Smlouva č. CTU/2023_0059
Smlouva č. CTU/2023_0059
na zajištění podpory, údržby a rozvoje APV ASMKS
uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů (dále jen „smlouva“)
mezi těmito smluvními stranami:
1. Česká republika – Český telekomunikační úřad
Se sídlem: Xxxxxxxxxx 00/000, 000 00 Xxxxx 0
Adresa pro doručování: poštovní přihrádka 02, 22502 Praha 025 ID datové schránky: a9qaats
Bankovní spojení: ČNB Praha
Číslo účtu: 725001/0710
IČO: 701 06 975
DIČ: CZ70106975 (osoba identifikovaná x xxxx) Jejímž jménem jedná: Xxx. Xxxxx Xxxxx, předseda Rady ČTÚ
(dále jen „objednatel“) na straně jedné a
2. TECHNISERV, spol. s r.o.
Se sídlem: Xxxxxxx 000/00, 000 00 Xxxxx 0
Zastoupená: Ing. Xxxxxxxxxx Xxxxxxxxx, Ph.D., jednatelem společnosti ID datové schránky: k8r6j6r
Bankovní spojení: Komerční banka, a. s.
Číslo účtu: 435742011/0100
IČO: 442 64 020
DIČ: CZ44264020
Zapsaná v Obchodním rejstříku vedeném u Městského soudu v Praze, oddíl C, vložka 5239 (dále jen „poskytovatel“)
(poskytovatel a objednatel společně „strany“ nebo jednotlivě jako „strana“)
uzavřely následující smlouvu na zajištění podpory, údržby a rozvoje APV ASMKS (dále také
„smlouva“).
1.
Účel a předmět smlouvy
1. Účelem této smlouvy je zajištění podpory, údržby a rozvoje APV ASMKS na dobu 60 měsíců pomocí stanovení obsahových požadavků, postupů, obchodních podmínek a dalších smluvních ujednání, na jejichž základě dojde k poskytnutí služeb servisní podpory, údržby a rozvoje APV ASMKS (dále též „plnění“), to vše v návaznosti na výsledek zadávacího řízení.
2. Předmětem této smlouvy je na straně jedné závazek poskytovatele zajistit za podmínek stanovených touto smlouvou:
a) převzetí a zajištění servisní podpory a údržby APV ASMKS po dobu 60 měsíců (dále jen „provozní údržba“),
b) rozvoj APV ASMKS,
a to v rozsahu a za podmínek podle příloh této smlouvy.
3. Na straně druhé je předmětem této smlouvy závazek objednatele za řádně a včas poskytnuté či poskytované plnění uhradit poskytovateli sjednanou cenu v rozsahu a za podmínek podle této smlouvy.
4. Objednatel disponuje (prostřednictvím repositáře zdrojových kódů zřízeného na platformě GitLab) úplnými komentovanými zdrojovými kódy a instalačními soubory APV ASMKS, přičemž disponuje právy k APV ASMKS v rozsahu umožňujícím jeho podporu, údržbu a rozvoj prostřednictvím jiných osob. Veškeré úpravy a rozvoj APV ASMKS budou poskytovatelem implementovány do současného řešení.
5. Objednatel se zavazuje zpřístupnit poskytovateli zdrojové kódy a provozní dokumentaci k APV ASMKS do 5 pracovních dní od nabytí účinnosti této smlouvy.
2.
Specifikace provozní údržby APV ASMKS
1. Zajištění provozní údržby dle čl. 1 odst. 2 písm. a) této smlouvy znamená řešení a odstraňování provozních problémů a havárií tak, aby nebyl v žádném okamžiku ohrožen provoz APV ASMKS. Provozní údržba sestává z činností, které je nutno zajišťovat po celou dobu trvání smlouvy a které budou hrazeny paušálními platbami. Podrobná specifikace provozní údržby je uvedena v příloze č. 1 této smlouvy (Specifikace plnění provozní údržby).
2. Provozní údržba zahrnuje:
a) zajištění bezproblémového plynulého provozu a údržbu APV ASMKS dle dohodnutých SLA parametrů, včetně bezpečnostních a vývojových aktualizací, úhrady tzv. maintenance poplatků za licence produktů třetích stran, sledování parametrů provozu produkčního prostředí objednatele využitím dohledových nástrojů a včasné informování o případných incidentech, monitoring systémových a aplikačních logů, monitoring a údržbu databáze, výměnu provozních certifikátů,
b) provádění pravidelných a proaktivních činností administrace a dohledu, včetně kontroly volného místa na serveru pro datové soubory, optimalizace výkonu s narůstajícím objemem dat, kontrola řádného chodu a zálohování databáze a aplikačního serveru, kontrola bezpečnosti operačního systému aplikačního serveru (patche), instalace aktuálních bezpečnostních záplat včetně používaných produktů třetích stran,
c) vyhodnocování a zpracování logů o běhu APV ASMKS,
d) zajištění pravidelné SW údržby oddělených produkčních a testovacích prostředí, které zejména zahrnuje aktualizaci operačních systémů, zajištění provozu testovacího prostředí,
e) odstraňování vad APV ASMKS s garancí dohodnutých SLA parametrů; SLA parametry se nevztahují na vady programového vybavení třetích stran, které nejsou součástí dodávky Poskytovatele,
f) analýzu a řešení hlášených vad, udržování aplikačního programového vybavení nutného pro běh APV ASMKS,
g) přijímání, validace, řešení a uzavírání (případně zamítání) vad,
h) zajištění HelpDesk k zaznamenávání vad, incidentů a požadavků (24x7x365),
i) zajištění Hotline telefonní podpory a e-mailové podpory v pracovní dny 9:00 – 17:00 hod.,
j) uživatelskou podporu dle bodu 4 přílohy č. 1 této smlouvy (Specifikace plnění podpory a údržby),
k) nasazování opravných verzí/patchů, reinstalaci a implementaci nových verzí APV ASMKS (viz příloha č. 1 této smlouvy),
l) identifikaci požadavku, kterou se rozumí analýza příčin problému nahlášeného objednatelem,
m) kategorizaci požadavku, v návaznosti na identifikaci požadavku, kterou se rozumí stanovení, zda jde o:
- vadu,
- chybu z testování,
- provozní údržbu,
- jinou činnost dle požadavků objednatele,
n) odhad pracnosti požadavku v ČLD,
o) provádění pravidelného zálohování kompletní aplikace a dat včetně konfigurace min. 1x za 24 hodin. Dostupnost záloh pro možné obnovení aplikace či dat je min. 14 dní zpětně. Musí být možné samostatné obnovení aplikace a dat, tedy v max. míře nezávisle na sobě. Objednatel musí mít k zálohám přístup,
p) spolupráci s objednatelem ve všech oblastech, která musí být prováděna na základě zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a prováděcí vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Podrobná specifikace plnění požadavků v oblasti kybernetické bezpečnosti je uvedena v příloze č. 5 této smlouvy,
q) pravidelnou aktualizaci provozní dokumentace APV ASMKS zpracované v souladu s požadavky vyhlášky č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy, zohledňující vývoj APV ASMKS. Tyto výstupy budou provedené v českém jazyce. Aktualizace systémové příručky a uživatelské příručky je požadována vždy ke 30. 6. a 31. 12. v daném kalendářním roce. Aktualizace bezpečnostní dokumentace bude probíhat v souladu s obsahem bodu 4 písm. c) přílohy č. 5 této smlouvy. Provozní dokumentace bude předávána poskytovatelem objednateli v elektronické podobě do sdíleného úložiště za tím účelem zřízeného,
r) aktualizace zdrojových kódů APV ASMKS na stránkách GitLab vždy ke 30. 6. a 31. 12. v daném kalendářním roce a informování objednatele o provedení aktualizace,
s) zajištění podpůrných a souvisejících činností s plněním smlouvy (zejména komunikace s objednatelem, účast na schůzkách, konzultace apod.).
3.
Pravidla a způsob poskytování podpory v případě vad
1. Poskytováním podpory v případě vad se rozumí činnosti provozní údržby dle čl. 2 odst. 2 písm. e) až m) této smlouvy.
2. Primárním komunikačním kanálem pro hlášení vad zjištěných při provozu APV ASMKS je HelpDesk ve smyslu v čl. 14 odst. 4 této smlouvy.
3. Sekundární komunikační kanál (Hotline dle čl. 14 odst. 5 této smlouvy) lze pro hlášení vad využít toliko v případech nedostupnosti primárního komunikačního kanálu.
4. SLA lhůty začínají plynout od okamžiku ohlášení vady. Je-li vada ohlášena prostřednictvím sekundárního komunikačního kanálu v souladu s odstavcem 3 tohoto článku smlouvy, za následné zanesení ohlášené vady do HelpDesk odpovídá poskytovatel.
5. Klasifikace vad a lhůty pro jejich odstranění jsou uvedeny v příloze č. 1 této smlouvy (Specifikace plnění podpory a údržby).
6. Do SLA lhůty na odstranění vady se nezapočítává čas potřebný na zajištění součinnosti objednatele, případně třetích stran, ani čas na odstranění chyb v datech primárních zdrojů.
7. V případě, že je vada ohlášena mimo pracovní den a pracovní hodiny, uvedené lhůty na zahájení prací na odstranění vady začnou běžet od 9:00 hodin následujícího pracovního dne.
8. V případě vady identifikuje kategorii závažnosti (A, B nebo C) zásadně objednatel dle svého odhadu. Poskytovatel buď tuto kategorii potvrdí, nebo provede překvalifikaci tak, aby kategorie odpovídala zařazení dle Přílohy č. 1 této smlouvy (Specifikace plnění podpory a údržby). V případě nesouhlasu objednatele s překvalifikací rozhodne osoba oprávněná jednat za objednatele ve věcech smluvních.
9. V případě, kdy nebude možno opakovatelným postupem nebo doloženou dokumentací docílit navození vady, může poskytovatel tuto vadu odložit a k jejímu řešení se vrátit znovu až v okamžiku, kdy bude možno vadu spolehlivě navodit. Toto se netýká vad kategorie „A“.
10. Objednatel je povinen nejpozději do 5 pracovních dnů od převedení vady do stavu
„Vyřešeno“ sdělit své stanovisko souhlasu či nesouhlasu s řešením poskytovateli prostřednictvím HelpDesk. V případě, že zadavatel toto stanovisko v dané lhůtě nesdělí, bude požadavek uzavřen a automaticky považován za vyřešený.
4.
Specifikace rozvoje APV ASMKS
1. Rozvojem APV ASMKS dle čl. 1 odst. 2 písm. b) této smlouvy se rozumí zejména zapracování potřebných změn vyplývajících ze změny právních předpisů, přizpůsobování APV ASMKS obecnému vývoji v informačních systémech veřejné správy a další rozvoj s cílem jeho dalšího rozšiřování o nové funkcionality a zkvalitňování za účelem poskytování lepších služeb a funkcí pro interní uživatele.
2. Rozvoj APV ASMKS prakticky zahrnuje zejména analýzu, návrh, vývoj, testování a implementaci veškerého aplikačního programového vybavení.
3. Rozvoj APV ASMKS bude na základě této smlouvy probíhat po dobu účinnosti této smlouvy dle požadavků objednatele a v rozsahu objednatelem stanoveném postupem dle odstavce 5 a násl. tohoto článku smlouvy, kdy požadované činnosti mohou zahrnovat jak předem plánované, tak aktuálně vzniklé požadavky na úpravy APV ASMKS, které vyžadují zpracování podrobné analýzy, testování a implementaci. Objednatel je oprávněn požadovat realizaci činností v celkovém rozsahu 500 ČLD za dobu účinnosti smlouvy s tím, že objednatel předpokládá rovnoměrné čerpání po dobu účinnosti této smlouvy.
4. Z hlediska rozvoje APV ASMKS objednatel aktuálně předpokládá zpracování analýzy přechodu z technologie Liferay na jinou technologii založenou na open source.
5. Jednotlivé požadavky rozvoje APV ASMKS dle odstavce 3 tohoto článku smlouvy zadává objednatel výhradně prostřednictvím HelpDesk. Na základě zaevidovaného požadavku poskytovatel provede nejpozději do 15 dnů ode dne zadání požadavku odhad pracnosti a dobu realizace, pokud se smluvní strany nedohodnou jinak. Přesáhne-li odhad pracnosti 20 ČLD, je poskytovatel povinen odhad pracnosti podrobně rozepsat a jednotlivé položky rozpisu (včetně souvisejícího počtu ČLD) kvalifikovaně zdůvodnit. Poskytovatel je povinen odhad pracnosti zpřístupnit objednateli.
6. Každý změnový požadavek je poskytovatelem zpracován do změnového listu, jež je uveden v příloze č. 2 této smlouvy (Změnový list). Smluvní strany mohou o specifikaci změnového požadavku objednatele dále jednat a poskytovatel je povinen obsah výsledku jednání reflektovat ve změnovém listu.
7. O realizaci činností specifikovaných ve změnovém listu rozhoduje objednatel v souladu se svými vnitřními předpisy. V případě souhlasu objednatele jsou tyto činnosti následně realizovány poskytovatelem na základě objednatelem podepsaného změnového listu. V tomto případě má změnový list funkci jako dílčí objednávka.
8. Na žádost objednatele vytvoří poskytovatel k jednotlivých rozvojovým požadavkům testovací scénáře pro potřeby testování objednatelem i uživateli.
9. Poskytovatel se zavazuje provést rozvoj APV ASMKS v rámci stávajícího grafického uživatelského rozhraní (GUI) a při zachování komponent APV ASMKS.
5.
Místo plnění
Místem plnění je především sídlo objednatele, nebude-li dohodnuto jinak.
6.
Termín a doba plnění
1. Smlouva je uzavřena na dobu určitou.
2. Poskytování plnění v podobě provozní údržby APV ASMKS dle čl. 2 této smlouvy bude zahájeno nejpozději do 30 dnů ode dne nabytí účinnosti této smlouvy a potrvá po dobu 60 měsíců ode dne zahájení.
3. Poskytovatel se zavazuje poskytovat plnění v podobě rozvoje APV ASMKS dle čl. 4 této smlouvy po dobu účinnosti této smlouvy v termínech stanovených v objednatelem podepsaných změnových listech.
7.
Předání, převzetí, implementace a testování
1. Plnění dle čl. 4 této smlouvy bude poskytovatel objednateli poskytovat v termínech ve smyslu čl. 6 odst. 3 této smlouvy v termínech specifikovaných v objednatelem podepsaných změnových listech. Ve stanovených termínech musí být plnění poskytovatele poskytnuto řádně, tj. musí být poskytnuto v takové kvalitě, která již nebude vyžadovat jakékoliv následné odstraňování vad či nedostatků.
2. Poskytovatel se zavazuje nejméně 2 pracovní dny předem písemně uvědomit kontaktní osobu objednatele uvedenou v čl. 14 odst. 1 písm. a) této smlouvy o předpokládaném termínu předání, instalace či implementace plnění nebo jeho části.
3. Plnění určená k implementaci budou prvotně implementována do testovacího prostředí. Cílem testování, probíhajícího v rámci testovacího prostředí, je poskytnout prostor pro identifikaci možných vad a jejich opravu, a to před implementací plnění do produkčního prostředí. Poskytovatel zaznamená výsledek testování do HelpDesku.
4. Objednatel zkontroluje na testovacím prostředí výsledek testování. Ukončení testovacího provozu schválením objednatele přes HelpDesk je předpokladem pro implementaci na produkční prostředí, která je počátkem akceptačního řízení. V rámci akceptačního řízení bude sledováno, zda plnění nevykazuje vady v rámci běžného provozu.
5. Akceptační řízení pro plnění dle čl. 4 této smlouvy trvá po dobu 10 pracovních dnů, nebude-li dohodnuto jinak. V rámci akceptačního řízení objednatel posuzuje, zda plnění nevykazuje vady v rámci běžného provozu. Výsledkem akceptačního řízení může být:
a) „Akceptováno“ (tj. při kontrole kvality nebyly shledány vady či nedostatky bránící převzetí / užití plnění), a to buď „bez výhrad“ (tj. při kontrole kvality nebyly shledány žádné vady či nedostatky), anebo „s výhradou“ (tj. při kontrole kvality byly shledány vady či nedostatky, které samy o sobě nebo ve spojení s jinými nebrání převzetí / užití
plnění; objednatel všechny vady a nedostatky specifikuje, projedná s poskytovatelem a stanoví způsob a termín jejich odstranění. Odstranění zjištěných vad bude v akceptačním řízení dále ověřeno a výsledek bude zaznamenán formou dodatku k akceptačnímu protokolu.
b) „Neakceptováno“ (tj. při kontrole kvality byly shledány vady či nedostatky bránící převzetí (užití) plnění; objednatel všechny a nedostatky specifikuje, projedná s poskytovatelem a stanoví způsob a termín jejich odstranění; termín k odstranění vad a nedostatků nemá vliv na povinnost poskytovatele dodat řádné plnění nejpozději do termínu ve smyslu čl. 6 této smlouvy; odstranění zjištěných vad a nedostatků bude opětovně ověřeno a výsledek bude zaznamenán formou samostatného zápisu v akceptačním protokolu).
6. Akceptační řízení je ukončeno podpisem akceptačního protokolu oběma smluvními stranami, nebyly-li v rámci akceptačního řízení shledány vady, jinak podpisem dodatku k akceptačnímu protokolu, z nějž bude vyplývat, že vady zjištěné v rámci akceptačního řízení byly odstraněny. Součástí akceptačního protokolu nebo dodatku k akceptačnímu protokolu bude vyčíslení smluvní pokuty poskytovatele ve smyslu čl. 16 odst. 3 této smlouvy, byl-li poskytovatel v prodlení s plněním.
7. Vady plnění zjištěné po akceptaci předmětu plnění musí objednatel uplatnit u poskytovatele bez zbytečného odkladu po jejich zjištění a poskytovatel je povinen je odstranit neprodleně.
8. Plnění nebo jeho části budou předány poskytovatelem objednateli v elektronické podobě do sdíleného úložiště za tímto účelem zřízeného.
8.
Práva a povinnosti smluvních stran
1. Smluvní strany jsou povinny se navzájem informovat o veškerých skutečnostech důležitých pro plnění této smlouvy včetně změn kontaktních osob.
2. Objednatel se v rámci zajištění provozu APV ASMKS zavazuje zajistit nezbytnou součinnost poskytovateli a rovněž dodavateli/provozovateli systémů spolupracujících nebo předávajících si data s APV ASMKS.
3. Objednatel souhlasí, aby hovory v rámci služby Hotline mohly být za účelem zkvalitnění služeb zachyceny na záznamové medium. O této skutečnosti je povinen volajícího zaměstnance objednatele zástupce poskytovatele včas poučit.
4. Poskytovatel se v rámci plnění předmětu této smlouvy zavazuje:
a) poskytnout objednateli, popřípadě jím určené třetí osobě, v období trvání této smlouvy a až tři měsíce po ukončení této smlouvy, nejpozději do 10 pracovních dnů ode dne doručení výzvy, nebude-li stanoveno jinak, nezbytnou technickou součinnost dle čl. 13 odst. 15 této smlouvy,
b) informovat objednatele o plánovaných úpravách a změnách APV ASMKS, jejichž povaha může mít vliv na bezpečnost a stabilitu systému, či integritu dat, např. provedení významných aktualizací dílčích komponent APV ASMKS, a to elektronicky e-mailem zaslaným minimálně 48 hodin předem; kontaktní osobou pro tato hlášení jsou všechny kontaktní osoby ve věcech technických a smluvních na straně objednatele podle čl. 14 odst. 1 písm. a) této smlouvy,
c) využívat toliko osoby, které v rámci nabídky identifikoval jako členy realizačního týmu (viz příloha č. 4 této smlouvy) zastávající jednotlivé objednatelem požadované či v zadávací dokumentaci bonifikované pozice s tím, že případnou změnu je oprávněn učinit až po písemném oznámení kontaktní osobě objednatele dle čl. 14 odst. 1 písm.
a) této smlouvy, a to jen za takovou osobu, u které poskytovatel doloží splnění původně stanovených požadavků na danou pozici v realizačním týmu,
d) po celou dobu trvání této smlouvy zajistit:
▪ plnění veškerých povinností vyplývajících z právních předpisů České republiky, zejména pak předpisů pracovněprávních, předpisů v oblasti zaměstnanosti, a dále oblasti bezpečnosti a ochrany zdraví při práci, a to vůči všem osobám, které se budou podílet na plnění této smlouvy,
▪ dodržování zákona č. 198/2009 Sb., o rovném zacházení a o právních prostředcích ochrany před diskriminací a o změně některých zákonů (antidiskriminační zákon), ve znění pozdějších předpisů,
▪ řádné a včasné plnění finančních závazků vůči svým případným poddodavatelům. Plnění uvedených povinností zajistí poskytovatel i u svých případných poddodavatelů
5. Poskytovatel negarantuje zajištění plnění podle této smlouvy v případě, že v průběhu trvání této smlouvy bude APV ASMKS bez vědomí a souhlasu upravován či rozvíjen objednatelem nebo jím pověřenou třetí osobou.
6. Poskytovatel prohlašuje, že on ani jeho případný poddodavatel/poddodavatelé ke dni uzavření této smlouvy nepodnikají v elektronických komunikacích ve smyslu § 8 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, v poštovních službách ve smyslu § 17 zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění pozdějších předpisů. Vzhledem k postavení zadavatele jakožto ústředního správního úřadu pro výkon státní správy, včetně regulace trhu, v oblasti elektronických komunikací a poštovních služeb, a vzhledem k tomu, že součástí poskytovaných služeb je jak konfigurace prvků za ochrannými prostředky proti úniku informací, přes které jsou v nešifrované podobě přenášeny informace, tak zpracovávání informací a dat, jejichž znalost by mohla zvýhodnit některý ze subjektů podnikajících v elektronických komunikacích nebo v oblasti poštovních služeb, není v zadávacím řízení, z důvodu zachování zásady transparentnosti a rovného přístupu, možná účast dodavatele (poddodavatele), který podle výše uvedených ustanovení dotčených právních předpisů podniká v elektronických komunikacích nebo v oblasti poštovních služeb, neboť zadavatel není vzhledem k charakteru požadovaných služeb objektivně schopen zajistit dodržení těchto zásad technickým či procesním opatřením. V případě porušení tohoto závazku uhradí poskytovatel objednateli smluvní pokutu ve výši 500.000 Kč.
7. Poskytovatel se zavazuje na vlastní náklady sjednat a po celou dobu trvání této smlouvy udržovat v platnosti vhodné pojištění odpovědnosti za újmu způsobenou v souvislosti s poskytováním IT služeb, přičemž pojistná částka bude činit min. 10.000.000 Kč. Poskytovatel se zavazuje do 14 dnů ode dne účinnosti této smlouvy poskytnout objednateli znění takové pojistné smlouvy (pojistného certifikátu).
8. Poskytovatel se zavazuje po celou dobu trvání této smlouvy nepožadovat žádné změny pojistných podmínek či jakkoliv zabránit v jakýchkoliv změnách pojistných podmínek (s výjimkou nezbytných změn, které musí být provedeny v důsledku změny právních předpisů), a to v obou případech k horšímu oproti stavu, který existuje ke dni uzavření této smlouvy. Poskytovatel se zavazuje informovat objednatele o jakékoli změně v pojistných podmínkách a vztahu s pojistitelem nejpozději do 15 pracovních dnů.
9. Celková částka pojistného krytí poskytovatele a jeho poddodavatele bude činit nejméně
=20 % z celkové ceny za provozní údržbu APV ASMKS (bez DPH) dle čl. 10 odst. 1 písm. a) této smlouvy při spoluúčasti nepřevyšující =2 %. Poskytovatel nesmí činit nic, co by zneplatnilo jakékoliv pojištění, nebo čím by bylo znemožněno, omezeno nebo zatíženo právem třetí osoby čerpání pojistného plnění v celku nebo po částech.
9.
Práva k duševnímu vlastnictví
1. V případě plnění, které je výsledkem rozvoje APV ASMKS a je autorským dílem či naplňuje znaky autorského díla (dále také „autorské dílo“) dle zákona č. 121/2000 Sb.,
o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, ve znění pozdějších předpisů (dále také „autorský zákon“), postupuje poskytovatel na objednatele k okamžiku vzniku takového autorského díla všechna majetková práva k takovému autorskému dílu v celém rozsahu, včetně dřívějších verzí. Takové postoupení práv umožní objednateli zejména vykonávat všechna majetková práva k takovým autorským dílům jménem objednatele a na jeho účet, postoupit právo výkonu těchto práv na třetí osobu, dokončit nehotové autorské dílo, a to i za účasti třetí osoby, a dále autorské dílo zveřejnit, zpracovávat, upravovat, překládat, spojovat s jinými díly, zařazovat do děl souborných, uvádět na veřejnosti pod svým jménem, a to vše i za účasti třetí osoby. Pokud poskytovatel nedisponuje právy umožňujícími postoupení práv dle tohoto odstavce smlouvy, uděluje poskytovatel objednateli k okamžiku vzniku příslušného plnění výhradní nevypověditelnou licenci k užití takového autorského díla za podmínek dle písmene a) – c) následujícího odstavce 2 tohoto článku smlouvy, tedy bez omezení dle písmene d).
2. V případě plnění, které není výsledkem rozvoje APV ASMKS uděluje poskytovatel objednateli k okamžiku vzniku příslušného Výsledku nevýhradní nevypověditelnou licenci k užití takového autorského díla, a to za následujících podmínek:
a) Autorské dílo je možno užívat k libovolnému účelu, v množstevně neomezeném rozsahu, libovolným způsobem, po dobu trvání majetkových práv k autorskému dílu. Objednatel není povinen licenci využít. U počítačových programů se licence vztahuje na autorské dílo ve strojovém i zdrojovém kódu, a to včetně jeho dřívějších verzí a přípravných materiálů. Autorské dílo lze zpřístupnit třetím osobám.
b) Autorské dílo lze dokončit, zveřejnit, zpracovávat, upravovat, překládat, spojovat s jinými díly, zapracovávat do dalších autorských děl, děl souborných a databází, uvádět na veřejnost pod svým jménem, a to i prostřednictvím třetích osob.
c) Součástí licence je právo licenci postoupit či udělit podlicenci v celém i částečném rozsahu oprávnění objednatele.
d) Licence jsou omezeny na užívání autorského díla za účelem provozu APV ASMKS, poskytování podpory, údržby a dalšího rozvoje APV ASMKS, a to i za pomoci třetích osob. K zajištění budoucího poskytování podpory, údržby a dalšího rozvoje APV ASMKS i třetími osobami bude Objednatel realizovat zadávací/výběrová řízení, v rámci kterých je objednatel oprávněn zpřístupnit autorské dílo třetím osobám v nezbytně nutném rozsahu. Samotné zdrojové kódy poskytne objednatel pouze vybranému dodavateli, ledaže by objednateli právní předpisy (případně rozhodnutí ÚOHS nebo soudu) ukládaly povinnost poskytnutí zdrojových kódů v rozsahu širším. Vybranému dodavateli bude dále poskytnuto oprávnění k poskytování podpory, údržby a dalšího rozvoje APV ASMKS.
3. Poskytovatel může pro vytváření budoucích autorských děl dle této smlouvy použít (včetně dynamického linkování softwarových knihoven) předmět ochrany duševního vlastnictví třetí strany (včetně software pod Free and Open Source Software) licencemi, pouze pokud:
a) k tomu má dostatečné oprávnění od držitele práv k takovému dílu,
b) použití takového díla nemá za následek povinnost sdělit zdrojový kód díla ani jeho části třetím osobám, umožnit jim změny, úpravy či jiné zásahy do díla, nebo volné šíření a sdělování díla třetím osobám, a zároveň nevyžaduje další šíření či sdělování díla na základě určité licence, nebo zaplacení licenčních nebo jakýchkoliv jiných poplatků objednatelem,
c) se nejedná o předmět ochrany duševního vlastnictví třetí strany šířený pod jakoukoliv verzí licence GNU GPL, GNU Affero GPL nebo jinými licencemi s copyleftovými doložkami apod.
4. Poskytovatel se zavazuje vést seznam všech použitých předmětů duševního vlastnictví třetích stran, které jsou zakomponovány do plnění, včetně licencí, pod kterými jsou poskytnuty objednateli, a tento seznam zaslat v elektronické podobě objednateli nejpozději při předání příslušného plnění k akceptaci objednateli.
5. V případě, kdy při poskytování plnění podle této smlouvy vznikne společnou činností stran autorské dílo spoluautorů, postupuje poskytovatel objednateli k okamžiku vzniku takového autorského díla právo vykonávat majetková autorská práva k takovému autorskému dílu a uděluje mu souhlas ke změně nebo zásahu do takového autorského díla, a to bez nároku na jakoukoli dodatečnou odměnu na straně poskytovatele.
6. Vznese-li v souvislosti s touto smlouvou jakákoliv třetí strana vůči objednateli jakýkoliv nárok související s ochranou duševního vlastnictví třetí strany, přičemž objednatel o tom poskytovatele bez zbytečného odkladu písemně vyrozumí a poskytne mu dostupné dokumenty a informace, případně jinou nezbytnou součinnost, poskytovatel se zavazuje vést mimosoudní jednání s třetí stranou a bránit objednatele v případných soudních, rozhodčích či jiných řízeních, to vše na své náklady, a nahradit objednateli případnou škodu.
7. Poskytovatel se zavazuje odškodnit objednatele za všechny nároky, škody či jinou újmu a další náklady včetně částky z dohod o narovnání, licenčních a jiných poplatků nebo kompenzací a nákladů na mimosoudní jednání, právní zastoupení, řízení před soudy či správními a jinými orgány, pokut a sankcí, které vůči objednateli uplatní třetí strana v souvislosti s: (i) porušením této smlouvy nebo právních předpisů poskytovatelem;
(ii) užíváním autorského díla objednatelem v souladu se smlouvou, zejména pokud se ukáže, že poskytovatel není oprávněn poskytnout jakákoliv práva dle této smlouvy nebo že užíváním autorského díla v souladu s touto smlouvou došlo k porušení práv třetí strany, například povinnosti mlčenlivosti, autorských práv nebo aplikovatelných právních předpisů. Poskytovatel se zavazuje předcházet tomu, aby byl jakýkoliv z výše uvedených nároků proti objednateli uplatněn. Dále se na výzvu objednatele doručenou mu bez zbytečného odkladu po uplatnění takového nároku vůči objednateli, zavazuje na vlastní náklady vést mimosoudní jednání se třetí stranou a bránit objednatele v případných soudních, rozhodčích či jiných řízeních proti výše uvedeným nárokům. Poskytovatel nesmí souhlasit s žádným vypořádáním výše uvedených nároků, aniž by si nejdříve obstaral písemný souhlas objednatele.
8. Strany prohlašují, že veškerá zvláštní práva ke všem databázím vytvořeným při plnění této smlouvy náležejí objednateli jako pořizovateli databáze. Pokud by objednatel nebyl pořizovatelem jakékoliv databáze vytvořené při plnění této smlouvy, poskytovatel postupuje objednateli veškerá práva pořizovatele databáze k takové databázi okamžikem jejich vzniku.
9. Odměna za udělení oprávnění podle této smlouvy je součástí ceny dle čl. 10 této smlouvy. Poskytovatel nemá právo na jakoukoliv dodatečnou odměnu v souvislosti s autorskými právy k Software ani Výsledku.
10. Práva a povinnosti podle tohoto článku zůstávají skončením tohoto smluvního vztahu nedotčena.
10.
Cena a platební podmínky
1. Cena za celkový rozsah plnění podle této smlouvy činí 8.800.000 Kč bez DPH, z toho DPH ve výši 21 % činí 1.848.000 Kč, cena včetně DPH činí 10.648.000, z toho:
a) cena za provozní údržbu APV ASMKS podle čl. 2 této smlouvy za 60 měsíců činí
3.600.000 Kč bez DPH, z toho DPH ve výši 21 % činí 756.000 Kč, cena včetně DPH činí 4.356.000 Kč, z toho cena za 1 měsíc provozní údržby činí 60.000 Kč bez DPH,
b) cena za rozvoj APV ASMKS dle požadavků objednatele po dobu účinnosti této smlouvy podle čl. 4 této smlouvy v rozsahu 500 ČLD po dobu plnění činí 5.200.000 Kč bez DPH, z toho DPH ve výši 21 % činí 1.092.000 Kč, cena včetně DPH činí
6.292.000 Kč, z toho cena za 1 ČLD činí 10.400 Kč bez DPH.
2. Celková cena za plnění dle odstavce 1 písm. a) tohoto článku smlouvy je stanovena jako konečná, pevná a nepřekročitelná, přičemž zahrnuje veškeré náklady poskytovatele spojené s předmětem plnění a lze ji měnit pouze při změně sazby DPH. K ceně bude při její fakturaci připočtena DPH v aktuální výši ke dni uskutečnění zdanitelného plnění, je-li poskytovatel plátcem DPH.
3. Celková cena za plnění dle odstavce 1 písm. b) tohoto článku smlouvy je stanovena jako maximální a nepřekročitelná, přičemž zahrnuje veškeré náklady poskytovatele spojené s předmětem plnění a lze ji měnit při změně sazby DPH. K ceně bude při její fakturaci připočtena DPH v aktuální výši ke dni uskutečnění zdanitelného plnění, je-li poskytovatel plátcem DPH. Skutečně uhrazená cena za plnění podle čl. 4 této smlouvy však může být s ohledem na odstavec 7 tohoto článku smlouvy nižší než celková cena za toto plnění specifikovaná v odst. 1 písm. b) tohoto článku smlouvy.
4. Celková cena za plnění dle odstavce 1 tohoto článku smlouvy nezahrnuje hodnotu plnění dle čl. 8 odst. 4 písm. a) této smlouvy. Cena za 1 ČLD tohoto plnění nesmí přesáhnout cenu 1 ČLD stanovenou v odstavci 1 písm. b) tohoto článku smlouvy. Co do úhrady tohoto plnění se bude přiměřeně postupovat podle odstavců 5 a 7 tohoto článku smlouvy.
5. Podkladem pro úhradu cen za plnění podle této smlouvy bude daňový doklad – faktura (dále jen „faktura“) se splatností 30 dnů od jejího doručení objednateli, která musí obsahovat veškeré náležitosti účetního dokladu předepsané příslušnými právními předpisy (zejména § 29 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, a § 435 občanského zákoníku) a číslo této smlouvy. Poskytovatel je oprávněn vystavit fakturu až na základě objednatelem podepsaného výkazu práce provozní údržby (pro plnění dle odstavce 1 písm. a) tohoto článku smlouvy) a na základě podepsaného akceptačního protokolu včetně případných dodatků k akceptačnímu protokolu (pro plnění dle odstavce 1 písm. b) tohoto článku smlouvy). Kopie výkazu práce provozní údržby anebo akceptačního protokolu včetně případných dodatků k akceptačnímu protokolu bude tvořit nedílnou součást faktury. Faktury budou vystavovány zvlášť v případě paušálních plateb (plnění dle odstavce 1 písm. a) tohoto článku) a zvlášť v případě plateb za plnění rozvojových požadavků (plnění dle odstavce 1písm. b) tohoto článku).
6. Cena za předmět plnění dle odstavce 1 písm. a) tohoto článku smlouvy bude hrazena čtvrtletně vždy v poměrné částce odpovídající kalendářnímu čtvrtletí, tj. v částce
180.000 Kč bez DPH, a to na základě faktur vystavených poskytovatelem k poslednímu dni vykazovaného období, ve kterém byly služby údržby poskytnuty. Ve vztahu ke splatnosti faktur a jejich náležitostem se bude postupovat podle odstavce 5 tohoto článku smlouvy.
7. Cena za plnění podle odstavce 1 písm. b) tohoto článku smlouvy bude hrazena měsíčně vždy za ta plnění, která byla v rámci daného kalendářního měsíce řádně akceptována, a to v částce odpovídající skutečně využitému počtu ČLD v rámci těchto plnění, tj. v částce odpovídající násobku počtu skutečně využitých ČLD a ceny za 1 ČLD stanovené v odstavci 1 písm. b) tohoto článku smlouvy. Cena bude hrazena na základě faktur, které je poskytovatel oprávněn vystavit po akceptaci plnění v souladu s čl. 7 této smlouvy. Ve vztahu ke splatnosti faktur a jejich náležitostem se bude postupovat podle odstavce 5 tohoto článku smlouvy. Objednatel je oprávněn nevyužít celý rozsah 500 ČLD, neboť
rozvoj APV ASMKS bude prováděn podle skutečných potřeb objednatele, a to na základě individuálních požadavků.
8. V případě faktury doručené objednateli mezi 20. prosincem a 10. lednem je taková faktura splatná nejdříve následujícího 10. února.
9. V případě, že faktura nebude obsahovat některou z předepsaných náležitostí či bude obsahovat chyby v psaní či počtech, je objednatel oprávněn vrátit takovou fakturu poskytovateli k doplnění či opravě. Lhůta splatnosti se v takovém případě přerušuje a počíná znovu běžet od vystavení opravené či doplněné faktury.
10. Platba bude uhrazena bezhotovostním převodem na účet poskytovatele. Platební povinnosti objednatele plynoucí z této smlouvy jsou splněny dnem odepsání částky z účtu objednatele ve prospěch účtu poskytovatele.
11. V případě, že průměrný roční index spotřebitelských cen dle údajů Českého statistického úřadu, publikovaných na jeho internetových stránkách, uvedený ke kalendářnímu měsíci odpovídajícímu měsíci, v němž byla smlouva podepsána, vzroste o více než 3 %, zvýší se neuhrazená část smluvní ceny dle odstavce 1 tohoto článku smlouvy o výši tohoto indexu, a to v každém roce trvání smlouvy. Taková změna smlouvy bude formálně zachycena formou dodatku smlouvy dle čl. 17 odst. 4 této smlouvy.
11.
Vyšší moc a okolnosti vylučující odpovědnost
1. Smluvní strany nebudou odpovědné za částečné nebo úplné neplnění smluvních závazků následkem okolností vylučujících odpovědnost v případech tzv. vyšší moci.
2. Výraz vyšší moc znamená a zahrnuje zejména: přírodní katastrofu, požár, záplavy, zemětřesení a dále povstání, stávky, epidemie, pracovní boje jakéhokoliv druhu nebo terorismus, které mají přímou souvislost a brání plnění povinností ze smlouvy a plnění povinností nelze zajistit jinak nebo je nahradit, nehody, pád letadla včetně nehod, kterým se nedalo vyhnout v souvislosti s plněním této smlouvy včetně přijetí zákona nebo mimořádného rozhodnutí příslušného úřadu v souvislosti se zásahem vyšší moci, pokud příčiny a události mají vliv na plnění povinností stran ze smlouvy a plnění povinností vyplývajících ze smlouvy nelze zajistit jinak.
3. Vyskytne-li se působení překážky v důsledku vyšší moci, s níž jsou spojeny účinky vylučující odpovědnost, lhůty ke splnění smluvních závazků se prodlouží o dobu trvání takové překážky. Smluvní strana, která je postižena takovou překážkou, je však povinna okamžitě, písemně, uvědomit druhou smluvní stranu o této skutečnosti, o začátku trvání této překážky a předpokládané době jejího trvání.
12.
Salvátorské ustanovení
Obě smluvní strany prohlašují, že pokud se kterékoliv ustanovení této smlouvy nebo s ní související ujednání ukáže být neplatným nebo se neplatným stane, že tato skutečnost neovlivní platnost smlouvy jako celku. V takovém případě se obě smluvní strany zavazují nahradit neprodleně neplatné ustanovení ustanovením platným; obdobně se zavazují postupovat v případě ostatních nedostatků smlouvy či souvisejících ujednání.
13.
Povinnost mlčenlivosti, důvěrnost informací, kybernetická bezpečnost a ochrana osobních údajů
1. Objednatel a poskytovatel se zavazují, že obchodní, technické, jakož i netechnické informace, které mají nebo by mohly mít potenciální hodnotu, a které jim byly svěřeny smluvním partnerem, nezpřístupní třetím osobám bez předchozího písemného souhlasu
druhé smluvní strany a nepoužijí tyto informace ani pro jiné účely než pro plnění svých závazků podle podmínek této smlouvy. Toto ustanovení platí i po dobu 5 let od ukončení účinnosti této smlouvy, nemá však vliv na případné povinnosti objednatele vyplývající ze zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Za důvěrnou informaci se pokládá vždy taková informace, která je takto kteroukoliv smluvní stranou kdykoliv označena. To však neplatí v případě, že by se stala tato informace, k níž se zavazují k povinnosti mlčenlivosti či k povinnosti zachovat důvěrnost informace, podle tohoto ustanovení smlouvy, obecně známou či dostupnou. To se nevztahuje na výstupy z plnění podle této smlouvy. Povinnost mlčenlivosti se nevztahuje na případy, kdy objednatel bude v souvislosti s provozem APV ASMKS projednávat související problematiku s příslušnými odbornými orgány či institucemi (např. Rada vlády pro informační společnost, resp. její orgány, Odbor hlavního architekta Ministerstva vnitra ČR, Národní úřad pro kybernetickou a informační bezpečnost apod). Porušením mlčenlivosti není zpřístupnění chráněných informací pracovníkům či spolupracovníkům, ovšem pouze za předpokladu, že je Strana zaváže mlčenlivostí alespoň v rozsahu sjednaném v tomto článku smlouvy.
2. Poskytovatel se výslovně zavazuje, že informace získané v souvislosti s plněním předmětu smlouvy nezneužije k jinému účelu než výlučně k plnění této smlouvy.
3. Poskytovatel se zavazuje, že neposkytne bez souhlasu objednatele žádné informace třetím stranám ohledně plnění této smlouvy, včetně informací o konfiguraci APV ASMKS, které mohl poskytovatel zjistit při implementaci, a konfiguraci, nebo jiných prvků, které nejsou součástí plnění této smlouvy. Zároveň se poskytovatel zavazuje, že bude uchovávat citlivé informace ohledně plnění této smlouvy, jako jsou logy, konfigurace a topologie jen po nezbytně nutnou dobu, potřebnou pro řádné a efektivní plnění této smlouvy. Veškeré takové informace je také poskytovatel povinen chránit proti odcizení, či zneužití.
4. Poskytovatel je povinen informovat objednatele o případném bezpečnostním incidentu souvisejícím s plněním této smlouvy. V případě závažného bezpečnostního incidentu, jehož povaha může mít další vliv na bezpečnost systému či integritu dat, musí poskytovatel informovat objednatele neprodleně telefonicky na objednatelem určenou osobu. O každém bezpečnostním incidentu souvisejícím s plněním této smlouvy je poskytovatel také povinen informovat objednatele elektronicky e-mailem, a to nejpozději do 24 hodin. Kontaktní osobou pro hlášení bezpečnostních incidentů jsou všechny kontaktní osoby ve věcech technických a smluvních na straně objednatele podle čl. 14 odst. 1 písm. a) této smlouvy. V případě změny kontaktní osoby pro hlášení bezpečnostních incidentů bude objednatel předem písemně (elektronicky) informovat všechny kontaktní osoby poskytovatele ve věcech smluvních a technických podle čl. 14 odst. 1 písm. c) a d) této smlouvy.
5. Poskytovatel se zavazuje, že bude respektovat požadavky vyplývající ze ZoKB a VoKB. Poskytovatel bere na vědomí, že informační systém APV ASMKS spadá pod regulaci ZoKB a na tomto základě je veden v evidenci Národního úřadu pro kybernetickou bezpečnost (NÚKIB) jako významný informační systém (VIS) a objednatel je dle § 2 písm. e) ZoKB veden jako jeho správce. Poskytovatel je tak při plnění smlouvy v postavení provozovatele ve smyslu § 2 písm. g) ZoKB a současně významným dodavatelem ve smyslu § 2 písm. n) VoKB.
6. Poskytovatel bere na vědomí, že plnění této smlouvy bude spojeno se zpracováním osobních údajů, jak je definováno v zákoně č. 110/2019 Sb., o zpracování osobních údajů a Nařízení GDPR. Ve vztahu ke zpracování osobních údajů se poskytovatel uzavírá s objednatelem smlouvu o zpracování osobních údajů, jenž je přílohou č. 3 této smlouvy.
7. Poskytovatel se zavazuje, že všechny povinnosti stanovené mu v tomto článku smlouvy (s výjimkou odstavce 6) nebo v souvislosti s ním ve stejné podobě uplatní vůči svým zaměstnancům, resp. tyto povinnosti přenese v rámci svých smluvních vztahů na případné poddodavatele.
14.
Kontaktní (pověřené) osoby a komunikace
1. Veškerá komunikace mezi smluvními stranami ve věcech této smlouvy bude probíhat prostřednictvím kontaktních (pověřených) osob, jimiž v dané věci jsou:
a) ve věcech technických na straně objednatele:
Jméno | Telefon | Mobil | |
b) ve věcech smluvních na straně objednatele:
Jméno | Telefon | Mobil | ||
c) ve věcech technických na straně poskytovatele:
Jméno | Telefon | Mobil | ||
d) ve věcech smluvních na straně poskytovatele:
Jméno | Telefon | Mobil | ||
2. Kontaktní osoby ve věcech technických projednávají a zajišťují záležitosti související s technickým zabezpečením poskytovaného plnění, kontaktní osoby ve věcech smluvních projednávají a dohlížejí na provádění plnění podle této smlouvy, zejména předávají a přijímají informace, podklady, jakož i výsledky plnění, podepisují změnové listy, akceptační protokoly, výkazy práce, prezenční listiny apod. Kontaktní osoby ve věcech odborných specifikují změnové požadavky objednatele, odpovídají za správnost zapracování změnového požadavku do změnového listu, spolupracují při analýze požadavku a návrhu řešení od poskytovatele, jsou odpovědné za testování plnění a udělení pokynu k vystavení akceptačního protokolu.
3. Kontaktní osoby nejsou oprávněny ke změnám této smlouvy a k jejím doplňkům ani k jejich zrušení, ledaže se prokážou plnou mocí (pověřením) udělenou jim k tomu statutárním orgánem příslušné smluvní strany.
4. Komunikace mezi objednatelem a poskytovatelem ve věcech technických bude po celou dobu trvání této smlouvy probíhat primárně prostřednictvím poskytovatelem zajišťovaného HelpDesk nástroje JIRA ( /), a to v režimu 24x7x365 (on-line nástroj zaznamenávající požadavky včetně času jejich plnění). Poskytovatel se zavazuje zprovoznit HelpDesk do 14 dnů od účinnosti této smlouvy. Požadavky na funkčnost HelpDesku jsou specifikovány v Příloze č. 1 této smlouvy (Specifikace plnění podpory a údržby). Provoz HelpDesk je zahrnut v ceně dle čl. 10 odst. 1 písm. a) této smlouvy.
5. Jako další komunikační kanál bude poskytovatelem zajištěn Hotline na telefonním čísle a e-mailové adrese , a to v pracovních dnech
v době 9:00 – 17:00 hod.; telefonické zadání požadavku bude zajištěno lidskou obsluhou.
6. Veškeré dokumenty mající vztah k plnění této smlouvy musí být podepsány alespoň jednou kontaktní osobou k tomu příslušnou za smluvní stranu podle dané oblasti a odbornosti (příp. jeho zástupcem), která úkon činí.
7. Změnu své kontaktní osoby, resp. jejích kontaktních údajů, je daná smluvní strana povinna písemně oznámit nejpozději do 3 dnů ode dne změny. V těchto případech nemusí být změna prováděna postupem podle čl. 17 odst. 4 této smlouvy.
15.
Ukončení smlouvy
1. Tato smlouva může být ukončena splněním, písemnou dohodou obou smluvních stran, odstoupením od smlouvy nebo výpovědí ze strany objednatele podle odstavce 10 nebo 11 tohoto článku.
2. Smluvní strany jsou oprávněny od této smlouvy odstoupit v případech stanovených občanským zákoníkem či touto smlouvou.
3. Kterákoliv ze smluvních stran může odstoupit od smlouvy v případě, že druhá smluvní strana poruší podstatným nebo neodstranitelným způsobem své povinnosti vyplývající z této smlouvy.
4. Za podstatné porušení smluvních povinností objednatelem se podle této smlouvy považuje prodlení objednatele s uhrazením ceny plnění o více než 30 dnů.
5. Za podstatné porušení smlouvy poskytovatelem se podle této smlouvy považuje zejména:
a) nedodržení termínu řádného plnění smlouvy stanoveného ve smlouvě či v objednatelem podepsaném změnovém listu,
b) neplnění povinností spojených s poskytováním provozní údržby APV ASMKS podle čl. 2 této smlouvy po dobu delší než 1 měsíc,
c) nedodržení povinnosti mlčenlivosti či zachování důvěrných informací,
d) neodstranění vad a nedodělků ve stanoveném termínu, nebo neprodleně v těch případech, kdy je stanovena povinnost odstranit vady neprodleně.
6. Stanoví-li oprávněná smluvní strana druhé smluvní straně pro splnění jejího závazku náhradní (dodatečnou) lhůtu, vzniká jí právo odstoupit od smlouvy až po marném uplynutí této lhůty, to neplatí, jestliže druhá smluvní strana v průběhu této lhůty prohlásí, že svůj závazek nesplní.
7. Odstoupení od smlouvy musí být provedeno písemně a doručeno druhé smluvní straně. Právní účinky nastávají dnem doručení odstoupení od smlouvy druhé smluvní straně.
8. Objednatel je dále oprávněn odstoupit od Smlouvy, pokud:
a) bylo vydáno pravomocné rozhodnutí o úpadku Poskytovatele nebo bylo zahájeno insolvenční řízení proti Poskytovateli na jeho návrh, nebo v případě, že soud pravomocně rozhodl o zrušení Poskytovatele a nařídil jeho likvidaci, nebo Poskytovatel přijme rozhodnutí o vstupu do likvidace; nebo
b) dojde k významné změně kontroly nad Poskytovatelem, přičemž kontrolou se rozumí vliv, ovládání či řízení dle zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů, či ekvivalentní postavení.
9. V případě, že tato smlouva zanikne odstoupením, má poskytovatel právo na poměrnou úhradu za část díla již provedeného podle této smlouvy. Toto ustanovení neplatí v případě, že dojde k odstoupení od smlouvy z důvodu na straně poskytovatele.
10. Objednatel je oprávněn tuto smlouvu vypovědět v případě, kdy dojde k vyčerpání sjednaného objemu ČLD pro rozvoj APV ASMKS podle čl. 4 odst. 3 této smlouvy. Výpovědní lhůta začíná běžet prvním dnem měsíce následujícího po doručení výpovědi poskytovateli a končí uplynutím posledního dne daného měsíce.
11. Objednatel může dále vypovědět smlouvu bez udání důvodu na základě doručení takové výpovědi druhé smluvní straně. Výpovědní lhůta v takovém případě činí 6 měsíců a začíná běžet prvním dnem měsíce následujícího po doručení výpovědi poskytovateli.
12. V případě ukončení této smlouvy se smluvní strany zavazují vypořádat veškeré své vzájemné závazky do 60 dnů ode dne ukončení smlouvy. Toto ustanovení neplatí v případě, že dojde k odstoupení od smlouvy z důvodů na straně poskytovatele.
13. V případě skončení smlouvy z jakéhokoli důvodu poskytovatel na žádost učiněnou objednatelem do uplynutí až 3 měsíců ode dne skončení této smlouvy a dle pokynů objednatele poskytne objednateli veškerou vyžádanou součinnost, dokumentaci a informace, předá objednateli nebo jím určené třetí osobě data z výstupů rozvoje APV ASMKS a zúčastní se jednání s objednatelem a popřípadě třetími osobami za účelem plynulého a řádného převedení všech činností spojených s plněním této smlouvy poskytovatelem na objednatele a/nebo jím určenou třetí osobu, ke kterému dojde po skončení Smlouvy (dále jen „Exit“). Vyžádá-li si to objednatel, bude součástí Exitu i poskytnutí odborného školení osobám určeným objednatelem v rozsahu nejméně 5 hodin, na kterém poskytovatel určeným osobám zejména (i) předá přístup do všech administrátorských rozhraní APV ASMKS a vysvětlí, k čemu slouží a jaké mají funkce,
(ii) popíše obsah veškeré písemné dokumentace, vzniklé v souvislosti s rozvojem APV ASMKS a vysvětlí, k čemu slouží a jak s ní dále pracovat, (iii) popíše architekturu počítačových programů a dalších prvků tvořících APV ASMKS a vysvětlí vazby mezi jejich částmi, (iv) pomůže navázat na jakýkoli nedokončený vývoj tím, že zdokumentuje jeho aktuální stav, (v) předá objednateli veškeré zálohy software a pomůže objednateli s migrací software na novou infrastrukturu.
16.
Sleva z ceny, odpovědnost za škody
1. V případě prodlení objednatele s uhrazením řádně fakturovaných částek podle podmínek stanovených touto smlouvou má poskytovatel nárok na úrok z prodlení v zákonné výši z dlužné částky za každý i započatý den prodlení, nejvýše však v součtu do výše 5 % z fakturované částky.
2. V případě prodlení poskytovatele s poskytováním provozní údržby APV ASMKS podle čl. 2 této smlouvy oproti reakčním dobám stanoveným v příloze č. 1 této smlouvy (Specifikace plnění provozní podpory a údržby) je objednatel oprávněn požadovat po poskytovateli uhrazení slevy z ceny paušální platby (viz čl. 10 odst. 6 této smlouvy) v následujícím čtvrtletí po výskytu takového porušení, a to ve výši 3.000 Kč bez DPH za každý započatý den prodlení v případě vady Kategorie A, ve výši 1.000 Kč za každý započatý den prodlení v případě vady Kategorie B a ve výši 500 Kč za každý započatý den prodlení v případě vady Kategorie C.
3. V případě prodlení poskytovatele s plněním podle čl. 4 této smlouvy uhradí poskytovatel objednateli smluvní pokutu ve výši 1.000 Kč bez DPH za každý i započatý den prodlení až do řádného předání plnění.
4. V případě porušení své povinnosti mlčenlivosti či důvěrnosti informací stanovené v čl. 13 této smlouvy poskytne poskytovatel v následujícím čtvrtletí po výskytu takového porušení objednateli slevu z ceny paušální platby (za plnění podle čl. 2 této smlouvy stanovené v čl. 10 odst. 6 této smlouvy), a to ve výši 50.000 Kč za každý jednotlivý případ porušení takové povinnosti.
5. V případě porušení své povinnosti v oblasti ochrany osobních údajů a/nebo kybernetické bezpečnosti stanovené v čl. 13 této smlouvy poskytne poskytovatel v následujícím čtvrtletí po výskytu takového porušení objednateli slevu z ceny paušální platby (za plnění podle čl. 2 této smlouvy stanovené v čl. 10 odst. 6 této smlouvy), a to ve výši 50.000 Kč za každý jednotlivý případ porušení takové povinnosti, přičemž pokud bude v oblasti ochrany osobních údajů či kybernetické bezpečnosti mezi stranami uzavřena smlouva, která bude
stejné povinnosti krýt rovněž smluvními pokutami, bude sankce Poskytovateli udělena jen podle jedné z těchto smluv (tzn. strany se dohodly, že je v takovém případě vyloučena dvojí sankce téhož porušení)..
6. Přesáhnou-li slevy z ceny paušální platby dle odstavců 2 a 4 tohoto článku smlouvy samotnou paušální platbu dle čl. 10 odst. 6 této smlouvy stanovenou pro následující období, je objednatel oprávněn tyto slevy započíst v následujících čtvrtletích. Nebude-li možné slevy dle odstavců 2 a 4 tohoto článku smlouvy započíst v době účinnosti této smlouvy v celé výši, je poskytovatel povinen nezapočtenou část slevy objednateli vyplatit tak, jako by se jednalo o smluvní pokutu.
7. V případě porušení nějakého z ustanovení čl. 9 této smlouvy, má objednatel nárok na smluvní pokutu ve výši 100.000 Kč.
8. Za porušení jiné povinnosti stanovené smlouvou uhradí poskytovatel objednateli částku
1.000 Kč za každý jednotlivý případ porušení této povinnosti prostřednictvím slevy z ceny paušální platby.
9. Smluvní pokuta je splatná ve lhůtě 10 kalendářních dnů ode dne doručení písemné výzvy k její úhradě, není-li objednatelem započtena oproti pohledávce poskytovatele vůči objednateli. Dnem úhrady smluvní pokuty se rozumí den, kdy je částka odpovídající její výši připsána ve prospěch účtu objednatele. Úrok z prodlení je splatný ve lhůtě 21 dnů ode dne doručení písemné výzvy k jeho úhradě.
10. Objednatel nemá právo uplatnit smluvní pokutu či slevu z ceny, jestliže poskytovatel prokáže, že objednatel neposkytl poskytovateli součinnost nezbytnou k tomu, aby poskytovatel mohl splnit svůj závazek.
11. Zaplacením slevy z ceny či smluvní pokuty podle této smlouvy není dotčen nárok smluvní strany na náhradu skutečné škody v celém rozsahu způsobené škody. Žádná ze smluvních stran neodpovídá za škodu vzniklou jako následek vyšší moci.
17.
Závěrečná ustanovení
1. Jestliže bude mít objednatel jakékoli výhrady ať již ve vztahu k poskytovanému plnění předmětu této smlouvy nebo k osobám podílejících se na straně poskytovatele na plnění předmětu této smlouvy, sdělí je důvěrným způsobem kontaktní osobě poskytovatele uvedené v čl. 14 odst. 1 písm. d) této smlouvy. Jestliže se bude domnívat, že tyto výhrady nejsou adekvátně řešeny nebo že jejich charakter či vážnost to vyžadují, bude výslovně kontaktovat odpovědnou osobu uvedenou v záhlaví této smlouvy.
2. Jestliže výhrada podle odstavce 1 tohoto článku nebude vyřešena způsobem uspokojivým pro obě smluvní strany, jmenují obě smluvní strany po jednom vedoucím zaměstnanci, který bude oprávněn vyvolat jednání a s vynaložením veškeré dobré vůle vyřešit spornou záležitost. Schůzka se musí uskutečnit v přiměřeně krátké době po písemném vyzvání jedné ze smluvních stran. Pokud nedojde k dohodě, je objednatel oprávněn odstoupit od smlouvy v souladu s čl. 15 odst. 2 této smlouvy.
3. Tato smlouva a práva a povinnosti z ní vyplývající se řídí českým právem. Práva a povinnosti smluvních stran, pokud nejsou upraveny touto smlouvou, se řídí občanským zákoníkem, autorským zákonem a dalšími předpisy souvisejícími.
4. Veškeré změny a doplnění této smlouvy (s výjimkou změn kontaktních osob podle čl. 14 odst. 1 této smlouvy) lze činit pouze se souhlasem obou smluvních stran písemnou formou, a to prostřednictvím vzestupně číslovaných dodatků k této smlouvě potvrzenými oběma smluvními stranami, a to osobami oprávněnými jednat za smluvní strany ve věcech smluvních, jinak jsou neplatné.
5. Smluvní strany bezvýhradně souhlasí s uveřejněním této smlouvy, případných dodatků k této smlouvě, jakož i se zveřejněním dalších aspektů tohoto smluvního vztahu v souladu
se zákonem č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů. Uveřejnění zajistí objednatel.
6. Jakékoli oznámení ve smyslu této smlouvy od druhé smluvní strany musí být učiněno písemně.
7. Smlouva vzniká dnem podpisu oprávněnými zástupci smluvních stran a nabývá účinnosti dnem zveřejnění smlouvy podle zákona o registru smluv.
8. Tato smlouva se vztahuje na právní nástupce smluvních stran.
9. Tato smlouva je vyhotovena v elektronické podobě, kdy bude příslušný dokument opatřen elektronickými podpisy zástupců obou smluvních stran.
10. Obě smluvní strany prohlašují, že se s textem této smlouvy seznámily, obsahu porozuměly, souhlasí s ním a na důkaz toho připojují své vlastnoruční podpisy.
11. Nedílnou součástí této smlouvy jsou přílohy:
Příloha č. 1 – Specifikace plnění provozní údržby Příloha č. 2 – Změnový list
Příloha č. 3 – Smlouva o zpracování osobních údajů Příloha č. 4 – Realizační tým
Příloha č. 5 - Specifikace plnění požadavků v oblasti kybernetické bezpečnosti
V Praze dne
16. 8. 2023
V Praze dne
25. 7. 2023
Objednatel: Poskytovatel:
…………………………..……………… …………………………..……………… Xxx. Xxxxx Xxxxx Xxx. Xxxxxxxx Xxxxxxxx, Ph.D. předseda Rady jednatel společnosti
Českého telekomunikačního úřadu TECHNISERV, spol. s r.o.
Specifikace plnění provozní údržby
1. Zajištění provozní údržby APV ASMKS podle čl. 2 smlouvy
Lhůty pro odstraňování vad APV ASMKS se řídí dle kategorie jejich závažnosti a stanovených SLA parametrů:
Servisní hodiny: Pracovní dny 9:00-17:00
Stupeň závažnosti | Klasifikace vady | Reakční doba | Doba vyřešení |
1 | Kategorie A | 2 hodiny | NBD (následující pracovní den) |
2 | Kategorie B | 8 hodin | 5 pracovních dnů (pokud nebude oboustranně písemně dohodnuto jinak) |
3 | Kategorie C | 1 pracovní den | 7 pracovních dnů (pokud nebude oboustranně písemně dohodnuto jinak) |
Vada kategorie A
• Definice – Závažné chyby, projevující se viditelně na funkcionalitě aplikace, či zastavují či omezují její provoz, či provoz některých částí. Může dojít k nekonzistencím v datech. Bezprostředně ohrožuje nebo během 7 dnů může ohrozit činnost zadavatele jako orgánu státní správy nebo jeho povinnosti vyplývající ze zákona.
• Název kategorie – Bránící v provozu.
Vada kategorie B
• Definice – Chyby přímo neovlivňují aplikaci, nebo pouze její velmi omezenou část. Nemůže dojít k nekonzistencím v datech. Neohrožuje činnost zadavatele jako orgánu státní správy nebo jeho povinnosti vyplývající ze zákona.
• Název kategorie – Nebránící v provozu.
Vada kategorie C
• Definice – Funkční vada drobnějšího charakteru, výpadky funkcí, které lze zajistit jiným způsobem či řešit organizačním opatřením. Jedná se o vadu neohrožující další provoz a užití systému, která nemá vliv na ostatní části systému, ani nedochází ke ztrátě žádných závažných dat.
• Název kategorie – Ostatní funkční vady.
Do doby vyřešení se nezapočítává čas čekání na přímo související součinnost objednatele. Vyřešením se rozumí nasazení opraveného řešení do provozního prostředí. V případě vady kategorie A se vyřešením servisního požadavku rozumí i stav, kdy je možno dočasným opatřením požadavek převést na vadu kategorie B.
Zařazení vady do jednotlivých kategorií určuje objednatel.
Vyplyne-li z objektivních skutečností potřeba lhůty delší, než je stanovena u jednotlivých kategorií, lze písemně dohodnout lhůtu delší. Za objektivní skutečnosti lze považovat zásah vyšší moci, chybnou funkci operačních a databázových platforem, časový rozsah potřebných prací jdoucí nad stanovený rámec.
2. Primární komunikační kanál HelpDesk dle čl. 14 odst. 4 smlouvy:
Poskytovatel zajistí poskytnutí, konfiguraci a správu HelpDesk jako jednotného kontaktního místa k hlášení, evidenci a řízení životního cyklu vad, požadavků a změn (dále jen „hlášení“) u APV ASMKS.
HelpDesk umožní objednateli přehled o evidovaných hlášeních a způsobech a termínech jejich řešení pro účely zpětné kontroly plnění.
HelpDesk musí umožňovat:
- hlášení vad, zadávání servisních požadavků, provozních incidentů a požadavků
- na rozvoj,
- upřesňovat a doplňovat hlášení a k zadaným hlášením vkládat přílohy v různých
- formátech,
- kategorizovat zadaná hlášení a nastavovat prioritu jejich řešení,
- exportovat hlášení minimálně ve formátu *.csv či *.xlsx, přičemž export bude obsahovat
- minimálně následující informace o jednotlivých hlášeních (ID hlášení, kategorizaci hlášení [vada kategorie A, vada kategorie B, vada kategorie C, činnosti na objednávku, chyba z testování, provozní údržba], autor hlášení, název a obsah hlášení, datum zadání, stav hlášení a datum a způsob vyřešení),
- možnost filtrování dle předem stanovených parametrů (zejména dle autora hlášení, data
- vytvoření hlášení, stavu řešení hlášení),
- zasílat objednateli notifikace o změně stavu hlášení,
- přístup i k databázi uzavřených požadavků a způsobu jejich řešení,
- počet uživatelů HelpDesku objednatele bude max. 10,
- proces schvalování požadavku.
Dostupnost HelpDesk pro uživatele podporovaných systémů prostřednictvím internetu musí být min 95 % / měřeno za kalendářní měsíc.
Servisní režim: 24x7x365
3. Sekundární komunikační kanál HotLine (telefonická a e-mailová podpora) dle čl. 14 odst. 5 smlouvy:
Zajištění komunikačního místa pro vznášení a odpovídání dotazů uživatelů objednatele poskytovateli, které nevyžadují přípravu a zásah do systémů ani jejich dat ze strany poskytovatele.
Rychlé řešení běžných dotazů týkajících se APV ASMKS, poskytování informací a konzultací, které nevyžadují přípravu a zásah do systému ani jejich dat ze strany poskytovatele, a to na vyhrazené telefonické lince a e-mailové adrese. Na základě vytočení vyhrazeného čísla proběhne zodpovězení dotazu, případně je zpracován a odeslán e-mail.
Součástí služby telefonické a e-mailové podpory není metodická podpora uživatelům (zajišťují pověřené osoby objednatele) a školení uživatelů.
Telefonické nebo e-mailové zadání požadavku bude následně zapsáno do HelpDesk poskytovatelem.
Pracovní dny: 9:00 – 17:00
4. Řešení požadavků na uživatelskou podporu dle čl. 2 odst. 2 písm. j) smlouvy:
Zajištění provádění zásahů, které není schopen vykonat sám objednatel bez pomoci (technické či metodické) poskytovatele.
Opravy situací vzniklých v důsledku chybného uživatelského postupu. Opravy chybně zadaných dat či dat přenesených z jiných systémů.
Vytváření výstupů dle požadavků objednatele, které nevyžadují zásah do APV ASMKS a s ním spojené nasazení nové verze.
Nahlašování požadavků uživateli APV ASMKS prostřednictvím HelpDesk. Pracovní dny: 9:00 – 17:00
5. Nasazování opravných verzí/patchů, reinstalace a implementace nových verzí APV ASMKS dle čl. 2 odst. 2 písm. k) smlouvy:
Nasazování opravných verzí/patchů, reinstalace a implementace nových verzí APV ASMKS bude probíhat mimo standardní pracovní dobu vždy po dohodě a v termínu odsouhlaseném objednatelem.
V případě, že se bude jednat o instalaci s odstávkou, je dodavatel povinen o instalaci písemně uvědomit kontaktní osobu objednatele uvedenou v čl. 14 odst. 1 písm. a) smlouvy minimálně 5 pracovních dní předem.
Instalace je nezbytné plánovat a koordinovat s ostatními projekty.
Změnový list ZL_XX_XX - Název | |
Smlouva č. CTU/2023_0059 | |
Datum nahlášení: | Žadatel: Řešitel: |
Název změny: | |
Popis změny | |
Pracnost realizace změny v ČLD (konzultace, analýza, vývoj, testování, dokumentace) | |
Změny v datovém modelu: | Ano/Ne |
Vliv změny na bezpečnost: | Ano/Ne |
Vliv změny na webové služby: | Ano/Ne |
Vliv změny na ochranu osobních údajů | Ano/Ne |
Dopady do dokumentace: | Ano/Ne |
Termín dodání (datum nasazení na testovací prostředí) | |
Termín dodání (datum nasazení na produkci) | |
Schválení realizace v uvedeném rozsahu pracnosti | |
Datum: | |
Objednatel | Poskytovatel |
Jméno/funkce: Ředitel odboru informatiky | Jméno/funkce: |
Podpis: | Podpis: |
Správa dokumentu
Historie změn
Verze | Datum | Seznam změn | Změnil |
Pojmy a zkratky
Pojem | Vysvětlení |
Odkazy na jiné dokumenty
Odkaz | Jméno dokumentu | Verze |
1. Zadání
2. Detailní analýza
3. Harmonogram
4. Zhodnocení dopadů
4.1. Změny v datovém modelu
4.2. Dopady do rozhraní
4.3. Dopady na bezpečnost
4.4. Dopady do dokumentace
Smlouva o zpracování osobních údajů
uzavřená podle čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne
27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“)
mezi těmito smluvními stranami:
1. Česká republika – Český telekomunikační úřad
Se sídlem: Xxxxxxxxxx 00/000, Xxxxxxxx, 000 00 Xxxxx 0
Adresa pro doručování: poštovní přihrádka 00, 000 00 Xxxxx 000 ID datové schránky: a9qaats
Bankovní spojení: ČNB Praha
Číslo účtu: 725001/0710
IČO: 701 06 975
DIČ: CZ70106975 (osoba identifikovaná x xxxx) Jejímž jménem jedná: Xxx. Xxxxx Xxxxx, předseda Rady ČTÚ
(dále jen „Objednatel“) na straně jedné a
2. TECHNISERV, spol. s r.o.
Se sídlem: Xxxxxxx 000/00, 000 00 Xxxxx 0
Zastoupená: Ing. Xxxxxxxxxx Xxxxxxxxx, Ph.D., jednatelem společnosti ID datové schránky: k8r6j6r
Bankovní spojení: Komerční banka, a. s.
Číslo účtu: 435742011/0100
IČO: 442 64 020
DIČ: CZ44264020
Zapsaná v Obchodním rejstříku vedeném u Městského soudu v Praze, oddíl C, vložka 5239
(dále jen „Poskytovatel“) na straně druhé,
společně označované také jako „smluvní strany“ nebo jednotlivě též jako „smluvní strana“.
1.
Úvodní ustanovení
1. Poskytovatel se na základě smlouvy o zajištění podpory, údržby a rozvoje Aplikačního programového vybavení Automatizovaného systému monitorování kmitočtového spektra (dále jen „APV ASMKS“), č. CTU/2023_0059, uzavřené mezi smluvními stranami (dále také „Smlouva“), zavázal poskytnout plnění tak, jak je uvedeno v článku 1 Smlouvy a v článcích navazujících. Při plnění předmětu Xxxxxxx může docházet k práci s osobními údaji. Osobními údaji se pro účely této smlouvy o zpracování osobních údajů (dále jen
„Zpracovatelská smlouva“) rozumí osobní údaje nebo jakékoli identifikátory subjektů údajů, kterými jsou zejména zaměstnanci a pracovníci Objednatele, uživatelé APV ASMKS, subjekty údajů, o kterých APV ASMKS uchovává data a další subjekty údajů, jejichž osobní údaje byly Poskytovateli předány či případně zpřístupněny pro účel poskytování plnění dle smlouvy (dále také „Osobní údaje“).
2. V rámci poskytování plnění může docházet ke zpracování Osobních údajů Poskytovatelem. Tato Zpracovatelská smlouva upravuje podmínky zpracování osobních údajů Objednatelem jako správcem Osobních údajů a Poskytovatelem jako zpracovatelem Osobních údajů ve smyslu čl. 28 GDPR.
3. Není-li v této Zpracovatelské smlouvě stanoveno jinak, mají pojmy použité s velkým počátečním písmenem stejný význam jako ve Smlouvě. Pro vyloučení pochybností se pod APV ASMKS rozumí pojem tak, jak je definován v předmětu plnění Smlouvy.
2.
Úlohy a pokyny pro zpracování údajů
1. Smluvní strany berou na vědomí a souhlasí s tím, že:
a) Poskytovatel je zpracovatelem Osobních údajů,
b) Objednatel je správcem, případně zpracovatelem Osobních údajů,
a) obě smluvní strany se zavazují plnit své povinnosti vyplývající z platných právních předpisů, které se vztahují na zpracování Osobních údajů.
2. Poskytovatel bude zpracovávat Osobní údaje pouze v souladu s platnými právními předpisy a za účelem:
a) poskytování plnění pro Objednatele, a
b) jak bude dále uvedeno v dalších písemných pokynech udělených Objednatelem.
3. Za písemný pokyn dle odstavce 2 písm. b) tohoto článku Zpracovatelské smlouvy se považuje také pokyn učiněný prostřednictvím komunikačních nástrojů uvedených ve Smlouvě.
3.
Doba trvání zpracování osobních údajů
Poskytovatel bude Osobní údaje zpracovávat pouze po dobu trvání Smlouvy nebo do doby výmazu všech Osobních údajů ze strany Poskytovatele dle této Zpracovatelské smlouvy, a to vždy na základě jednoznačného požadavku Objednatele k provedení této činnosti.
4.
Povaha a účel zpracování osobních údajů
1. Poskytovatel může pro účely poskytování plnění Objednateli zpracovávat Osobní údaje, a to výhradně v elektronické formě, přičemž předmětem zpracování může být i migrace dat, analýza, tvorba rozhraní a dokumentace a další činnosti potřebné pro poskytování plnění.
2. Účelem zpracování osobních údajů bude poskytování plnění.
5.
Druhy osobních údajů
Předmětem zpracování podle této Zpracovatelské smlouvy budou všechny Osobní údaje, které jsou uchovávány v APV ASMKS, a k jejichž zpracování byl na základě písemného zmocnění či Zpracovatelské smlouvy Poskytovatel pověřen. Objednatel vždy vymezí rozsah a účel pověření, dobu zpřístupnění a případná bezpečnostní opatření a zapojení dalších osob odlišných od autorizovaných osob Poskytovatele.
6.
Kategorie subjektů údajů
1. Osobní údaje se budou týkat těchto kategorií subjektů údajů:
a) zaměstnanci a pracovníci Objednatele;
b) uživatelé APV ASMKS;
c) subjekty údajů, o kterých APV ASMKS uchovává data;
d) další subjekty údajů, jejichž osobní údaje byly Poskytovateli předány pro účel poskytnutí plnění dalších povinností dle Smlouvy.
7.
Práva a povinnosti smluvních stran
1. Poskytovatel prohlašuje a zavazuje se, že:
a) dozví-li se o porušení nebo hrozícím porušení zabezpečení Osobních údajů, náhodném nebo protiprávním zničení, ztrátě, změně nebo neoprávněném poskytnutí či zpřístupnění zpracovávaných Osobních údajů, neprodleně, nejpozději však do 24 hodin, písemně informuje Objednatele a co nejlépe popíše vzniklé či hrozící bezpečnostní riziko, přičemž Objednateli sdělí vhodná opatření pro zabránění nebo minimalizaci porušení zabezpečení osobních údajů a přijme veškerá potřebná opatření pro minimalizaci škody;
b) bude Osobní údaje zpracovávat pouze v rámci EU či EHP;
c) Osobní údaje budou zabezpečeny v souladu s článkem 8 této Zpracovatelské smlouvy;
d) Osobní údaje bude zpracovávat pouze v souladu s touto Zpracovatelskou smlouvou, nebo na základě jiných písemných pokynů Objednatele; pro případné další účely zpracování je nutný vždy předchozí písemný souhlas Objednatele;
e) Přijme vhodná přiměřená organizační a technická opatření, jejichž cílem je, aby osoby, které se budou na straně Poskytovatele podílet na plnění této Zpracovatelské smlouvy, při styku nebo nakládání s Osobními údaji nepořizovaly kopie Osobních údajů bez předchozího písemného souhlasu Objednatele a aby jejich činností nebo opomenutím nedošlo k náhodnému nebo protiprávnímu zničení, ztrátě či pozměnění Osobních údajů, nebo k jejich neoprávněnému zpřístupnění třetím osobám;
f) bude Objednateli nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení Osobních údajů, při ohlašování porušení zabezpečení osobních údajů dozorovému úřadu nebo subjektu údajů, při posuzování vlivu na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem;
g) zajistí Objednateli prostřednictvím vhodných technických a organizačních opatření součinnost, nejpozději do 14 dnů od vznesení požadavku Objednatele, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů či poskytnutí informace o zpracování osobních údajů;
h) poskytne Objednateli na jeho žádost bez zbytečného odkladu, nejpozději však do 10 pracovních dnů od doručení takovéto žádosti, veškerou součinnost nutnou k prokázání, že jsou Osobní údaje dostatečně organizačně a technicky zabezpečeny a poskytne veškerou součinnost v případech, kdy je u Objednatele zahájena kontrola dozorového orgánu a zaváže k této povinnosti i své pracovníky, od kterých bude potřebná součinnost;
i) zpracuje posouzení vlivu na ochranu osobních údajů dodávaného produktu (aplikace, informačního systému, programového vybavení atd.) nejpozději do 3 měsíců ode dne účinnosti smlouvy a zavazuje se k pravidelným aktualizacím posouzení na základě plánovaných změnových požadavků, které budou mít vliv na ochranu osobních údajů, a to vždy před jejich nasazením do provozu.
2. Pokud Poskytovatel při zpracovávání Osobních údajů obdrží od subjektu údajů ve vztahu k Osobním údajům jakoukoliv žádost, sdělí Poskytovatel subjektu údajů, aby se s žádostí obrátil přímo na Objednatele. Poskytovatel se zavazuje poskytnout Objednateli veškerou součinnost potřebnou pro vyřízení práva subjektů údajů.
3. Poskytovatel se zavazuje nevyužívat pro zpracování Osobních údajů jakéhokoliv dalšího zpracovatele bez předchozího písemného povolení Objednatele a v případě zapojení těchto dalších zpracovatelů tyto smluvně zaváže, aby dodržovali stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této Zpracovatelské smlouvě. Poskytovatel se rovněž zavazuje nesdělovat a nezpřístupňovat Osobní údaje třetím stranám a poddodavatelům, kteří nejsou uvedeni v žádné z příloh Smlouvy bez předchozího písemného souhlasu Objednatele. Objednatel vždy souhlasí se zapojením dalších zpracovatelů, kteří jsou výslovně uvedeni ve Smlouvě.
4. Poskytovatel je povinen umožnit Objednateli či jím pověřené osobě kontrolu (včetně auditu či inspekce, dále jednotně označované také jen „audit“), dodržování této Zpracovatelské smlouvy, zejména povinností pro zpracování Osobních údajů z nich vyplývajících, a k těmto kontrolám přispěje dle důvodných pokynů Objednatele či kontrolující osoby. Poskytovatel je povinen zajistit možnost provedení kontroly také u osob, které se společně s Poskytovatelem podílejí na plnění povinností dle této Zpracovatelské smlouvy tím, že je písemně zaváže, aby Objednateli umožnily provedení kontroly zpracování Osobních údajů, a splnění této povinnosti na nich bude k žádosti Objednatele písemně vymáhat.
5. Jakoukoliv žádost o audit je Objednatel povinen zaslat písemně Poskytovateli. Po obdržení žádosti o audit se Poskytovatel a Objednatel dopředu dohodnou na:
a) možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a
b) předpokládaném začátku, rozsahu a době trvání auditu.
V případě, že k dohodě nedojde ani do 30 dnů ode dne odeslání žádosti, určí podmínky auditu Objednatel. Právo jednostranně určit podmínky kontroly, resp. auditu na základě předchozí věty tohoto odstavce, může Objednatel uplatnit jednou za kalendářní rok.
6. Poskytovatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Objednatelem, pokud není auditor podle názoru Poskytovatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Poskytovateli nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Objednatel povinnost pověřit jiného auditora, nebo provést audit sám. Objednatel se zavazuje osoby jím pověřené kontrolou a jím pověřené auditory písemně zavázat, aby zachovávali mlčenlivost o všech skutečnostech, o kterých se v souvislosti se svou činností u Poskytovatele dozví, nebo k nimž získají přístup, nepořizovali kopie žádných dokumentů či záznamy z nich bez předchozího písemného souhlasu Poskytovatele, a aby po celou dobu provádění kontroly (auditu,) jejich činností nebo opomenutím nedošlo k náhodnému nebo protiprávnímu zničení, ztrátě či pozměnění žádných dokumentů, nebo k jejich neoprávněnému zpřístupnění třetím osobám. Bez předchozího písemného souhlasu Poskytovatele jsou Objednatelem pověření auditoři a osoby pověřené kontrolou oprávněni pořizovat záznamy dokládající porušení povinností týkajících se zpracování Osobních údajů na základě Zpracovatelské smlouvy, která zjistí v rámci auditu; o rozsahu pořízených záznamů však musí Poskytovatele bezodkladně písemně vyrozumět a k jeho žádosti mu předložit pořízené záznamy k nahlédnutí.
7. Poskytovatel může být v souvislosti s kontrolou písemně požádán o předložení svých písemných technických a organizačních bezpečnostních opatření v souvislosti s poskytováním plnění, přičemž má povinnost této výzvě vyhovět.
8. Objednatel je odpovědný za plnění všech povinností ve vztahu ke zpracování Osobních údajů, zejména za řádné informování subjektů údajů o zpracování Osobních údajů, získání souhlasu se zpracováním Osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů, týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.).
8.
Bezpečnost osobních údajů
1. Poskytovatel přijal níže uvedená opatření a zavazuje se je udržovat pro zajištění zabezpečení zpracování Osobních údajů po celou dobu zpracování.
2. Organizační opatření:
a) Poskytovatel a pracovníci Poskytovatele jsou pravidelně školeni na zásady a principy ochrany osobních údajů a kybernetickou bezpečnost;
c) Poskytovatel a pracovníci poskytovatele jsou zavázáni k mlčenlivosti v souvislosti s prací s Osobními údaji;
d) povinnost Poskytovatele hlásit jakékoliv kybernetické bezpečnostní incidenty související s poskytováním plnění.
3. Technická opatření:
a) Smluvní strany konstatují, že na jejich smluvní vztah se vztahují požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti);
b) kontrola a monitorování a zajištění přístupu do APV ASMKS umožňující přesné zaznamenání, kdo měl možnost s Osobními údaji pracovat;
c) ochrana pracovních zařízení Poskytovatele prostřednictvím vhodného antivirového programu a prostředku firewall, příp. dalšími technickými ochrannými prostředky;
d) zajištění dvoufaktorové identifikace a autentizace na pracovních stanicích Poskytovatele, které mají přístup do APV ASMKS.
4. Poskytovatel zabezpečí plnění před kybernetickými útoky nejvhodnějším způsobem s přihlédnutím k povaze Osobních údajů a stavu techniky. Poskytovatel se zároveň zavazuje přijmout veškerá vhodná opatření v souladu s čl. 32 GDPR tak, aby s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, zajistil úroveň zabezpečení odpovídající danému riziku. Poskytovatel současně odpovídá za poškození Osobních údajů třetí stranou, pokud se prokáže, že nebyly odpovědně zabezpečeny v souladu s tímto článkem Zpracovatelské smlouvy.
9.
Předání osobních údajů po skončení zpracování
Po skončení smlouvy bez ohledu na způsob a důvod jejího skončení je Poskytovatel povinen všechny Osobní údaje včetně dalších kategorií chráněných údajů a souvisejících metadat předat Objednateli včetně všech existujících kopií a Osobní údaje včetně všech dalších kategorií chráněných údajů a souvisejících metadat na všech ostatních zařízeních a nosičích mimo zařízení a nosičů ve vlastnictví či užívání Objednatele trvale zničí, s výjimkou případů, kdy je uložení Osobních údajů vyžadované právem České republiky nebo Evropské unie. Provedení likvidace Osobních údajů a dalších kategorií chráněných údajů a souvisejících metadat, je poskytovatel povinen doložit Objednateli vhodným způsobem, z něhož bude vyplývat přesně definovaný způsob likvidace konkrétních údajů či metadat.
10.
Další ujednání
1. Poskytovatel není oprávněn vyúčtovat Objednateli vynaložené náklady spojené s vyřizováním jakékoliv žádosti, uvedené v článku 7 této Zpracovatelské smlouvy a není oprávněn požadovat dodatečnou odměnu za zpracování osobních údajů při poskytování plnění.
2. V případě prodlení se splněním jakékoli lhůty dle této Zpracovatelské smlouvy se Poskytovatel zavazuje Objednateli uhradit smluvní pokutu ve výši 5.000 Kč za každý započatý den prodlení.
3. V případě porušení povinností Poskytovatele dle článku 7, 8 či 9 této Zpracovatelské smlouvy případně jiných povinností Poskytovatele vyplývajících z této Zpracovatelské smlouvy se Poskytovatel zavazuje Objednateli uhradit smluvní pokutu ve výši 50.000 Kč za každé jednotlivé porušení.
4. Smluvní pokuta je splatná okamžikem porušení příslušné povinnosti. Dnem splatnosti smluvní pokuty se rozumí den, kdy musí být částka odpovídající její výši připsána ve prospěch účtu Objednatele. Uhrazení smluvní pokuty nevylučuje nárok na náhradu škody v plné výši.
5. Poruší-li Poskytovatel či osoba, která spolupracuje s Poskytovatelem při poskytování Služeb (poddodavatel) kteroukoliv povinnost týkající se či související se zpracováním Osobních údajů, ať již vyplývá z GDPR či jiných předpisů či ze Zpracovatelské smlouvy, a Objednateli bude v důsledku takového porušení pravomocně uložena pokuta, zejména ze strany Úřadu pro ochranu osobních údajů, ačkoli Objednatel o zahájení takovéhoto řízení Poskytovatele bezodkladně písemně vyrozuměl a v řízení použil řádně a včas veškeré věcné argumenty, doklady a důkazy získané zákonným způsobem, jejichž uplatnění nezakládá protiprávní jednání, které mu za tímto účelem Poskytovatel poskytl tak, aby mohly být včas použity, zavazuje se Poskytovatel na výzvu Objednatele, k níž bude dále přiloženo rozhodnutí o uložení pokuty, uhradit Objednateli peněžitou náhradu ve výši uložené pokuty, a to bez zbytečného odkladu po prokázání zavinění Poskytovatele ve vztahu k porušení, za které byla Objednateli pravomocně uložena pokuta, a obdržení písemné výzvy k zaplacení, nejpozději však do 5 pracovních dní od tohoto prokázání a obdržení písemné výzvy.
6. Poruší-li Poskytovatel či osoba, která spolupracuje s Poskytovatelem při poskytování plnění (poddodavatel) kteroukoliv povinnost týkající se či související se zpracováním Osobních údajů, ať již vyplývá z GDPR či jiných předpisů či ze Zpracovatelské smlouvy, a je-li prokázán vznik materiální či nemateriální újmy třetí osobě jako subjektu údajů v příčinné souvislosti s takovým porušením a Objednatel uhradí této poškozené třetí osobě pohledávku na náhradu materiální či nemateriální újmy, zavazuje se Poskytovatel na výzvu Objednatele uhradit Objednateli peněžitou náhradu ve výši uplatněné materiální či nemateriální újmy ze strany třetí osoby, a to bez zbytečného odkladu po prokázání zavinění Poskytovatele ve vztahu ke vzniklé újmě a takovémuto porušení a obdržení písemné výzvy k zaplacení, nejpozději však do 5 pracovních dní od tohoto prokázání a obdržení písemné výzvy, a to za podmínky, že Objednatel Poskytovatele o uplatnění takovéhoto nároku bezodkladně písemně vyrozuměl a použil na obranu proti takovémuto nároku řádně a včas veškeré věcné argumenty, doklady a důkazy získané zákonným způsobem, jejichž uplatnění nezakládá protiprávní jednání, které mu za tímto účelem Poskytovatel poskytl tak, aby mohly být včas použity.
7. Smluvní strany se dohodly, že porušením kterékoliv povinnosti Poskytovatele plynoucí z právních předpisů v oblasti bezpečnosti informací a ochrany osobních údajů, zejména ze zákona a vyhlášky o kybernetické bezpečnosti, GDPR či dalších právních předpisů či ze Zpracovatelské smlouvy, představuje podstatné porušení smlouvy, jestliže v příčinné souvislosti s ním došlo ke vzniku materiální či nemateriální újmy Objednateli,
nebo třetí osobě, která není nevýznamná. Smluvní strany shodně prohlašují, že za nevýznamnou újmu považují materiální či nemateriální újmu, která nepřevyšuje částku
500.000 Kč.
V Praze dne V Praze dne
Poskytovatel: Objednatel:
…………………………..……………… …………………………..……………… Xxx. Xxxxx Xxxxx Xxx. Xxxxxxxx Xxxxxxxx, Ph.D. předseda Rady jednatel společnosti
Českého telekomunikačního úřadu TECHNISERV, spol. s r.o.
Xxxxx a příjmení
Role
Telefon
Realizační tým
Specifikace plnění požadavků v oblasti kybernetické bezpečnosti
1. Poskytovatel je povinen spolupracovat s objednatelem v následujících oblastech organizačních opatření požadovaných ZoKB a VoKB, která musí být navržena, zavedena a prováděna:
a) Bezpečnostní politika systému dle § 30 VoKB,
b) Stanovení bezpečnostních požadavků na dodavatele dle § 8 vyhlášky VoKB,
c) Bezpečnost lidských zdrojů dle § 9 VoKB,
d) Řízení provozu a komunikací dle § 10 VoKB,
e) Řízení přístupu a bezpečné chování uživatelů dle § 12 VoKB,
f) Akvizice, vývoj a údržba dle § 13 VoKB,
g) Řízení kontinuity činností dle § 15 VoKB.
Tato spolupráce je vymezena a omezena pravomocemi poskytovatele, danými touto smlouvou. Poskytovatel zajistí objednateli veškerou součinnost nezbytnou k plnění povinností stanovených VoKB.
2. Objednatel písmeně oznámí poskytovateli osoby zastávající bezpečnostní role dle § 6 VoKB a jejich kontaktní údaje (jméno, příjmení, telefonní číslo a adresa elektronické pošty), včetně způsobu komunikace s těmito osobami:
- manažer kybernetické bezpečnosti,
- architekt kybernetické bezpečnosti,
- gestor a garanti primárních a podpůrných aktiv.
3. Poskytovatel poskytne na výzvu objednatele plnění dle ZoKB v tomto rozsahu:
a) na základě konkrétního zadání vytvoří do 3 měsíců dokument technické a procesní postupy k zajištění hlášení kybernetických bezpečnostních incidentů nebo podezření na ně dle § 8 ZoKB. Dokument bude podléhat akceptačnímu řízení, které bude trvat po dobu 10 pracovních dnů, nebude-li dohodnuto jinak;
b) na základě konkrétního zadání vytvoří do 3 měsíců dokument procesní postupy pro realizaci případných opatření požadovaných ze strany NÚKIB dle § 11 ZoKB. Dokument bude podléhat akceptačnímu řízení, které bude trvat po dobu 10 pracovních dnů, nebude-li dohodnuto jinak;
c) poskytne nezbytnou součinnost NÚKIB při kontrole v oblasti kybernetické bezpečnosti dle § 23 ZoKB.
4. Poskytovatel poskytne na výzvu objednatele plnění dle VoKB v tomto rozsahu:
a) do 90 pracovních dnů zajistí aktualizaci analýzy rizik podle § 5 VoKB ve spolupráci s objednatelem. Přitom zohlední výsledky poslední analýzy rizik a auditu systému provedené objednatelem.
b) po schválení analýzy rizik objednatelem zajistí poskytovatel do 30 pracovních dnů aktualizaci bezpečnostní dokumentace dle požadavků ZoKB na základě výsledků analýzy rizik aktuálního stavu, včetně doplnění rozpracovaných dokumentů. Objednatel poskytne v tomto nezbytnou součinnost.
c) poskytovatel na základě provedených změn informačního systému aktualizuje bezpečnostní dokumentaci, a to minimálně jednou ročně. Specifikace požadavků na bezpečnostní dokumentaci je uvedena v čl. 2 této přílohy.
5. Poskytovatel spolupracuje s objednatelem v následujících oblastech technických opatření požadovaných VoKB, která musí být navržena a implementována s ohledem na architekturu a technické provedení APV ASMKS:
a) bezpečnost komunikačních sítí dle § 18 VoKB,
b) správa a ověřování identit dle § 19 VoKB,
c) řízení přístupových oprávnění dle § 20 VoKB,
d) ochrana před škodlivým kódem dle § 21 VoKB,
e) zaznamenávání událostí APV ASMKS, jeho uživatelů a administrátorů dle § 22 VoKB,
f) detekce kybernetických bezpečnostních událostí dle § 23 VoKB,
g) sběr a vyhodnocování kybernetických bezpečnostních událostí dle §24 VoKB,
h) aplikační bezpečnost dle § 25 VoKB,
i) kryptografické prostředky dle § 26 VoKB,
j) zajišťování úrovně dostupnosti informací dle § 27 VoKB.
6. Poskytovatel je povinen na základě požadavku objednatele poskytnout součinnost auditorovi k provedení auditu kybernetické bezpečnosti dle § 16 VoKB, která spočívá v následujících činnostech:
a) poskytnutí dokumentace skutečného provedení instalace a případně další dokumentace související s provozováním APV ASMKS,
b) ověření postupů, procedur a nástrojů navržených auditorem za účelem minimalizace možných narušení bezpečnosti produkčního prostředí APV ASMKS,
c) poskytnutí součinnosti při prověrce konfigurací HW a SW,
d) poskytnutí součinnosti při provádění bezpečnostních a penetračních testů,
e) navržení způsobu řešení k odstranění případných zjištěných nedostatků.
Za audit kybernetické bezpečnosti je považován i audit provedený externím subjektem, který byl objednatelem pověřen k jeho provedení.
7. Objednatel seznámí poskytovatele písemně se všemi vnitřními bezpečnostními předpisy a normami vč. všech případných změn, k jejichž dodržování je poskytovatel dle smlouvy zavázán. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé a jejich pracovníci dodržovali uvedené požadavky v plném rozsahu.
8. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny.
9. Objednatel je oprávněn odstoupit od smlouvy (viz čl. 15 odst. 8 smlouvy), pokud dojde k významné změně ovládání poskytovatele nebo dojde ke změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění smlouvy a tato změna bude objednatelem vyhodnocena jako bezpečnostní riziko ve smyslu ZoKB a/nebo VoKB.
10. Poskytovatel je povinen chránit informace, které nejsou veřejně dostupné, zejména předanou dokumentaci, před jejich prozrazením a/nebo zpřístupněním neoprávněným osobám a dále použít získané informace výhradně pro účely plnění smlouvy.
11. Pracovníci poskytovatele, kteří budou samostatně přistupovat k informačním systémům a systémovému prostředí ČTÚ, se před nebo při prvním přístupu musí seznámit s bezpečnostními požadavky a svými povinnostmi vyplývajícími z vnitřních předpisů objednatele.
12. Poskytovatel a jeho pracovníci nesmí zejména:
a) obcházet stávající bezpečnostní mechanizmy informačních systémů objednatele;
b) sdělovat své přístupové údaje k systémům objednatele;
c) zaznamenávat heslo tak, aby mohlo být snadno identifikováno (týká se především zapisování do elektronických dokumentů, např. Notepad);
d) používat stejná hesla v systémech objednatele a pro přístup do dalších systémů a aplikací mimo systémy objednatele (např. soukromá e-mailová schránka, sociální sítě apod);
e) sdílet přístup k systémům objednatele (umožnit jinému pracovat pod uživatelovým oprávněním);
f) provádět akce požadované třetí osobou (instalace softwaru, návštěva webových stránek apod.) bez ověření oprávněnosti požadavku.
Specifikace požadavků na obsah bezpečnostní dokumentace
Bezpečnostní dokumentace bude minimálně obsahovat:
a) Vyhodnocení analýzy rizik a bezpečnostní požadavky řešení
- návrhovou část
- dokumentační a provozní část.
b) Bezpečnostní požadavky na vývojové a dokumentační prostředí.
c) Směrnici pro zálohování, obnovu a testování obnovy – strategie testování záloh, bude obsahovat popis procesu testování, a definici nezbytných realizovaných testů minimálně v rozsahu dle ZoKB.
d) Plán pro zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů dle § 4 odst. 2 písm. k) ZoKB – obsahuje vždy stanovení postupů, které jsou uplatněny v případě výskytu mimořádné události.
e) Plán obnovy dle § 4 odst. 2 písm. l) ZoKB – obsahuje strategie obnovy systémů, které je nutno realizovat pro
- zachování kritických činností poskytovatele v nejkratším možném čase,
- obnovu řádné funkce kritických systémů.
f) Podrobný a přesný popis řešení havárií, který bude zpracován v míře podrobnosti, použitelné pro zařazení do celkového plánu zotavení z havárie (Disaster Recovery Plan – DRP).
g) Penetrační testy – bezpečnostní testy shody s bezpečnostním návrhem. Podrobný a přesný popis navržených testovacích strategií. Testování musí proběhnout minimálně na úrovni požadavků ZoKB, OWASP (Open Web Application Security Project) a známých bezpečnostních hrozeb a útoků. Testování by měl provádět nezávislý bezpečnostní tester.
h) Auditní zprávy.
Bezpečnostní dokumentace bude vedena v českém jazyce a bude obsahovat přehled historie změn.