Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
5 Český rozhlas
DÍLČÍ SMLOUVA O DÍLO S2022/09422/16
k rámcové dohodě o dílo Vývoj řešení pro redakční systém Drupal 7 alnebo Drupal 9 číslo
S2022l09422l00 ze dne 22. 12. 2022
Český rozhlas rozhlasu
zřízený zákonem č. 484/1991 Sb., o Českém
nezapisuje se do obchodního rejstříku
se sídlem Vinohradská 12, 120 99 Praha 2
zastoupený:
IČ 45245053, DIČ CZ45245053
bankovní spojení:
zástupce pro věcná jednání
tel.:
e-mail:
(dále jen jako „objednatel“)
a
sudev s.r.o. rejstříku vedeném Krajským soudem v Brně pod sp. zn.
společnost zapsaná v obchodním
C119042
se sídlem Přadlácká 920/24c, 602 00 Brno - Zábrdovice
IČ 09488774, DIČ CZ 09488774
zastoupena:
bankovní spojení:
zástupce pro věcná jednání
tel.:
e-mail:
(dále jen jako „zhotovitel“)
uzavírají v souladu s ustanovením g 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve
znění pozdějších předpisů (dále jen „OZ“) a v souladu s článkem ||. rámcové dohody o dílo na
provedení Vývoj řešení pro redakční systém Drupal 7 alnebo Drupal 9 ze dne 22. 12. 2022
(dále jen „rámcová dohoda“) tuto dílčí smlouvu o dílo (dále jen jako „smlouva“)
I. Předmět smlouvy
1. Předmětem této smlouvy je povinnost zhotovitele provést na svůj náklad a nebezpečí pro
objednatele dílo implementace úprav programového kódu mujRothas blíže specifikované
v příloze této smlouvy (dále také jako „dílo“) a umožnit objednateli nabýt vlastnické a užívací
práva k dílu, a povinnost objednatele dílo převzít a zaplatit zhotoviteli cenu díla dle této smlouvy.
2. Zhotovitel je povinen objednateli dílo odevzdat včetně veškeré dokumentace, která je nezbytná
k tomu, aby dílo mohlo sloužit svému účelu.
5 Český rozhlas
II. Místo a doba plnění
1. Pokud se smluvní strany nedohodly písemně jinak, místem provádění díla je provozovna
zhotovitele a místem odevzdání díla objednateli je Český rozhlas, Vinohradská 12, 120 99
Praha 2.
2. Zhotovitel se zavazuje odevzdat dílo v místě odevzdání díla nejpozději do 12 týdnů ode dne
účinnosti této smlouvy. Zhotovitel je povinen místo a dobu odevzdání díla oznámit objednateli
nejméně tři pracovní dny předem na e-mail uvedený v hlavičce této smlouvy.
III. Cena díla a platební podmínky
1. Cena díla je stanovena nabídkou zhotovitele a činí 112 350,- Kč bez DPH. Kceně bude
připočtena DPH vzákonem stanovené výši. Cena díla a platební podmínky jsou sjednány
v souladu s rámcovou smlouvou.
2. Celková cena d|e předchozího odstavce je konečná a zahrnuje veškeré náklady zhotovitele
související s odevzdáním díla dle této smlouvy (např. doprava díla do místa odevzdání, zabalení
díla).
IV. Závěrečná ustanovení
1. Práva a povinnosti smluvních stran touto smlouvou neupravená se řídí rámcovou dohodou,
pokud si smluvní strany v této smlouvě nedohodly jinak.
2. Bude - Ii v této smlouvě použit jakýkoli pojem, aniž by byl touto smlouvou zvlášť definován,
potom bude mít význam, který mu dává rámcová dohoda.
3. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti
dnem jejího uveřejnění v registru smluv v souladu v souladu se zákonem č. 340/2015 Sb., o
zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv
(zákon o registru smluv), v platném znění.
4. Práva a povinnosti smluvních stran touto smlouvou neupravená se řídí příslušnými
ustanoveními zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
5. Tato smlouvaje vyhotovena ve třech stejnopisech s platností originálu, z nichž objednatel obdrží
dva a zhotovitel jeden.
6. Tato smlouva včetně jejích příloh a případných změn bude uveřejněna objednatelem v registru
smluv v souladu se zákonem o registru smluv. Pokud smlouvu uveřejní vregistru smluv
zhotovitel, zašle objednateli potvrzení o uveřejnění této smlouvy bez zbytečného odkladu. Tento
odstavec je samostatnou dohodou smluvních stran oddělitelnou od ostatních ustanovení
smlouvy.
7. Nedílnou součástí této smlouvyje její:
Příloha: Specifikace díla;
Příloha: Protokol o odevzdání díla.
2/7
5 Český rozhlas Za zhotovitele
Za objednatele
3/7
: Ceský rozhlas
Příloha č. 1 — Technická specifikace
Definice prací: nových funkcionalit, rozvoj programového kódu
vývoj a implementace
Seznam požadovaných úprav programového kódu mujRothas: ticketovacího systemu
- ad-hoc rozvoj administračního rozhraní d|e detailního zadání z ticketovací system nebo
- back—endová implementace úprav front—endových šablon
- další ad-hoc úpravy na základě aktuálních priorit, zadané přes
písemně přes nástroj Slack či obdobný
Obecné požadavky pro průběh prací:
|. Analýza zadání
Pro každé specifické zadání, kde je odhadovaná pracnost vyšší než 1 MD proběhne analýza a
odsouhlasení zadání mezi zadavatelem a zhotovitelem. Součástí analýzy je odhad pracnosti ze
strany zhotovitele.
II. Po krytí testy zhotovitel v rámci
Nově vyvinuté funkcionality musí být pokryty testy. Rozsah a typ testů navrhuje
analýzy zadání. Výjimky z tohoto pravidla musí být odsouhlasený zadavatelem.
III. Nasazování kódu
Nasazování nového kódu bude zhotovitel informovat zadavatele na Slack kanálu, kde vyčká na
souhlas ze strany zadavatele (s výjimkou kritických hotfixů). Nasazovaný kód pro nové funkcionality
musí projít nebo třetí strany. Na
konkrétním procesem codereview ze strany zhotovitele nebo zadavatele úkolu a situaci.
postupu se zadavatel a zhotovitel dohodnou v závislosti na typu
IV. Vykazování hodin
Zhotovitel bude informovat zadavatele o průběhu prací v týdenních výkazech (odvedené práce a
čerpané hodiny). Výkaz za uplynulý týden je zhotovitel povinen dodat nejpozději následující pondělí
do 12:00. Čerpane hodiny budou vždy provázané na konkrétní úkol (tzn. na číslo Favro ticketu). Ve
výkazu musí být odlišeno, zde se jedná 0 Vývoj nové funkcionality nebo opravu chyb (bugfix).
Opravy chyb způsobených zjevným pochybením na straně zhotovitele nebudou akceptovány
zadavatelem jako řádné plnění a nezapočítávají se do celkového čerpání hodin. Příkladem
zjevného pochybení na straně zhotoviteleje nepochopení zadání, odklonění od zadání, práce mimo
rámec zadání aj. Toto ustanovení se netýká chyb způsobených změnou zadání v průběhu prací ze
strany zadavatele.
V. Znalost stávajícího řešení
Předmětem plnění minitendru je rozvoj nových funkcionalit nebo refaktoring řešení mujRozhlas.
Pro řešení většiny specifických zadání se předpokládá znalost stávajícího řešení. Pro zhotovitele,
který nemá znalost stávajícího řešení, poskytne zadavatel úvodní školení v rozsahu 2-3 hodin
včetně prostoru pro dotazy (formou workshopu). Jako součást školení poskytne zadavatel
zhotoviteli dokumentaci (dokumentace API ve formě Swagger, sekvenční diagramy atd.) a nasdílí
codebase projektu. Zadavatel na tomto místě upozorňuje, že další analýza a studium stávajícího
4/7
5 Český rozhlas
řešení není předmětem plnění, neboť potřebné informace zhotovitel obdržel postupem výše
uvedeným, a tudíž nebude zadavatelem akceptována v rámci vykázaných hodin.
VI. Dohled na vývojem
V případě potřeby si zadavatel vyhrazuje právo na sjednání dohledu nad postupem vývojových
prací zhotovitele od třetí strany, která je znalá řešení. Dohled bude probíhat typický formou
codereview nebo konzultací.
Principy bezpečnosti vývoje pro externí dodavatele ČRo
Zabezpečení přenosu a uložení dat
Dodavatel musí zajistit maximální ochranu dat při přenosu, předání od ČRo 3 ve svých
systemech. Musí používat pouze zašifrované přenosy a ukládání dat, ukládání dat pouze v
prostoru uloženo pouze pro ČRo, kdy tento prostor nesmí být sdílen sjiným projektem a
aktivitou.
Zabezpečení vývoje
Dodavatel musí zajistit maximálně bezpečné využíváníjeho infrastruktury a procesu při vývoje
programového kódu pro ČRo. Zaměstnanci a spolupracovníci dodavatele musí při vývoji využívat
pouze zabezpečenou infrastrukturu dodavatele. Musí mít programový kód uložený na minimálním
počtu instancí a musí dopředu sdělit, který programátor bude s kódem pracovat. Na systeme, kdý
provádí vývoj musí být přístup pouze zabezpečeným zašifrovaným přístupem.
Dodržování právních předpisů a standardů
Dodavatele musí zajistit dodržení všech právních předpisů s ohledem na vývoj a uložení
programového kódu pro ČRo.
Citlivost dat
Dodavatel musí proaktivně řešit na začátku vývoje přístup k rozsahu potřebných dat a 5 ČRo si
vyjasnit rozsah potřebných dat s maximálním omezením osobních údajů a dalších citlivých
informací, které pro vývoj nepotřebuje.
Využití AI pro programování
Pokud dodavatel využívá prvky AI pro vývoj programového kódu, musí dopředu takto ČRo
informovat, aby se mohl definovat rozsahu a bezpečnost takoveho využití. Vždy takový kód musí
projít na straně dodavatele důkladným code review.
Zároveň je dodavatel povinen hlídat, aby při využívání Al nedošlo ke kompromitaci citlivých dat.
Obecný popis technických a organizačních bezpečnostních opatření pro externí
dodavatele ČRo
Dodavatel má povinnost:
1. zajistit bezpečnost, důvěrnost a integritu dat a případně osobních údajů, ke kterýmmá
přístup. Jakékoli narušení je dodavatel povinen neprodleně ohlásit CRo.
5/7
5 Český rozhlas
2. zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb sloužících
pro zpracování dat a údajů a zajistitjejich průběžnou kontrolu
3. mít zajištěnou politiku obnovy dostupnosti a konfigurace infrastruktury a aplikačních
serverů souvisejících se zpracováním dat osobních údajů
zajistit proces testování, posuzování a hodnocení účinnosti zavedených bezpečnostních
opatření pro zajištění bezpečnosti zpracování dat a údajů s ohledem na předem
definovaná rizika
pro účely testování mimo prostředí ČRo (například lokální) používat pouze sanitizované
verze aplikačních a databázových dat bez osobních údajů
zajistit bezpečnost a ochranu integrity interních komunikačních sítí
PONS“ mít v rámci firmy implementován systém antivirové ochrany a systém ochraný interní sítě
zajistit přístup k aplikačním a osobním údajům ČRo pouze pověřeným a proškoleným
osobám a dostatečně zamezit plošnému přístupu v rámci společnosti
zajistit fyzickou bezpečnost přístupu do budovy dodavatele, fyzickou bezpečnost
zpracovávaných a uchovávaných dat a údajů včetně zabezpečení využitého hardware
proti zneužití, krádeži či kompromitaci
10. zajistit bezpečnost přidělených přístupových údajů a identit např. pro přihlašování do
infrastruktury objednatele
11. při zpracování dat a údajů budou tyto uchovávány výlučně na zabezpečených serverech
nebo na zabezpečených nosičích dat, jedná-Ii se o osobní údaje v elektronické podobě
12. zajištění dodržení všech podmínek i ze strany všech subdodavatelů, externistů,
spolupracovníků apod., kteří následně přebírají zodpovědnost
13. hlásit objednateli všechny bezpečnostní incidenty, které by mohly mít za důsledek
kompromitaci dat, infrastruktury nebo prostředí objednatele
14. zajištění pravidelných školení zaměstnanců dodavatele a pověřených osob dodavatele v
rámci problematiky kyberbezpečnosti, GDPR a zpracování osobních údajů
15. mítzavedenou politiku pro pro ochranu osobních údajů
16. mítzavedenou politiku řízení přístupových oprávnění
17. zajistit pravidelnou aktualizaci software a operačních systémů z kterých je přistupováno
do prostředí ČRo
18. vést dokumentaci a log všech úprav serverů a aplikací a jejich konfigurace a infrastruktury
ČRo, včetně autorů jednotlivých úprav
19. povinnost zajistit politiku tvorby komplexních, bezpečných a spolehlivých hesel a jejich
pravidelné změny
20. na výzvu zadavatele umožnit provedení externího auditu ověřujícího plnění všech
stanovených podmínek a zásad bezpečnosti a ochrany osobních údajů
21. vedení politiky řízení přístupových oprávnění (např. role přístupových práv a udělování
oprávnění — autorizace do PC, vlastní oddělená správa uživatelů stanovených systémů)
22. zajistit dodržování všech aktuálních právních předpisů a standardů pokrývajících
kyberbezpečnost a ochranu osobních údajů
23. zajistit bezpečné používání nástrojů umělé inteligence pro generování zdrojových kódů a
pro analýzy dat, o používání zadavatele informovat, u každého použití doložit, v jakém
rozsahu a s jakými parametry byly použity; dodavatel nesmí poskytovat do těchto nástrojů
jakékoli osobní údaje zadavatele bez písemné dohody
24. zajistit u zaměstnanců a pověřených osob v rámci smluvních podmínek mlčenlivost
ohledně osobních údajů, se kterými mohou přijít do styku a povinnost dodržovat Zásady
ochrany osobních údajů vůči těmto údajům
25. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat data a údaje písemně zavázaly k
mlčenlivosti.
26. zajistit řízení bezpečnosti síťového provozu v interní síti.
6/7
5 Český rozhlas
PŘÍLOHA — PROTOKOL O ODEVZDÁNÍ DÍLA
Český rozhlas
IČ 45245053, DIČ CZ45245053
zástupce pro věcná jednání
tel.:
e-mail:
(dále jen jako „objednatel“ nebo „přebírající“)
a
sudev s.r.o. DIČ CZ 09488774
IČ 09488774, věcná jednání
zástupce pro
tel.:
e-mail:
(dále jen jako „zhotovitel“ nebo „předávající“)
Smluvní strany uvádí, že na základě dílčí smlouvy o dílo č. 16 ze dne [_] odevzdal níže
uvedeného dne předávající (jako zhotovitel) přebírajícímu (jako objednateli) následující dílo:
1. Přebíraiící go grohlídce díla Qotvrzuie odevzdání díla v ujednaném rozsahu a kvalitě.
2. Pro případ, že dílo nebylo dodáno v ujednaném rozsahu a kvalitě a přebírající z tohoto důvodu
odmítá dílo převzít, smluvní strany níže uvedou skutečnosti, které bránily převzetí díla, rozsah
vadnosti díla, termín dodání díla bez vad a nedodé/ků a další důležité okolnosti:
Tento protokol je vyhotoven ve dvou stejnopisech s platností originálu, z nichž každá smluvní
strana obdrží jeden.
V dne V dne
Za objed natele Za zh otovitele
Mg r.
7/7