobu/osoby, které mají přístupová oprávnění nově nabýt. Poskytovatel je povinen podávat žádosti o přístup/ukončení přístupu do informačního systému Objednatele na formuláři, který je Přílohou č. 3 této Smlouvy. Žádost bude ze strany Objednatele posouzena nejpozději do dvou pracovních dnů následujících po dni jejího doručení. Objednatel si může při procesu posuzování žádosti vyžádat další informace o účelu vydání žádosti. Kopii schválené nebo zamítnuté žádosti předá Objednatel Poskytovateli.
3.06 V souvislosti s přístupy do informačního systému Objednatele je Poskytovatel dále povinen dodržovat následující povinnosti:
- Poskytovatel je povinen zajistit a odpovídá po celou dobu plnění této Smlouvy Objednateli za to, že do příslušných částí informačního systému Objednatele budou fakticky přistupovat pouze osoby, pro něž byla podána žádost o přístup do informačního systému a tato žádost byla schválena manažerem bezpečnosti informací Objednatele (dále jen „MBI“). Objednatel je kdykoli v průběhu plnění této Smlouvy oprávněn kontrolovat, které osoby skutečně přistupují do příslušné části jeho informačního systému, a Poskytovatel je v takovém případě vždy povinen tuto informaci Objednateli poskytnout a doložit. Porušení této povinnosti Poskytovatelem je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
- Přidělená oprávnění smí využívat pouze osoba, pro niž byla žádost schválena ze strany MBI. Tato osoba nesmí přidělená oprávnění předat žádné jiné osobě. Porušení této povinnosti je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
- Při ukončení pracovního poměru osoby, která měla udělena přístupová práva, k Poskytovateli, je Poskytovatel povinen podat žádost o ukončení přístupu této osoby do informačního systému Objednatele, a to nejpozději do dvou pracovních dnů od okamžiku, kdy rozhodná skutečnost nastane. Stejně je Poskytovatel povinen postupovat v případech, kdy pomine důvod nebo potřeba přístupu příslušné osoby Poskytovatele do informačního systému Objednatele. Porušení této povinnosti je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
3.07 Poskytovatel je povinen účastnit se jednání svolaných Objednatelem, která se týkají poskytování Služeb dle této Smlouvy. Pokud není specifikováno jinak, účastní se za Poskytovatele takového jednání vždy oprávněná jednat za Poskytovatele ve věcech plnění této Smlouvy dle odst. 15.01 této Smlouvy.
3.08 Poskytovatel se zavazuje při plnění dle této Smlouvy spolupracovat s odborníky, které určí Objednatel, tak aby bylo dosaženo účelu této Smlouvy.
3.09 Poskytovatel potvrzuje, že ke dni podpisu této Smlouvy má uzavřenu pojistnou smlouvu na pojištění odpovědnosti za škodu způsobenou při výkonu své podnikatelské činnosti na minimální částku 2 000 000,- Kč (slovy dva milióny korun českých) se spoluúčastí nejvýše 10 %, a že tuto pojistnou smlouvu bude udržovat účinnou po dobu trvání této
Smlouvy a dále nejméně 6 měsíců po ukončení činnosti podle této Smlouvy. Na žádost Objednatele je Poskytovatel bez zbytečného odkladu povinen předložit Objednateli pojistnou smlouvu či pojistný certifikát příslušné pojišťovny.
3.10 Poskytovatel se zavazuje dodržovat veškeré povinnosti v oblasti kybernetické bezpečnosti, uložené mu jako provozovateli Systémů právním řádem České republiky, zejména pak ZOKB a vyhláškou č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, ve znění pozdějších předpisů. Dodržování povinností dle věty první je Poskytovatel povinen kdykoliv na vyžádání Objednatele prokázat.
3.11 Poskytovatel se zavazuje při poskytování Služeb dle této Smlouvy dodržovat veškerá nezbytná opatření k zabránění vzniku případných škod na majetku Objednatele či na zdraví jeho zaměstnanců.
3.12 Poskytovatel je povinen na výzvu Objednatele umožnit jemu pověřeným zaměstnancům provedení auditu plnění požadavků vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, tedy zjištění náležitostí plnění ustanovení této Smlouvy a požadavků legislativy spojené s kybernetickou bezpečností. Oznámení o provedení auditu bude Poskytovateli doručeno nejméně 5 kalendářních dnů před termínem zahájení auditu.
3.13 Poskytovatel je povinen neprodleně informovat Objednatele o veškerých krocích orgánu státní správy vykonávajícího kontrolu v oblasti kybernetické bezpečnosti (dále jen
„Úřad“) vůči Poskytovateli, zejména pak neprodleně informovat Objednatele o provádění a výsledcích kontrol u Poskytovatele a o případném uložení nápravných opatření ze strany Úřadu.
3.14 Poskytovatel se zavazuje do 10 pracovních dnů od data uzavření této Smlouvy zaslat Objednateli písemné oznámení, zda je zaměstnavatelem zaměstnávajícím více než 50
% zaměstnanců na zřízených nebo vymezených chráněných pracovních místech (viz § 75 zákona č. 435/2004 Sb. o zaměstnanosti, ve znění pozdějších předpisů), kteří jsou osobami se zdravotním postižením, nebo zda je osobou se zdravotním postižením a zároveň osobou samostatně výdělečně činnou, která nemá žádné zaměstnance. Poskytovatel je povinen zaslat Objednateli toto oznámení i v případě, že podmínky dle předchozí věty nesplňuje (v takovém případě zašle negativní oznámení). Dojde-li během platnosti této Smlouvy k jakékoli změně oznámeného stavu, je Poskytovatel povinen do 10 pracovních dnů ode dne, kdy tato skutečnost prokazatelně nastala, zaslat Objednateli písemné ohlášení této změny.
3.15 Poskytovatel se zavazuje, nejpozději do 30 kalendářních dnů od doručení žádosti Objednatele, předat Objednateli provozní dokumentaci všech Systémů. Provozní dokumentací dle tohoto odstavce se rozumí data, provozní údaje a informace, které má
Poskytovatel k dispozici v souvislosti s poskytováním servisní podpory Systémů, zejména pak:
a) aktuální administrátorská a uživatelská dokumentace Systémů,
b) informace o přístupových oprávněních do Systémů a veškerá administrátorská
hesla k Systémům,
c) záznamy provozních deníků ve strukturovaném datovém formátu za celé období poskytování servisní podpory Systémů.
Poskytovatel se zavazuje výše uvedenou provozní dokumentaci všech Systémů předat v aktuálním znění ke dni ukončení této Smlouvy, a to i bez předchozí žádosti Objednatele.
3.16 Poskytovatel se zavazuje poskytnout Objednateli nebo novému poskytovateli servisní podpory Systémů součinnost, spočívající zejména v činnostech nezbytných pro zajištění nepřetržité servisní podpory Systémů v souvislosti s převzetím servisní podpory systémů novým poskytovatelem, a to po dobu 6 měsíců od pozbytí platnosti této Smlouvy.
Článek 4.
Práva a povinnosti Objednatele
4.01 Objednatel je povinen předat včas Poskytovateli úplné, pravdivé a přehledné informace, jež jsou nezbytně nutné k poskytování Služeb dle této Smlouvy, pokud z jejich povahy nevyplývá, že je má zajistit Poskytovatel sám v rámci plnění předmětu této Smlouvy.
4.02 Objednatel je povinen vytvořit řádné podmínky pro poskytování Služeb dle této Smlouvy Poskytovatelem a poskytovat mu po dobu trvání této Smlouvy nezbytnou součinnost, pokud si tuto součinnost Poskytovatel důvodně vyžádá. Jedná se zejména o předání dokumentů a jiných informací nezbytně nutných k poskytování Služeb, umožnění přístupu do prostor Objednatele. Požadavek Poskytovatele na poskytnutí součinnosti musí být písemný, adresovaný oprávněné osobě Objednatele dle této Smlouvy. Požadavek musí být předložen v takovém předstihu, aby bylo, vzhledem k provozní době Objednatele a rozsahu požadované součinnosti (např. rozsahu požadované dokumentace nebo činnosti), možné poskytnutí požadované součinnosti v daném čase vůbec rozumně/reálně očekávat.
4.03 Objednatel je oprávněn stanovit dobu poskytování Služeb v jeho prostorách dle svých potřeb.
4.04 Objednatel je oprávněn požadovat účast kteréhokoliv zástupce Poskytovatele
a Poskytovatel se zavazuje zajistit účast takového zástupce na jednání.
Článek 5. Cena Služeb
5.01 Smluvní strany se dohodly, že cena Služeb dle čl. 1 a Přílohy č. 1 této Smlouvy poskytnutých řádně a včas v souladu s podmínkami této Smlouvy, činí 89 000,- Kč bez DPH, tj. 107 690,- Kč vč. DPH za každý kalendářní měsíc poskytování Služeb.
5.02 Cena dle odst. 5.01 této Smlouvy je maximálně přípustná, nepřekročitelná a zahrnuje rovněž veškeré náklady Poskytovatele spojené s poskytováním Služeb v rozsahu dle čl. 1 a 2 a Přílohy č. 1 této Smlouvy. Cena uvedená v odst. 5.01 této Smlouvy je stanovena jako paušální.
5.03 Nebudou-li Služby poskytovány po celou dobu trvání kalendářního měsíce, je Poskytovatel oprávněn za daný kalendářní měsíc fakturovat pouze poměrnou část ceny Služeb dle odst. 5.01, odpovídající počtu dní v kalendářním měsíci, v nichž byly Služby poskytovány.
5.04 Pro případ, že v době platnosti této Smlouvy (tj. po jejím uzavření) dojde ke změně sazby DPH (tj. ke zvýšení či jejímu snížení), je Poskytovatel povinen tuto změnu zohlednit při vyúčtování (fakturaci) ceny Služeb, tj. cenu snížit či zvýšit o výši změny DPH.
Článek 6.
Fakturace a platební podmínky
6.01 Objednatel uhradí Poskytovateli cenu stanovenou v odst. 5.01 této Smlouvy na základě faktur vystavených Poskytovatelem. Služby budou fakturovány měsíčně, každá faktura musí být vystavena nejpozději do 15. dne měsíce následujícího po kalendářním měsíci, za který je poskytování Služeb fakturováno. Přílohou faktury musí být přehled vykonaných prací poskytnutých Poskytovatelem ve fakturovaném kalendářním měsíci. Struktura zasílaného přehledu vykonaných prací je popsána v Příloze č.1 této Smlouvy
6.02 Faktury musí obsahovat veškeré náležitosti daňového a účetního dokladu stanovené zákonem č. 235/2004 Sb., o DPH, a zákonem č. 563/1991 Sb., o účetnictví, ve znění jejich pozdějších změn. V případě, že předložená faktura neobsahuje náležitosti předepsané zákonem či touto Smlouvou, je Objednatel oprávněn ji ve lhůtě splatnosti vrátit Poskytovateli s uvedením důvodu jejího vrácení. V takovém případě začíná běžet nová splatnost opravené faktury Objednateli.
6.03 Splatnost faktur činí 30 kalendářních dní ode dne vystavení, přičemž Poskytovatel je povinen doručit každou fakturu Objednateli nejpozději do 3 pracovních dnů od data vystavení. Smluvní strany se dohodly, že závazek k úhradě faktury je splněn dnem, kdy byla příslušná částka odepsána z účtu Objednatele ve prospěch účtu Poskytovatele.
6.04 Je-li Objednatel v prodlení s úhradou plateb podle této Smlouvy, je povinen uhradit Poskytovateli úrok z prodlení z neuhrazené dlužné částky ve výši stanovené příslušnými právními předpisy.
6.05 Poskytovatel si je vědom vlastních finančních nákladů spojených s plněním předmětu Smlouvy a nebude žádat jakékoliv finanční plnění v průběhu poskytování Služeb nad rámec sjednaných podmínek úhrady ceny, upravených v čl. 6 této Smlouvy.
Článek 7.
Místo plnění, odpovědnost za vadné plnění
7.01 Smluvní strany se dohodly, že místem poskytování Služeb a činností dle této Smlouvy
je sídlo Objednatele a sídlo Poskytovatele.
7.02 Služby a činnosti dle této Smlouvy mohou být poskytovány i vzdáleně prostřednictvím sítí elektronických komunikací (ve smyslu zákona č. 127/2005 Sb., o elektronických komunikacích), pokud to povaha poskytovaného plnění umožňuje.
7.03 Objednatel je oprávněn kontrolovat kdykoli během plnění této Smlouvy kvalitu poskytovaných Služeb, tj. zda jsou poskytovány řádně, včas a v rozsahu stanoveném touto Smlouvou. Zjistí-li Objednatel jakoukoli vadu či vady poskytovaných Služeb či jednotlivé Služby, je oprávněn uplatnit vůči Poskytovateli (jeho oprávněné osobě dle této Smlouvy) jejich reklamaci, a to buď písemně, nebo elektronicky formou emailu se zaručeným elektronickým podpisem. Poskytovatel je v takovém případě povinen odstranit reklamovanou vadu do 5 pracovních dnů od data přijetí reklamace, a současně informovat oprávněnou osobu Objednatele dle této Smlouvy o způsobu vyřešení reklamace, a to buď písemně, nebo elektronicky formou emailu se zaručeným elektronickým podpisem. Opakované porušení povinnosti Poskytovatele odstranit reklamovanou vadu v termínu dle tohoto odstavce je důvodem pro odstoupení Objednatele od této Smlouvy.
Článek 8.
Poddodávky Poskytovatele
8.01 Poskytovatel je povinen provádět veškeré plnění podle této Smlouvy výhradně prostřednictvím vlastních zaměstnanců.
Článek 9.
Ochrana důvěrných informací a osobních údajů
9.01 Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví při plnění této Smlouvy, a které nejsou právním předpisem určeny ke zveřejnění nebo nejsou obecně známé. Poskytovatel se také zavazuje neumožnit žádné osobě, aby mohla zpřístupnit důvěrné informace neoprávněným třetím osobám, pokud tato Xxxxxxx nestanoví jinak. S informacemi poskytnutými Objednatelem Poskytovateli, popř. získanými Poskytovatel v souvislosti s plněním jeho závazků dle této Smlouvy, je povinen Poskytovatel nakládat jako s důvěrnými informacemi.
9.02 Za důvěrné informace se pro účely této Smlouvy nepovažují:
(a) informace, které se staly veřejně přístupnými veřejnosti jinak než následkem jejich zpřístupnění Poskytovatelem;
(b) informace, které Poskytovatel získá z jiného zdroje než od Objednatele, které jsou
jejich poskytovatelem označené za veřejné.
9.03 Poskytovatel se zavazuje použít důvěrné informace výhradně za účelem splnění svých závazků vyplývajících z této Smlouvy. Poskytovatel se dále zavazuje, že on ani jiná osoba, která bude Poskytovatelem seznámena s důvěrnými informacemi v souladu s touto Smlouvou, je nezpřístupní žádné třetí osobě vyjma případů, kdy:
(a) jde o zpřístupnění důvěrných informací osobám, pro které je přístup k těmto informacím nezbytný za účelem splnění závazků Poskytovatele vyplývajících z této Smlouvy;
(b) jde o zpřístupnění důvěrných informací s předchozím písemným souhlasem
Objednatele;
(c) tak stanoví obecně závazný právní předpis nebo je dána taková povinnost pravomocným a zákonným rozhodnutím příslušného orgánu vydaným na základě jeho zákonného zmocnění. Takovou skutečnost je Poskytovatel povinen na výzvu Objednateli bez zbytečného odkladu prokázat.
9.04 Poskytovatel se dále zavazuje zajistit i ochranu důvěrných informací proti jejich neoprávněnému získání třetími osobami. V případě, že Poskytovatel bude mít důvodné podezření, že došlo k neoprávněnému zpřístupnění (získání) důvěrných materiálů, je povinen neprodleně o této skutečnosti informovat Objednatele.
9.05 Poskytovatel je povinen předat bez zbytečného odkladu Objednateli veškeré materiály a věci, které od něho či jeho jménem převzal při plnění Smlouvy, a to bez zbytečného odkladu po ukončení této Smlouvy. Důvěrné informace uložené v elektronické podobě je Poskytovatel povinen odstranit, a to nejpozději po uplynutí doby jejich povinné archivace, pokud se na něj tato zákonná povinnost vztahuje.
9.06 Závazek ochrany důvěrných informací zůstává v platnosti i po ukončení této Smlouvy.
9.07 Poskytovatel se zavazuje bez zbytečného odkladu zavázat povinností mlčenlivosti ve stejném rozsahu jako je vázán touto Smlouvou sám i všechny své pracovníky podílející se se souhlasem Objednatele na poskytování Služeb pro Objednatele.
9.08 Objednatel je oprávněn kdykoliv po dobu účinnosti této Smlouvy i po skončení její účinnosti, uveřejnit tuto Smlouvu nebo její část i informace vztahující se k jejímu plnění, což Poskytovatel bere na vědomí, resp. s tím souhlasí.
9.09 Objednatel je správcem osobních údajů obsažených v Systémech. Pokud Poskytovatel pro plnění smluvního vztahu nezbytně potřebuje zpracovávat osobní údaje obsažené v kterémkoli Systému, pak se pro účel této Smlouvy stává zpracovatelem osobních údajů.
9.10 Objednatel zpracovává osobní údaje v Systémech na základě povinností uložených mu zejména (nikoli však výlučně) zákonem č. 378/2007 Sb., o léčivech, ve znění pozdějších předpisů.
9.11 Poskytovatel není oprávněn ke zpracování osobních údajů obsažených v Systémech, ledaže by takové zpracování bylo nezbytně nutné pro naplnění účelu smluvního vztahu s Objednatelem. V případě, že jde o zpracování nezbytné pro naplnění účelu smluvního vztahu s Objednatelem, je Poskytovatel oprávněn zpracovávat osobní údaje obsažené v konkrétním Systému pouze na základě předchozího písemného pověření Objednatele (dále jen „písemné pověření“). Písemné pověření musí obsahovat určení Systému, kterého se týká, a bližší určení typu zpracovávaných osobních údajů, kategorií subjektů údajů, doby trvání zpracování a povahy a účelu zpracování.
9.12 Poskytovatel není oprávněn zapojit do zpracování žádný další subjekt bez předchozího výslovného písemného povolení Objednatele.
9.13 Poskytovatel je v případě, kdy je Objednatelem písemně pověřen zpracovávat osobní údaje obsažené v Systému, povinen postupovat v souladu s právními předpisy, týkajícími se ochrany osobních údajů a účinnými v době zpracování, zejména je povinen:
a) zpracovávat osobní údaje pouze na základě doložených pokynů Objednatele;
b) zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti; tato povinnost platí i po ukončení této Smlouvy;
c) ještě před zahájením zpracování osobních údajů provést veškerá nezbytná technická a organizační opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající danému riziku, zejména přijmout taková technická a organizační opatření, která zajistí:
• integritu osobních údajů zaručující jejich pravost a nenarušenost, tj. opatření vedoucí k tomu, že během zpracování nedojde k úmyslnému nebo náhodnému pozměnění osobních údajů,
• důvěrnost osobních údajů, tj. opatření která přispívají ke zvýšení zabezpečení osobních údajů a zachování důvěrnosti zpracování, jako je pseudonymizace, šifrování a správa přístupových práv tak, aby zaměstnanci Poskytovatele měli přístup pouze k osobním údajům nezbytným pro výkon své činnosti,
• transparentnost zpracování osobních údajů, tj. přijmout taková technická a organizační opatření, která jsou ze strany Poskytovatele doložitelná a pro Objednatele přezkoumatelná, Poskytovatel tudíž musí Objednatele seznámit s tím, jaké technické a organizační opatření k ochraně osobních údajů přijal
• izolovanost zpracování osobních údajů, tj. přijatá opatření musí zajistit, že v případě zpracování osobních údajů více správců osobních údajů nedojde k jejich sloučení nebo záměně.
d) dodržovat podmínky zapojení dalšího zpracovatele stanovené touto Smlouvou a v případě zapojení dalšího zpracovatele po písemném povolení Objednatele zajistit, aby se další zpracovatel smluvně zavázal dodržovat ve stejné míře všechny povinnosti k ochraně osobních údajů vyplývající pro Poskytovatele z této Smlouvy
e) být Objednateli nápomocen v rozsahu jím určeném pro splnění Objednatelovi povinnosti reagovat na žádosti o výkon práv subjektu údajů vyplývající z platných právních předpisů:
f) s ohledem na Poskytovatelem zpracovávané osobní údaje poskytovat Objednateli veškerou součinnost, vyžádanou Objednatelem v souvislosti s:
• prováděním vhodných technických a organizačních opatření pro zajištění odpovídající úrovně zabezpečení zpracovávaných osobních údajů,
• ohlašováním případů porušení zabezpečení osobních údajů dozorovému úřadu či subjektu údajů,
• posuzováním vlivu na ochranu osobních údajů,
• konzultacemi s dozorovým úřadem ohledně zpracování osobních údajů;
g) v souladu s Přílohou č. 1 této Smlouvy ohlásit Objednateli zjištěné porušení zabezpečení zpracovávaných osobních údajů ve lhůtě dle Přílohy č. 1;
h) na výzvu Objednatele všechny osobní údaje buď vymazat, nebo vrátit Objednateli po ukončení poskytování Služeb dle této Smlouvy a vymazat všechny existující kopie, pokud mu platné právní předpisy neukládají uložení daných osobních údajů;
i) poskytnout Objednateli veškeré informace potřebné k doložení toho, že Poskytovatel splnil veškeré povinnosti týkající se ochrany osobních údajů dle tohoto článku a umožnit audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem, kterého Objednatel pověřil, a k těmto auditům přispět svou plnou součinností.
j) informovat neprodleně Objednatele v případě, že dle názoru Poskytovatele určitý pokyn Objednatele porušuje platné právní předpisy týkající se ochrany osobních údajů.
9.14 Poskytovatel je povinen vést záznamy o činnostech zpracování osobních údajů prováděných pro Objednatele podle příslušných právních předpisů a rovněž vést registr rizik, týkající se možnosti narušení důvěrnosti a integrity zpracovávaných osobních údajů, který obsahuje klasifikace jednotlivých rizik, datum jejich identifikace, vlastníka jednotlivých rizik a popis preventivních opatření přijatých k jejich minimalizaci. Poskytovatel je povinen umožnit Objednateli kdykoliv nahlédnout do vedených záznamů o činnostech zpracování a do obsahu registru rizik a učinit si z nich opis, či výpis
9.15 Poskytovatel prohlašuje, že disponuje veškerým potřebným personálním i technickým zázemím, které poskytuje dostatečné záruky k tomu, že jím prováděné zpracování osobních údajů bude splňovat všechny požadavky platných právních předpisů i této Smlouvy, a je tak schopen zajistit náležitou ochranu práv subjektu údajů.
Článek 10.
Smluvní pokuty
10.01Pokud Poskytovatel poruší jakoukoli povinnost stanovenou v čl. 8 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 500 000,- Kč za každé jednotlivé porušení.
10.02Pokud Poskytovatel poruší jakoukoli povinnost stanovenou v čl. 9 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 1 000 000 Kč za každé jednotlivé porušení.
10.03V případě porušení kvalitativních parametrů Služeb a dalších povinností, stanovených Přílohou č. 1 této Smlouvy, je Poskytovatel povinen uhradit Objednateli smluvní pokutu ve výši stanovené v následující tabulce:
Kategorie | Smluvní pokuta |
Nedodržení termínu pro převzetí incidentu u Služby dle odst. 1.02 písm. a) této Smlouvy | 500,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro převzetí požadavku u Služby dle odst. 1.02 písm. b), c), e), f) a g) této Smlouvy | 250,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro zahájení prací na odstranění závady u Služby dle odst. 1.02 a) a b) | 1 000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro odstranění závady u Služby dle odst. 1.02 a) | 5 000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro odstranění závady u Služby dle odst. 1.02 b) | 5 000,- Kč za každých započatých 24 hodin nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro vyřešení požadavku / urgentního požadavku u Služby dle odst. 1.02 písm. c) této Smlouvy | 1 000, - Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 v případě běžného požadavku/ 1 000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 v případě urgentního požadavku |
Kategorie | Smluvní pokuta |
Nedodržení termínu pro poskytnutí měsíčního reportu u Služby dle odst. 1.02 písm. d) této Smlouvy | 1 000,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro aktualizaci dokumentace u Služby dle odst. 1.02 písm. d) této Smlouvy | 500,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro realizaci požadavku kategorie A u Služby dle odst. 1.02 písm. e) této Smlouvy | 1 000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro realizaci požadavku kategorie B u Služby dle odst. 1.02 písm. e) této Smlouvy | 500,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro poskytnutí konzultace (informace, kontrola, vyjádření) u Služby dle odst. 1.02 písm. f) této Smlouvy | 1 000,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro provedení školení u Služby dle odst. 1.02 písm. g) této Smlouvy | 1 000,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 1 |
Nedodržení úrovně dostupnosti Systému externích identit pro eRecept dle Přílohy č. 1 | 50 000,- Kč za každé započaté procento pod smluvní úroveň dostupnosti dle Přílohy č. 1 |
Nedodržení úrovně dostupnosti ostatních Systémů dle Přílohy č. 1 (měřeno souhrnně) | 50 000,- Kč za každé započaté procento pod smluvní úroveň dostupnosti dle Přílohy č. 1 |
Neumožnění provedení auditu dle odst. 3.12 či odst. 9.13 písm. i) Smlouvy | 10 000,- Kč za každý takový případ. |
Nedodržení termínu pro telefonické a emailové oznámení incidentu narušení osobních údajů dle Přílohy č. 1 | 500,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nedodržení termínu pro telefonické a emailové oznámení incidentu narušení ochrany kybernetické bezpečnosti dle Přílohy č. 1 | 500,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 1 |
Nezaslání písemného dokumentu o incidentu narušení ochrany osobních údajů dle Přílohy č. 1 | 1 000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 1 |
Nezaslání písemného dokumentu o incidentu narušení kybernetické bezpečnosti dle Přílohy č. 1 | 1 000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 1 |
Kategorie | Smluvní pokuta |
Nezaslání vyhodnocení dostupnosti Systémů oprávněné osobě Objednatele dle odst. 1.03 | 1 000,- Kč každý započatý pracovní den po termínu odevzdání |
10.04Při porušení každé jednotlivé povinnosti stanovené v odst. 3.05 či 3.06 uhradí Poskytovatel Objednateli smluvní pokutu ve výši 20 000,- Kč za každé jednotlivé porušení.
10.05Poruší-li Poskytovatel jakoukoli povinnost dle odst. 3.14 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 2 000,- Kč za každý započatý kalendářní den prodlení se splněním této povinnosti. V případě opakovaného porušení je Poskytovatel povinen hradit tuto smluvní pokutu Objednateli opakovaně.
10.06Poruší-li Poskytovatel jakoukoli povinnost dle odst. 3.15 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 1 500,- Kč za každý započatý kalendářní den prodlení se splněním této povinnosti.
10.07Pokud Poskytovatel v průběhu smluvního vztahu přestane plnit předmět této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši odpovídající poměrné části ceny za poskytování Služeb dle odst. 5.01 této Smlouvy za každý den prodlení s plněním předmětu této Smlouvy. Takové prodlení je porušením povinností Poskytovatele podstatným způsobem.
10.08Úhradou smluvní pokuty se Poskytovatel nezbavuje povinnosti poskytnout Objednateli sjednané plnění ze Smlouvy ani povinnosti nahradit případnou vzniklou škodu, a to i ve výši přesahující výši smluvní pokuty.
Článek 11.
Trvání Smlouvy
11.01 Tato Xxxxxxx se uzavírá na dobu dvou let od data nabytí účinnosti této Smlouvy.
11.02 Smluvní strany si sjednaly možnost ukončit platnost Smlouvy i před uplynutím doby podle předchozího odstavce z těchto důvodů:
a) Výpovědí;
b) Ztrátou oprávnění Poskytovatele k výkonu činnosti, které je zapotřebí pro poskytování Služeb;
c) Písemnou dohodou smluvních stran.
11.03 V případě ukončení Smlouvy zůstávají i po jejím skončení v platnosti a účinnosti veškerá ujednání smluvních stran ohledně odpovědnosti Poskytovatele za škodu, nároku na smluvní pokutu a ochrany důvěrných informací.
Článek 12.
Výpověď a odstoupení od Xxxxxxx
12.01Kterákoli ze smluvních stran může Smlouvu zcela nebo zčásti vypovědět. Objednatel je oprávněn Xxxxxxx vypovědět bez uvedení důvodu, přičemž výpovědní doba pro Objednatele činí 1 měsíc a počíná běžet prvním dnem měsíce bezprostředně následujícího po kalendářním měsíci, v němž byla výpověď prokazatelně doručena Poskytovateli. Poskytovatel je oprávněn Xxxxxxx vypovědět pouze z důvodu prodlení Objednatele se zaplacením faktury vystavené Poskytovatelem po uskutečnění plnění, tj. po řádném a včasném poskytnutí Služeb v souladu s touto Smlouvou; prodlení Objednatele musí činit více než 60 dní. Výpovědní doba pro Poskytovatele činí 3 měsíce a počíná běžet prvním dnem měsíce bezprostředně následujícího po kalendářním měsíci, v němž byla výpověď prokazatelně doručena Objednateli.
12.02Po obdržení výpovědi uvedené v předchozím odstavci je Poskytovatel povinen pokračovat v činnosti dle této Smlouvy až do uplynutí výpovědní doby, pokud neobdrží jiný písemný pokyn Objednatele. Zároveň je povinen Objednatele upozornit na opatření potřebná k tomu, aby se zabránilo vzniku škody bezprostředně hrozící Objednateli nedokončením určité činnosti.
12.03Smluvní strana je oprávněna bez zbytečného odkladu odstoupit od této Smlouvy v případě, že druhá smluvní strana poruší tuto Smlouvu podstatným způsobem ve smyslu § 2002 OZ.
12.04Odstoupení od Xxxxxxx je smluvní strana povinna sdělit druhé smluvní straně formou písemného oznámení o odstoupení. Z oznámení musí být zřejmé, v čem odstupující smluvní strana spatřuje podstatné porušení Smlouvy včetně odkazu na konkrétní porušenou smluvní povinnost.
12.05Odstoupení od Xxxxxxx je účinné doručením písemného oznámení o odstoupení druhé smluvní straně, pokud z obsahu odstoupení nevyplývá pozdější účinek odstoupení. Za řádné doručení oznámení o odstoupení od Xxxxxxx se považuje jeho doručení prostřednictvím poskytovatele poštovních služeb, kurýra, nebo jeho doručení do datové schránky druhé smluvní strany.
12.06Odstoupením od Smlouvy nejsou dotčena ustanovení týkající se ochrany informací, řešení sporů, zajištění pohledávky kterékoliv ze Smluvních stran, náhrady škody a ustanovení týkajících se těch práv a povinností, z jejichž povahy vyplývá, že mají trvat i po odstoupení od Smlouvy (zejména jde o povinnost poskytnout peněžitá plnění za plnění poskytnutá před účinností odstoupení od Smlouvy). V případě odstoupení ze strany Objednatele je tento oprávněn určit, zda si již akceptovaná a plnění ponechá nebo budou vrácena Poskytovateli a vzájemně vypořádána.
Článek 13. Vyšší moc
13.01Smluvní strany nejsou odpovědné za částečné nebo úplné neplnění smluvních závazků následkem vyšší moci. Za vyšší moc se považují okolnosti, vzniklé po podepsání této Smlouvy jako následek nevyhnutelných událostí mimořádné povahy, které mají přímý vliv na plnění předmětu Smlouvy a které smluvní strana uplatňující existenci vlivu (působení) vyšší moci, nemohla předpokládat před uzavřením této Smlouvy, a které nemůže tato dotčená smluvní strana ovlivnit při vynaložení veškerého svého úsilí.
13.02Vyskytne-li se působení vyšší moci, lhůty ke splnění smluvních závazků se prodlouží
o dobu jejího působení.
13.03Smluvní strana postižená vyšší mocí je povinna druhou smluvní stranu uvědomit písemně o počátku a ukončení působení vyšší moci neprodleně nejpozději však do 15 dnů. Pokud by tak neučinila, nemůže se smluvní strana účinně dovolávat působení vyšší moci.
Článek 14.
Salvatorní ustanovení
14.01Je-li nebo stane-li se některé ustanovení této Smlouvy neplatné, neúčinné či nevymahatelné, zůstávají ostatní ustanovení této Smlouvy platná a účinná. Namísto neplatného, neúčinného nebo nevymahatelného ustanovení se použijí ustanovení obecně závazných právních předpisů upravujících otázku vzájemného vztahu smluvních stran. Smluvní strany se pak zavazují upravit svůj vztah přijetím jiného ustanovení, které svým výsledkem nejlépe odpovídá záměru ustanovení neplatného, resp. neúčinného či nevymahatelného. Pokud bude v této Smlouvě chybět jakékoli ustanovení, jež by jinak bylo přiměřené z hlediska úplnosti úpravy práv a povinností, vynaloží Strany maximální úsilí k doplnění takového ustanovení do této Smlouvy.
Článek 15.
Závěrečná ujednání
15.01Oprávněnými osobami smluvních stran pro jednání v záležitostech plnění této Smlouvy
jsou tyto osoby (kterákoli z uvedených):
Za Objednatele
Xxxxx Xxxxx, tel. 000 000 000, e-mail: xxxxx.xxxxx@xxxx.xx
Xxxxxxxx Xxxxxxx, tel. 000 000 000, e-mail: xxxxxxxx.xxxxxxx@xxxx.xx Za Poskytovatele:
XXX, tel. XXX, e-mail: XXX
Telefonní číslo Poskytovatele pro hlášení závad: x000 000 000 000 E-mail Poskytovatele pro hlášení závad: XXXXXxxxxx@xxxxx.xx
15.02Nedílnou součástí této Smlouvy je:
Příloha č. 1 – Specifikace Služeb Příloha č. 2 – Specifikace Systémů
Příloha č. 3 – Formulář žádosti o přístup/ukončení přístupu do informačního systému
Objednatele
15.03Tuto Smlouvu lze měnit pouze písemným, číslovaným a oboustranně potvrzeným ujednáním, výslovně nazvaným dodatek ke smlouvě. Jiné zápisy, protokoly apod. se za změnu Xxxxxxx nepovažují.
15.04Nastanou-li u některé ze stran skutečnosti bránící řádnému plnění této Smlouvy, je povinna to neprodleně oznámit druhé straně.
15.05Tato Smlouva je vyhotovena ve 2 stejnopisech, z nichž každá smluvní strana obdrží po 1 vyhotovení.
15.06Smluvní strany prohlašují, že si Xxxxxxx pozorně přečetly a že je jim její obsah jasný a srozumitelný. Prohlašují, že tato Smlouva nebyla sjednána ani v tísni, ani za jinak jednostranně nevýhodných podmínek.
15.07Ve všech případech, které neřeší ujednání obsažené v této Smlouvě, platí příslušná ustanovení OZ, případně dalších předpisů platného práva České republiky.
15.08Poskytovatel bere na vědomí povinnost zveřejnit Xxxxxxx v registru smluv (dále jen
„registr smluv“) v souladu se zákonem č. 340/2015 Sb., o registru smluv, a podpisem této Smlouvy vyslovuje souhlas se zveřejněním všech údajů uvedených ve Smlouvě Objednatelem v registru smluv zřízeném uvedeným zákonem, vyjma osobních údajů. Poskytovatel výslovně prohlašuje, že žádný údaj uvedený v této Smlouvě a jejích přílohách není obchodním tajemstvím ve smyslu § 504 OZ.
15.09Tato Smlouva nabývá platnosti dnem podpisu oběma smluvními stranami a účinnosti
dnem uveřejnění v registru smluv.
Na důkaz toho, že celý obsah Smlouvy je projevem jejich pravé, vážné a svobodné vůle, připojují osoby oprávněné za smluvní strany uzavírat tuto Smlouvu své vlastnoruční podpisy.
V Praze dne 4. 6. 2018 V Praze dne 18. 5. 2018
Objednatel: Poskytovatel:
…………………………… ……………………………….
Xxx. Xxxxx Xxxxxxx Xxxx Xxxxx
příkazem k zastupování pověřena řízením jednatel
Státního ústavu pro kontrolu léčiv
Příloha č. 1 smlouvy o poskytování servisní podpory vybraných informačních Systémů SÚKL
Specifikace služˇeb
Identifikace a odstranění kritických závad
Popis služby
Kritickou závadou se rozumí nefunkčnost informačního systému SÚKL, příp. informačních systémů SÚKL (dále jen „Systém“, nebo „Systémy”) jako celku či jeho klíčových částí, nebo nefunkčnost bezpečnostních, identifikačních a komunikačních komponent, ohrožující bezpečnost Systému nebo jakékoliv jiného systému Objednatele. Jedná se např. o výpadek aplikačního serveru, autentizačních komponent, chybu aplikační logiky, nedostupnost klíčových webových služeb, nebo neúměrně dlouhé odezvy klíčových služeb. Neúměrná doba odezvy je stav, kdy odezva se prodlouží o nejméně 300 % ve srovnání s průměrnou dobou odezvy. Dále se za kritickou závadu považuje stav, kdy uživatelská funkcionalita Systém generuje výstupy a zpracovává data odchylně od požadovaného zadání nebo z hlediska významu dotčeného úkolu Objednatele a jeho obsahu (zejména s ohledem na oprávněné zájmy třetích osob dotčených činností Objednatele). Systém např. vrací jiná data či atributy, než jsou akceptované v návrhu řešení prováděcího projektu.
Tato služba zajišťuje všechny nezbytné kroky, které zajistí odstranění kritické závady nebo změnu její
kvalifikace na běžnou závadu.
Vstupy
Nefunkční systém
Hlášení monitorovacího systému
SLA
Popis SLA | Termín plnění |
Převzetí incidentu | do 30 min od nahlášení |
Zahájení prací na odstranění kritické závady | do 2 hodin od nahlášení |
Odstranění (fixace) kritické závady | do 4 hodin od nahlášení |
Termín plnění se automaticky posouvá o dobu činností, které je prokazatelně potřeba pro odstranění chyby provést a nejsou v rozsahu předmětu Smlouvy (např. obnova Systému ze zálohy apod.).
Stejně tak se termín plnění posouvá o dobu, po kterou je zaměstnancům Poskytovatele znemožněn přístup za účelem opravy.
Výstupy
Záznam v helpdeskovém systému
Analýza příčin vzniku kritické závady a návrh opatření, jak této závadě předcházet Odstraněná závada
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Identifikace a odstranění běžných závad
Běžnou závadou se rozumí stav znamenající nefunkčnost Systémů, které nespadají pod kategorii kritické závady. Dále se jedná o nefunkčnost jednotlivých komponent Systému, které nezpůsobují havarijní stav celého Systému. Může se jednat o parciální chyby a pomalé odezvy webových služeb, SQL databáze a rozhraní zajišťující méně důležité funkcionality Systémů. Pomalá odezva webových služeb je stav, kdy se odezva webových služeb prodlouží o 100 % ve srovnání s průměrnou dobou odezvy. Za tento typ závady se považuje i taková závada, která omezuje práci uživatele nebo pokud funkcionalita je možná pouze s využitím náhradních procesů nebo zvláště kvalifikované podpory uživatele.
Tato služba zajišťuje všechny nezbytné kroky, které zajistí odstranění běžné závady.
Vstupy
Nefunkční komponenty Systému Hlášení monitorovacího Systému
Změna kvalifikace Objednatelem závažnosti závady z kritické na běžnou závadu
SLA
Popis SLA | Termín plnění |
Převzetí incidentu | do 30 minut od nahlášení |
Zahájení prací na odstranění běžné závady | do 6 hodin od nahlášení |
Odstranění (fixace) běžné závady | do 48 hodin od nahlášení |
Termín plnění se automaticky posouvá o dobu činností, které je prokazatelně potřeba pro odstranění závady provést a nejsou v rozsahu předmětu Smlouvy (např. obnova Systému ze zálohy apod.).
Stejně tak se termín plnění posouvá o dobu, po kterou je zaměstnancům Poskytovatele znemožněn přístup za účelem opravy.
Výstupy
Záznam v helpdeskovém systému
V případě, že o to Objednatel požádá, zpracuje Poskytovatel analýzu příčin vzniku kritické závady a návrh opatření, jak této závadě předcházet
Odstraněná závada
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Servisní podpora klientských požadavků a helpdeskový systém
Popis služby
Poskytovatel bude využívat helpdeskový systém Objednatele. Objednatel poskytne přístup k helpdeskovému systému k řešení klientských požadavků a problémů. Dále bude Poskytovatel podporovat požadavky a problémy pomocí min. jedné emailové adresy Objednatele. Požadavky a problémy bude možné zadávat také napřímo pomocí emailové adresy Poskytovatele.
Při problémech urgentního charakteru nebo při nejasnostech ohledně řešení problémů bude Poskytovatel také dostupný min. na jednom stanoveném telefonním čísle. Tento způsob lze použít i v případě jiné krizové situace.
Urgentní požadavky mají vždy vyšší prioritu než požadavky standardní.
Seznam komunikačních kanálů Objednatele s klienty
• Kontaktní centrum – požadavky a problémy dotýkající se externích identit v sekci eRecept
• Kontaktní centrum – požadavky dotýkající se externích identit ostatních Systémů
• Kontaktní centrum – celá sekce distribuční hlášení DIS-13
• Kontaktní centrum – celá sekce výdeje léčivých přípravků LEK-13
• Kontaktní centrum – celá sekce hlášení držitelů registrace REG-13
• Kontaktní centrum – celá sekce číselníky
• Kontaktní centrum – celá sekce Hlášení závad
• Email xxxxxxx@xxxx.xx sloužící jako technická podpora Systému Externí Identity a dalších Systémů
Objednatele
Objednatel si vyhrazuje přidat do seznamu výše další sekce kontaktního centra, případně další emailové schránky, které vzniknou v průběhu realizace Smlouvy. To neopravňuje Poskytovatele k navýšení ceny Služeb.
Aktuální měsíční počet požadavků a problémů, které jsou řešeny v jednotlivých sekcích a emailové schránce je okolo 500 ks. Požadavky a problémy v kontaktním centru nepřevyšují běžně 100 ks měsíčně. Počet požadavků se mění dle termínů změn prováděných v jednotlivých Systémech.
Rozdělení klientů
Klientem se rozumí externí uživatel, případně vývojář softwarových řešení. Jedná se o níže uvedené uživatele, kteří využívají uvedené Systémy:
• Lékař – eRecept
• Lékárník – eRecept, Hlášení závad, LEK-13, DIS-13
• Distributor – DIS-13, Hlášení závad, číselníky
• Držitel – REG-13
• Vývojář softwarových řešení – všechny systémy
Klienti dále vyžívají Systém externích identit, který je rovněž součástí servisní podpory.
Klientský požadavek může být zadán klientem, případně vybraným pracovníky IT Objednatele.
Urgentní požadavky může zadávat pouze Objednatel, případě Objednatel určí typ požadavku, který může zadávat klient a bude vždy urgentního typu.
Rozdělení požadavků
Požadavky jsou různorodého charakteru a lze je rozdělit do kategorií:
• Výpomoc při tvorbě klientský aplikací. Analýza zdrojových kódů klienta
• Analýza chyb v datových sadách klienta
• Analýza a oprava chyb nalezených klientem v Systému
• Objasnění klientovi technologií použitou na prezentační vrstvě, včetně popisu automatizované komunikace a možností, jak k rozhraním přistupovat
• Seznámení klienta s workflow a operacemi Systému dostupnými klientovi
• Seznámení klienta s business procesy spojenými s funkčností Systému
• Řešení problémů s přístupy klienta do jednotlivých Systémů
o Problémy s generováním autorizačních SSL certifikátů
o Problémy spojené s přihlašovacími údaji
• Evidence nových funkcionality a námětů na zlepšení Systémů
• Generování testovacích přístupů
• Aktualizace údajů
Vstupy
Vstupem je požadavek klienta.
Vstupem je i hlášení Poskytovatele o servisních oknech nebo požadavcích na součinnost.
SLA
Popis SLA | Doba plnění |
Převzetí požadavku | Do 30 minut od přijetí požadavku |
Vyřešení požadavků | Nejpozději v průběhu následující pracovního dne po převzetí požadavku, v případě že není nutná součinnost Objednatele |
Vyřešení urgentního požadavku | Do 4 hodin od převzetí požadavku, v případě že není nutná součinnost Objednatele |
Výstupy
Výstupem je vyřešený požadavek.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 17:00 hodin.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Vedení dokumentace
Popis služby
Účelem služby je vedení dokumentace k aplikačnímu SW, její aktualizace a zpřístupnění Objednateli. Obsah dokumentace bude odpovídat požadavkům vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy).
Dokumentace je předána do vlastnictví Objednatele, který může dokumentaci neomezeně využívat pro svou potřebu nebo ji předat třetí osobě.
Pro potřebu externích subjektů, které využívají služby Systémů, bude připravována samostatná sada dokumentace. Změny mezi verzemi musí být zanesené ve speciálním dokumentu. Dokumentace bude dostupná i v editovatelném formátu. Součástí dokumentace bude také podrobný popis volaných služeb, včetně testovací dat.
Dokumentace musí být verzována; jednotlivé změny v každé verzi musí být zřetelně označeny. Dokumentace bude dostupná ve formátu MS Office. Alternativně se lze dohodnout na jiném formátu, vhodném pro zachycení častých změn.
Součástí služby dokumentace bude i průběžně vedený strukturovaný dokument, který bude obsahovat popis provedených úkonů v rámci administrace a údržby Systémů s popisem jejich dopadu do vlastních i navazujících systémů. Tento dokument musí být neustále přístupný vybraným zaměstnancům Objednatele.
V rámci této služby je poskytovatel povinen vyhotovovat a poskytovat Objednateli report za předcházející kalendářní měsíc, který bude mj. obsahovat:
• seznam vyřešených požadavků (včetně problémů) a stav řešení nevyřešených požadavků,
• statistika plnění požadovaných SLA,
Strukturu měsíční reportu lze změnit na základě písemné dohody s Objednatele a Poskytovatele.
Vstupy
Vstupy jsou požadavky, změny a problémy Systémů
SLA
Popis SLA | Termín plnění |
Poskytnutí měsíčního reportu | Do 10. pracovního dne následujícího měsíce. |
Aktualizace dokumentace | Do 14 kalendářních dnů od provedení změny v Systém na produkčním prostředí |
Výstupy
Měsíční report
Dokumentace k Systémů
Dokumentace pro výrobce softwarových řešení
Doba poskytování a zařazení Služby
Doba poskytování služby je v pracovní dny od 8:00 do 17:00 hodin.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Servisní podpora platforem a komponent Systémů
Součástí služby jsou administrace a údržba jednotlivých komponent Systémů, včetně údržby každého Systému jako celku, za účelem udržení Systému v provozu, dohled a optimalizace odezev služeb, provádění nasazení nových verzí jednotlivých komponent a plnění servisních požadavků.
Systém obsahuje níže uvedené platformy a jejich komponenty:
• Webové servery
• Aplikační servery
• Databázové servery
• Operační systémy
Jedná se o kompletní podporu řešení na všech vrstvách Systému. Objednatel je povinen zajišťovat správu domény, virtualizace, balancování a HW prostředků a zálohování celých serverů.
Níže je uvedený obecný popis jednotlivých komponent Systému nutných pro znalost každodenních problémů řešených v rámci rutinní administrace Systémů a plnění servisních požadavků.
Web servery
Součástí administrace web serverů je min. terminace SSL spojení, konfirmace veškerých URL a jejich dalšího směrování, poskytování statického obsahu, LDAP autentizace, správa API specifikace, debug režim.
Aplikační servery
Jedná se především o parsování datových správ, poskytování dynamického obsahu grafickým uživatelským aplikacím, směrování na databázové funkce, komunikace s certifikační autoritou, emailová komunikace, ostatní integrace.
Databázové servery
Databázové servery obsahují velké množství databázových funkcí, datové modely s nerelační složkou, replikace, zálohy a databázové linky.
Operační systémy
Jedná se především o instalace konfigurace výše uvedených platforem, sledování a vyhodnocování logů, konfigurace časových úloh, správa balíčků, nasazení nových verzí aplikací, nastavení debugování, práce s verzovacím systémem.
Servisní požadavky
Jedná se o kategorie drobných konfiguračních změn, definovaných pro práce s rozsahem pracnosti
jednotlivě maximálně 1 ČD a zahrnují mj. následující činnosti:
o Správa servisních účtů
o Správa časových úloh
o Úprava textací a grafických prvků prezentačních komponent
o Správa popisu datového rozhraní API
o Testování jednotlivých komponent
o Změna konfigurace jednotlivých platforem a komponent aplikací
o Úprava zálohování
o Nasazení změn
o Analýza odezev API a GUI a jejich optimalizace
o Správa a úprava datového modelu a databázových funkcí
o Optimalizace databázových funkcí a odezvy SQL.
o Analýza logů
Údržba Systémů
Pro udržování Systémů je vyhrazeno servisní okno, které stanoví Objednatel. Servisním oknem je myšlena údržba Systému, kdy Systém nemusí být plně dostupný; to znamená, že nejsou např. funkční vazby mezi jednotlivými instalacemi Systému nebo nejsou monitorovány odezvy Systému.
Prostředí
Systémy mají čtyři prostředí. Popis jednotlivých prostředí je popsán v Příloze č. 2 Smlouvy. Pouze dvě prostředí jsou umístěné v datovém centrum Objednatele. Provoz a umístění zbylých dvou prostředí zabezpečuje Dodavatel služeb. Služby dle této smlouvy musí být poskytované na všech čtyřech prostředích.
Lokality
Systémy jsou aktuálně umístěny v jedné lokalitě Objednatele. V průběhu čerpání smlouvy dojde k rozšíření systémů do druhé lokality Objednatele. Dodavatel služeb zajistí instalaci a konfiguraci v druhé lokalitě, a následně bude druhou lokalitu spravovat.
Vstupy
Potřeba administrace
Požadavek v helpdeskového systému
SLA
Jednotlivé administrační požadavky musí být poskytovány podle následujících pravidel:
Kategorie | Dokončení realizace požadavku | Typ | Náročnost |
A | do 4 hodin od převzetí | Rychlé a nutné administrační zásahy do Systém | <2ČH (člověkohodin) |
B | do 48 hodin | Ostatní administrační zásahy | <1ČD |
Převzetí požadavku proběhne nejpozději do 30 minut od nahlášení.
Veškeré požadavky budou kategorizovány Objednatelem jako součást zadání požadavku. Vyřešením požadavku dle tohoto článku se rozumí stav, kdy dané řešení je Objednatelem považováno za
vyhovující. Kategorie požadavku lze po věcném přehodnocení Poskytovatelem a schválení tohoto přehodnocení Objednatelem dodatečně přesunout do jiné kategorie.
Náročnost služby v ČD je pouze pro informativní účely.
Výstupy
Správně nakonfigurované a funkční systémy Realizované servisní požadavky
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Produktová podpora systémů pro SW třetích stran
Popis služby
Poskytování součinnosti při provozování ostatních informačních systémů SÚKL a IT komponent, které jsou využívány pro vlastní provoz Systému, případně s provozem Systému souvisejí (např. konfigurace HW, informační systémy třetích stran, virtualizační systém apod.). Služba je prováděná za účelem odborné pomoci a rady za účelem řešení konkrétního problému. Podpora bude poskytována formou ústních nebo písemných konzultací či formou účasti na jednáních na základě vyžádání Objednatele. Poskytovatel je povinen zajistit účast osoby s odpovídající odborností.
Služba zahrnuje zejména:
• Konzultace - informace – poskytnutí informace na základě dotazu Objednatele;
• Konzultace - kontrola – vypracování kontrolní zprávy o provedení kontroly; jedná se o dotaz složitějšího charakteru a je zde požadována součinnost Objednatele;
• Konzultace - vyjádření – vypracování dokumentu, který bere v úvahu i možné jiné dopady vztahující se k řešení konkrétního složitého problému; tento dotaz je již komplexního charakteru a požadovaná součinnost Objednatele je vysoká;
• účast na jednáních s Objednatelem či třetími stranami.
Vstupy
Vstupem je požadavek Objednatele v Systému helpdesk, nebo telefonická/e-mailová žádost.
SLA
Popis | Čas na vyřešení |
Konzultace – informace | do 1 pracovního dne |
Konzultace – kontrola | do 3 pracovních dnů |
Konzultace – vyjádření | do 10 pracovních dnů |
Účast na jednání | dle dohody s Objednatelem |
Převzetí požadavku | do 30 minut od nahlášení |
Výstupy
Výstupem je písemné sdělení prostřednictvím helpdesku či e-mailu. U kontrol a vyjádření může být Objednatelem požadováno předání zprávy nebo stanoviska v listinné podobě opatřené podpisem Poskytovatele.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 17:00 hodin.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Školení
Popis služby
Školení budou prováděna na základě konkrétní písemné žádosti Objednatele. Součástí žádosti musí být určení místa, termínu a způsobu provedení školení. Poskytovatel musí zajistit školitele s odpovídající odborností, dle obsahu školení.
Objednávka na provedení služby bude zaslána alespoň 14 kalendářních dní před vlastním termínem
realizace služby.
Rozsah školení nepřekročí celkově 3 ČD za celou dobu platnosti Smlouvy. Do rozsahu školení se nepočítá příprava školitele na školení.
Školení budou realizována v prostorách Objednatele, nebude-li dohodnuto jinak.
Vstupy
Objednávka prostřednictvím helpdeskového systému.
SLA
Popis SLA | Termín plnění |
Provedení školení | V termínu stanoveném žádostí, nejdéle do 14 kalendářních dnů od zaslání objednávky ze strany Objednatele. |
Převzetí požadavku proběhne nejpozději do 30 minut od nahlášení.
Výstupy
Předávací protokol o provedeném školení, jehož přílohou je stručný obsah školení a podpisový arch
účastníků školení.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 17:00 hodin.
Rozsah čerpání služby je omezen na 3 ČD za celou dobu platnosti Smlouvy.
Proaktivní monitoring
Popis služby
V rámci této služby bude vytvořen a provozován monitoring Systému. Monitoring musí být schopen sledovat dostupnost a odezvu jednotlivých komponent Systému, a to jak portálových řešení, tak webových služeb.
Pomocí vzdáleného monitoringu bude Poskytovatel ověřovat správnou funkčnost Systém. Monitoring je prováděn výhradně formou vzdáleného přístupu. Při detekci potenciálně nebezpečné hodnoty sledovaných parametrů bude kontaktován pověřený zástupce Objednatele (e-mailem nebo telefonicky) a zároveň bude problém zaevidován.
Poskytovatel bere na vědomí, že Objednatel provádí monitoring vybraných komponent Systém vlastními prostředky prostřednictvím Systém Zabbix. Poskytovatel nesmí tuto službu omezit.
Vstupy
Informace z monitorovaných částí Systému.
Výstupy
Informace o nestandardních a potencionálně nebezpečných hodnotách monitorovaných parametrů
(e-mailem, telefonicky a pomocí helpdeskového systému).
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Dostupnost Systémů
Požadovaná dostupnost Systému externích identit pro eRecept je 98 %.
Požadovaná dostupnost ostatních Systémů a dalších částí externích identit je 94 %. Každý výpadek se sčítá s předešlým. Při paralelním výpadku více Systémů se čas nenásobí.
Výpočet dostupnosti
V případech zjištění nedostupnosti jakéhokoliv Systému musí být tato skutečnost bezodkladně zaznamenána do helpdeskového systému a současně musí být telefonicky informován pověřený zástupce Objednatele.
Dostupnost Systém je procentuální vyjádření doby, po kterou je Systém dostupný. Časy jsou počítány v minutách a vychází z časů, uvedených v helpdeskovém Systém. Je vykazována měsíčně a její výpočet je proveden na základě následujícího vzorce:
𝐷𝑚
= 𝑇𝑜𝑘 − 𝑇𝑒𝑟𝑟 ∗ 100
𝑇𝑜𝑘
D m je měsíční dostupnost Systém v %,
T err je celková doba nedostupnosti za sledované období v minutách,
T ok je celková doba, po kterou byla dostupnost sledována nebo též doba provozování služby (v minutách).
Sledovaným obdobím se rozumí čas, který je definován/požadován samostatně pro každou službu. Systém se považuje za nedostupný v případech, kdy vykazuje kritickou závadu.
Dobou nedostupnosti se rozumí doba od okamžiku prokazatelného zjištění závady Poskytovatelem, nebo od okamžiku prokazatelného nahlášení závady oprávněnou osobou Objednatelem způsobem stanoveným touto Smlouvou, a to do odstranění nedostupnosti.
Do doby nedostupnosti se nezapočítává nedostupnost Systému způsobená závadou, která prokazatelně není v rozsahu předmětu Smlouvy, tzn. závada na HW, síťové infrastruktuře. Dále se do doby nedostupnosti nezapočítává doba závady způsobená vyšší mocí, tedy událostí, jež nastaly nezávisle na vůli Poskytovatele a brání mu ve splnění jeho povinností, jestliže nelze rozumně předpokládat, že by Poskytovatel tuto překážku nebo její následky odvrátil nebo překonal a dále, že by v době vzniku závazku tuto překážku předvídal. Do doby nedostupnosti se nezapočítává doba potřebná k provedení plánovaných údržbových prací Poskytovatele, které byly odsouhlaseny Objednatelem. Stejně tak se do tohoto času nezapočítává doba, po kterou je zaměstnancům Poskytovatele znemožněn přístup za účelem opravy. Do doby nedostupnosti se nezapočítá doba plánovaných odstávek a doba od vznesení požadavku na nutnou součinnost Objednatele do doby jejího poskytnutí.
Oznámení incidentu narušení ochrany osobních údajů
Poskytovatel je povinen nahlásit Objednateli jakýkoliv incident narušení bezpečnosti osobních údajů. Jedná se o situace, kdy Poskytovatel smluvních služeb získal informace, že došlo k bezpečností události, která měla za následek narušení bezpečnostních informací dle zákona č. 468/2011 Sb. o
elektronických informacích. Porušením ochrany osobních údajů rozumíme porušení bezpečnosti,
které vede k neoprávněnému přístupu nebo k neoprávněné nebo nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů zpracovávaných v souvislosti s poskytováním veřejně dostupné služby
elektronických komunikací.
Každé hlášení musí obsahovat min. níže uvedené informace:
o Datum a čas události
o Okolnosti narušení bezpečnosti osobních údajů:
▪ Zničení dat
▪ Krádež/ztráta dat
▪ Změna dat
▪ Jiné – specifikujte
o Povaha a obsah dotčených osobních údajů:
▪ Jmenné a adresní údaje
▪ Údaje o telefonních číslech
▪ Uživatelské jméno
▪ Heslo
▪ Jiné přístupové a identifikační údaje
▪ Pohlaví
▪ Datum narození/věk
▪ Rodné číslo
▪ Logovací data
▪ Údaje týkající se elektronické pošty
▪ Jiná data – specifikujte
o Technická a organizační opatření, který byla použita na ochranu dotčených osobních údajů
o Počet a druh dotčených subjektů
o Týká se narušení bezpečnosti osobních údajů subjektů údajů (účastníci či jednotlivci) v jiných státech EU?
Vstupy
logy, komunikace
SLA
Popis SLA | Termín plnění |
Telefonické a emailové oznámení incidentu Objednateli - tel: x000 000 000 000 email: xxxxxxxxx@xxxx.xx | do jedné hodiny od zjištění incidentu |
Zaslání písemného dokumentu o incidentu do helpdesku a na email oprávněné osoby Objednatele dle odst. 15.01 Smlouvy | do 24 hodin od zjištění incidentu |
Výstupy
Písemný dokument o incidentu, implementace bezpečnostních opatření.
Podklady pro zprávu ÚOOÚ dle specifikace Objednatele.
Záznam v systému helpdesk.
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Oznámení incidentu narušení kybernetické bezpečnosti
Poskytovatel je povinen oznámit incident kybernetické bezpečností události u informačního systému kritické informační infrastruktury a významného informačního systému. Kybernetickým bezpečnostním incidentem se rozumí dle zákona č. 181/2014 Sb. o kybernetické bezpečnosti a prováděcí vyhlášce č. 316/2014 Sb. událostem vedoucím k průniku do Systému nebo omezení dostupnosti služeb. Dále se může jednat o překonání technických opatření, porušení organizačních opatření, případně projevem trvale působících hrozeb.
Obsah oznámení musí obsahovat min. níže uvedené informace:
o Datum a čas výskytu incidentu
o Datum a čas zjištění incidentu
o Kategorie incidentu
▪ Kategorie III - velmi závažný kybernetický bezpečnostní incident
▪ Kategorie II - závažný kybernetický bezpečnostní incident
▪ Kategorie I - méně závažný kybernetický bezpečnostní incident
o Typ incidentu
▪ Abusive Content (např. spam, kyberšikana, nevhodný obsah)
▪ Malicious Code (např. virus, červ, trojský kůň, dialer, spyware)
▪ Information Gathering (např. skenování, sniffing, sociální inženýrství)
▪ Intrusion Attempts (např. zneužití zranitelnosti, kompromitace aktiva,
"0-day" útok)
▪ Intrusions (např. kompromitace aplikace nebo uživatelského účtu)
▪ Availability (např. narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží)
▪ Information Security (např. neautorizovaný přístup nebo neautorizovaná změna informace, ...)
▪ Fraud (např. neoprávněné využití ICT - porušení licenčních práv, krádež
identity aj.)
▪ Ostatní
o Současný stav zvládání kybernetického bezpečnostního incidentu
o Počet zasažených Systém
o Odhad počtu dotčených uživatelů
o Popis incidentu
o Rozsah škod
o Jaká opatření byla přijata
o Systémové detaily
▪ Hostname
▪ Funkce hosta
▪ Port
▪ Protokol
▪ OS + verze
▪ Umístění Systému v architektuře
o Zdroj útoku
Vstupy
logy, komunikace
SLA
▪ Hostname
▪ Port
▪ Protokol
Popis SLA | Termín plnění |
Telefonické a emailové oznámení incidentu Objednateli – tel: x000 000 000 000 email: xxxxxxxxx@xxxx.xx | do jedné hodiny od zjištění incidentu |
Zaslání písemného dokumentu o incidentu do helpdesku a na email oprávněné osoby Objednatele dle odst. 15.01 Smlouvy | do 12 hodin od zjištění incidentu |
Výstupy
Písemný dokument o incidentu, implementace nápravných opatření. Podklady pro zprávu NBÚ dle specifikace Objednatele.
Záznam v Systém helpdesk.
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 dní v týdnu.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
Příloha č. 2 smlouvy o poskytování servisní podpory vybraných informačních systémů SÚKL
Podrobny´ popis systé´mů˚
Business architektura
Systémy slouží ze zákona o léčivech a navázaných vyhláškách pro zabezpečení dozorových činností SÚKL. Výjimku tvoři systém externích identit, který slouží pro autentizační a evidenční komponenta ostatních systému SÚKL pro externí uživatele.
Rozdělení jednotlivých systémů je následující:
1. Externi identity pro eRecept
2. Externí identity
3. Hlášení dodávek léčivých přípravků DIS-13
4. Hlášení výdeje léčivých přípravků LEK-13
5. Hlášení dodávek léčivých přípravků do ČR REG-13
6. Hlášení závad
7. Číselníky
Externí identity pro eRecept
Systém slouží pro ověření a evidenci identity pracovišť subjektů a identity přistupující k službám
eReceptu.
Systém obsahuje níže uvedené identity:
1. Lékař
2. Lékárník
3. Zdravotnické zařízení
4. Lékárna
5. Zdravotní pojišťovna
6. Pracovník zdravotní pojišťovny
7. Policie ČR
8. Pracovník policie ČR
9. Softwarové společnosti
10. Vývojář SW řešení
Externí identity
Jedná se o komplexní systém pro správu externích identit v jejich celém životním cyklu. Životní cyklus identity se skládá z následujících kroků:
1. Žádost identity o přístup k systémům SÚKL
2. Schválení žádosti
3. Založení identity
4. Generování přístupů
5. Odeslání přístupů
6. Ověřování přístupů
7. Využití základních údajů o identitě jiným systém SÚKL
8. Ukončení identity při ukončení její činnosti Systém obsahuje ještě nad rámec identity:
1. Distributor léčivých přípravků
2. Držitel registrace léčivých přípravků
Systém identit není k 01.2018 plně dokončen. V průběhu servisní činnosti bude docházet k přidávání
funkcionalit a změnám funkčnosti systému.
Hlášení dodávek léčivých přípravků DIS-13v5
Hlášení obsahuje měsíční informace o distribuovaných léčivech subjektů, kteří vlastní distribuční povolení v SÚKL. Hlášení se podává za každý sklad distributora léčiv. Systém podporuje dva
komunikační kanály pro zaslání hlášení. Hlášení lze zaslat automatizovaně z informačního systému distributora léči pomocí API, alternativně lze použít webovou aplikaci SÚKL, umožňující ruční zadávání dat.
Bližší informace jsou uvedeny v pokynu DIS-13v5. xxxx://xxx.xxxx.xx/xxxxxx/xxx-00-xxxxx-0
Hlášení dodávek léčivých přípravků LEK-13v6
Hlášení obsahuje informace o vydaných léčivých přípravcích. Hlášení se podává pravidelně. Systém podporuje vzhledem k velkému objemu dat pouze automatizovanou komunikaci pomocí vzdáleného přístupu přes informační systému lékárny.
Systém je k datu 01.2018 vytvořen na testovacím prostředí.
Hlášení dodávek léčivých přípravků do ČR REG-13
Hlášení obsahuje měsíční informace o distribuovaných léčivech do ČR. Hlášení podává držitel registrace léčivého přípravku. Systém podporuje dva komunikační kanály pro zaslání hlášení. Hlášení lze zaslat automatizovaně z informačního systému držitele léčiv pomocí API, alternativně lze použít webovou aplikaci SÚKL, umožňující ruční zadávání dat.
Bližší informace jsou uvedeny na webových stránkách.
xxxx://xxx.xxxx.xx/xxxxxxxxxxxxx-xxxxxxx/xxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxxx-00-xxxx-0-xxxxxx-x
Hlášení závad
Poskytuje lékárnám a distributorům léčivých přípravků informace o závadách v jakosti léčiv. Systém podporuje automatizovanou komunikaci pomocí vzdáleného přístupu z informačního systému
lékárny nebo distributora léčivých přípravků (API).
Číselníky
Obsahují dva datové sety pro distributory léčiv. Informace se aktualizují měsíčně. Další číselníky jsou k datu 01.2018 ve vývoji.
Technická architektura
Systémy využívají vícevrstvou architekturu s min. rozdíly mezi Systémy. Použité platformy a
technologie jsou stejné pro všechny Systémy. Některé aplikační komponenty a platformy se vyžívají
pouze v jednom systému, např. CA je dostupná pouze pro systém Externí identity.
API
API jsou vytvořeny jako REST API a vydefinovány pomocí OPEN API a využívají JSON datový formát. Pro popis jednotlivých API se využívá Swagger a Swagger UI.
GUI
Některé systémy využívají interní grafické aplikace pro schválení úprav dat, případně zadávání dat.
Grafické rozhraní je dále využito pro formuláře žádostí externích identit a aplikace pro ruční zadávání hlášení. GUI aplikace využívají framework Vue.JS nebo React.
WEB
Webový server slouží k odstínění http zátěže, terminaci SSL a balancování na aplikační server. Na
webových serverech NGINX je využíván také LDAP autentizační modul.
AS
O směrování komunikace na správné aplikační komponenty a pasování dat zabezpečuje aplikační
server Node.js.
DB
Největší množství aplikační logiky je umístěna na databázových serverech PostgreSQL. Databáze obsahuje cca. 300 funkcí pro uložení, načtení, úpravu, serializaci dat, včetně exportu pro datový sklad. Data jsou uložená v relačním modelu s nerelační složkou (JSONB). Databáze je replikována na sekundární read-only server.
LDAP a CA
Autentizaci přistupujících identit zabezpečuje LDAP Oracle Internet Directory a Red Hat Directory
Server. Certifikáty identit jsou generovány pomocí Microsoft CA.
Prostředí
Systémy mají čtyři prostředí. Produkční prostředí obsahuje aktuální a funkční verze Systémů, které jsou dostupné klientům. Testovací prostředí slouží pro testování a vývoj API klientů, které vytváří Softwarové společnosti pro svoje klienty. Produkční a testovací prostředí jsou umístěné v lokalitě Objednatele.
Preprodukční prostředí umožňuje testovat funkce Systémů, které budou nasazeny do produkčního prostředí. Testování vývojových nedokončených funkcionalit poskytuje testovací vývojové prostředí. Preprodukční a testovací vývojové prostředí poskytuje a spravuje Dodavatel a umožňuje Objednateli do těchto prostředí přístup.
Virtualizace a OS
Servery jsou vyinstalovány v lokalitě Objednatele na OS Rhel ve virtuální prostředí VMware.
Lokality
Aktuálně jsou servery umístěné pouze v jedné lokalitě Objednatele.
Všechny výše uvedené platformy a prostředí jsou předmětem servisní činnosti této smlouvy.
Předmětem servisní činnosti není správa virtualizace a HW v prostředí Objednatele.
Aplikační architektura
Hlavní činností jednotlivý systémů je zpracování nebo poskytování dat pomocí API requstů/response. Začátek requestu v případě externí komunikace začíná na HW balanceru, který dále předává dle zátěže požadavek na webové servery. Zde dochází k terminaci SSL spojení, autorizace dle obsahu v certifikátu, případně ověření přístupových údajů proti LDAP serveru. Aplikační server validuje a parsuje data a volá dále databázové funkce. Databáze validuje data a dle kvality requestu uloží data.
Externí identity pro eRecept
API obsahuje operace umožňující správnou funkcionality systému eRecept. Hlavní operací je autentizační služba, který obsahuje informace o identitě pracovišti a osobě vrací chybu autentizace, nebo seznam oprávnění identit. Další operace slouží pro načítání seznamů pracovišť, osob a číselníkových hodnot. Autentizační služba musí má odezvu do 100 milisekund.
Externí identity
Obsahují formuláře, API a portály pro správu identit. Jedná se o následující komponenty:
• Formuláře a API obsahující žádosti o přístup k systémům SÚKL
• Procesy pro schválení žádosti
• Portál a API pro interní správu identit a obsluhu jednotlivých žádostí,
• Portál a API pro přístup externí identit, sloužící pro vygenerování přístupů a změnu vybraných atributů identity.
Mezi další integrační komponenty patří asynchronní komunikace s certifikační autoritou a ověřování identity adresářovým serverem.
Hlášení dodávek léčivých přípravků DIS-13 a REG-13
Jsou velice podobné REST API, které zpracovávají JSON datové soubory. Requesty prochází postupnou validací na aplikačních serverech a následně na databázi, kde jsou data finálně uložena.
Přístup do hlášení pomocí webové aplikace jak řešen vlastním API, vzhledem k odlišnému procesu podání hlášení. Data jsou zpracovávána po jednotlivých položkách, aby nedocházelo ke ztrátě informací při vyplňování webové aplikace.
Opravná hlášení jsou schvalována pomocí interní webové uživatelské aplikace.
Integrace s datovým skladem je řešena pomocí databázových funkcí.
Hlášení výdeje léčivých přípravků LEK-13
API je koncipované stejným způsobem jako v systému DIS-13, s tím rozdílem, že jedná se o plně automatizovanou komunikaci server-server, s velkým množství nevalidních requestů , které se opakují ve vlnách. Datové balíky jsou zasílány klientem náhodně ve velkých dávkách. Dochází k tím
k vysoké míře zátěže celé infrastruktury a s tím spojeným problémům a požadavkům na optimalizaci. Integrace s datovým skladem je řešena pomocí databázových funkcí.
Hlášení závad
Se skládá z API a interní webové uživatelské aplikace. Webová aplikace slouží pro zadávání dat a API následně k jejich publikaci.
Číselníky
Je API pro poskytování dat veřejnosti ve strojové podobě, rovněž srozumitelné koncovému uživateli. API obsahují aktuálně pouze dva datové sety.
Dokumentace
Popis externích API, včetně datových rozhraní a popisu funkcionalit je umístěn na portále
xxxxx://xxxxxxx.xxxx.xx a xxxxx://xxx.xxxx.xx.
Registrační formuláře, formuláře pro ruční zadávání hlášení a portál externích identit je umístěn na rozcestníku xxxxx://xxxxxxxx.xxxx.xx
Seznam použitých technologií
Níže je uvedený seznam použitých technologií, které zástupci Dodavatele musí ovládat, aby mohla být prováděná řádně servisní a administrativní činnost veškerých komponent systému.
TypeScript 2.5+ HTML5 / CSS3
VueJS 2.x, ReactJS 15+, Angular 2+ Swagger UI 2.x
OpenAPI 2.0 a 3.0
NginX 1.12+ NodeJS 6.x, 8.x Express 4+
OpenSSL 1.0+
Microsoft CA 2016
PostgreSQL 9.6+
PostGIS 2.4+
Nominatim 3.x MapBox, LeafLetJS 1.0
Timescale 0.6+
PipelineDB 0.9.8+ PL/pgSQL
PL/v8
Red Hat 7.4
Git 1.8.3
Npm 3.10
Oracle Internet Directory 11g Red Hat Directory Server 10.1 Microsoft Acitve Directory
Příloha č. 3 Smlouvy
…………………. IČ (dále jen „žadatel“) žádá o zavedení přidělení přístupu na servery SÚKL
Pro své následující zaměstnance : .........................................................................................
..........................................................................................
žádáme o přístupové oprávnění na servery:
Název serveru | IP adresa | |
za účelem: “Plnění smlouvy č.……………. (objednávky ze dne ) a souvisejících objednávek“
Přístupy k serverům lze použít pouze za uvedeným účelem Žadatel a jeho zaměstnanci jsou povinni přístupová oprávnění chránit proti neoprávněnému použití či jakémukoliv zneužití. Současně se zavazují, že informace, se kterými se seznámí, použijí pouze k účelu, pro který jim byl přístup povolen, a nebudou je dále šířit.
Žadatel zpřístupní přístupová oprávnění pouze svým výše uvedeným zaměstnancům pověřeným prováděním činností v rámci plnění výše uvedené smlouvy / objednávky. Žadatel se zavazuje, že bude přistupovat pouze k serverům, o které požádal a pokud skončí potřeba přístupu, neprodleně o tomto SÚKL informuje. Žadatel je povinen SÚKL neprodleně informovat o skutečnosti, že zaměstnanec, kterému bylo přiděleno přístupové oprávnění, přestal pro žadatele vykonávat činnosti, pro něž mu byla přístupová oprávnění udělena. Převod přístupového oprávnění na jiného
zaměstnance žadatele podléhá předchozímu schválení ze strany SÚKL, o nějž je žadatel povinen požádat novou žádostí.
Neoprávněné použití přístupových oprávnění žadatelem či jeho zaměstnancem je považováno za porušení uděleného povolení, které zakládá plnou odpovědnost za takové porušení dle platných právních předpisů.
Uchazeč i jeho zaměstnanci přistupující k serverům SÚKL se zavazují k dodržování veškerých povinností stanovených zákonem č. 101/2000 Sb. o ochraně osobních údajů v platném znění, zákona č. 148/1998 Sb. o ochraně utajovaných skutečností v platném znění, a dalších platných právních předpisů. Podpisem této žádosti žadatel osvědčuje, že jeho zaměstnanci jsou plně obeznámeni s povinnostmi stanovenými v právních předpisech dle předchozí věty.
Žadatel odpovídá SÚKL za veškeré škody, způsobené porušením povinností stanovených v této žádosti či v platných právních předpisech ze strany žadatele či jeho zaměstnance. Každou takovou škodu je žadatel povinen nahradit SÚKL v plné výši.
Datum: ……………………. ……………………….……………………
Podpis
Schválil manažer bezpečnosti informací SUKL
Datum………………………….. ………………………….……………….
Podpis