Załącznik nr 2a – Wzór Umowy wraz załącznikami Umowa . . . . . . . . .
Załącznik nr 2a – Wzór Umowy wraz załącznikami Umowa . . . . . . . . .
zawarta w dniu …………..... r. w , zwana dalej „Umową”, pomiędzy:
Skarbem Państwa – Centrum Informatyki Resortu Finansów, jednostką budżetową z siedzibą w Radomiu i adresem 00-000 Xxxxx, xx. Samorządowa 1, posiadającą NIP ,
reprezentowanym przez …. -, zwanym dalej „Zamawiającym”,
a
……………………….. z siedzibą w ………………. i adresem posiadającą NIP
………………., wpisaną do rejestru przedsiębiorców KRS pod nr przez
…………………………. w …………………………., …………….. Wydział Gospodarczy Krajowego Rejestru Sądowego, posiadającą kapitał zakładowy w wysokości zł,
reprezentowaną przez , zwaną dalej „Wykonawcą”,
zwanymi w dalszej części Umowy z osobna „Stroną”, a łącznie „Stronami”, została zawarta Umowa następującej treści:
Definicje:
Dokumentacja - wszelka dokumentacja wytworzona i dostarczana przez Wykonawcę w ramach realizacji Umowy i podlegająca zatwierdzeniu przez Zamawiającego w postaci papierowej, jak również informacje zapisane na innych nośnikach, w tym informatycznych nośnikach danych, w szczególności: Plan Testów systemu e-Urząd i e-PIT, Raport Wstępny systemu e-Urząd i e-PIT, Raport Końcowy systemu e-Urząd i e-PIT, dokumenty robocze wytworzone przez Wykonawcę w ramach realizacji Umowy.
e-Urząd – System teleinformatyczny służący do kontaktów KAS z klientami zewnętrznymi i dwustronnej komunikacji w sprawach podatkowych.
e-PIT – System teleinformatyczny służący do kontaktów KAS z klientami zewnętrznymi i dwustronnej komunikacji w sprawach podatkowych.
OPU – Opis Przedmiotu Umowy.
Plan Testów systemu e-Urząd i e-PIT - metodologia planowanych testów (rodzaj testu, narzędzie, harmonogram, scenariusze) wraz z ich uzasadnieniem opracowany przez Wykonawcę i przedstawiony do akceptacji Zamawiającego w ramach systemu e-Urząd i e-PIT.
Protokół Odbioru Końcowego - oznacza dokument potwierdzający prawidłową realizację przedmiotu Umowy, który zostanie podpisany na podstawie odebranego bez zastrzeżeń przez
Zamawiającego przedmiotu Umowy. Wzór Protokołu Odbioru Końcowego znajduje się w Załączniku nr 2 do Umowy.
Raport Końcowy systemu e-Urząd i e-PIT – raport z przeprowadzenia testów systemu e-Urząd i e-PIT, uwzględniający przeprowadzenie testów regresyjnych w przypadku wykrycia istotnych błędów pod względem istotności i prawdopodobieństwa ich wystąpienia i ich wyniki. W przypadku nie wykrycia istotnych problemów Raport Wstępny systemu e-Urząd i e- PIT treść Raportu Wstępnego będzie tożsama z treścią Raportu Końcowego systemu e-Urząd i e-PIT.
Raport Wstępny e-Urząd i e-PIT – raport z przeprowadzenia testów systemu e-Urząd i e-PIT.
Umowa – niniejsza Umowa.
Utwór – oznacza konspekty, Dokumentację oraz każdy utwór powstały w wyniku realizacji Umowy w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tj. Dz.U.2019, poz. 1231) wytworzony i dostarczony w ramach Umowy.
§ 1.
Przedmiot Umowy
1. Przedmiotem Umowy jest przeprowadzenie audytu bezpieczeństwa systemów e-Urząd e-PIT zgodnie z wymaganiami określonymi w Załączniku nr 1 oraz opracowanie Dokumentacji:
a. Planu Testów systemów e-Urząd i e-PIT zgodnie z wymaganiami określonymi w Załączniku nr 1 wraz z przeniesieniem autorskich praw majątkowych,
b. Przeprowadzenie testów systemów e-Urząd i e-PIT zgodnie z założeniami określonymi w Opisie Przedmiotu Umowy.
c. Raportu Wstępnego systemów e-Urząd i e-PIT zgodnie z wymaganiami określonymi w Załączniku nr 1 wraz przeniesieniem autorskich praw majątkowych,
d. Przeprowadzenie testów regresyjnych w przypadku wykrycia istotnych błędów pod względem istotności i prawdopodobieństwa ich wystąpienia,
e. Raportu Końcowego systemów e-Urząd i e-PIT zgodnie z wymaganiami określonymi w Załączniku nr 1 wraz przeniesieniem autorskich praw majątkowych.
2. Szczegółowy Opis Przedmiotu Umowy znajduje się w Załączniku nr 1.
§ 2.
Termin wykonania Przedmiotu Umowy
Wykonawca zobowiązany jest wykonać Przedmiot Umowy w terminie do 28 dni od daty podpisania Umowy
§ 3.
Oświadczenia i zobowiązania Wykonawcy
1. Wykonawca zobowiązuje się wykonać Przedmiot Umowy z najwyższą starannością, przy uwzględnieniu zawodowego charakteru prowadzonej przez niego działalności.
2. Wykonawca zapewnia, że posiada wiedzę i doświadczenie, potencjał ekonomiczny oraz techniczny w zakresie niezbędnym do wykonania Przedmiotu Umowy.
3. Wykonawca zobowiązuje się, że umowę będą realizowały osoby wskazane w Załączniku nr 4 do Umowy.
4. Zmiana osób wskazanych w Załączniku nr 4 do Umowy jest możliwa pod warunkiem, że:
1) zaproponowane osoby będą posiadały kwalifikacje lub doświadczenie zawodowe spełniające wymagania określone (odpowiednio dla osoby zastępowanej) w Załączniku nr 4 do Umowy;
2) Wykonawca przedstawi Zamawiającemu pisemny wniosek o zmianę osoby/osób, w którym uzasadni potrzebę dokonania zmiany i przedstawi doświadczenie zawodowe proponowanej, nowej osoby lub osób;
3) Zamawiający wyrazi pisemną zgodę na dokonanie proponowanej zmiany.
5. Wykonawca zobowiązuje się przestrzegać odpowiedniej organizacji prac związanych z realizacją Umowy tak, aby zapewnić należyte i terminowe wykonanie Przedmiotu Umowy oraz delegować do prac objętych Umową osoby posiadające niezbędne uprawnienia i kwalifikacje.
6. Wykonawca zobowiązany jest do ścisłej współpracy z Zamawiającym i niezwłocznego informowania Zamawiającego, nie później jednak niż w terminie 2 dni od dnia ich zaistnienia, w formie elektronicznej na adresy wskazane w § 11 ust.1 pkt. 2, o wszelkich okolicznościach mogących mieć wpływ na prawidłowość lub terminowość realizacji Umowy.
7. Wykonawca zobowiązuje się do:
1) wykonania Przedmiotu Umowy zgodnie warunkami określonymi w Umowie,
2) zapewnienia warunków organizacyjnych, technicznych i prawnych niezbędnych do wykonania Przedmiotu Umowy,
3) umożliwienia Zamawiającemu lub działającej na jego rzecz osobie trzeciej, bieżącej kontroli realizacji Przedmiotu Umowy (w formach i terminach wyznaczonych przez Zamawiającego).
8. Wykonawca zobowiązuje się, na każde żądanie Zamawiającego, do przekazywania Zamawiającemu informacji dotyczących wykonywania zobowiązań wynikających z Umowy.
§ 4.
Odbiory
1. Wykonawca zobowiązuje się wykonać Przedmiot Umowy w terminie określonym w § 2 Umowy.
2. Terminy realizacji poszczególnych zadań składających się na Przedmiot Umowy zostały określone w Załączniku nr 1 do Umowy.
3. Za datę wykonania Przedmiotu Umowy, o którym mowa w § 1 uznaje się datę podpisania bez zastrzeżeń przez Strony Umowy Protokołu Odbioru Końcowego.
4. Prezentacje/warsztaty, o których mowa w ust. 12 zostaną odebrane w ramach Protokołu Odbioru Końcowego.
5. Wykonawca powiadomi Zamawiającego za pomocą poczty elektronicznej na adresy wskazane w § 11 ust. 1 pkt 2 Umowy o gotowości przekazania do odbioru Przedmiotu Umowy, o którym mowa w § 1 ust. 1 z wyprzedzeniem co najmniej 2 Dni. Zamawiający wyznaczy termin rozpoczęcia odbioru, zawiadamiając o tym Wykonawcę pocztą elektroniczną na adresy wskazane w § 11 ust. 1 pkt 1 Umowy.
6. W przypadku zgłoszenia uwag lub zastrzeżeń do Przedmiotu Umowy przez Zamawiającego, Zamawiający wyznaczy termin na usunięcie tych uwag lub zastrzeżeń, w którym Wykonawca na własny koszt i ryzyko zobowiązany jest do ich uwzględnienia w całości. W takim przypadku procedura odbioru zostanie przeprowadzona ponownie z zastrzeżeniem, że termin realizacji Umowy nie może przekroczyć terminu wskazanego w § 2.
7. W przypadku gdy Wykonawca nie uwzględni uwag lub zastrzeżeń do Przedmiotu Umowy w wyznaczonym terminie albo będą one uwzględnione niezgodnie z tym, co zgłosił Zamawiający, Zamawiający będzie uprawniony do odstąpienia od Umowy w całości lub części, bez wyznaczania Wykonawcy dodatkowego terminu w tym zakresie oraz będzie uprawniony do żądania zapłaty kary umownej, o której mowa w § 7 ust. 1 pkt 1 Umowy, a w przypadku nie skorzystania z prawa do odstąpienia, kary umownej o której mowa w § 7 ust. 1 pkt 2.
8. Zamawiający zastrzega sobie prawo dopuszczenia do udziału w czynnościach odbiorczych osób trzecich w postaci ekspertów, specjalistów lub biegłych.
9. W przypadku przedstawienia Zamawiającemu rekomendacji wdrożenia zmian, które zostaną wprowadzone w środowisku produkcyjnym, Wykonawca przeprowadzi jedną iterację ponownych testów, wskazanych przez Zamawiającego przypadków w zakresie zaraportowanych błędów oraz zweryfikuje, czy wykryte przez niego błędy zostały wyeliminowane i czy w związku z ich wprowadzeniem nie pojawiły się nowe problemy, widoczne bezpośrednio w trakcie powtarzania zgłoszonego przypadku testowego.
10. Termin zakończenia testów, o których mowa w ust. 9 zostanie uzgodniony z Zamawiającym, nie może być jednak dłuższy niż 3 dni po zgłoszeniu do Wykonawcy wprowadzenia poprawki wykrytych błędów w środowisku produkcyjnym.
11. Wykonawca zobowiązuje się w okresie rękojmi w ramach wynagrodzenia określonego w § 6 ust. 1 do sporządzenia korekt lub uzupełnień Przedmiotu Umowy w zakresie Dokumentacji oraz przedłożenia dodatkowych wyjaśnień w przypadku zaistnienia takiej konieczności, będącej wynikiem każdego nietypowego zachowania audytowanego systemu. Okres rękojmi liczony jest od dnia podpisania bez zastrzeżeń przez obie Strony Protokołu Odbioru Końcowego.
12. Wykonawca będzie zobowiązany w ramach wynagrodzenia określonego w § 6 ust. 1 do prezentacji na życzenie Zamawiającego wyników audytu w formie maksymalnie 16 godzin prezentacji/warsztatów dla pracowników Zamawiającego, pozwalających na zapoznanie się z wykrytymi błędami oraz na uzyskanie wiedzy w zakresie ich unikania, w terminie uzgodnionym z Zamawiającym, jednak nie wykraczającym poza termin realizacji Przedmiotu Umowy, określony w § 2.
13. Zamawiający powiadomi Wykonawcę o potrzebie przeprowadzenia prezentacji/warsztatów, o których mowa w ust. 12 na co najmniej 2 Dni przed oczekiwanym dniem przeprowadzenia prezentacji/warsztatów.
14. Korekty, uzupełnienia i dodatkowe wyjaśnienia, o których mowa w ust. 11, zostaną złożone przez Wykonawcę w terminie wyznaczonym przez Zamawiającego.
15. Wynikiem raportu z przeprowadzenia testów systemu e-Urząd i e-PIT będzie Raport Wstępny systemu e-Urząd i e-PIT. W przypadku wykrycia istotnych błędów pod względem istotności i prawdopodobieństwa ich wystąpienia Zamawiający zleci Wykonawcy przeprowadzenie testów regresyjnych, których wynikiem będzie Raport Końcowy systemu e-Urząd i e-PIT. W przypadku nie wykrycia istotnych błędów treść Raportu Wstępnego systemu e-Urząd i e-PIT będzie tożsama z treścią Raportu Końcowego systemu e-Urząd i e-PIT. Protokół Odbioru Końcowego będzie zawierał informację jakie dokumenty będą podlegały odbiorowi: Plan i Scenariusze Testów systemu e-Urząd i e-PIT, Raport Wstępny systemu e-Urząd i e-PIT i Raport Końcowy systemu e-Urząd i e-PIT
§ 5.
Miejsce i sposób wykonywania Umowy
1. Przedmiot Umowy, o którym mowa w § 1 Wykonawca będzie wykonywał w miejscu oraz terminach uzgodnionych z Zamawiającym, z zastrzeżeniem § 2. Wykonawca może świadczyć
usługi w biurze Zamawiającego w Warszawie lub za zgodą Zamawiającego poprzez środki porozumiewania się na odległość - zdalnie.
2. W przypadku wykonywania Umowy na terenie pomieszczeń Zamawiającego, Wykonawca zobowiązany jest do przestrzegania wszystkich wewnętrznych regulaminów i zasad dotyczących pracy na terenie pomieszczeń Zamawiającego.
3. Wykonawca odpowiedzialny jest za działania i zaniechania osób, z których pomocą zobowiązanie wykonuje, jak również osób, którym wykonanie zobowiązania powierza jak za własne działanie lub zaniechanie.
4. Zamawiający umożliwi Wykonawcy dostęp do koniecznych informacji, zasobów, danych i dokumentów, niezbędnych do wykonania Umowy, z zachowaniem postanowień o poufności określonych w § 8 Umowy.
§ 6.
Wynagrodzenie
1. Maksymalne wynagrodzenie Wykonawcy za wykonanie Przedmiotu Umowy, nie może przekroczyć kwoty: ……………………………………………….. zł brutto (słownie:
…………………………………………),
2. Podstawą wystawienia faktury jest podpisany przez Strony Umowy bez zastrzeżeń Protokół Odbioru Końcowego.
3. Strony ustalają, iż w przypadku wszelkich odwołań w Umowie do wysokości wynagrodzenia brutto należy przez to rozumieć maksymalne wynagrodzenie w wysokości, o której mowa w ust. 1 powyżej.
4. Wynagrodzenie brutto, o którym mowa w ust. 1 powyżej, obejmuje wszelkie koszty związane z realizacją Umowy z uwzględnieniem podatku od towarów i usług VAT, innych opłat i podatków. Wynagrodzenie obejmuje w szczególności koszty i opłaty związane z opracowaniem i wydaniem Dokumentacji, koszty zmian i aktualizacji dokonanych w okresie trwania Umowy i okresie gwarancji, koszty dojazdu, transportu wszelkie inne koszty. Wynagrodzenie wyczerpuje wszelkie należności Wykonawcy wobec Zamawiającego związane z realizacją Umowy. Wykonawcy nie przysługuje zwrot od Zamawiającego jakichkolwiek dodatkowych kosztów, opłat, ceł i podatków poniesionych przez Wykonawcę w związku z realizacją Umowy.
5. Wynagrodzenie brutto, o którym mowa w ust. 1 powyżej płatne będzie przelewem na rachunek bankowy Wykonawcy wskazany na fakturze VAT, w terminie do 30 (trzydziestu) dni od daty doręczenia do siedziby Zamawiającego przez Wykonawcę
prawidłowo wystawionej faktury VAT wraz z jednym egzemplarzem Protokołu Odbioru Końcowego.
6. Zamawiający oświadcza, że jest zarejestrowany i posiada konto na Platformie Elektronicznego Fakturowania (dalej „PEF”) prowadzonej przez brokera Infinite IT Solutions pod numerem adresu PEF: 948 257 51 51, rodzaj adresu PEF: NIP, w celu otrzymywania od Wykonawcy ustrukturyzowanych faktur elektronicznych oraz innych ustrukturyzowanych dokumentów elektronicznych.
7. W ustrukturyzowanej fakturze elektronicznej Wykonawca zobowiązany jest zawrzeć elementy wymagane ustawą o podatku od towarów i usług oraz dodatkowo podać informację dotyczącą odbiorcy płatności oraz wskazać umowę zamówienia publicznego, którego faktura dotyczy.
8. W innym ustrukturyzowanym dokumencie elektronicznym Wykonawca zobowiązany jest do wskazania umowy zamówienia publicznego lub ustrukturyzowanej faktury elektronicznej, których dokument dotyczy. Inny ustrukturyzowany dokument elektroniczny musi spełniać wymagania umożliwiające jego przesyłanie za pośrednictwem PEF.
9. Jeżeli Wykonawca będzie korzystał z PEF, zobowiązany będzie do podania Zamawiającemu informacji o swojej rejestracji na Platformie Elektronicznego Fakturowania (dalej „PEF”) w celu wysyłania Zamawiającemu ustrukturyzowanych faktur elektronicznych oraz innych ustrukturyzowanych dokumentów elektronicznych (zwane dalej „e-Dokumenty”).
10. Za datę otrzymania e-Dokumentu przez Zamawiającego, uważa się datę wpływu e- Dokumentu na PEF.
11. Za dzień zapłaty wynagrodzenia uznaje się dzień obciążenia rachunku bankowego Zamawiającego.
12. Wykonawca wystawi fakturę Zamawiającemu wskazując jako nabywcę „Centrum Informatyki Resortu Finansów”.
13. Wykonawca nie może dokonywać cesji należności wynikających z niniejszej Umowy na osoby trzecie bez zgody Zamawiającego.
§ 7.
Kary umowne
1. Wykonawca zobowiązuje się do zapłaty następujących kar umownych:
1) w przypadku odstąpienia od Umowy przez Zamawiającego lub Wykonawcę z przyczyn, za które odpowiedzialność ponosi Wykonawca - w wysokości 30% wynagrodzenia brutto określonego w § 6 ust. 1 Umowy.
2) w przypadku opóźnienia w terminie wykonania Przedmiotu Umowy określonego w § 2 w wysokości 3% łącznego wynagrodzenia brutto określonego w § 6 ust. 1 Umowy, za każdy rozpoczęty dzień opóźnienia, chyba że przyczyna opóźnienia leży po stronie Zamawiającego,
3) w przypadku opóźnienia terminu o którym mowa w § 4 ust. 10 w wysokości 3% łącznego wynagrodzenia brutto określonego w § 6 ust. 1 Umowy dla Przedmiotu Umowy określonego w § 1 Umowy, za każdy rozpoczęty dzień opóźnienia, chyba że przyczyna opóźnienia leży po stronie Zamawiającego,
4) w przypadku udostępnienia osobom trzecim przez Wykonawcę lub osoby, którymi się posługuje przy realizacji Umowy informacji poufnych Zamawiającego, w wyniku naruszenia przez Wykonawcę zasad poufności określonych w § 8 Umowy
– w wysokości 50 000,00 zł (słownie: pięćdziesiąt tysięcy złotych 00/100), za każde naruszenie,
5) w przypadku naruszenia przez Wykonawcę postanowień określonych w § 12 ust. 4 Umowy
- w wysokości 15 000,00 zł (słownie: piętnaście tysięcy złotych 00/100), za każde naruszenie,
6) w przypadku naruszenia przez Wykonawcę postanowień określonych w § 9 Umowy - w wysokości 5 000,00 zł (słownie: pięć tysięcy złotych 00/100), za każde naruszenie.
7) w przypadku realizowania Umowy przez osobę, która nie uzyskała zgody Zamawiającego, o której mowa w § 3 ust. 4 pkt 3 Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 5% wynagrodzenia brutto, o którym mowa w § 6 ust. 1, za każdy przypadek naruszenia.
2. Zamawiający jest uprawniony do potrącenia kar umownych z wynagrodzenia należnego Wykonawcy na podstawie Umowy.
3. Łączna odpowiedzialność Wykonawcy z tytułu kar umownych ograniczona jest do 100 % maksymalnej łącznej wartości przedmiotu Umowy brutto, określonej w § 6 ust. 1 Umowy.
4. Zamawiający może dochodzić odszkodowania przewyższającego wysokość kar umownych na zasadach ogólnych uregulowanych w Kodeksie cywilnym.
5. Jeżeli Wykonawca będzie wykonywał prace w sposób wadliwy lub sprzeczny z Umową, Zamawiający wezwie Wykonawcę do zmiany sposobu wykonania i wyznaczy mu w tym celu termin. Po bezskutecznym upływie wyznaczonego terminu Zamawiający będzie uprawniony do odstąpienia od Umowy w całości lub w części oraz żądania zapłaty kary umownej
w wysokości określonej w ust. 1 pkt 1) powyżej, a w wypadku nieskorzystania z prawa do odstąpienia od Umowy do żądania kary umownej określonej w ust. 1 pkt 2).
6. Wykonawca jest zobowiązany do zapłaty Zamawiającemu kwoty naliczonej kary umownej w terminie 14 dni od daty wezwania do zapłaty takiej kary umownej, przy czym Zamawiający uprawniony jest do potrącenia wszelkich należnych mu kar umownych z wynagrodzenia za wykonanie przedmiotu Umowy.
§ 8.
Zachowanie poufności
1. Wykonawca zobowiązuje się do zachowania w poufności wszelkich informacji dotyczących infrastruktury, informacji technicznych, technologicznych, prawnych i organizacyjnych dotyczących systemów i sieci informatycznych / teleinformatycznych Zamawiającego oraz danych osobowych jego pracowników uzyskanych od Zamawiającego w związku z wykonywaniem Umowy niezależnie od formy przekazania tych informacji i ich źródła. Ujawnienie może nastąpić na rzecz osób, którymi Wykonawca posługuje się do wykonania Umowy, ale tylko w zakresie w jakim osoba taka musi mieć dostęp do informacji dla należytego wykonania Umowy.
2. Wykonawca zobowiązuje się do podjęcia wszelkich niezbędnych działań dla zapewnienia, że żaden pracownik Wykonawcy i inna osoba, którą będzie się posługiwać przy wykonywaniu Umowy otrzymująca informacje, o których mowa w ust. 1 nie ujawni tych informacji, ani ich źródła, zarówno w całości, jak i w części bez uzyskania uprzednio wyraźnego upoważnienia na piśmie od Zamawiającego.
3. Wykonawca zobowiązuje się zachować poufność informacji w czasie obowiązywania Umowy, a także po odstąpieniu od niej, jej rozwiązaniu lub wygaśnięciu, co najmniej w okresie 2 lat po odstąpieniu od niej, jej rozwiązaniu lub wygaśnięciu.
4. Strony zobowiązują się do przestrzegania przy wykonywaniu Umowy wszystkich postanowień zawartych w obowiązujących przepisach prawnych związanych z ochroną danych osobowych, a także z ochroną informacji niejawnych.
5. W przypadkach konieczności udostępnienia Wykonawcy informacji niejawnych, Strony ustalą zasady udostepnienia informacji niejawnych zgodnie z ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (x.x. Xx. U. z 2019 r. poz. 742)z późn. zm.).
6. Jeżeli podczas realizacji Umowy zaistnieją przypadki wymagające przetwarzania danych osobowych, Wykonawca zobowiązuje się do postępowania z danymi osobowymi zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
danych) oraz wydanych krajowych przepisów z zakresu ochrony danych osobowych. W takim przypadku Strony podpiszą umowę o powierzeniu przetwarzania danych osobowych.
7. Obowiązek określony w ust. 1 nie dotyczy informacji powszechnie znanych oraz udostępniania informacji na podstawie bezwzględnie obowiązujących przepisów prawa, a w szczególności na żądanie sądu, prokuratury, organów podatkowych lub organów kontrolnych. Nie będą uważane za poufne informacje, które:
1) wcześniej stały się informacją publiczną w okolicznościach nie będących wynikiem czynu bezprawnego lub naruszającego Umowę;
2) były zatwierdzone do rozpowszechniania na podstawie uprzedniej pisemnej zgody Zamawiającego.
8. Wykonawca ponosi odpowiedzialność za zachowanie poufności przez swoich pracowników, Podwykonawców i wszelkie inne osoby, którymi będzie się posługiwać przy wykonywaniu Umowy oraz zobowiąże je do złożenia oświadczeń o zachowaniu poufności według wzoru obowiązującego u Zamawiającego, którego aktualną treść zawiera Załącznik nr 3 do Umowy.
9. Wykonawca zobowiązuje się do niekopiowania, niepowielania, ani w jakikolwiek inny sposób nierozpowszechniania jakichkolwiek informacji z ust. 1 z wyjątkiem uzasadnionej potrzeby do celów związanych z realizacją Umowy, po uprzednim uzyskaniu pisemnej zgody od Zamawiającego.
10. Wykonawca odpowiada za szkodę wyrządzoną Zamawiającemu przez ujawnienie, przekazanie, wykorzystanie, zbycie lub oferowanie do zbycia informacji i danych otrzymanych od Zamawiającego, wbrew postanowieniom Umowy.
§ 9.
Własność dokumentacji i materiałów przekazywanych przez Zamawiającego
1. Wszelkie dokumenty i materiały Zamawiającego, a przekazane Wykonawcy w celu umożliwienia mu prawidłowej realizacji Umowy, pozostają wyłączną własnością Zamawiającego.
2. Wykonawca nie może udostępniać materiałów, dokumentów, o których mowa w ust. 1 powyżej, osobom trzecim, nie może także ich powielać w całości ani w części bez uzyskania wcześniejszej pisemnej zgody Zamawiającego.
3. Po zakończeniu realizacji Umowy Wykonawca dokona zniszczenia wszelkich dokumentów i materiałów przekazanych przez Zamawiającego, o których mowa w ust. 1 powyżej, co zostanie odnotowane w Protokole Odbioru Końcowego
§ 10.
Prawa własności intelektualnej
1. Wykonawca oświadcza i gwarantuje, że Utwory stanowiące Przedmiot Umowy, ani korzystanie z nich przez Xxxxxxxxxxxxx, nie będą naruszać praw własności intelektualnej osób trzecich, w tym praw autorskich.
2. Jeżeli Zamawiający poinformuje Wykonawcę o jakichkolwiek roszczeniach osób trzecich zgłaszanych wobec Zamawiającego w związku z Utworami, w tym zarzucających naruszenie praw własności intelektualnej, Wykonawca podejmie wszelkie działania mające na celu zażegnanie sporu i poniesie w związku z tym wszelkie koszty, w tym koszty obsługi prawnej, koszty procesu od chwili zgłoszenia roszczenia, koszty odszkodowań, jak również pokryje wszelkie inne koszty wynikające z tego tytułu. W szczególności, w razie wytoczenia przeciwko Zamawiającemu, powództwa z tytułu naruszenia praw własności intelektualnej, Wykonawca przystąpi do postępowania w charakterze strony pozwanej, a w razie braku takiej możliwości wystąpi z interwencją uboczną po stronie Zamawiającego.
3. Ponadto, jeśli używanie Utworów stanie się przedmiotem jakiegokolwiek powództwa Strony Umowy lub osoby trzeciej o naruszenie praw własności intelektualnej, jak wymieniono powyżej, Wykonawca zobowiązany jest na swój własny koszt do wyboru jednego z poniższych rozwiązań:
1) uzyskać dla Zamawiającego prawo dalszego użytkowania Utworów,
2) zmodyfikować Utwory tak, żeby były zgodne z Umową, ale wolne od jakichkolwiek wad lub roszczeń osób trzecich.
4. Strony Umowy potwierdzają, że żadne z powyższych postanowień nie wyłącza możliwości dochodzenia przez Zamawiającego, odszkodowania na zasadach ogólnych kodeksu cywilnego lub wykonania uprawnień przez Zamawiającego wynikających z innych ustaw, ani dochodzenia odpowiedzialności z innych tytułów określonych w Umowie, a w szczególności w § 7.
5. Wykonawca, w ramach wynagrodzenia, o którym mowa § 6 ust. 1 Umowy, przenosi na Zamawiającego autorskie prawa majątkowe do Utworów na następujących polach eksploatacji:
1) w zakresie utrwalania i zwielokrotniania Utworu - wytwarzanie określoną techniką egzemplarzy Utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową, na wszystkich rodzajach nośników dostosowanych do tej formy zapisu,
2) w zakresie obrotu oryginałem albo egzemplarzami, na których Utwór utrwalono
– wprowadzanie do obrotu, użyczenie lub najem oryginału albo egzemplarzy,
3) w zakresie rozpowszechniania Utworu w sposób inny niż określony w pkt. 2 powyżej
– publiczne wykonanie, wystawienie, wyświetlenie, odtworzenie oraz nadawanie i reemitowanie, a także publiczne udostępnianie Utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i w czasie przez siebie wybranym, w tym wprowadzenie do obrotu za pomocą Internetu i innych technik przekazu danych wykorzystujących sieci telekomunikacyjne, informatyczne, bezprzewodowe,
4) wprowadzenie do pamięci komputera i wykorzystywanie w Utworach multimedialnych,
5) utrwalanie i wykorzystanie dzieła lub jego fragmentów w celach reklamowych, promocyjnych, oraz we wszelkich materiałach informacyjnych i wydawnictwach,
6) dzielenie Utworów na fragmenty, łączenia fragmentów Utworów w dowolnym układzie także z fragmentami innych dzieł, wykorzystanie fragmentu Utworu w ramach innego Utworu,
7) przekształcanie formatu pierwotnego na dowolny inny format, wymagany przez Zamawiającego i dostosowania do platform sprzętowo – systemowych wybranych przez Zamawiającego.
6. Wykonawca, wraz z powyższym przeniesieniem autorskich praw majątkowych, zezwala Zamawiającemu w ramach wynagrodzenia określonego w § 6 ust. 1, na wykonywanie zależnych praw autorskich oraz przenosi na Zamawiającego prawo do zezwalania na wykonywanie zależnych praw autorskich na polach eksploatacji określonych w ust. 5 powyżej.
7. Przejście autorskich praw majątkowych i praw zależnych do Utworów nastąpi z chwilą podpisania Protokołu Odbioru Końcowego.
8. W okresie od dnia przekazania Zamawiającemu, do momentu podpisania odpowiedniego Protokołu, o których mowa w ust. 7, Wykonawca zezwala Zamawiającemu na korzystanie z Utworów na polach eksploatacji wskazanych w ust. 5 oraz zezwala Zamawiającemu na wykonywanie praw zależnych na polach eksploatacji określonych w ust. 5, w tym przez osoby trzecie.
9. Wykonawca zobowiązuje się nie wykonywać swoich autorskich praw osobistych w sposób naruszający uzasadnione interesy Zamawiającego.
10. Postanowienia niniejszego paragrafu pozostają w mocy także po wypowiedzeniu, rozwiązaniu lub wygaśnięciu Umowy.
11. Z chwilą przeniesienia autorskich praw majątkowych przechodzi na Zamawiającego własność nośników, na których utrwalono Utwory, o których mowa w ust. 5 powyżej.
§ 11.
Przedstawiciele Stron
1. Osobami odpowiedzialnymi za wykonywanie obowiązków wynikających z realizacji Umowy, a także upoważnionymi do kontaktów, podejmowania czynności odbiorczych i podpisania Protokołu Odbioru Końcowego są:
1) ze strony Wykonawcy:
a) ……………………………., tel. ,
e-mail: ……………………………………..
2) ze strony Zamawiającego:
a) ……………………… , tel ,
e- mail:.………………………………………
2. Osoby wskazane w ust. 1 są upoważnione do wykonywania w imieniu Xxxxx czynności określonych w Umowie, z wyłączeniem zmiany postanowień tej Umowy, jej rozwiązania lub odstąpienia od niej.
3. Do uzgodnień i czynności wynikających lub mogących wynikać w związku z wykonaniem Umowy oraz nadzoru nad jej realizacją upoważniony jest Dyrektor Pionu ds. Informatyki Resortu Finansów lub inna osoba przez niego upoważniona.
4. Korespondencja w sprawach związanych z Umową prowadzona będzie pisemnie w języku polskim i powinna być kierowana na niżej podane adresy:
1) dla Zamawiającego: ,
2) dla Wykonawcy: ………………………………………………………………………….
5. Strony Umowy mają prawo do zmiany osób i danych teleadresowych wskazanych w ust. 1, 3 i 4 w każdym czasie trwania Umowy, informując o tym drugą Stronę Umowy, za pomocą poczty elektronicznej.
6. Zmiana wskazanych w Umowie danych, o których mowa w ust. 1, 3 i 4, nie stanowi zmiany Umowy i staje się skuteczna po pisemnym zawiadomieniu drugiej Strony Umowy.
§ 12.
Prawo audytu
1. Zamawiający ma prawo do przeprowadzenia audytu sposobu realizacji Umowy przez Wykonawcę, w szczególności:
1) w celu weryfikacji, czy Umowa jest realizowana zgodnie z wymaganiami opisanymi w Załączniku nr 1 do Umowy oraz planami sporządzonymi i uzgodnionymi w trakcie realizacji Umowy,
2) stanu zaawansowania prac,
3) weryfikacji poprawności wykonania Przedmiotu Umowy w ciągu miesiąca od dnia zakończenia Umowy.
2. Zamawiający może powierzyć przeprowadzenie audytu osobie trzeciej.
3. Zamawiający jest zobowiązany poinformować Wykonawcę o audycie z wyprzedzeniem co najmniej 2 dni przed jego rozpoczęciem podając listę audytorów upoważnionych do przeprowadzenia audytu.
4. Wykonawca jest zobowiązany w szczególności:
1) udostępnić audytorom dokumentację związaną z realizacją Umowy,
2) udzielić odpowiedzi na pytania audytorów na piśmie nie później niż w czasie 3 dni.
§ 13
Odstąpienie od Umowy
1. Zamawiający może odstąpić od Umowy w całości lub w części przypadku gdy:
1) opóźnienie Wykonawcy w stosunku do terminu, o którym mowa w § 2 Umowy przekroczy 10 Dni,
2) dostarczenia przez Wykonawcę Przedmiotu Umowy lub jego części niespełniającego wymogów określonych w Umowie, w szczególności gdy Dokumentacja nie spełnia warunków akceptacji/odbioru, w tym również akceptacji/odbioru z zastrzeżeniami, z powodu niezgodności z umową, w tym posiada istotne wady uniemożliwiające jej wykorzystanie zgodnie z przeznaczeniem,
3) gdy Wykonawca nienależycie wykonuje Umowę, w szczególności nie stosuje się do uwag Zamawiającego lub narusza inne postanowienia Umowy i w przypadku gdy po upływie 7 dni od wezwania przez Xxxxxxxxxxxxx do zaniechania przez Wykonawcę naruszeń postanowień Umowy i usunięcia ewentualnych skutków naruszeń, Wykonawca nie zastosuje się do wezwania,
4) w przypadku jeżeli suma kar umownych przekroczy wartość wynagrodzenia brutto określonego w § 6 ust. 1,
5) innych przypadkach przewidzianych w Umowie.
2. Prawo odstąpienia Zamawiający może wykonać w terminie do 30 dni od powzięcia wiadomości o okolicznościach skutkujących możliwością odstąpienia od Umowy.
3. Zamawiający może odstąpić od Umowy w razie zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie Zamawiającego, czego nie można było przewidzieć w chwili zawarcia Umowy w terminie do 30 dni od dnia powzięcia wiadomości o tych okolicznościach.
4. W przypadku, o którym mowa w ust. 1 i 3, wykonawca może żądać wyłącznie wynagrodzenia należnego z tytułu wykonania części Umowy.
5. Prawo odstąpienia nie może być wykonane w terminie późniejszym niż 28 dni od zawarcia niniejszej Umowy.
§ 14.
Podwykonawstwo
1. Wykonawca może powierzyć Podwykonawcom wykonanie części Przedmiotu Umowy.
2. Powierzenie wykonania części Przedmiotu Umowy przez Podwykonawcę, wymaga każdorazowo zawiadomienia Zamawiającego o zawarciu umowy o podwykonawstwo.
3. Wykonawca ponosi odpowiedzialność za działania i zaniechanie Podwykonawcy jak za działania i zaniechania własne.
4. Niewykonanie lub nienależyte wykonanie przez Podwykonawcę części Przedmiotu Umowy upoważnia Zamawiającego do żądania od Wykonawcy odsunięcia Podwykonawcy od realizacji Przedmiotu Umowy w sposób stały lub czasowy.
§ 15.
Siła wyższa
1. Strony Umowy będą zwolnione z odpowiedzialności za niewypełnienie swoich zobowiązań zawartych w Umowie z powodu siły wyższej, jeżeli okoliczności zaistnienia siły wyższej będą stanowiły przeszkodę w ich wypełnieniu.
2. Siłą wyższą jest zdarzenie zewnętrzne, nie posiadające swojego źródła wewnątrz przedsiębiorstwa, niemożliwe do przewidzenia oraz niemożliwe do zapobieżenia, przy czym dotyczy to niemożliwości zapobieżenia jego szkodliwym następstwom.
3. Strona może powołać się na zaistnienie siły wyższej tylko wtedy, gdy poinformuje ona o tym pisemnie drugą Stronę w terminie 3 dni od jej zaistnienia.
4. Okoliczności zaistnienia siły wyższej muszą zostać udowodnione przez Xxxxxx, która się na nie powołuje.
§ 16.
Zmiany Umowy
1. Wszelkie zmiany i uzupełnienia Umowy wymagają formy pisemnej pod rygorem nieważności.
2. Zmiany Umowy nie stanowi w szczególności zmiana nazw/firm Stron, siedziby Stron, numerów kont bankowych Stron, jak również osób odpowiedzialnych za realizację Przedmiotu Umowy ze strony Wykonawcy oraz przedstawicieli Zamawiającego oraz inne postanowienia, których zmiana została wyłączona w Umowie z konieczności aneksowania.
§ 17.
Postanowienia końcowe
1. W sprawach nieuregulowanych Umową zastosowanie mają odpowiednie przepisy prawa, w szczególności Kodeksu cywilnego, ustawy o prawie autorskim i prawach pokrewnych, ustawy o ochronie informacji niejawnych oraz inne przepisy mające związek z realizacją Umowy.
2. W przypadku rozbieżności interpretacyjnych pomiędzy postanowieniami Umowy, a treścią załączników i innych dokumentów stanowiących integralną część Umowy lub wytworzonych przez Strony, pierwszeństwo mają postanowienia umowne.
3. Wszystkie tytuły paragrafów w Umowie mają charakter wyłącznie informacyjny i nie mają wpływu na interpretację postanowień Umowy.
4. Umowa podlega prawu polskiemu i zgodnie z nim powinna być interpretowana.
5. Strony Umowy podejmą w dobrej wierze wysiłek w celu rozwiązania wszelkich sporów powstałych pomiędzy Stronami, które wynikły w związku z realizacją Umowy i/lub jej interpretacją. O ile rozwiązanie sporu nie powiedzie się, zostanie on poddany pod rozstrzygnięcie sądu powszechnego właściwego dla siedziby Zamawiającego.
6. Umowa wchodzi w życie z dniem jej podpisania przez Xxxxxx.
7. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w tym dwa dla Zamawiającego i jeden dla Wykonawcy. / Umowę sporządzono w formie elektronicznej z użyciem kwalifikowanych podpisów elektronicznych. *
8. Każda ze Stron potwierdza, że używany przez nią podpis elektroniczny jest kwalifikowanym podpisem elektronicznym w rozumieniu kodeksu cywilnego, wydanym przez kwalifikowanego dostawcę usług zaufania oraz spełnia wymogi dla kwalifikowanego podpisu elektronicznego zawarte w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (eIDAS).**
* zgodnie z wolą Stron
** dotyczy, jeśli Umowa zostanie zawarta w formie elektronicznej
9. Następujące załączniki stanowią integralną część Umowy:
1) Załącznik nr 1 – Opis Przedmiotu Umowy
2) Załącznik nr 2 – Protokół Odbioru Końcowego
3) Załącznik nr 3 – Oświadczenie o zachowaniu poufności
4) Załącznik nr 4 – Wykaz osób
5) Załącznik nr 5 - Umowa powierzenia przetwarzania danych osobowych.
Zamawiający Wykonawca
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Załącznik Nr 1 do Umowy nr ……………………… z dnia …………………
Opis Przedmiotu Umowy
Dział A. Przedmiot Umowy wykonywany będzie w następującym zakresie
1. Usługi weryfikacji stanu bezpieczeństwa poprzez:
1) Prowadzenie testów bezpieczeństwa i testów penetracyjnych,
2) Analizę infrastruktury Zamawiającego pod kątem bezpieczeństwa informacji i zapewnienia ciągłości działania,
2. Usługę wskazaną w ust.1 pkt. 1) i 2) Wykonawca zrealizuje w obszarze: Testów penetracyjnych i symulowania ataków na aplikację, w tym:
a) Ataki semantyczne na adres URL,
b) Ataki związane z ładowaniem plików,
c) Ataki typu Cross-Site Scripting,
d) Ataki typu Cross-Site Request Forgery,
e) Ataki typu MITM (Man in the Middle),
f) Podrabianie zarządzania formularza,
g) Sfałszowanie żądania http,
h) Ujawnienie danych przechowywanych w bazie,
i) Trawersowanie katalogów,
j) Ujawnianie kodu źródłowego,
k) Przepełnienie bufora lub stosu,
l) Wstrzykiwanie kodu wykonywalnego innych języków programowania.
m) Badania:
i. wykorzystania znanych podatności w celu uzyskania nieautoryzowanego dostępu,
ii. możliwości podszywania się pod użytkowników i uzyskania nieautoryzowanego dostępu do systemu,
iii. możliwości podszywania się pod użytkowników uprzywilejowanych i uzyskanie dostępu do systemu,
iv. możliwości blokowania/umożliwienia dostępu do systemu wszystkim lub wybranym jej użytkownikom,
v. możliwości modyfikacji/usunięcia danych z systemu
vi. mechanizmów uwierzytelniania / autoryzacji,
vii. implementacji mechanizmów ochronnych dla danego serwera aplikacyjnego,
viii. obsługi błędów.
Przy czym Wykonawca przeprowadzi testy w trybie black-box (bez wiedzy na temat badanego obiektu) i grey-box (przy założeniu dysponowania standardowymi kontami w badanym systemie).
Zamawiający zapewni stację przesiadkową do pracy zdalnej na maszynie wirtualnej oraz przestrzeń dyskową na niezbędne dane po audytowe.
Wykonawca zapewni wsparcie polegające na udzielaniu odpowiedzi na zadawane przez Zamawiającego pytania dotyczące wyników testów.
Badania bezpieczeństwa sieci, w tym:
a) sieci LAN, podziału na strefy sieciowe oraz VLAN),
b) analiza usług działających w wybranych podsieciach,
c) poszukiwanie podatności w kilku wybranych podsieciach,
d) weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI,
e) analiza dostępu VPN,
f) analiza wybranej komunikacji sieciowej,
g) skanowanie portów różnymi technikami,
h) próba detekcji wersji oraz typu oprogramowania systemowego zainstalowanego na urządzeniach dostępnych,
i) testowanie odporności wybranych usług na ataki Denied of Service co najmniej 2 różnymi metodami zaproponowanymi przez Wykonawcę,
Badania systemów operacyjnych:
a) weryfikację udostępnionych usług sieciowych,
b) weryfikację zbędnych usług wraz ze wskazaniem ich podatności,
Badania baz danych:
a) sposobu udostępniania bazy danych,
b) architektury bazy danych (np. wykorzystanie mechanizmów autoryzacji oraz uwierzytelniania, segmentacja uprawnień, wykorzystywanie widoków, wykorzystywanie procedur składowych, przechowywanie oraz dostęp do danych wrażliwych, przechowywanie oraz dostęp do danych audytowych, szyfrowanie danych),
c) komunikacji z klientami bazodanowymi (mechanizmy kryptograficzne, transfery danych).
Bez względu na wynik przeprowadzonego audytu, Wykonawca w terminie uzgodnionym z Zamawiającym w ramach Umowy, przeprowadzi powtórny audyt czyli retesty w pełnym zakresie określonym w ust 2.
Dział B. Wymagania metodyczne
1. Wykonawca zobowiązany jest stosować co najmniej następujące metody i standardy:
1) Wykorzystanie baz danych o znanych podatnościach i słabościach bezpieczeństwa:
SAN Top 20 Critical Security Controls lub równoważne, Common Vulnerabilities and Exposures lub równoważne,
WASC (Web Application Security Consortium) Threat Classifications lub równoważne, przy czym za równoważne Zamawiający uzna, takie bazy danych, które stanowią aktualne źródło informacji o lukach bezpieczeństwa:
• są publikowane i utrzymywane przez którekolwiek Państwo będące członkiem paktu NATO lub
• są stworzone i utrzymywane przez organizacje, niezależnie od ich form (komercyjna, non-profit w tym zorganizowana społeczność internetowa) których celem działalności jest zapewnienie bezpieczeństwa systemów i rozwiązań informatycznych, Zamawiający nie dopuszcza zastosowania baz, których wiarygodność została podważona w zakresie ich wykorzystania przez administracje publiczną tych Państw,
2) Odpowiednio do zakresu, zastosowanie list kontrolnych udostępnianych przez organizacje pracujące na rzecz bezpieczeństwa systemów IT do projektowania i oceny bezpieczeństwa systemów operacyjnych, baz danych, tj.:
a) National Security Agency (NSA) lub równoważne,
b) Center for Internet Security (CIS) lub równoważne,
Przy czym za równoważne Zamawiający uzna, takie listy kontrolne, które opisują całość procesów audytu systemów oraz rozwiązań informatycznych w nie mniejszym zakresie, z nie mniejszą szczegółowością i systematyką wykonywania audytu.
3) Odpowiednio do zakresu, zastosowanie do testów bezpieczeństwa jednego ze standardów:
a) OWASP (Open Web Application Security Project) ASVS 20141 lub równoważne,
b) Open Source Security Testing Methodology Manual (OSSTMM) lub równoważne,
c) Penetration Testing Execution Standard (PTES) lub równoważne,
Przy czym za równoważne Zamawiający uzna standardy opisujące cały przebieg procesu testowania bezpieczeństwa systemów IT oraz obszary systemowe, które muszą podlegać weryfikacji, w nie mniejszym zakresie, z nie mniejszą szczegółowością i systematyką wykonywania audytu.
4) Wykonawca musi w ramach realizacji testów penetracyjnych wykonać wymienione niżej zadania:
a) Ustalenie zakresu docelowego – ustalenie charakteru i zasięgu testów,
b) Gromadzenie Informacji – pasywne zbieranie informacji na temat obiektu testów,
c) Odkrywanie Celu – pół-pasywne zbieranie informacji, poznanie celów, identyfikacja podsieci, rodzaju architektury, systemów operacyjnych,
d) Wyliczanie Elementów – aktywne zbieranie informacji, weryfikacja usług, portów, wykrywanie systemów bezpieczeństwa IDS/IPS, FW),
e) Mapowanie Podatności – poszukiwanie podatności w elementach znalezionych w poprzednich fazach,
f) Docelowe wykorzystanie podatności – stworzenie wektora inicjalizującego atak, który ma na celu ominąć zabezpieczenia w celu naruszenia poufności, integralności oraz dostępności danych osobowych, przejęcia systemów, odcięcia systemu od sieci zewnętrznej),
g) Eskalacja uprawnień – zwiększenie uprawnień w przełamanym systemie i przeniesienie kontroli na kolejne usługi lub systemy),
5) Zapewnienie ciągłości uzyskanego dostępu wynikającego z przełamania zabezpieczeń, w tym weryfikacja możliwości zainstalowania oprogramowania typu „tylna furtka”, lub rootkit-ów, lub innego złośliwego oprogramowania.
6) Dokumentacja i raportowanie – raport powinien zawierać informacje o znalezionych podatnościach oraz zauważonych problemach.
Dział C. Wymagania dotyczące produktów
1. Wykonawca musi wykonać Plan Testów przedstawiający metodologię planowanych testów (rodzaj testów, narzędzie, harmonogram, scenariusze) wraz z ich uzasadnieniem, który będzie przedstawiony do akceptacji Zamawiającego.
2. Wykonawca musi wykonać Raporty zawierające:
1) Raport wstępny (po przeprowadzonych testach), Dokument ma być wykonany w wykorzystywanych przez Zamawiającego formatach: edytowalnej prezentacji
.pptx i pdf (przeszukiwalny).
2) Raport końcowy (po przeprowadzonych retestach), wykonany w wykorzystywanych przez Zamawiającego formatach .docx (edytowalny) i pdf (przeszukiwalny),
7) Raporty będą zawierać:
a) Obserwacje audytowe
b) Wyniki testów i ich interpretację
c) Listę wykrytych luk (w tym podatności) opatrzonych komentarzem audytora wraz z ich kwalifikacją w znaczeniu dla bezpieczeństwa (krytyczność)
d) Wnioski z audytu
e) Zalecenia i rekomendacje
f) Zakres czynności niezbędnych do weryfikacji i potwierdzenia luk (podatności) – o ile przedmiot audytu tego dotyczy
g) Zakres czynności niezbędnych do zaimplementowania rekomendacji poaudytowych
h) Przypadku konieczności wykonania zmian konfiguracyjnych lub instalacji uaktualnień/poprawek, Wykonawca przedstawi opis konfiguracji lub instalacji
3. Oczekiwana zawartość informacyjna raportu
1) Przeprowadzane badania i analizy muszą wskazać zagrożenia i ryzyka wynikające z:
a) Zastosowanych technologii i standardów zabezpieczeń
b) Błędów oprogramowania
c) Poprawnej konfiguracji komponentów systemowych i sieciowych
d) Istniejących / Wykrytych styków sieci o różnym charakterze, styku sieci systemów utrzymywanych / budowanych w MF z innymi sieciami
e) Potencjalnych zagrożeń ze strony sieci wewnętrznej (LAN/WAN/WLAN)
f) Zastosowanych rozwiązań na poziomie architektury i ich wpływu na wydajność systemu
g) Prawidłowości wyboru rozwiązania sprzętowego dla aplikacji pod katem bezpieczeństwa i wydajności,
Dział D. Wymagania dotyczące członków zespołu audytowego
1. Wykonawca zobowiązuje się świadczyć Przedmiot Umowy za pomocą personelu spełniającego wymagania zawarte w zaproszeniu do składania Xxxxx,
2. Osoby wchodzące w skład zespołu audytowego muszą być bezstronne i niezależne. Przy czym za bezstronne i niezależne Strony rozumieją osoby, które w ciągu ostatnich trzech lat przed dniem wszczęcia postępowania nie uczestniczyły:
1) ani w zaprojektowaniu,
2) ani w wykonaniu
3) ani w uruchomieniu
4) ani w eksploatacji
systemu lub innego rozwiązania informatycznego, którego przedmiot umowy dotyczy.
Załącznik Nr 2 do Umowy nr ……………………… z dnia …………………
Wzór Protokołu
Protokół Odbioru Końcowego
Warszawa, dnia ……. / ……… / ……………
W dniu ……………………..…20…. r. zgodnie z § 4 ust ww. Umowy dokonano odbioru
Przedmiotu Umowy w zakresie ……………………..
Usługa została odebrana bez zastrzeżeń / z zastrzeżeniami*.
Odbioru Końcowego dokonuje się na podstawie*(odpowiednie podkreślić): Planu i Scenariuszy Testów systemu e-US i e-PIT.
Raportu Wstępnego systemu e-US i e-PIT. Raportu Końcowego systemu e-US i e-PIT.
Prezentacja/warsztat dla pracowników Zamawiającego: przeprowadzono w dniu: ……………
W załączeniu:
1. ………………………………………………
2. ………………………………………………
* niepotrzebne skreślić
1. Zgodnie z Umową wykonanie Przedmiotu Umowy objętego niniejszym odbiorem powinno nastąpić do dnia ……………….........
2. Faktyczne wykonanie Przedmiotu Umowy objętego niniejszym odbiorem nastąpiło w dniu .....…...................
UWAGI: ........................................................................................................................................
Wykonawca potwierdza, że dokumentacja o której mowa w § 9 ust. 1 Umowy została zniszczona.
Za Zamawiającego ……………………………………..... (imię i nazwisko, podpis) | Za Wykonawcę ……………………………………... (imię i nazwisko, xxxxxx) |
Załącznik nr 3 Do Umowy nr ………….… z dnia ……………….…
Oświadczenie o ochronie informacji
W związku z wykonywaniem zobowiązań z tytułu Umowy Nr …………. z dnia r.,
oświadczam, że pod rygorem odpowiedzialności karnej wynikającej z ustawy z dnia 6 czerwca 1997
r. Kodeks karny (tj. Dz.U. z 2019 r. poz. 1950, z późn. zm.), nie będę ujawniać żadnych informacji w tym: danych osobowych oraz tajemnicy skarbowej, informacji dotyczących systemów i sieci informatycznych / teleinformatycznych w tym danych technicznych, technologicznych, prawnych i organizacyjnych, w szczególności ich zabezpieczeń uzyskanych w trakcie wykonywania Umowy niezależnie od formy pozyskania i ich źródła.
Zapoznałem się z treścią zobowiązania co do zachowania poufności informacji oraz zobowiązuję się do jego przestrzegania.
Oświadczam iż świadom jestem odpowiedzialności odszkodowawczej i karnej w przypadku niewypełnienia niniejszego zobowiązania.
Obowiązek zachowania w poufności powyższych informacji obowiązuje także po ustaniu Umowy.
………………………………….... (podpis: imię i nazwisko xxxxxxxxx)
Załącznik nr 4 Do umowy nr ……………………..… z dnia ………………………
Wykaz osób wchodzących w skład zespołu audytowego
Załącznik Nr 5 do Umowy nr………………………………. z dnia ……….…………….….
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w Warszawie
pomiędzy:
Ministrem Finansów, Funduszy i Polityki Regionalnej – Administratorem reprezentowanym przez
……………………………………………………………………………………….., zwanym dalej „Powierzającym”
a
…………………… (nazwa firmy) z siedzibą w ………………., przy ul ,
wpisaną do rejestru przedsiębiorców KRS pod numerem …………………. przez Sąd ,
Wydział …………………, posiadającą NIP , REGON
…………..…reprezentowanym/ą przez Pana/Xxxxx (imię i
nazwisko, xxxxxxx) , działającego
na podstawie pełnomocnictwa z dnia zwanym dalej „Przyjmującym”.
zwana dalej „Umową powierzenia”
§ 1
Powierzenie przetwarzania danych
1. W związku z zawarciem w dniu …………………… umowy nr ……………………., zwanej dalej „Umową główną” pomiędzy Skarbem Państwa – Ministrem Finansów, , Funduszy i Polityki Regionalnej z siedzibą w Warszawie ul. Xxxxxxxxxxxxx 00, 00-000 Xxxxxxxx, reprezentowanym przez …………………………………….
a
……………..………………... (nazwa firmy, adres), wpisaną do rejestru przedsiębiorców KRS pod numerem ………. przez Sąd………… Wydział ……………, posiadającą NIP ,
REGON: ……...…, reprezentowaną przez Pana/Panią …………………….…… (imię i
nazwisko, funkcja)
Powierzający, stosownie do art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, s. 1, ze zm.), zwanego dalej
„Rozporządzeniem”, powierza Przyjmującemu na podstawie niniejszej Umowy powierzenia przetwarzanie danych osobowych niezbędnych do realizacji Umowy głównej.
2. Powierzający jest Administratorem w rozumieniu Rozporządzenia.
3. Powierzenie przetwarzania danych osobowych obejmuje następujące kategorie danych osobowych: ………………………………………………………………………………..
4. W celu wykonania Umowy głównej, Powierzający powierza Przyjmującemu przetwarzanie danych osobowych w zakresie przeprowadzenia audytu bezpieczeństwa systemów E-Urząd i e- PIT.
5. Powierzenie przetwarzania danych obejmuje następujące czynności realizowane wobec przetwarzanych danych osobowych: …………………………………………………..
6. Przyjmujący przyjmuje do przetwarzania dane osobowe, o których mowa w ust. 3 oraz zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie głównej.
7. Przyjmujący oświadcza, że przetwarzanie powierzonych mu danych osobowych będzie odbywało się wyłącznie na terenie Europejskiego Obszaru Gospodarczego.
8. Przyjmujący przyjmuje do wiadomości, iż w zakresie przestrzegania przepisów Rozporządzenia ponosi odpowiedzialność jak Administrator za swoje działania oraz działania osób, którym przekazał dalsze przetwarzanie danych osobowych.
9. Przyjmujący oświadcza, że zgodnie z art. 28 ust. 1 Rozporządzenia zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą.
10. Poprzez zawarcie Umowy powierzenia Powierzający poleca przetwarzanie danych osobowych Przyjmującemu, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w związku z art. 29 Rozporządzenia.
§ 2.
Zasady przetwarzania danych osobowych
1. Obowiązki Przyjmującego:
1) Przyjmujący zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2) Przyjmujący jest zobowiązany do dokonania wszelkich czynności wynikających z Umowy powierzenia, Rozporządzenia oraz innych obowiązujących przepisów prawa z należytą starannością.
3) Przyjmujący jest zobowiązany do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, zgodnie z art. 32 Rozporządzenia.
4) Przyjmujący jest zobowiązany do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone mu dane osobowe w celu i w zakresie określonym w Umowie powierzenia.
5) Przyjmujący jest zobowiązany do zobowiązania osób upoważnionych do przetwarzania danych osobowych w celu i zakresie określonym w niniejszej Umowie powierzenia do zachowania w tajemnicy (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie realizacji Umowy głównej, jak i po zakończeniu realizacji Umowy głównej, poprzez odebranie od tych osób indywidualnych stosownych oświadczeń.
6) Przyjmujący jest zobowiązany do prowadzenia w formie pisemnej lub w formie elektronicznej rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Powierzającego, zawierającego informacje, o których mowa w art. 30 ust. 2 Rozporządzenia.
7) Przyjmujący zobowiązuje się wyznaczyć inspektora ochrony danych w przypadku, gdy będzie do tego zobowiązany na podstawie art. 37 Rozporządzenia.
8) Przyjmujący jest zobowiązany do niezwłocznego, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgłaszania Powierzającemu na adres e–mail każdego przypadku naruszenia ochrony powierzonych mu do przetwarzania danych osobowych. Zgłoszenie powinno zawierać informacje, o których mowa w art. 33 ust. 3 Rozporządzenia.
9) Przyjmujący nie może dalej powierzyć przetwarzania powierzonych mu danych osobowych, o których mowa w § 1 niniejszej Umowy powierzenia innym podmiotom bez uprzedniej pisemnej zgody Powierzającego. Osoby fizyczne, , w tym prowadzące jednoosobową działalność gospodarczą, współpracujące z Przyjmującym na podstawie umów cywilno- prawnych są traktowane jak personel Przyjmującego i nie stanowią innych podmiotów – dalszych przetwarzających (podwykonawców) w rozumieniu Rozporządzenia, w odniesieniu do niniejszej Umowy powierzenia.
10) Powierzając przetwarzanie danych osobowych innym podmiotom, Przyjmujący jest obowiązany zapewnić w dalszej umowie powierzenia spełnianie przez inny podmiot wymogów w zakresie ochrony danych osobowych na poziomie co najmniej takim samym, jak przewidziany w niniejszej Umowie powierzenia.
11) Przyjmujący nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych mu danych osobowych.
12) Przyjmujący udostępnia Powierzającemu na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków Przyjmującego określonych w Umowie powierzenia, związanych z przetwarzaniem danych osobowych.
13) Przyjmujący w miarę możliwości pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw (zgodnie z art. 28 ust. 3 pkt e Rozporządzenia) oraz z obowiązków określonych w art. 32-36 Rozporządzenia (zgodnie z art. 28 ust. 3 pkt f Rozporządzenia).
2. Prawa Powierzającego:
1) Powierzający może uzależnić udzielenie zgody na dalsze powierzenie przetwarzania danych osobowych, o których mowa w § 1 niniejszej Umowy powierzenia, od spełnienia innych warunków związanych z przetwarzaniem lub ochroną powierzanych danych osobowych.
2) Powierzający ma prawo przeprowadzenia kontroli przetwarzania powierzonych Przyjmującemu danych osobowych, przestrzegania przez Przyjmującego wszelkich obowiązków związanych z przetwarzaniem powierzonych mu danych osobowych.
3) O zamiarze przeprowadzenia kontroli Powierzający powiadomi Przyjmującego z wyprzedzeniem co najmniej 7 dni kalendarzowych ze wskazaniem osób upoważnionych do przeprowadzenia czynności kontrolnych w imieniu Powierzającego.
4) W przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Przyjmującego zobowiązań wynikających z Umowy powierzenia, Rozporządzenia oraz innych przepisów prawa powszechnie obowiązującego, Powierzający może przeprowadzić kontrolę, o której mowa w pkt 2, w każdym czasie - bez uprzedniego powiadomienia Przyjmującego.
5) Powierzający ma prawo do kontroli sposobu wykonywania niniejszej Umowy powierzenia przez Przyjmującego poprzez przeprowadzenie niezapowiedzianych, doraźnych kontroli sposobu przetwarzania i ochrony danych osobowych przeprowadzanych przez Powierzającego w siedzibie Przyjmującego oraz we wszelkich innych miejscach stanowiących obszar przetwarzania powierzonych danych osobowych.
6) W celu wykonania kontroli, o których mowa w pkt 2, 4 oraz 5 Powierzający ma prawo, w szczególności do:
a) wstępu do pomieszczeń, w których Przyjmujący przetwarza powierzone mu dane osobowe,
b) żądania złożenia przez Przyjmującego pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego w wyznaczonym przez Powierzającego terminie,
c) przeprowadzenia oględzin dokumentów, a także urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych osobowych.
7) Na zakończenie kontroli, o których mowa w pkt 2, 4 oraz 5, przedstawiciel Powierzającego sporządza protokół, który podpisują i otrzymują przedstawiciele obu stron. Przedstawiciel Przyjmującego może wnieść jednostronnie zastrzeżenia do protokołu.
8) Po kontrolach, o których mowa w pkt 2, 4 oraz 5, Powierzający może zredagować i żądać wykonania zaleceń pokontrolnych przez Przyjmującego, o ile są one zgodne z Umową powierzenia i Rozporządzeniem oraz określić termin ich realizacji.
9) W przypadku stwierdzenia przez Powierzającego uchybień w zakresie, o którym mowa w ust. 1, Powierzającemu przysługuje prawo do:
a) żądania natychmiastowego wstrzymania przetwarzania danych osobowych i wyznaczenia Przyjmującemu terminu na usunięcie uchybień,
b) wypowiedzenia Umowy powierzenia w trybie natychmiastowym.
10) Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Przyjmującego, serwery i nośniki te nie mogą znajdować się poza obszarem Europejskiego Obszaru Gospodarczego.
11) Powierzający umożliwi Przyjmującemu zdalny dostęp do systemu i przetwarzanych danych osobowych poprzez funkcjonujący u Powierzającego system zdalnego dostępu, przy zachowaniu obowiązujących w tym zakresie standardów i procedur.
§ 3.
Współdziałanie Stron
1. Strony ustalają, że podczas realizacji niniejszej Umowy powierzenia będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie powierzenia, w szczególności, Przyjmujący będzie informował Powierzającego o wszelkich przypadkach naruszenia zasad przetwarzania i ochrony danych osobowych lub o ich niewłaściwym użyciu oraz o wszelkich czynnościach w sprawach dotyczących ochrony danych osobowych podejmowanych w związku z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych oraz przed innymi organami i urzędami, w szczególności: policją, sądem, Najwyższą Izbą Kontroli, itp.
2. Przyjmujący jest obowiązany niezwłocznie informować Powierzającego o wszelkich zdarzeniach dotyczących bezpieczeństwa przetwarzania powierzonych danych osobowych, w szczególności w przypadkach: wystąpienia lub podejrzenia wystąpienia incydentu bezpieczeństwa lub podjęcia próby dokonania czynności w celu wywołania incydentu bezpieczeństwa.
3. Przyjmujący informuje Xxxxxxxxxxxxxx o naruszeniach poprzez wysłanie wiadomości elektronicznej na wskazany przez Powierzającego w § 2 ust. 1 pkt 8) adres poczty elektronicznej. Informację o naruszeniu oraz o sposobie zapobiegnięcia naruszeniu lub ograniczeniu skutków tego naruszenia Przyjmujący przekazuje Powierzającemu niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia informacji o naruszeniu.
4. Powierzający ma prawo do kontroli sposobu wykonywania niniejszej Umowy powierzenia przez Przyjmującego poprzez przeprowadzenie kontroli, o których mowa w § 2 ust. 2 pkt 2, 4 oraz 5 Umowy powierzenia przeprowadzanych przez Powierzającego w siedzibie Przyjmującego oraz we wszelkich innych miejscach stanowiących obszar przetwarzania powierzonych danych osobowych, jak również prawo żądania złożenia pisemnych wyjaśnień przez Przyjmującego.
§ 4.
Czas obowiązywania Umowy powierzenia
1. Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji przez Przyjmującego Umowy głównej, z zastrzeżeniem ust. 2-3.
2. Przyjmujący, po wygaśnięciu niniejszej Umowy powierzenia, zobowiązuje się niezwłocznie, nie później niż w terminie 3 dni, trwale usunąć wszelkie powierzone mu dane osobowe z własnych systemów informatycznych oraz z własnych nośników danych, a także trwale zniszczyć wszelkie ich istniejące kopie pozostające w jego dyspozycji, w sposób uniemożliwiający ich odtworzenie. Usunięcie dotyczy również wszelkich łączy oraz replikacji utworzonych przez Przyjmującego.
3. Wykonanie obowiązku, o którym mowa w ust. 2 zostanie potwierdzone przez Przyjmującego przekazanym Powierzającemu protokołem, uwzględniającym dalsze powierzenia, nie później niż w terminie 3 dni od dnia wykonania obowiązku.
4. Po zakończeniu obowiązywania niniejszej Umowy powierzenia Przyjmujący jest obowiązany do niezwłocznego przekazania Powierzającemu pisemnego oświadczenia, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone.
§ 5.
Warunki wypowiedzenia powierzenia przetwarzania danych osobowych
1. Umowa powierzenia może zostać wypowiedziana przez Powierzającego ze skutkiem natychmiastowym bez zachowania terminu wypowiedzenia w przypadku, gdy Umowa główna, o której mowa w § 1 ust. 1 niniejszej Umowy powierzenia zostanie rozwiązana przez którąkolwiek ze Stron z przyczyn i w terminie określonym w Umowie głównej .
2. Umowa powierzenia może zostać wypowiedziana za 7 dniowym okresem wypowiedzenia w przypadku, gdy:
a) kontrola Prezesa Urzędu Ochrony Danych Osobowych wykaże, że Przyjmujący nie podjął środków zabezpieczających, o których mowa w Rozporządzeniu;
b) Przyjmujący dopuszcza się zwłoki w dotrzymaniu terminu, określonego w zaleceniach pokontrolnych, o których mowa w § 2 ust. 2 pkt 8 niniejszej Umowy powierzenia;
c) Przyjmujący wykorzystał dane w celu i w zakresie niezgodnym z niniejszą Umową powierzenia;
d) Przyjmujący dalej powierzył przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody Powierzającego;
e) zostanie wszczęte postępowanie sądowe przeciw Powierzającemu bądź Przyjmującemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
3. Powierzający przetwarzanie danych może rozwiązać Umowę powierzenia z Przyjmującym ze skutkiem natychmiastowym z winy Przyjmującego, w przypadku gdy:
a) Przyjmujący wykorzystał powierzone mu dane osobowe w sposób niezgodny z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego,
b) Przyjmujący dopuszcza się zwłoki w dotrzymaniu terminu, o którym mowa w § 2 ust. 1 pkt 8 niniejszej Umowy powierzenia,
c) zostanie wszczęte postępowanie sądowe przeciw Przyjmującemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
4. W przypadkach, o których mowa w ust. 2, Przyjmujący zobowiązany jest niezwłocznie, najpóźniej trzeciego dnia roboczego po otrzymaniu wypowiedzenia, zrealizować zobowiązania, o których mowa w § 4 ust. 2-4.
§ 6.
Naruszenie ochrony danych osobowych
1. Przyjmujący jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą Umową powierzenia, a w szczególności za bezpodstawne udostepnienie lub przekazywanie danych osobowych nieuprawnionym podmiotom lub osobom.
2. Przyjmujący zobowiązuje się do niezwłocznego poinformowania Powierzającego
o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przyjmującego danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych,
skierowanych do Przyjmującego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przyjmującego tych danych osobowych.
3. Jeżeli w związku z niniejszym powierzeniem przetwarzania danych osobowych Powierzający będący Administratorem zostanie prawomocnym orzeczeniem zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany grzywną, Przyjmujący zobowiązuje się zrekompensować Powierzającemu udokumentowane straty z tego tytułu do wysokości poniesionego odszkodowania, zadośćuczynienia lub grzywny.
4. Zobowiązanie Przyjmującego, o którym mowa w ust. 3, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia z roszczeniem wobec Powierzającego i jego podstawach prawnych i faktycznych, w celu umożliwienia Przyjmującemu zajęcia stanowiska, odniesienia się do podstaw takiej odpowiedzialności i ewentualnego przystąpienia do sprawy na etapie sądowym.
5. Przyjmujący ponosi odpowiedzialność odszkodowawczą względem Powierzającego w zakresie strat rzeczywiście poniesionych przez Powierzającego.
§ 7.
Zasady zachowania poufności
1. Przyjmujący zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Przyjmujący oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych, o których mowa w ust. 1 nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Powierzającego w innym celu niż określony w § 1 Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych, w tym w szczegó1ności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 8
Postanowienia końcowe
1. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego w szczególności przepisy ustawy Kodeksu cywilnego.
2. Przyjmujący odpowiada za wszelkie szkody wyrządzone Powierzającemu lub osobom trzecim wynikające z niezgodnego z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego przetwarzania powierzonych mu danych osobowych, w szczególności za udostępnienie danych osobom nieupoważnionym.
3. Po rozwiązaniu lub wypowiedzeniu niniejszej Umowy powierzenia Przyjmujący niezwłocznie, ale nie później niż w terminie do 7 dni, zobowiązuje się trwale usunąć wszelkie powierzone mu dane osobowe z własnych systemów informatycznych oraz z własnych nośników elektronicznych, a także trwale zniszczyć wszelkie ich istniejące kopie pozostające w jego dyspozycji, w sposób uniemożliwiający ich odtworzenie. Usunięcie dotyczy również wszelkich łączy oraz replikacji utworzonych przez Przyjmującego. Wykonanie obowiązków zostanie
potwierdzone przez Przyjmującego przekazanym Powierzającemu protokołem, uwzględniającym dalsze powierzenia, nie później niż w terminie 7 dni od dnia wykonania obowiązku.
4. Zmiany Umowy powierzenia wymagają zachowania formy pisemnej, w postaci Xxxxxx, pod rygorem nieważności.
5. Wszelkie spory związane z wykonaniem niniejszej Umowy powierzenia oraz wynikające z przetwarzania w oparciu o Umowę główną, rozstrzygane będą przez sąd właściwy dla siedziby Powierzającego.
6. Niniejsza Umowa powierzenia wchodzi w życie z dniem jej podpisania.
7. Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach, w tym jeden dla
Przyjmującego, dwa dla Powierzającego.
Powierzający Przyjmujący
………………….……………. ………………………………….
Akceptacja:
Inspektor Ochrony Danych
Departament Bezpieczeństwa i Ochrony Informacji Ministerstwo Finansów
Załącznik nr 1 do Umowy powierzenia
Kategorie danych osobowych w systemie e-US
Lp. | Kategoria danych |
1 | z rejestru PESEL dotyczących osób fizycznych objętych tym rejestrem, tj.: nazwisko, imię pierwsze, data urodzenia, data zgonu/data znalezienia zwłok, imię ojca, numer PESEL, nr PESEL rodziców, imię i nazwisko dziecka, data urodzenia dziecka, data zgonu/data znalezienia zwłok w zakresie danych dzieci w zakresie stosowania ulgi na dzieci; |
2 | adres miejsca zamieszkania podany przez osobę fizyczną objętą rejestrem PESEL w deklaracji lub innym dokumencie związanym z obowiązkiem podatkowym (art. 9 ust. 1d ustawy o zasadach ewidencji i identyfikacji podatników i płatników); |
3 | osób fizycznych nieobjętych rejestrem PESEL, a pochodzące ze zgłoszeń identyfikacyjnych i aktualizacyjnych, tj.: nazwisko, imiona, datę urodzenia, numer NIP, adres miejsca zamieszkania; |
4 | PESEL rodziców, a w przypadku jego braku imiona i nazwiska rodowe rodziców; |
5 | deklaracji złożonych przez podatnika w latach poprzednich, w zakresie danych dzieci w przypadku stosowania ulgi na dzieci; |
6 | rachunku bankowego, danych dotyczących prowadzonej działalności gospodarczej i najmu (obowiązki, okoliczności) pochodzących ze zgłoszeń identyfikacyjnych/aktualizacyjnych oraz deklaracji złożonych przez podatnika; |
7 | z rejestru Ministerstwa Nauki i Szkolnictwa Wyższego POL-on – dane: imię i nazwisko, XXXXX, a w przypadku jego braku nr dokumentu potwierdzającego tożsamość oraz nazwa państwa, które go wydało, rok urodzenia, data rozpoczęcia i ukończenia nauki/skreślenia z listy studentów/doktorantów dla potrzeb ulgi na dzieci uczących się; |
8 | numer mikrorachunku podatnika na podstawie NIP lub PESEL; |
9 | dane z złożonych formularzy podatnika - ZAW-NR: NIP wystawcy faktury VAT, adres siedziby albo adres stałego miejsca prowadzenia działalności wystawcy faktury, dane dotyczące rachunku bankowego, na który dokonano płatności, kwota należności zapłaconej przelewem, data zlecenia przelewu, urząd skarbowy do |
którego kierowany jest formularz, data wysłania formularza; | |
10 | dane ze złożonych formularzy podatnika - czynny żal: dane innej osoby albo podmiotu wskazane w formularzu przez podatnika zalogowanego: imię, nazwisko, XXX albo PESEL, adres zamieszkania albo siedziby, treść zawiadomienia, informacja dot. uiszczenia należności publicznoprawnej, informacja dotycząca złożenia przedmiotów, które podlegają przepadkowi lub wpłacie ich równowartości, urząd skarbowy albo celno skarbowy do którego kierowane jest zawiadomienie, data wysłania. |
Kategorie danych osobowych w systemie e-PIT
1 | z rejestru PESEL dotyczących osób fizycznych objętych tym rejestrem, tj.: nazwisko, imię pierwsze, data urodzenia, data zgonu/data znalezienia zwłok, imię ojca, numer PESEL, nr PESEL rodziców, imię i nazwisko dziecka, data urodzenia dziecka, data zgonu/data znalezienia zwłok w zakresie danych dzieci w zakresie stosowania ulgi na dzieci |
2 | adres miejsca zamieszkania podany przez osobę fizyczną objętą rejestrem PESEL w deklaracji lub innym dokumencie związanym z obowiązkiem podatkowym (art. 9 ust. 1d ustawy o zasadach ewidencji i identyfikacji podatników i płatników) |
3 | osób fizycznych nieobjętych rejestrem PESEL, a pochodzące ze zgłoszeń identyfikacyjnych i aktualizacyjnych, tj.: nazwisko, imiona, datę urodzenia, numer NIP, adres miejsca zamieszkani |
4 | PESEL rodziców, a w przypadku jego braku imiona i nazwiska rodowe rodziców |
5 | deklaracji złożonych przez podatnika w latach poprzednich, w zakresie danych dzieci w przypadku stosowania ulgi na dzieci |
6 | rachunku bankowego, danych dotyczących prowadzonej działalności gospodarczej i najmu (obowiązki, okoliczności) pochodzących ze zgłoszeń identyfikacyjnych/aktualizacyjnych oraz deklaracji złożonych przez podatnika |
7 | z rejestru Ministerstwa Nauki i Szkolnictwa Wyższego POL-on – dane: imię i nazwisko, XXXXX, a w przypadku jego braku nr dokumentu potwierdzającego tożsamość oraz nazwa państwa, które go wydało, rok urodzenia, data rozpoczęcia i ukończenia nauki/skreślenia z listy studentów/doktorantów dla potrzeb ulgi na dzieci uczących się |
8 | numer mikrorachunku podatnika na podstawie NIP lub PESEL |
9 | dane identyfikacyjne i ewidencyjne podatników z Centralnego Rejestru Podatników – Krajowej Ewidencji Podatników |
10 | dane wymiarowe z Poltax, PoltaxPlus i Poltax 2B+ (w szczególności informacje przekazane przez płatników obejmujące przychód, dochód, pobrane i wpłacone zaliczki, składki na ubezpieczenie społeczne i zdrowotne, dane płatnika, dane dotyczące rozliczeń w tym historia rozliczeń |
11 | dane do ulgi prorodzinnej (w szczególności PESEL dziecka, informacja o statusie studenta, informacja o nowonarodzonych dzieciach) |
12 | dane organizacji pożytku publicznego 0 rozliczenie 1% OPP |