Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
U IVERZITA
KARLOVA
SMLOUVA O POSKYTOVÁNÍ SERVISNÍCH SLUŽEB
č. UKRUK/ 285141/2025
(dále jen ,,Smlouva")
Smluvní strany:
Univerzita Karlova
se sídlem: Ovocný trh 560/5, 116 36 Praha 1
zastoupená: Mgr. Martinem Maňáskem, kvestorem
IČO:00216208,DIČ:CZ00216208
bank. spojení: Česká spořitelna, a.s., pobočka v Praze 1, č. účtu: 909909339/0800
ID datové schránky: piyj9b4
(dále jen,,Objednatel")
a
InQool, a. s
se sídlem: Brno, Svatopetrská 35/7, PSČ 61700
registrovaný: v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl B, vložka
6125
zastoupený: Mgr. Tiborem Szabó a Mgr. Peterem Halmo, členy představenstva společně
IČO: 292 22 389, DIČ: CZ29222389
tel.: +420 605 477 976
bank. spojení: Československá obchodní banka, a. s., č. účtu: 342080282/0300
ID datové schránky: m5cre4f
(dále jen,,Poskytovatel")
(dále společně Objednatel a Poskytovatel jako „smluvní strany")
uzavřely v souladu s ustanovením § 2631 a násl. zákona č. 89/2012 Sb., občanského
zákoníku, ve znění pozdějších předpisů (dále jen ,,občanský zákoník") tuto Smlouvu takto:
1
1. Úvodní prohlášení
1.1. Univerzita Karlova (dále též,,UK"), v souladu se zákonem č. 111/1998 Sb., o vysokých
školách a o změně a doplnění dalších zákonů, v platném znění (zákon o vysokých
školách), jako Objednatel prohlašuje, že je oprávněna uzavřít a řádně plnit tuto
Smlouvu a závazky v ní obsažené.
1.2. Společnost InQool, a. s. jako Poskytovatel prohlašuje, že je právnickou osobou řádně
založenou a zapsanou podle českého právního řádu v obchodním rejstříku vedeném
Krajským soudem v Brně, oddíl B, vložka 6125, a že splňuje veškeré podmínky a
požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně
plnit závazky v ní obsažené.
1.3. Poskytovatel prohlašuje, že ve smyslu§ 4b) zákona č. 159/2006 Sb., o střetu zájmů,
ve znění pozdějších předpisů (dále jen „zákon o střetu zájmů"), není a ani jeho
poddodavatelé nejsou obchodní společností, ve které veřejný funkcionář uvedený
v § 2 odst. 1 písm. c) zákona o střetu zájmů nebo jím ovládaná osoba, vlastní podíl
představující alespoň 25% účasti společníka v obchodní společnosti. Nesplnění
povinností Poskytovatele dle tohoto ustanovení Smlouvy se považuje za podstatné
porušení Smlouvy.
1.4. Poskytovatel prohlašuje, že se na něj, jeho poddodavatele a ani na jím nabízené
plnění nevztahují sankce EU a že on ani jeho poddodavatel (poddodavatelé) není
osobou, subjektem či orgánem uvedeným na sankčním seznamu EU, nebo osobu,
subjektem či orgánem, na které se vztahuje zákaz zadat nebo dále plnit veřejnou
zakázku (čl.5k Nařízení Rady (EU) č. 2022/576 ze dne 8.4.2022, kterým se mění
Nařízení (EU) č. 833/2014, o omezujících opatřeních vzhledem k činnostem Ruska,
destabilizujícím situaci na Ukrajině).
2. Východiska a účel Smlouvy
2.1. Poskytovatel je podnikatelem v oblasti poskytování IT služeb a prohlašuje, že je
schopen Objednateli dodat plnění blíže specifikované v této Smlouvě.
2.2. Účelem této Smlouvy je určit podmínky a rozsah služeb, které Poskytovatel bude
poskytovat Objednateli.
2.3. Smluvní strany se zavazují poskytovat si navzájem součinnost vyplývající z této
Smlouvy, nezbytnou pro řádné plnění povinností vyplývajících z této Smlouvy.
Smluvní strany se zejména zavazují informovat se bez zbytečného odkladu o všech
skutečnostech a okolnostech, které mají nebo mohou mít vliv na řádné plnění
povinností smluvních stran dle této Smlouvy.
2.4. Smluvní strany berou na vědomí, že bude mezi smluvními stranami ihned po
podpisu této Smlouvy uzavřena taktéž Zpracovatelská smlouva vymezující
podmínky ochrany osobních údajů, zpracovávaných Poskytovatelem v rámci plnění
předmětu této Smlouvy (dále jen „Zpracovatelská smlouva").
3. Předmět Smlouvy
3.1. Předmětem plnění této Smlouvy je poskytování služeb SLA a služeb spočívajících
v provádění Objednatelem vyžádaných volitelných úprav na Portál výdeje
2
studentských a zaměstnaneckých karet („podporovaný produkt" nebo ,,Portál"),
blíže specifikovaného v Příloze č. 1 této Smlouvy (dále jen ,,předmět plnění") za cenu
uvedenou v čl. 6.2. a 6.3. této Smlouvy.
3.2. Poskytovatel se na základě této Smlouvy zavazuje zajistit řádné a včasné poskytování
služeb SLA tak, aby Objednatel mohl řádným způsobem Portál užívat. Objednatel má
právo na řádné a včasné poskytnutí služeb SLA ze strany Poskytovatele.
3.3. Předmět plnění sestává ze služeb, pro které platí, že:
3.3.1. Popis služeb v rámci SLA (dále jen „poskytováníslužeb SLA"):
a) Poskytovatel se zavazuje provádět pravidelnou údržbu Portálu u Objednatele
formou pravidelných měsíčních kontrol technického stavu provozu Portálu a
konzistence dat v datové základně systému.
b) Poskytovatel se zavazuje poskytovat Objednateli bezodkladnou podporu při
řešení věcných, organizačních, technických a provozních záležitostí spojených s
užíváním Portálu formou poradních a konzultačních služeb po telefonu, e-mailu
nebo osobní asistencí, poskytovaných pracovníky Poskytovatele na vyžádání
pracovníků Objednatele.
c) Správa a provoz Portálu.
3.3.2. Poskytnutí volitelných úprav (dále jen„volitelné úpravy"):
Poskytovatel vyhradí způsobilé odborné kapacity v rozsahu 8 člověkohodin
měsíčně za účelem jejich poskytnutí Objednateli k provedení úprav na
podporovaném produktu, kde tyto odborné kapacity nemusí být Objednatelem
v rámci plnění této Smlouvy vyčerpány, přičemž volitelné úpravy sestávají
z následujících činností:
a) poskytování odborných personálních kapacit způsobilých provádět technické
úpravy podporovaného produktu,
b) provádění úprav podporovaného produktu na základě předchozí písemné
objednávky Objednatele,
c) navrhování vhodných úprav podporovaného produktu, vedoucích ke
zefektivnění procesů koncových uživatelů podporovaného produktu, či
k vytvoření jiné přidané hodnoty pro Objednatele.
3.4. Bližší parametry služeb SLA a volitelných úprav jsou uvedeny v Příloze č. 1 této
Smlouvy.
3.5. Poskytovatel prohlašuje, že se seznámil s rozsahem a povahou předmětu plnění. Jsou
mu známy veškeré technické, kvalitativní a jiné podmínky nezbytné k řádnému
plnění této Smlouvy. Poskytovatel prohlašuje, že předmět plnění není plněním
nemožným a pečlivě zvážil všechny možné důsledky uzavření této Smlouvy.
3.6. Poskytovatel se zavazuje, že bude poskytovat služby SLA a provádět volitelné úpravy
řádně a včas Objednateli v ujednaném množství, jakosti a provedení.
3.7. Poskytovatel se zavazuje postupovat při poskytování služeb SLA a provádění
volitelných úprav s odbornou péčí, podle nejlepších znalostí a schopností, sledovat a
chránit oprávněné zájmy Objednatele a postupovat v souladu s jeho pokyny a
interními předpisy souvisejícími se službami, které Objednatel Poskytovateli
poskytne nebo s pokyny jím pověřených osob.
3
4. Doba a místo plnění
4.1. Poskytování služeb SLA a provádění volitelných úprav bude zahájeno nejpozději do
pěti pracovních dnů od nabytí účinnosti této Smlouvy.
4.2. Poskytovatel se zavazuje poskytovat předmět plnění dle článku 3. této Smlouvy po
dobu 12 kalendářních měsíců od nabytí účinnosti této Smlouvy.
4.3. Místem plnění je sídlo Objednatele.
4.4. Pokud to povaha plnění této Smlouvy umožňuje a Objednatel vůči tomu nemá
výhrady, je Poskytovatel oprávněn poskytovat služby SLA a provádět volitelné
úpravy také vzdáleným přístupem, a to takovým způsobem, kterým nedojde
k narušení systému řízení bezpečnosti Objednatele.
4.5. Povinnost Poskytovatele poskytovat služby SLA a provádět volitelné úpravy je
splněna jejich včasným a řádným provedením.
4.6. Zdržení provedení služeb SLA a/nebo volitelných úprav zapříčiněné vyšší mocí, mezi
což se počítá např. porucha strojů, nezaviněný výpadek dodávek energie a surovin
nebo zdržení na straně výrobců a dodavatelů Poskytovatele, a vlivy, které
Poskytovatel nemohl ovlivnit bez neúměrného finančního zatížení, nejsou pro
Objednatele důvodem k odstoupení od této Smlouvy.
5. Práva a povinnosti stran
5.1. Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré
informace potřebné pro řádné plnění svých závazků. Smluvní strany jsou povinny
informovat druhou Smluvní stranu o veškerých skutečnostech, které jsou nebo
mohou být důležité pro řádné plnění této Smlouvy.
5.2. Smluvní strany jsou povinny plnit své závazky vyplývající z této Smlouvy takovým
způsobem, aby nedocházelo k prodlení s plněním jednotlivých termínů a k prodlení
splatnosti jednotlivých peněžních závazků.
5.3. Veškerá komunikace mezi Smluvními stranami bude probíhat prostřednictvím
oprávněných osob, nebo jimi pověřených osob, nebo statutárního orgánu Smluvních
stran.
5.4. Poskytovatel se zavazuje:
a) poskytovat řádně a včas předmět plnění bez faktických a právních vad;
b) postupovat při realizaci plnění s odbornou péčí, podle nejlepších znalostí a
schopností, sledovat a chránit oprávněné zájmy Objednatele a postupovat
v souladu s jeho pokyny a interními předpisy souvisejícími s plněním (či jeho
dílčích částí), které Objednatel Poskytovateli poskytne, nebo s pokyny jím
pověřených osob;
c) poskytnout Objednateli veškerou nezbytnou součinnost k naplnění účelu
Smlouvy;
d) na žádost Objednatele spolupracovat či poskytnout maximální součinnost dalším
Poskytovatelům Objednatele. Požadavky na součinnost Poskytovatele ke třetí
straně (dalším poskytovatelům nebo dodavatelům Objednatele) budou vždy
4
5.5. před zahájením součinnosti upřesněny podle konkrétních požadavků
5.6. Objednatele.
5.7. Poskytovatel je při plnění této Smlouvy povinen dodržovat Bezpečnostní požadavky
dle přílohy č. 4 této Smlouvy.
5.8.
5.9. Poskytovatel se zavazuje plnění dle této Smlouvy dodávat sám nebo s využitím
5.10. poddodavatelů uvedených v Příloze č. 3 této Smlouvy (dále jen „Poddodavatel").
5.11. Jakákoliv dodatečná změna osoby Poddodavatele nebo rozsahu plnění svěřeného
5.12. Poddodavateli dle vymezení v Příloze č. 3 Smlouvy musí být předem písemně
5.13. schválena Objednatelem. Pokud se má změna týkat Poddodavatele, prostřednictvím
kterého Poskytovatel ve výběrovém řízení prokazoval splnění kvalifikace, musí nový
Poddodavatel splňovat tutéž minimální kvalifikaci jako Poddodavatel původní a
uvedené musí být Objednateli bez jakýchkoli pochybností doloženo. Povinnost
Poskytovatele dle předchozí věty se uplatní i pro případy, kdy by plnění původně
svěřené Poddodavateli realizoval Poskytovatel sám. Objednatel svůj souhlas s
případnou změnou Poddodavatele neodepře bezdůvodně.
Všechny osoby, které Poskytovatel při plnění Smlouvy použije, musí splňovat
veškeré předpoklady vyžadované pro tuto činnost Smlouvou a účinnými právními
předpisy, musí být bezúhonné a musí být plně seznámeny s důsledky možné trestní
odpovědnosti právnických osob. Provedení činnosti dle Smlouvy Poddodavatelem
nezbavuje Poskytovatele jeho odpovědnosti vůči Objednateli. Poskytovatel
odpovídá Objednateli za činnost dle Smlouvy, kterou svěřil Poddodavateli,
ve stejném rozsahu, jako by ji poskytoval sám.
Poskytovatel se v souladu s§ 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole
ve veřejné správě a o změně některých zákonů ve znění pozdějších právních
předpisů stane osobou povinnou spolupůsobit při výkonu finanční kontroly a plnit
veškeré povinnosti, které mu jsou tímto zákonem uloženy. Tímto nejsou dotčeny
ostatní povinnosti Poskytovatele vyplývající ze Smlouvy.
Poskytovatel je povinen k náhradě škody bez ohledu na to, zda je škoda kryta
pojištěním. Škoda může být, byť částečně, uhrazena pojišťovnou dle sjednaného
pojištění odpovědnosti za škodu.
Poskytovatel se zavazuje udržovat v platnosti a účinnosti po celou dobu účinnosti
této Smlouvy pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za
škodu způsobenou Poskytovatelem třetí osobě (zejména Objednateli) a to tak, že
limit pojistného plnění vyplývající z pojistné smlouvy nesmí být nižší než 2 000 000
Kč (slovy: dva milióny korun českých). V případě, že Poskytovatel má sjednanou
spoluúčast u tohoto pojištění, nesmí být tato spoluúčast vyšší než 10 000 Kč.
Poskytovatel neodpovídá za vady způsobené třetí osobou nebo událostí, za kterou
tato osoba odpovídá, nebo za vady způsobené okolnostmi vylučujícími odpovědnost
podle§ 2913 odst. 2 občanského zákoníku.
Poskytovatel přebírá nebezpečí změny okolností ve smyslu ustanovení§ 2620 odst.
2 občanského zákoníku.
Objednatel se zavazuje zaplatit Poskytovateli za řádně a včas poskytnuté plnění
předmětu plnění dle této Smlouvy v souladu se všemi podmínkami Smlouvy
sjednanou cenu dle Smlouvy.
5
5.14. Objednatel se dále zavazuje:
a) poskytovat Poskytovateli úplné, pravdivé a včasné informace potřebné
k řádnému a včasnému plnění;
b) zabezpečit pro pracovníky Poskytovatele přístup do určených objektů
Objednatele za účelem řádného a včasného plnění Smlouvy;
c) poskytnout Poskytovateli součinnost potřebnou k řádné a včasné realizaci
plnění, kterou je po něm Poskytovatel jako osoba, která disponuje kapacitami a
odbornými znalostmi, které jsou nezbytné pro realizaci plnění s odbornou péčí,
oprávněna požadovat.
6. Cenové a platební podmínky
6.1. Cena za poskytnutí předmětu plnění dle této Smlouvy je cenou nejvýše přípustnou,
nepřekročitelnou a zahrnující veškeré náklady Poskytovatele nutné k řádnému a
včasnému provedení předmětu plnění. Součástí ceny je i cena za služby a dodávky,
které nejsou výslovně uvedeny, ale Poskytovatel jakožto odborník o nich ví nebo má
vědět, že jsou nezbytné pro řádné a včasné plnění. Poskytovatel nese veškeré
náklady nutně nebo účelně vynaložené při plnění závazku ze Smlouvy včetně
správních poplatků.
6.2. Cena za poskytování služeb SLA dle této Smlouvy je stanovena dohodou smluvních
stran formou měsíčních paušálních plateb ve výši 11 000 Kč bez DPH/měsíc. Kčástce
bez DPH je Poskytovatel povinen dopočítat DPH dle aktuálně platné sazby DPH.
6.3. Cena za provedení volitelných úprav dle této Smlouvy je stanovena dohodou
smluvních stran formou sazby za člověkohodinu ve výši 1 000 Kč bez DPH. K částce
bez DPH je Poskytovatel povinen dopočítat DPH dle aktuálně platné sazby DPH.
6.4. Cena za poskytování Servisních služeb dle čl. 3. této Smlouvy bude fakturována za
každý kalendářní měsíc, v němž byly Servisní služby poskytovány. V případě, že
Servisní služby nebudou poskytovány po celou dobu kalendářního měsíce, sníží se
fakturovaná částka poměrným způsobem s ohledem na dobu, po kterou byly
Servisní služby skutečně poskytovány.
6.5. Poskytovatel není oprávněn požadovat navýšení cen, s výjimkou úpravy
v souvislosti s případnou změnou daňových předpisů týkajících se DPH, a to
v souladu s touto legislativní změnou.
6.6. Daňový doklad-faktura bude vystavena nejpozději do deseti (10) kalendářních dnů
po skončení kalendářního měsíce.
6.7. Každá faktura vystavená Poskytovatelem dle této Smlouvy bude vystavena jako
daňový doklad se zúčtováním DPH podle předpisů platných k datu zdanitelného
plnění a musí mít náležitosti stanovené příslušnými právními předpisy pro daňový
doklad. Splatnost faktury bude třicet (30) kalendářních dnů od prokazatelného
doručení faktury Objednateli. Dnem uhrazení faktury je den, kdy byla příslušná
částka odepsána z účtu Objednatele ve prospěch účtu Poskytovatele.
6.8. Daňový doklad-faktura za provedení volitelných úprav bude vystavena na základě
akceptačního protokolu, potvrzeného ze strany Objednatele, a to nejpozději do
deseti (10) kalendářních dnů po skončení kalendářního měsíce.
6
6.9. Faktura Poskytovatele musí být vystavena v souladu s touto Smlouvou a musí mít
náležitosti daňového dokladu dle zákona č. 235/2004 Sb., ve znění pozdějších
6.10. předpisů, zejména:
6.11.
6.12. a) evidenční číslo daňového dokladu,
6.13.
b) název a sídlo Objednatele a Poskytovatele,
c) číslo Smlouvy a den jejího uzavření,
d) datum vystavení daňového dokladu a datum uskutečnění zdanitelného plnění,
e) označení banky a číslo účtu, na který má být zaplaceno a který je registrován
u příslušného správce daně a je zveřejněn způsobem umožňujícím dálkový přístup
ve smyslu zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění,
f) předmět plnění,
g) cenu bez daně, sazbu daně a její výše, pokud nejde o plnění dle ust. § 92e zákona
č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění,
h) v případě plnění dle ust. § 92e zákona o DPH poznámku „daň odvede zákazník",
i) IČO a DIČ Poskytovatele a Objednatele.
Poskytovatel nese odpovědnost za to, že sazba daně z přidané hodnoty je stanovena
v souladu s platnými právními předpisy.
Objednatel se zavazuje proplatit v termínu faktury vystavené Poskytovatelem
v souladu s ustanovením čl. 6. této Smlouvy. Nesprávně nebo neúplně vyplněnou
fakturu je Objednatel oprávněn vrátit Poskytovateli k opravě, po tuto dobu neběží
doba splatnosti faktury. Po prokazatelném doručení bezchybné faktury Objednateli
počíná běžet nová lhůta splatnosti.
Objednatel neposkytuje zálohové platby.
V případě, že se Poskytovatel stane nespolehlivým plátcem ve smyslu§ 106a zákona
č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění, je povinen o tom
neprodleně písemně informovat Objednatele. Bude-li Poskytovatel ke dni
uskutečnění zdanitelného plnění veden jako nespolehlivý plátce, bude část ceny za
předmět plnění dle této Smlouvy odpovídající dani z přidané hodnoty uhrazena
přímo na účet správce daně v souladu s ust. § 109a zákona č. 235/2004 Sb., o dani
z přidané hodnoty, v platném znění. O tuto částku bude ponížena celková cena a
Poskytovatel obdrží cenu dle této Smlouvy bez DPH. V případě, že se Poskytovatel
stane nespolehlivým plátcem ve smyslu tohoto bodu, má Objednatel současně právo
od této Smlouvy odstoupit.
7. Sankční ujednání a náhrada újmy
7.1. V případě prodlení Poskytovatele oproti lhůtám stanoveným pro úplné vyřešení
požadavků na odstranění chyby, tzv. ,,tiketu", uvedených v příloze č. 1 této Smlouvy,
zavazuje se Poskytovatel Objednateli zaplatit smluvní pokutu ve výši 250 Kč za
každou započatou hodinu prodlení a za každou chybu, s jejímž úplným vyřešením je
Poskytovatel v prodlení v případě „Chyby kategorie B" a „Chyby kategorie C",
případně smluvní pokutu ve výši 500 Kč za každou započatou hodinu prodlení a za
každou chybu, s jejímž úplným vyřešením je Poskytovatel v prodlení v případě
,,Chyby kategorie A".
7
7.2. V případě, že Objednatelem nebude uhrazena faktura v době splatnosti, je
7.3. Objednatel povinen zaplatit Poskytovateli úrok z prodlení ve výši dle platného
7.4. právního předpisu.
7.5.
V případě nesplnění povinnosti dle čl. 5.6. této Smlouvy zavazuje se Poskytovatel
7.6. Objednateli zaplatit jednorázovou smluvní pokutu ve výši 10 000 Kč.
7.7.
V případě nesplnění povinnosti dle čl. 5.10. této Smlouvy zavazuje se Poskytovatel
7.8. Objednateli zaplatit jednorázovou smluvní pokutu ve výši 10 000 Kč.
7.9.
7.10. Smluvní pokuty sjednané touto Smlouvou zaplatí povinná strana nezávisle na
7.11. zavinění a na tom, zda a v jaké výši vznikne druhé straně škoda, kterou lze vymáhat
samostatně. Zaplacením smluvní pokuty není dotčen nárok Objednatele na náhradu
škody způsobené mu porušením povinnosti Poskytovatele, ke které se vztahuje
smluvní pokuta. To platí i tehdy, bude-li smluvní pokuta snížena rozhodnutím soudu.
Smluvní pokuty je Objednatel oprávněn započíst proti pohledávce Poskytovatele,
s čímž Poskytovatel výslovně souhlasí a potvrzuje podpisem této Smlouvy.
Splatnost vyúčtovaných smluvních pokut je 14 dnů od data doručení písemného
vyúčtování příslušné smluvní straně. Za den úhrady smluvní pokuty je považován
den odepsání příslušné částky smluvní pokuty z účtu povinné smluvní strany ve
prospěch účtu oprávněné strany.
Výše uvedené smluvní pokuty je možné v případě závažného porušení povinností
Poskytovatele sčítat.
Náhrada újmy, výslovně neupravená touto Smlouvou, se řídí platnými ustanoveními
občanského zákoníku.
Poskytovatel neodpovídá za újmu, která prokazatelně vznikla tím, že od Objednatele
obdržel nevhodné podklady, informace a data a pokud by došlo k prodlení ze strany
Objednatele.
Splatnost smluvních pokut činí 30 kalendářních dnů od doručení nároku na její
uhrazení druhé smluvní straně.
8. Kybernetická bezpečnost
8.1. Poskytovatel tímto bere na vědomí, že Objednatel je osobou povinnou dle zákona
č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve
znění pozdějších předpisů (dále jen,,ZoKB") a plní povinnosti vyhlášky č. 82/2018
Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech,
reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a
likvidaci dat (dále jen,,VyKB").
8.2. Poskytovatel tímto bere na vědomí, že je pro Objednatele při zajišťování smluvního
vztahu založeného touto Smlouvou v pozici významného dodavatele ve smyslu
§ 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VyKB a v pozici možného budoucího
provozovatele ve smyslu § 2 písm. g) VyKB. V případě, že se Poskytovatel stane
provozovatelem ve smyslu shora uvedeného, bude o tomto informován
Objednatelem.
8.3. Objednatel je v souladu s ustanovením § 4 odst. 4 ZoKB a ve spojení s přílohou č. 7
8
VyKB povinen stanovit závazná bezpečnostní opatření, která se vztahují na
Poskytovatele při plnění předmětu této Smlouvy (dále jen „Bezpečnostní
opatření").
8.4. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechna
Bezpečnostní opatření uvedená v Příloze č. 3 této Smlouvy.
8.5. Poskytovatel se dále zavazuje:
8.5.1. poskytnout na vyžádání Objednateli dokumenty, zprávy, a obdobné vstupy,
které budou prokazovat naplnění Bezpečnostních požadavků;
8.5.2. na požádání s Objednatelem konzultovat kdykoli v průběhu účinnosti této
Smlouvy detailní nastavení bezpečnostních opatření k naplnění
Bezpečnostních požadavků a pro takovéto konzultace zajistit účast
kvalifikovaných pracovníků;
8.5.3. neprodleně informovat Objednatele o všech významných změnách v naplnění
Bezpečnostních požadavků, které nastanou kdykoli v průběhu účinnosti této
Smlouvy;
8.5.4. bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění
Bezpečnostních požadavků, pokud stávající řešení přestalo být funkční a
efektivní;
8.5.5. bezodkladně a prokazatelně informovat Objednatele o kybernetických
bezpečnostních událostech a incidentech, které mohou ovlivnit poskytování
služeb dle této Smlouvy;
8.5.6. při výkonu své činnosti včas a prokazatelně upozornit Objednatele na
zreJmou nevhodnost jeho příkazů či doporučení vztahujících se
k Bezpečnostním opatřením a jejichž následkem může vzniknout újma nebo
nesoulad s platnými a účinnými právními předpisy či jinými předpisy
vztahujícími se k poskytování služeb dle této Smlouvy.
8.6. Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění
realizované v prostředí Objednatele mohou být monitorovány a vyhodnocovány
v rozsahu předmětu plnění.
9. Ochrana a utajení informací
9.1. Za důvěrné informace se bez ohledu na formu jejich zachycení považují takové
informace týkající se této Smlouvy a jejího plnění, které jsou jako důvěrné výslovně
některou ze smluvních stran označeny.
9.2. Pro nakládání s osobními údaji, s nimiž Poskytovatel přijde do styku v průběhu
plnění, a pro ochranu těchto údajů při jejich zpracování platí v plném rozsahu
ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění
pozdějších předpisů a ustanovení Nařízení Evropského parlamentu a Rady (EU)
2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se
zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice
95/46/ES (obecné nařízení o ochraně osobních údajů).
9.3. Smluvní strany jsou povinny zajistit utajení získaných důvěrných informací
způsobem obvyklým pro utajování takových informací, není-li dále v tomto článku
výslovně sjednáno jinak. Zavazují se tímto, že podniknou všechny kroky
9
k zabezpečení těchto informací.
9.4. Povinnost oboustranného utajení důvěrných informací platí bez ohledu na ukončení
účinnosti této Smlouvy.
9.5. Smluvní strany mají právo požadovat navzájem doložení dostatečnosti utajení
důvěrných informací.
9.6. Smluvní strany jsou povinny respektovat veškerá práva a oprávněné zájmy druhé
smluvní strany a její obchodní značky, loga a ochranné známky v souladu s právními
předpisy a vnitřními předpisy Objednatele.
9.7. Žádné ustanovení této Smlouvy nebrání žádné ze stran v poskytnutí informací třetí
straně či ve zveřejnění informací, pokud povinnost poskytnutí těchto informací
vyplývá z platných právních předpisů.
9.8. Veškerá data Objednatele, k nimž Poskytovatel získá v průběhu platnosti této
Smlouvy přístup, jsou považována za důvěrné informace ve smyslu čl. 9.1. této
Smlouvy a Poskytovatel je nesmí použít k jiným účelům než k plnění předmětu
Smlouvy.
10. Odpovědnost za škodu
10.1. Uplatněním sankce podle čl. 7. této Smlouvy není dotčeno právo poškozené smluvní
10.2. strany na náhradu škody způsobené porušením povinnosti sankcionované smluvní
pokutou, a to i ve výši přesahující tuto smluvní pokutu.
10.3.
10.4. Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného
odkladu na vzniklé okolnosti vylučující odpovědnost a bránící řádnému plnění této
10.5. Smlouvy. Smluvní strany se dále zavazují k vyvinutí maximálního úsilí k odvrácení a
překonání okolností vylučujících odpovědnost.
Poskytovatel odpovídá za škody, které mohou vzniknout v rámci plnění
Poskytovatele podle této Smlouvy, včetně škod na zdraví (včetně usmrcení), na
nemovitém a movitém majetku, v plné výši.
Poskytovatel odpovídá za jinou skutečnou škodu než výše uvedenou (viz čl. 10.3.),
která může vzniknout v rámci plnění Poskytovatele podle této Smlouvy, a to až do
výše 2 000 000 Kč (slovy dva miliony korun českých). Tato výše je považována za
maximální výši škody, kterou Poskytovatel předvídá, nebo které si je vědom, jako
možného důsledku porušení svých povinností podle této Smlouvy.
Za žádných okolností nebude Poskytovatel odpovědný za ztrátu nebo škodu na
záznamech či datech Objednatele nebo vadnost těchto záznamů či dat, které
prokazatelně nebyly způsobeny vadou plnění Poskytovatele či třetích osob
využitých Poskytovatelem k plnění této Smlouvy, a za případné následné škody či
újmy takto vzniklé.
11. Platnost a účinnost Smlouvy
11.1. Tato Smlouva nabývá platnosti dnem podpisu oprávněnými zástupci obou
smluvních stran, přičemž platí datum pozdějšího podpisu, a účinnosti dnem
uveřejnění Smlouvy v registru smluv dle čl. 14.3. této Smlouvy.
10
11.2. Tato Smlouva se uzavírá na dobu určitou, a to na dvanáct (12) měsíců od nabytí
11.3. účinnosti Smlouvy.
11.4.
11.5. Tato Smlouva pozbývá platnosti a účinnosti, nebude-li mezi smluvními stranami
uzavřena Zpracovatelská smlouva dle čl. 2.5. této Smlouvy nejpozději do třiceti (30)
11.6. kalendářních dnů od uzavření Smlouvy.
11.7. Objednatel i Poskytovatel jsou oprávněni odstoupit od této Smlouvy v plném
rozsahu v případě porušení některého bodu této Smlouvy druhou smluvní stranou,
pokud na toto porušení písemně upozorní a druhá smluvní strana do čtrnácti (14)
kalendářních dnů uspokojivě nevysvětlí vzniklou nesrovnalost nebo ji neodstraní.
Za porušení smluvních povinností Poskytovatele podstatným způsobem, které
opravňují Objednatele k odstoupení od této Smlouvy, se považuje:
11.5.1. opakovaná prodlení Poskytovatele s poskytováním Servisních služeb ve 3 po
sobě jdoucích měsících, nebo
11.5.2. prodlení Objednatele s úhradou faktury delší než 60 kalendářních dnů, pokud
Objednatel nezjedná nápravu ani do 10 kalendářních dnů od doručení
písemného oznámení Poskytovatele o takovém prodlení se žádostí o jeho
nápravu,nebo
11.5.3. porušení povinnosti dodržování kybernetické bezpečnosti dle článku 8. této
smlouvy, nebo
11.5.4. porušení povinnosti ochrany a utajení informací dle článku 9. této Smlouvy ze
strany Poskytovatele.
Objednatel je dále oprávněn bez jakýchkoliv sankcí odstoupit od této Smlouvy,
pokud:
11.6.1. na majetek Poskytovatele je prohlášen úpadek nebo Poskytovatel sám podá
dlužnický návrh na zahájení insolvenčního řízení, nebo
11.6.2. Poskytovatel vstoupí do likvidace, nebo
11.6.3. Poskytovatel je uznán, byť nepravomocně, vinným ze spáchání trestného činu
podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob,
ve znění pozdějších předpisů, nebo
11.6.4. Objednatel zjistí, že je Poskytovatel Osobou vedenou na sankčních seznamech,
tj. fyzickou nebo právnickou osobou uvedenou v příloze I Nařízení Rady (EU)
č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k
činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a
nezávislost Ukrajiny, ve znění pozdějších předpisů, a dalších prováděcích
předpisech k tomuto Nařízení č. 269/2014 (tzv. sankční seznamy), nebo
11.6.5. Objednatel zjistí, že je Poskytovatel obchodní společností, ve které veřejný
funkcionář uvedený v§ 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu
zájmů, ve znění pozdějších předpisů, tj. člen vlády nebo vedoucí jiného
ústřední orgánu státní správy, v jehož čele není člen vlády, nebo jím ovládaná
osoba vlastní podíl představující alespoň 25 o/o účasti společníka v obchodní
společnosti.
Pokud jedna smluvní strana odstupuje od Smlouvy, potom je dle této Smlouvy
povinna tuto skutečnost sdělit druhé smluvní straně písemně. Toto sdělení musí
označovat okolnost, resp. důvod, pro nějž smluvní strana odstupuje od Smlouvy a
11
přesná citace ustanovení smlouvy nebo právního předpisu, který ji k odstoupení
opravňuje. Bez těchto náležitostí je odstoupení neplatné mimo případů, kdy právo
odstoupit od Smlouvy vyplývá přímo ze zákona. Sdělení o odstoupení od Smlouvy
musí obsahovat prohlášení, že smluvní strana odstupuje od Smlouvy až okamžikem
marného uplynutí dodatečné přiměřené lhůty stanovené k odstranění porušení,
které je důvodem odstoupení, je-li to vzhledem k povaze porušené povinnosti
možné. Za řádné doručení oznámení o odstoupení od Smlouvy se považuje jeho
doručení prostřednictvím Poskytovatele poštovních služeb, kurýra, nebo její
doručení do datové schránky druhé smluvní strany.
11.8. Obě smluvní strany jsou oprávněny ukončit Smlouvu písemnou výpovědí druhé
smluvní straně bez udání důvodu nebo dohodou obou smluvních stran. V případě
jednostranné výpovědi činí výpovědní lhůta tři (3) měsíce. Výpovědní doba začne
běžet prvním dnem měsíce následujícího po měsíci, v němž byla písemná výpověď
doručena druhé smluvní straně.
11.9. Ukončením účinnosti této Smlouvy nejsou dotčena ustanovení týkající se ochrany
informací (viz čl. 9), řešení sporů ani splatné závazky smluvních stran.
11.10. V případě odstoupení či výpovědi Smlouvy jsou smluvní strany povinny ve lhůtě
15cti kalendářních dnů od řádného odstoupení od Smlouvy či uplynutí výpovědní
lhůty vypořádat vzájemně své závazky a pohledávky vyplývající z této Smlouvy.
Poskytovateli přísluší poměrná výše odměny dle článku 6 Smlouvy odpovídající
dosud poskytnutým Servisním službám. Tímto ustanovením nejsou dotčena
ustanovení týkající se sankcí (viz čl. 7) ani odpovědnosti za škodu (viz čl. 10).
11.11. Tato Smlouva se ruší, odstoupí-li kterákoliv ze smluvních stran od Zpracovatelské
smlouvy či zanikne-li Zpracovatelská smlouva z jakéhokoliv důvodu, a nedojde
k uzavření nové Zpracovatelské smlouvy nejpozději do třiceti (30) kalendářních dnů
od ukončení účinnosti původní Zpracovatelské smlouvy.
12. Vzájemná komunikace
12.1. Každá ze smluvních stran jmenuje oprávněnou osobu (viz Příloha č. 2 této Smlouvy).
Oprávněné osoby budou zastupovat smluvní stranu ve smluvních a obchodních
12.2. záležitostech souvisejících s plněním této Smlouvy
12.3.
Smluvní strany jsou oprávněny změnit oprávněné osoby, jsou však povinny na
12.4. takovou změnu druhou smluvní stranu písemně upozornit.
12.5.
Veškerá komunikace mezi smluvními stranami bude probíhat prostřednictvím
oprávněných osob, pověřených pracovníků nebo statutárních zástupců smluvních
stran. Smluvní strany spolu budou komunikovat buď písemně na adresy stanovené
v úvodu této Smlouvy, telefonicky, elektronickou poštou, nebo osobně.
Oznámení se považují za doručená druhý den po jejich prokazatelném odeslání.
Případné rozpory v komunikaci (zejména výzvy k poskytnutí součinnosti) budou
řešeny prostřednictvím oprávněných osob dle odst. 1. tohoto článku Smlouvy, resp.
její Přílohy č. 2.
12
13. Ostatní ujednání a kontaktní údaje
13.1. Právní vztahy touto Smlouvou výslovně neupravené se budou řídit českými, obecně
13.2. závaznými právními předpisy, zejména občanským zákoníkem.
13.3. Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů,
vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, a k jejich
13.4. vyřešení zejména prostřednictvím jednání odpovědných osob nebo pověřených
zástupců.
Smluvní strany mají zájem především na smírném řešení sporu. Nebude-li možné
vyřešit spor smírnou cestou, je dána příslušnost místně příslušného soudu v České
republice dle § 89a zákona č. 99/1963 Sb., občanský soudní řád, v platném znění, a
to dle sídla Objednatele.
Poskytovatel souhlasí se zveřejněním všech náležitostí tohoto smluvního vztahu,
souhlasí i s uveřejněním této Smlouvy v registru smluv podle zákona č. 340/2015
Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv
a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.
14. Závěrečná ustanovení
14.1. Změny a doplňky této Smlouvy musí mít písemnou formu, přičemž každá ze
14.2. smluvních stran se zavazuje spravedlivě zvážit návrhy smluvní strany druhé.
14.3.
14.4. Smlouva je uzavírána elektronicky, a to tak, že je opatřena elektronickými podpisy
(zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu nebo
14.5. kvalifikovaným elektronickým podpisem) oprávněných zástupců smluvních stran.
14.6. Smluvní strany dohodly, že text Smlouvy zveřejňuje Objednatel. Před zveřejněním
Objednatel odstraní z textu Smlouvy všechny osobní a kontaktní údaje, případně
další části Smlouvy, označené Poskytovatelem jako obchodní tajemství.
Stane-li se některé ustanovení této Smlouvy neplatné, nebo neúčinné, nedotýká se to
ostatních ustanovení této Smlouvy, která zůstávají v platnosti a účinnosti. Smluvní
strany se v tomto případě zavazují dohodou nahradit ustanovení neplatné
(neúčinné) novým ustanovením platným (účinným), které nejlépe odpovídá
původně zamýšlenému ekonomickému účelu ustanovení neplatného (neúčinného).
Do té doby platí odpovídající úprava obecně závazných právních předpisů České
republiky.
Uvedené smluvní strany prohlašují, že se samy přesvědčily o identitě druhé smluvní
strany, taktéž že její označení uvedené v záhlaví této Smlouvy odpovídá aktuálnímu
stavu, že je jim známa nesporná totožnost a řádné oprávnění osob jednajících za
druhou smluvní stranu k tomuto jednání a zároveň si vzájemně prohlásily, že tyto
údaje nejsou dotčeny změnami již uskutečněnými, avšak ještě nezapsanými
v obchodním rejstříku. Zároveň prohlašují, že uzavření této Smlouvy je v souladu se
zákonem předepsanými či interně stanovenými pravidly, jakož i v plném zájmu jimi
zastupovaných Smluvních stran.
Smluvní strany, vědomy svých závazků vyplývajících z této Smlouvy a v úmyslu být
touto Smlouvou plně vázány, potvrzují tímto její pravost podpisy osob řádně
oprávněných jednat za příslušnou Stranu a současně prohlašují, že tato Smlouva byla
13
14.7. sepsána po vzájemné shodě o jejích náležitostech.
14.8.
Nedílnou součástí této Smlouvy jsou následující přílohy:
a) Příloha č. 1- Bližší parametry služeb SLA a volitelných úprav
b) Příloha č. 2 - Oprávněné osoby
c) Příloha č. 3 - Bezpečnostní požadavky
Smluvní strany potvrzují, že si tuto Smlouvu přečetly, rozumí jejímu obsahu, souhlasí
s ní a nemají proti ní výhrad. Svými podpisy potvrzují, že Smlouva je jejich projevem
pravé, svobodné a vážné vůle a že ji neuzavřely v omylu ani pod pohrůžkou násilí.
Na důkaz pravosti smluvní strany opatřují tuto Smlouvu podpisy oprávněných osob,
které garantují, že jsou plně oprávněny tuto Smlouvu za smluvní strany platně
uzavřít.
Za InQool, a.s. Za Univerzitu Karlovu
V Brně dne V Praze dne
14
Příloha č. 1 - Bližší parametry služeb SLA a volitelných
,
uprav
1) Portál musí být dostupný 99 % času provozu. Výjimkou jsou plánované aktualizace,
údržba systému a výpadky třetích stran - poskytovatel infrastruktury.
2) Helpdesk dostupný režimu 24x7.
3) Řešení tiketů v následujících lhůtách:
Typ tiketu V režimu Úplné vyřešení
ticketu
A -Vysoká 24x7 24 h
B - Střední 24x7 3 pracovních dní
C - Nízká 24x7 10 pracovních dní
4) Volitelné úpravy provádí Poskytovatel na základě písemné Objednávky Objednatele.
Akceptace volitelných úprav je potvrzena akceptačním protokolem. Volitelné úpravy
jsou stanoveny na 10 člověkohodin měsíčně, přičemž je Objednatel není povinen čerpat
každý měsíc, ani je nemusí vyčerpat v celém rozsahu ve lhůtě platnosti Smlouvy.
Nevyčerpané hodiny se sčítají a Objednatel je oprávněn je vyčerpat najednou.
Objednávka však musí být učiněna nejpozději do konce 10. měsíce platnosti Smlouvy.
5) Objednávka bude obsahovat následující údaje:
a) číslo Objednávky,
b) číslo Smlouvy,
c) identifikace Objednatele,
d) identifikace Dodavatele
e) specifikace objednaného dílčího plnění,
f) datum vystavení Objednávky.
15
Příloha č. 2 - Oprávněné osoby
16
Příloha č. 3 - Bezpečnostní požadavky
Článek 1
Úvod
1. Tento dokument popisuje bezpečnostní požadavky kladené na Poskytovatele v rámci
předmětu plnění (viz čl. 3. Smlouvy), zejména pro naplnění požadavků vyplývajících
pro Poskytovatele ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o zmene
souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů
(dále jen „ZoKB"), a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních,
kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech
podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické
bezpečnosti (dále jen „VyKB").
2. Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl
naplněn účel právní úpravy oblasti bezpečnostních opatření kybernetické
bezpečnosti ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli
jakožto povinné osobě dle ZoKB. Vtakovém případě je Objednatel oprávněn požadovat
od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této
příloze, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti
kybernetické bezpečnosti ve smyslu shora uvedeného.
Článek 2
Bezpečnostní požadavky
2.1. Účel
1. Tento dokument stanoví způsoby a úrovně realizace bezpečnostních opatření pro
Poskytovatele a určuje vzájemný vztah odpovědnosti za zavedení a kontrolu
bezpečnostních opatření mezi Objednatelem a Poskytovatelem. Požadavky na
Poskytovatele jsou definovány dle platné právní úpravy, především pak dle ZoKB,
VyKB.
2. Smluvní strany se dohodly, že pokud to bude potřebné ke splnění požadavků ZoKB,
VyKB, či souvisejících právních předpisů z oblasti bezpečnosti informací, uzavřou bez
zbytečného odkladu po výzvě kterékoli smluvní strany písemný dodatek Smlouvy
zohledňující takové požadavky.
2.2. Obecné požadavky
1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje plnit následující
povinnosti:
a. postupovat v souladu s účinnými právními předpisy, zejména pak požadavky
vyplývajícími pro Poskytovatele, jakožto budoucího významného dodavatele
provozovatele základní služby, ze ZoKB, VyKB a reflektovat případné novely
dotčených právních předpisů či novou právní úpravu;
b. dodržovat příslušná ustanovení bezpečnostních politik, metodik a postupů
předaných Poskytovateli Objednatelem, resp. platné řídící dokumentace
Objednatele či její části anebo platné řídící dokumentace, k jejímuž dodržování se
Objednatel zavázal, pokud byl Poskytovatel s takovými dokumenty nebo jejich
částmi seznámen, a to bez ohledu na způsob, jakým byl s takovou dokumentací
17
Objednatele seznámen (např. školením, protokolárním předáním příslušné
dokumentace Poskytovateli, elektronickým předáním prostřednictvím e-mailu,
zřízením přístupu Poskytovateli na sdílené úložiště aj.);
c. rozvíjet bezpečnostní povědomí svých zaměstnanců a příp. dalších osob, které se
podílejí na plnění Smlouvy a průběžně je seznamovat s prováděnými nebo
plánovanými změnami. Zaměstnanci a další osoby na straně Poskytovatele
podílející se na plnění Smlouvy musí být prokazatelně seznámeni s platnými
předpisy a bezpečnostními požadavky Objednatele, a to ještě před zahájením
jakékoli činnosti ze strany těchto osob pro Objednatele v souvislosti s plněním
této Smlouvy;
d. zaznamenávat podstatné okolnosti související s poskytovaným předmětem
plnění dle Smlouvy (technické záznamy, organizační záznamy o školení, pověření
apod.) a informovat o nich Objednatele;
e. přidělovat svým jednotlivým pracovníkům zaměstnancům oprávnění k výkonu
činností a přísně při tom dodržovat bezpečnostní zásadu tzv. ,,potřeba vědět"
(need-to-know principle), tedy zejména dbát o to, aby byla minimalizována rizika
nežádoucího přístupu k aktivům Objednatele;
f. průběžně dokumentovat, kontrolovat a vyhodnocovat oprávněnost přístupu, jak
fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují
k předmětu plnění dle této Smlouvy;
g. průběžně detekovat technické zranitelnosti a konfigurační nesoulady předmětu
plnění Smlouvy a o zjištěných skutečnostech bez zbytečného odkladu informovat
Objednatele. Detekované technické zranitelnosti musí být vyhodnoceny
s ohledem na související riziko a musí podle povahy předmětu plnění dojít
k nápravným opatřením ze strany Poskytovatele. Nápravná opatření musí být
schválena Objednatelem;
h. realizovat bezpečnostní opatření pro ochranu dat souvisejících s plněním
předmětu Smlouvy.
2.3. Bezpečnost informací
1. Poskytovatel je povinen zajistit utajení získaných důvěrných informací Objednatele
způsobem obvyklým pro utajování takových informací, není-li výslovně sjednáno jinak.
Tato povinnost platí bez ohledu na ukončení účinnosti této Smlouvy. Poskytovatel je
povinen zajistit utajení důvěrných informací i u svých zaměstnanců, zástupců, jakož i
jiných spolupracujících třetích stran, pokud jim takové informace byly poskytnuty.
2. Právo užívat, poskytovat a zpřístupnit důvěrné informace má Poskytovatel pouze
v rozsahu a za podmínek nezbytných pro řádné plnění práv a povinností vyplývajících
z této Smlouvy.
3. Za důvěrné informace se bez ohledu na formu jejich zachycení považují veškeré
informace, které nebyly Objednatelem označeny jako veřejné a které se týkají této
Smlouvy a jejího plnění (zejména informace o právech a povinnostech smluvních stran
jakož i informace o cenách), které se týkají Objednatele, jeho smluvních partnerů,
pacientů, obchodní tajemství, anebo informace pro nakládání, s nimiž je stanoven
právními předpisy zvláštní režim utajení. Dále se považují za důvěrné informace
takové informace, které jsou jako důvěrné výslovně Objednatelem označeny.
4. Za důvěrné informace se v žádném případě nepovažují informace, které se staly
veřejně přístupnými, pokud se tak nestalo porušením povinnosti jejich ochrany, dále
informace získané na základě postupu nezávislého na této Smlouvě a informace
18
poskytnuté třetí osobou, která takové informace nezískala porušením povinnosti jejich
ochrany.
5. Poskytovatel je povinen zajistit bezpečnost informací z pohledu dostupnosti.
Informace se z pohledu dostupnosti považují za bezpečné, jestliže jsou dostupné
autorizovaným uživatelům v době, kdy jsou potřeba.
6. Poskytovatel je povinen zajistit bezpečnost informací z pohledu integrity. Informace se
z pohledu integrity považují za bezpečné, jestliže je zaručena jejich správnost,
bezchybnost a jsou vyloučeny jejich neautorizované změny.
2.4. Oprávnění užívat data
1. Poskytovatel je při poskytování plnění pro Objednatele oprávněn užívat informace
předaná Poskytovateli Objednatelem za účelem plnění předmětu Smlouvy, avšak vždy
pouze v rozsahu nezbytném ke splnění předmětu Smlouvy.
2. Poskytovatel se při poskytování plnění pro Objednatele zavazuje nakládat
s informacemi pouze v souladu se Smlouvou a příslušnými právními předpisy, zejména
ZoKB, VyKB a dalšími souvisejícími právními předpisy.
2.5. Řetězení a řízení poddodavatelů
1. Poskytovatel nezapojí do poskytování plnění dle této Smlouvy žádného dalšího
Poddodavatele bez předchozího konkrétního nebo obecného písemného povolení
Objednatele.
2. Poskytovatel se zavazuje, že se bude řídit požadavky Objednatele na řízení bezpečnosti
informací a poskytne Objednateli veškerou nezbytnou součinnost v otázkách řízení
bezpečnosti informací a pokud využívá při poskytování plnění poddodavatele, zajistí,
že bude Objednateli poskytnuta veškerá nezbytná součinnost v otázkách řízení
bezpečnosti informací také od těchto Poddodavatelů.
3. Poskytovatel je povinen předat Objednateli kontaktní údaje všech osob dodávajících
systémovou a technickou podporu pro řešení.
4. Pokud Poskytovatel využívá při poskytování plnění Poddodavatele, zavazuje se, že
budou dodržovat bezpečnostní požadavky vč. požadavků na ochranu osobních údajů
vyplývající z této Smlouvy.
5. Poskytovatel se zavazuje bezodkladně doložit Objednateli na základě jeho výzvy
smluvní dokumenty se svými Poddodavateli, ze kterých bude vyplývat závazek
Poddodavatele poskytovat plnění v souladu s bezpečnostními požadavky vyplývajícími
z této Smlouvy.
6. Poskytovatel odpovídá za to, že jeho Poddodavatelé nebudou jednat v rozporu s
bezpečnostními požadavky vyplývajícími z této Smlouvy.
2.6. Řízení změn
1. Poskytovatel se zavazuje provést hodnocení dopadů Objednatelem navrhovaných
změn na termíny a cenu předmětu plnění Smlouvy. Pokud by však takovéto hodnocení
vyžadovalo dodatečné náklady anebo by nepříznivě ovlivnilo pracovní vytížení
zaměstnanců nebo využití jiných prostředků určených k provádění předmětu plnění,
Poskytovatel tuto skutečnost oznámí Objednateli a hodnocení provede pouze na
základě písemného pověření Objednatelem. V takovém případě bude hodnocení
hrazeno podle stráveného času v sazbách platných v době hodnocení.
2. Poskytovatel u významných změn dokumentuje jejich řízení, provádí analýzu rizik,
19
přijímá opatření za účelem snížení všech nepříznivých dopadů spojených
s významnym1 změnami, aktualizuje bezpečnostní politiku a bezpečnostní
dokumentaci, zajistí testování informačního systému a zajistí možnost navrácení do
původního stavu.
3. Poskytovatel má povinnost informovat Objednatele o výsledcích řízení změn, které
mají dopady na plnění předmětu Smlouvy ze strany Poskytovatele.
4. Poskytovatel má povinnost přijmout účinná opatření ke snížení nepříznivých dopadů
v souladu s výsledky řízení změn
5. Poskytovatel se zavazuje poskytnout Objednateli veškerou nezbytnou součinnost při
analýze souvisejících rizik, přijímání opatření za účelem snížení všech nepříznivých
dopadů spojených se změnami, aktualizaci bezpečnostní dokumentace, souvisejícím
testováním a zajištění možnosti navrácení do původního stavu.
6. V případě realizace penetračního testování nebo testování zranitelnosti řešení
poskytne Poskytovatel Objednateli veškerou potřebnou součinnost.
2.7. Akvizice, vývoj a údržba
1. Poskytovatel se zavazuje v rozsahu plnění na své straně zajistit bezpečnou
implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem
plnění.
2. Poskytovatel se zavazuje předat Objednateli dokumentaci předmětu plnění obsahující
zejména:
a. dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů;
b. dokumentaci obsahující popis autorizačního konceptu a oprávnění;
c. dokumentaci obsahující instalační a konfigurační postupy.
3. V případě, že předmět plnění zahrnuje vývoj software, zavazuje se Poskytovatel:
a. dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru
definované na základě smluvního vztahu, nebo dodaného Objednatelem;
b. na vyžádání umožnit Objednateli provedení auditu prováděného nebo
provedeného plnění, předložit Objednateli vyvíjený kód SW;
c. poskytnout Objednateli v termínech stanovených Objednatelem, resp. bez
zbytečného odkladu požadovanou součinnost na provedení bezpečnostního
testování v průběhu vývoje SW či kdykoli po jeho předání;
d. zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné
pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně ve
Smlouvě (např. že SW nebude obsahovat žádné nepotřebné komponenty,
programové vzorky apod.);
e. pokud je součástí plnění i instalace operačního systému případně SW třetích
stran, zajistit v průběhu jeho instalace, že budou použity předepsané verze těchto
produktů kompatibilní a funkční v IT prostředí Objednatele;
f. zajistit bezpečnost testovacího prostředí u Poskytovatele a ochranu
poskytnutých testovacích dat Objednatelem;
g. zajistit, že do produkčního prostředí Objednatele bude dodán jen předmětem
Smlouvy specifikovaná kompilovaný, resp. spustitelný kód a další nezbytná data
pro provozování předmětu plnění;
h. instalovat SW pouze na základě Objednatelem předem schválených migračních
postupů;
i. předat zdrojový kód Objednateli bezpečnou formou zajišťující jeho integritu;
j. zajistit řízení verzí zdrojového kódu;
20
k. zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí;
l. nevyvíjet, nekompilovat a nešířit v IT prostředí Objednatele programový kód,
který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo
integrity nebo neautorizované či nelegální získání dat a informací.
2.8. Zvládání kybernetických bezpečnostních událostí a incidentů
1. Poskytovatel se při poskytování plnění pro Objednatele zavazuje v rozsahu
poskytovaných služeb dle Smlouvy, že:
a. stanoví činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a
účinnému zvládání kybernetických bezpečnostních událostí a incidentů, podle
takto stanovených a popsaných pravidel bude postupovat, a bude hlásit všechny
bezpečnostní události a incidenty neprodleně po jejich detekci Objednateli
prostřednictvím ohlašovacích kanálů na osobu odpovědnou za kybernetickou
bezpečnost, v případech, kdy situace nestrpí odklad telefonicky.
b. nastavená pravidla pro zvládání bezpečnostních incidentů budou respektovat
požadavek na legalitu zajištění stop, tj. jejich původ a oprávněnost jejich získaní
musí být v souladu s platnými zákony a standardy tak, aby bylo možné jejich
následné využití v rámci forenzní analýzy a eventuální použití jako důkazní
materiál;
c. navrhne řešení tak, aby byl systém detekce a zvládání bezpečnostních událostí a
incidentů začleněn do procesů a systémů a realizuje opatření pro zvýšení
odolnosti informačního a komunikačního systému vůči kybernetickým
bezpečnostním incidentům a omezením dostupnosti;
d. provede analýzu příčin bezpečnostního incidentu a navrhne opatření s cílem
zamezit jeho opakování v případě, že Poskytovatel bezpečnostní incident
zapříčinil nebo se na jeho vzniku podílel.
2.9. Informační povinnost a povinnosti při výměně informací
1. Poskytovatel se během poskytování plnění pro Objednatele zavazuje Objednatele
informovat o:
a. způsobu řízení rizik, zbytkových rizicích souvisejících s plněním Smlouvy a bez
zbytečného odkladu také o změnách ve způsobu řízení rizik;
b. změně vlastnictví zásadních aktiv, využívaných Poskytovatelem k plnění
Smlouvy, a změně oprávnění nakládat s těmito aktivy, a to nejpozději do tří
pracovních dnů po uskutečnění této změny.
2. Poskytovatel se během poskytování plnění pro Objednatele zavazuje dostatečně
zabezpečit veškerý přenos dat a informací z pohledu bezpečnostních požadavků na
jejich důvěrnost, integritu a dostupnost.
2.10. Řízení kontinuity činností
1. Objednatel má oprávnění zapojit Poskytovatele do řízení kontinuity činností, a to
zejména oprávnění k zahrnutí Poskytovatele do plánu kontinuity činností, který
souvisí s informačním systémem a souvisejících služeb a/nebo zahrnutí Poskytovatele
do Plánu obnovy (DRP) Objednatele. Objednatel má oprávnění požadovat po
Poskytovateli zpracování Plánů obnovy (DRP) disaster recovery postupů.
2. Objednatel má povinnost informovat Poskytovatele o způsobu zapojení do řízení
kontinuity činností.
21
2.11. Bezpečnost lidských zdrojů
1. Poskytovatel zajistí poučení všech svých zaměstnanců podílejících se na dodávce
o bezpečnostních pravidlech uvedených v těchto Bezpečnostních požadavcích, jež se
musí v průběhu dodávky dodržovat a zajistí jejich dodržování nasazením kontrolních
a vynucovacích mechanismů. Rozsah poučení podléhá schválení Objednatele osobou
určenou za kybernetickou bezpečnost.
2. Poskytovatel se zaváže zajistit dostatečnou míru zastupitelnosti pro technické aspekty
řešení (zajištění kontinuity dodávky, zastupitelnost zaměstnanců).
3. Poskytovatel je povinen vést písemnou evidenci uskutečněných poučení v rozsahu
předmět poučení, datum a seznam poučených osob. Poskytovatel se zavazuje předložit
tuto evidenci Objednateli bezodkladně poté, co k tomu bude Objednatelem vyzván.
2.12. Bezpečnost komunikace
1. Zaměstnanci Poskytovatele, kteří mají přidělen přístup do interní sítě Univerzity
Karlovy (většinou na konkrétní server), odpovídají za své činnosti prováděné v rámci
interní sítě Univerzity Karlovy. Z důvodu zajištění bezpečnosti zaměstnanci
Poskytovatele nesmí zejména:
a. zneužívat síťové prostředky pro osobní účely a zatěžovat kapacitu sítě;
b. šířit škodlivý kód;
c. připojovat do sítě jiná, než schválená zařízení Poskytovatelem (včetně USB
zařízení, soukromých mobilních zařízení, loT zařízení apod.);
d. využívat nástroje sloužící k maskování identity;
e. provádět bezdůvodné skenování portů;
f. provádět jakoukoliv formou monitorování počítačové sítě, které může vést
k zachycení informací/dat, pokud není předmětem plnění Smlouvy;
g. obcházet autentizaci uživatele nebo obcházet zabezpečení jakéhokoliv počítače,
počítačové sítě;
h. provádět jakékoliv nepracovní aktivity vedoucí k omezování nebo odepírání
služeb jiným uživatelům;
i. užívat jakékoliv programy, skripty nebo příkazy, nebo zasílat zprávy v jakékoliv
formě s úmyslem omezit nebo znemožnit poskytování služeb nebo terminálových
relací lokálně nebo přes počítačovou síť, internet nebo intranet;
j. využívat bezpečnostních mezer nebo vytvářet útoky na komunikaci
v počítačových sítích (např. přístup k datům, jichž není zaměstnanec zamýšleným
příjemcem, přihlašování na server nebo účet zaměstnancem, který není k tomuto
přístupu výslovně oprávněn, s výjimkou případů, kdy tyto aktivity jsou součástí
řádných pracovních úkolů);
k. předávat informace o konfiguraci a topologii sítě cizím osobám; tyto informace je
oprávněn předat pouze odpovědný zaměstnanec Univerzity Karlovy, pokud jsou
takové informace nutné z hlediska přípravy či plnění smluvního vztahu.
2. Při práci na pracovní stanici, mobilním zařízení připojeného do sítě nebo do
informačního systému Univerzity Karlovy musí Poskytovatel dodržovat tyto základní
zásady:
a. umožnit přístup jen poučenému zaměstnanci Poskytovatele;
b. chránit ICT prostředky Univerzity Karlovy;
c. po ukončení práce provést neprodleně odhlášení tak, aby se zamezilo zneužití
jeho přístupových práv.
22
2.13. Řízení přístupu
1. Poskytovatel bere na vědomí, že přístup k datům, informacím či zařízením souvisejícím
s předmětem Smlouvy je možné povolit pouze fyzické identitě zaměstnance
Poskytovatele poučené o těchto Bezpečnostních požadavcích, a to na základě
požadavku Poskytovatele na přístup.
2. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí
být řízeno zásadou tzv. ,,potřeba vědět" (need-to-know principie) a není nárokové.
3. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci
Poskytovatele.
4. Poskytovatel se zavazuje, že nebude instalovat a používat žádné nástroje, které nebyly
předem písemně odsouhlaseny osobou odpovědnou za kybernetickou bezpečnost na
straně Objednatele a jejichž užívání by mohlo ohrozit kybernetickou bezpečnost.
5. Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části
technologického nebo komunikačního systému programový kód, který má za cíl
nelegální ovládnutí, narušení, nebo diskreditaci technologického nebo komunikačního
systému nebo nelegální získání dat a informací. Poskytovatel bere na vědomí, že
přístup do interní sítě a/nebo k technologickým a komunikačním systémům bude
realizován výhradně s využitím zařízení Objednatele.
6. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění
Objednateli, kteří přistupují do interní sítě a/nebo technologického nebo
komunikačního systému chránili autentizační prostředky a údaje k systémům
Objednatele. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o
autentizaci uživatele může být příslušný účet zablokován a řešen jako bezpečnostní
incident ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné
postupy zvládání bezpečnostního incidentu.
7. Poskytovatel se zavazuje, že nebude instalovat a používat zejména nástroje typu
Keylogger, Sniffer, Analyzátor zranitelností a Port Scanner, Backdoor, rootkit a trojský
kůň nebo jinou podobu malware.
8. Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či
skutečnost vzniklá v důsledku porušení bezpečnostních požadavků nebude
posuzována jako okolnost vylučující odpovědnost Poskytovatele za prodlení s řádným
a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné
újmy Poskytovateli či jiné osobě ze strany Objednatele.
9. Na základě smluvního vztahu může být konkrétním zaměstnancům Poskytovatele
umožněn přístup k předmětným ICT prostředkům pomocí vzdáleného přístupu přes
VPN. Pracovní stanice, přenosná zařízení zaměstnanců Poskytovatele přistupující k ICT
prostředkům Objednatele musí mít instalován výrobcem podporovaný aktualizovaný
operační systém a systém pro ochranu před škodlivým kódem (antivirový program) s
nejnovější verzí virové databáze.
10. Lokální přístup Poskytovatele do provozního prostředí může být povolen pouze v
odůvodněných případech. Tento přístup musí probíhat ve zvláštním režimu dohledu
ze strany Univerzity Karlovy.
2.14. Ochrana před škodlivým kódem
1. Poskytovatel se zavazuje, že zajistí maximální ochranu před zavlečením škodlivého SW
do interní sítě Objednatele. Zaměstnanci, resp. subdodavatelé Poskytovatele mají
zakázáno používat soukromou výpočetní techniku pro připojování do interní sítě
23
Objednatele.
2.15. Monitorování činností
1. Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění
realizované v rámci plnění předmětu Smlouvy nebo s ním úzce související budou
Objednatelem průběžně a pravidelně monitorovány a vyhodnocovány s ohledem na
obsah Smlouvy.
2.16. Kontrola souladu s požadavky bezpečnosti
1. Poskytovatel se zavazuje umožnit Objednateli nebo jím pověřené třetí osobě provést
audit plnění povinností Poskytovatele dle této Smlouvy, zejména způsobu plnění
bezpečnostních opatření, způsobu řízení dodavatelů, nakládání s daty, způsobu
identifikace a hlášení kybernetických bezpečnostních incidentů. Objednatel se
zavazuje vyrozumět Poskytovatele o termínu a případně osobě pověřené provedením
auditu alespoň 3 pracovní dny předem. Poskytovatel se zavazuje umožnit provedení
auditu ve všech prostorách, v nichž dochází k plnění předmětu této Smlouvy. Náklady
na uskutečnění auditu ponese každá smluvní strana zvlášť; Poskytovatel nemá právo
na poskytnutí úhrady nákladů či jakéhokoliv jiného plnění v souvislosti s auditem.
V případě, že výsledkem auditu budou zjištění o pochybeních na straně Poskytovatel,
zavazuje se Poskytovatel bezodkladně po výzvě Objednatele veškeré takové
nedostatky na své náklady odstranit. Poskytovatel je povinen zajistit umožnění auditu
za stejných podmínek i u svých poddodavatelů.
2. Poskytovatel je povinen pravidelně provádět také vlastní hodnocení rizik a kontrolu
zavedených bezpečnostních opatření. Tato kontrola probíhá v pravidelných
intervalech stanovených Objednatelem, na žádost Objednatele nebo v případě vzniku
kybernetického bezpečnostního incidentu v rámci poskytované služby nebo v případě,
že se vznik bezpečnostního incidentu jeví jako pravděpodobný. O výsledku kontroly
podá Poskytovatel Objednateli bez zbytečného odkladu písemnou kontrolní zprávu.
2.17. Porušení Bezpečnostních požadavků
Poskytovatel odpovídá za to, že jeho zaměstnanci a/nebo poddodavatelé nebudou jednat
v rozporu s bezpečnostními požadavky vyplývajícími z této Smlouvy. V případě, že dojde
k nedodržení těchto požadavků ze strany zaměstnance a/nebo poddodavatele
Poskytovatele, považuje se každé takové nedodržení požadavků za porušení povinnosti
Poskytovatele dle této Smlouvy.
24