Smlouva o poskytování služeb
Smlouva o poskytování služeb
č. UKRUK/……/2023 (dále jen „Smlouva“)
Smluvní strany:
Univerzita Karlova
se sídlem: Xxxxxx xxx 000/0, 000 00 Xxxxx 0, zastoupená: Mgr. Xxxxxxxx Xxxxxxxx, kvestorem IČO: 00216208, DIČ: CZ00216208
bank. spojení: Česká spořitelna, a.s., pobočka v Praze 1, č. účtu: 909909339/0800 ID datové schránky: piyj9b4
(dále jen „Objednatel“)
a
<Účastník>
se sídlem: ...........................
registrovaný: ...........................
zastoupený: ...........................
IČO: ..........................., DIČ: ...........................
tel.: ...........................
bank. spojení: ..........................., a. s., č. účtu: ...........................
ID datové schránky: ………….
(dále jen „Poskytovatel“)
(dále společně jako „smluvní strany“)
uzavřely v souladu s ustanovením § 1746 odst. 2 a § 2586 an. zákona č. 89/2012 Sb., občanského zákoníku ve znění pozdějších předpisů (dále jen „občanský zákoník“), tuto Smlouvu takto:
1
1. Úvodní prohlášení
1.1. Univerzita Karlova (dále též „UK“), v souladu se zákonem č. 111/1998 Sb.,
o vysokých školách a o změně a doplnění dalších zákonů, v platném znění (zákon
o vysokých školách), jako Objednatel prohlašuje, že je oprávněna uzavřít a řádně plnit tuto Smlouvu a závazky v ní obsažené.
1.2. Společnost ........................... jako Poskytovatel prohlašuje, že je právnickou osobou řádně založenou a zapsanou podle českého právního řádu v obchodním rejstříku vedeném ........................... oddíl ............ vložka ..............., a že splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
V případě, že účastník je právnickou osobou, která se nezapisuje do obchodního rejstříku, nebo podnikající fyzickou osobou, nebo zahraničním Poskytovatelem, bude tento bod přiměřeně upraven.
1.3. Poskytovatel bere na vědomí, že plnění, které je předmětem této Smlouvy je realizováno v rámci projektu Objednatele s názvem „Digitalizace vzdělávací činnosti a studijních agend“, reg. č: NPO_UK_MSMT-16602/2022, A1 (dále jen „Projekt“). Projekt je realizován v rámci Národního plánu obnovy, jehož řídícím orgánem je Ministerstvo školství, mládeže a tělovýchovy České republiky (dále rovněž jen
„MŠMT“) a který je spolufinancován z Evropského fondu pro regionální rozvoj a ze státního rozpočtu České republiky. Poskytovatelem dotace je Česká republika prostřednictvím MŠMT. Z tohoto důvodu se na plnění této Smlouvy a na následnou kontrolu vztahují mimo Zákon i další právní předpisy (např. zák. č. 320/2001 Sb., o finanční kontrole ve veřejné správě, zák. č. 255/2012 Sb., o kontrole (dále jen „kontrolní řád“), ve znění pozdějších předpisů, a zák. č. 130/2002 Sb.
o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů) a Rozhodnutí MŠMT o poskytnutí dotace.
1.4. Poskytovatel prohlašuje, že on sám i jeho případný poddodavatel (poddodavatelé) není obchodní společností, ve které veřejný funkcionář uvedený v § 2 odst. 1 písm. c) zákona č. 159/2006 sb., o střetu zájmů nebo, jím ovládaná osoba, vlastní podíl představující alespoň 25% účasti společníka v obchodní společnosti. Poskytovatel prohlašuje, že se na nabízené plnění nevztahují sankce EU a že on ani jeho poddodavatel (poddodavatelé) není osobou, subjektem či orgánem uvedeným na sankčním seznamu EU, nebo osobu, subjektem či orgánem, na které se vztahuje zákaz zadat nebo dále plnit veřejnou zakázku (čl.5k Nařízení Rady (EU) č. 2022/576 ze dne 8.4.2022, kterým se mění Nařízení (EU) č. 833/2014, o omezujících opatřeních vzhledem k činnostem Ruska, destabilizujícím situaci na Ukrajině).
1.5. Poskytovatel prohlašuje, že:
a) předmět plnění odpovídá této Smlouvě, a že plnění provedené Poskytovatelem, bude mít náležité vlastnosti a odpovídající kvalitu,
b) zajistí v rámci plnění Smlouvy legální zaměstnávání osob a zajistí pracovníkům podílejícím se na splnění Smlouvy férové a důstojné pracovní podmínky. Férovými a důstojnými pracovními podmínkami se rozumí takové pracovní podmínky, které splňují alespoň minimální standardy stanovené pracovněprávními a mzdovými předpisy. Objednatel je oprávněn požadovat předložení dokladů, ze kterých dané povinnosti vyplývají a Poskytovatel je povinen je bez zbytečného odkladu objednateli předložit. Poskytovatel je povinen zajistit splnění požadavků tohoto ustanovení Smlouvy i u svých poddodavatelů. Nesplnění povinností Poskytovatele dle tohoto ustanovení Smlouvy se považuje za podstatné porušení Smlouvy.
c) zajistí řádné a včasné plnění finančních závazků svým poddodavatelům, kdy za řádné a včasné plnění se považuje plné uhrazení poddodavatelem vystavených faktur za plnění poskytnutá Poskytovateli ke splnění této Smlouvy, a to vždy nejpozději do
10 dnů od obdržení platby ze strany Objednatele za konkrétní plnění (pokud již splatnost poddodavatelem vystavené faktury nenastala dříve). Poskytovatel se zavazuje přenést totožnou povinnost do dalších úrovní dodavatelského řetězce a zavázat své poddodavatele k plnění a šíření této povinnosti též do nižších úrovní dodavatelského řetězce. Objednatel je oprávněn požadovat předložení dokladů o provedených platbách poddodavatelům a Smlouvy uzavřené mezi Poskytovatelem a poddodavateli a Poskytovatel je povinen je bezodkladně poskytnout. Nesplnění povinností Poskytovatelem dle tohoto ustanovení Smlouvy se považuje za podstatné porušení Smlouvy.
d) zajistí, aby byl při plnění této Smlouvy minimalizován dopad na životní prostředí, a to zejména tříděním odpadu, úsporou energií, a respektována udržitelnost či možnosti cirkulární ekonomiky.
2. Východiska a účel Smlouvy
2.1. Poskytovatel byl vybrán Objednatelem jakožto zadavatelem na základě výsledku zadávacího řízení podlimitní veřejné zakázky s názvem „RUK - ÚVT - Implementace a zprovoznění datového skladu UK“ (dále jen „veřejná zakázka“ nebo „zadávací řízení“) dle § 27 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, v platném znění (dále jen „ZZVZ“).
2.2. Nabídka Poskytovatele byla v souladu se ZZVZ vybrána jako nejvhodnější.
2.3. Účelem této Smlouvy je určit podmínky a rozsah služeb, které bude Poskytovatel pro Objednatele poskytovat.
2.4. Smluvní strany berou na vědomí, že bude mezi smluvními stranami ihned po podpisu této Smlouvy uzavřena taktéž Zpracovatelská smlouva vymezující podmínky ochrany osobních údajů, zpracovávaných Poskytovatelem v rámci plnění předmětu této Smlouvy (dále jen „Zpracovatelská smlouva“). K uzavření tohoto smluvního vztahu bude využita zpracovatelská smlouva, jež tvořila přílohu č. 5 zadávací dokumentace k veřejné zakázce.
3. Předmět a místo plnění;
3.1. Poskytovanými službami se pro účely této Smlouvy rozumí implementace a zprovoznění datového skladu UK (dále jako „předmět plnění“ nebo „software“), zahrnující zejména (nikoliv však výlučně) následující dílčí služby:
a) Předimplementační analýza a příprava prostředí
b) Implementace datového skladu
c) Plnění datového skladu daty ze studijního systému (oblasti: Studium, Uchazeči, Mobilita, Poplatky a stipendium)
d) Vývoj reportů
e) Konzultace zadavateli
f) Školení klíčových uživatelů
3.2. Podrobná specifikace předmětu plnění je uvedena v Příloze č.1 Smlouvy.
3.3. Objednatel se touto Smlouvou zavazuje poskytnout součinnost uvedenou v této Smlouvě a zavazuje se zaplatit Poskytovateli cenu podle této Smlouvy.
4. Závazky Poskytovatele
4.1. Poskytovatel zaručuje, že služby jím poskytované podle této Smlouvy budou na profesionální úrovni, v souladu s veškerými relevantními právními předpisy, technickými normami a standardy a také pokyny Objednatele.
4.2. Poskytovatel se zavazuje, že jeho pracovníci budou při plnění předmětu Xxxxxxx na pracovištích Objednatele dodržovat relevantní vnitřní předpisy a normy Objednatele za předpokladu, že s nimi byl Poskytovatel prokazatelně seznámen.
4.3. Poskytovatel odpovídá za časové a obsahové plnění této Smlouvy, pokud Objednatel včas splní své závazky dle článku 5.
4.4. Poskytovatel se zavazuje, že poskytne součinnost při kontrolách subjektům, které jsou oprávněny ke kontrole dotačních prostředků.
4.5. Poskytovatel je při plnění této Smlouvy povinen:
a) postupovat v souladu se zadávací dokumentací k veřejné zakázce a se svojí nabídkou, kterou podal v rámci zadávacího řízení, které předcházelo uzavření této Smlouvy;
b) dodržovat Bezpečnostní požadavky dle přílohy č. 2 této Smlouvy.
4.6. Poskytovatel se zavazuje udržovat v platnosti a účinnosti po celou dobu účinnosti této Smlouvy pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě (zejména Objednateli) a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy nesmí být nižší než 2 000 000 Kč (slovy: dva milióny korun českých). Objednatel si v průběhu platnosti této Smlouvy může kdykoli vyžádat prokázání splnění této povinnosti předložením pojistné smlouvy nebo pojistného certifikátu, přičemž Poskytovatel je v takovém případě povinen předložit doklady prokazující splnění této podmínky do pěti (5) kalendářních dnů od písemného vyžádání Objednatelem.
4.7. Poskytovatel se zavazuje, že bude po dobu záruky dle bodu 13.1. této Smlouvy Objednateli bezplatně řešit všechny poruchy nastalé při provozu předmětu plnění. Tato záruka se nevztahuje na provozní závady vzniklé z důvodu:
a) úprav technologické infrastruktury, které ovlivňují provoz předmětu plnění a nebyly schváleny Poskytovatelem nebo
b) úpravou předmětu plnění Objednatelem nebo třetí stranou po jejím uvedení do provozu, nejde-li o úpravu písemně schválenou Poskytovatelem.
4.8. Poskytovatel neodpovídá za poruchy způsobené třetí osobou nebo událostí, za kterou tato osoba odpovídá, nebo za poruchy způsobené okolnostmi vylučujícími odpovědnost podle § 2913 odst. 2 občanského zákoníku.
4.9. Poskytovatel může k částem plnění předmětu Smlouvy použít třetí strany (poddodavatele). V tomto případě je Poskytovatel:
a) povinen písemně sdělit Objednateli předem identifikační údaje každého poddodavatele a jeho úkoly dříve, než příslušný poddodavatel zahájí svou činnost,
b) odpovědný Objednateli za příslušnou část plnění a dodržování všech závazků uvedených výše v bodech 4.1. až 4.5. stejně, jako kdyby příslušnou část plnění zajišťoval sám.
5. Závazky Objednatele
5.1. Pro úspěšný průběh poskytování služeb dle této Smlouvy se Objednatel zavazuje k poskytnutí součinnosti podle zdůvodněných požadavků Poskytovatele. Součinnost Objednatele bude zahrnovat:
a) spolupráci na řízení prací, blíže specifikovanou v čl. 6. této Smlouvy,
b) vytvoření nezbytných organizačních a provozních podmínek na straně Objednatele,
c) umožnění konzultací s uživateli a správci software,
d) spolupráci při přípravě, provádění a vyhodnocení testů software,
e) organizační a technické zabezpečení školení uživatelů software a zajištění účasti uživatelů na tomto školení,
f) poskytnutí dokumentace rozhraní na relevantní externí systémy a přístupu k těmto systémům pro účely testování,
g) další součinnosti, na kterých se Objednatel a Poskytovatel písemně dohodnou.
5.2. Objednatel se zavazuje, že:
a) bez předchozího písemného souhlasu Poskytovatele nepostoupí nebo jinak nepřevede Smlouvu ani práva z ní vyplývající nebo nedeleguje své povinnosti anebo nepřeprodá žádnou službu, které se týká Smlouva, mimo Univerzitu Xxxxxxx,
b) poskytne Poskytovateli dostatečný a bezpečný přístup do prostor a k systémům Objednatele tak, aby Poskytovatel mohl plnit své povinnosti dle této Smlouvy.
5.3. Objednatel bude udržovat testovací prostředí předmětu plnění, do něhož bude instalován software dodaný Poskytovatelem pro účely akceptačních testů.
5.4. Objednatel je oprávněn k poskytnutí součinnosti dle bodu 5.1. využít třetí strany, s nimiž je ve smluvním vztahu. V případě využití třetí strany je Objednatel:
a) povinen písemně sdělit Poskytovateli předem identifikační údaje třetí strany a její úkoly dříve, než třetí strana zahájí svou činnost,
b) oprávněn předat této třetí straně důvěrné informace dle bodu 11.1. Smlouvy nezbytné pro poskytování součinnosti, je však povinen zakotvit povinnost utajení takto předaných důvěrných informací ve smlouvě uzavřené s touto třetí stranou.
6. Spolupráce Objednatele a Poskytovatele
6.2. Vedoucí týmu na straně Poskytovatele odpovídá za řízení činnosti případných poddodavatelů.
6.3. Vedoucí týmu na straně Objednatele odpovídá za řízení činnosti případných třetích stran, jejichž součinnost je nezbytná pro úspěšné plnění závazků Objednatele dle této Smlouvy.
6.4. Každá ze smluvních stran je oprávněna v případě nutnosti pověřit jinou osobu za svou smluvní stranu, aby v době nepřítomnosti zastupovala Vedoucí týmu ve výkonu jeho funkce.
6.5. Smluvní strany zajistí svým zástupcům dle bodu 6.1. dostatečné pravomoci pro výkon jejich činností.
6.6. Objednatel je oprávněn jmenování svého zástupce dle bodu 6.1. změnit, je však povinen o takové změně předem písemně informovat Xxxxxxxxxxxxx.
6.7. Poskytovatel je povinen zajistit, aby se na poskytování služeb dle této Xxxxxxx podíleli především pracovníci s odpovídající kvalifikací a odborností.
6.8. Změnu ve jmenování svého zástupce dle bodu 6.1. a pracovníků týmu dle bodu 6.7. je Poskytovatel oprávněn provést pouze po vzájemné písemné dohodě smluvních stran.
6.9. Objednatel si vyhrazuje právo zřizovat po dobu platnosti této Smlouvy podle potřeby organizační struktury projektu a v případech, kdy to bude nezbytné pro plnění závazků Poskytovatele vyplývajících z této Smlouvy, požadovat zastoupení Poskytovatele v těchto strukturách.
7. Komunikace mezi smluvními stranami
7.1. Smluvní strany spolu budou komunikovat:
a) písemně poštou nebo prostřednictvím datových schránek na adresy, resp. ID datových schránek, uvedené v záhlaví této Smlouvy,
b) elektronickou poštou mezi určenými zástupci,
c) osobně prostřednictvím určených zástupců,
d) prostřednictvím www-aplikace pro řízení a monitorování stavu zjištěných chyb a požadavků na opravy předmětu plnění.
7.2. Všechna oznámení mezi smluvními stranami, která se vztahují k této Smlouvě nebo která mají být učiněna na základě této Smlouvy, musí být učiněna v písemné podobě a druhé straně doručena buď osobně, nebo doporučeným dopisem či jinou formou doporučeného poštovního styku, není-li dohodnuto mezi smluvními stranami jinak.
7.3. Písemnost, která má být dle této Smlouvy doručena druhé straně (oznámení, výpověď, odstoupení od Xxxxxxx, reklamace vad apod.), je doručena dnem jejího převzetí Vedoucím týmu druhé smluvní strany nebo dnem, kdy byla doručena osobně nebo prostřednictvím držitele poštovní licence do sídla této smluvní strany, příp. xxxxxx xxxxxxxx.
7.4. Komunikace běžnou elektronickou poštou je považována za doručenou okamžikem potvrzení převzetí přijímající stranou.
7.5. Komunikace prostřednictvím www-aplikace dle bodu 7.1. písm. d) je považována v pracovní době za doručenou okamžikem uložení v této aplikaci, mimo pracovní dobu pak v 8:00 hod. prvního následujícího pracovního dne. Pracovní dobou se pro účely této Smlouvy rozumí doba od 8:00 do 17:00 hodin v pracovní dny.
7.6. Okruh osob, mezi nimiž bude probíhat komunikace související s plněním této Smlouvy, bude na straně Objednatele kromě Vedoucího týmu omezen na pracovníky Ústavu výpočetní techniky UK a na nejvýše dva (2) vyjmenované klíčové uživatele či správce předmětu plnění za každou jednotlivou fakultu a další součást UK.
8. Termín plnění a akceptační řízení
8.1. Poskytovatel se zavazuje zahájit poskytování služeb, které jsou předmětem této Smlouvy, ihned po nabytí účinnosti této Smlouvy. Předmět plnění musí dokončen a akceptován nejpozději do 29. 2. 2024.
8.2. Poskytovatel umožní Objednateli kontrolu provádění kvality prací a dodržování sjednaného termínu plnění.
8.3. Po dokončení předmětu plnění dle článku 3 této Smlouvy (či jeho dílčích částí dle Položkového rozpočtu uvedeného v Příloze č. 5 Smlouvy) vyzve Poskytovatel Objednatele k provedení akceptačního řízení. V rámci akceptačního řízení bude provedena kontrola předaného plnění – budou ověřeny poskytnuté služby a otestovány jednotlivé funkční součásti předmětu plnění. Objednatel je povinen provést akceptační řízení nejpozději do 10 kalendářních dnů od předání plnění ze strany Poskytovatele.
8.4. Z akceptačního řízení bude vyhotoven akceptační protokol, jenž bude obsahovat případné výhrady k plnění s vyznačením jejich závažností. Akceptační protokol může obsahovat 3 stavy:
a) Akceptováno bez výhrad. V případě, že Objednatel v průběhu kontroly nenalezne v předaném plnění žádné obsahové ani kvalitativní vady či nedodělky, uvede Objednatel do protokolu, že kontrolované plnění bylo akceptováno bez výhrad a zápis potvrdí svým podpisem.
b) Akceptováno s výhradami. V případě, že budou v průběhu kontroly shledány obsahové či kvalitativní vady nebo nedodělky, nebránící dalšímu pokračování prací a užití předmětu plnění, dohodnou se Objednatel a Poskytovatel na termínu, do kterého Poskytovatel tyto vady a nedodělky odstraní. Objednatel do protokolu uvede seznam vad nebo nedodělků s termíny jejich odstranění a obě strany zápis potvrdí svým podpisem. Po odstranění vad se kontrolní procedura opakuje.
c) Neakceptováno. V případě, že budou v průběhu této kontroly nalezeny takové vady a nedodělky, které by bránily v budoucím užití předmětu plnění, není předaná část plnění akceptována. Obě strany se dohodnou na termínech nové kontroly, do které tuto část Poskytovatel opraví. Do protokolu se uvede, že předané plnění nebylo akceptováno. Po přepracování části předmětu plnění, která nebyla akceptována, vyzve Objednatel Poskytovatele k provedení nové kontroly.
8.5. Veškeré zjištěné nedostatky, nedodělky a vady budou Poskytovateli kdykoliv po jejich zjištění oznámeny Objednatelem (dále jen „Oznámení o nedodělcích a vadách"). Veškeré nedostatky, nedodělky a vady musejí být Poskytovatelem odstraněny bez zbytečného odkladu po doručení písemného Oznámení o nedodělcích a vadách.
8.6. K předání a převzetí předmětu této Smlouvy dochází dnem podpisu akceptačního protokolu oprávněnými zástupci obou Smluvních stran. Tímto okamžikem rovněž dochází k přechodu nebezpečí škody z Poskytovatele na Objednatele.
8.7. Podpis akceptačního protokolu je podmínkou pro vznik oprávnění Poskytovatele vystavit fakturu za poskytnutí plnění podle Smlouvy.
8.8. Vlastnické právo k výsledku plnění a předmětu plnění nabývá Objednatel dnem uhrazení odměny dle článku 9 této Smlouvy na účet Poskytovatele
9. Cenové a platební podmínky
9.1. Objednatel se zavazuje poskytnout Poskytovateli za služby specifikované v článku 3 této Smlouvy celkovou odměnu uvedenou v Příloze č. 5 Smlouvy.
9.2. Položkový rozpočet za služby, které jsou předmětem této Smlouvy, je uveden v příloze č. 5 této Smlouvy.
9.3. Ceny za služby dle této Smlouvy zahrnují i odměnu za poskytnutou licenci, pokud je Objednateli poskytnuta v souvislosti s poskytnutou službou dle této Smlouvy.
9.4. Poskytovatel je oprávněn fakturovat dílčí plnění dle Položkového rozpočtu uvedeného v Příloze č. 5 Smlouvy, po jejich řádném dokončení a akceptaci, tj. po podpisu dílčích akceptačních protokolů bez výhrad.
9.5. Datum uskutečnění zdanitelného plnění jako dílčího plnění dle této Smlouvy je stanoveno vždy datum podpisu příslušného akceptačního protokolu.
9.6. Daňové doklady-faktury budou vystaveny vždy do deseti (10) kalendářních dnů po uskutečnění zdanitelného plnění.
9.7. Každá faktura vystavená Poskytovatelem dle této Smlouvy bude vystavena jako daňový doklad se zúčtováním DPH podle předpisů platných k datu zdanitelného plnění a musí mít náležitosti stanovené příslušnými právními předpisy pro daňový doklad. Splatnost faktury bude třicet (30) kalendářních dnů od prokazatelného doručení faktury Objednateli. Dnem uhrazení faktury je den, kdy byla příslušná částka odepsána z účtu Objednatele.
9.8. Faktura Poskytovatele musí být vystavena v souladu s touto Smlouvou a musí mít náležitosti daňového dokladu dle zákona č. 235/2004 Sb., ve znění pozdějších předpisů, zejména:
a) evidenční číslo daňového dokladu,
b) název a sídlo Objednatele a Poskytovatele,
c) číslo Smlouvy a den jejího uzavření,
d) název projektu: Transformace pro VŠ na UK, registrační číslo: NPO_UK_MSMT- 16602/2022, SC A1,
e) datum vystavení daňového dokladu a datum uskutečnění zdanitelného plnění,
f) označení banky a číslo účtu, na který má být zaplaceno a který je registrován u příslušného správce daně a je zveřejněn způsobem umožňujícím dálkový přístup ve smyslu zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění,
g) předmět plnění (příp. dílčí předmět plnění),
h) cenu bez daně, sazbu daně a její výše, pokud nejde o plnění dle ust. § 92e zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění,
i) číselný kód klasifikace CZ – CPA, a v případě plnění dle ust. § 92e zákona o DPH poznámku „daň odvede zákazník“,
j) IČO a DIČ Poskytovatele a Objednatele,
k) příloha faktury - akceptační protokol potvrzený oprávněnými osobami smluvních stran.
9.9. Objednatel se zavazuje proplatit v termínu každou fakturu vystavenou Poskytovatelem v souladu s ustanovením bodu 9.4. této Smlouvy. Nesprávně nebo neúplně vyplněnou fakturu je Objednatel oprávněn vrátit Poskytovateli k opravě, po tuto dobu neběží doba splatnosti faktury. Po prokazatelném doručení bezchybné faktury Objednateli počíná běžet nová lhůta splatnosti.
9.10. V případě, že se Poskytovatel stane nespolehlivým plátcem ve smyslu § 106a zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění, je povinen o tom neprodleně písemně informovat Objednatele. Bude-li Poskytovatel ke dni uskutečnění zdanitelného plnění veden jako nespolehlivý plátce, bude část ceny za služby dle této Smlouvy odpovídající dani z přidané hodnoty uhrazena přímo na účet správce daně v souladu s ust. § 109a zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění. O tuto částku bude ponížena celková cena a Poskytovatel obdrží cenu dle této Smlouvy bez DPH. V případě, že se Poskytovatel stane nespolehlivým plátcem ve smyslu tohoto bodu, má Objednatel současně právo od této Smlouvy odstoupit.
10. Sankce
10.1. Nedodrží-li Objednatel splatnost faktury, je Poskytovatel oprávněn požadovat úhradu úroku z prodlení. Výše úroku z prodlení odpovídá výši 0,05 % fakturované částky za každý den prodlení.
10.2. Nedodrží-li Poskytovatel termín plnění dle bodu 8.1. této Smlouvy, je Objednatel oprávněn požadovat úhradu smluvní pokuty. Výše smluvní pokuty odpovídá 0,05 % z odměny dle bodu 9.1. této Smlouvy, a to za každý den prodlení.
10.3. V případě porušení ochrany a utajení informací vyplývajících z článku 11 této Smlouvy má druhá Smluvní strana právo účtovat smluvní pokutu ve výši 100 000 Kč za každý jednotlivý případ porušení.
10.4. Smluvní strany sjednávají, že výši smluvních pokut uvedených v této Smlouvě považují za přiměřenou. Smluvní strany sjednávají, že vylučují ust. § 2050 občanského zákoníku pro právní vztahy vzniklé dle této Smlouvy nebo na jejím základě nebo v souvislosti s ní.
10.5. Náhrada újmy, výslovně neupravená touto Smlouvou, se řídí platnými ustanoveními zákona č. 89/2012 Sb., občanský zákoník, v platném znění.
10.6. Poskytovatel neodpovídá za újmu, která vznikla tím, že od Objednatele obdržel nevhodné podklady, informace a data a pokud by došlo k prodlení ze strany Objednatele.
10.7. Splatnost smluvních pokut je stanovena na třicet (30) kalendářních dnů od doručení nároku na její uhrazení.
11. Ochrana a utajení informací
11.1. Za důvěrné informace se bez ohledu na formu jejich zachycení považují takové informace týkající se této Smlouvy a jejího plnění, které jsou jako důvěrné výslovně některou ze smluvních stran označeny.
11.2. Pro nakládání s osobními údaji, s nimiž Poskytovatel přijde do styku v průběhu plnění, a pro ochranu těchto údajů při jejich zpracování platí v plném rozsahu ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů a ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
11.3. Smluvní strany jsou povinny zajistit utajení získaných důvěrných informací způsobem obvyklým pro utajování takových informací, není-li dále v tomto článku výslovně sjednáno jinak. Zavazují se tímto, že podniknou všechny kroky k zabezpečení těchto informací.
11.4. Povinnost oboustranného utajení důvěrných informací platí bez ohledu na ukončení účinnosti této Smlouvy.
11.5. Smluvní strany mají právo požadovat navzájem doložení dostatečnosti utajení důvěrných informací.
11.6. Smluvní strany jsou povinny respektovat veškerá práva a oprávněné zájmy druhé smluvní strany a jeho obchodní značky a ochranné známky.
11.7. Žádné ustanovení této Smlouvy nebrání žádné ze smluvních stran v poskytnutí informací třetí straně či ve zveřejnění informací, pokud povinnost poskytnutí těchto informací vyplývá z platných právních předpisů.
12. Duševní vlastnictví, práva třetích osob
12.1. Objednatel nabývá dnem zaplacení ceny dle článku 9 této Smlouvy časově neomezené právo (licenci) užít předmět plnění a jeho dokumentaci ke všem způsobům užití. Práva Objednatele vyplývající z udělené licence trvají i po ukončení účinnosti této Smlouvy.
12.2. Poskytovatel se zavazuje předat Objednateli na základě vyžádání Objednatele uživatelskou dokumentaci a dokumentované postupy k nastavení předmětu plnění. Uživatelskou dokumentací dle tohoto bodu se rozumí referenční příručka pro správce a uživatele aplikace a popis pracovních postupů při práci s předmětem plnění pro jednotlivé kategorie jeho uživatelů.
12.3. Poskytovatel se zavazuje odškodnit Objednatele za všechny důvodné a přiměřené nároky třetích osob z titulu porušení jejich chráněných práv souvisejících s plněním Poskytovatele podle této Smlouvy, pokud Objednatel:
a) oznámí Poskytovateli bez zbytečného odkladu písemně a uceleně uplatnění jakéhokoliv podobného nároku třetích osob,
b) neuzná sám předmětný nárok,
c) zplnomocní Poskytovatele k vypořádání takového nároku soudní nebo mimosoudní cestou,
d) neučiní bez předchozí konzultace s Poskytovatelem jakékoliv právní úkony ve věci předmětných nároků.
13. Záruky
13.1. Poskytovatel poskytuje na předmět plnění této Smlouvy záruku v délce 24 měsíců.
13.2. Poskytovatel zaručuje, že každá služba, kterou Poskytovatel poskytuje, bude provedena s vynaložením přiměřené péče, znalostí a dovedností a bude odpovídat aktuálnímu popisu příslušné služby (včetně kritérií plnění) obsaženému v této Smlouvě, jejích přílohách nebo jiném příslušném dokumentu.
14. Odpovědnost za škodu
14.1. Uplatněním sankce podle čl. 10. této Smlouvy není dotčeno právo poškozené smluvní strany na náhradu škody způsobené porušením povinnosti sankcionované smluvní pokutou, a to i ve výši přesahující tuto smluvní pokutu.
14.2. Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu na vzniklé okolnosti vylučující odpovědnost a bránící řádnému plnění této Smlouvy. Smluvní strany se dále zavazují k vyvinutí maximálního úsilí k odvrácení a překonání okolností vylučujících odpovědnost.
14.3. Poskytovatel odpovídá za škody na zdraví (včetně usmrcení) a škody na nemovitém a movitém majetku v plné výši.
14.4. Poskytovatel odpovídá za jinou skutečnou škodu než výše uvedenou (viz bod 14.3.), která může vzniknout v rámci plnění Poskytovatele podle této Smlouvy, a to až do výše 2.000.000,- Kč (slovy dva miliony korun českých). Tato výše je považována za maximální výši škody, kterou Poskytovatel předvídá, nebo které si je vědom, jako možného důsledku porušení svých povinností podle této Smlouvy.
14.5. Za žádných okolností nebude Poskytovatel odpovědný za ztrátu nebo škodu na záznamech či datech Objednatele nebo vadnost těchto záznamů či dat, které prokazatelně nebyly způsobeny vadou dodávky Poskytovatele, a za případné následné škody či újmy takto vzniklé.
15. Řešení sporů
15.1. Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou a k jejich
vyřešení zejména prostřednictvím jednání určených zástupců dle bodu 6.1. této Smlouvy.
15.2. Jestliže se spory nepodaří vyřešit smírnou cestou, může každá ze stran postoupit spor nejvyšším představitelům smluvních stran. Nejvyšší představitelé se pokusí vyřešit spor smírnou cestou. Případný soudní spor bude řešen věcně a místně příslušným soudem. Rozhodčí řízení se nepřipouští.
16. Platnost a účinnost Smlouvy
16.1. Tato Smlouva nabývá platnosti dnem podpisu oprávněnými zástupci obou smluvních stran, přičemž platí datum pozdějšího podpisu a účinnosti dnem registrace Smlouvy v registru smluv dle bodu 17.8. této Smlouvy.
16.2. Tato Xxxxxxx se uzavírá na dobu určitou, do 29. 2. 2024.
16.3. Tato Smlouva pozbývá platnosti a účinnosti, nebude-li mezi smluvními stranami uzavřena Zpracovatelská smlouva dle bodu 2.4. této Smlouvy nejpozději do třiceti (30) kalendářních dnů od uzavření této Smlouvy.
16.4. Objednatel i Poskytovatel jsou oprávněni odstoupit od této Smlouvy v plném rozsahu v případě porušení některého bodu této Smlouvy druhou smluvní stranou, pokud na toto porušení písemně upozorní a druhá smluvní strana do čtrnácti (14) kalendářních dnů uspokojivě nevysvětlí vzniklou nesrovnalost nebo ji neodstraní. Účinnost Smlouvy je v tomto případě ukončena okamžikem prokazatelného doručení písemného sdělení o odstoupení od Smlouvy druhé smluvní straně.
16.5. Obě smluvní strany jsou oprávněny ukončit Smlouvu písemnou výpovědí druhé smluvní straně bez udání důvodu nebo dohodou obou smluvních stran. V případě jednostranné výpovědi činí výpovědní lhůta jeden (1) měsíc. Výpovědní doba začne běžet prvním dnem měsíce následujícího po měsíci, v němž byla písemná výpověď doručena druhé smluvní straně.
16.6. Ukončením účinnosti této Smlouvy nejsou dotčena ustanovení týkající se ochrany informací (viz čl. 11.), ochrany práv Objednatele (viz čl. 12.), záruky (viz čl. 13.), řešení sporů ani splatné závazky smluvních stran.
16.7. V případě odstoupení od Xxxxxxx jednou smluvní stranou dle bodu 16.3. nebo 16.4. se obě smluvní strany zavazují vyvinout maximální úsilí k dosažení dohody na vzájemném vyrovnání. Tímto ustanovením nejsou dotčena ustanovení týkající se sankcí (viz čl. 10.) ani odpovědnosti za škodu (viz čl. 14.).
16.8. Tato Smlouva se ruší, odstoupí-li kterákoliv ze smluvních stran od Zpracovatelské smlouvy či zanikne-li Zpracovatelská smlouva z jakéhokoliv důvodu, a nedojde k uzavření nové Zpracovatelské smlouvy nejpozději do třiceti (30) kalendářních dnů od ukončení účinnosti původní Zpracovatelské smlouvy.
17. Závěrečná ustanovení
17.1. Výkon práv a povinností plynoucích z této Smlouvy se řídí příslušnými ustanoveními občanského zákoníku a dále autorským zákonem č. 121/2000 Sb., v platném znění.
17.2. Bude-li některé z ustanovení této Smlouvy shledáno jako neplatné nebo nevymahatelné, nemá taková skutečnost vliv na platnost nebo vymahatelnost zbývajících ustanovení této Smlouvy.
17.3. Jestliže smluvní strana v případě neplnění či porušení této Smlouvy neuplatní všechna svá práva v takovém případě jí náležející, nelze takové jednání v žádném případě
vykládat jako vzdání se takových práv pro případ jiného či následného neplnění či porušení sjednaných smluvních povinností.
17.4. Žádná smluvní strana není odpovědná druhé smluvní straně za vynaložení nákladů, rizika nebo za závazky vyplývající z činnosti této smluvní strany v souvislosti s předmětem plnění. Každá ze smluvních stran bude jednat jako nezávislý právní subjekt, nikoliv jako zmocněnec druhé smluvní strany.
17.5. Smlouvu lze měnit pouze oboustranně odsouhlasenými číslovanými dodatky podepsanými oběma smluvními stranami. Žádný jiný protokol, dokument, obvyklá praxe nebo zvyk nebudou považovány za dodatek ke Smlouvě nebo za její pozměnění.
17.6. Obě smluvní strany souhlasí, že:
a) na základě této Smlouvy neuděluje žádná strana druhé smluvní straně právo užívat její ochranné známky či jiná označení (včetně ochranných známek či označení v rámci podniku) pro účely propagace nebo publikování, není-li to oběma smluvními stranami předem písemně dohodnuto;
b) obě smluvní strany jsou oprávněny uzavírat obdobné smlouvy s třetími stranami, za předpokladu, že uzavřením nebo plněním takové smlouvy nebude jakkoliv dotčeno plnění dle této Smlouvy;
c) žádná ze smluvních stran neodpovídá za nesplnění svých závazků, pokud k takovému nesplnění došlo z důvodů okolností vylučujících odpovědnost podle
§ 2913 odst. 2 občanského zákoníku.
17.7. Poskytovatel se zavazuje neuzavírat smlouvy týkající se předmětu plnění anebo služeb dle této Smlouvy týkající se fakult nebo dalších součástí UK bez předchozí dohody se zástupcem Objednatele dle bodu 6.1. Smlouvy.
17.8. Smluvní strany berou na vědomí, že tato Xxxxxxx vyžaduje uveřejnění v registru smluv podle zákona č. 340/2015 Sb., ve znění pozdějších předpisů, a s tímto uveřejněním souhlasí. Zaslání Xxxxxxx do registru smluv zajistí Objednatel neprodleně po podpisu Xxxxxxx. Smluvní stany se dohodly, že v rámci smluvního jednání dojde před zveřejněním Smlouvy k dohodě o anonymizaci těch údajů Smlouvy, které nelze zveřejnit postupem dle zákona č. 340/2015 Sb., protože jejich zveřejněním by došlo k porušení jiných právních předpisů. Objednatel se současně zavazuje informovat druhou smluvní stranu o provedení registrace tak, že zašle druhé smluvní straně kopii potvrzení správce registru smluv o uveřejnění Smlouvy bez zbytečného odkladu poté, kdy sám potvrzení obdrží, popř. již v průvodním formuláři vyplní příslušnou kolonku s ID datové schránky druhé smluvní strany (v takovém případě potvrzení od správce registru smluv o provedení registrace Xxxxxxx obdrží obě smluvní strany zároveň).
17.9. Nedílnou součástí této Smlouvy jsou následující přílohy:
a) Příloha č. 1 - Specifikace a rozsah předmětu plnění
b) Příloha č. 2 - Bezpečnostní požadavky
c) Příloha č. 3 - Seznam oprávněných osob
d) Příloha č. 4 - Položkový rozpočet.
17.10. Tato Smlouva je uzavřena elektronicky, a to tak, že je opatřena uznávanými elektronickými podpisy oprávněných zástupců smluvních stran (dle § 6 odst. 2 zák. č. 297/2016 Sb., ve znění pozdějších předpisů).
Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.
Za ........................... V ........................... dne ........................... | Za Univerzitu Karlovu V Praze dne |
....................................................................... ........................... | .......................................................................... Xxx. Xxxxxx Xxxxxxx kvestor |
Příloha č. 1 – Specifikace a popis předmětu plnění
Tato příloha vznikne s využitím Přílohy 1 ZD
Příloha č. 2 – Bezpečnostní požadavky
Článek 1 Úvod
1. Tento dokument popisuje bezpečnostní požadavky kladené na Poskytovatele v rámci realizace veřejné zakázky „RUK - ÚVT - Implementace a zprovoznění datového skladu UK“, zejména pro naplnění požadavků vyplývajících pro Poskytovatele ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“), a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti (dále jen „VyKB“).
2. Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl naplněn účel právní úpravy oblasti bezpečnostních opatření kybernetické bezpečnosti ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle ZoKB. V takovém případě je Objednatel oprávněn požadovat od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této příloze, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.
Článek 2 Bezpečnostní požadavky
2.1. Účel
1. Tento dokument stanoví způsoby a úrovně realizace bezpečnostních opatření pro Poskytovatele a určuje vzájemný vztah odpovědnosti za zavedení a kontrolu bezpečnostních opatření mezi Objednatelem a Poskytovatelem. Požadavky na Poskytovatele jsou definovány dle platné právní úpravy, především pak dle ZoKB, VyKB.
2. Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků ZoKB, VyKB, či souvisejících právních předpisů z oblasti bezpečnosti informací, uzavřou bez zbytečného odkladu po výzvě kterékoli smluvní strany písemný dodatek Smlouvy zohledňující takové požadavky.
2.2. Obecné požadavky
1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje plnit následující povinnosti:
a) postupovat v souladu s účinnými právními předpisy, zejména pak požadavky vyplývajícími pro Poskytovatele, jakožto budoucího významného Poskytovatele provozovatele základní služby, ze ZoKB, VyKB a reflektovat případné novely dotčených právních předpisů či novou právní úpravu;
b) dodržovat příslušná ustanovení bezpečnostních politik, metodik a postupů předaných Poskytovateli Objednatelem, resp. platné řídící dokumentace Objednatele či její části anebo platné řídící dokumentace, k jejímuž dodržování se Objednatel zavázal, pokud byl Poskytovatel s takovými dokumenty nebo jejich částmi seznámen, a to bez ohledu na způsob, jakým byl s takovou dokumentací Objednatele seznámen (např. školením, protokolárním předáním příslušné dokumentace poskytovateli, elektronickým
předáním prostřednictvím e-mailu, zřízením přístupu Poskytovateli na sdílené úložiště aj.);
c) rozvíjet bezpečnostní povědomí svých zaměstnanců a příp. dalších osob, které se podílejí na plnění Smlouvy a průběžně je seznamovat s prováděnými nebo plánovanými změnami. Zaměstnanci a další osoby na straně Poskytovatele podílející se na plnění Smlouvy musí být prokazatelně seznámeni s platnými předpisy a bezpečnostními požadavky Objednatele, a to ještě před zahájením jakékoli činnosti ze strany těchto osob pro Objednatele v souvislosti s plněním této Smlouvy;
d) zaznamenávat podstatné okolnosti související s poskytovaným předmětem plnění dle Smlouvy (technické záznamy, organizační záznamy o školení, pověření apod.) a informovat o nich Objednatele;
e) přidělovat svým jednotlivým pracovníkům zaměstnancům oprávnění k výkonu činností a přísně při tom dodržovat bezpečnostní zásadu tzv. „potřeba vědět“ (need-to-know principle), tedy zejména dbát o to, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele;
f) průběžně dokumentovat, kontrolovat a vyhodnocovat oprávněnost přístupu, jak fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují k předmětu plnění dle této Smlouvy;
g) průběžně detekovat technické zranitelnosti a konfigurační nesoulady předmětu plnění Smlouvy a o zjištěných skutečnostech bez zbytečného odkladu informovat Objednatele. Detekované technické zranitelnosti musí být vyhodnoceny s ohledem na související riziko a musí podle povahy předmětu plnění dojít k nápravným opatřením ze strany Poskytovatele. Nápravná opatření musí být schválena Objednatelem;
h) realizovat bezpečnostní opatření pro ochranu dat souvisejících s plněním předmětu Smlouvy.
2.3. Bezpečnost informací
1. Poskytovatel je povinen zajistit utajení získaných důvěrných informací objednatele způsobem obvyklým pro utajování takových informací, není-li výslovně sjednáno jinak. Tato povinnost platí bez ohledu na ukončení účinnosti této smlouvy. Poskytovatel je povinen zajistit utajení důvěrných informací i u svých zaměstnanců, zástupců, jakož i jiných spolupracujících třetích stran, pokud jim takové informace byly poskytnuty.
2. Právo užívat, poskytovat a zpřístupnit důvěrné informace má Poskytovatel pouze v rozsahu a za podmínek nezbytných pro řádné plnění práv a povinností vyplývajících z této Smlouvy.
3. Za důvěrné informace se bez ohledu na formu jejich zachycení považují veškeré informace, které nebyly Objednatelem označeny jako veřejné a které se týkají této Smlouvy a jejího plnění (zejména informace o právech a povinnostech smluvních stran jakož i informace o cenách), které se týkají Objednatele, jeho smluvních partnerů, pacientů, obchodní tajemství, anebo informace pro nakládání, s nimiž je stanoven právními předpisy zvláštní režim utajení. Dále se považují za důvěrné informace takové informace, které jsou jako důvěrné výslovně Objednatelem označeny.
4. Za důvěrné informace se v žádném případě nepovažují informace, které se staly veřejně přístupnými, pokud se tak nestalo porušením povinnosti jejich ochrany, dále informace získané na základě postupu nezávislého na této Smlouvě a informace poskytnuté třetí osobou, která takové informace nezískala porušením povinnosti jejich ochrany.
5. Poskytovatel je povinen zajistit bezpečnost informací z pohledu dostupnosti. Informace se z pohledu dostupnosti považují za bezpečné, jestliže jsou dostupné autorizovaným uživatelům v době, kdy jsou potřeba.
6. Poskytovatel je povinen zajistit bezpečnost informací z pohledu integrity. Informace se z pohledu integrity považují za bezpečné, jestliže je zaručena jejich správnost, bezchybnost a jsou vyloučeny jejich neautorizované změny.
2.4. Oprávnění užívat data
1. Poskytovatel je při poskytování plnění pro Objednatele oprávněn užívat informace předaná Poskytovateli Objednatelem za účelem plnění předmětu Smlouvy, avšak vždy pouze v rozsahu nezbytném ke splnění předmětu Smlouvy.
2. Poskytovatel se při poskytování plnění pro Objednatele zavazuje nakládat s informacemi pouze v souladu se Smlouvou a příslušnými právními předpisy, zejména XxXX, XxXX a dalšími souvisejícími právními předpisy.
2.5. Řetězení a řízení Poskytovatelů
1. Poskytovatel nezapojí do poskytování plnění dle této Smlouvy žádného dalšího poddodavatele bez předchozího konkrétního nebo obecného písemného povolení Objednatele.
2. Poskytovatel se zavazuje, že se bude řídit požadavky Objednatele na řízení bezpečnosti informací a poskytne Objednateli veškerou nezbytnou součinnost v otázkách řízení bezpečnosti informací a pokud využívá při poskytování plnění poddodavatele, zajistí, že bude Objednateli poskytnuta veškerá nezbytná součinnost v otázkách řízení bezpečnosti informací také od těchto poddodavatelů.
3. Poskytovatel je povinen předat Objednateli kontaktní údaje všech osob dodávajících systémovou a technickou podporu pro řešení.
4. Pokud Poskytovatel využívá při poskytování plnění poddodavatele, zavazuje se, že budou dodržovat bezpečnostní požadavky vč. požadavků na ochranu osobních údajů vyplývající z této Smlouvy.
5. Poskytovatel se zavazuje bezodkladně doložit Objednateli na základě jeho výzvy smluvní dokumenty se svými poddodavateli, ze kterých bude vyplývat závazek poddodavatele poskytovat plnění v souladu s bezpečnostními požadavky vyplývajícími z této Smlouvy.
6. Poskytovatel odpovídá za to, že jeho poddodavatelé nebudou jednat v rozporu s bezpečnostními požadavky vyplývajícími z této Smlouvy.
2.6. Řízení změn
1. Poskytovatel se zavazuje provést hodnocení dopadů Objednatelem navrhovaných změn na termíny a cenu předmětu plnění Smlouvy. Pokud by však takovéto hodnocení vyžadovalo dodatečné náklady anebo by nepříznivě ovlivnilo pracovní vytížení zaměstnanců nebo využití jiných prostředků určených k provádění předmětu plnění, Poskytovatel tuto skutečnost oznámí Objednateli a hodnocení provede pouze na základě písemného pověření Objednatelem. V takovém případě bude hodnocení hrazeno podle stráveného času v sazbách platných v době hodnocení.
2. Poskytovatel u významných změn dokumentuje jejich řízení, provádí analýzu rizik, přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami, aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci, zajistí testování informačního systému a zajistí možnost navrácení do původního stavu.
3. Poskytovatel má povinnost informovat Objednatele o výsledcích řízení změn, které mají dopady na plnění předmětu Smlouvy ze strany Poskytovatele.
4. Poskytovatel má povinnost přijmout účinná opatření ke snížení nepříznivých dopadů v souladu s výsledky řízení změn
5. Poskytovatel se zavazuje poskytnout Objednateli veškerou nezbytnou součinnost při analýze souvisejících rizik, přijímání opatření za účelem snížení všech nepříznivých dopadů spojených se změnami, aktualizaci bezpečnostní dokumentace, souvisejícím testováním a zajištění možnosti navrácení do původního stavu.
6. V případě realizace penetračního testování nebo testování zranitelnosti řešení poskytne Poskytovatel Objednateli veškerou potřebnou součinnost.
2.7. Akvizice, vývoj a údržba
1. Poskytovatel se zavazuje v rozsahu plnění na své straně zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.
2. Poskytovatel se zavazuje předat Objednateli dokumentaci předmětu plnění obsahující zejména:
a) dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů;
b) dokumentaci obsahující popis autorizačního konceptu a oprávnění;
c) dokumentaci obsahující instalační a konfigurační postupy.
3. V případě, že předmět plnění zahrnuje vývoj software, zavazuje se Poskytovatel:
a) dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru definované na základě smluvního vztahu, nebo dodaného Objednatelem;
b) na vyžádání umožnit Objednateli provedení auditu prováděného nebo provedeného plnění, předložit Objednateli vyvíjený kód SW;
c) poskytnout Objednateli v termínech stanovených Objednatelem, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje SW či kdykoli po jeho předání;
d) zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně ve Smlouvě (např. že SW nebude obsahovat žádné nepotřebné komponenty, programové vzorky apod.);
e) pokud je součástí plnění i instalace operačního systému případně SW třetích stran, zajistit v průběhu jeho instalace, že budou použity předepsané verze těchto produktů kompatibilní a funkční v IT prostředí Objednatele;
f) zajistit bezpečnost testovacího prostředí u Poskytovatele a ochranu poskytnutých testovacích dat Objednatelem;
g) zajistit, že do produkčního prostředí Objednatele bude dodán jen předmětem Smlouvy specifikovaná kompilovaný, resp. spustitelný kód a další nezbytná data pro provozování předmětu plnění;
h) instalovat SW pouze na základě Objednatelem předem schválených migračních postupů;
i) předat zdrojový kód Objednateli bezpečnou formou zajišťující jeho integritu;
j) zajistit řízení verzí zdrojového kódu;
k) zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí;
l) nevyvíjet, nekompilovat a nešířit v IT prostředí Objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.
2.8. Zvládání kybernetických bezpečnostních událostí a incidentů
1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje v rozsahu poskytovaných služeb dle Smlouvy, že:
a) stanoví činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních událostí a incidentů, podle takto stanovených a popsaných pravidel bude postupovat, a bude hlásit všechny bezpečnostní události a incidenty neprodleně po jejich detekci Objednateli prostřednictvím ohlašovacích kanálů na osobu odpovědnou za kybernetickou bezpečnost, v případech, kdy situace nestrpí odklad telefonicky.
b) nastavená pravidla pro zvládání bezpečnostních incidentů budou respektovat požadavek na legalitu zajištění stop, tj. jejich původ a oprávněnost jejich získaní musí být v souladu s platnými zákony a standardy tak, aby bylo možné jejich následné využití v rámci forenzní analýzy a eventuální použití jako důkazní materiál;
c) navrhne řešení tak, aby byl systém detekce a zvládání bezpečnostních událostí a incidentů začleněn do procesů a systémů a realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti;
d) provede analýzu příčin bezpečnostního incidentu a navrhne opatření s cílem zamezit jeho opakování v případě, že Poskytovatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.
2.9. Informační povinnost a povinnosti při výměně informací
1. Poskytovatel se během poskytování plnění pro Objednatele zavazuje Objednatele informovat o:
a) způsobu řízení rizik, zbytkových rizicích souvisejících s plněním Smlouvy a bez zbytečného odkladu také o změnách ve způsobu řízení rizik;
b) změně vlastnictví zásadních aktiv, využívaných Poskytovatelem k plnění Smlouvy, a změně oprávnění nakládat s těmito aktivy, a to nejpozději do tří pracovních dnů po uskutečnění této změny.
2. Poskytovatel se během poskytování plnění pro Objednatele zavazuje dostatečně zabezpečit veškerý přenos dat a informací z pohledu bezpečnostních požadavků na jejich důvěrnost, integritu a dostupnost.
2.10. Řízení kontinuity činností
1. Objednatel má oprávnění zapojit Poskytovatele do řízení kontinuity činností, a to zejména oprávnění k zahrnutí Poskytovatele do plánu kontinuity činností, který souvisí s informačním systémem a souvisejících služeb a/nebo zahrnutí Poskytovatele do Plánu obnovy (DRP) Objednatele. Objednatel má oprávnění požadovat po Poskytovateli zpracování Plánů obnovy (DRP) disaster recovery postupů.
2. Objednatel má povinnost informovat Poskytovatele o způsobu zapojení do řízení kontinuity činností.
2.11. Bezpečnost lidských zdrojů
1. Poskytovatel zajistí poučení všech svých zaměstnanců podílejících se na dodávce o bezpečnostních pravidlech uvedených v těchto Bezpečnostních požadavcích, jež se musí v průběhu dodávky dodržovat a zajistí jejich dodržování nasazením kontrolních
a vynucovacích mechanismů. Rozsah poučení podléhá schválení Objednatele osobou určenou za kybernetickou bezpečnost.
2. Poskytovatel se zaváže zajistit dostatečnou míru zastupitelnosti pro technické aspekty řešení (zajištění kontinuity dodávky, zastupitelnost zaměstnanců).
3. Poskytovatel je povinen vést písemnou evidenci uskutečněných poučení v rozsahu předmět poučení, datum a seznam poučených osob. Poskytovatel se zavazuje předložit tuto evidenci objednateli bezodkladně poté, co k tomu bude Objednatelem vyzván.
2.12. Bezpečnost komunikace
1. Zaměstnanci Poskytovatele, kteří mají přidělen přístup do interní sítě Univerzity Karlovy (většinou na konkrétní server), odpovídají za své činnosti prováděné v rámci interní sítě Univerzity Karlovy. Z důvodu zajištění bezpečnosti zaměstnanci Poskytovatele nesmí zejména:
a) zneužívat síťové prostředky pro osobní účely a zatěžovat kapacitu sítě;
b) šířit škodlivý kód;
c) připojovat do sítě jiná, než schválená zařízení Poskytovatelem (včetně USB zařízení, soukromých mobilních zařízení, IoT zařízení apod.);
d) využívat nástroje sloužící k maskování identity;
e) provádět bezdůvodné skenování portů;
f) provádět jakoukoliv formou monitorování počítačoví sítě, které může vést k zachycení informací/dat, pokud není předmětem plnění smlouvy;
g) obcházet autentizaci uživatele nebo obcházet zabezpečení jakéhokoliv počítače, počítačové sítě;
h) provádět jakékoliv nepracovní aktivity vedoucí k omezování nebo odepírání služeb jiným uživatelům;
i) užívat jakékoliv programy, skripty nebo příkazy, nebo zasílat zprávy v jakékoliv formě s úmyslem omezit nebo znemožnit poskytování služeb nebo terminálových relací lokálně nebo přes počítačovou síť, internet nebo intranet;
j) využívat bezpečnostních mezer nebo vytvářet útoky na komunikaci v počítačových sítích (např. přístup k datům, jichž není zaměstnanec zamýšleným příjemcem, přihlašování na server nebo účet zaměstnancem, který není k tomuto přístupu výslovně oprávněn, s výjimkou případů, kdy tyto aktivity jsou součástí řádných pracovních úkolů);
k) předávat informace o konfiguraci a topologii sítě cizím osobám; tyto informace je oprávněn předat pouze odpovědný zaměstnanec Univerzity Karlovy, pokud jsou takové informace nutné z hlediska přípravy či plnění smluvního vztahu.
2. Při práci na pracovní stanici, mobilním zařízení připojeného do sítě nebo do informačního systému Univerzity Karlovy musí Poskytovatel dodržovat tyto základní zásady:
a) umožnit přístup jen poučenému zaměstnanci Poskytovatele;
b) chránit ICT prostředky Univerzity Karlovy;
c) po ukončení práce provést neprodleně odhlášení tak, aby se zamezilo zneužití jeho přístupových práv.
2.13. Řízení přístupu
1. Poskytovatel bere na vědomí, že přístup k datům, informacím či zařízením souvisejícím s předmětem Smlouvy je možné povolit pouze fyzické identitě zaměstnance Poskytovatele poučené o těchto Bezpečnostních požadavcích, a to na základě požadavku Poskytovatele na přístup.
2. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí být řízeno zásadou tzv. „potřeba vědět“ (need-to-know principle) a není nárokové.
3. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci Poskytovatele.
4. Poskytovatel se zavazuje, že nebude instalovat a používat žádné nástroje, které nebyly předem písemně odsouhlaseny osobou odpovědnou za kybernetickou bezpečnost na straně Objednatele a jejichž užívání by mohlo ohrozit kybernetickou bezpečnost.
5. Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části technologického nebo komunikačního systému programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci technologického nebo komunikačního systému nebo nelegální získání dat a informací. Poskytovatel bere na vědomí, že přístup do interní sítě a/nebo k technologickým a komunikačním systémům bude realizován výhradně s využitím zařízení Objednatele.
6. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění Objednateli, kteří přistupují do interní sítě a/nebo technologického nebo komunikačního systému chránili autentizační prostředky a údaje k systémům Objednatele. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele může být příslušný účet zablokován a řešen jako bezpečnostní incident ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu.
7. Poskytovatel se zavazuje, že nebude instalovat a používat zejména nástroje typu Keylogger, Sniffer, Analyzátor zranitelností a Port Scanner, Backdoor, rootkit a trojský kůň nebo jinou podobu malware.
8. Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či skutečnost vzniklá v důsledku porušení bezpečnostních požadavků nebude posuzována jako okolnost vylučující odpovědnost Poskytovatele za prodlení s řádným a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné újmy Poskytovateli či jiné osobě ze strany Objednatele.
9. Na základě smluvního vztahu může být konkrétním zaměstnancům Poskytovatele umožněn přístup k předmětným ICT prostředkům pomocí vzdáleného přístupu přes VPN. Pracovní stanice, přenosná zařízení zaměstnanců Poskytovatele přistupující k ICT prostředkům Objednatele musí mít instalován výrobcem podporovaný aktualizovaný operační systém a systém pro ochranu před škodlivým kódem (antivirový program) s nejnovější verzí virové databáze.
10. Lokální přístup Poskytovatele do provozního prostředí může být povolen pouze v odůvodněných případech. Tento přístup musí probíhat ve zvláštním režimu dohledu ze strany Univerzity Karlovy.
2.14. Ochrana před škodlivým kódem
1. Poskytovatel se zavazuje, že zajistí maximální ochranu před zavlečením škodlivého SW do interní sítě Objednatele. Zaměstnanci, resp. subdodavatelé Poskytovatele mají zakázáno používat soukromou výpočetní techniku pro připojování do interní sítě Objednatele.
2.15. Monitorování činností
2. Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění realizované v rámci plnění předmětu Smlouvy nebo s ním úzce související budou Objednatelem průběžně a pravidelně monitorovány a vyhodnocovány s ohledem na obsah Smlouvy.
2.16. Kontrola souladu s požadavky bezpečnosti
1. Poskytovatel se zavazuje umožnit Objednateli nebo jím pověřené třetí osobě provést audit plnění povinností Poskytovatele dle této Smlouvy, zejména způsobu plnění bezpečnostních opatření, způsobu řízení Poskytovatelů, nakládání s daty, způsobu identifikace a hlášení kybernetických bezpečnostních incidentů. Objednatel se zavazuje vyrozumět Poskytovatele o termínu a případně osobě pověřené provedením auditu alespoň 3 pracovní dny předem. Poskytovatel se zavazuje umožnit provedení auditu ve všech prostorách, v nichž dochází k plnění předmětu této Smlouvy. Náklady na uskutečnění auditu ponese každá smluvní strana zvlášť; Poskytovatel nemá právo na poskytnutí úhrady nákladů či jakéhokoliv jiného plnění v souvislosti s auditem. V případě, že výsledkem auditu budou zjištění o pochybeních na straně Poskytovatel, zavazuje se Poskytovatel bezodkladně po výzvě Objednatele veškeré takové nedostatky na své náklady odstranit. Poskytovatel je povinen zajistit umožnění auditu za stejných podmínek i u svých poddodavatelů.
2. Poskytovatel je povinen pravidelně provádět také vlastní hodnocení rizik a kontrolu zavedených bezpečnostních opatření. Tato kontrola probíhá v pravidelných intervalech stanovených Objednatelem, na žádost Objednatele nebo v případě vzniku kybernetického bezpečnostního incidentu v rámci poskytované služby nebo v případě, že se vznik bezpečnostního incidentu jeví jako pravděpodobný. O výsledku kontroly podá Poskytovatel Objednateli bez zbytečného odkladu písemnou kontrolní zprávu.
2.17. Porušení Bezpečnostních požadavků
1. Poskytovatel odpovídá za to, že jeho zaměstnanci a/nebo poddodavatelé nebudou jednat v rozporu s bezpečnostními požadavky vyplývajícími z této Smlouvy. V případě, že dojde k nedodržení těchto požadavků ze strany zaměstnance a/nebo poddodavatele Poskytovatele, považuje se každé takové nedodržení požadavků za porušení povinnosti Poskytovatele dle této Smlouvy.
Příloha č. 3 – Seznam oprávněných osob
Vedoucí týmu za Objednatele: Xxx. Xxxxx Xxxxxx, Ph.D.
e-mail: xxxxx.xxxxxx@xxx.xxxx.xx Telefon: 000 000 000
Vedoucí týmu za Poskytovatele: ………………….
e-mail: ………………….
telefon: ………………….
IT analytik: ………………
e-mail: ………………….
telefon: ………………….
Programátor: ………………
e-mail: ………………….
telefon: ………………….
Příloha č. 4 – Položkový rozpočet
Dílčí plnění | Počet hodin | Hodinová sazba v Kč (bez DPH) | Celkem (bez DPH) | Celkem (vč. DPH) |
Předimplementační analýza a příprava prostředí | - Kč | - Kč | ||
Implementace datového skladu | - Kč | - Kč | ||
Plnění datového skladu daty ze studijního systému (oblasti: Studium, Uchazeči, Mobilita, Poplatky a stipendium) | - Kč | - Kč | ||
Vývoj reportů | - Kč | - Kč | ||
Konzultace zadavateli | - Kč | - Kč | ||
Celková nabídková cena | - Kč | - Kč | ||