Contract
Je-li předmětem Plnění dle Xxxxxxx povinnost Poskytovatele poskytnout Objednateli školení zaměstnanců Objednatele, řídí se práva a povinnosti Smluvních stran také těmito „Podmínkami Komerční banky, a.s. pro poskytování školení“ (dále jen „Podmínky školení“).
1. Práva a povinnosti Smluvních stran při poskytování školení
1.1. Objednatel si vyhrazuje právo vyžadovat změnu lektora pro realizaci školení v případě nespokojenosti se stávajícím lektorem.
1.2. Účastníky školení budou osoby určené Objednatelem. Poskytovatel je povinen realizovat školení v termínech plnění a v místech plnění stanovených ve Smlouvě.
1.3. Jednostranná změna obsahu Smlouvy Objednatelem: Objednatel je oprávněn změnit:
(i) počet účastníků školení, (ii) termín plnění a (iii) místo plnění dle své potřeby jednostranným písemným oznámením doručeným Poskytovateli e-mailem, nejpozději však 5 dní před termínem plnění.
1.4. Zvláštní ustanovení o zrušení Smlouvy Objednatelem: Objednatel je oprávněn jednostranně odstoupit od Smlouvy i bez uvedení důvodu, a to na základě písemného oznámení o odstoupení doručeného e-mailem Poskytovateli nejpozději 14 dnů před termínem plnění. Odstoupení od Xxxxxxx je účinné okamžikem doručení oznámení o odstoupení Poskytovateli. Objednatel v tomto případě nehradí Poskytovateli jakékoliv náklady spojené s dohodnutým poskytnutím školení.
1.5. Poskytovatel je povinen provádět školení podle metodiky stanovené Objednatelem, se kterou byl Objednatelem prokazatelně seznámen.
1.6. Školení budou realizována v českém jazyce, pokud není ve Smlouvě stanoveno jinak.
1.7. Pokud budou součástí školení školící materiály v tištěné písemné podobě, je Poskytovatel povinen tyto materiály Objednateli zároveň poskytnout v elektronické podobě.
1.8. Poskytovatel je povinen zajistit kvalifikované lektory, připravit a zhotovit podklady pro školení pro všechny účastníky školení v českém jazyce, pokud nebude Smlouvou stanoveno jinak. Poskytovatel je povinen zajistit, že lektoři provádějící školení mají příslušnou úroveň znalostí nutnou pro účely poskytnutí příslušného školení a jsou schopni s odbornou péčí zajistit provádění školení.
1.9. Poskytovatel je povinen vést evidenci docházky potvrzenou zaměstnanci Objednatele a pracovní výkaz školení potvrzený lektorem a Objednatelem. Přehled docházky je pravidelně měsíčně zpětně elektronicky zasílán kontaktní osobě Objednatele uvedené ve Smlouvě, a to nejpozději do konce následujícího měsíce.
1.10. Objednatel zajistí na svůj náklad místnost pro školení v místě plnění, pokud není ve Smlouvě dohodnuto jinak.
1.11. Rozsah školení, je-li případně stanoven Smlouvou, je stanoven jako maximální počet hodin školení za účelem jejich provedení Poskytovatelem. Objednatel není povinen vyčerpat Xxxxxxxx ujednaný rozsah školení, a to bez jakéhokoliv nároku ze strany Poskytovatele na úhrady Objednatelem nevyčerpaných hodin.
1.12. Poskytovatel souhlasí s možností rozdělení fakturace za školení na Objednatele a zaměstnance Objednatele (účastníka školení). Poskytovatel se dále zavazuje spolupracovat s poskytovatelem, který pro Objednatele zajišťuje služby cafeterie (např. Benefit Management
s.r.o.), a umožní platbu za školení jeho prostřednictvím.
1.13. Lektor poskytovatele se považuje za Specialistu.
2. Cena
2.1. Objednatel je povinen uhradit Poskytovateli za školení realizované dle Smlouvy Cenu sjednanou Smlouvou, není-li sjednáno jinak.
2.2. Za uskutečněnou hodinu školení je považována také hodina stornovaná Objednatelem ve lhůtě kratší než 14 dnů před Smlouvou sjednaným termínem školení dle článku 1., odstavce
1.4. Podmínek školení.
2.3. U školení konajících se v místě plnění, kterým je školicí středisko Objednatele v Libohošti, Objednatel zajistí na své náklady ubytování a stravování lektorů v tomto středisku, a to po dobu trvání školení. V případě odůvodněné potřeby Poskytovatele Objednatel zajistí ubytování lektorů i pro noc předcházející zahájení školení.
3. Sankční ujednání
3.1. V případě prodlení Poskytovatele s poskytnutím školení je Poskytovatel povinen uhradit Objednateli na jeho žádost smluvní pokutu ve výši 3.000,- Kč, a to za každou započatou hodinu prodlení.
3.2. V případě porušení povinnosti mlčenlivosti stanovené článkem XV. Obchodních podmínek Poskytovatelem je Poskytovatel povinen uhradit Objednateli na jeho žádost smluvní pokutu ve výši 100.000,- Kč, a to za každé jednotlivé porušení.
3.3. V případě porušení povinnosti Poskytovatele odvést příslušnou DPH či její část je Poskytovatel povinen uhradit Objednateli na jeho žádost smluvní pokutu ve výši 10.000,- Kč, a to za každé jednotlivé porušení.
3.4. Zaplacením jakékoliv smluvní pokuty sjednané v tomto článku Podmínek školení není dotčeno právo Objednatele na náhradu případné škody v plné výši.
4. Zaměstnanci
4.1 Po celou dobu poskytování školení budou Specialisté a subdodavatelé Poskytovatele pod výlučnou odpovědností, kontrolou a řízením Poskytovatele.
4.2 Poskytovatel je povinen zajistit, aby školení a/nebo součinnost poskytovali pouze Specialisté, jejichž následující údaje - jméno, rodné číslo, datum a místo narození a státní příslušnost budou předány Objednateli a dále jím zpracovávány v rámci jeho personálního systému, a to po dobu trvání smluvního vztahu a dále po dobu 2 let ode dne jejího zániku. Povinnost Poskytovatele zajistit výše uvedené údaje u jednotlivého Specialisty je dána v případě výkonu školení a/nebo součinnosti Specialistou v prostorách Objednatele.
4.3 Smluvní strany se dohodly, že Specialista bude oprávněn poskytovat školení nejdříve po předání jeho osobních údajů k jejich vedení v personálním systému Objednatele a předání Dokumentu podepsaného Specialistou Objednateli.
4.4 Poskytovatel nese plnou odpovědnost za škody způsobené Objednateli, Specialistou v důsledku porušení vnitřních předpisů Objednatele, s nimiž byl Specialista seznámen. Objednatel je oprávněn v případě porušení takových vnitřních předpisů, odstoupit od Xxxxxxx s tím, že odstoupení bude účinné okamžikem jeho doručení Poskytovateli.
4.5 Objednatel vytvoří bezpečné pracovní prostředí v souladu s platnými obecně závaznými právními předpisy České republiky na místech plnění pro pracovníky Poskytovatele. Poskytovatel je povinen pracovníky Poskytovatele vyškolit o bezpečnosti práci a ochraně zdraví při práci. Před zahájením poskytování školení bude Objednatel informovat Poskytovatele o případném nebezpečí pro zdraví a bezpečnost na místě plnění.
4.6 Poskytovatel souhlasí s tím, že bude spolupracovat s jinými Poskytovateli Objednatele, kteří provádějí práci, která souvisí s poskytováním školení, na místě plnění.
5. Ochrana osobních údajů
5.1 Smluvní strany jsou odpovědné za dodržování povinností v souvislosti s platnými právními předpisy, kterými se řídí ochrana osobních údajů klientů a/nebo zaměstnanců a/nebo smluvních partnerů a/nebo jiných fyzických osob Objednatele (např. Nařízení EU č. 679/2016, obecné nařízení o ochraně osobních údajů), (dále jen „Osobní údaje“).
Pro účely této Smlouvy se Objednatel rozumí správcem a Poskytovatel zpracovatelem dle příslušných právních předpisů na ochranu osobních údajů.
5.2 Smluvní strany prohlašují, že předmětem Nákupní objednávky je zpracování Osobních údajů Poskytovatelem pro Objednatele.
Poskytovatel je oprávněn Osobní údaje zpracovávat pouze
(i) za účelem uvedeným v Nákupní objednávce, či za účelem stanoveným právním předpisem, v žádném případě mimo předmět plnění dle Nákupní objednávky.
(ii) maximálně po dobu trvání účinnosti smluvního vztahu,
(iii) v rozsahu typu Osobních údajů a kategorií fyzických osob, jak jsou specifikovány v Příloze č. 2, upravující i způsob předávání Osobních údajů,
přičemž Poskytovatel neuvede Objednatele takovýmto zpracováváním Osobních údajů do rozporu s příslušnými právními předpisy na ochranu osobních údajů.
Povinnosti Poskytovatele, zejména dle Nařízení EU č. 679/2016 (dále i „Nařízení“):
a) Poskytovatel nevyužije dalšího zpracovatele, rozumí se vedle právnických osob i podnikající fyzické osoby, bez předchozího písemného souhlasu Objednatele;
b) Za činnost dalšího zpracovatele Osobních údajů odpovídá Poskytovatel tak, jako by povinnost plnil sám. Poskytovatel je povinen zajistit, že smlouva, kterou uzavře s dalším zpracovatelem, nebude v rozporu s obsahem Nákupní objednávky, ani nebude obcházet její účel, a bude obsahovat minimálně veškeré povinnosti Poskytovatele vztahující se ke zpracování Osobních údajů, včetně práva Objednatele a dalších osob k tomu pověřených Objednatelem provést audit zpracování Osobních údajů i u dalších zpracovatelů schválených Objednatelem, povinnosti zavést vhodná technická a organizační opatření tak, aby zpracování a opatření k zabezpečení Osobních údajů splňovala požadavky této Smlouvy a právních předpisů na ochranu osobních údajů;
c) Poskytovatel je povinen zpracovávat Osobní údaje pouze na základě doložených pokynů Objednatele, které mohou Nákupní objednávky i nad rámec předmětu plnění této Nákupní objednávky definovat podmínky zpracování Osobních údajů;
d) Poskytovatel je povinen neposkytnout Osobní údaje třetím osobám, pokud nestanoví jinak Nákupní objednávka, a nakládat s Osobními údaji tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu třetích osob k Osobním údajům, ke změně Osobních údajů, jejich zničení či ztrátě, neoprávněným přenosům Osobních údajů či k jejich jinému neoprávněnému zpracování nebo zneužití, a to jak v době zpracovávání Osobních údajů dle Nákupní objednávky, tak i po jejím zániku;
e) Poskytovatel je povinen informovat Objednatele o zpracování Osobních údajů, které je Poskytovateli uloženo právními předpisy, a to v dostatečném časovém předstihu před takovým zpracováním, ledaže by právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
f) Poskytovatel zajistí, aby se osoby oprávněné zpracovávat Osobní údaje, včetně osob pracujících pro další zpracovatele schválené Objednatelem, zavázaly k mlčenlivosti nejméně v rozsahu stanoveném Nákupní objednávkou, ledaže jsou takové osoby zavázány k mlčenlivosti přímo zákonem;
g) Poskytovatel je povinen Osobní údaje zpracovávat v souladu s podmínkami technického a organizačního zabezpečení zpracování Osobních údajů dle Přílohy č. 2, upřesňující i povinnosti stanovené výše;
h) Poskytovatel zajistí bezpečnost Osobních údajů, zejména s ohledem na - použití případné pseudonymizace a šifrování Osobních údajů; schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě incidentů; proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
i) Poskytovatel je povinen poskytnout veškerou možnou součinnost Objednateli tak, aby Objednatel byl schopen řádně a včas reagovat na žádosti fyzických osob, jejichž Osobní údaje jsou na základě Nákupní objednávky zpracovávány, o výkon jejich práv stanovených zejména v Nařízení (například práva na obdržení informací o zpracovávaných Osobních údajích; práva na přístup k Osobním údajům; práva být zapomenut; práva na omezení zpracování; práva na přenositelnost Osobních údajů; práva vznést námitku);
j) Poskytovatel je povinen poskytnout veškerou možnou součinnost Objednateli k zajištění zabezpečení zpracování Osobních údajů, ohlašování případů porušení zabezpečení Osobních údajů dozorovému úřadu, oznamování případů porušení zabezpečení Osobních údajů fyzické osobě, jejíž Osobní údaje jsou zpracovávány dle této Smlouvy, posouzení vlivu na ochranu Osobních údajů (tzv. „PIA“), předběžných konzultací zpracování s dozorovým úřadem. Poskytovatel je povinen Objednatele informovat o případu porušení zabezpečení Osobních údajů a/nebo podezření na takové porušení neprodleně, avšak nejpozději do 24 hodin od takového zjištění;
k) Poskytovatel je povinen neprodleně upozornit Objednatele v případě, že podle jeho názoru určitý pokyn Objednatele porušuje právní předpisy na ochranu osobních údajů;
l) Poskytovatel je povinen umožnit Objednateli provést u Poskytovatele audity plnění povinností dle tohoto článku a právních předpisů na ochranu osobních údajů v souladu s článkem o auditu, s výjimkou zde specifikovaného práva Objednatele provést audit jakoukoliv třetí osobou, kterou Objednatel pověří auditem, včetně dozorových a regulatorních orgánů (například Úřad pro ochranu osobních údajů, Česká národní banka), a kdykoliv během zpracovávání Osobních údajů dle těchto obchodních podmínek (tj. neuplatní se omezení dle článku o auditu). Poskytovatel poskytne veškerou možnou součinnost k provedení auditu. Poskytovatel zajistí výkon těchto jeho povinností a práv Objednatele provést audit i u dalších zpracovatelů Osobních údajů.
5.3 Audit nenaruší plnění této Smlouvy Poskytovatelem v souladu s podmínkami těchto obchodních podmínek, nezprostí-li Objednatel písemně Poskytovatele povinnosti dodržovat tyto podmínky po dobu provádění auditu. Audit bude prováděn rychle a efektivně. Audit bude prováděn na základě včasného písemného oznámení, které bude zasláno Poskytovateli alespoň 10 pracovních dní předem, pokud se Smluvní strany nedohodnou jinak.
5.4 Poskytovatel poskytne osobám provádějícím audit přístup k dokladům a předpisům popisujícím a souvisejícím zejména se zpracováním Osobních údajů, případně poskytne též kopie těchto dokladů a předpisů tak, aby umožnil těmto osobám provést řádnou kontrolu (audit) činností Poskytovatele vztahujících se ke zpracování Osobních údajů.
5.5 Osoby provádějící audit jsou v rámci provádění auditu oprávněny vstupovat do míst plnění a zařízení, jež jsou užívána při zpracování Osobních údajů, a dále získávat informace od zaměstnanců Poskytovatele či dalších osob (např. schválených zpracovatelů) formou písemné či ústní komunikace v rozsahu potřebném pro audit dle tohoto článku a Poskytovatel je povinen takový vstup či získávání informací umožnit.
5.6 Smluvní strany se dohodly, že žádná ze Smluvních stran nemá právo na úhradu nákladů, které jí při plnění povinností dle tohoto článku mohou vzniknout/vznikly, a tyto si každá ze Smluvních stran nese plně sama, pokud se Smluvní strany nedohodnou jinak.
5.7 Pokud se v rámci auditu prokáže, že Poskytovatel porušil jakoukoliv povinnost při zpracování Osobních údajů, je Objednatel oprávněn od Nákupní objednávky odstoupit s účinností ke dni doručení písemného oznámení o odstoupení Poskytovateli. V případě, že audit zjistí závažné nedostatky při zpracování Osobních údajů, je Poskytovatel povinen se zúčastnit jednání svoleného Objednatelem k projednání nedostatků a jejich nápravy.
5.8 Poskytovatel je povinen Osobní údaje vymazat neprodleně po ukončení zpracování Osobních údajů a vymazat existující kopie, pokud jinak nestanoví právní předpis. Poskytovatel není oprávněn si Osobní údaje ponechat ani v anonymizované podobě.
5.9 Objednatel má právo měnit rozsah Osobních údajů zpracovávaných Poskytovatelem i jednostranně s tím, že taková změna je účinná dnem uvedeným v oznámení doručeným v této věci Poskytovateli, nejdříve však prvním dnem následujícím po dni doručení oznámení.
5.10 Při zpracovávání Osobních údajů dbá Poskytovatel, aby klienti a/nebo jiné subjekty, jejichž Osobní údaje od Objednatele obdrží, neutrpěli újmu na svých právech, zejména na právu na zachování lidské důstojnosti.
5.11 V případě, že Poskytovatel poruší jakoukoliv povinnost stanovenou těmito Obchodními podmínkymi, zejména tímto článkem, s ohledem na ochranu a povinnosti vztahující se ke zpracování Osobních údajů, může se Objednatel proti němu domáhat, aby se tohoto jednání zdržel a odstranil závadný stav. Dále je Objednatel oprávněn požadovat smluvní pokutu ve výši 100.000,- Kč za každý jednotlivý případ porušení a Poskytovatel je povinen mu takovouto smluvní pokutu zaplatit. Úhradou smluvní pokuty dle tohoto bodu není dotčeno právo Objednatele na náhradu škody v plné výši a vydání případného bezdůvodného obohacení. Objednatel je také oprávněn od této Smlouvy odstoupit s účinností ke dni doručení písemného oznámení o odstoupení Poskytovateli.
5.12 Ustanovení tohoto článku se použijí i na údaje podléhající bankovnímu tajemství u fyzických i právnických osob.
6. Závěrečná ustanovení
6.1 Obchodní podmínky společnosti Komerční banka, a.s. Práva a povinnosti Smluvních stran neupravené těmi Obchodními podmínkami se řídí ustanoveními Obchodní podmínek společnosti Komerční banka, a.s., číslo 002, ze dne 1. 10. 2017 (dále jen „Obchodní podmínky“), které jsou uveřejněny na: xxx.xx.xx/xxxxxxxxxx. Smluvní strany shodně prohlašují, že tato forma odkazu na Obchodní podmínky je mezi nimi pro účely Smlouvy možná a považují ji za dostatečně určitou. Poskytovatel uzavřením Smlouvy prohlašuje, že se s Obchodními podmínkami seznámil, s jejich obsahem souhlasí a zavazuje se je dodržovat.
6.2 V případě rozporů mezi ustanoveními Smlouvy, příloh Smlouvy, a Obchodních podmínek, podmínek a dokumentů uvedených v článku XXIV. Obchodních podmínek mají přednost smluvní dokumenty v tomto pořadí:
1. Xxxxxxx;
2. Přílohy Smlouvy mimo Obchodních podmínek;
3. Podmínky Komerční banky, a.s. pro poskytování školení;
4. Obchodní podmínky;
5. Dokumenty uvedené v článku XXIV., odstavci 3. v článku XXIII. Obchodních podmínek.
7. Platnost a účinnost
Podmínky Komerční banky, a.s. pro poskytování školení jsou platné a účinné dnem 1. 5. 2019.
Příloha č. 1 – Smluvní ustanovení pro ochranu informačních systémů a dat
Obsah
1. Standardní smluvní ustanovení v oblasti ochrany informačních systémů a DAT 7
1.1. Povinnosti v rámci všeobecné bezpečnosti 7
1.2. Povinnosti vztahující se k ochraně informačního systému poskytovatele služeb 7
1.3. Bezpečnost produktů a služeb dodávaných poskytovatelem služeb 8
1.4. Závazky v případě, kdy poskytovatel služeb používá informační systém objednatele 9
1.5. Informační a ohlašovací povinnost 9
1.7. Povinnosti bezpečnostního útvaru poskytovatele služeb 10
1.8.1. Audity technické bezpečnosti 10
1.8.2. Vypořádání nedostatků 11
1.9. Povinnosti v rámci testování bezpečnosti zdrojového kódu software 11
1.10. Další ujednání v oblasti ochrany informací a dat 11
1. Standardní smluvní ustanovení v oblasti ochrany informačních systémů a DAT
1.1. Povinnosti v rámci všeobecné bezpečnosti
Povinností poskytovatele služeb (zhotovitele díla apod.) je zavádět nezbytná technická a organizační opatření pro zajištění bezpečnosti služeb včetně informačních systému a dat objednatele, s cílem:
• udržovat odpovídající úroveň bezpečnostní způsobilosti informačních systémů pro služby poskytované v souladu se smluvními podmínkami (kvalifikační, autorizační a certifikační podmínky) a být schopen na požádání jejich plnění prokázat. Poskytovatel služeb musí rovněž doložit, že má dostatečné znalosti o požadovaných technologiích a vlastní nezbytné know-how,
• zajistit důvěrnost, dostupnost, integritu informačního systému objednatele, a to do míry možných dopadů objednaných služeb na něj,
• chránit veškeré informace, data a údaje před vyzrazením, pozměňováním, zničením, ztrátou, zkreslením, neoprávněným zpřístupněním a zpracováním, a to ať již by šlo o činnosti náhodné, neoprávněné či nezákonné,
• zajistit monitoring a audit operací při zpracování informací a dat objednatele, implementovat procesní a technická opatření, která vedou ke snížení rizika a vzniku bezpečnostních incidentů.
Poskytovatel služeb se zavazuje prokázat, že tato opatření zavedl v celém období trvání smlouvy, a to bez zbytečného odkladu na požádání ze strany objednatele.
Bezpečnostní politika, postupy a opatření zaváděné poskytovatelem služeb, případně i na základě pokynů objednatele, musí být v každém případě řádně zdokumentovány, zpřístupněny objednateli a upraveny při zohlednění citlivosti poskytovaných služeb, přičemž musí být po celou dobu v souladu s legislativou a praxí uplatnitelnou v dané oblasti.
1.2. Povinnosti vztahující se k ochraně informačního systému poskytovatele služeb
S ohledem na citlivost dat objednatele, která mohou být v informačním systému poskytovatele služeb zpracovávána, poskytovatel služeb bude věnovat zvláštní pozornost tomu, aby zajistil fyzickou a logickou bezpečnost informačního systému, který pro zpracování dat objednatele využívá.
Pokud informační systém poskytovatele služeb zpracovává data objednatele, potom musí poskytovatel služeb zajistit následující:
• Zajistí ochranu důvěrnosti, dostupnost a integritu svého informačního systému;
Bezpečnostní opatření zavedená poskytovatelem služeb musí být zdokumentována a být v souladu s legislativou a odvětvovou praxí uplatnitelnou v dané oblasti a na odpovídající úrovni;
• Zajistí zálohování dat nezbytných pro vlastní službu a dat objednatele, podle potřeby a na vyžádání objednatele tak, že jak službu, tak i data bude možné obnovit dle smluvních podmínek;
• Postupy pro zálohování a obnovení budou nastaveny a předány objednateli na začátku poskytování služby. Musí zahrnovat zejména odpovědnost, periodicitu, technické parametry, postupy k řízení přístupů, postupy pro obnovení dat, včetně kontrolních postupů. Poskytovatel služeb se zavazuje, že bude pravidelně, nejméně však jednou měsíčně, provádět zkoušku obnovení dat a bude objednateli na jeho vyžádání sdělovat výsledky této zkoušky;
• Zajistí uložení a zpracování dat objednatele, která musí být uložena oddělené od vlastních dat poskytovatele anebo dat náležejících třetím stranám;
• Zajistí zavedení systémů řízení oprávnění pro všechny uživatele (osobní účty, technické účty, apod.) kteří mají přístup k datům objednatele prostřednictvím řízeného fyzického a logického přístupu;
• Zajistí předložení, na základě požadavku objednatele a bezodkladně, všech stop a záznamů (např. auditních logů, událostí a bezpečnostních incidentů) a veškerých bezpečnostních analýz, prováděných poskytovatelem služeb po celou dobu trvání smlouvy;
• zavede bezpečnostní politiku určenou k tomu, aby byly udržovány použitelné záznamy po dobu jednoho roku, dále záznamy činností a/nebo pokusů o činnosti prováděné na vlastním informačním systému poskytovatele služeb (např. toky příchozích/odchozích dat, nové verze aplikací, výsledky testování, počty chyb, odstranění duplicit, výmazy dat, atd.) pro účely kontrol (auditů) či pro důkazní účely. Záznamy musí zahrnovat: zdroj a cíl služby, typ události, identifikaci uživatele či systému a přesný časový údaj.
• Zajistí a zavede opatření do osmačtyřiceti (48) hodin od zjištění incidentu či hrozby, které mohou ovlivnit vlastní informační systém poskytovatele služeb, vhodné posílení bezpečnostních opatření či jakéhokoliv jiné řešení, které umožňuje účinně reagovat na incident či hrozbu. Poskytovatel služeb se zavazuje bez zbytečného odkladu informovat objednatele o takových incidentech či hrozbách.
Poskytovatel služeb se zavazuje prokázat, že zaváděl výše uvedená opatření po celou dobu trvání smlouvy, a bez zbytečného odkladu po vyžádání ze strany objednatele.
Poskytovatel služeb se zavazuje informovat objednatele o lokalitách (stát, město, ulice), kde jsou jeho informace a data uložena, zpracovávána a na jakém hostingu se nacházejí. Objednatel může určit/omezit geografické oblasti, kde mohou být jeho data uložena, zpracovávána a na jakém hosting se nacházejí. Zmíněné geografické oblasti jsou definovány ve smlouvě.
Poskytovatel a/nebo subdodavatel písemně schválený objednatelem je oprávněn využít takovou lokalitu pouze v případě, pokud je dohodnuta ve smlouvě nebo následně písemně schválena objednatelem v rámci dodatku ke smlouvě.
1.3. Bezpečnost produktů a služeb dodávaných poskytovatelem služeb
Zranitelnost znamená jakoukoliv vadu, slabinu, chybu v provedení či malware ovlivňující příslušné produkty či služby, na které se vztahuje smlouva.
Závažná zranitelnost je potom taková, která může mít vážné dopady na informace a data a/nebo informační
systém objednatele.
Poskytovatel služeb se zavazuje:
• pokud je zjištěn nový případ závažné zranitelnosti: předložit objednateli do osmi (8) pracovních hodin, od okamžiku zjištění zranitelnosti, rozbor dopadů a plán nápravných opatření v souladu s požadavky objednatele,
- předložit objednateli do dvou (2) pracovních dní od okamžiku zjištění zranitelnosti, jakékoliv zmírňující či dočasné řešení, které však žádným způsobem nemění cenu či funkčnost produktů a služeb dodávaných podle smlouvy,
- předložit objednateli konečné řešení problému do pěti (5) pracovních dní od okamžiku zjištění zranitelnosti,
• pokud je zjištěn nový případ zranitelnosti, která není klasifikována jako závažná zranitelnost:
- předložit objednateli do čtyř (4) pracovních dní od okamžiku zjištění zranitelnosti, jakékoliv zmírňující či dočasné řešení, které však žádným způsobem nemění cenu či funkčnost produktů a služeb zahrnutých v rámci smlouvy,
- tam, kde nebude vhodné nápravné opatření zajištěno do čtyř (4) pracovních dní od okamžiku zjištění zranitelnosti, bude objednateli předloženo konečné řešení k odstranění problému do osmi (8) pracovních dní od zjištění zranitelnosti a objednatel bude pravidelně informován o postupu poskytovatele služeb,
- ze strany výrobce/vývojáře dodat objednateli softwarovou aplikaci nezbytnou pro odstranění zranitelnosti,
• v obecné rovině, informovat objednatele o rizicích, souvisejících s bezpečností a ochranou informačních systémů a nabídnout zavedení konkrétních opatření pro detekci pokusů o narušení a bezpečnostních incidentů při uvedení souvisejících nákladů, které musí objednatel schválit.
1.4. Závazky v případě, kdy poskytovatel služeb používá informační systém objednatele
Poskytovatel služeb se zavazuje používat jen takové zdroje a prostředky pro připojení k informačnímu systému objednatele, které mu objednatel poskytne, a to výhradně pro účely poskytování služeb dohodnutých v rámci smlouvy a v přísném souladu s bezpečnostními politikami informačního systému objednatele, které budou poskytovateli služeb předány. V tomto ohledu, se poskytovateli služeb, bez výslovného oprávnění ze strany objednatele, nepovoluje jakékoliv používání, sdělování, šíření či přenášení důvěrných informací a dat objednatele mimo informační systém objednatele.
Tam, kde pracovníci poskytovatele služeb mohou mít přístup k informačnímu systému objednatele a kde jsou objednatelem k takovému přístupu výslovně a předem zmocněni, ať již jde o přístup při práci v prostorách objednatele, nebo formou vzdáleného přístupu, vyžaduje bezpečnostní politika informačního systému objednatele, aby se takoví pracovníci seznamovali s materiály, vztahujícími se k oblasti bezpečnosti informačních systémů, které jsou pro ně určeny a řídili se jimi.
Poskytovatel služeb zajistí, že jeho zaměstnanci budou pravidelně seznámeni a proškoleni s materiály, které jsou pro ně určeny, a to ještě před jejich přidělením k daným úkolům či během několika prvních dní, během nichž jim objednatel tyto podklady poskytne.
1.5. Informační a ohlašovací povinnost
Poskytovatel služeb je povinen:
• bez zbytečného odkladu informovat objednatele o jakémkoliv bezpečnostním incidentu, který vznikne v jeho informačním systému (včetně přístupu neoprávněné třetí strany, ztráty dat, poškození integrity dat, zavlečení malwaru a/nebo nestandardního použití informačních systémů používaných pro služby objednatele), a to kdykoliv, kdy takový incident může ovlivnit informační systém, služby, informace a data objednatele s ohledem na poskytovanou službu;
• zajistit, aby pracovníci pověření takovými úkoly dodržovali tyto povinnosti a zajistit jejich pravidelnou informovanost o nich,
• informovat objednatele o jakýchkoliv organizačních a technických změnách, které by mohly mít negativní vliv na bezpečnost informací a dat objednatele;
• zavést pravidelný monitoring, který určí objednatel, s cílem snížit rizika odcizení informací a dat objednatele, nebo neoprávněného přístupu k nim jakoukoliv třetí stranou nebo jakýmkoliv uživatelem jednajícím za poskytovatele služeb;
• zavést metodiku řízení bezpečnostních incidentů, která bude popisovat proces pro detekci bezpečnostních incidentů, odezvy a spuštění procesů krizového managementu; metodika a její případné změny podléhají předchozímu písemnému souhlasu objednatele;
• poskytovat součinnost objednateli, a to bez nároku na dodatečnou odměnu, při přijímání nápravných opatření či vypořádání se s bezpečnostními incidenty, včetně informování příslušných orgánů a osob, které by takovým narušením mohly být poškozeny;
• bez zbytečného odkladu specifikovat záložní a nápravné postupy pro zvládnutí těchto incidentů, včetně jejich dopadů na ochranu informačního systému objednatele a bezpečnost jeho informací a dat.
Poskytovatel služeb má za povinnost předložit objednateli na požádání výsledky bezpečnostního auditu informačního systému poskytovatele (zejména identifikována rizika a zranitelnosti) ve vztahu k poskytované službě prováděného minimálně jednou ročně provedeného třetí stranou u jakéhokoliv produktu a softwaru
licencovaného poskytovatelem služeb při přechodu na produkční provoz či při každé zásadní změně či aktualizaci. Poskytovatel služby se zavazuje implementovat bezpečnostní opatření v celém životním cyklu od vývoje, realizaci až po ostrý provoz, kde musí objednateli doložit nastavení procesů a technologií, které vedou ke s nížení rizika a zlepšení kvality kódu, produktů či služeb poskytovatele.
1.6. Malware
Pojem Malware znamená škodlivý strojový kód, včetně specifických virů, logických bomb, červů, trojských koní, či jakýchkoliv jiných kódů či instrukcí infikujících či napadajících jakékoliv programy, software, data, soubory, databáze, počítače či jiný hardware a jeho komponenty a které poškozují či vyzrazují utajení dat či ohrožují jejich integritu, přičemž ruší některé či všechny operace, obsazují veškeré či některé části informačního systému a umožňují, aby se činnosti systémů odchylovaly od jejich určeného účelu.
Poskytovatel služeb přijme veškerá nezbytná preventivní opatření proti zavlečení malwaru do informačního systému, který může obsahovat informace a data objednatele a také taková odpovídající opatření, která existenci malwaru zjistí. Za tímto účelem, poskytovatel služeb bude provádět odpovídající bezpečnostní testy a zavazuje se ke kontrole komponent informačního systému před tím, než je objednateli dodá.
Pokud již k zavlečení malwaru do informační systému dojde, poskytovatel služeb a objednatel se dohodli na tom, že budou pracovat ve vzájemné shodě k tomu, aby zjistili jeho zdroj a opravili vzniklé škody bez prodlení.
Pokud se zjistí, že nákazu či zavlečení malwaru lze přiřadit objednateli, potom objednatel ponese náklady na diagnostiku a obnovení dotčených systému či služeb.
Pokud se zjistí, že nákazu a zavlečení malwaru lze přiřadit poskytovateli služeb, potom poskytovatel služeb ponese náklady na diagnostiku a obnovení dotčeného systému či služeb.
Pokud se na identifikaci zavinění kontaktní osoby smluvních stran nedohodnou, bude se postupovat dle postupu pro řešení sporu uvedeného ve smlouvě.
1.7. Povinnosti bezpečnostního útvaru poskytovatele služeb
Poskytovatel služeb je povinen určit manažera pro bezpečnost a řízení rizik, který bude jediným kontaktním místem objednatele pro tuto problematiku (možný kontakt i na DPO (pověřenec pro ochranu osobních údajů) dle Nařízení EU č. 2016/679).
1.8. Kontrola a audit
Poskytovatel služeb se zavazuje zajistit, aby úroveň kontroly rizik byla soustavně monitorována a aby bezpečnostní politika a pravidla uplatňovaná na služby byly dodržovány, včetně jeho subdodavatelů.
1.8.1. Audity technické bezpečnosti
Poskytovatel služeb souhlasí, že objednatel je oprávněn provádět technické audity (včetně skenování, automatického testování zranitelnosti, zkoušek na infiltraci, auditů konfigurace a infrastruktury, případně dotazování, či ověřování) na informačním systému poskytovatele a i u jakékoliv třetí strany – subdodavatelů, včetně těch společností, které hostují částečně či celý informační systém poskytovatele služeb. Objednatel je oprávněn pověřit provedením auditu třetí stranu, se kterou bude uzavřena smlouva o mlčenlivosti, jejíž smluvní stranou bude i poskytovatel. Bez této smlouvy je oprávněna audit provést Česká národní banka.
Objednatel bude audity provádět primárně formou dotazování a vzdáleného ověřování, zejména v případě důvodného podezření z narušení či zranitelnosti informačního systému poskytovatele i na místě.
Auditorovi bude umožněno provádět technický audit, či provádět nezbytné dotazování s cílem ověřit úroveň bezpečnosti příslušných systémů. Tyto zkoušky budou sestávat ze souborů prováděných testů, ať automatizovaných či manuálních, zvnějšku či v informačním systému poskytovatele služeb, či v informačním systému kteréhokoliv subdodavatele, který je zaangažován na poskytování daných služeb, a to s cílem zjistit jakékoliv zranitelnosti, které by umožnily uživatelům se infiltrovat do testovaného systému.
V tomto ohledu poskytovatel služeb zaručuje, že je držitelem nezbytných a dostatečných práv a oprávnění k provádění shora uvedených technických auditů na daném informačním systému a informačních systémech všech třetích stran, které mohou být zaangažovány či jinak dotčeny.
Tyto technické audity budou prováděny v souladu s platnou regulací a legislativou a budou předmětem předchozího upozornění sděleného poskytovateli služeb a nenaruší poskytování služeb.
Tímto se rozumí, že účelem těchto technických auditů není umožnit objednateli přístup k datům jiných klientů poskytovatele služeb, ale pouze ověřit bezpečnost systému a infrastruktury, v rámci kterých mu jsou služby poskytovány.
1.8.2. Vypořádání nedostatků
Zranitelnosti zjištěné auditem budou vyhodnoceny a bude s nimi nakládáno podle podmínek uvedených v oddílu
„Bezpečnost“, v článku „Bezpečnost produktů a služeb dodávaných poskytovatelem služeb“.
V případě, že poskytovatel služeb nezajistí nápravu nedostatků zjištěných auditem v požadované lhůtě, potom bude objednatel automaticky oprávněn odstoupit od smlouvy bez předchozího upozornění, aniž by to přitom nějak ovlivnilo jeho nárok na jakékoliv odškodnění, které může v této souvislosti požadovat.
1.9. PovinnostI v rámci testování bezpečnosti zdrojového kódu software
V případě, že je předmětem plnění dle příslušné smlouvy (např. smlouva dílo, smlouva o poskytování služeb, licenční smlouva) dodání či vývoj software poskytovatelem objednateli, je poskytovatel povinen provádět na vlastní náklady bezpečnostní analýzu a test zdrojového kódu software (tzv. Security Code Review) podle verifikačních požadavků OWASP Application Security Verification Standard (ASVS), a to před předáním zdrojového kódu software objednateli. Poskytovatel je rovněž povinen na výzvu objednatele doložit objednateli dostatečné důkazy o důkladném testování zdrojového kódu software. V případě sporu o kvalitě provedeného testování je poskytovatel povinen objednateli na výzvu objednatele předložit dostatečné důkazy o skutečnostech, že každý relevantní požadavek, který může mít vliv na bezpečnost a řádnou funkci zdrojového kódu software, byl poskytovatelem otestován, a pokud nebyl, je poskytovatel povinen objednateli zdůvodnit jeho netestování. Objednatel je oprávněn v případě pochybností o kvalitě provedeného testování požadovat na poskytovateli dodatečné otestování zdrojového kódu software na náklady poskytovatele.
V případě, že poskytovatel nesplní povinnosti na Security Code Review, nebo v případě zjištění vad, a to zjevných zjištěných v rámci převzetí software, které zabraňují dle názoru objednatele nasazení zdrojového kódu software do produkčního prostředí objednatele, či skrytých, které se objeví až po převzetí software objednatelem, je poskytovatel povinen objednateli uhradit náklady vzniklé objednateli v souvislosti se zjištěním a odstraněním takovýchto vad.
1.10. Další ujednání v oblasti ochrany informací a dat
Pracovníci poskytovatele jím budou proškoleni v oblasti ochrany údajů (informace, data, osobní údaje apod.), zejména pak s ohledem na platné a účinné právní a regulatorní předpisy (například Zákon č. 21/1992 Sb., o bankách, NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů - GDPR)).
Poskytovatel je povinen sledovat aktuálnost uvedených legislativních předpisů a případně reagovat na jejich novelizaci.
Poskytovatel doloží objednateli v pravidelných intervalech minimálně jednou za dva roky správné provádění ochrany údajů, včetně provádění školení a to zprávou (papírovou nebo elektronickou) ve formě evidence.
Poskytovatel zajistí, že zpracovávané údaje neopustí bezpečnostní perimetr objednatele:
a. bezpečnostní perimetr pro údaje zpracovávané mimo informační systém (například tištěné materiály) je definován výčtem budov, místností, které jsou pod bezpečnostní ochranou objednatele/poskytovatele, kde dochází ke zpracování údajů, viz zejména místo plnění dle smlouvy;
b. bezpečnostní perimetr pro údaje zpracovávané v rámci informačního systému je definován zařízeními ve správě objednatele, výjimka může být udělena jen na základě formální žádosti a písemné schválení objednatele a při splnění následujících minimálních podmínek:
i. údaje budou zpracovávány jen na HW zařízeních plně pod správou poskytovatele (zpracování v cloud computing se nepřipouští);
ii. údaje budou zabezpečeny proti případnému odcizení přenosných HW komponent šifrováním;
iii. na HW poskytovatele pro zpracování údajů je implementována standardní bezpečnost založená na důsledném aplikování přístupových práv, o důležitých událostech jsou tvořeny bezpečnostní záznamy;
iv. místnost s ostatním HW vybavením je uzamčena a přístup je omezen jen na vybrané pracovníky poskytovatele, místnost tvoří režimové pracoviště;
v. údaje jsou zálohovány standardními procedurami poskytovatele;
vi. elektronické přenosy údajů předávaných objednatelem nejsou možné mimo síť určenou k přenosu dat dohodnutou mezi smluvním i stranami.
Cloud computing - model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu.
Použití evropských předpisů o předávání údajů mimo Evropskou unii
Poskytovatel zajistí, že žádné údaje od objednatele, tj. včetně osobních údajů fyzických osob, nebudou předávány mimo státy Evropské unie poskytovatelem a/nebo jakoukoliv osobou jednající jeho jménem a/nebo subdodavatelem. Objednatel je oprávněn si plnění této povinnosti ověřit.
Poskytovatel, pokud tak bude dohodnuto s objednatelem, je oprávněn v rozsahu nezbytně nutném pro plnění smlouvy, využít zdroje zpracování dat ve státě, který nezajišťuje adekvátní úroveň ochrany údajů dle Nařízení EU č. 2016/679 (GDPR), za podmínky uzavření standardních smluvních doložek, jak jsou stanoveny ve smyslu článku 46. GDPR. Na žádost objednatele budou tyto doložky podepsány poskytovatelem, subdodavatelem, pokud je zahrnut do zpracování, a objednatelem. Poskytovatel zajistí podepsání a plnění těchto doložek ze strany subdodavatele. V případě požadavku schválení takového předávání Úřadem pro ochranu osobních údajů či jiným obdobným regulatorním orgánem bude možné nechat zpracovávat údaje ve třetím státě pouze v případě obdržení souhlasu takového orgánu, vedle podpisu výše uvedených doložek, pokud jsou dle GDPR nutné (více zejména čl. 46. GDPR).
Podmínky Komerční banky, a.s. pro poskytování školení č.: 001
Příloha č. 2 Typy osobních údajů, kategorie fyzických osob a způsob předávání osobních údaj
ID zpracování | Název/Popis zpracování osobních údajů | Účel zpracování osobních údajů | Zpracovávané osobní údaje | Kategorie fyzických osob | Trvání zpracování | Stát zpracování | Způsob předávání osobních údajů se zpracovatelem | Další zpracovatel (subdodavatel) zahrnutý do zpracování |
1 | Identifikace účastníka školení, docházka. | Identifikace osob účastnících se školení | Xxxxx a příjmení, osobní číslo, emailová adresa | Zaměstnanec, externista. | 10 let | ČR | Subdodavatelé |