Textová podoba smlouvy Smlouva č. 32823744: Smlouva o dílo - vzdálené pečetění protokolu (SecuSeal) v informačním

                        Smlouva o dílo
Uzavřená dle § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)
mezi:

	Objednatel
	Zlínský kraj
	

	
	IČO:
DIČ:
	70891320
CZ70891320

	
	Sídlo:
	třída Tomáše Bati 21, 761 90 Zlín

	
	Zastoupen:
	xxx, vedoucí odboru ICT

	
	Bank. spojení:
	2786182 / 0800

	
	IDDS:
	scsbwku

	
	
	dále jen „objednatel“

	a
	
	

	
	
	

	Zhotovitel
	Software602 a.s.
	

	
	IČO:
DIČ:
	63078236
CZ63078236

	
	Sídlo:
	Hornokrčská 703/15, Krč, 140 00 Praha 4

	
	Zastoupen:
	xxx, obchodní ředitel (na základě plné moci)

	
	Bank. spojení:
	976652 / 0800

	
	IDDS:
	7dcsfzg

	
	
	dále jen „zhotovitel“

Předmět smlouvy
Zhotovitel se touto smlouvou zavazuje provést službu vzdáleného pečetění protokolu (SecuSeal) v informačním systému digitální technické mapy Zlínského kraje při výdeji v rozsahu až xxx pečetí za měsíc, (dále jen „služba“) a objednatel se zavazuje uhradit cenu služby. 
Součástí služby jsou i práce v této smlouvě výslovně nespecifikované, které však jsou k řádnému provedení služby nezbytné a o kterých zhotovitel vzhledem ke své kvalifikaci a zkušenostem měl nebo mohl vědět. Provedení těchto prací však v žádném případě nezvyšuje touto smlouvou sjednanou cenu.
Služba je plněna na dálku.
Smluvní strany se řídí pravidly ochrany osobních údajů stanovených v příloze č. 4 této smlouvy.
Tato smlouva se uzavírá ode dne účinnosti smlouvy na dobu 24 měsíců. 
Zhotovitel prohlašuje, že si je vědom skutečnosti, že objednatel má zájem na realizaci veřejné zakázky v souladu se zásadami společensky odpovědného zadávání veřejných zakázek. Zhotovitel se zavazuje po celou dobu trvání smluvního poměru založeného touto smlouvou zajistit dodržování veškerých právních předpisů, zejména pak pracovněprávních (odměňování, pracovní doba, doba odpočinku mezi směnami, placené přesčasy), dále předpisů týkajících se oblasti zaměstnanosti a bezpečnosti a ochrany zdraví při práci, tj. zejména zákona č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů, a zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, a to vůči všem osobám, které se na podpoře podílejí a bez ohledu na to, zda budou činnosti prováděné v rámci realizace plnění předmětu smlouvy prováděny zhotovitelem.
Služba
Zhotovitel se zavazuje zajistit službu vzdáleného pečetění protokolu (SecuSeal) v informačním systému digitální technické mapy Zlínského kraje při výdeji, a to v rozsahu maximálně xxx pečetí za měsíc. 
Služba vzdáleného pečetění je poskytována přes kvalifikovaný prostředek. (HSM modul). Zhotovitel dodá kvalifikovanou elektronickou pečeť včetně kvalifikovaných časových razítek, která budou spotřebována k pečetění, také zajistí v rámci cenové kalkulace vystavení certifikátu pro elektronickou pečeť, konfiguraci xxx pro API, připraví webové služby pro aplikace třetích stran.
Služba vzdáleného pečetění umožňuje vytvářet kvalifikované elektronické pečetě bez nutnosti vlastnit a spravovat vlastní hardware. HSM modul, umístěný v bezpečném datacentru poskytovatele služby, generuje a uchovává privátní klíče. Organizace přistupuje k této službě přes zabezpečené internetové připojení, což umožňuje centrální správu certifikátů a klíčů. Přístup je zabezpečen autentizačními certifikáty nebo jinými bezpečnostními mechanismy. Služba je navržena pro snadnou integraci s existujícími systémy organizace, což umožňuje automatizaci procesu pečetění dokumentů a zajištění jejich právní závaznosti.
2.3 	Zhotovitel se zavazuje, že všechny dokumenty opatřované pečetěmi budou v rámci celého procesu služby chráněny před únikem informací, zneužitím a poškození. 
Cena a platební podmínky 
Není-li výslovně uvedeno jinak, všechny ceny uváděné v této smlouvě a všech přílohách jsou uvedeny bez DPH a jsou stanoveny jako nejvýše přípustné. Zhotovitel prohlašuje, že tyto ceny plně pokrývají všechny jeho náklady spojené s provedením a služby podle této smlouvy včetně zisku.
Paušální cena za službu v rozsahu dle čl. 1 odst. 1.1 a čl. 2 odst. 2.1. činí 4.200,- Kč bez DPH měsíčně, cena včetně DPH je 5.082,- Kč, z toho DPH činí 882,- Kč měsíčně a bude hrazena měsíčně zpětně na základě daňového dokladu (faktury) vystavovaného zhotovitelem. 
Veškeré faktury vystavené zhotovitelem dle této smlouvy musí mít veškeré náležitosti daňového dokladu v souladu se zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů. Všechny faktury budou dále obsahovat zejména následující údaje:
číslo smlouvy objednatele a označení případných dodatků smlouvy;
popis plnění zhotovitele.
Veškeré daňové doklady (faktury) vystavené zhotovitelem podle této smlouvy bude zhotovitel v jednom vyhotovení zasílat objednateli do jeho datové schránky, případně na e-mailovou adresu fakturace@zlinskykraj.cz a jejich splatnost bude činit dvacet jedna (21) kalendářních dní ode dne jejich doručení objednateli. Za den úhrady dané faktury bude považován den odepsání fakturované částky z účtu objednatele.
Objednatel si vyhrazuje právo vrátit zhotoviteli do data jeho splatnosti daňový doklad (fakturu), který nebude obsahovat veškeré údaje vyžadované závaznými právními předpisy ČR nebo touto smlouvou, nebo v něm budou uvedeny nesprávné údaje (s uvedením chybějících náležitostí nebo nesprávných údajů). V takovém případě začne běžet doba splatnosti daňového dokladu (faktury) až doručením řádně opraveného daňového dokladu (faktury) objednateli.
V případě, že je zhotovitel plátcem DPH, pak součástí každé faktury musí být prohlášení zhotovitele o tom, že:
nemá v úmyslu nezaplatit daň z přidané hodnoty u zdanitelného plnění podle této faktury (dále jen „daň“), 
nejsou mu známy skutečnosti, nasvědčující tomu, že se dostane do postavení, kdy nemůže daň zaplatit a ani se ke dni vystavení této faktury v takovém postavení nenachází,
nezkrátí daň nebo nevyláká daňovou výhodu
úplata za plnění dle této faktury není odchylná od obvyklé ceny,
úplata za plnění dle této faktury nebude poskytnuta zcela nebo zčásti bezhotovostním převodem na účet vedený zhotovitelem platebních služeb mimo tuzemsko,
nebude nespolehlivým plátcem,
bude mít u správce daně registrován bankovní účet používaný pro ekonomickou činnost,
souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty na plnění bude o zhotoviteli zveřejněna správcem daně skutečnost, že zhotovitel je nespolehlivým plátcem, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně, v případě změny sazby DPH v průběhu plnění není nutné uzavírat dodatek ke smlouvě, pouze se k příslušnému základu daně uvedenému v této smlouvě přičte sazba DPH účinná v době vzniku zdanitelného plnění,
souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty na plnění bude zjištěna nesrovnalost v registraci bankovního účtu zhotovitele určeného pro ekonomickou činnost správcem daně, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně.
Ochrana informací a závazek mlčenlivosti
Důvěrnými informacemi se pro účely této smlouvy a po celou dobu trvání vzájemné spolupráce smluvních stran rozumí, bez ohledu na formu a způsob jejich sdělení či zachycení a až do doby jejich zveřejnění, jakékoli a všechny skutečnosti, které si smluvní strany v průběhu vzájemné spolupráce zpřístupní (dále jen „důvěrné informace“).
Důvěrné informace touto smlouvou chráněné tvoří rovněž veškeré skutečnosti technické, ekonomické, právní a výrobní povahy v hmotné nebo nehmotné formě, které byly smluvními stranami takto označeny. Důvěrné informace mohou být dále společně označeny též jako „chráněné informace“.
Smluvní strany jsou povinny zajistit utajení získaných důvěrných informací způsobem obvyklým pro utajování takových informací, není-li výslovně sjednáno jinak. Tato povinnost platí bez ohledu na ukončení účinnosti této smlouvy. Smluvní strany mají právo požadovat doložení dostatečnosti utajení důvěrných informací. Smluvní strany jsou povinny zajistit utajení důvěrných informací i u svých zaměstnanců, zástupců, jakož i jiných spolupracujících třetích stran, pokud jim takové informace byly poskytnuty.
Právo užívat, poskytovat a zpřístupnit důvěrné informace mají smluvní strany pouze v rozsahu a za podmínek nezbytných pro řádné plnění práva a povinností vyplývajících z této smlouvy.
Za důvěrné informace se podle této smlouvy bez ohledu na formu jejich získání považují veškeré informace, které se týkají obsahu, struktury a zabezpečení informačních systémů smluvní strany, pro nakládání s nimi je stanoven právními předpisy zvláštní režim utajení (zejména hospodářské tajemství, státní tajemství, bankovní tajemství, služební tajemství). Dále se považují za důvěrné informace takové informace, které jsou jako důvěrné výslovně smluvními stranami označeny.
Za důvěrné informace se v žádném případě nepovažují informace, které se staly veřejně přístupnými, pokud se tak nestalo porušením povinnosti jejich ochrany, dále informace získané na základě postupu nezávislého na této smlouvě, a konečně informace poskytnuté třetí osobou, která takové informace nezískala porušením povinnosti jejich ochrany.
Smluvní strany se zavazují zavázat k mlčenlivosti i veškeré své zaměstnance, jakož i veškeré třetí osoby, které by mohly přijít s takovými informacemi v rámci své činnosti, byť nahodile, do styku.
Závazky k zachovávání důvěrnosti informací zůstanou v plném rozsahu platné a účinné i po ukončení platnosti a účinnosti této smlouvy, a to až do doby, kdy se tyto stanou obecně známými jinak než porušením této smlouvy, nebo je smluvní strany přestanou utajovat; v pochybnostech se má za to, že utajování informací trvá.
Po ukončení účinnosti této smlouvy si jsou smluvní strany povinny bez zbytečného odkladu vrátit všechny poskytnuté materiály obsahující důvěrné informace včetně jejich případně pořízených kopií. O předání a převzetí se sepíše protokol podepsaný oběma smluvními stranami.
Práva a povinnosti objednatele
Objednatel se zavazuje spolupracovat se zhotovitelem a poskytovat mu veškerou nutnou součinnost potřebnou pro provedení služby. Objednatel je povinen informovat zhotovitele o veškerých skutečnostech, které jsou nebo mohou být důležité pro plnění této smlouvy.
Objednatel se zavazuje v souladu s pravidly uvedenými v příloze č. 5 umožnit nezbytný vstup zaměstnancům zhotovitele a jiným osobám, které budou na straně poskytovatele poskytovat plnění této smlouvy, do míst plnění podle této smlouvy, vyžaduje-li to plnění této smlouvy. 
Objednatel se zavazuje v souladu s pravidly uvedenými v příloze č. 5 umožnit nezbytný vzdálený přístup zaměstnancům zhotovitele a jiným osobám, které budou na straně poskytovatele poskytovat plnění této smlouvy, vyžaduje-li to plnění této smlouvy. Objednatel odpovídá za to, že řádný průběh prací zhotovitele nebude rušen zásahy třetích osob. 
Pokud objednatel neposkytne dohodnutou součinnost dle tohoto článku, má zhotovitel právo požadovat na objednateli posunutí stanovených termínů o dobu, po kterou součinnost nebyla poskytnuta.
Objednatel si vyhrazuje právo monitorovat a zakázat neoprávněné aktivity zhotovitele.
Objednatel si vyhrazuje právo auditovat smluvní povinnosti zhotovitele nebo nechat provést tyto audity třetí stranou, která však musí být vázána povinností mlčenlivosti. Jedná se zejména o kontrolu způsobu plnění dohodnutých bezpečnostních opatření, způsobu nakládání s daty, způsobu identifikace a hlášení bezpečnostních incidentů apod. a zhotovitel se zavazuje k výkonu této kontroly poskytnout součinnost.
Práva a povinnosti zhotovitele
Zhotovitel prohlašuje, že má uzavřenu pojistnou smlouvu, jejímž předmětem je pojištění profesní odpovědnosti na limit xxx Kč za jednu a všechny pojistné události nastalé v době trvání pojištění, 
Zhotovitel je při poskytování služby povinen dodržovat pokyny objednatele, které jsou v souladu s právem. Zhotovitel je povinen písemně informovat objednatele o veškerých skutečnostech, které jsou nebo mohou být důležité pro plnění této smlouvy.
Při plnění této smlouvy je zhotovitel povinen upozorňovat objednatele na nevhodnost jeho pokynů, které by mohly mít za následek újmu na právech objednatele nebo vznik škody. Pokud objednatel i přes upozornění na splnění svých pokynů trvá, neodpovídá zhotovitel za případnou škodu tím vzniklou. 
Zhotovitel se zavazuje, že seznámí všechny své zaměstnance a jiné osoby, které budou na straně poskytovatele poskytovat plnění této smlouvy, kteří budou do informačních systémů nebo do prostor objednatele přistupovat, s obsahem přílohy č. 3 a přílohy č. 4 před začátkem jakýchkoliv aktivit.
Zhotoviteli je přísně zakázáno vykonávat jiné než dohodnuté činnosti, přistupovat k jiným než povoleným prostředkům, serverům a datům nebo provádět jakékoli úkony směřující k zjišťování rozsahu přidělených oprávnění, dostupnosti jiných síťových prostředků a služeb a způsobech zabezpečení.
Zhotovitel není oprávněn použít podklady, data a hmotné nosiče předané mu objednatelem dle této smlouvy pro jiné účely, než je provedení díla. Nejpozději do 15 pracovních dnů od doručení žádosti objednatele nebo od ukončení této smlouvy je zhotovitel povinen vrátit objednateli veškeré podklady, data a hmotné nosiče poskytnuté objednatelem zhotoviteli ke splnění jeho závazků podle této smlouvy.
Zhotovitel není oprávněn použít k plnění této smlouvy třetích osob. Bez ohledu na cokoliv v této smlouvě stanovené smluvní strany sjednávají, že zhotovitel je oprávněn využít pro plnění předmětu této smlouvy i osoby, se kterými uzavřel jinou než pracovněprávní smlouvu. Poskytovatel odpovídá za činnost těchto jiných osob ve stejném rozsahu, jako by činnost vykonal sám.
V případě, že se vyskytne jakákoli překážka, zejména
prodlení objednatele s poskytnutím součinnosti, které by podmiňovalo plnění zhotovitele; 
okolnosti vylučující odpovědnost dle § 2913 odst. 2 občanského zákoníku apod.,
která by mohla mít jakýkoli dopad na plnění této smlouvy podle této smlouvy, má zhotovitel povinnost o této překážce objednatele písemně informovat, a to nejpozději do pěti (5) kalendářních dnů od okamžiku, kdy se tato překážka vyskytla. Pokud zhotovitel objednatele v této lhůtě o překážkách písemně neinformuje, zanikají veškerá práva zhotovitele, která se ke vzniku příslušné překážky váží, zejména zhotovitel nebude mít právo na jakékoli posunutí stanovených termínů.
6.9 	Zhotovitel má povinnost v případě, že pro plnění této smlouvy využije osoby, se kterými uzavřel jinou než pracovněprávní smlouvu ve smyslu čl. 6.7 této smlouvy, zavázat takové osoby k plnění všech ustanovení této smlouvy, které se na jejich činnost vztahují nebo mohou vztahovat, zejména ustanovení týkající se bezpečnostních pravidel, ochrany informací a závazku mlčenlivosti. 
Sankce
V případě prodlení se zaplacením peněžité částky je smluvní strana, která je se zaplacením v prodlení, povinna zaplatit druhé smluvní straně zákonný úrok z prodlení.
V případě, že zhotovitel z důvodů výhradně na jeho straně či na straně osob, se kterými uzavřel jinou než pracovněprávní smlouvu ve smyslu čl. 6.7 této smlouvy poruší svou povinnost, bude povinen zaplatit objednateli smluvní pokutu:
ve výši 1 000,- Kč (slovy: jeden tisíc korun českých) za každý i započatý den, kdy služba nebude zajištěna, nejvýše však souhrnnou smluvní pokutu ve výši pětinásobku měsíční paušální ceny. 
ve výši 20 000,- Kč (slovy: dvacet tisíc korun českých) za každý jednotlivý prokázaný případ porušení povinností stanovených týkajících se ochrany obchodního tajemství, důvěrných informací podle článku 5 nebo osobních údajů podle přílohy č. 3 nebo bezpečnostních pravidel vypsaných v bodu č. 14 Smluvní pokuty přílohy č. 4 této smlouvy.
Smluvní pokuty stanovené dle tohoto článku jsou splatné do třiceti (30) kalendářních dnů ode dne doručení výzvy k zaplacení smluvní pokuty povinné smluvní straně. 
Zhotovitel je odpovědný i za škodu způsobenou objednateli při plnění povinností dle této smlouvy, byla-li škoda způsobena zástupcem či pracovníkem zhotovitele.
Zaplacením jakékoli smluvní pokuty podle této smlouvy není dotčen nárok smluvní strany na náhradu vzniklé škody ve výši přesahující uhrazenou smluvní pokutu. 
Smluvní strany se dále dohodly, že odpovědnost zhotovitele k náhradě škody či nemajetkové újmy jím způsobené nikoliv úmyslně, z hrubé nedbalosti či na přirozených právech člověka porušením jakýchkoliv jeho závazků sjednaných touto smlouvou či vyplývajících pro něj ze zákona v souvislosti s touto smlouvou je omezena částkou 500.000,- Kč, kteroužto částku smluvní strany ve smyslu ust. § 2898 občanského zákoníku shodně považují a prohlašují za maximální částku náhrady škody či nemajetkové újmy, za kterou odpovídá zhotovitel a kterou bude případně povinen uhradit. Smluvní strany se současně dohodly, že zhotovitel není povinen objednateli nahradit ušlý zisk.
Ukončení smlouvy
Tato smlouva může být ukončena pouze na základě písemné dohody obou smluvních stran nebo písemnou výpovědí jedné ze smluvních stran dle tohoto článku.
Smluvní strany jsou oprávněny tuto smlouvu písemně vypovědět bez udání důvodů s tříměsíční výpovědní dobou, která začíná běžet prvního dne měsíce následujícího po doručení výpovědi druhé smluvní straně. 
Ukončením této smlouvy nejsou dotčena ustanovení týkající se:
smluvních pokut,
ochrany důvěrných informací a 
ostatních práv a povinností, z jejichž povahy vyplývá, že mají trvat i po skončení účinnosti této smlouvy.
Závěrečná ujednání
Smlouva podléhá uveřejnění v registru smluv v souladu se zákonem č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv). Smluvní strany se dohodly, že objednatel v zákonné lhůtě odešle tuto smlouvu k řádnému uveřejnění do registru smluv vedeného Ministerstvem vnitra ČR. O uveřejnění této smlouvy objednatel bezodkladně informuje zhotovitele (postačí e-mailem prostřednictvím kontaktní osoby/zástupce ve věcech technických nebo smluvních). 
Kontaktní údaje smluvních stran:
	Objednatel – ve věcech technických

	Jméno a příjmení
	Email
	Telefon

	xxx
	xxx
	xxx

	
	
	

	Objednatel – ve věcech smluvních

	Jméno a příjmení
	Email
	Telefon

	xxx
	xxx
	xxx

	
	
	

	Zhotovitel – ve věcech technických

	Jméno a příjmení
	Email
	Telefon

	xxx
	xxx
	xxx

	
	
	

	Zhotovitel – ve věcech smluvních

	Jméno a příjmení
	Email
	Telefon

	xxx
	xxx
	xxx

	
	
	


Pokud dojde ke změně v kontaktních údajích uvedených v tomto článku, jsou smluvní strany povinny změnu písemně oznámit druhé smluvní straně, a to předem nebo nejpozději bezodkladně poté, co ke změně dojde. Za dostačující formu oznámení změny je považováno zaslání e-mailu kontaktní osobě druhé smluvní strany ve věcech smluvních, která je povinna obdržení e-mailu do 2 pracovních dnů potvrdit. V případě změny v údajích uvedených v tomto odstavci není třeba uzavírat dodatek ke smlouvě.
Tuto smlouvu lze změnit nebo doplňovat pouze písemnými dodatky, které budou podepsány oběma smluvními stranami, není-li v ní uvedeno jinak. 
Nedílnými součástmi této smlouvy jsou následující přílohy:
Příloha č. 1:	Podrobná specifikace díla
Příloha č. 2:	Podrobná specifikace ceny
Příloha č. 3:	Zpracování a ochrana osobních údajů
Příloha č. 4:	Bezpečnostní pravidla informačního systému (IS) Zlínského kraje (ZK)
Práva a povinnosti smluvních stran výslovně v této smlouvě neupravená se řídí příslušnými ustanoveními občanského zákoníku. 
Případná neplatnost některého ustanovení této smlouvy nemá za následek neplatnost ostatních ustanovení. V případě, že kterékoliv ustanovení této smlouvy se stane neúčinným nebo neplatným, smluvní strany se zavazují bez zbytečného odkladu nahradit takové ustanovení novým, které svým obsahem a smyslem odpovídá nejlépe obsahu a smyslu ustanovení původního.
V případě, že je zhotovitel plátcem DPH, pak podpisem této smlouvy zhotovitel výslovně prohlašuje, že:
 - nemá v úmyslu nezaplatit daň z přidané hodnoty u zdanitelného plnění podle faktury (dále jen „daň“),
 - mu nejsou známy skutečnosti, nasvědčující tomu, že se dostane do postavení, kdy nemůže daň zaplatit a ani se ke dni vystavení této faktury v takovém postavení nenachází,
 - nezkrátí daň nebo nevyláká daňovou výhodu
 - úplata za plnění dle této faktury není odchylná od obvyklé ceny,
 - úplata za plnění dle této faktury nebude poskytnuta zcela nebo zčásti bezhotovostním převodem na účet vedený zhotovitelem platebních služeb mimo tuzemsko,
 - nebude nespolehlivým plátcem,
 - bude mít u správce daně registrován bankovní účet používaný pro ekonomickou činnost,
 - souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty naplnění bude o zhotoviteli zveřejněna správcem daně skutečnost, že zhotovitel je nespolehlivým plátcem, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně,
 - souhlasí s tím, že pokud ke dni uskutečnění zdanitelného plnění nebo k okamžiku poskytnutí úplaty na plnění bude zjištěna nesrovnalost v registraci bankovního účtu zhotovitele určeného pro ekonomickou činnost správcem daně, uhradí objednatel daň z přidané hodnoty z přijatého zdanitelného plnění příslušnému správci daně.
Tato smlouva se vyhotovuje v elektronické podobě a každá ze stran obdrží její elektronickou podobu s příslušným elektronickým podpisem. 
Smlouva nabývá platnosti dnem, kdy byla podepsána oběma smluvními stranami, a účinnosti dnem uveřejnění v registru smluv. 

Zkontroloval:


	Ve Zlíně dne dle elektronického podpisu
	V Praze dne dle elektronického podpisu

	Za objednatele:
	Za zhotovitele

	


	

	xxx
vedoucí odboru ICT
	xxx
obchodní ředitel (na základě plné moci)


Příloha č. 1 Podrobná specifikace díla
1. Manažerské shrnutí
Software602 a.s. je kvalifikovaný poskytovatel služeb vytvářejících důvěru a je certifikován pro poskytování kvalifikované služby ověřování a uchovávání platnosti elektronických podpisů, pečetí a razítek. Dále poskytuje služby vzdáleného podepisování a pečetění pro vytváření kvalifikovaných podpisů a kvalifikovaných pečetí se souhlasem Ministerstva vnitra jakožto orgánu dohledu. Tyto služby jsou uveřejněny na stránkách Ministerstva vnitra. Pro tyto služby poskytuje aplikační rozhraní pro snadnou integraci služeb podepisování a pečetění jak do aplikací třetích stran, tak i pro použití na koncových stanicích uživatele. Zprostředkovává služby kvalifikovaného časového razítka a je externí registrační autoritou CA PostSignum. Díky tomu zajišťuje i dodávky kvalifikovaných certifikátů pro podpis a pečeť.
Kvalifikované vzdálené pečetění
Kvalifikovaný elektronický certifikát pro elektronickou pečeť pro vytváření kvalifikovaných elektronických pečetí je uložený na HSM prostředku nCipher nShield s odpovídající certifikací dle eIDAS. HSM jako kvalifikovaný prostředek pro vytváření elektronických pečetí je spravován kvalifikovaným poskytovatelem služeb vytvářejících důvěru, plně v souladu s požadavky na vytváření kvalifikovaných pečetí. Součástí dodávky je aplikační rozhraní webových služeb pro čerpání služby pečetění a zajištění vytvoření a správy kvalifikovaného certifikátu pro elektronickou pečeť v HSM prostředku u Poskytovatele. 
Kvalifikovaná časová razítka
Kvalifikovaná časová razítka jsou legislativní povinností pro orgány veřejné moci a poskytujeme je dle platné evropské i české legislativy. Vydavatelem kvalifikovaných časových razítek je CA PostSignum, Software602 poskytuje tato razítka v rámci svých služeb bez nutnosti dalších smluv a požadavků na integraci. 
2. Popis nabízených služeb
Synchronní pečetění dokumentů
Pro přístup k API je nutné nejprve získat přístupový token pomocí koncového bodu pro přihlášení externího informačního systému. V dalším kroku je nutné nahrát dokumenty jeden po druhém do výchozího úložiště (default) pomocí koncového bodu File API. Výsledkem bude seznam identifikátorů dokumentů použitý v dalším kroku. Pro pečetění dokumentů je nutné zavolat koncový bod GraphQL API s mutací pro pečetění dokumentů, které je předán identifikátor dokumentu a parametry pečetění. Výsledkem je identifikátor dokumentu opatřeného pečetí. Posledním krokem je stažení podepsaných dokumentů jeden po druhém pomocí koncového bodu File API. 
Synchronní razítkování dokumentů
Pro přístup k API je nutné nejprve získat přístupový token pomocí koncového bodu pro přihlášení externího informačního systému. V dalším kroku je nutné nahrát dokumenty jeden po druhém do výchozího úložiště (default) pomocí koncového bodu File API. Výsledkem bude seznam identifikátorů dokumentů použitý v dalším kroku. Pro razítkování dokumentů je nutné zavolat koncový bod GraphQL API s mutací pro razítkování dokumentů, které je předán identifikátor dokumentu a parametry razítkování. Výsledkem je identifikátor dokumentu opatřeného časovým razítkem. Posledním krokem je stažení podepsaných dokumentů jeden po druhém pomocí koncového bodu File API.
3. Rozsah nabízených služeb 
· kvalifikované elektronické pečetění dokumentů v informačním systému digitální technické mapy
· max. xxx kvalifikovaných pečetí ročně včetně kvalifikovaných časových razítek
· konfigurace xxx pro volání Sofa API pro pečetění dokumentů externím informačním systémem
· webové služby pro aplikace třetích stran 
4. Specifikace technické podpory a SLA
· opravy aktuální verze Služby po celou dobu trvání této smlouvy, implementace oprav, bezpečnostních a opravných patch aktuální verze Služby vzdáleným přístupem
· poskytování technické podpory a servisních zásahů vzdáleným přístupem
· přístup k aplikaci HelpDesk, a to na adrese: https://easy.602.cz 
· zajištění vytváření elektronické pečetě na digitálním dokumentu nebo balíčku dat podle norem PAdES, XAdES, CAdES, ASIC v souladu s Nařízením eIDAS
· zajištění časového razítka jako součást elektronické pečetě dokumentu
· služba eIDAS je poskytována ve standardním SLA: Dostupnost 98 % měsíčně, min. 20 transakcí za 1 min. 
· poskytnutí garantované hodinové sazby pracovníků Poskytovatele 2 000,00 Kč bez DPH za 1 hod., při požadavcích nad rámec definovaných služeb


Příloha č. 2 Podrobná specifikace ceny 

	Služba
	Služba pečetění – průměrné počty za měsíc
	Cena bez DPH
	Cena s DPH

	SecuSeal
	· do xxx pečetí včetně časových razítek
	     4 200,00 Kč 
	     5 082,00 Kč 

Příloha č. 3 Zpracování a ochrana osobních údajů
Tato příloha upravuje vzájemná práva a povinnosti smluvních stran při zpracování osobních údajů subjektů údajů pro účel plnění smlouvy založeném na právním základě podle čl. 6 odst. 1 písm. b) NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále také jen „GDPR“, kdy je zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, kdy se jedná o plnění na základě smlouvy založené na objednávce stravy ze strany subjektu údajů. 

Podmínky zpracování osobních údajů

1. Při zpracování osobních údajů pro účel zpracování se objednatel považuje a bude považovat za správce osobních údajů (dále jen „Správce“) a zhotovitel za zpracovatele osobních údajů (dále jen „Zpracovatel“) se všemi vyplývajícími důsledky a povinnostmi v souladu s čl. 28 GDPR.
2. Doba trvání zpracování osobních údajů je vymezena na dobu trvání smlouvy.
3. Kategorie subjektů údajů jsou osoby, jejichž údaje jsou zaznamenané v digitální technické mapě Zlínského kraje (zejména autorizovaní zeměměřičští inženýři, zmocněné osoby autorizovanými zeměměřičskými inženýry, zpracovatelé dokumentace, žadatelé o data) (dále také „Subjekt údajů“).
4. Typem zpracovávaných osobních údajů jsou identifikační osobní údaje Subjektů údajů v rozsahu: - jméno, příjmení, titul, číslo autorizace, adresa, email, datová schránka. 
5. Povaha zpracováním osobních údajů ve smyslu smlouvy spočívá v následujících způsobech zpracování:
a) shromáždění,
b) zaznamenání,
c) uložení,
d) vyhledávání, 
e) nahlédnutí,
f) výmaz,
s využitím elektronického zpracování prostřednictvím SecuSeal, a to zejména v souvislosti s plněním povinností Zpracovatele podle smlouvy.
6. Zpracovatel se zavazuje zpracovávat pouze a výlučně ty osobní údaje, které jsou nezbytně nutné pro daný účel zpracování. 

Práva a povinnosti Správce a Zpracovatele osobních údajů

1. Správce je při plnění smlouvy povinen:
a) přijmout vhodná opatření, aby poskytl Subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem a za použití jasných a jednoduchých jazykových prostředků veškeré informace o zpracování osobních údajů a učinil veškerá sdělení požadovaná GDPR a platnými právními předpisy o zpracování a ochraně osobních údajů;
b) Zpracovatele neprodleně informovat, pokud se vyskytnou chyby nebo nepravidelnosti ve zpracování osobních údajů;
c) poskytnout Zpracovateli veškeré informace v dohodnutém formátu, který Zpracovatel potřebuje ke zpracování;
d) zacházet důvěrně se všemi získanými znalostmi o obchodních tajemstvích a opatřeních na ochranu osobních údajů Zpracovatele; 
e) poskytnout Zpracovateli informaci o zpracování osobních údajů Subjektu údajů podle článku 13 GDPR.

2. Zpracovatel je při plnění této smlouvy povinen:
a) řídit se při zpracování osobních údajů smlouvou a dalšími výslovnými pokyny Správce, budou-li mu takové uděleny, ať již ústní či písemnou formou (za písemnou formu se považuje i elektronická komunikace, včetně e-mailu) a neprodleně Správce informovat, pokud dle jeho názoru udělený pokyn Správce porušuje GDPR nebo jiné předpisy na ochranu osobních údajů a pokud se domnívá, že zpracování osobních údajů je nezákonné;
b) poskytnout Subjektu údajů v okamžiku získání osobních údajů pro stanovený účel zpracování informaci o zpracování osobních údajů, kterou obdržel od Správce;
c) zajistit, že osobní údaje budou zpracovány vždy v souladu s GDPR a platnými právními předpisy o zpracování a ochraně osobních údajů, a že tyto údaje budou aktuální, přesné 
a pravdivé, jakož i to, že tyto údaje budou odpovídat stanovenému účelu zpracování;
d) nezapojit do zpracování osobních údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce;
e) zajistit, že se osoby, jimiž bude prováděno plnění dle této Smlouvy, zavážou k mlčenlivosti ohledně veškeré činnosti související s touto Smlouvou, zejména pak k mlčenlivosti ve vztahu ke všem osobním údajům, ke kterým budou mít přístup, nebo s kterými přijdou do kontaktu; 
f) přijmout, ve smyslu čl. 32 GDPR, s ohledem na stav techniky, náklady na provedení, povahu, rozsah, kontext a účel zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, zejména pak osobní údaje zabezpečit vůči náhodnému či nezákonnému zničení, ztrátě, změně, zpřístupnění neoprávněným stranám, zneužití či jinému způsobu zpracování v rozporu s GDPR; 
g) předat neprodleně Správci žádost Subjektu údajů, pokud se Subjekt údajů obrátí na Zpracovatele s cílem uplatnění svého nároku na základě GDPR nebo jiných právních předpisů na ochranu osobních údajů;
h) poskytnout na požádání Správci součinnost při udržování a aktualizaci záznamů o činnosti zpracování osobních údajů dle čl. 30 odst. 1 GDPR;
i) vést záznamy o kategorii činnosti zpracování Osobních údajů prováděných pro Správce dle čl. 30 odst. 2 GDPR;
j) poskytnout Správci součinnost v případě dotazů ze strany dozorčích orgánů;
k) poskytnout Správci veškeré informace potřebné k doložení toho, že při plnění této Smlouvy byly splněny povinnosti stanovené v článku 28 GDPR a na žádost Správce umožnit provedení auditu, včetně inspekcí prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.
l) ukončit zpracování osobních údajů dnem ukončení doby trvání Hlavní smlouvy a předat zpracovávané osobní údaje Správci. 

Povinnosti Zpracovatele v případě porušení zabezpečení osobních údajů

1.	Zpracovatel je povinen neprodleně informovat Správce o každém případu porušení bezpečnosti osobních údajů Správce, jehož se dopustí Zpracovatel nebo osoba zaměstnaná Zpracovatelem, nebo pokud se domnívá, že došlo k porušení GDPR nebo jiných právních předpisů na ochranu osobních údajů. To samé platí, pokud Zpracovatel zjistí, že jeho technická a organizační opatření nejsou v souladu se zákonnými požadavky.
2.	Zpracovatel je povinen hlásit porušení zabezpečení osobních údajů Správci bez zbytečného odkladu ve smyslu čl. 33 odst. 2 GDPR. 


Odměna Zpracovatele

Odměna Zpracovatele za zpracování osobních údajů je zahrnuta v ceně uvedené ve smlouvě.

Odpovědnost za újmu, správní pokuta
1. Zpracovatel odpovídá za újmu, která vznikla Správci či třetím osobám v důsledku porušení povinností Zpracovatele dle této Smlouvy anebo GDPR.
2. Zpracovatel rovněž odpovídá za jakoukoliv újmu, která vznikne Správci či třetím osobám porušením povinností dalšího zpracovatele vyplývajících z této Smlouvy anebo GDPR.
3. Bude-li Správce povinen nahradit třetí osobě (dále jen „třetí osoba“) újmu s odkazem na čl. 82 GDPR, a vznikne-li tato povinnost v důsledku porušení povinnosti Zpracovatele uvedených v této Smlouvě anebo GDPR, zavazuje se Zpracovatel uhradit Správci na jeho výzvu a ve lhůtě ve výzvě
stanovené částku odpovídající výši újmy, kterou byl Správce nucen zaplatit třetí osobě.
4. Bude-li Správce povinen zaplatit správní pokutu uloženou dozorovým úřadem v souladu s čl. 83 GDPR, a vznikne-li tato povinnost Správci v důsledku porušení povinností Zpracovatele uvedených v této Smlouvě anebo GDPR, zavazuje se Zpracovatel uhradit Správci na jeho výzvu a ve lhůtě ve výzvě stanovené částku odpovídající výši pokuty, kterou byl Správce nucen uhradit na základě rozhodnutí dozorového úřadu.


Bezpečnostní pravidla informačního systému (IS) Zlínského kraje (ZK)
Verze 2.7
ICT (informační a komunikační technologie) jsou veškeré informační technologie používané pro komunikaci a práci s informacemi
IS (Informační systém) je celek složený z počítačového hardwaru, souvisejícího softwaru a dat.
Správce IS je pracovník Odboru informačních a komunikačních technologií, Oddělení serverové a síťové infrastruktury ZK. Je uveden jako odpovědná osoba předávajícího v předávacím protokolu o předání přihlašovacích údajů.
Druhá smluvní strana je subjekt, se kterým Zlínský kraj uzavřel smlouvu, jejíž přílohou jsou tato bezpečnostní pravidla, a dále všichni jeho pracovníci, poddodavatelé apod. 

Při porušení bezpečnostních pravidel druhou smluvní stranou mohou být přidělené přístupové účty bez předchozího upozornění zablokovány nebo zcela odebrány.

1) Přístup k IS ZK
a) Přístup jiných subjektů (druhé smluvní strany) k IS ZK je možný pouze na základě smluvně ošetřeného vztahu se Zlínským krajem.
b) Druhá smluvní strana je povinna používat pouze jí přidělené přístupy a povolené způsoby přístupu, (fyzické přístupy, přístupové údaje, povolené časy pro přístup a přidělená oprávnění), a je odpovědná za jejich používání. Přidělené údaje jsou pro druhou stranu závazné, jsou důvěrné a jsou platné jen po dobu platnosti smlouvy. Tyto údaje jsou uvedeny v Předávacím protokolu k účtu. Přidělené přístupové údaje jsou přiděleny konkrétní osobě a nesmí být sdíleny.
c) Přístupy a přístupová oprávnění jsou přidělena pouze v rozsahu nezbytně nutném pro výkon smluvních závazků. Druhá smluvní strana nesmí bez souhlasu správce IS vytvářet nové přístupové účty a do přidělených účtů a oprávnění zasahovat a měnit je. Pokud druhá smluvní strana zjistí, že skutečná oprávnění jsou odlišná od dohodnutých, neprodleně na to upozorní odpovědné osoby nebo Správce IS.
d) Přistupovat k IS ZK mohou pouze poučení pracovníci druhé smluvní strany. Druhá smluvní strana zajistí před zahájením prací poučení a proškolení všech svých pracovníků a subdodavatelů, kteří budou přistupovat k IS ZK.
2) Práce v IS ZK
a) Druhá smluvní strana je povinna dodržovat bezpečnostní pravidla a stanovené postupy pro práci v IS ZK a nese v souladu s platnou legislativou a předpisy svůj díl odpovědnosti za nedodržení či porušení pravidel, případně za škody vzniklé v důsledku bezpečnostních incidentů, které zavinila. 
b) Druhá smluvní strana zajistí přiměřenou úroveň bezpečnostního povědomí svých zaměstnanců a dodavatelů, kteří se podílejí na plnění předmětu smlouvy.
c) Je přísně zakázáno vykonávat jiné než dohodnuté činnosti, přistupovat k jiným než povoleným prostředkům, službám, serverům a datům, a tyto zdroje nesmí neúměrně zatěžovat. Dále je zakázáno provádět jakékoli úkony směřující k zjišťování rozsahu přidělených oprávnění, monitorování síťové komunikace, dostupnosti síťových prostředků a služeb a způsobů zabezpečení které nesouvisí s plněním předmětu smlouvy, a provádět pokusy o jejich překonání.
d) Druhá smluvní strana nesmí vytvářet žádné přístupové cesty do IS ZK a měnit přístupová oprávnění. Tyto změny může provádět Správce IS na základě písemné žádosti.   
e) Činnost druhé smluvní strany v IS ZK je monitorována a evidována. Neoprávněné aktivity může Správce IS zakázat. Pověření pracovníci ZK mohou ověřovat dodržování stanovených bezpečnostních pravidel a plnění smluvních povinností, nebo je nechat prověřit třetí stranou. Druhá smluvní strana jim při tom poskytne nezbytnou součinnost. V případě zjištění nedostatků je povinna druhá smluvní strana tyto odstranit ve lhůtě stanovené Správcem IS.
f) Pracovníci druhé smluvní strany jsou povinni řídit se pokyny odpovědných osob (uvedených ve smlouvě), Správců IS a dalších pracovníků Odboru informačních a komunikačních technologií. 
g) Druhá smluvní strana je povinna bez zbytečného prodlení předávat Správci IS informace o provedených zásazích a změnách, promítnout je do dokumentace a předat Správci IS. Všechny změny, které mohou ovlivnit bezpečnost IS ZK, musí být předem projednány a schváleny Správcem IS. 

3) Účty a hesla
a) Druhá smluvní strana je povinna chránit přístupové účty heslem. Druhá strana nesmí sdělit názvy účtů a hesla žádné neoprávněné osobě. Heslo musí splňovat aktuální požadavky ZK na kvalitu a platnost a musí být uchováno v tajnosti. Hesla musí být vždy předávána bezpečným způsobem. Pokud je to možné, musí být použita více faktorová autentizace.
b) Přístupové účty jsou standardně neaktivní. Jejich aktivaci na dobu nezbytnou k provedení dohodnutých prací schvalují a zajištují na základě žádosti druhé smluvní strany odpovědné osoby ZK. Žádost musí obsahovat informace o prováděných činnostech a předpokládané době prací. Druhá smluvní strana nesmí bez předchozího schválení provádět jiné než nahlášené práce. 

4) Vzdálený přístup a vzdálená údržba
a) Vzdálený přístup do IS ZK je možný pouze způsobem schváleným ZK, popsaným ve smlouvě nebo schválené technické dokumentaci. Vzdálený přístup musí být vždy šifrován. Přistup ke konkrétním systémům či technologiím musí probíhat přes přidělený přístupový „jump server“ ZK, na kterém musí být viditelné všechny prováděné činnosti. Činnosti vzdálené správy jsou ze strany ZK zaznamenávány.
b) Druhá smluvní strana smí vzdáleně přistupovat do IS ZK pouze z pracovní stanice, která má nainstalovaný podporovaný operační systém, nainstalovány všechny bezpečnostní záplaty operačního systému vydané výrobcem, a má aktivní a aktuální antivirovou ochranu.
c) Druhá smluvní strana smí vzdáleně přistupovat do IS ZK pouze z ověřených IP adres. Konkrétní IP adresy schvaluje Správce IS. 
d) Přístup k IS ZK za účelem vzdálené údržby musí být chráněn kromě šifrování i silnou autentizací druhé smluvní strany.
e) Pracovní stanice určené k přístupu do IS ZK ze vzdálené lokality musí být druhou smluvní stranou fyzicky zabezpečeny proti přístupu neoprávněných osob.
5) Zabezpečení fyzického přístupu k IS
a) Servery, síťové komponenty a další ICT zařízení jsou zabezpečeny proti fyzickému přístupu. Přístup do místností se servery s citlivými daty a přístup k síťovým zařízením je regulován a odpovídajícím způsobem monitorován. Pokud fyzické zabezpečení citlivých dat není dostatečné, musí být zabezpečena šifrováním.
b) Opravy ICT komponent mohou být prováděny pouze na základě smluvně ošetřeného vztahu se ZK.
c) Fyzický přístup k prostředkům IS je umožněn pouze druhým smluvním stranám (servisní a dodavatelské organizace, dohody o provedení práce apod.), u kterých udělení přístupu vyplývá z uzavřené smlouvy. Fyzický přístup k prostředkům IS je možné uskutečnit pouze se souhlasem Správce IS nebo vedoucího oddělení serverové a síťové infrastruktury, Odboru informačních a komunikačních technologií.
d) Pohyb pracovníků druhých smluvních stran v prostorách serverovny (servisní zásah, revize zařízení apod.) je možný pouze v doprovodu odpovědných pracovníků Odboru informačních a komunikačních technologií nebo jimi pověřených osob.
e) Pro přímé připojení (v prostorách ZK) do IS ZK smí být použita pouze přidělená technika ZK. Připojování cizí techniky do vnitřní sítě ZK je zakázáno. Výjimky povoluje Správce IS.
f) Na přidělenou techniku ZK nesmí být bez souhlasu Správce IS nahráván, instalován nebo z ní odebírán žádný software.
g) Při opuštění pracoviště musí druhá smluvní strana provést jeho zajištění (pracovní stanice, nosiče dat, papírové dokumenty) před neoprávněným přístupem.
h) Druhá smluvní strana je povinna uchovávat přenosná paměťová média na bezpečném místě, např. v uzamčené skříni, stolu nebo místnosti. Originální datová média a záložní kopie citlivých souborů musí být chráněna nejen proti odcizení a zneužití, ale i proti poškození nebo zničení.
i) Druhá smluvní strana je povinna chránit přidělené pracovní stanice a data na nich uložená proti odcizení, proti neoprávněnému přístupu a proti poškození nebo zničení.
6) Důvěrnost informací
a) Za důvěrné informace ZK (bez ohledu na formu jejich zachycení) se považují zejména veškeré technické informace o IS ZK, které nebyly ze strany ZK označeny jako veřejné.
b) Druhá smluvní strana je povinna zajistit odpovídající ochranu všech důvěrných informací.
7) Ochrana dat a informačních aktiv
a) Data ZK jsou ve vlastnictví ZK, který k nim má primární užívací právo. 
b) Druhá smluvní strana je povinna chránit všechna data ZK, se kterými přijde do styku. Všechny nové aplikace a aktualizace musí být ověřeny v testovací prostředí. Používat ostrá data pro zkušební a testovací účely je zakázáno. Výjimku může v odůvodněných případech povolit pouze vedoucí odboru ICT.
c) Druhá smluvní strana odpovídá za všechna převzatá data (elektronická a tištěná), způsob jejich použití a ochranu před neoprávněným přístupem a zneužitím. Není-li ve smlouvě stanoveno jinak, před ukončením smluvního vztahu druhá smluvní strana vrátí všechna převzatá data a všechny jejich kopie bezpečně zlikviduje.
d) Druhá smluvní strana je do protokolárního předání pracovníkům ZK odpovědná za všechna zpracovávaná aktiva a je povinna je odpovídajícím způsobem zabezpečit. Dále je povinna vytvořit a průběžně aktualizovat plán zálohování.
e) Ukládání pracovních dat je možné pouze na místa, která určí odpovědná osoba.
f) Druhá smluvní strana nesmí zobrazovat, měnit, mazat nebo kopírovat citlivá data, zejména pak osobní údaje, pokud to nesouvisí se schváleným účelem přístupu. 
g) Vadná zařízení (včetně pevných disků) s nešifrovanými citlivými daty mohou být druhou smluvní stranou předány externím servisním specialistům pouze po schválení Správcem IS nebo vedoucím oddělení serverové a síťové infrastruktury, Odboru informačních a komunikačních technologií.
h) Pokud druhá smluvní strana při práci v IS ZK přijde do styku s osobními údaji dle platné legislativy nebo jinými neveřejnými informacemi, je povinna o zjištěných skutečnostech zachovávat mlčenlivost a zajistit jejich utajení.
i) Všechna nepotřebná data (elektronická, na mediích i papírová) musí být druhou smluvní stranou vždy neprodleně bezpečně skartována.
j) Druhá smluvní strana je povinna všechny zásahy na serverech předem odsouhlasit se Správcem IS a zaznamenat stanoveným způsobem.
k) Druhá smluvní strana je povinna řídit změny v konfiguraci systému, při realizaci aktualizací, zálohování apod. Druhá smluvní strana navrhne předmětné změny, tyto zdokumentuje a předloží Správci IS. Druhá smluvní strana poskytuje součinnost Správci IS při vyhodnocení rizik (např. prostřednictvím analýzy rizik) a potencionálních dopadů změny. Druhá smluvní strana je povinna v případě vyžádání Správcem IS provést testování funkčnosti a bezpečnosti změny. Změnu provede až po odsouhlasení Správcem IS, přičemž vždy takovým způsobem, aby byla zaručena i možnost navrácení do předchozího stavu.
l) Druhá smluvní strana je povinna řídit rizika a na požádání informovat Správce IS jakým způsobem řídí rizika (včetně popisu způsobu řízení rizik či metody řízení) a jaká jsou zbytková rizika související s předmětem dodávané služby. Správce IS má právo způsob řízení rizik u druhé smluvní strany ověřit a druhá strana je povinna poskytnout Správci IS nezbytnou součinnost.
8) Ochrana proti škodlivým kódům
a) Druhá smluvní strana je povinna všechny servery a pracovní stanice v IS ZK a pracovní stanice druhé smluvní strany, které se připojují k IS ZK, vybavit antivirovým skenerem. Výjimky schvaluje Správce IS. 
b) Pokud některé aplikace nabízejí možnost zvýšené ochrany, musí být odpovídajícím způsobem nastavena. Způsob nastavení schvaluje Správce IS.
c) Nebezpečné typy souborů jsou blokovány na hranicích bezpečnostního perimetru. Výjimky schvaluje v řádně odůvodněných a zdokumentovaných případech Správce IS.
d) Druhá smluvní strana je povinna dodržovat zásady ochrany proti virům a škodlivým kódům nejen pro nastavení a využívání prostředků ZK, ale i na přístupových bodech a svých vlastních zařízeních.
e) Druhá smluvní strana je povinna pro zajištění provozní a komunikační bezpečnosti provádět pravidelné sledování a analýzy technických zranitelností a jejich následné ošetření.
9) Bezpečnostní incidenty
a) Druhá smluvní strana je povinna neprodleně (telefonicky a následně písemně např. prostřednictvím Helpdesku, e-mailu apod.) hlásit odpovědným osobám porušení těchto Bezpečnostních pravidel, všechny zjištěné neobvyklé události, které jsou, nebo mohou být bezpečnostními incidenty, a to zejména ve vztahu k plnění smlouvy, jejíž přílohou jsou tato bezpečnostní pravidla, zjištěná zranitelná místa, nedostatky a nesoulady. Při jejich prošetřování a odstraňování je povinna poskytnout účinnou součinnost.
b) Druhé smluvní straně není povoleno řešení bezpečnostních incidentů a odstraňování nedostatků či nesouladů vlastními silami bez předchozího schválení Správcem IS.
10) Používání internetu
a) Druhá smluvní strana může používat při práci v IS ZK internet pouze pro účely plnění smlouvy a za podmínky dodržování všech všeobecně uznávaných bezpečnostních pravidel, platných pro práci s internetem. Stahování souborů, používání FTP a jiných služeb je možné jen po dohodě se Správcem IS.
b) Pokud není ve smlouvě stanoveno jinak, není povoleno využívat elektronickou korespondenci z prostředí ZK.
11) Tisk
a) Druhá smluvní strana může tisknout na tiskárnách ZK pouze s povolením odpovědné osoby. Tisknout je povoleno pouze dokumenty související s předmětem smlouvy a při tisku je nutno šetřit spotřební materiál.
b) Druhá smluvní strana je povinna zabezpečit tištěné dokumenty proti neoprávněnému přístupu jak během tisku, tak i po jeho vytisknutí, až do jejich bezpečné skartace.
12) Použití kryptografických technik 
a) Kryptografické metody musí být druhou smluvní stranou použity vždy, jestliže není možné bezpečnost dat nebo komunikace zaručit jinými způsoby. Jedná se např. o přenosy citlivých dat prostřednictvím nedůvěryhodných sítí nebo přístup externích subjektů k citlivým zdrojům.
b) Druhá smluvní strana je oprávněna použít pouze takové kryptografické algoritmy a protokoly a v takovém užití (např. odpovídající délky klíčů), které jsou podle platných standardů všeobecně považovány za bezpečné. 
c) Druhá smluvní strana není oprávněna použít proprietární nebo obecně neuznávané algoritmy, výjimky povoluje Správce IS. 

13) Předání dat
a) Data vzniklá při používání systému musí být exportovatelná v otevřeném, strukturovaném a strojově čitelném formátu (např. formát csv, xml, json), přičemž přesný formát odsouhlasuje Správce IS. K exportovaným datům bude dodán popis struktury, význam a vazby mezi jednotlivými daty.
b) Data musí být předána při ukončení smluvního vztahu a kdykoliv na vyžádání Správce IS. V případě, že Správce IS při ukončení smluvního vztahu rozhodne, že již data nejsou potřebná, zajistí druhá smluvní strana jejich bezpečnou likvidaci. Konkrétní způsob likvidace dat musí být odsouhlasen Správcem IS. 
c) Druhá smluvní strana je povinna poskytnout nezbytnou součinnost (včetně případné migrace dat) týkající se změn v IS ZK, a to kdykoliv na požádání Správce IS nebo v případě ukončení smlouvy, jejíž přílohou jsou tato bezpečnostní pravidla. 
14) Smluvní pokuty
a) Pokud druhá smluvní strana poruší bezpečnostní pravidla uvedená v článku 1, písm. b) až d), článku 2, písm. b), c), d), f), g), článku 3, písm. a), článku 4, písm. b) až e), článku 5, písm. e) až i), článku 7, písm. b) až l), článku 8, písm. a), d), e), článku 9, písm. a), b), článku 10, písm. a), článku 11, písm. b), článku 12, písm. a) až c), článku 13, písm. a) až c) je Zlínský kraj oprávněn po druhé smluvní straně požadovat a druhá smluvní strana je povinna v případě uplatnění tohoto práva zaplatit Zlínskému kraji pokutu za každý zjištěný případ porušení. Výše smluvní pokuty je uvedena ve smlouvě.

Stránka 2 z 13