Licenční a servisní smlouva k softwarovému produktu
Licenční a servisní smlouva k softwarovému produktu
ServiceDesk
Smluvní strany
Dodavatel
XXXXX, s.r.o. | |
IČO: | 25561561 |
DIČ: | CZ25561561 |
Sídlo: | Xxxxxxx 0000/00, 000 00 Xxxx xxx Xxxxxxx |
Zastoupen: | Xxx. Xxxxx Xxxxx, jednatel |
Bankovní spojení: | Československá obchodní banka, a.s. |
Číslo účtu: | 154486226/0300 |
(dále jen „Dodavatel“ nebo „Smluvní strana“)
Objednatel
Městská část Praha 10 | |
IČO | 00063941 |
DIČ | CZ00063941 |
Xxxxx | Xxxxxxxxxxx 0000/000, 000 00 Xxxxx 00 |
Zastoupen: | Ing. arch. Xxxxxx Xxxxxxx, starosta Městské části Praha 10 |
Oprávněn k smluvnímu jednání: | Xxx. Xxxxx Xxxxxxx, vedoucí Odboru informatiky Městské části Praha 10 |
Bankovní spojení | Česká spořitelna, a. s. |
Číslo účtu: | 19-2000733369/0800 |
(dále jen „Objednatel“, „Zadavatel“ nebo „Smluvní strana“)
Uzavřely v souladu se zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdější předpisů
tuto: Licenční a servisní smlouvu k softwarovému produktu ServiceDesk
(dále jen „Smlouva“)
Produkt | Cena v Kč bez DPH |
Trvalá licence ALVAO Service Desk 11.2 pro 550 uživatelů | |
Trvalá licence Module ALVAO for Outlook 11.2 pro 450 uživatelů | |
Trvalá licence Module ALVAO Advanced Workflows 11.2 pro 550 uživatelů | |
Trvalá licence Module ALVAO Service Desk Enterprise API 11.2 pro 550 uživatelů | |
Trvalá licence Module ALVAO Service Desk Custom Apps 11.2 pro 550 uživatelů | |
Podpora (maintenance) produktu ALVAO Service Desk 11.2 pro 550 uživatelů na 6 roků | |
Podpora (maintenance) ALVAO for Outlook 11.2 pro 450 uživatelů na 6 roků | |
Podpora (maintenance) modulu ALVAO Service Desk Advanced Workflows 11.2 pro 550 uživatelů na 6 roků | |
Podpora (maintenance) modulu ALVAO Service Desk Enterprise API 11.2 pro 550 uživatelů na 6 roků | |
Podpora (maintenance) modulu Service Desk Custom Apps 11.2 pro 550 uživatelů na 6 roků | |
Cena celkem: |
Služba | Práce | Cena v Kč bez DPH |
Základní analýza | 4 hod | |
Instalace vzdáleně do testovacího a produkčního prostředí | 8 hod | |
Workshop: Návrh Katalogu služeb, SLA, oprávnění | 8 hod | |
Konfigurace a nastavení části Katalogu služeb, SLA a oprávnění | 8 hod | |
Školení Administrator (max. 8 osob) | 4 hod | |
Školení používání produktu (max. 8 osob) | 8 hod | |
Školení reportování (max. 8 osob) | 4 hod | |
Školení tvorby vlastních Aplikací – Service Desk Custom Apps (max. 8 osob) | 8 hod | |
Podpora při rozběhu | 8 hod | |
Nastavení a zaškolení modulu ALVAO for Outlook | 4 hod | |
Nasazení a zaškolení modulu ALVAO Advanced Workflows | 4 hod | |
Nasazení modulu ALVAO Service Desk Enterprise API | 4 hod | |
Předplacené hodiny rozšířené podpory | 30 hod | |
Cena celkem: |
3) Smluvní strany pro vyloučení pochybností sjednávají, že předmětem této Smlouvy nejsou žádné další služby či práce výslovně neuvedené v odst. 1) či 2) tohoto článku, této Smlouvy. Poskytnutí jakýchkoli dalších služeb či prací musí být smluvními stranami dohodnuto zvlášť.
1) Za poskytnuté licence Produktu, podporu a provedené Služby dle celé této Smlouvy se Objednatel zavazuje Dodavateli zaplatit sjednanou cenu v celkové výši bez DPH, která je specifikována v čl. I této Smlouvy a to dle níže uvedených ustanovení. K této
ceně přísluší DPH ve výši stanovené obecně závaznými předpisy. Sjednanou cenu se Objednatel zavazuje Dodavateli zaplatit na základě vystavených faktur viz. tabulka tak, že faktura za licence Produktu dle čl. I odst. I.1) této Smlouvy bude vystavena do 10 dnů po podpisu této Smlouvy, vyjma podpory (maintenance) produktu a modulů, která bude
fakturována na roční bázi, v celkové výši
rok). Faktura za Služby dle čl. I odst. I.2) této Smlouvy bude vystavena po jejich poskytnutí. Předplacené hodiny budou fakturovány spolu s ostatními službami uvedenými v čl. I odst. I.2), a to v průběhu nebo před jejich poskytnutím. Splatnost všech faktur se sjednává na 30 dnů ode dne, kdy byla Objednateli doručena.
2) V případě, že Objednatel nezaplatí sjednanou cenu plnění řádně a včas, má Dodavatel právo požadovat od Objednatele smluvní pokutu ve výši dvě setiny (0,02) procenta dlužné částky za každý den prodlení.
III. Poskytnutí Produktu a souvisejících Služeb
1) Dodavatel vystaví Objednateli licenční aktivační klíče pro aktivaci Produktu v rozsahu dle čl. I odst. I.1) této Smlouvy do pěti (5) pracovních dnů od připsání ceny za softwarové licence Produktu na účet Dodavatele. Aktivační klíče budou poskytnuty na e-mailovou adresu následujícím kontaktním osobám:
Xxxxx a příjmení | Telefon | |
Xxx. Xxxxx Xxxxxxx | x000 000 000 000 | |
Xxx. Xxxxxxx Xxxxxxx | x000 000 000 000 |
2) Dodavatel se zavazuje poskytnout Objednateli Služby dle čl. I odst. I.2) této Smlouvy vyjma předplacených hodin v dohodnutém termínu, nejpozději však do sto (100) dnů ode dne vystavení aktivačních klíčů pro aktivaci Produktu dle čl. III odst. 1) této Smlouvy za předpokladu poskytnutí nezbytné součinnosti ze strany Objednatele. Poskytnutí Služeb smluvní strany potvrdí písemným předávacím protokolem, který bude sloužit zároveň jako podklad pro fakturaci dle čl. II odst. II.1) této Smlouvy. Předplacené hodiny rozšířené podpory mají platnost pět set čtyřicet sedm (547) dnů ode dne vystavení aktivačních klíčů pro aktivaci Produktu a nepodléhají smluvní pokutě dle čl. III odst. 4) této Smlouvy.
3) Dodavatel se zavazuje poskytnout Objednateli Služby dle čl. I odst. I.2) této Smlouvy v sídle Objednatele nebo prostřednictvím vzdáleného přístupu a to za podmínek uvedených v příloze č. 3 této Smlouvy. Objednatel poskytne Dodavateli potřebnou součinnost pro zřízení vzdáleného přístupu do své infrastruktury.
4) V případě, že je Dodavatel v prodlení dle čl. III odst. 1) nebo odst. 2) této Smlouvy vzniká Objednateli právo na smluvní pokutu ve výši dvě setiny (0,02) procenta z ceny toho plnění,
s jehož poskytnutím je Dodavatel v prodlení, a to za každý den prodlení vyjma případů, kdy je prodlení Dodavatele způsobené nesoučinností Objednatele nebo vyšší mocí.
5) Dodavatel před uzavřením smlouvy jasným a srozumitelným způsobem informuje Objednatele o potřebném technickém a programovém vybavení a síťovém připojení pro fungování Produktu v souladu s touto Smlouvou.
6) Objednatel je povinen zajistit, aby jeho technické a programové vybavení a síťové připojení odpovídalo příslušným specifikacím a požadavkům, které mu Dodavatel poskytl před uzavřením Smlouvy.
7) Dodavatel se zavazuje zajistit, že Produkt bude v době, kdy je Objednateli poskytnut Aktivační klíč, zcela bez jakýchkoli vad. Tuto záruku bezvadnosti Dodavatel podmiňuje tím, že Objednatel musí mít zajištěné služby Maintenance. V případě, že Objednatel tyto služby nemá zajištěny, Dodavatel není povinen dodávat jakékoliv aktualizace Produktu, včetně těch, které jsou nezbytné pro zajištění bezvadného stavu Produktu. Obě smluvní strany se dohodly, že v takovém případě nebude aplikovatelné ustanovení § 2389c odst. 1 a 2389d odst. 2, a ustanovení § 2389f občanského zákoníku, čímž jsou vyloučeny veškeré pochybnosti ohledně těchto právních nároků.
8) Dodavatel neodpovídá za vady Produktu způsobené tím, že Objednatel neimplementuje aktualizace Produktu řádně nebo je neimplementuje vůbec.
9) Objednatel je povinen oznámit Dodavateli veškeré vady Produktu bez zbytečného odkladu poté, co je zjistil. Pokud v průběhu trvání Smlouvy vyskytne vada Produktu, poskytne Objednatel Dodavateli nezbytnou součinnost v míře, kterou lze rozumně požadovat, k ověření, zda vada Produktu nebyla způsobena nevhodným technickým nebo programovým vybavením Objednatele nebo jeho síťovým připojením. Pokud Objednatel odmítne poskytnout Dodavateli součinnost dle předchozí věty, přechází důkazní břemeno ohledně výskytu vady Produktu na Objednatele.
IV. Právo užití
1) Produkt včetně všech jeho částí, grafiky, ochranných známek, servisních značek, technologie (patentovatelné i nepatentovatelné), autorských práv, obchodních tajemství, know-how, dokumentace, textu, software atd. je duševním vlastnictvím výrobce Produktu, který je ve vztahu k Produktu držitelem majetkových autorských práv, nebo platných licencí.
2) Dodavatel uděluje Objednateli nevýhradní právo užívat Produkt (licenci) v rozsahu uvedeném v čl. I odst. I.1) této Smlouvy na dobu neomezenou, a to počínaje dnem úplného zaplacení ceny za softwarové licence Produktu Dodavateli. Podmínky užití Produktu, vč. odpovědnosti Dodavatele za funkčnost Produktu, se řídí Licenčními podmínkami výrobce Produktu, které jsou zveřejněny na webových stránkách výrobce: xxxxx://xxx.xxxxx.xxx/xx/00.0/xxxxxxx. Vyjma práva užívat Produkt v souladu s touto Smlouvou a Licenčními podmínkami výrobce Produktu nemá Objednatel žádná práva nebo nároky ve vztahu k Produktu.
3) Objednatel je oprávněn užívat Produkt pouze v rámci podmínek sjednaných v této Smlouvě a v Licenčních podmínkách. Objednatel nesmí překročit množstevní limity pro jednotlivé licence uvedené v čl. I odst. I.1) této Smlouvy. Dodavatel je oprávněn přiměřeným způsobem kontrolovat, zda Objednatel využívá Produkt v souladu se sjednanými podmínkami a limity.
V. Zpracování osobních údajů
1) Na základě této Smlouvy bude docházet ke zpracování osobních údajů subjektů údajů, které bude pro Objednatele provádět Dodavatel. Smluvní strany proto v tomto článku Xxxxxxx ujednávají smlouvu o zpracování osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen „Smlouva o zpracování OÚ“).
2) Náležitosti Smlouvy o zpracování OÚ a podrobnější vymezení práv a povinností Smluvních
stran jsou uvedeny v příloze č. 1 této Smlouvy.
VI. Ochrana dat a informací
1) Vzhledem k tomu, že Dodavatel bude mít v rámci plnění této Smlouvy přístup k informacím, které Objednatel považuje za důvěrné, sjednávají Smluvní strany dohodu o mlčenlivosti, jejímž předmětem je úprava práv a povinností Smluvních stran ve vztahu k ochraně důvěrných informací (dále jen „Dohoda o mlčenlivosti“)..
2) Náležitosti Dohody o mlčenlivosti a podrobnější vymezení práv a povinností Smluvních
stran jsou uvedeny v příloze č. 2 této Smlouvy.
3) Za porušení jakékoli povinnosti stanovené v Dohodě o mlčenlivosti vzniká Dodavateli povinnost zaplatit Objednateli smluvní pokutu ve výši za každý jednotlivý případ porušení. Smluvní pokuta je splatná do 10 dnů od doručení výzvy k úhradě smluvní
pokuty. Vznikem nároku na smluvní pokutu, ani jejím zaplacením není dotčen nárok na náhradu újmy v plné výši.
4) Smluvní strany se dohodly, že smluvní ceny dle této Smlouvy představují obchodní tajemství
Dodavatele.
5) Dodavatel je oprávněn uvádět ve svých marketingových materiálech jako referenci identifikační údaje Objednatele (včetně loga) spolu se skutečností, že Objednateli jsou poskytovány Produkty.
6) Smluvní strany sjednávají dohodu o bezpečnostní politice a vzdáleném přístupu VPN do interní sítě Objednatele (dále jen „Dohoda o bezpečnostní politice“). Dohoda o bezpečnostní politice upravuje pravidla a požadavky pro přístup Dodavatele do interní sítě Objednatele, včetně přístupu prostřednictvím VPN. Obsahuje informace o tom, jaké bezpečnostní politiky a postupy musí Dodavatel dodržovat, jaké typy přístupů jsou povoleny, jaká bezpečnostní opatření jsou nutná pro ochranu sítě a dat, a jaké jsou postupy v případě bezpečnostních incidentů.
7) Náležitosti Dohody o bezpečnostní politice a podrobnější vymezení práv a povinností Smluvních stran jsou uvedeny v příloze č. 3 této Smlouvy.
8) Práva a povinností vyplývající z Dohody o mlčenlivosti a Dohody o bezpečnostní politice přetrvávají i po skončení této Smlouvy, jakož i po ukončení spolupráce mezi Smluvními stranami, bez ohledu na stádium ukončení spolupráce.
VII. Závěrečná ustanovení
1) Xxxx Xxxxxxx, včetně práv a povinností vyplývajících nebo vztahujících se ke Smlouvě se řídí právem České republiky bez ohledu na ustanovení ohledně volby práva.
2) Smlouva je vyhotovena v elektronické podobě v jednom (1) vyhotovení v českém jazyce s elektronickými podpisy obou Smluvních stran v souladu se zákonem č. 297/202016 Sb., O službách vytvářejících důvěru pro elektronické transakce ve znění pozdějších předpisů. V případě, že Dodavatel nedisponuje elektronickým podpisem, tak je Smlouva vyhotovena ve třech (3) listinných stejnopisech s platností originálu, přičemž Objednatel obdrží dva (2) stejnopisy a Dodavatel obdrží jeden (1) stejnopis.
3) Tato Smlouva nabývá platnosti okamžikem podpisu oběma Smluvními stranami a účinnosti ke dni zveřejnění v registru smluv. Objednatel Dodavatele upozorňuje a Dodavatel bere na vědomí, že Objednatel je osobou uvedenou v § 2 odst. 1 písm. n) zákona č. 340/2015 Sb., o
zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (dále „zákon o registru smluv“) s tím, že Objednatel se zavazuje zveřejnit tuto Smlouvu, jakož i veškeré její případné dodatky v souladu se zákonem o registru smluv.
4) Na důkaz toho, že Smluvní strany s obsahem této Smlouvy souhlasí, rozumí jí a zavazují se k jejímu plnění, připojují své podpisy a prohlašují, že tato Xxxxxxx byla uzavřena dle jejich svobodné a vážné vůle.
Přílohy
Příloha č. 1 – Náležitosti a podmínky Smlouvy o zpracování OÚ Příloha č. 2 – Náležitosti a podmínky Dohody o mlčenlivosti
Příloha č. 3 – Náležitosti a podmínky Dohody o bezpečnostní politice
Dodavatel Objednatel
Ve Žďáru nad Sázavou dne: V Praze dne:
Xxx. Xxxxx Xxxxx
Digitally signed by Xxx. Xxxxx Xxxxx
Date: 2024.07.02
14:01:08 +02'00'
…………………………………. ………………………………
Xxx. Xxxxx Xxxxx, Xxx. Xxxxx Xxxxxxx,
Jednatel společnosti vedoucí odboru informatiky ÚMČ P10
Příloha číslo 1: Náležitosti a podmínky smlouvy o zpracování osobních údajů
1 Úvodní ustanovení
1.1 Pro účely této Smlouvy se rozumí:
„GDPR“ nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
„Osobními údaji“ veškeré informace o subjektu údajů;
„Pokynem“ jakýkoliv pokyn správce zpracovateli týkající se zpracování osobních údajů správce;
„Porušením zabezpečení osobních údajů“ takové porušení zabezpečení osobních údajů, které vede nebo může přímo vést k neoprávněnému přístupu nebo k neoprávněné či nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů, případně k neoprávněnému vyzrazení nebo přístupu k uloženým, přenášeným nebo jinak zpracovávaným osobním údajům správce;
„Právními předpisy upravujícími ochranu osobních údajů“ zejména GDPR, zákon č. 110/2019 Sb., o zpracování osobních údajů a další relevantní předpisy národní i mezinárodní upravující ochranu osobních údajů;
„Příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli;
„Správcem“ v daném případě Zadavatel;
„Subjektem osobních údajů“ identifikovaná nebo identifikovatelná fyzická osoba; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
„Třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů;
„Zásadami zpracování osobních údajů“ zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti
„Zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
„Zpracovatelem“ v daném případě Dodavatel.
2 Podmínky zpracování osobních údajů
2.1 Zpracovatel zpracovává osobní údaje při plnění Smlouvy na základě zásad zpracování osobních údajů, a to pouze v souladu se zásadami zpracování osobních údajů a s právními předpisy upravujícími ochranu osobních údajů.
2.2 Zpracovatel je oprávněn zpracovávat osobní údaje správce jménem správce pouze za podmínek této Smlouvy a na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Evropské unie nebo jiného členského státu Evropské unie, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. Zpracovatel se zavazuje, že bude po celou dobu zpracování dodržovat veškerá ustanovení týkající se ochrany osobních údajů správce.
2.3 Zpracovatel zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje, zejména jeho zaměstnanci, zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. Tyto osoby musí mít dostatečné povědomí o zásadách ochrany osobních údajů a musí být též dostatečně proškoleny v oblasti základů ochrany osobních údajů a kybernetické bezpečnosti.
3 Charakteristika zpracování osobních údajů
předmět a doba trvání zpracování | Při realizaci zakázky bude docházet ke zpracování osobních údajů fyzických osob (cca 450 zaměstnanců úřadu nebo spolupracujících smluvních subjektů a cca 100 zaměstnanců příspěvkových organizací) a to v rozsahu: Jméno, příjmení, pozice, email, mobilní telefon, uživatelské jméno, heslo, titul, lokalita, číslo zaměstnance, kancelář, IP adresa a jiné síťové identifikační údaje, logy, historie akcí, fotografie. Doba trvání zpracování osobních údajů Správce je totožná s dobou trvání smlouvy, na základě které je poskytována služba, pokud z ustanovení smlouvy nebo z pokynu správce nevyplývá, že má trvat i po zániku její účinnosti. |
povaha a účel zpracování | Povaha zpracování osobních údajů: ☒ Zpracování ☐ Automatizované zpracování ☐ Profilování nebo automatizované rozhodování Účelem zpracování osobních údajů je: Osobní údaje budou zpracovány pouze za účelem poskytování technické podpory např. při diagnostice chyb v aplikaci a za účelem daným správcem. |
typ osobních údajů | ☒ Osobní údaje ☐ Zvláštní kategorie osobních údajů |
kategorie subjektů údajů | Úředníci a zaměstnanci správce a podřízených příspěvkových organizací, zastupitelé MČ Praha 10. |
zdroje osobních údajů | Service Desk, mailová komunikace. |
příjemci osobních údajů | Zaměstnanci zpracovatele. |
předávání osobních údajů do třetích zemí | ☐ Ano ☒ Ne Zpracovatel využívá úložiště Microsoftu v zemích EU. |
rizika pro práva a svobody subjektů údajů |
4 Zabezpečení osobních údajů, technická a organizační opatření
4.1 Zpracovatel přijme všechna opatření požadovaná podle článku 32 GDPR, týkajícího se zabezpečení zpracování, tedy zejména vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně pseudonymizace a šifrování osobních údajů, schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
4.2 Při posuzování vhodné úrovně bezpečnosti se zohlední rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
4.3 V případě zpracování osobních údajů více správců je zpracovatel povinen zpracovávat takové osobní údaje odděleně.
4.4 Zpracovatel poskytuje výše uvedenému správci dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektu údajů.
Zabezpečení osobních údajů: |
Šifrování dat při přenosu a v úložištích. |
Technická a organizační opatření: |
Zpracovatel disponuje platnou certifikací ISO 27001 a dodržuje z ní plynoucí TOO. |
5 ZAPOJENÍ DALŠÍHO ZPRACOVATELE
5.1 Zpracovatel dodržuje podmínky pro zapojení dalšího zpracovatele. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
5.2 Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Evropské unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této doložce mezi správcem a zpracovatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.
6 Poskytování součinnosti správci
6.1 Zpracovatel je dále správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, tedy zejména v rámci:
• zabezpečení zpracování;
• ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu;
• oznamování případů porušení zabezpečení osobních údajů subjektu údajů;
• posouzení vlivu na ochranu osobních údajů a předchozí konzultaci; a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici.
6.2 Zpracovatel neprodleně oznámí správci, pokud obdrží od subjektu údajů, dozorového úřadu nebo jiného příslušného orgánu žádost podle platných a účinných předpisů upravujících ochranu osobních údajů, pokud se jedná o osobní údaje správce.
6.3 Zpracovatel spolupracuje se správcem na základě jeho pokynů tak, aby správci umožnil jakýkoli výkon práv subjektu údajů podle předpisů upravujících osobních údajů.
6.4 Zpracovatel poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené touto doložkou tak, že informuje neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje právní předpisy upravující ochranu osobních údajů, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
7 Výmaz nebo vrácení zpracovávaných osobních údajů správci
7.1 Zpracovatel v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů.
8 ZÁVĚREČNÁ USTANOVENÍ
8.1 Jakékoli porušení práv a povinností vyplývajících z této přílohy představuje též závažné porušení Smlouvy.
8.2 Pokud se ukáže některé ustanovení této přílohy neplatné, neúčinné nebo nevymahatelné, zbývající části zůstávají v platnosti. Ohledně neplatného, neúčinného nebo nevymahatelného ustanovení se Smluvní strany zavazují, že je buď dodatkem upraví tak, aby byla zajištěna jeho platnost, účinnost a vymahatelnost, a to při co největším zachování původních záměrů smluvních stran nebo, pokud to není možné, budou vykládat toto ustanovení způsobem, jako by neplatná, neúčinná nebo nevymahatelná část nebyla nikdy v této příloze obsažena.
Příloha číslo 2: Náležitosti a podmínky dohody o mlčenlivosti
3 Důvěrné informace
1.2 Za „Důvěrné informace“ se ve smyslu Xxxxxxx a této přílohy považují veškeré informace, údaje a dokumenty, poskytnuté Zadavatelem Dodavateli v souvislosti se Smlouvou a plněním závazků z ní vyplývajících, pokud tyto informace, údaje a dokumenty nebyly Zadavatelem dosud zveřejněny. Na charakter Důvěrných informací nemá vliv skutečnost, zda jsou či budou poskytovány v písemné, ústní či elektronické podobě, ani skutečnost, zda byly poskytnuty přímo Zadavatelem, či jeho poradci, zástupci, zaměstnanci, a současně zda již byly poskytnuty před uzavřením této Smlouvy nebo poté.
1.3 Důvěrnými informacemi je zejména veškeré know-how, obchodní tajemství, předměty duševního vlastnictví (ochranné známky, loga, obchodní značky, počítačový software, data apod.), zdrojové kódy, a to i včetně veškerého know-how a koncepcí, které z jednotlivých Důvěrných informací tak, jak jsou uvedeny výše, vyplývají nebo mohou vyplývat
1.4 Za Důvěrné informace se nepovažují informace a údaje:
a. které jsou nebo se stanou obecně známými bez zavinění Dodavatele; nebo
b. které Dodavatel bez porušení smluvní či zákonné povinnosti získal dříve, než je obdržel od Zadavatele; nebo
c. které byly Dodavateli bez porušení smluvní či zákonné povinnosti zpřístupněny jinou oprávněnou osobou; nebo
d. jejichž sdělení (či zpřístupnění) je vyžadováno dle obecně závazných právních předpisů, a to pouze v nezbytně nutné míře stanovené obecně závazným právním předpisem; nebo
e. které byly zveřejněny se souhlasem Zadavatele; nebo
f. které jsou všeobecně známé (například z odborných publikací, jako součást vědeckého poznání apod.); nebo
g. které jsou vyžádány soudem nebo jiným orgánem veřejné moci na základě zákona a jsou použity pouze k tomuto účelu.
4 Práva a povinnosti smluvních stran
3.1 Dodavatel se zavazuje využívat Důvěrné informace výhradně za účelem plnění svých závazků vyplývajících ze Smlouvy (dále jen „Účel“), k činnostem směřujícím k plnění Účelu či s ním souvisejícím, není-li na základě výslovného písemného souhlasu Zadavatele sjednáno jinak.
3.2 Důvěrné informace nesmí být Dodavatelem bez předchozí souhlasu Zadavatele žádným způsobem sděleny nebo zpřístupněny jakékoliv třetí osobě s výjimkou zaměstnanců Dodavatele, konzultantů nebo odborných poradců, příp. subdodavatelů, kteří poskytují poradenství Přijímající straně týkající se Účelu (dále jen „Poradci“), a to pouze za předpokladu, že tyto osoby potřebují být s konkrétní Důvěrnou informací seznámeni vzhledem k plnění Účelu. Tyto osoby budou zavázány povinností mlčenlivosti minimálně v takovém rozsahu, v jakém je zavázán Xxxxxxxxx na základě této přílohy.
3.3 Dodavatel je povinen nakládat se všemi Důvěrnými informacemi jako s důvěrnými, chránit jejich vyzrazení, zajistit bezpečnost Důvěrných informací a chránit Důvěrné informace před neoprávněným přístupem, poskytnutím, předáním, zpracováním, uveřejněním a použitím a za tím účelem přijmout veškerá rozumně očekávatelná organizační a technická opatření.
3.4 Dodavatel se zavazuje žádné Důvěrné informace, poznatky z Důvěrných informací vyplývající ani závěry na Důvěrných informacích založené nevyužít ve svůj prospěch ani ve prospěch třetí osoby.
3.5 Dodavatel nesmí pořizovat kopie Důvěrných informací, ledaže je to nezbytné pro plnění Účelu a za předpokladu, že všechny tyto kopie jsou označeny jako důvěrné a bez zbytečného odkladu po naplnění Účelu budou zlikvidovány.
3.6 Dodavatel po skončení Smlouvy nebo naplnění Účelu vrátí nebo zničí, podle pokynů Zadavatele, veškeré hmotné materiály (mimo jiné včetně listin, disků, CD nebo jiných médií umožňujících zápis) originály nebo kopie dokumentů obsahujících Důvěrné informace, které mu Zadavatel poskytl nebo které Dodavatel získal na základě činnosti dle Xxxxxxx, a poskytne Zadavateli důkaz o jejich zničení.
3.7 Dodavatel je povinen bez zbytečného odkladu informovat Zadavatele o existenci jakékoli skutečnosti, která by mohla přímo nebo nepřímo ohrozit existenci, trvání, vyzrazení nebo hodnotu Důvěrných informací a přijmout opatření k jejich ochraně,
jakož i poskytnout Zadavateli součinnost k tomu, aby nemohlo dojít k přímému nebo nepřímému ohrožení existence, trvání, vyzrazení nebo hodnoty Důvěrných informací.
3.8 V případě, že má být Důvěrná informace zpřístupněna v souladu s touto přílohou, je Xxxxxxxxx povinen o této skutečnosti před samotným zpřístupněním informovat Xxxxxxxxxx, jakož i o všech okolnostech a rozsahu zpřístupnění.
3.9 V případě, že se Dodavatel dozví o jakémkoli neoprávněném zpřístupnění Důvěrné informace, je povinna okamžitě informovat Xxxxxxxxxx, sdělit mu všechny podstatné okolnosti a přijmout všechna opatření nezbytná k zabránění vzniku újmy nebo omezení rozsahu újmy již vzniklé a k zamezení dalšímu šíření Důvěrné informace.
3.10 Důvěrné informace zůstávají vlastnictvím Zadavatele i po jejich zpřístupnění.
3.11 Pokud Dodavatel zveřejní či zpřístupní Důvěrné informace Poradci nebo jakékoliv jiné osobě, odpovídá za jednání či opomenutí těchto osob, které spočívá v neoprávněném rozšiřování, užití a/nebo zveřejnění takovéto Důvěrné informace, resp. za jakékoliv porušení povinností vyplývajících z této přílohy ze strany těchto osob.
3.12 Dodavatel je srozuměn s tím, že není oprávněn užít či dále zpřístupnit Důvěrné informace nabyté během trvání Smlouvy jiným způsobem a k jinému účelu, než jak je předpokládáno touto přílohou.
3.13 Pokud Dodavatel poruší jakýkoli závazek plynoucí z této přílohy, je povinen se neprodleně takového jednání na základě výzvy Zadavatele zdržet, informovat o tom Zadavatele a okamžitě učinit opatření směřující k odstranění a náhradě veškeré újmy způsobené Zadavateli či jeho smluvním partnerům tímto jednáním a uvedení do původního stavu, bude-li to možné.
4 ZÁVĚREČNÁ USTANOVENÍ
4.1 Jakékoli porušení práv a povinností vyplývajících z této přílohy představuje též závažné porušení Smlouvy.
4.2 Pokud se ukáže některé ustanovení této přílohy neplatné, neúčinné nebo nevymahatelné, zbývající části zůstávají v platnosti. Ohledně neplatného, neúčinného nebo nevymahatelného ustanovení se Smluvní strany zavazují, že je buď dodatkem upraví tak, aby byla zajištěna jeho platnost, účinnost a vymahatelnost, a to při co největším zachování původních záměrů smluvních stran nebo, pokud to není možné, budou
vykládat toto ustanovení způsobem, jako by neplatná, neúčinná nebo nevymahatelná část nebyla nikdy v této příloze obsažena.
Příloha číslo 3: Náležitosti a podmínky dohody o bezpečnostní politice a vzdáleném přístupu vpn do interní sítě zadavatele
5 Úvodní ustanovení
1.5 Tato příloha stanoví práva a povinnosti Zadavatele a Dodavatele týkající se bezpečnostních opatření při plnění Smlouvy a dodržování bezpečnostní politiky Zadavatele.
1.6 Tato příloha dále stanoví pravidla a požadavky pro bezpečný vzdálený přístup
Dodavatele do Interní sítě prostřednictvím VPN (Virtuální Privátní Síť).
1.7 Cílem této přílohy je zajistit ochranu Interní sítě a dat Zadavatele před neautorizovaným přístupem a potenciálními bezpečnostními hrozbami.
2 Definice pojmů
2.1 Pro účely této přílohy mají následující pojmy níže popsaný význam, není-li v konkrétním případě stanoveno jinak:
2.1.1 „Interní síť“ se rozumí veškerá síťová infrastruktura Zadavatele, včetně, ale neomezeno na, servery, pracovní stanice, virtuální stanice a servery, databáze.
2.1.2 „VPN“ se rozumí virtuální privátní síť umožňující zabezpečený vzdálený přístup
do Interní sítě.
2.1.3 „Daty“ se rozumí veškeré informace, údaje a dokumenty, k nimž získá Dodavatel přístup na základě přístupu do Interní sítě.
2.1.4 „Interním bezpečnostním řádem“ se rozumí interní předpis, směrnice nebo jiný dokument na straně Dodavatele, který stanovuje pravidla, politiky a postupy týkající se ochrany informací, dat a infrastruktury organizace před interními i externími hrozbami. Cílem tohoto řádu je zajištění základních pravidel kybernetické bezpečnosti a také integrity, dostupnosti a důvěrnosti všech informačních aktiv.
2.1.5 „Zařízením“ se rozumí jakýkoli hardwarový komponent nebo soubor hardwarových komponent, které jsou využívány k přístupu do Interní sítě nebo správě, zpracování a ukládání Dat. To zahrnuje, ale není omezeno na, koncová zařízení (počítače, notebooky, mobilní telefony, tablety a další), servery, síťové komponenty a další periferní zařízení používaná v kontextu plnění Smlouvy.
2.1.6 „Komplexita hesla“ je stanovena tak, že heslo běžného uživatelského účtu, který je chráněn vícefaktorovu autentizací (MFA) musí mít minimálně 8 znaků. Běžný uživatelský účet, který není chráněn MFA musí mít alespoň 12 znaků. Privilegovaný účet, bez ohledu na MFA, musí mít alespoň 17 znaků. Technický nebo systémový účet musí mít alespoň 22 znaků. Hesla k šifrování a ochraně souborů musí mít alespoň 10 znaků. Všechna hesla musí zároveň splňovat minimálně tři ze čtyř následujících kritérií: obsahuje alespoň jedno malé písmeno, jedno velké písmeno, jednu číslici a jeden speciální znak.
3 BEZPEČNOSTNÍ POLITIKY A POSTUPY
3.1 Bezpečnost informací a dodržování bezpečnostní politiky Zadavatele
3.1.1 Dodavatel se zavazuje dodržovat bezpečnostní standardy a opatření týkající se přístupu a používání Interní sítě Zadavatele. Dodavatel se dále zavazuje k odpovědnému chování při manipulaci s Daty a systémy Zadavatele a k zajištění, že jeho činností nedojde úmyslně ani neúmyslně k poškození Interní sítě, Dat nebo operací Zadavatele.
3.1.3 Dodavatel je povinen zajistit pravidelnou aktualizaci veškerých Zařízení a softwaru, který používá pro přístup do Interní sítě nebo pro práci s Daty. Všechna koncová Zařízení musí obsahovat alespoň ochranu proti virům a malware, která je pravidelně aktualizována. Přístup ke koncovým zařízením musí být chráněn biometrickým ověřením nebo heslem splňujícím požadavky na minimální komplexitu.
3.1.4 Dodavatel je povinen zajistit, že veškeré přístupové údaje a hesla k Zařízení, síti VPN nebo jiným systémům, která mají přístup do Interní sítě nebo k Datům,
budou uchovávány v tajnosti, přiděleny pouze jedné osobě a nebudou sdíleny
s jinými uživateli nebo neautorizovanými osobami.
3.1.5 Dodavatel je povinen používat šifrování pro veškerá Data přenášená mezi Dodavatelem a Zadavatelem, aby zajistil jejich ochranu. Pro Data uložená na pevných discích Zařízeních a jiných přenosných úložištích se musí použít šifrování s minimálně 256-bitovým AES standardem nebo jiným, který dosahuje srovnatelné úrovně zabezpečení. Pro data přenášená mezi sítěmi musí být zajištěno šifrování prostřednictvím protokolů, které splňují standardy TLS 1.2 nebo vyšší. Dodavatel dále zaručuje, že klíče pro šifrování a dešifrování budou spravovány v souladu s přísnými bezpečnostními postupy, aby se předešlo jakékoli možnosti neoprávněného přístupu nebo zneužití. Případná hesla musí splňovat minimální Komplexitu hesla.
3.1.6 Dodavatel se zavazuje zavést bezpečné komunikační kanály pro přenos dat mezi svými systémy a systémy Zadavatele. Je vyžadováno používání šifrovacích metod (TLS/SSL certifikáty) s nejvyšší možnou mírou zabezpečení všude tam, kde je to technicky možné. Stejné pravidlo se uplatní i pro webové technologie a jiné online transakce.
3.1.7 Data je zakázáno nahrávat na veřejná uložiště, a to i v případě, že jsou šifrována. Data je zakázáno sdílet s jinými subjekty bez předchozího prokazatelného souhlasu Zadavatele.
3.1.8 Dodavatel se zavazuje zajistit adekvátní fyzickou bezpečnost všech Zařízení a datových center, která jsou využívána k poskytování služeb Zadavateli. Dodavatel zajišťuje kontrolu přístupů, využívá bezpečnostní karty, biometrické systémy a kódované zámky, které omezují vstup pouze autorizovaným osobám. Datová centra využívaná Dodavatelem pro poskytování služeb Zadavateli musí být vybavena bezpečnostními kamerami, alarmy pro detekci a reakci na neoprávněný přístup nebo jiné bezpečnostní incidenty jako je například požár nebo povodeň.
3.1.9 V případě, že Dodavatel poskytuje Zadavateli službu, která může být ohrožena útoky typu Denial of Service (DoS) nebo Distributed Denial of Service (DDoS), tak se zavazuje implementovat efektivní protiopatření k ochraně síťové infrastruktury za použití pokročilých detekčních a filtračních systémů, které
identifikují a izolují neobvyklý nebo škodlivý síťový provoz. Dodavatel dále implementuje síťové bariéry a firewally s pravidly pro dynamické blokování adres, které se pokoušejí provádět tyto útoky. Pro zvýšení odolnosti proti těmto hrozbám musí být veškerá Zařízení pravidelně aktualizována.
3.1.10 Dodavatel se zavazuje zajistit pravidelné školení a osvětu v oblasti kybernetické bezpečnosti u všech svých zaměstnanců, kteří poskytují nebo se podílí na poskytování služeb Zadavateli. Dodavatel zajistí obeznámení zaměstnanců s aktuálními hrozbami a postupy v oblasti kybernetické bezpečnosti. Školení musí absolvovat každý zaměstnanec, který poskytuje službu Zadavateli alespoň jednou ročně.
3.1.11 Dodavatel se zavazuje spolupracovat se Zadavatelem na zvýšení kybernetické bezpečnosti Interní sítě. Pokud Zadavatel upozorní Dodavatele na jakoukoliv bezpečnostní zranitelnost spojenou se službami, které Dodavatel poskytuje, je Dodavatel povinen bezodkladně, a nejpozději do 30 dnů od oznámení přijmout nápravná opatření.
3.1.12 Dodavatel musí získat výslovný souhlas Zadavatele před jakýmkoli zásahem nebo změnou v Datech, na Interní síti, v systémech nebo jiných službách používaných v produkčním prostředí Zadavatele. Bez tohoto souhlasu nesmí Xxxxxxxxx provádět žádné akce. Výjimky z tohoto pravidla jsou povoleny pouze v případech, kdy by nečinnost mohla vést k majetkové nebo nemajetkové újmě na straně Zadavatele nebo Dodavatele, například v případě kybernetických incidentů.
3.1.13 Dodavatel bere na vědomí, že veškeré aktivity Dodavatele a jeho plnění realizované v prostředí Zadavatele může být monitorováno a vyhodnocováno.
3.1.14 V případě ukončení spolupráce mezi Dodavatelem a Zadavatelem je Xxxxxxxxx povinen předat veškerá data a provozní údaje nastupujícímu dodavateli nebo Zadavateli, a to včetně veškeré dokumentace spojené s provozem systému. Dále je Xxxxxxxxx povinen poskytnout veškerou nezbytnou součinnost novému dodavateli během přechodného období, včetně předání know-how.
3.2 Oprávnění užívat Data
3.2.1 Dodavatel je povinen implementovat a dodržovat systém řízení přístupu pro své zaměstnance, pracovníky či subdodavatele, který zajistí minimalizaci přístupu
k Datům a do Interní sítě Zadavatele na nezbytně nutnou úroveň pro efektivní plnění Smlouvy. Uvedený systém přístupu zajistí, že každý přistupuje jen k těm Datům a prostředkům, která jsou nezbytná pro jeho práci, čímž je zajištěna ochrana před neoprávněným přístupem a zneužitím.
3.2.2 Dodavatel není oprávněn nahlížet do, přistupovat k, stahovat, kopírovat, ani jinak zpřístupňovat jakákoli Data, která nejsou přímo potřebná pro plnění smluvních povinností, bez předchozího prokazatelného souhlasu Zadavatele.
3.2.3 Pro přístup Dodavatele k Datům nebo do Interní sítě je zpravidla využíváno připojení VPN, které je chráněno vícefaktorovou autentizace (MFA). V případě, že Dodavatel využívá i jinou formu přístupu k Datům nebo do Interní sítě, tak je povinen zajistit použití MFA u všech uživatelů tak, aby zajistil ochranu těchto aktiv před přístupem neautorizovaných osob. Výjimka z povinnosti použití MFA je možná pouze v případech, kdy její implementace není technicky možná.
3.3 Kontrola a audit Dodavatele
3.3.1 Zadavatel má právo provádět zákaznický audit Dodavatele, který může zahrnovat kontrolu dodržování smluvních podmínek, bezpečnostních pravidel, Interního bezpečnostního řádu a dalších aspektů souvisejících s plněním Smlouvy.
3.3.2 Audit může být prováděn až dvakrát ročně nebo častěji v případě závažných obav nebo incidentů. Audity budou prováděny po předchozím oznámení s předstihem nejméně 30 dnů, ledaže neoprávněný přístup nebo jiné bezpečnostní hrozby vyžadují bezodkladné jednání.
3.3.3 Audit může zahrnovat fyzickou inspekci Zařízení, přehledy bezpečnostních protokolů, analýzu správy Dat a přístupových práv a kontrolu dodržování relevantních právních a smluvních požadavků. Zadavatel má právo požadovat od Dodavatele veškerou relevantní dokumentaci a záznamy související s auditovanými oblastmi.
3.3.4 V případě zjištění nedostatků během auditu je Dodavatel povinen tyto nedostatky odstranit do stanovené lhůty, obvykle do 30 dnů od doručení zprávy o auditu. Zadavatel má právo požadovat nápravné opatření nebo přijmout další kroky, včetně uplatnění smluvních sankcí, v závislosti na závažnosti zjištěných nedostatků.
3.4 Řízení subdodavatelů
3.4.1 Dodavatel je povinen zajistit, že jakýkoli jeho subdodavatel, který bude mít jakýmkoli způsobem přístup k Datům nebo do Interní sítě, bude dodržovat veškeré povinnosti a standardy, které vyplývají pro Dodavatele na základě této přílohy.
3.5 Informační povinnost Dodavatele
3.5.1 Dodavatel je povinen předložit Zadavateli kopii Interního bezpečnostního řádu podle článku 3.1.2 této přílohy na vyžádání Zadavatele.
3.5.2 Dodavatel je povinen bezodkladně informovat Zadavatele o jakýchkoli bezpečnostních incidentech, které mohou mít vliv nebo se přímo týkají Interní sítě nebo Dat.
3.5.3 Dodavatel je povinen neprodleně informovat Zadavatele o jakémkoli ukončení pracovního poměru nebo změně ve statutu zaměstnance, který měl přístup k VPN nebo jiným systémům Zadavatele. Zadavatel zajistí odebrání přístupů tohoto zaměstnance k systémům a do Interní sítě. Dodavatel je povinen zajistit znepřístupnění, zabezpečení a ochranu Dat, ke kterým měl zaměstnanec přístup.
3.6 Pravidla pro likvidaci Dat
3.6.1 Dodavatel se zavazuje neprodleně předat Zadavateli veškerá Data, která již nejsou potřeba pro poskytování služeb. Případné kopie všech těchto dat je Xxxxxxxxx povinen odstranit.
3.6.2 Dodavatel je povinen zajistit odstranění Dat takovým způsobem, který zabraňuje možnosti obnovy nebo zneužít.