uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“),
Smlouva
o poskytování služeb bezpečnostních auditů informačních systémů
uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“),
mezi:
Českou národní bankou
Na Příkopě 28
115 03 Praha 1
zastoupenou: Ing. Xxxxxxx Xxxxxxxxx, ředitelem sekce informatiky
a
Ing. Xxxxxxx Xxxxxxxx, ředitelem sekce správní IČO: 48136450
DIČ: CZ48136450
(dále jen „objednatel“ nebo „ČNB“)
a
BDO Consulting s.r.o.
zapsanou v obchodním rejstříku vedeném Městských soudem v Praze, oddíl C vložka 24614 sídlo: X xxxxx 0000/00, 000 00 Xxxxx 0 - Xxxxxx
zastoupenou: Xxxxxxxx Xxxxxxxx, jednatelem IČO: 49622625
DIČ: CZ49622625
č. účtu: 107-8598090237/0100, Komerční banka, a.s. (dále jen „poskytovatel“).
Preambule
ČNB provozuje systém ABO/ABO-K, SKD a CERTIS náležející mezi informační systémy kritické informační infrastruktury a je dále provozovatelem významných informačních systémů DMS, ESPIS, ISAI, JERRS a KRZR ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). Vzhledem k důležitosti těchto informačních systémů z pohledu naplňování úkolů a fungování ČNB a rovněž i vzhledem k naplňování požadavků výše uvedených právních předpisů v oblasti kybernetické bezpečnosti stanovuje objednatel dále uvedené požadavky, lhůty, platební podmínky, smluvní pokuty a další smluvní ujednání, které z této důležitosti vycházejí.
Článek I Předmět a rozsah plnění
1. Předmětem plnění podle této smlouvy je povinnost poskytovatele poskytovat objednateli služby bezpečnostních auditů informačních systémů a infrastruktury. Tyto audity sestávají zejména z následujících činností:
a) penetrační testy informačních systémů,
b) penetrační testy infrastruktury,
c) audity konfigurace serverů,
d) audity architektury IS/IT,
e) další formy auditů bezpečnosti IS/IT dle konkrétních požadavků objednatele.
2. Výstupem každého bezpečnostního auditu bude „Zpráva s výsledky bezpečnostního auditu“, obsahující zejména manažerské shrnutí, popis metodiky testování, podrobný popis zjištěných zranitelností a návrhy opatření vedoucí ke zmírnění rizik (dále jen „zpráva“). Zpráva bude objednateli předána nejméně ve dvou tištěných vyhotoveních a dále v elektronickém formátu (.docx).
3. Součástí plnění dle odst. 1 tohoto článku je rovněž poskytování konzultací objednateli
k případně nalezeným zranitelnostem a k návrhům na opatření.
4. Podrobná specifikace předmětu plnění je uvedena v příloze č. 3 této smlouvy.
5. Objednatel za poskytnutá plnění zaplatí cenu podle čl. III této smlouvy.
Článek II Místo a způsob plnění
1. Místem plnění je sídlo objednatele na adrese Xx Xxxxxxx 00, 000 00 Xxxxx 0, xxxxxx-li mezi pověřenými osobami smluvních stran dohodnuto jinak.
2. Plnění podle čl. I bude poskytováno na základě výzvy pověřené osoby objednatele, zaslané e-mailem pověřené osobě poskytovatele, a bude poskytováno v sídle objednatele. Bližší postup je uveden v čl. V této smlouvy.
3. Plnění bude převzato po předání zprávy dle čl. I odst. 2, a to na základě akceptačního
protokolu, který podepíší pověřené osoby smluvních stran.
4. Objednatel si vyhrazuje možnost prodloužit lhůtu(y) stanovenou(é) podle čl. V písm. b) nebo c) a to přiměřeně okolnostem, na základě písemné a odůvodněné žádosti poskytovatele, ve které poskytovatel doloží, že objektivně nemůže pokračovat v plnění dle této smlouvy z důvodu neposkytnutí povinné a nezbytné součinnosti objednatelem, nebo z důvodu skutečností stojících na straně poskytovatele, které ani poskytovatel jednající s náležitou péčí nemohl předvídat a které sám nezpůsobil (včetně např. výpadku či zdržení v dodavatelsko-odběratelském řetězci, výpadku v pracovní síle poskytovatele z důvodu opatření uložených orgány veřejné moci, nikoli však v důsledku protiprávního jednání poskytovatele, zdržení v plnění jiných smluvních partnerů objednatele, kterého se plnění dle této smlouvy dotýká a které nebylo způsobeno objednatelem). Žádost poskytovatele dle tohoto odstavce musí být objednateli doručena v dostatečném předstihu před uplynutím předmětné lhůt(y) a musí obsahovat i návrh jejich prodloužení, ten však není pro objednatele závazný. Úprava lhůt(y) bude provedena e-mailem mezi pověřenými osobami.
Článek III
Cena a platební podmínky
1. Smluvní strany se dohodly, že cena za jednotlivá plnění podle čl. I bude stanovena dohodou pověřených osob smluvních stran na základě odsouhlasené nabídky poskytovatele jako cena pevná (tj. bez ohledu na skutečný objem pracnosti). Nabídková cena poskytovatele bude stanovena na základě předpokládaného objemu pracnosti a hodinové sazby dle odst.
2 tohoto článku. Konzultace k případně zjištěným zranitelnostem a návrhům na opatření podle čl. I odst. 3 jsou zahrnuty ve sjednané ceně.
2. Hodinová sazba pracovníků poskytovatele byla sjednána dohodou smluvních stran a činí
950,- Kč bez DPH.
3. Cena dle odstavce 1 zahrnuje veškeré náklady poskytovatele související s plněním dle této smlouvy. K ceně bude připočtena DPH v sazbě platné ke dni uskutečnění zdanitelného plnění.
4. Poskytovatel je oprávněn navrhnout objednateli změnu hodinové sazby uvedené v odst. 2 tohoto článku v návaznosti na vývoj Indexu cen tržních služeb, stejné období předchozího roku = 100, konkrétně index „J62 Služby v oblasti programování a poradenství a související služby“ sloupec „Průměr od počátku roku“, a to průměr za předchozí kalendářní rok, který vyhlašuje Český statistický úřad. Ceny mohou být zvýšeny maximálně o částku odpovídající předmětné roční inflaci. Úpravu cen je poskytovatel oprávněn navrhnout nejdříve po uplynutí jednoho roku ode dne nabytí účinnosti smlouvy. Úpravy cen budou prováděny písemnými dodatky ke smlouvě podepsanými oprávněnými zástupci obou smluvních stran.
5. Daňový doklad za plnění podle čl. I je poskytovatel oprávněn vystavit nejdříve v den převzetí příslušného plnění pověřenými osobami objednatele na základě akceptačního protokolu dle čl. II odst. 3. Akceptační protokol bude přílohou daňového dokladu.
6. Doklad k úhradě (fakturu) zašle poskytovatel elektronicky jako přílohu e-mailové zprávy na adresu xxxxxxx@xxx.xx ve formátu ISDOC. Pokud není možné vytvořit doklad ve formátu ISDOC, je možné zasílat jej ve formátu PDF. V jedné e-mailové zprávě smí být pouze jeden doklad k úhradě. Mimo vlastní doklad k úhradě může být přílohou e mailové zprávy jedna až sedm příloh k dokladu ve formátech PDF, DOC, DOCX, XLS, XLSX. Přijaty budou i doklady k úhradě v jiném formátu, který bude v souladu s evropským standardem elektronické faktury. Nebude-li možné zaslat doklad k úhradě elektronicky, zašle jej objednatel v analogové formě na adresu:
Česká národní banka
sekce rozpočtu a účetnictví odbor účetnictví
Na Příkopě 28
115 03 Praha 1
7. Doklad k úhradě bude obsahovat údaje podle § 435 občanského zákoníku a bankovní účet, na který má být placeno a který je uveden v záhlaví této smlouvy nebo který byl později aktualizován poskytovatelem (dále jen „určený účet“). Daňový doklad bude nadto obsahovat náležitosti stanovené v zákoně o dani z přidané hodnoty. Nezbytnou náležitostí každého dokladu je také číslo této smlouvy (ve formátu ISDOC v poli ID ve skupině Contract References), nebo číslo objednávky (ve formátu ISDOC v poli External_Order_ID ve skupině OrderReference), jsou-li objednávky v rámci smlouvy vystavovány. Pokud doklad bude postrádat některou ze stanovených náležitostí nebo bude obsahovat chybné údaje, je objednatel oprávněn jej vrátit poskytovateli, a to až do lhůty splatnosti. Nová lhůta splatnosti začíná běžet dnem doručení bezvadného dokladu.
8. V případě, že bude v dokladu k úhradě uveden jiný než určený účet, je pověřený pracovník poskytovatele povinen na základě výzvy objednatele sdělit na e-mailovou adresu, ze které byla výzva odeslána, zda má být zaplaceno na bankovní účet uvedený v dokladu, nebo na určený účet. V tomto případě se doklad k úhradě nevrací s tím, že lhůta splatnosti začíná běžet až dnem doručení sdělení poskytovatele podle předchozí věty.
9. Splatnost dokladu k úhradě je 14 dnů od doručení objednateli. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu objednatele ve prospěch účtu poskytovatele.
10. Smluvní strany se ve smyslu ustanovení § 1991 občanského zákoníku dohodly, že je objednatel oprávněn započíst jakoukoli svou peněžitou pohledávku za poskytovatelem, ať splatnou či nesplatnou, oproti jakékoli peněžité pohledávce poskytovatele za objednatelem, ať splatné či nesplatné.
Článek IV
Osoby poskytovatele poskytující plnění
1. Poskytovatel se zavazuje, že plnění dle čl. I bude poskytováno osobami, z nichž vždy minimálně jedna bude disponovat alespoň jedním z certifikátů CEH (Certified Ethical Hacker) nebo OSCP (Offensive Security Certified Professional) či obdobným certifikátem prokazujícím potřebnou znalost a zkušenost na požadované úrovni odpovídající některému z výše uvedených certifikátů a které poskytovatel uvedl do seznamu techniků v zadávacím řízení na výběr dodavatele pro poskytování služeb uvedených v této smlouvě. Požadovaný certifikát musí být platný vždy po celou dobu poskytování plnění předmětnou certifikovanou osobou. Poskytovatel je povinen kdykoliv po dobu účinnosti této smlouvy na výzvu objednatele tuto skutečnost doložit, a to do 5 pracovních dnů od doručení výzvy.
2. Změna v certifikovaných osobách poskytujících plnění může být provedena pouze se souhlasem objednatele, a to po splnění kvalifikačních požadavků objednatele ve stejném rozsahu, jaký byl stanoven v zadávacím řízení na výběr dodavatele pro poskytování služeb uvedených v této smlouvě. Odsouhlasení změny bude provedeno e-mailem alespoň jednou pověřenou osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě.
3. Objednatel si za splnění podmínek dle odst. 2 tohoto článku vyhrazuje právo požádat o výměnu některé z osob poskytujících plnění z důvodu opakované nespokojenosti s kvalitou jí odváděné práce nebo nedostatečnou komunikací s objednatelem.
4. Poskytovatel je povinen:
a) V souladu s ust. § 105 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“) poskytnout objednateli identifikační údaje všech poddodavatelů, kteří nebyli identifikováni dle věty první uvedené v § 105 odst. 3 ZZVZ a kteří se následně zapojí do plnění předmětu dle této smlouvy, a to nejpozději před zahájením plnění předmětu dle této smlouvy poddodavatelem;
b) V případě poskytování služeb prostřednictvím poddodavatele platí všechna ustanovení tohoto článku také pro poddodavatele a jeho pracovníky, kteří se budou na plnění smlouvy podílet. V případě, že poskytovatel splnil některý z požadavků stanovených objednatelem v zadávací dokumentaci zadávacího řízení na předmět této smlouvy prostřednictvím poddodavatele, je povinen v případě změny tohoto poddodavatele požádat objednatele o souhlas a prokázat, že nový poddodavatel tento požadavek splňuje, a to do 5 pracovních dnů přede dnem zahájení poskytování plnění dle této smlouvy poddodavatelem. Odsouhlasení změny poddodavatele bude provedeno e-mailem alespoň jednou pověřenou osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě;
c) Za plnění poskytovaná poddodavatelem je poskytovatel odpovědný jako by tato plnění poskytoval sám. Poskytovatel se zavazuje, že poskytne objednateli, pokud bude i část plnění poskytována poddodavatelem, seznam kontaktních údajů na osoby provádějící
plnění za poddodavatele. Objednatel je oprávněn průběh plnění realizovaný poddodavatelem řešit napřímo s jeho pracovníky a poskytovatel není oprávněn tuto komunikaci s poddodavatelem či jeho pracovníky jakkoliv omezovat nebo mařit.
5. Nesplnění kterékoliv povinnosti poskytovatele uvedené v tomto článku je považováno
za podstatné porušení smlouvy.
Článek V
Uplatnění požadavků na poskytnutí služeb
Postup při uplatnění požadavku na poskytnutí služeb dle čl. I odst. 1 je následující:
d) objednatel výzvu na poskytnutí služeb uvedených v čl. I odst. 1 zašle e-mailem pověřené
osobě poskytovatele;
e) poskytovatel ve lhůtě 5 pracovních dnů od doručení výzvy zašle e-mailem pověřeným osobám objednatele nabídku, která obsahuje nabídkovou cenu (dle počtu očekávaných hodin potřebných na poskytnutí poptávaných služeb a příslušné hodinové sazby pracovníků poskytovatele) a harmonogram prací;
f) po vzájemném odsouhlasení nabídky včetně harmonogramu prací dle předchozího odstavce je poskytovatel povinen práce realizovat, a to dle harmonogramu uvedeného v nabídce.
Článek VI
Součinnost, pověřené osoby
1. Objednatel se zavazuje poskytnout poskytovateli všechny informace, podklady a písemnosti, které má k dispozici a které jsou nezbytné pro činnost poskytovatele podle této smlouvy.
2. Pověřenými osobami smluvních stran jsou:
a) za poskytovatele:
b) za objednatele:
3. V případě změny pověřených osob smluvních stran nebo jejich kontaktních údajů jsou smluvní strany povinny nahlásit změnu následující pracovní den po provedení změny na e-mailové adresy pověřených osob druhé smluvní strany. Změna osob je účinná dnem jejího oznámení druhé smluvní straně, a to bez povinnosti uzavírat dodatek k této smlouvě.
4. Poskytovatel se zavazuje v případě zjištění závažnějšího nedostatku v systému objednatele, jehož další testování by mohlo vést k snížení dostupnosti či poškození systémového prostředí, kontaktovat pověřenou osobu objednatele uvedenou v odst. 2 tohoto článku a v testování pokračovat až po jejím souhlasu.
Článek VII
Mlčenlivost, bezpečnostní požadavky objednatele,
pojištění a sociální odpovědnost poskytovatele
1. Poskytovatel se zavazuje zajistit, že veškeré osoby podílející se na plnění dle této smlouvy zachovají mlčenlivost o všech skutečnostech, se kterými se seznámí v průběhu plnění této smlouvy a které nejsou veřejně dostupné. Povinnost mlčenlivosti trvá i po skončení platnosti smlouvy.
2. Pracovníci či poddodavatelé poskytovatele a jejich pracovníci smí používat informace získané v souvislosti s plněním dle této smlouvy výhradně pro účely plnění této smlouvy. Dostane-li se kterákoliv z osob uvedených v tomto odstavci v průběhu plnění do kontaktu s údaji objednatele vyplývajícími z jeho provozní činnosti, zavazuje se tyto údaje nezneužít, nezměnit ani nijak nepoškodit, neztratit či znehodnotit.
3. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali bezpečnostní požadavky objednatele uvedené v příloze č. 1 této smlouvy.
4. Poskytovatel se zavazuje, že nebude využívat plnění pro objednatele (resp. označení České národní banky) jako veřejně dostupnou referenci bez předchozího písemného souhlasu objednatele.
5. Poskytovatel prohlašuje, že je ke dni uzavření této smlouvy pojištěn pro případ vzniku odpovědnosti za škodu způsobenou v souvislosti s plněním této smlouvy, a to s horní hranicí pojistného plnění nejméně ve výši 1 000 000 Kč (slovy: jeden milion korun českých). Poskytovatel se zavazuje zajistit, že pojistná smlouva zůstane v uvedeném rozsahu platná a účinná po celou dobu trvání této smlouvy. Na výzvu objednatele je poskytovatel povinen kdykoliv v průběhu trvání smlouvy tuto skutečnost prokázat, a to do 5 pracovních dnů od doručení výzvy.
6. Poskytovatel se zavazuje, že v souvislosti s plněním dle této smlouvy zajistí legální zaměstnávání osob a férové a důstojné pracovní podmínky pro všechny pracovníky podílející se na plnění této smlouvy. Férovými a důstojnými pracovními podmínkami se přitom rozumí takové pracovní podmínky, které splňují alespoň minimální standardy stanovené pracovněprávními a mzdovými předpisy. Poskytovatel je povinen zajistit splnění požadavků dle tohoto ustanovení i u svých poddodavatelů.
7. Poskytovatel se zavazuje, že v souvislosti s plněním dle této smlouvy zajistí řádné a včasné plnění finančních závazků vůči svým poddodavatelům, kdy za řádné a včasné plnění se považuje plné uhrazení poddodavatelem vystavených faktur za plnění poskytnutá poskytovateli v souvislosti s touto smlouvou, a to nejpozději do 10 dnů od obdržení platby ze strany objednatele.
8. Objednatel je oprávněn plnění povinností dle odst. 1 nebo 2 tohoto článku smlouvy kdykoliv kontrolovat. Je-li k provedení této kontroly potřeba předložení dokumentů, zavazuje se poskytovatel k jejich předložení nejpozději do 5 pracovních dnů od doručení výzvy objednatele.
Článek VIII
Kybernetická bezpečnost
1. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných
informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů.
2. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB.
3. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy.
4. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB.
5. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy.
6. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní.
7. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy.
8. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy.
9. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele.
10. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny.
11. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny.
12. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB.
13. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.
Článek IX Mezinárodní sankce
1. Poskytovatel potvrzuje, že ke dni podpisu této smlouvy on ani jeho poddodavatelé nenaplňují definiční znaky subjektů uvedených v čl. 5k nařízení (EU) č. 833/2014 ze dne
31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 833/2014“), nebo subjektů uvedených v čl. 1h rozhodnutí Rady 2014/512/SZBP ze dne 31. července 2014
o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále jen „rozhodnutí 2014/512/SZBP“), kterým je zakázáno zadat či plnit jakoukoli veřejnou zakázku nebo koncesní smlouvu ve smyslu v tomto ustanovení uvedeného nařízení či rozhodnutí. Subjekty naplňující definiční znaky subjektů uvedených v čl. 5k nařízení č. 833/2014 nebo subjektů uvedených v čl. 1h rozhodnutí 2014/512/SZBP budou dále označovány jako „určené subjekty“.
2. Poskytovatel dále potvrzuje, že ke dni podpisu této smlouvy není osobou uvedenou v příloze I nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění jeho změn (dále také jako „nařízení č. 269/2014“), nebo v příloze I nařízení Rady (EU) č. 208/2014 ze dne 6. března 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 208/2014“), nebo v příloze I nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska, ve znění jeho změn (dále také jako „nařízení č. 765/2006“), nebo v příloze rozhodnutí Rady 2014/145/SZBP ze dne
17. března 2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění jeho změn (dále také jako „rozhodnutí 2014/145/SZBP“). Osoba uvedená v příloze I nařízení č. 269/2014 nebo v příloze I nařízení č. 208/2014 nebo v příloze I nařízení č. 765/2006 nebo v příloze rozhodnutí Rady 2014/145/SZBP bude dále označována jako „určená osoba“.
3. Poskytovatel se současně zavazuje, že určeným osobám dle předchozího odstavce (není-li jí sám) nebo v jejich prospěch nezpřístupní žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo.
4. Poskytovatel dále potvrzuje, že plnění jím poskytované dle této smlouvy neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie [tj. zejména zákazy dovozu výrobků ze železa a oceli ve smyslu nařízení Rady (EU)
č. 2022/428 ze dne 15. března 2022, kterým se mění „základní“ nařízení (EU) č. 833/2014, nebo nařízení Rady (EU) č. 2022/355 ze dne 2. března 2022, kterým se mění „základní“ nařízení (ES) č. 765/2006 o omezujících opatřeních vzhledem k situaci v Bělorusku apod.]. Objednatel je oprávněn při porušení této povinnosti poskytovatele plnění nepřevzít v jakékoliv jeho části.
5. V případě, že by v průběhu účinnosti této smlouvy poskytovatel nebo jeho jakýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo se poskytovatel stal určenou osobou, je poskytovatel povinen o takové skutečnosti objednatele bez zbytečného odkladu, nejpozději do 2 pracovních dnů od nastání takové skutečnosti, písemně informovat.
6. Dojde-li za dobu účinnosti této smlouvy ke změnám v kterémkoliv z výše uvedených nařízení Rady (EU) či rozhodnutí Rady nebo k přijetí jakékoliv jiné nové legislativy tak, že bude nezbytné dát tuto smlouvu s nařízením Rady (EU), rozhodnutím Rady nebo jinou novou legislativou do souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran v rámci této smlouvy (sankční mechanismy či nové možnosti ukončení smlouvy z toho nevyjímaje), a to bez zbytečného odkladu, nejpozději do 15 pracovních dnů poté, co změny nařízení Rady (EU), rozhodnutí Rady či jiná nová legislativa nabydou platnosti, nedohodnou-li se smluvní strany jinak.
7. Vznikne-li objednateli v souvislosti s nepravdivým prohlášením nebo porušením povinností poskytovatele dle tohoto článku smlouvy jakákoliv škoda, je poskytovatel tuto škodu objednateli povinen v plné výši nahradit.
Článek X
Trvání smlouvy, výpověď a odstoupení od smlouvy
1. Smlouva se uzavírá na dobu neurčitou.
2. Smlouvu může vypovědět kterákoliv ze smluvních stran písemnou výpovědí doručenou druhé straně. Výpovědní doba je šestiměsíční a běží od prvého dne měsíce následujícího po doručení písemné výpovědi druhé smluvní straně.
3. Poruší-li kterákoliv strana podstatným způsobem závazky vyplývající z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to i v části, prostřednictvím písemného odstoupení. Takové odstoupení bude platné a nabude účinnosti dnem jeho doručení druhé smluvní straně.
4. Za podstatné porušení smlouvy strany považují zejména tyto případy:
- ze strany poskytovatele:
a) nesplnění kterékoliv povinnosti poskytovatele dle čl. IV,
b) nesplnění povinností poskytovatele uvedených v čl. VII odst. 1, 2, 3 a 5,
c) nesplnění povinnosti poskytovatele uvedené v čl. VIII odst. 5
d) situace, kdy na základě písemné informace od poskytovatele či z vlastní iniciativy objednatel shledá, že poskytovatel nebo jeho kterýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo poskytovatel se stane určenou osobou nebo poskytovatel neuzavře dodatek ke smlouvě ve smyslu čl. IX odst. 6 této smlouvy nebo poskytovatel poruší povinnost nezpřístupnit jakékoliv určené osobě (není-li jí sám) nebo v její prospěch žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo,
nebo povinnost dodat či poskytnout plnění, které neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie; nebo
e) porušení podmínek sjednaných ve smlouvě o zpracování osobních údajů,
- ze strany objednatele:
a) prodlení s úhradou ceny plnění dle této smlouvy delší než 30 dnů.
5. Smluvní strany se dohodly, že je objednatel oprávněn odstoupit od smlouvy kdykoliv
v průběhu insolvenčního řízení zahájeného na majetek poskytovatele.
6. Objednatel je dále oprávněn odstoupit od smlouvy, pokud dojde k významné změně kontroly nad poskytovatelem, přičemž kontrolou se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení nebo dojde ke změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy a tato změna bude objednatelem vyhodnocena jako bezpečnostní riziko ve smyslu ZKB a/nebo VKB.
Článek XI
Smluvní pokuta, úrok z prodlení, náhrada škody
1. V případě prodlení poskytovatele ve lhůtách plnění stanovených v odsouhlaseném harmonogramu dle čl. V písm. c) je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý den prodlení.
2. V případě prodlení poskytovatele ve lhůtě dle čl. V písm. b) k zaslání nabídky je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý pracovní den prodlení.
3. V případě prodlení poskytovatele se splněním smluvní povinnosti ve stanovené lhůtě dle čl. VII odst. 5 se poskytovatel zavazuje zaplatit objednateli smluvní pokutu ve výši 500 Kč za každý pracovní den prodlení.
4. V případě porušení povinnosti poskytovatele dle čl. VII odst. 1 je objednatel oprávněn požadovat smluvní pokutu ve výši 20 000 Kč za každé jednotlivé porušení mlčenlivosti.
5. V případě prodlení poskytovatele ve lhůtě stanovené v čl. VII odst. 7 nebo 8 této smlouvy je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 500 Kč za každý den prodlení.
6. V případě porušení kterékoliv povinnosti poskytovatele dle čl. VII odst. 6 této smlouvy je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 5 000 Kč, a to za každý zjištěný případ takového porušení.
7. V případě porušení jakékoliv povinnosti poskytovatele dle čl. IV nebo VIII je objednatel
oprávněn požadovat smluvní pokutu ve výši 20 000 Kč za každé jednotlivé porušení.
8. V případě prodlení poskytovatele v kterékoliv lhůtě dle čl. IX této smlouvy je objednatel oprávněn požadovat po poskytovateli smluvní pokutu ve výši 1 000 Kč za každý pracovní den prodlení.
9. V případě, že se ukáže jakékoliv tvrzení poskytovatele uvedené v čl. IX této smlouvy jako nepravdivé nebo poruší-li poskytovatel závazek stanovený v čl. IX této smlouvy, vzniká objednateli nárok na smluvní pokutu ve výši 100 000 Kč za každé jednotlivé nepravdivé tvrzení poskytovatele či za každé jednotlivé porušení závazku poskytovatele.
10. V případě prodlení objednatele s úhradou daňového dokladu je poskytovatel oprávněn požadovat úrok z prodlení podle nařízení vlády č. 351/2013 Sb.
11. Smluvní pokuta i úrok z prodlení jsou splatné do 14 dnů od doručení příslušného dokladu povinné smluvní straně. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu povinného ve prospěch účtu oprávněného.
12. Smluvní pokutou není dotčeno právo na náhradu škody.
13. Poskytovatel se zavazuje postupovat tak, aby jeho činností nedošlo ke vzniku škody na zařízeních nebo datech objednatele. Toto ustanovení se nevztahuje na škody, jejichž skutečnou příčinou je vada systému, která se projevila na základě provádění šetření v rámci plnění předmětu smlouvy.
Článek XII
Uveřejnění smlouvy a skutečně uhrazené ceny
1. Poskytovatel si je vědom zákonné povinnosti objednatele uveřejnit na svém profilu tuto smlouvu včetně všech jejích případných změn a dodatků a výši skutečně uhrazené ceny za plnění této smlouvy.
3. Povinnost uveřejňování dle tohoto článku je objednateli uložena § 219 ZZVZ.
4. Uveřejňování bude prováděno dle ZZVZ a příslušného prováděcího předpisu k ZZVZ.
Článek XIII
Závěrečná ustanovení
1. Smlouva nabývá platnosti a účinnosti dnem podpisu oprávněnými zástupci obou smluvních
stran.
2. Smlouvu je možno měnit nebo doplňovat pouze formou písemných, vzestupně číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran, není-li ve smlouvě uvedeno jinak. Dodatek v elektronické podobě se považuje za řádně podepsaný kupujícím/objednatelem, je-li podepsán kvalifikovanými elektronickými podpisy.
3. Závazkový vztah založený touto smlouvou se řídí českým právním řádem, zejména občanským zákoníkem
4. Spory vyplývající z této smlouvy budou řešeny především dohodou smluvních stran. Nebude-li možné dosáhnout dohody, bude spor řešen před místně a věcně příslušným soudem České republiky, a to výlučně podle českého práva.
5. Veškerá komunikace mezi smluvními stranami vztahující se k této smlouvě bude probíhat v českém jazyce, nebude-li pověřenými osobami smluvních stran v konkrétním případě dohodnuto jinak.
6. Odpověď stran této smlouvy podle § 1740 odst. 3 občanského zákoníku s dodatkem nebo odchylkou není přijetím nabídky, ani když podstatně nemění podmínky nabídky.
7. Smluvní strany vylučují uplatnění ustanovení § 1765 a § 1766 občanského zákoníku na svůj smluvní vztah založený touto smlouvou, čímž se ruší nárok dodavatele na jednání podle § 1765 odst. 1 občanského zákoníku. Poskytovatel tímto přebírá nebezpečí změny
okolností dle § 1765 odst. 2 občanského zákoníku.
8. Práva a povinnosti vzniklé z této smlouvy mohou být postoupeny pouze po předchozím písemném souhlasu druhé smluvní strany.
9. Ukončením smlouvy nejsou dotčena ustanovení smlouvy týkající se nároků z odpovědnosti za vady, nároků z odpovědnosti za škodu a nároků ze smluvních pokut, závazku mlčenlivosti ani další ustanovení, z jejichž povahy vyplývá, že mají trvat i po zániku účinnosti smlouvy.
10. Smlouva je vyhotovena v elektronické podobě, přičemž každá ze smluvních stran obdrží vyhotovení smlouvy opatřené elektronickými podpisy.
11. Nedílnou součástí této smlouvy jsou následující přílohy: č. 1 – Bezpečnostní požadavky objednatele
č. 2 – Obecná pravidla pro dodavatele v oblasti bezpečnosti IT č. 3 – Podrobná specifikace předmětu plnění
č. 4 – Ujednání o zpracování osobních údajů
V Praze dne:
30. března 2023
Za objednatele: Za poskytovatele:
Xxx. Xxxxx Xxxxxxx Xxxxxx Xxxxxxx
ředitel sekce informatiky jednatel
podepsáno elektronicky podepsáno elektronicky
Xxx. Xxxxxx Xxxxxx ředitel sekce správní podepsáno elektronicky
Příloha č. 1
Bezpečnostní požadavky objednatele
1. Poskytovatel odpovídá za to, že do objektů objednatele (dále jen „ČNB“) budou vstupovat nebo vjíždět pouze ti jeho pracovníci, kteří jsou jmenovitě uvedeni v seznamu pracovníků schváleném ČNB (dále jen „seznam“). Tato povinnost se vztahuje i na posádky vozidel poskytovatele vjíždějících do garáží ČNB za účelem složení a naložení nákladu. Poskytovatel předloží seznam ČNB nejpozději pět pracovních dní před zahájením plnění.
2. Seznam bude obsahovat tyto položky: jméno, příjmení a číslo průkazu totožnosti každého z pracovníků poskytovatele. Poskytovatel se zavazuje zajistit, aby všichni jeho pracovníci uvedení v seznamu byli ještě před předložením seznamu ČNB proškoleni o podmínkách zpracování osobních údajů a o právech subjektů údajů ve smyslu obecného nařízení
o ochraně osobních údajů – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne
27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Poskytovatel se zejména zavazuje, že všichni jeho pracovníci uvedení v seznamu budou nejpozději do okamžiku předložení seznamu ČNB poučeni:
a) o tom, že poskytovatel předá jejich osobní údaje v rozsahu: jméno, příjmení a číslo průkazu totožnosti České národní bance, sídlem Na Příkopě 28, Praha 1 v rámci plnění této smlouvy, a to za účelem ochrany práv a oprávněných zájmů ČNB (zajištění evidence osob vstupujících do budovy ČNB z důvodu ochrany majetku a osob a správy systému kontrol vstupů ČNB);
b) o veškerých právech subjektu údajů, která mohou uplatnit vůči poskytovateli a ČNB, zejména o právu na přístup k osobním údajům, které jsou o nich zpracovávány, právu na námitku proti zpracování osobních údajů, právu požadovat nápravu situace, která je v rozporu s právními předpisy, a to zejména formou zastavení nakládání s osobními údaji, jejich opravou, doplněním či odstraněním, jakož i o právu podat stížnost k Úřadu pro ochranu osobních údajů.
3. Za poučení svých pracovníků ponese poskytovatel vůči ČNB následně odpovědnost. V případě nesplnění povinnosti podle bodu 2. nahradí poskytovatel újmu, která v souvislosti s uvedeným ČNB vznikne, a to včetně případné nemajetkové újmy vzniklé poškozením dobrého jména a dobré pověsti, újmy vzniklé v důsledku postihu pravomocně uloženého ČNB správním nebo jiným k tomu oprávněným orgánem veřejné moci a újmy vzniklé ČNB v důsledku úspěšného uplatnění práv pracovníků poskytovatele vůči ČNB.
4. Požadavky na případné doplňky a změny schváleného seznamu je nutno neprodleně oznámit ČNB. Případné doplňky a změny seznamu podléhají schválení ČNB. Osoby neschválené ze strany ČNB nemohou vstupovat do objektů ČNB, přičemž ČNB si vyhrazuje právo neuvádět důvody jejich neschválení.
5. Poskytovatel uvede předem ty své pracovníky, pro které požaduje vystavení vstupních karet ke vstupu do objektů ČNB. Vystavení vstupních karet podléhá schválení ze strany ČNB. První vstupní karty budou vystaveny na náklady ČNB. Každé další vystavení vstupní karty bude zpoplatněno částkou 200 Kč (vč. DPH) s tím, že tato částka bude poskytovateli vyfakturována. Za vystavení nové vstupní karty nebude nutné platit v případech, kdy:
- dosavadní karta přestane fungovat bez viditelného mechanického poškození,
- dojde ke změně příjmení pracovníka,
- byla karta odcizena a událost je doložitelná protokolem od Policie ČR.
6. Poskytovatel bude při zahájení činnosti pro ČNB vybaven základním počtem vstupních karet pro jednotlivé pracovníky podle schváleného seznamu. Vstupní karta umožní oprávněnému pracovníkovi poskytovatele samostatný vstup do určených prostor objektu ČNB a samostatný pohyb v nich. Vstupní karta bude nepřenosná a bude vydávána odborem bankovní bezpečnosti a krizového řízení ČNB.
7. Vstupní karty budou vydávány ze strany ČNB pro každého pracovníka poskytovatele jednotlivě proti podpisu, a to po předložení výpisu z rejstříku trestů, který nebude starší než tři měsíce. Výpis z rejstříku trestů bude pracovníkovi vrácen. Při převzetí vstupní karty bude dotčený pracovník poskytovatele poučen o způsobu používání vstupní karty a o režimu vstupu osob a vjezdu vozidel do objektů ČNB a o pohybu v nich.
8. Pracovník poskytovatele, kterému byla vydána vstupní karta, je povinen okamžitě po zjištění ztráty, odcizení, zneužití, zničení nebo poškození vstupní karty, které brání jejímu řádnému užívání, toto oznámit odboru bankovní bezpečnosti a krizového řízení ČNB.
9. Při ukončení pracovního poměru pracovníka poskytovatele uvedeného v seznamu nebo při ukončení plnění podle smlouvy je poskytovatel povinen neprodleně vrátit vstupní kartu dotčeného pracovníka odboru bankovní bezpečnosti a krizového řízení ČNB.
10. ČNB si vyhrazuje právo nevydat vstupní karty pracovníkům poskytovatele bez udání důvodu.
11. ČNB si vyhrazuje právo vstupní kartu pracovníkovi poskytovatele odebrat z důvodu hrubého porušení režimu vstupu osob a vjezdu vozidel do objektu ČNB nebo porušení režimu pohybu v něm.
12. ČNB si vyhrazuje právo vyřadit i schválené pracovníky poskytovatele ze seznamu bez udání důvodů. Schválení pracovníci musí dodržovat pokyny bankovních policistů pro vstup do vyhrazených prostor a pro pobyt v nich.
13. Pracovníci poskytovatele jsou povinni podrobit se při každém vstupu do objektu ČNB bezpečnostní kontrole prováděné bankovními policisty.
14. ČNB si vyhrazuje právo nevpustit do objektů ČNB pracovníka poskytovatele, který je zjevně pod vlivem alkoholu, drog nebo jiné omamné látky.
15. Vstup do objektů ČNB se zvířaty je zakázán.
16. Vstup soukromých návštěv do vnitřních prostor objektů ČNB je zakázán. Pro tyto účely je možné využít určené návštěvní místnosti.
17. Poskytovatel je povinen zajistit, že jeho pracovníci budou vstupovat do prostorů ČNB a zdržovat se v nich pouze ve firemním pracovním oděvu s viditelným nesnímatelným označením logem dotčeného poskytovatele. Pracovní oděv musí být doplněn viditelně nošenou vstupní kartou vydanou ČNB dotčenému pracovníkovi poskytovatele podle schváleného seznamu.
18. Poskytovatel a jeho pracovníci budou věnovat při plnění podle této smlouvy v oblasti
požární ochrany zvýšenou pozornost:
• dodržování právních předpisů o požární ochraně,
• předpisům ČNB při provádění požárně nebezpečných prací se zvýšeným požárním nebezpečím (svařování, řezání plamenem, pájení, broušení, rozbrušování apod.),
• průrazům a průchodům u rozvodů instalací a technologií hranicemi požárních úseků, včetně zachování, obnovení nebo nového vyhotovení jejich protipožárních ucpávek.
19. Poskytovatel se zavazuje zajistit, že jeho pracovníci, jakož i pracovníci případných jeho poddodavatelů, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost
o všech skutečnostech, se kterými se v průběhu plnění seznámí a které nejsou veřejně známy.
20. Povinnost mlčenlivosti podle bodu 19. výše není časově omezena.
21. V případě mimořádné události se pracovníci poskytovatele musí řídit pokyny bankovních policistů nebo dozorujícího zaměstnance ČNB a dále instrukcemi vyhlašovanými vnitřním rozhlasem ČNB.
22. Pracovníci poskytovatele nesmí vnášet do prostor ČNB nebezpečné předměty, jako jsou střelné zbraně, výbušniny, hořlavé kapaliny, tlakové láhve apod. O tom, co je či není nebezpečný předmět, rozhodují bankovní policisté v souladu s vnitřními předpisy ČNB.
23. Fotografování a pořizování videozáznamů je ve všech prostorách objektů ČNB zakázáno. Výjimku tvoří pořizování dokumentace technických havárií a poruch. Konkrétní případ musí předem povolit ředitel odboru bankovní bezpečnosti a krizového řízení nebo ředitel příslušné pobočky ČNB.
24. Ve všech prostorách objektů ČNB je přísný zákaz kouření a používání otevřeného ohně. O povolení k provedení požárně nebezpečné práce se zvýšeným požárním nebezpečím požádá poskytovatel písemnou formou dozorujícího zaměstnance ČNB, a to vždy nejpozději jeden pracovní den před zahájením prací.
25. Pracovníci poskytovatele se musí zdržet poškozování či odcizování majetku ČNB, a dále
i jakéhokoli nevhodného chování vůči zaměstnancům a návštěvníkům ČNB.
26. Pracovníci poskytovatele uvedení v seznamu se musí před započetím výkonu práce v objektech ČNB prokazatelně seznámit s „Pravidly pro smluvní partnery ČNB k zajištění bezpečnosti a ochrany zdraví při práci, požární ochrany a ochrany životního prostředí v ČNB“ (dále jen „pravidla“). Pravidla předá v listinné formě zástupci poskytovatele požární a bezpečnostní technik ČNB. Zástupce poskytovatele s pravidly seznámí všechny dotčené pracovníky poskytovatele.
27. ČNB je oprávněna v objektu ČNB kdykoliv podrobit kontrole kteréhokoliv pracovníka poskytovatele uvedeného na seznamu ohledně dodržování požární ochrany, bezpečnosti práce a všech výše uvedených ustanovení.
28. Pracovníci poskytovatelem uvedení v seznamu musí rovněž splňovat „Podmínky přístupu zaměstnanců cizích firem vykonávajících na základě smluvního vztahu činnosti pro ČNB k utajované informaci stupně utajení Vyhrazené“ (viz příloha č. 1 těchto bezpečnostních požadavků ČNB).
Příloha č. 2
Obecná pravidla pro poskytovatele v oblasti bezpečnosti IT
1) Pokud jsou tato obecná pravidla v rozporu s ustanovením textu smlouvy nebo zadávací dokumentace nebo její jinou přílohou, má přednost ustanovení textu smlouvy nebo zadávací dokumentace nebo její jiná příloha.
2) Poskytovatel je povinen zajistit, že jeho pracovníci či poddodavatelé a jejich pracovníci, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně dostupné. Povinnost mlčenlivosti není časově omezena.
3) Poskytovatel je rovněž povinen chránit informace, které nejsou veřejně dostupné, zejména předanou dokumentaci, před jejich prozrazením a/nebo zpřístupněním neoprávněným osobám a dále použít získané informace výhradně pro účely plnění smlouvy s ČNB.
4) Poskytovatel nemá vzdálený přístup k systémům a do počítačové sítě ČNB.
5) Pracovníci poskytovatele, kteří budou samostatně přistupovat k informačním systémům a systémovému prostředí ČNB, se před nebo při prvním přístupu musí seznámit s bezpečnostními požadavky a svými povinnostmi vyplývajícími z vnitřních předpisů ČNB.
6) Poskytovatel a jeho pracovníci nejsou oprávněni:
a) obcházet bezpečnostní mechanizmy prostředků výpočetní techniky;
b) sdělovat své přístupové údaje k systémům ČNB;
c) sdílet přístup k systémům ČNB (umožnit jinému pracovat pod uživatelovým oprávněním);
d) provádět akce požadované třetí osobou (instalace softwaru, návštěva webových stránek apod.) bez ověření oprávněnosti požadavku.
7) Poskytovatel a jeho pracovníci jsou povinni:
a) okamžitě nahlásit sekci informatiky ČNB, pokud identifikují možnost obejití bezpečnostních mechanizmů prostředků výpočetní techniky. To neplatí pro poskytovatele, jejichž předmět smlouvy obsahuje tuto činnost;
b) při opuštění pracovní stanice stanici uzamknout (např. vytažením multifukčního průkazu ze stanice) nebo se odhlásit, a ověřit, že k odhlášení/uzamčení opravdu došlo;
c) bezpečně zlikvidovat nepotřebná výměnná média (např. CD/DVD, flash disk, paměťová karta) prostřednictvím služby HelpDesku ČNB;
d) bez prodlení odebrat z tiskárny vytištěné dokumenty, popřípadě pro zajištění důvěrnosti použít zabezpečený tisk, pokud to nastavení tiskárny umožňuje;
e) v případě detekce viru nebo podezření na přítomnost škodlivého kódu neprodleně kontaktovat HelpDesk ČNB a stanici kompletně prověřit antivirovým programem za případné spolupráce HelpDesku ČNB.
8) Pracovníci poskytovatele nesmí:
a) zaznamenávat heslo tak, aby mohlo být snadno identifikováno (týká se i zapisování do elektronických dokumentů, např. Notepad). Pro uchování je možné použít například bezpečné úložiště na čipové kartě uživatele (SmartNotes);
b) používat stejná hesla v systémech ČNB a pro přístup do dalších systémů a aplikací mimo ČNB (např. soukromá e-mailová schránka, Facebook, LinkedIn).
9) Pracovníci poskytovatele nejsou oprávněni:
a) používat soukromou e-mailovou schránku pro činnosti související s plněním dle smlouvy, kromě výjimečné situace, která nesnese odkladu a při níž hrozí nebezpečí z prodlení v případě nedostupnosti nebo poruchy pracovního e-mailu;
b) nastavovat automatické přeposílání e-mailů z pracovní e-mailové adresy mimo systémové prostředí ČNB;
c) ukládat jiné než veřejné informace mimo úložiště pod správou ČNB nebo poskytovatele (případně pod správou smluvně zajištěného partnera), zejména do cloudových služeb (např. xxxx.xx, xxxxxxxxxxxx.xx, Google Disk, Microsoft OneDrive a další).
10) Poskytovatel a jeho pracovníci nejsou oprávněni:
a) nepovoleně používat, kopírovat a šířit software, jako např.:
i) instalovat nebo spouštět na počítačích ČNB soukromě pořízený software (včetně softwaru licencovaného na uživatele jako soukromou osobu);
ii) instalovat nebo spouštět na počítačích ČNB z internetu stažený software (včetně komerčního software, software typu shareware, freeware, public domain a software licencovaného modelem GPL – General Public Licence). To neplatí v případech, kdy předmět smlouvy obsahuje tuto činnost;
iii) instalovat či přenášet software ve vlastnictví ČNB na jiné počítače ČNB, na své soukromé počítače nebo na počítače třetích stran nebo pořizovat kopie softwaru instalovaného v počítači ČNB. To neplatí
(1) pro situace výslovně schválené a popsané v jiném vnitřním předpisu (např. vzdálený přístup ze zařízení, které není ve vlastnictví ČNB) a
(2) v případech, kdy předmět smlouvy obsahuje tuto činnost;
b) používat nebo poskytnout neoprávněně jiným uživatelům sériová čísla, licenční klíče, hardwarové klíče nebo jiné technické prostředky sloužící k zajištění ochrany nebo jednoznačné identifikaci vlastníka licence softwaru získané v ČNB;
c) bránit spouštění nástrojů sloužících pro automatizované kontroly nainstalovaného a spouštěného softwaru a provádět činnosti, které by vedly ke zkreslení získaných dat z těchto nástrojů.
Archivace elektronické pošty
1) Zpráva zaslaná tak, že alespoň jedním z adresátů zprávy je emailová adresa ...@xxx.xx,
se ukládá současně s přijetím i do dlouhodobého archivního úložiště.
2) Veškeré zprávy odesílané z emailové adresy ...@xxx.xx se ukládají do dlouhodobého archivního úložiště současně s odesláním.
Kontrola přístupu na Internet
Z důvodu zvláštní povahy činnosti ČNB a z toho plynoucí povinnosti zajištění bezpečnosti informačních systémů ČNB, z nichž některé jsou součástí kritické informační infrastruktury státu, jsou přístupy uživatelů na Internet ze sítě ČNB automaticky zaznamenávány na úrovni domén 2. řádu (tj. např. xxxxx.xx).
Podrobná specifikace předmětu plnění
Příloha č. 3
1) Činnosti uvedené v čl. I odst. 1 této smlouvy budou probíhat na systémovém prostředí sestávajícím z následujících technologií/produktů (uvedeny pouze vybrané položky):
Operační systém: Windows server 2008 R2, Windows server 2016, Windows 7, Windows 10, Red Hat Enterprise Linux 5/6/7
Databáze: Oracle DB 11/12, MSSQL
Aplikační servery: Oracle Application Server, WebLogic
Webové servery: Apache, Tomcat, Oracle HTTP Server, Microsoft IIS Virtualizace: VMWare, OracleVM, Citrix XenApp
2) Pracovník poskytovatele při plnění využívá své vlastní zařízení (notebook), které bude připojeno do vnitřní sítě ČNB, pokud nebude dohodnuto jinak. Pracovník poskytovatele je povinen zajistit důvěrnost dat uložených na tomto zařízení pomocí šifrování pevného disku.
3) Pokud je to pro daný audit nutné, bude pracovník poskytovatele vybaven přístupovým oprávněním pro testované prvky/IS a dodatečnými informacemi o testovaných prvcích/IS. Pracovník je povinen uchovávat přístupové údaje a další informace o testovaných prvcích/IS v tajnosti.
4) Pro každý audit bude pracovník poskytovatele vybaven přesným vymezením testovaných prvků/IS buď ve formě IP adres, doménových jmen, nebo jiným vymezením rozsahu (části) aplikace/infrastruktury.
5) Během auditu bude pracovník poskytovatele průběžně informovat pověřenou osobu objednatele o plánovaných dílčích testech a jejich výsledcích. Pokud dojde k nalezení vysoce rizikové zranitelnosti, pracovník poskytovatele informuje pověřenou osobu objednatele neprodleně.
6) Před provedením testů, které by mohly mít dopad na dostupnost či integritu testovaných prvků/IS, je pracovník poskytovatele povinen další postup konzultovat s pověřenou osobou objednatele a pokračovat pouze po získání jejího souhlasu.
7) Po skončení auditu a vytvoření závěrečné zprávy pracovník poskytovatele buď veškerá data získaná během auditu smaže, nebo uloží do bezpečného úložiště s řízeným přístupem. Zejména tato data nesmí zůstávat na zařízení, které bylo využíváno po dobu auditu.
8) Pokud bude zařízení pracovníka poskytovatele odnášeno během auditu mimo prostory ČNB, je nezbytné vždy konzultovat rozsah a obsah dat, která se nachází na tomto zařízení, s pověřenou osobou objednatele.
9) Celý proces auditu bude pracovníkem poskytovatele dokumentován. Zaznamenány budou jednotlivé kroky v dostatečné podrobnosti a s časovými značkami. Také budou vytvořeny logy z využitých nástrojů (těch, které toto podporují). Tato dokumentace bude předána objednateli společně se závěrečnou zprávou.
10) Na vyžádání poskytovatel poskytne závěrečnou formální prezentaci výsledků auditu
v sídle objednatele.
Příloha č. 4
Ujednání o zpracování osobních údajů
(dále také jen „Ujednání“)
Smluvní strany se dohodly na tomto Ujednání, které naplňuje požadavky stanovené pro smlouvu o zpracování osobních údajů podle ustanovení čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).
1. Úvodní ustanovení
1.1. Česká národní banka (dále též „správce“) v souladu se smlouvou o poskytování služeb bezpečnostních auditů informačních systémů, evidenční číslo smlouvy ČNB: 92-028-19 (dále jen „smlouva“) určuje účel a prostředky zpracování osobních údajů zaměstnanců objednatele (dále jen „interní uživatelé“) a případných dalších uživatelů informačních systémů v systémovém prostředí správce (dále jen „externí osoby“) (společně dále jen
„subjekty údajů“) a je tedy v postavení správce osobních údajů ve smyslu čl. 4 odst. 7
GDPR.
1.2. BDO Consulting s.r.o., zapsaná v obchodním rejstříku vedeném Městských soudem v Praze, oddíl C vložka 24614, se sídlem V parku 2316/12, 148 00 Praha 4 – Chodov, IČO: 49622625, DIČ: CZ49622625 (dále též „zpracovatel“) bude na základě smlouvy zpracovávat osobní údaje subjektů údajů a bude ve vztahu ke správci v postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 GDPR.
2. Předmět Ujednání
Toto Ujednání upravuje vztahy mezi správcem a zpracovatelem a určuje jejich práva a povinnosti při zpracování osobních údajů zpracovatelem a v souvislosti s ním, zejména pak vymezuje rozsah osobních údajů, které bude zpracovatel zpracovávat, prostředky a účel, pro který bude osobní údaje zpracovávat, dobu zpracování osobních údajů, jakož i podmínky a záruky zpracovatele z hlediska technického a organizačního zabezpečení ochrany osobních údajů tak, aby zpracování probíhalo v souladu s právními předpisy v oblasti ochrany osobních údajů.
3. Účel zpracování a rozsah zpracovávaných osobních údajů
3.1. Zpracovatel bude zpracovávat osobní údaje subjektů údajů pouze v rozsahu nezbytném pro zajištění realizace smlouvy. Za osobní údaje jsou podle tohoto Ujednání považovány informace uvedené ve výčtu v odstavci 3.2 tohoto Ujednání („osobní údaje“).
3.2. Zpracovatel bude zpracovávat osobní údaje předané ze strany správce pro účely zajištění bezpečnostních auditů pouze v následujícím rozsahu nezbytném pro výkon práv a povinností podle smlouvy:
a) jméno a příjmení subjektů údajů;
b) osobní číslo interních uživatelů;
c) uživatelské jméno subjektů údajů;
d) e-mailovou adresu subjektů údajů (pracovní e-mailovou adresu, v případě uvedení ze strany externích uživatelů i soukromou e-mailovou adresu);
e) telefonní číslo subjektů údajů (pracovní telefonní číslo, v případě uvedení ze strany externích uživatelů i soukromé telefonní číslo).
3.3. Zpracovatel bude osobní údaje zpracovávat následujícími způsoby ve smyslu čl. 4 odst. 2 GDPR: sběrem od správce, shromážděním, zaznamenáním, uspořádáním, uložením a také jejich výmazem nebo jiným způsobem v souvislosti s účelem zpracování osobních údajů podle odstavce 3.2 tohoto Ujednání.
3.4. Zpracovatel je ve všech případech při zpracování osobních údajů vázán prokazatelnými pokyny správce. Zpracovatel nesmí bez předchozího prokazatelného výslovného souhlasu anebo pokynu správce zpracovávané osobní údaje upravit nebo pozměnit, třídit nebo kombinovat, zpřístupnit ani předat třetí osobě, šířit ani zveřejňovat, ani jakýmkoli způsobem použít pro vlastní potřebu.
4. Doba zpracování
4.1. Zpracovatel bude osobní údaje zpracovávat po dobu nezbytnou pro účel zajištění realizace
smlouvy.
4.2. Po uplynutí doby zpracování podle odstavce 4.1 tohoto Ujednání bude zpracovatel osobní údaje zpracovávat v souladu s čl. 6 odst. 1 písm. c) a f) GDPR pouze v nezbytném rozsahu a výhradně za účelem plnění právními předpisy uložených povinností a ochrany práv a právem chráněných zájmů správce, zpracovatele, příjemce nebo jiné dotčené osoby, a to nejdéle po dobu vyplývající z příslušných zvláštních právních předpisů.
5. Práva a povinnosti smluvních stran
5.1. Správce pověřuje zpracovatele zpracováním osobních údajů výhradně za účelem podle odstavce 3.2 tohoto Ujednání.
5.2. Osobní údaje nebudou zpracovatelem zpracovávány ani s nimi nebude nakládáno jinak, než pouze za účelem, pro který byly osobní údaje zpracovateli poskytnuty, a vždy v souladu s pokyny správce; to platí i pro zpřístupnění či poskytnutí osobních údajů třetí osobě nebo předání mimo území EU.
5.3. Zpracovatel je povinen při každém případném využití cloudové služby předem informovat správce o tom, ve kterých zemích budou zpracovávané osobní údaje umístěny, a to i v případě jakékoli změny. Zařízení, na nichž budou osobní údaje uchovávány nebo jinak zpracovávány, se budou nacházet výlučně v zemích EU a osobní údaje budou předávány a uchovávány pouze v těchto zemích. Zpracovatel je zároveň povinen zajistit zpracování osobních údajů správce odděleně od případných osobních údajů jiných klientů zpracovatele.
5.4. Zpracovatel je povinen zabezpečit osobní údaje a zachovávat mlčenlivost o osobních údajích a řídit se pokyny správce ve všech případech, kdy se jedná o zpracování či zabezpečení osobních údajů. Zpracovatel přijme technická, organizační a personální opatření adekvátní způsobu zpracování a v souladu s pokyny správce – přičemž toto zabezpečení bude odpovídat příslušným aktuálním používaným bezpečnostním standardům (podrobněji v odstavci 5.5 a násl. tohoto Ujednání).
5.5. Správce stanoví opatření, která považuje za dostatečná pro technické a organizační zabezpečení osobních údajů následovně:
a) Technické zabezpečení osobních údajů bude zajištěno pomocí prostředků:
(i) počítačové bezpečnosti; zpracovatel se zavazuje ke zpracování používat výhradně takové technické a programové prostředky, jejichž používání při vyloučení nepředvídatelných okolností eliminuje možnost narušení, ztráty, zničení či poškození osobních údajů, neoprávněného přístupu k nim, či neoprávněného nakládání s osobními údaji;
(ii) komunikační bezpečnosti; zpracovatel se zavazuje dodržovat taková opatření k zabezpečení ochrany osobních údajů při jejich přenosu telekomunikačními kanály (včetně datových nosičů), jejichž povaha eliminuje při vyloučení nepředvídatelných okolností možnost narušení (šifrování);
(iii) fyzické bezpečnosti; v tomto ohledu zpracovatel prohlašuje, že místo, ve kterém budou osobní údaje zpracovávány a ve kterém budou uchovávány spisy a dokumenty, bude mít charakter prostoru zabezpečeného před možností narušení bezpečnosti.
Zpracovatel bude plnit všechny povinnosti stanovené v tomto ustanovení písm. a) využíváním prostředků odpovídajících dosaženému stupni technického pokroku a nárokům odborné péče.
b) Organizační zabezpečení:
(i) osobní údaje budou zpřístupněny pouze určeným osobám z oprávněného personálu zpracovatele a případně oprávněným osobám, které odpovídají za zajištění bezpečnosti systému, kde jsou osobní údaje uloženy, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
(ii) zpracovatel je povinen zabezpečit poučení osob, které mají v rámci zpracování osobních údajů přístup k těmto údajům, aby všechny tyto osoby byly řádně poučeny o svých povinnostech při zpracovávání osobních údajů, zejména pak o povinnosti mlčenlivosti ve vztahu k těmto osobním údajům.
c) Dále je zpracovatel povinen:
(i) zabránit neoprávněným osobám v přístupu k osobním údajům a k prostředkům pro jejich zpracování, a také zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
5.6. Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany osobních údajů v souladu s právními předpisy, zejména s GDPR a dalšími předpisy v oblasti ochrany osobních údajů, jakož i provádět nejméně jednou ročně hodnocení efektivnosti přijatých opatření, a to včetně vedení a zpřístupnění následující dokumentace:
a) seznamu osob, které jsou oprávněny přistupovat k osobním údajům (včetně rozsahu oprávnění);
b) elektronického přehledu informací o veškerých přístupech jednotlivých osob
k osobním údajům.
5.7. Zpracovatel bude neprodleně písemně informovat správce v případě jakýchkoliv potíží
při plnění povinností vyplývajících z tohoto Ujednání, jakož i o všech okolnostech týkajících se porušení povinností při zpracování a ochraně osobních údajů, zejména
o případech, kdy dojde k náhodnému nebo protiprávnímu zničení, ztrátě či změně zpracovávaných osobních údajů nebo neoprávněnému poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. V takovém případě zpracovatel přijme v nejkratším možném termínu veškerá nezbytná opatření k zajištění dostatečné ochrany osobních údajů, notifikuje správce o těchto skutečnostech prostřednictvím kontaktních osob uvedených ve smlouvě a následně postupuje v souladu s GDPR a pokyny správce, budou-li mu sděleny.
5.8. V případě, že v souvislosti se zpracováním osobních údajů zpracovatelem bude zahájeno řízení ze strany orgánu veřejné správy, zpracovatel poskytne správci v těchto řízeních veškerou potřebnou součinnost.
5.9. Zpracovatel je správci na jeho žádost nápomocen při posuzování vlivu zpracovávání osobních údajů na ochranu osobních údajů a při konzultacích správce s dozorovým orgánem, při zohlednění povahy zpracovávání a informací, jež má zpracovatel k dispozici.
5.10. Zpracovatel nezapojí do zpracovávání osobních údajů dalšího zpracovatele bez předchozího písemného povolení správce. V případě, že jakákoliv část zpracovávání osobních údajů bude vykonávaná dalším zpracovatelem po předchozím písemném povolení správce, zůstává zpracovatel plně odpovědný vůči správci za zpracovávání osobních údajů.
5.11. Správce je oprávněn kontrolovat dodržování pravidel stanovených pro zpracování v GDPR či v tomto Ujednání u zpracovatele, resp. i na jiném místě, kde dochází ke zpracování osobních údajů. Zpracovatel za tímto účelem zajistí zástupcům správce, kteří budou provedením kontroly pověřeni, přístup ke všem relevantním informacím a na všechna příslušná místa tak, aby mohlo být řádně provedeno hodnocení oprávněnosti zpracování. Zpracovatel poskytne správci na jeho vyžádání veškeré podklady o přijatých a provedených technických a organizačních opatřeních k zajištění ochrany osobních údajů.
5.12. Po ukončení poskytování služeb podle smlouvy zpracovatel neprodleně vrátí veškeré osobní údaje správci, s výjimkou údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.
6. Odpovědnost za újmu a smluvní pokuty
6.1. Článek 6 upravuje odpovědnost za újmu a nárok na smluvní pokuty v případě porušení podmínek tohoto Ujednání. Znění tohoto článku 6 se nevztahuje na smluvní pokutu a úrok z prodlení podle článku X smlouvy, ve znění pozdějších dodatků, jehož platnost a účinnost zůstává v plném rozsahu zachována.
6.2. Zpracovatel se zavazuje nahradit správci jakoukoliv újmu, včetně nemajetkové, která vznikne z důvodu porušení tohoto Ujednání ze strany zpracovatele. V tomto závazku zpracovatele je zahrnuta i povinnost odškodnit správce za (i) jakékoliv nároky, a to zejména zadostiučinění, peněžité náhrady nebo pokuty, úspěšně uplatněné v soudním popř. správním řízení, ze strany třetích osob, (ii) za správní pokuty uložené správci pravomocně dozorovým orgánem, nebo (iii) jakoukoli újmu utrpěnou poškozením dobré pověsti v příčinné souvislosti s porušením povinností stanovených právními předpisy nebo tímto Ujednáním ze strany zpracovatele.
6.3. Pokud dojde k porušení GDPR nebo jiných právních předpisů v oblasti ochrany osobních údajů pouze v důsledku jednání té smluvní strany, které je v souvislosti s tímto porušením uložena správní pokuta, hradí náklady na uhrazení správní pokuty plně ta strana, která GDPR nebo jiný právní předpis v oblasti ochrany osobních údajů prokazatelně porušila a jíž současně byla uložena pokuta.
6.4. V případě, že zpracovatel správci neumožní kontrolu ohlášenou v souladu s odstavcem 5.11 tohoto Ujednání, anebo během kontroly správci neposkytne pro předmět kontroly potřebnou součinnost, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den takto trvajícího prodlení na straně zpracovatele.
6.5. Zpracovatel je povinen odstranit kontrolou zjištěné nedostatky ve lhůtě 5 dnů, není-li mezi zpracovatelem a správcem dohodnuto jinak. V případě, že zpracovatel neodstraní kontrolou zjištěné nedostatky, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1 000 Kč za každý započatý den prodlení na straně zpracovatele.
6.6. V případě, že zpracovatel poruší kteroukoli z povinností sjednaných v čl. 5 (vyjma odstavce 5.11) tohoto Ujednání, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5 000 Kč za každý jednotlivý případ takového porušení.
6.7. Ujednáním o smluvní pokutě podle tohoto článku není dotčeno právo správce na náhradu škody vzniklé z porušení povinnosti.
6.8. Zpracovatel prohlašuje, že má platně uzavřeno pojištění v dostatečném rozsahu pro případ škody vzniklé porušením jeho povinností z tohoto Ujednání, a bude jej udržovat po celou dobu trvání závazků z tohoto Ujednání.
7. Trvání závazků
7.1. Závazek ke zpracování osobních údajů se sjednává pouze na dobu existence závazkového vztahu vzniklého ze smlouvy, nejpozději do dne likvidace posledního zpracovávaného osobního údaje zpracovatelem ve smyslu povinnosti zlikvidovat osobní údaje podle příslušných ustanovení GDPR.
7.2. V případě ukončení smlouvy předá zpracovatel veškeré osobní údaje správci na dohodnutém datovém nosiči a následně neprodleně zlikviduje veškeré záznamy (s výjimkou upravenou v odstavci 4.2 tohoto Ujednání) v jím spravovaných datových úložištích a na datových nosičích, včetně provozně-bezpečnostních záloh zpracovatele i datových záloh uložených u jeho případného poddodavatele
8. Další ujednání
8.1. Smluvní strany se zavazují vstoupit v jednání o doplnění tohoto Ujednání, pokud vyjde najevo potřeba takového doplnění zejména s ohledem na nově přijaté právní předpisy, stanoviska dozorových orgánů, nebo rozhodování soudních či správních orgánů, a poskytnout si veškerou potřebnou součinnost ke sjednání dodatku smlouvy, pokud bude pro potřeby plnění požadavků obecného nařízení či jiných právních předpisů potřebný.
8.2. Za písemnou formu se pro účely tohoto Ujednání nepovažuje e-mailová ani jiná elektronická forma. Výjimkou je situace, v níž zpracovatel informuje správce ve smyslu odstavce 5.7 (potíže při plnění povinností vyplývajících z tohoto Ujednání a okolnosti týkající se porušení povinností při zpracování a ochraně osobních údajů), a také oznámení kontroly ve smyslu odstavce 5.11, které lze provést i elektronickým oznámením prokazatelně doručeným druhé smluvní straně. V případě oznámení kontroly postačuje
prokazatelné odeslání oznámení správcem na e-mailovou adresu určenou pro tento účel zpracovatelem.