Zapytanie ofertowe
Zapytanie ofertowe
Zamawiający - Urząd Komisji Nadzoru Finansowego, zaprasza do składania ofert na:
Opracowanie, dostawę i wdrożenie przez Wykonawcę w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, zgodnego z wymaganiami określonymi w Opisie Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania.
Informacja o Zamawiającym:
Nazwa: Urząd Komisji Nadzoru Finansowego Adres: xx. Xxxxxx 00, 00-000 Xxxxxxxx
tel.: (x 00 00) 000 00 00
e-mail: xxxxxxxxx@xxx.xxx.xx NIP: 000-000-00-00
Strona internetowa: xxx.xxx.xxx.xx
Tryb udzielenia zamówienia:
Postępowanie o wartości poniżej 130 tyś. zł netto, prowadzone jest zgodnie z zasadą konkurencyjności.
Niniejsze Zapytanie nie stanowi zobowiązania Urzędu Komisji Nadzoru Finansowego do zawarcia umowy w sprawie zamówienia publicznego.
Przedmiot zamówienia:
Przedmiotem Umowy jest: Opracowanie, dostawę i wdrożenie przez Wykonawcę w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, zgodnego z wymaganiami określonymi w Opisie Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania.
Szczegółowe wymagania dotyczące przedmiotu zamówienia i warunków jego wykonania
zostały zawarte w Umowie stanowiącej załącznik nr II do niniejszego Zapytania.
Kryterium oceny ofert:
Zamawiający ustala poniższe kryterium wyboru oferty:
• Wszystkie oferty z ceną netto równą lub powyżej progu 130 tyś. zł zostają odrzucone.
• Wykonawca otrzymuje od 0 do 100 punktów według wzoru: Lp=100*(min_cena/cena_oferty)
gdzie: min_cena to minimalna cena wskazana w ofertach otrzymanych przez
Zamawiającego w odpowiedzi na niniejsze zaproszenie, cena_ oferty to cena oznaczona przez Wykonawcę
Jako najkorzystniejsza zostaje wybrana oferta z maksymalną liczbą punktów.
Składanie ofert:
Ofertę, w postaci skanu, podpisanego przez osobę upoważnioną, formularza ofertowego zawartego w Załączniku nr I prosimy przesłać w terminie do 25.03.2021 roku na adres email: xxxxxxxxx@xxx.xxx.xx .
Wymagane przez Zamawiającego dokumenty, o których mowa powyżej powinny być przesłane w formie pliku .pdf zawierającego skan oryginałów podpisanych przez osobę uprawnioną do reprezentowania Wykonawcy, oryginały w formie papierowej mają zostać dostarczone przed podpisaniem umowy z wybranym Wykonawcą. Za osoby uprawnione do reprezentowania Wykonawcy uznaje się osoby upoważnione do reprezentowania przedsiębiorcy, wskazane we właściwym rejestrze lub ewidencji działalności gospodarczej bądź w stosownym pełnomocnictwie.
Xxxxxx Xxxxxxxxxx
Dyrektor Departamentu Informatyki
/-dokument podpisany kwalifikowalnym podpisem elektronicznym/
Załączniki:
I. Formularz ofertowy;
II. Wzór umowy wraz z załącznikami
FORMULARZ OFERTOWY- WZÓR
ZAŁĄCZNIK NR I DO ZAPYTANIA OFERTOWEGO
Oferta dla Urzędu Komisji Nadzoru Finansowego Xxxxxx 00 00-000 Xxxxxxxx W postępowaniu o udzielenie zamówienia w postępowaniu o wartości poniżej 30 tyś Euro, na „Opracowanie, dostawę i wdrożenie przez Wykonawcę w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, zgodnego z wymaganiami określonymi w Opisie Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania”. | |||||
Nazwa Wykonawcy*: | ...................................................... - zwany w dalszej części oferty Wykonawcą | ||||
Forma organizacyjno – prawna Wykonawcy: | |||||
Osoba wyznaczona przez Wykonawcę do kontaktów z Xxxxxxxxxxxx imię i nazwisko oraz tel.,, e-mail (do korespondencji elektronicznej, na podany adres będą wysyłane wszystkie informacje przesyłane drogą elektroniczną) | |||||
Siedziba Wykonawcy: | |||||
Kraj i miejscowość | |||||
Ulica | Nr domu | Nr lokalu | |||
Kod pocztowy | |||||
Tel. | |||||
Fax. | |||||
Nr konta bankowego | |||||
NIP | |
REGON |
Osobą uprawnioną do reprezentacji jest / są …...................................................... (imię i nazwisko) Xxxx podpisu i parafy osoby/osób podpisującej ofertę (Wykonawcy lub uprawnionego do reprezentacji Wykonawcy): W przypadku wyboru naszej oferty, umowa z naszej strony zostanie podpisana przez: ................................................................................................................................................ (imię i nazwisko) |
OFEROWANY PRZEDMIOT ZAMÓWIENIA: Przystępując do postępowania o udzielenie zamówienia w postępowaniu o wartości poniżej 30 tyś Euro, na „Opracowanie, dostawę i wdrożenie przez Wykonawcę w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, zgodnego z wymaganiami określonymi w Opisie Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania” oferujemy realizację przedmiotu zamówienia na warunkach opisanych w specyfikacji istotnych warunków zamówienia oraz na warunkach określonych w niniejszej Ofercie. |
XXXX OFERTY: Niniejszym oferuję realizację przedmiotu zamówienia : CAŁKOWITA CENA ZA REALIZACJĘ PRZEDMIOTU UMOWY wraz z podatkiem VAT wynosi: ……………………………………….. zł brutto** (słownie złotych: ………..………………………………………………………........................brutto) |
Xxxxxxxxx imię i nazwisko | Podpis | Xxxxxx |
OŚWIADCZENIA: 1) zamówienie zostanie zrealizowane w terminach określonych w projekcie Umowy; 2) w cenie naszej Oferty zostały uwzględnione wszystkie koszty wykonania zamówienia; 3) zapoznaliśmy się z projektem Umowy i nie wnosimy do nich zastrzeżeń oraz przyjmujemy warunki w nich zawarte; 4) oświadczam, że uzyskałem wszelkie niezbędne informacje do przygotowania i złożenia Oferty oraz wykonania zamówienia; 5) uważamy się za związanych niniejszą Ofertą na okres 60 dni licząc od dnia złożenia ofert wskazanym w Zapytaniu ofertowym; 6) akceptujemy warunki płatności określone przez Zamawiającego w Umowie; 7) informuję, że informacje stanowiące tajemnicę przedsiębiorstwa w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji - które jako takie nie mogą być udostępnianie innym uczestnikom postępowania - zawarte są na stronach ................................ Do Oferty załączam uzasadnienie zastrzeżenia informacji stanowiących tajemnicę przedsiębiorstwa; 8) oświadczam, że sposób reprezentacji spółki/konsorcjum dla potrzeb niniejszego zamówienia jest następujący: ................................................................................................................................... (wypełniają jedynie Wykonawcy składający wspólną ofertę – spółki cywilne i konsorcja) 9) Informuję/emy, iż prowadzona działalność klasyfikuje się jako: ………………………………………………………………………………………... ( należy podać odpowiednio) Mikroprzedsiębiorstwo - przedsiębiorstwo, które zatrudnia mniej niż 10 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 2 milionów EURO. Małe przedsiębiorstwo – przedsiębiorstwo, które zatrudnia mniej niż 50 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów EURO. Średnie przedsiębiorstwo - przedsiębiorstwo, które nie jest mikroprzedsiębiorstwem ani małym przedsiębiorstwem i które zatrudnia mniej niż 250 osób i którego roczny obrót nie przekracza 50 milionów EURO lub roczna suma bilansowa nie przekracza 43 milionów EURO Żadna z powyższych klasyfikacji. 10) Oświadczam, że wypełniłem obowiązki informacyjne przewidziane w art. 13 lub art. 14 |
rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu. (UWAGA: W przypadku gdy wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO treści niniejszego oświadczenia wykonawca nie składa np. przez jego wykreślenie). |
ZOBOWIĄZANIA W PRZYPADKU PRZYZNANIA ZAMÓWIENIA: 1) zobowiązujemy się do zawarcia Umowy w miejscu i terminie wyznaczonym przez Zamawiającego; 2) osobą upoważnioną do kontaktów z Zamawiającym w sprawach dotyczących realizacji umowy jest ..................................................................... e-mail: ………...……........………….………………tel./fax: ; |
PODWYKONAWCY: Oświadczamy, że ***): a) Przedmiot zamówienia wykonamy siłami własnymi; b) Powierzymy następującym podwykonawcom realizację następujących części zamówienia: |
Lp. | Nazwa (firma) podwykonawcy | Część (zakres) przedmiotu zamówienia powierzony podwykonawcy |
SPIS TREŚCI: Integralną część Oferty stanowią następujące dokumenty: 1) ............................................................................................................................................. 2) ............................................................................................................................................ Oferta została złożona na kolejno ponumerowanych stronach. |
Pouczony o odpowiedzialności karnej (m. in. z art. 297 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny t.j. Dz. U. z 2020 r poz. 1444, 1517) oświadczam, że oferta oraz załączone do niej dokumenty opisują stan prawny i faktyczny aktualny na dzień złożenia oferty.
.......................................................................
/Podpis i pieczęć imienna osoby - osób
upoważnionej (ych) do reprezentowania
Wykonawcy/
.........................., dnia 2021 r.
UWAGA
Wszystkie zmiany już po wypełnieniu oferty powinny być dokonywane poprzez skreślenie poprzedniej wartości lub wyrażenia oraz wpisanie nowej z parafką osoby upoważnionej do reprezentowania Wykonawcy. Nie dopuszcza się używania korektora.
*Jeżeli Wykonawcy wspólnie ubiegają się o zamówienie - należy podać pełne nazwy i adresy wszystkich Wykonaców.
** CENA OFERTY stanowi całkowite wynagrodzenie Wykonawcy, uwzględniające wszystkie koszty związane z realizacją przedmiotu zamówienia
***Niepotrzebne skreślić. W przypadku nie skreślenia którejś z pozycji i nie wypełnienia
tabeli
w pozycji b) lub c) - Zamawiający uzna, odpowiednio, że Wykonawca nie zamierza powierzyć wykonania żadnej części zamówienia podwykonawcom i Wykonawca nie polega na zasobach podwykonawcy (innego podmiotu) w celu wykazania spełniania warunków udziału w postępowaniu.
ZAŁĄCZNIK NR II DO ZAPYTANIA OFERTOWEGO
Umowa Nr ………/2021
zawarta w dniu r. w Warszawie pomiędzy (zwana dalej „Umową”):
Urzędem Komisji Nadzoru Finansowego z siedzibą w Warszawie (00 - 549), przy ul. Pięknej
20, NIP: 000-00-00-000, REGON: 382088467, reprezentowanym przez:
…………………………………………………………………………………… a
....................................... (firma/nazwa Wykonawcy) z siedzibą w przy
ul. ......................, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego
prowadzonego przez Sąd Rejonowy pod numerem KRS… , posiadającą
REGON…………….… i nadany NIP .........................., kapitał zakładowy
………………………, reprezentowaną zgodnie z odpisem z rejestru (lub na podstawie udzielonego pełnomocnictwa), przez:
...................................... - ...................................................
albo
.......................................................................................................................................................
................………………… prowadzącą działalność gospodarczą pod firmą
……………………, z siedzibą w ……………….. przy ul. …………………………, wpisaną
do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP , REGON
……………, reprezentowaną zgodnie z zaświadczeniem o wpisie do ewidencji (lub na podstawie udzielonego pełnomocnictwa) przez:...................................... -
...................................................
DEFINICJE
Poniżej wskazanym terminom lub zwrotom pisanym z wielkiej litery w treści Umowy oraz jej
załącznikach, Strony nadają następujące znaczenie:
Termin | Definicja |
Account Information Service (AIS) | Usługa dostępu do informacji o rachunku, zdefiniowana w art. 67 Dyrektywy PSD2 |
Confirmation of the Availability of Funds (CAF) | Usługa potwierdzania dostępności na rachunku płatniczym płatnika kwoty niezbędnej do wykonania transakcji płatniczej, zdefiniowana w art. 65 dyrektywy PSD2 |
Distributed Ledger Technology (DLT) | Technologia rozproszonej bazy danych, której rejestry są replikowane, współdzielone i zsynchronizowane w ramach konsensusu różnych, rozproszonych geograficznie, osób, firm lub instytucji |
Dyrektywa PSD2 | Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywę 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/W |
Dzień roboczy | Dni pracy Zamawiającego, od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy w Polsce |
Godziny robocze | Godziny od 8:00 do 16:00 w Dni robocze |
Node | Węzeł wymiany danych stosowany w technologii DLT |
Oferta | Oferta złożona przez Wykonawcę i wybrana przez Zamawiającego jako najkorzystniejsza |
Open Application Programming Interface (Open API) | Otwarty programistyczny interfejs aplikacji umożliwiający dostęp do części zasobów oraz usług internetowych świadczonych przez Symulator ASPSP |
Payment Initiation Service (PIS) | Usługa inicjowania transakcji płatniczej, zdefiniowana w art. 66 Dyrektywy PSD2 |
Portal | Portal dedykowany do zarządzania dostępem do środowisk teleinformatycznych, będący przedmiotem niniejszego zamówienia |
Protokół odbioru | Dokument przygotowany przez Wykonawcę i zatwierdzony przez Zamawiającego, potwierdzający wykonanie części lub całości prac objętych przedmiotem Umowy, którego wzór stanowi Załącznik nr 3 do Umowy |
Strona | Zamawiający lub Wykonawca, w zależności od kontekstu |
Strony | Łącznie: Zamawiający i Wykonawca |
Symulator ASPSP | Moduł „symulujący” zgodne z PSD2 (tj. PIS, CAF |
i AIS) funkcjonalności usług bankowości internetowej, zapewniający jednocześnie możliwość konfiguracji w określonym zakresie danych testowych oraz symulowanych procesów | |
Tester | Użytkownik posiadający uprawnienia Tester API, Tester DLT lub kolejne w przypadku wdrożenia nowych technologii |
Użytkownik | Osoba wnioskująca o uprawnienia dostępowe do Virtual SandBox poprzez Portal. |
Virtual SandBox | Odseparowana infrastruktura teleinformatyczna dedykowana do przeprowadza testów oprogramowania |
wdrożenie produkcyjne | Rozpoczęcie produkcyjnej eksploatacji funkcjonalności będących przedmiotem niniejszej Umowy poprzedzone testami, a także podpisaniem Protokołu z wdrożenia produkcyjnego (Protokołem odbioru końcowego) |
wsparcie powdrożeniowe | Usługi Wykonawcy mające zapewnić sprawne działanie Oprogramowania, świadczone od dnia Wdrożenia produkcyjnego funkcjonalności potwierdzonego podpisanym Protokołem odbioru |
Wykonawca | Podmiot wybrany do realizacji niniejszego przedmiotu zamówienia: ………………….. |
Zamawiający | Urząd Komisji Nadzoru Finansowego |
§ 1
Przedmiot Umowy
1. Przedmiotem Umowy jest opracowanie, dostawa i wdrożenie przez Wykonawcę w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, zgodnego z wymaganiami określonymi w Opisie Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy, dalej zwanym
„Oprogramowaniem”, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania.
2. W ramach realizacji przedmiotu Umowy, o którym mowa w ust. 1, Wykonawca
zobowiązany jest w szczególności:
1) przygotować szczegółową analizę wymagań i dokumentację analityczną w zakresie tworzonego rozwiązania (Oprogramowania);
2) opracować Projekt techniczny i Projekt wdrożenia;
3) przygotować scenariusze testowe oraz plany testów (wewnętrznych oraz zewnętrznych) obejmujących weryfikację wszystkich wymagań wskazanych w Załączniku nr 1 do Umowy;
4) zapewnić implementację rozwiązania (Oprogramowanie) wraz z testami własnymi rozwiązania oraz przygotowaniem raportu z testów, odzwierciedlającego zakres i wynik przeprowadzonych testów;
5) zapewnić wsparcie Zamawiającego w testach akceptacyjnych rozwiązania
(Oprogramowania);
6) zrealizować zalecenia poaudytowe Zamawiającego, będące wynikiem testów
bezpieczeństwa przeprowadzonych w środowisku Zamawiającego;
7) wdrożyć produkcyjne rozwiązania (Oprogramowanie) na infrastrukturze
Zamawiającego;
8) opracować i dostarczyć Zamawiającemu dokumentację eksploatacyjną oraz
powykonawczą Oprogramowania, o której mowa Załącznika nr 1 do Umowy;
9) przenieść na Zamawiającego autorskie prawa majątkowe do Oprogramowania oraz do dokumentacji Oprogramowania;
10) przekazać Zamawiającemu komplet kodów źródłowych do Oprogramowania;
11) zapewnić wsparcie producenta Oprogramowania zapewniające dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania na zasadach opisanych w Opisie Przedmiotu Zamówienia, stanowiącym Załącznik nr 1 do Umowy;
12) przeprowadzić warsztaty szkoleniowe dla łącznie 15 pracowników Zamawiającego w zakresie zaawansowanej obsługi Oprogramowania (w szczególności nadawania praw dostępu, zarządzania rolami, konfigurowania).
3. Dokumentacja, o której mowa w ust. 2 pkt 1) i 8) oraz dokumentacja techniczna, o której mowa w § 5 ust. 9, zostaną opracowane na szablonach uzgodnionych pomiędzy Stronami.
§ 2
Termin realizacji
1. Umowa wchodzi w życie z dniem jej podpisania.
2. Wykonawca w terminie 90 Dni roboczych od dnia podpisania Umowy opracuje, dostarczy i wdroży przedmiot Umowy, o którym mowa w § 1 ust. 1 Umowy, z zastrzeżeniem § 5 ust. 25.
3. Wsparcie producenta Oprogramowania, zapewniające dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej będzie realizowanie przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania, o którym mowa w
§ 1 ust. 1 Umowy.
§ 3
Sposób realizacji Umowy
1. W celu i na potrzeby zapewnienia sprawnej realizacji przedmiotu Umowy Strony będą
reprezentowane przez:
1) …………………………, nr tel.….., e-mail….. – osobę pełniącą funkcję Kierownika Projektu Zamawiającego;
2) ………………………, nr tel.….., e-mail…. – osobę odpowiedzialną za kontakt w okresie wsparcia powdrożeniowego po stronie Zamawiającego;
3) ………………………, nr tel.….., e-mail…. – osobę pełniącą funkcję Kierownika Projektu Wykonawcy;
4) …………………………, nr tel.….., e-mail….. – osobę odpowiedzialną za kontakt w okresie wsparcia powdrożeniowego po stronie Wykonawcy.
2. Kierownicy Projektów upoważnieni są do dokonywania odbioru produktów dostarczanych i wykonywanych w ramach realizacji przedmiotu Umowy i podpisywania Protokołów odbioru.
3. Zmiana Kierownika Projektu, dokonana przez Stronę delegującą danego Kierownika Projektu nie wymaga sporządzenia aneksu do Umowy i powinna zostać zgłoszona w formie pisemnej lub za pośrednictwem poczty elektronicznej z minimum trzydniowym wyprzedzeniem.
4. Zamawiający umożliwi Wykonawcy, po dniu podpisania Umowy, dostęp do uzgodnionych z Zamawiającym zasobów (pomieszczeń, urządzeń lub danych) niezbędnych do zrealizowania przez Wykonawcę przedmiotu Umowy w terminie uzgodnionym pomiędzy stronami.
5. Na wniosek Kierownika Projektu Zamawiającego, Wykonawca, w przypadku realizacji przedmiotu Umowy w pomieszczeniach Zamawiającego, zobowiązany jest do dostarczenia odpowiednich danych personelu Wykonawcy biorących udział w realizacji przedmiotu Umowy, celem uzyskania dostępu do uzgodnionych z Zamawiającym pomieszczeń, urządzeń lub danych. Działania Wykonawcy realizowane w pomieszczeniach Zamawiającego będą realizowane w uzgodnieniu i pod nadzorem Zamawiającego i jego pracowników.
6. W terminie 5 dni od dnia podpisania Umowy Wykonawca określi i przedłoży do akceptacji Zamawiającego wymagania techniczne i wersje komponentów, na których zostanie zainstalowany przedmiot Umowy, o którym mowa § 1 ust. 1 Umowy.
7. Zamawiający w terminie 3 dni zaakceptuje wymagania, o których mowa w ust. 6, lub zgłosi
pisemne zastrzeżenia do przedłożonych przez Wykonawcę wymagań.
8. Wykonawca zobowiązany jest w terminie do 3 dni od dnia otrzymania uwag i zastrzeżeń Zamawiającego, o których mowa w ust. 7, do ich uwzględnienia i do ponownego przekazania wymagań technicznych i wersje komponentów, na których zostanie zainstalowany przedmiot Umowy, o którym mowa § 1 ust. 1 Umowy, Zamawiającemu do akceptacji.
9. Wykonawca, w terminie 14 dni od dnia podpisania Umowy, przygotuje i przedstawi do akceptacji Zamawiającego Projekt techniczny i Projekt wdrożenia, o których mowa w § 1 ust. 2 pkt 2 Umowy.
10. Projekt wdrożenia, o którym mowa w § 1 ust. 2 pkt 2 Umowy, musi zawierać szczegółowy opis realizacji wdrożenia przedmiotu Umowy, o którym mowa § 1 ust. 1 Umowy, w tym zakres oraz kolejność wykonywania prac ze wskazaniem terminów ich rozpoczęcia i
zakończenia, zależności pomiędzy nimi oraz zaangażowania zasobów po stronie
Zamawiającego oraz Wykonawcy.
11. Zamawiający ma prawo do zgłaszania uwag do przedstawionego Projektu technicznego oraz Projektu wdrożenia. W tym zakresie zastosowanie znajdą odpowiednio postanowienia ust. 7 i 8 powyżej.
12. Projekt wdrożenia stanie się obowiązujący po jego ostatecznej akceptacji przez
Zamawiającego.
§ 4
Zobowiązania i oświadczenia Stron
1. Wykonawca zobowiązuje się do wykonywania usług objętych Umową z należytą starannością, w sposób profesjonalny, zgodnie ze standardami obowiązującymi w branży informatycznej,
zapewniając sprawną i terminową realizację, poprawność merytoryczną oraz wysoką jakość realizowanych usług, zgodnie z wymaganiami określonymi Umową.
2. Wykonawca oświadcza, że posiada odpowiedni potencjał techniczny, kadrowy i ekonomiczny niezbędny do wypełnienia postanowień niniejszej Umowy.
3. Wykonawca zobowiązuje się:
1) do świadczenia usług związanych z Umową, z należytą starannością i w ustalonym zakresie oraz terminie;
2) wyznaczyć do realizacji poszczególnych prac, o których mowa w § 1 ust. 2 Umowy osoby wyspecjalizowane w zakresie poszczególnych obszarów merytorycznych;
3) do niezwłocznego odpowiadania na wszelkie zgłoszenia Zamawiającego, w tym wnioski o wprowadzenie określonych procedur, na wnioski o podanie informacji, na raporty na temat problemów występujących w trakcie realizacji Umowy w uzgodnionych każdorazowo terminach. W przypadku, gdy nie są podane konkretne terminy, Wykonawca zobowiązuje się odpowiedzieć na piśmie w ciągu 3 Dni roboczych;
4) do każdorazowego, niezwłocznego, potwierdzania przyjęcia danego zgłoszenia, o którym mowa w pkt 3, w formie pisemnej lub za pośrednictwem poczty elektronicznej.
4. Zamawiający zobowiązuje się udzielać odpowiedzi na pytania kierowane przez Wykonawcę. Zamawiający zobowiązuje się, by celem zapewnienia terminowej realizacji prac objętych przedmiotem Umowy, odpowiedzi były udzielane w terminie nie dłuższym niż 3 Dni robocze od dnia otrzymania pytania skierowanego na adres e-mail Kierownika Projektu Zamawiającego lub w innym uzgodnionym terminie. Odpowiedzi Zamawiającego będą przekazywane na adres e-mail Kierownika Projektu Wykonawcy.
5. Na żądanie Zamawiającego Wykonawca zobowiązuje się udzielać Zamawiającemu informacji o przebiegu prac będących przedmiotem niniejszej Umowy nie później niż następnego Dnia roboczego po dniu otrzymania pytania skierowanego na adres e-mail Kierownika Projektu Wykonawcy. Odpowiedzi Wykonawcy będą przekazywane na adres e-mail Kierownika Projektu Zamawiającego.
6. W toku realizacji przedmiotu Umowy Strony zobowiązują się do bieżącego przekazywania informacji o wszelkich zagrożeniach, trudnościach czy przeszkodach związanych z wykonywaniem Umowy.
7. Wykonawca oświadcza, że przysługują mu wszelkie prawa niezbędne do realizacji niniejszej Umowy.
8. Wykonawca oświadcza, że realizując Umowę nie narusza jakichkolwiek praw osób trzecich, w tym w szczególności autorskich praw majątkowych lub osobistych takich osób, a także, że nie mają miejsca żadne inne okoliczności, które mogłyby narazić Zamawiającego na odpowiedzialność wobec osób trzecich. W przypadku skierowania roszczeń do Zamawiającego, Wykonawca zobowiązuje się do całkowitego zaspokojenia takich roszczeń, co oznacza zwolnienie Zamawiającego z tego tytułu.
9. Wykonawca zobowiązuje się do przestrzegania obowiązujących u Zamawiającego przepisów wewnętrznych i do zapoznania i zobligowania do ich stosowania, osób skierowanych do realizacji Umowy w siedzibie Zamawiającego przez Wykonawcę.
10. Wykonawca zobowiązany jest dostarczyć Zamawiającemu oświadczenie producenta Oprogramowania potwierdzające, że będzie on świadczył usługi wsparcia dla Oprogramowania przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania. Oświadczenie to powinno być dostarczone Zamawiającemu najpóźniej w kolejnym dniu po zakończeniu wdrożenia produkcyjnego Oprogramowania.
11. Strony zobowiązują się do współdziałania w zakresie niezbędnym do prawidłowego
wykonania przedmiotu Umowy.
§ 5
Testy Oprogramowania
1. Integralną częścią procesu wdrożenia będą testy Oprogramowania.
2. Terminy przeprowadzenia testów zostaną uzgodnione pomiędzy Stronami i odbędą się
przed wdrożeniem produkcyjnym Oprogramowania.
3. Testy dzielą się na: funkcjonalne, akceptacyjne i bezpieczeństwa.
4. Wykonawca zobowiązuje się do przeprowadzenia testów funkcjonalnych Oprogramowania potwierdzających poprawność działania Oprogramowania, co zostanie udokumentowane raportem z testów.
5. Zamawiający zobowiązuje się do przeprowadzenia testów akceptacyjnych Oprogramowania, których celem jest potwierdzenie, że Oprogramowanie funkcjonuje poprawnie i zostało zrealizowane zgodnie z wymaganiami wskazanymi w Załączniku nr 1 do Umowy.
6. Warunkiem zakończenia testów akceptacyjnych Oprogramowania będzie spełnienie kryteriów opisanych w Planie testów, a także raport końcowy z realizacji testów funkcjonalnych zaakceptowany przez Zamawiającego.
7. Dostarczone Oprogramowanie zostanie przetestowane przez Zamawiającego pod kątem spełnienia wymogów bezpieczeństwa (testy bezpieczeństwa).
8. Oprogramowanie zostanie odebrane i uruchomione produkcyjnie (Wdrożenie produkcyjne) jedynie po pozytywnym przejściu testów funkcjonalnych, akceptacyjnych i bezpieczeństwa.
9. Wykonawca dostarczy dokumentację Oprogramowania do przeprowadzenia testów akceptacyjnych i bezpieczeństwa. tj. co najmniej dokumentację techniczną i użytkownika Portalu. W przypadku braku w dokumentacji szczegółów niezbędnych do przeprowadzenia testów odbiorczych i bezpieczeństwa Wykonawca uzupełni dokumentację techniczną w zakresie niezbędnym do ich przeprowadzenia.
10. Oprogramowanie musi zapewniać mechanizmy zabezpieczające przed podatnościami bezpieczeństwa, w szczególności z aktualnej listy TOP 10 wg organizacji OWASP oraz podatnościami opisywanymi w zaktualizowanym OWASP Testing Guide.
11. Oprogramowanie musi posiadać mechanizmy walidacji danych wejściowych i wyjściowych w szczególności pod kątem ataków typu cross-site scripting (XSS) oraz injection np. SQL injection, shell injectiom, OS injection, code injection.
12. Oprogramowanie musi posiadać mechanizmy zabezpieczające go przed atakami
polegającymi na przepełnieniu bufora.
13. Oprogramowanie musi zapewniać bezpieczeństwo komunikacji danych poprzez silne szyfrowanie za pomocą algorytmów, które są powszechnie uznawane za bezpieczne i pozbawione są powszechnie znanych błędów.
14. Oprogramowanie musi zapewniać ochronę przed atakami typu cross-site request forgery.
15. Oprogramowanie musi posiadać zabezpieczenia przed podatnościami związanymi z niewłaściwymi mechanizmy przekierowania, w szczególności tymi które mogą być wykorzystywane w trakcie ataków phishingowych.
16. Oprogramowanie musi zapewnić mechanizmy zabezpieczające przed podatnościami związanymi z kontrolą dostępu (np. niezabezpieczone bezpośrednie odwołania do obiektów, nieograniczony dostęp URL, nieograniczony dostęp użytkowników do funkcji, eskalacje uprawnień, niewłaściwe zarządzanie sesją użytkownika).
17. Oprogramowanie musi zapewniać mechanizmy zabezpieczające przed podatnościami wynikającymi z nieodpowiedniego zarządzania błędami oraz nadmiarowym ujawnieniem informacji o infrastrukturze.
18. Oprogramowanie musi zapewniać mechanizmy pełnego monitorowania i logowania
zdarzeń.
19. Wykonawca musi zapewnić zgodność poziomu bezpieczeństwa Oprogramowania z wymaganiami projektu ASVS (OWASP ASVS) (Application Security Verification Standard) poziom 2, dostępnymi powszechnie w sieci Internet.
20. W ramach realizowanego wsparcia Wykonawca jest odpowiedzialny za monitorowanie, wykrywanie i usuwanie pojawiających się luk bezpieczeństwa w Oprogramowaniu.
21. Oprogramowanie musi korzystać ze stabilnych, aktualnych wersji komponentów oraz bibliotek programistycznych (maksymalnie 3 wersje wstecz, o ile nie zostały skompromitowane pod względem bezpieczeństwa) przez cały okres wsparcia.
22. Każdy z elementów Oprogramowania (baza danych, systemy operacyjne, serwery webowe/aplikacyjne oraz pozostałe dostarczone przez Wykonawcę komponenty informatyczne) musi być poddany procesowi utwardzania (hardeningu) zgodnie z powszechnie dostępnymi w sieci Internet zaleceniami producenta w celu uzyskania maksymalnej możliwej odporności Oprogramowania na ataki.
23. Portal musi integrować się z istniejącą infrastrukturą bezpieczeństwa Zamawiającego – w szczególności z systemami klasy WAF oraz Firewall – bez konieczności obniżania aktualnego poziomu zabezpieczeń.
24. Wymagania bezpieczeństwa dla Portalu, o których mowa w powyższych ustępach, muszą być spełnione bez wykorzystywania w tym celu infrastruktury Zamawiającego.
25. Czas przeznaczony na testy bezpieczeństwa Oprogramowania nie wlicza się do czasu realizacji przedmiotu Umowy, o którym mowa w § 2 ust. 2.
§ 6
Procedura Odbioru
1. Protokolarnemu odbiorowi podlegają co najmniej prace opisane w § 1 ust. 2 pkt 1-3, 6-10,
12. Odebranie prac, o których mowa w zdaniu poprzedzającym oraz realizacja wszelkich innych zobowiązań wynikających z Umowy jest warunkiem dokonania odbioru końcowego przedmiotu Umowy.
2. Wykonawca zobowiązuje się nie później niż w dniu terminu odbioru poinformować Zamawiającego, w formie pisemnej, o gotowości do odbioru. Zamawiający dopuszcza zgłoszenie gotowości odbioru za pośrednictwem poczty elektronicznej na adres e-mail Kierownika Projektu Zamawiającego wskazany w § 3 Umowy.
3. Warunkiem zgłoszenia do odbioru końcowego, o którym mowa w ust.1 powyżej, jest pozytywne przejście testów Oprogramowania zgodnie z postanowieniami § 5 Umowy.
4. Kierownik Projektu Zamawiającego zobowiązany jest w terminie do 5 Dni roboczych od dnia otrzymania informacji o gotowości do odbioru Oprogramowania dokonać odbioru, poprzez podpisanie Protokołu odbioru lub zgłosić pisemne zastrzeżenia do przedmiotu Umowy.
5. Wykonawca zobowiązany jest w terminie do 3 Dni roboczych od dnia otrzymania uwag i zastrzeżeń Zamawiającego do ich uwzględnienia i do ponownego przekazania Zamawiającemu przedmiotu Umowy do odbioru. Postanowienia ust. 1-2 stosuje się odpowiednio.
6. Procedurę odbioru określoną ust. 1-3 stosuje się odpowiednio do odbiorów dokonywanych ponownie, przy czym ponownej procedurze odbioru podlegają zastrzeżenia wyszczególnione na liście przekazanej przez Zamawiającego, po zgłoszeniu przez Wykonawcę gotowości do dokonania odbioru wykonania zrealizowanych prac oraz inne zastrzeżenia powstałe lub ujawnione w wyniku usuwania zgłoszonych zastrzeżeń.
7. Końcowy odbiór przedmiotu Umowy nastąpi po zakończeniu testów akceptacyjnych i zostanie potwierdzony podpisaniem przez Strony Protokołu odbioru końcowego wdrożenia przedmiotu Umowy bez uwag.
§ 7
Wynagrodzenie i warunki płatności
1. Za prawidłowe wykonanie przedmiotu Umowy, o którym mowa w § 1 ust. 1, Wykonawca otrzyma, zgodnie ze złożoną Ofertą, maksymalne łączne wynagrodzenie w wysokości
………………. zł brutto (słownie złotych brutto: ).
2. Wynagrodzenie, o którym mowa w ust. 1, płatne będzie jednorazowo po podpisaniu przez Zamawiającego Protokołu odbioru końcowego wdrożenia przedmiotu Umowy, o którym mowa w § 6 ust. 7 oraz po przeprowadzeniu warsztatów o których mowa w § 1 ust. 2 pkt 12).
3. Wynagrodzenie należne Wykonawcy z tytułu realizacji przedmiotu Umowy obejmuje wszelkie obciążenia związane z realizacją Umowy oraz wynikające z przepisów prawa, w tym w szczególności wszystkie koszty, opłaty, wydatki Wykonawcy, a także podatki, w tym podatek od towarów i usług, a także wynagrodzenie za przeniesienie autorskich praw majątkowych do utworów powstałych w wyniku wykonywania Umowy, oraz wynagrodzenie z tytułu przeniesienia własności egzemplarzy utworów na warunkach określonych w dalszej części Umowy.
4. Płatność będzie dokonana przez Zamawiającego przelewem w terminie 30 dni od otrzymania przez Zamawiającego poprawnie wystawionej faktury, na wskazany w Formularzu Oferty numer rachunku Wykonawcy.
5. Za dzień zapłaty wynagrodzenia uważany będzie dzień złożenia przez Zamawiającego dyspozycji obciążenia rachunku Zamawiającego kwotą wynagrodzenia na rachunek wskazany przez Wykonawcę.
6. W przypadku zmiany numeru rachunku Wykonawcy, o którym mowa w ust. 4, podanego pierwotnie w Formularzu Oferty przez Wykonawcę, Wykonawca zobowiązuje się do poinformowania o powyższym fakcie Zamawiającego, przed wystawieniem faktury na piśmie z podaniem zmienionego numeru rachunku bankowego. Pismo winno być podpisane przez osobę/y upoważnione do reprezentowania Wykonawcy wskazane w odpowiednich dokumentach rejestrowanych/ pełnomocnictwie.
7. Zapłata wynagrodzenia Wykonawcy będzie dokonana w walucie polskiej.
8. Wykonawca oświadcza, że jest płatnikiem podatku od towarów i usług (VAT).
9. Zamawiający oświadcza, że Wykonawca może wystawić faktury bez wymaganego podpisu
Zamawiającego na fakturze.
10. Dane Zamawiającego do faktury VAT:
Urząd Komisji Nadzoru Finansowego, ul. Xxxxxx 00, 00-000 Xxxxxxxx, NIP: 7010902185.
11. Adres korespondencyjny Zamawiającego:
ul. Xxxxxx 00, xxxxxxx xxxxxxxx xx 000, 00-000 Xxxxxxxx.
§ 8
Kary umowne
1. W przypadku wypowiedzenia lub odstąpienia od Umowy przez Zamawiającego z przyczyn leżących po stronie Wykonawcy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10 % kwoty maksymalnego łącznego wynagrodzenia brutto, o której mowa w § 7 ust. 1 Umowy.
2. W przypadku odstąpienia od Umowy lub jej wypowiedzenia przez Wykonawcę z przyczyn leżących po jego stronie, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10% kwoty maksymalnego łącznego wynagrodzenia brutto, o której mowa w § 7 ust. 1
Umowy.
3. W przypadku niedotrzymania terminu, o którym mowa w § 2 ust. 2 Umowy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 2000 zł brutto za każdy rozpoczęty dzień zwłoki.
4. W przypadku niedotrzymania terminów, o których mowa w § 3 ust. 6 oraz ust. 8-9 oraz
§ 6 ust. 5 Umowy ,Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 50 zł
brutto za każdy rozpoczęty dzień zwłoki liczony dla każdego z tych terminów odrębnie.
5. W przypadku niedotrzymania terminów wsparcia, o których mowa w pkt 14 Opisu Przedmiotu Zamówienia stanowiącego Załącznik nr 1 do Umowy Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 50 zł brutto za każde jednostkowe przekroczenie oraz za każde kolejne 24 godziny zwłoki.
6. W przypadku naruszenia przez Wykonawcę zasad zachowania poufności, o których mowa w § 9 Umowy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10 % kwoty maksymalnego łącznego wynagrodzenia brutto, o której mowa w § 7 ust. 1 Umowy, za każdy przypadek naruszenia.
7. W przypadku niedostarczania w terminie oświadczenia, o którym mowa w § 4 ust. 10 Umowy Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 100 zł brutto za każdy rozpoczęty dzień zwłoki.
8. W przypadku naruszenia zasad bezpieczeństwa, o których mowa w § 16 ust. 1-6 Umowy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 50.000 zł brutto za każdy ujawniony przypadek takiego naruszenia.
9. Jeżeli wskutek niewykonania lub nienależytego wykonania przedmiotu Umowy, w tym także wskutek zwłoki, Zamawiający poniesie szkodę przewyższającą wysokość kary umownej, będzie on uprawniony do dochodzenia odszkodowania na zasadach ogólnych, uregulowanych w Kodeksie cywilnym.
10. Kary umowne będą w pierwszej kolejności potrącane z wynagrodzenia należnego Wykonawcy, na co Wykonawca wyraża zgodę i do czego upoważnia Zamawiającego bez potrzeby uzyskiwania pisemnego potwierdzenia.
11. Kary umowne mogą być naliczane łącznie.
12. Zapłata kar umownych nie zwalnia Wykonawcy od obowiązku wykonania Umowy.
§ 9
Poufność
1. Wykonawca zobowiązuje się do utrzymania w tajemnicy i nie przekazywania osobom trzecim, w okresie obowiązywania Umowy, po jej rozwiązaniu lub po jej wygaśnięciu:
1) informacji związanych z działalnością Zamawiającego oraz wykonywaniem Umowy;
2) informacji lub danych, w tym danych osobowych, uzyskanych w trakcie lub w związku
z realizacją Umowy, bez względu na sposób i formę ich utrwalania lub przekazania.
2. Postanowienie ust. 1 powyżej nie będzie miało zastosowania w stosunku do tych informacji uzyskanych od Zamawiającego:
1) które są opublikowane, znane i urzędowo podane do publicznej wiadomości bez naruszenia postanowień Umowy;
2) które zostały przekazane przez osobę trzecią, bez naruszenia jakichkolwiek
zobowiązań o nieujawnianiu w stosunku do Stron;
3) które zostaną podane przez Wykonawcę za uprzednią pisemną zgodą Zamawiającego;
4) których obowiązek ujawnienia wynika z obowiązujących przepisów, orzeczeń sądowych lub decyzji odpowiednich władz publicznych, żądania sądu, prokuratury, policji i innych organów w związku z ich uprawnieniami ustawowymi.
3. Strona niezwłocznie poinformuje drugą Stronę o ujawnieniu informacji poufnej, podmiocie, któremu informacje zostały ujawnione oraz zakresie ujawnienia informacji. Wykonawca zobowiązuje się do przekazania Zamawiającemu kopii dokumentów związanych z ujawnieniem informacji.
4. Wszelkie materiały i dokumenty zawierające dane dotyczące prac, w tym dane osobowe, w których posiadanie Wykonawca wejdzie w związku z wykonywaniem przedmiotu Umowy, są i pozostaną własnością Zamawiającego. Wykonawca zwróci je protokolarnie Zamawiającemu nie później niż 7 dni po zakończeniu obowiązywania Umowy.
5. Wszystkie dokumenty oraz ich kopie, które zostaną sporządzone przez Wykonawcę w związku z wykonywaniem Umowy, a także nośniki danych wykorzystane do sporządzenia dokumentów i ich kopii, zostaną przekazane protokolarnie Zamawiającemu nie później niż 7 dni po dniu rozwiązania lub wygaśnięcia Umowy. Wykonawca może zatrzymać kopie takich dokumentów za pisemną zgodą Zamawiającego, przy czym nie dotyczy to dokumentów zawierających wiadomości stanowiące tajemnicę ustawowo chronioną.
6. Wykonawcy nie wolno bez uprzedniej pisemnej zgody Zamawiającego, ujawnić treści Umowy ani jakiejkolwiek specyfikacji lub informacji dostarczonej przez Zamawiającego, lub na jego rzecz w związku z niniejszą Umową, jakiejkolwiek osobie trzeciej.
7. Wykonawca ponosi odpowiedzialność za zachowanie w tajemnicy informacji oraz przestrzeganie zasad wynikających z ustawy o ochronie danych osobowych w zakresie wynikającym z Umowy przez swoich pracowników i wszelkie inne osoby, którymi będzie się posługiwać przy wykonywaniu Umowy oraz zobowiąże je do zachowania poufności.
8. W razie wątpliwości, czy określona informacja stanowi tajemnicę drugiej Strony, zainteresowany zobowiązany jest zwrócić się w formie pisemnej do drugiej Strony o wyjaśnienie takiej wątpliwości.
9. W razie wystąpienia przez osobę trzecią z jakimikolwiek roszczeniami skierowanymi do Zamawiającego w związku z naruszeniem przez Wykonawcę poufności przekazanych mu informacji (również jeśli skutkiem tego naruszenia jest naruszenie dóbr osobistych osób trzecich), Wykonawca zobowiązuje się do pokrycia wszelkich kosztów związanych z dochodzeniem roszczeń przez te osoby trzecie, w tym zasądzonych kwot odszkodowania oraz kosztów obsługi.
§ 10
Siła wyższa
1. Żadna ze Stron Umowy nie będzie odpowiedzialna za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z Umowy spowodowane przez okoliczności traktowane jako Siła Wyższa.
2. Dla celów Umowy „Siła Wyższa” oznacza zdarzenie zewnętrzne, pozostające poza kontrolą Stron oraz niewiążące się z zawinionym działaniem Stron, którego Strony nie mogły przewidzieć i które uniemożliwia proces realizacji Umowy. Takie zdarzenia obejmują w szczególności: wojnę, rewolucję, zamieszki, rozruchy, akty terroryzmu, pożary, wybuchy, powodzie, burze, huragany, trzęsienia ziemi, zniszczenie przez piorun, epidemie, pandemie, akty administracji państwowej.
3. Strona starająca się o zwolnienie z odpowiedzialności ze względu na Siłę Wyższą, w terminie 2 Dni roboczych po zaistnieniu zdarzenia powiadomi w formie pisemnej pod rygorem nieważności drugą Stronę o powyższym zdarzeniu i jego wpływie na jej zdolność do realizacji Umowy. W przypadku ustania przyczyny zwolnienia Strona starająca się o zwolnienie z odpowiedzialności, w terminie 2 Dni roboczych po zaistnieniu okoliczności Siły Wyższej powiadomi w formie pisemnej pod rygorem nieważności drugą Stronę o powyższym fakcie.
4. Strona, która nie zawiadomi o zdarzeniu oraz nie przekaże drugiej Stronie pisemnego potwierdzenia zaistnienia Siły Wyższej w terminie określonym w ustępie powyżej, jest odpowiedzialna za szkody poniesione przez drugą Stronę, których można było uniknąć w przypadku terminowego zawiadomienia.
5. Jeżeli Siła Wyższa będzie trwała nieprzerwanie przez okres 30 dni lub dłużej, Strony mogą w drodze wzajemnego uzgodnienia rozwiązać Umowę bez nakładania na żadną ze Stron dalszych zobowiązań oprócz płatności należnych z tytułu wykonanych usług.
6. Stan Siły Wyższej powoduje odpowiednie przesunięcie terminów realizacji Umowy, chyba
że Xxxxxx postanowiły inaczej.
7. W przypadku zajścia zdarzenia kwalifikowanego jako Siła Wyższa strony niezwłocznie ustalą zakres, alternatywne rozwiązanie i sposób realizacji Umowy.
§ 11
Dane osobowe
1. Wykonawca i Xxxxxxxxxxx, wywiązując się ze swoich zobowiązań w ramach Umowy, będą przestrzegać właściwych przepisów dotyczących ochrony danych osobowych. W celu realizacji Umowy, UKNF powierza Wykonawcy przetwarzanie danych osobowych, na zasadach określonych w umowie powierzenia przetwarzania danych osobowych, stanowiącej Załącznik nr 5 do Umowy („Umowa Powierzenia”).
2. Wykonawca zobowiązuje się do przekazania w imieniu Xxxxxxxxxxxxx klauzuli informacyjnej dla: osób reprezentujących Wykonawcę, osób wyznaczonych ze strony Wykonawcy do kontaktu i realizacji Umowy. Wzór klauzuli informacyjnej stanowi Załącznik nr 4 Umowy.
§ 12
Cesja
Zamawiający nie wyraża zgody na dokonanie przez Wykonawcę cesji wierzytelności wynikających z realizacji Umowy na rzecz osób trzecich.
§ 13
Prawa autorskie, prawa pokrewne
1. Na mocy Umowy, w ramach wynagrodzenia z tytułu jej realizacji określonego w § 7 ust. 1 Umowy, Wykonawca przenosi na Zamawiającego autorskie prawa majątkowe do każdego z produktów wytworzonych w wyniku realizacji Umowy, tj. w szczególności do Oprogramowania, kodów źródłowych Oprogramowania, dokumentacji, aktualizacji oraz najnowszych wersji Oprogramowania, poprawek, alarmów dotyczących zabezpieczeń i pakietów poprawek krytycznych nowych wersji Oprogramowania. Przeniesienie autorskich praw majątkowych następuje z dniem odbioru danego utworu, w szczególności potwierdzonego Protokołem odbioru. Przeniesienie autorskich praw majątkowych obejmuje pola eksploatacji znane w chwili podpisania Umowy, obejmujące w szczególności pola wskazane w ust. 5. Przeniesienie autorskich praw majątkowych jest dokonywane bez żadnych ograniczeń czasowych i terytorialnych.
2. Wynagrodzenie Wykonawcy za wykonanie przedmiotu Xxxxx obejmuje również wynagrodzenie Wykonawcy należne z tytułu przeniesienia autorskich praw majątkowych na wszystkich polach eksploatacji objętych przeniesieniem.
3. Wykonawca oświadcza, że przysługują mu wyłączne i nieograniczone prawa autorskie do utworów wskazanych w ust. 1 (dalej „Utwór” lub „Utwory”).
4. Wykonawca oświadcza, że posiada wszelkie niezbędne uprawnienia do realizacji przedmiotu Umowy oraz, że Utwory nie naruszają praw autorskich, pokrewnych i patentowych osób trzecich, są wolne od jakichkolwiek zapożyczeń oraz nie mają miejsca żadne inne okoliczności, które mogłyby narazić Zamawiającego na odpowiedzialność wobec osób trzecich.
5. Na podstawie niniejszej Umowy i w ramach określonego w § 7 ust. 1 Umowy wynagrodzenia Wykonawca przenosi na Zamawiającego bez żadnego dodatkowego oświadczenia wszelkie autorskie prawa majątkowe do Utworów, na następujących polach eksploatacji:
1) w zakresie utrwalania i zwielokrotniania Utworu — wytwarzania każdą dowolną techniką egzemplarzy Utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową;
2) w zakresie obrotu oryginałem lub egzemplarzami, na których Utwór utrwalono - wprowadzenia do obrotu, użyczenia lub najmu oryginału albo egzemplarzy;
3) w zakresie rozpowszechniania Utworu w sposób inny niż określony w pkt 2 powyżej - publicznego wykonania, wystawienia, wyświetlenia, odtworzenia oraz nadawania i reemitowania, a także publicznego udostępnienia Utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym (w szczególności w sieci Internet), a także w ramach dowolnych usług telekomunikacyjnych z zastosowaniem jakichkolwiek systemów i urządzeń (x.xx. telefonów stacjonarnych i/lub komórkowych, komputerów stacjonarnych i/lub przenośnych, a także przekazów z wykorzystaniem wszelkich dostępnych technologii np. GSM, UMTS itp., za pomocą telekomunikacyjnych sieci przesyłu danych);
4) dowolne przetwarzanie Utworów, w tym łączenie z innymi utworami;
5) trwałe lub czasowe zwielokrotnianie Utworów w całości lub części jakimikolwiek środkami i w jakiejkolwiek formie, w tym wprowadzanie, wyświetlanie, stosowanie, przekazywanie i przechowywanie x.xx. do systemu informatycznego, pamięci komputera, sieci komputerowych;
6) tłumaczenie, przystosowywanie, zmiana układu lub jakakolwiek inna zmiana w Utworach, w tym łączenie w jeden system z innymi programami;
7) rozpowszechnianie, w tym użyczenie, najem, dzierżawa, upoważnienie innych osób do wykorzystywania w całości lub w części oprogramowania lub jego kopii (w tym udzielanie licencji);
8) modyfikowanie kodu źródłowego;
9) wykonywanie i zezwalanie na wykonywanie zależnych praw autorskich na wszystkich powyżej określonych polach eksploatacji.
6. Wykonawca z chwilą przeniesienia autorskich praw majątkowych przenosi na Zamawiającego, w ramach wynagrodzenia określonego w § 7 ust. 1 Umowy, własność wszelkich nośników, na których utrwalono Utwory celem przekazania do Zamawiającego i przekazanych do Zamawiającego.
7. Wykonawca przenosi na Zamawiającego prawo do wyrażania zezwoleń na wykonywanie praw zależnych do Utworów na wszystkich polach eksploatacji wskazanych w ust. 5.
8. Wykonawcy nie przysługuje wynagrodzenie za każde odrębne pole eksploatacji.
9. Z chwilą przekazania Utworu, będącego programem komputerowym, do odbioru Wykonawca każdorazowo przekaże Zamawiającemu kody źródłowe wraz z dokumentacją projektową, skrypty konfiguracyjne oraz wszelkie inne skrypty (np. budujące aplikację, instalacyjne, zasilające inicjalnie).
10. Na czas od dnia przekazania Utworów do dnia przekazania autorskich praw majątkowych wskazanego w ust. 1 Wykonawca udziela Zamawiającemu, w ramach wynagrodzenia określonego w § 7 ust. 1 Umowy, licencji wyłącznej, nieograniczonej terytorialnie, czasowej, uprawniającej Zamawiającego do korzystania z Utworów na polach eksploatacji wskazanych w ust. 5 na potrzeby realizacji czynności odbiorczych Systemu wraz z prawem do produkcyjnego korzystania z Systemu do czasu podpisania Protokołu Odbioru Końcowego.
11. Wykonawca zobowiązuje się, że twórcy nie będą wykonywać względem Zamawiającego
swych autorskich praw osobistych na wszystkich polach eksploatacji.
12. Wykonawca oświadcza, że wykonane przez niego w ramach Umowy prace, w tym dostarczone przez niego Utwory i informacje, nie naruszają jakichkolwiek praw osób trzecich, zwłaszcza w zakresie przepisów o wynalazczości, znakach towarowych, prawach autorskich i prawach pokrewnych oraz nieuczciwej konkurencji.
13. Strony ustalają zgodnie, że Zamawiający nie ponosi i nie będzie ponosić odpowiedzialności za naruszenie praw osób trzecich w związku z pracami wykonywanymi przez Wykonawcę. Cała odpowiedzialność w powyższym zakresie spoczywa na Wykonawcy.
14. Wykonawca ponosi odpowiedzialność cywilnoprawną za wady prawne Utworów
powstałych w ramach wykonywania niniejszej Umowy, w szczególności w przypadku
skierowania przeciwko Zamawiającemu roszczeń przez osoby trzecie z tytułu naruszenia przysługujących im autorskich praw majątkowych do utworów lub ich części. Zamawiający zawiadamia o tym fakcie niezwłocznie Wykonawcę, a Wykonawca zobowiązuje się do zwolnienia Zamawiającego z odpowiedzialności i zaspokojenia powyższych roszczeń.
15. Zamawiający niezwłocznie zawiadomi Wykonawcę o roszczeniu zgłoszonym przez osobę trzecią oraz o toczącym się postępowaniu sądowym, a także przekaże posiadaną dokumentację oraz informacje o dodatkowych okolicznościach, które mogą być przydatne dla Wykonawcy lub o których wydanie zwróci się Wykonawca.
16. W przypadku zgłoszenia przeciwko Zamawiającemu roszczenia opisanego w ust. 14-15, Wykonawca zobowiązuje się zapewnić Zamawiającemu na swój koszt, ochronę prawną oraz zobowiązuje się ponieść konsekwencje orzeczenia sądowego lub ostatecznego rozstrzygnięcia sprawy w sposób pozasądowy w przypadku uprzedniej akceptacji warunków przedmiotowego rozstrzygnięcia przez Wykonawcę.
17. W przypadku wytoczenia powództwa przez osobę trzecią przeciwko Zamawiającemu,
Wykonawca na wezwanie Zamawiającego przystąpi do postępowania po jego stronie.
18. Jeśli wykonane w ramach Umowy produkty faktycznie naruszać będą prawa osób trzecich, Wykonawca niezwłocznie przystąpi do ich zmodyfikowania w sposób, pozwalający na dalsze ich wykorzystywanie bez naruszania praw osób trzecich lub uzyska dla Zamawiającego, na swój koszt, licencję na część dotkniętą naruszeniem.
19. Wykonawca oświadcza, że po podpisaniu Protokołu Końcowego Zamawiający będzie posiadał nieograniczone czasowo i terytorialnie prawo do korzystania z Systemu i jego modyfikacji niezależnie od liczby użytkowników wewnętrznych tj. pracowników Zamawiającego i zewnętrznych tj. nie będących pracownikami Zamawiającego i niezależnie od tego czy wykorzystane przez Wykonawcę komponenty są odpłatne czy też dostarczone narzędzia są typu open source.
§ 14
Rozwiązanie Umowy
1. Zamawiający może wypowiedzieć lub odstąpić od Umowy w przypadkach określonych w przepisach obowiązującego prawa, w szczególności Kodeksu cywilnego oraz w przypadkach określonych w Umowie.
2. Zamawiający może wypowiedzieć Umowę ze skutkiem natychmiastowym, z przyczyn
leżących po stronie Wykonawcy, gdy:
1) Wykonawca nie rozpoczął realizacji przedmiotu Umowy bez uzasadnionej przyczyny leżącej po stronie Wykonawcy lub nie kontynuuje jej pomimo pisemnego wezwania Zamawiającego;
2) Wykonawca realizuje przedmiot Umowy, o którym mowa w § 1 Umowy, niezgodnie z jej postanowieniami lub rażąco nie wywiązuje się z pozostałych obowiązków określonych w Umowie, przy czym prawo do wypowiedzenia może zostać wykonane, jeżeli Zamawiający wezwał Wykonawcę do zaprzestania naruszeń i usunięcia skutków, wyznaczając mu w tym celu odpowiedni termin nie
krótszy niż 7 dni kalendarzowych, a mimo upływu tego terminu Wykonawca nie
zaprzestał naruszeń, ani nie usunął ich skutków;
3) Wykonawca zleca, bez zgody Zamawiającego, wykonanie Umowy lub jej części osobie trzeciej, która nie uzyskała pisemnej akceptacji Zamawiającego lub wykonuje Umowę przy udziale podmiotów, które nie uzyskały pisemnej akceptacji Zamawiającego;
4) Wykonawca opóźnia się w spełnieniu przedmiotu Umowy powyżej 10 Dni roboczych;
5) Wartość naliczonych kar umownych przekroczyła 20 % wartości Umowy brutto;
6) przedmiot Umowy ma wady prawne.
3. Zamawiający może odstąpić od Umowy w razie zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy lub dalsze wykonywanie Umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu.
4. Prawo odstąpienia Zamawiający może wykonać w terminie 30 dni kalendarzowych od dnia
powzięcia wiadomości o okolicznościach je uzasadniających.
5. Wypowiedzenie lub odstąpienie od Umowy powinno być dokonane w formie pisemnej pod rygorem nieważności i wymaga uzasadnienia.
6. W przypadku wypowiedzenia lub odstąpienia od Umowy Zamawiający nie traci uprawnienia do naliczania należnych kar umownych.
7. W przypadku wypowiedzenia lub odstąpienia od Umowy przez Zamawiającego w przypadkach, o których mowa w ust. 2 i 3:
1) Wykonawca zobowiązuje się w terminie 7 dni od wypowiedzenia lub odstąpienia od Umowy do sporządzenia protokołu, który będzie stwierdzał stan realizacji przedmiotu Umowy do dnia wypowiedzenia lub odstąpienia od Umowy;
2) wysokość wynagrodzenia należna Wykonawcy zostanie ustalona proporcjonalnie na podstawie stwierdzonego protokołem zakresu wykonanego przedmiotu Umowy zaakceptowanego przez Zamawiającego bez zastrzeżeń do dnia wypowiedzenia lub odstąpienia od Umowy, o ile wykonany zakres przedmiotu Umowy będzie miał dla Zamawiającego znaczenie.
§ 16
Zasady bezpieczeństwa
1. Wykonawca zobowiązuje się do niedołączania bez zgody Zamawiającego żadnych urządzeń własnych Wykonawcy (np. komputerów przenośnych) do środowiska teleinformatycznego Zamawiającego.
2. Wykonawca zobowiązuje się do uzyskania zgody Zamawiającego na instalację lub użytkowanie jakiegokolwiek oprogramowania pochodzącego spoza środowiska sprzętowego i systemowego Zamawiającego.
3. Wykonawca zobowiązuje się nie kopiować żadnych danych Zamawiającego, w szczególności danych osobowych, z wyjątkiem danych niezbędnych dla wykonania Umowy.
4. Zabrania się Wykonawcy podejmowania działań powodujących nieskuteczność zastosowanych przez Zamawiającego środków technicznych służących zapewnieniu bezpieczeństwa zasobów Zamawiającego.
5. Wykonawcy nie wolno podejmować działań, które pośrednio lub bezpośrednio mogą prowadzić do naruszenia bezpieczeństwa udostępnionych zasobów Zamawiającego.
6. Urządzenia i oprogramowanie Wykonawcy, wykorzystywane przez Wykonawcę do realizacji dostępu do infrastruktury Zamawiającego, nie mogą zagrażać bezpieczeństwu udostępnionych przez Zamawiającego zasobów. W szczególności Wykonawca zobowiązany jest do zastosowania odpowiednich zabezpieczeń chroniących zasoby Zamawiającego przed programowaniem złośliwym.
7. Wykonawca przyjmuje do wiadomości, że wszelkie prace wykonywane w środowisku
teleinformatycznym Zamawiającego mogą być monitorowane.
8. W uzasadnionych Siłą Wyższą przypadkach, uniemożliwiających lub utrudniających realizację Umowy na dotychczasowych zasadach, na uzasadniony wniosek Wykonawcy, Zamawiający może wyrazić zgodę na prace zdalną. W przypadku wyrażenia przez Zamawiającego zgody na pracę zdalną, zgoda ta będzie zawierała co najmniej: listę osób dla których została wydana, okres na który została udzielona, warunki techniczne przyłączenia i pracy oraz pozostałe warunki. Zgoda zostanie wydana z zachowaniem formy pisemnej. Zmiany w tym zakresie nie stanowią zmiany Umowy i nie wymagają sporządzenia aneksu.
9. Wykonawca zobowiązuje się do przestrzegania wszelkich warunków określonych
w zgodzie na pracę zdalną, o której mowa w ust. 8.
§ 17
Postanowienia końcowe
1. W sprawach nieuregulowanych zastosowanie mają odpowiednie przepisy prawa polskiego, w tym w szczególności przepisy Kodeksu cywilnego oraz ustawy o prawie autorskim i prawach pokrewnych.
2. Wszelkie spory mogące wyniknąć na tle niniejszej Umowy będą rozstrzygane przez Strony w drodze wzajemnych uzgodnień, a w przypadku nieosiągnięcia porozumienia Strony poddają je rozstrzygnięciu przez sąd powszechny właściwy miejscowo dla Zamawiającego.
3. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności,
z zastrzeżeniem ust. 4.
4. Zmiana osób oraz danych wskazanych w § 3 ust. 1 nie stanowi zmiany Umowy, wymaga jednak powiadomienia drugiej Strony Umowy w formie pisemnej lub za pośrednictwem poczty elektronicznej.
5. W przypadku, gdy jakiekolwiek postanowienia Umowy okażą się lub staną się nieważne, fakt ten nie wpłynie na inne postanowienia Umowy, które pozostają w mocy i są wiążące we wzajemnych stosunkach Stron wynikających z Umowy.
6. W przypadku nieważności lub bezskuteczności jednego lub więcej postanowień Umowy, Xxxxxx zobowiązują się zgodnie dążyć do ustalenia takiej treści postanowienia, która będzie optymalnie odpowiadała zgodnym intencjom Stron, celowi i przeznaczeniu Umowy oraz zaistniałym okolicznościom.
7. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej
ze Stron.
8. Integralną część Umowy stanowią:
a) Załącznik nr 1 – Opis Przedmiotu Zamówienia;
b) Załącznik nr 2 – Kopia Oferty Wykonawcy;
c) Załącznik nr 3 – Protokół Odbioru;
d) Załącznik nr 4 – Klauzula informacyjna;
e) Załącznik nr 5 – Umowa powierzenia przetwarzania danych.
WYKONAWCA: ZAMAWIAJĄCY:
Załącznik nr 1 do Umowy
OPIS PRZEDMIOTU ZAMÓWIENIA
Przedmiotem zamówienia jest opracowanie, dostawa i wdrożenie w infrastrukturze Zamawiającego Portalu dedykowanego do zarządzania dostępem do środowisk teleinformatycznych, wraz ze wsparciem producenta Oprogramowania zapewniającym dostęp do aktualizacji oraz najnowszych wersji Oprogramowania oraz pomocy technicznej przez okres 12 miesięcy od dnia wdrożenia produkcyjnego Oprogramowania
Minimalne wymagania funkcjonalne Portalu.
Portal powinien zapewnić co najmniej niżej wymienione funkcjonalności:
1. Wnioskowanie do Administratora o rejestrację nowego użytkowania Virtual SandBox za pośrednictwem walidowalnego formularza zgłoszeniowego.
2. Możliwość wyboru technologii w jakiej będą prowadzone testy (co najmniej Open API/PSD2, blockchain/DLT) wraz z możliwością dodawania kolejnych w przyszłości wraz z rozwojem Virtual SandBox.
3. Logowanie Użytkownika w zakresie posiadanych uprawnień.
4. Przydzielanie uprawnień: Administrator biznesowy, Administrator techniczny, Tester API, Tester DLT wraz z możliwością tworzenia kolejnych kategorii, edycji ról wchodzących w zakres każdej z nich oraz odbierania wcześniej nadanych uprawnień.
5. Możliwość utworzenia co najmniej 100 aktywnych testerów dla każdej z wybranych technologii (co najmniej Open API/PSD2 i blockchain/DLT) niezależnie dla każdej odseparowanej instancji testowej.
6. Możliwość nadawania ról administratorów technicznych i administratorów biznesowych.
7. Rejestracja logów w dedykowanej bazie w szczególności dotyczących zdarzeń z
użytych funkcji systemu.
8. Możliwość wygenerowania raportu PDF z wynikami prowadzonych testów.
9. Możliwość dodawania kolejnych technologii wdrażanych z czasem w Virtual SandBox.
10. Możliwość tworzenia nowych przepływów procesowych wniosków i edycji już istniejących.
11. Nieobligatoryjną końcową ankietę satysfakcji Użytkownika generowaną po
zakończeniu testów.
Szczegółowe wymagania funkcjonalne:
1. Portal główny (dostępny przed zalogowaniem) zapewnia:
a. Wybór technologii testowanego rozwiązania,
b. Wybór opcji logowania Użytkownika lub wnioskowania o zarejestrowanie nowego Użytkownika dostępny po wyborze testowanej technologii.
c. Formularz logowania Użytkownika lub rejestracji nowego Użytkownika.
d. Mechanizm automatycznego resetowania dostępów w ramach nadanych uprawnień (co najmniej opcja „nie pamiętam hasła” dla wcześniej zautoryzowanego konta).
e. Oznaczenie obecnej wersji Virtual SandBox.
f. Wizualizacja uzgodniona z Zamawiającym.
2. Etapy rejestracji i logowania.
a. Kroki rejestracji:
i. Krok 1 – dostęp do ogólnodostępnej witryny Portalu.
ii. Krok 2 – wybór testowanej technologii.
iii. Krok 3A – wybór opcji rejestracji profilu.
iv. Krok 4 – uzupełnienie i zatwierdzenie formularza rejestracji.
v. Krok 5 – akceptacja administratora i nadanie dostępu do Portalu.
vi. Krok 6 – Logowanie (krok 3B) do SandBox (krok 6).
b. Kroki logowania:
i. Krok 1 – dostęp do ogólnodostępnej witryny Portalu.
ii. Krok 2 – wybór testowanej technologii.
iii. Krok 3B – wprowadzenie i zatwierdzenie indywidualnego loginu i hasła Użytkownika.
iv. Krok 6 – Dostęp do SandBox.
c. Loginem Użytkownika jest login utworzony przez Administratora Biznesowego.
d. Użytkownik sam generuje swoje hasło dostępowe poprzez wprowadzenie go w pola „hasło” i „potwierdź hasło” na etapie rejestracji.
3. Wybór testowanej technologii – krok 2.
a. Wybór testowanej technologii przekierowuje na ekran – Rejestracji i logowania.
b. Wizualizacja graficzna dostosowana do wybranej testowanej technologii.
c. Dostępna dokumentacja Użytkownika, co najmniej manual, FAQ i instrukcja logowania w formacie PDF w wersji dedykowanej dla konkretnej testowanej technologii.
4. Rejestracja Użytkownika (po wyborze testowanej technologii – krok 3A).
a. Wybór opcji „Rejestracja” przekierowuje na dedykowany wybranej technologii formularz wypełniany przez wnioskującego o dostęp zawierający walidowane, obligatoryjne w zakresie faktu ich uzupełnienia pola.
b. Informacja o obecnej wersji Virtual SandBox dla wybranej testowanej technologii.
c. Formularze rejestracji zawierają co najmniej:
i. Pola zgodne z załącznikiem nr 1 do Regulaminu udziału w testach w środowisku Piaskownicy Wirtualnej Urzędu Komisji Nadzoru Finansowego dostępnym na stronie xxx.xxx.xx.
ii. Oświadczenia zgodne z załącznikiem nr 2 do Regulaminu udziału w testach w środowisku Piaskownicy Wirtualnej Urzędu Komisji Nadzoru Finansowego dostępnym na stronie xxx.xxx.xx wraz z możliwością uzupełnienie edytowalnych pól i ich akceptacji.
iii. Klauzulę informacyjną zgodną z załącznikiem nr 3 do Regulaminu udziału w testach w środowisku Piaskownicy Wirtualnej Urzędu Komisji Nadzoru Finansowego dostępnym na stronie xxx.xxx.xx.
d. Dostępny regulamin korzystania z Virtual SandBox w formacie PDF.
e. Zatwierdzenie formularza wymaga odznaczenia checkboxa o zapoznaniu się i akceptacji regulaminu oraz oświadczeń i klauzuli, o których mowa w lit. c.
f. Słownikową listę wielokrotnego wyboru ze wskazaniem sektora w jaki ma działać testowane rozwiązanie (bankowy, ubezpieczeniowy, kapitałowy, inny) w raz z możliwością jej edycji przez Administratora Biznesowego.
g. Checkboxy profilujące edytowane przez Administratora Biznesowego (np. wymogi kapitałowe, rodzaj prowadzonej działalności – KIP, TPP itp.)
h. Informacja zawierająca sposób kontaktowania się ze wsparciem Virtual SandBox po stronie Zamawiającego oraz godzinach świadczenia wsparcia.
i. Informacja, że po akceptacji potwierdzenie nadania dostępu zostanie wygenerowane i wysłane na podany w formularzu adres e-mail.
j. Zatwierdzenie wypełnionego formularza generuje zgłoszenie w statusie
„otwarte” przekierowywane do Administratora Biznesowego.
k. Zmiana statusu wniosku każdorazowo skutkuje wysłaniem automatycznego powiadomienia na adres e-mail wnioskującego.
5. Dostęp do SandBox
a. Użytkownik posiadający nadane przez Administratora Biznesowego uprawnienia loguje się do SandBox bezpośrednio z poziomu kroku 3B.
b. Błędne podanie loginu lub hasła skutkuje odmową dostępu do SandBox oraz zwróceniem informacji o błędnym logowaniu.
c. Brak limitu błędnych logowań.
6. Szczegółowy opis ról.
a. Tester API.
i. Dostęp do Virtual SandBox we wnioskowanym zakresie.
ii. Uzupełnienie formularza raportu z zakończenia testów.
iii. Wygenerowanie i zapis raportu z zakończenia testów w formacie PDF.
iv. Zakończenia testów w dowolnym momencie.
b. Tester DLT.
i. Dostęp do Virtual SandBox we wnioskowanym zakresie.
ii. Decydowanie o liczbie Node-ów.
iii. Uzupełnienie formularza raportu z zakończenia testów.
iv. Wygenerowanie i zapis raportu z zakończenia testów w formacie PDF.
v. Zakończenia testów w dowolnym momencie.
c. Administrator biznesowy.
i. Dostęp do bazy zgłoszeń o dostęp do Portalu bez prawa do edycji treści
samych zgłoszeń,
ii. Dostęp do rejestru aktywnych instancji testowych wg. kategorii sektorowej (bankowość, ubezpieczenia, kapitałowa), technologicznych (Open API/PSD2, blockchain/DLT).
iii. Możliwość zmiany kategorii zgłoszenia o rejestrację Użytkownika na co najmniej: Zweryfikowana odrzucona, zweryfikowana zaakceptowana, W weryfikacji.
iv. Odbieranie profili dostępowych dla poszczególnych Testerów.
v. Generowanie raportów predefiniowanych przez administratora technicznego.
vi. Dodawanie/usuwanie dokumentacji udostępnianej na portalu głównym
przed zalogowaniem.
vii. Edycja danych kontaktowych do operatora (Administratora biznesowego) widoczna na formularzu rejestracji.
viii. Określanie terminu do którego dostęp Użytkowników jest aktywny z
możliwością jego zmiany.
ix. Manualne dodawanie i usuwanie testerów poza trybem wnioskowania poprzez formularz rejestracji,
d. Administrator techniczny.
i. Tworzenie nowych kategorii uprawnień i edycja ról wchodzących w
skład już istniejących.
ii. Tworzenie nowych kategorii zgłoszeń dla wdrażanych z czasem nowych testowanych technologii.
iii. Tworzenie, zmiana i usuwanie przepływów zgłoszeń, wraz z określeniem dodatkowych szczebli akceptacji (np. dodatkowa akceptacja przez cyber/itsec dla szczególnych podmiotów lub technologii) dla wdrażanych z czasem nowych testowanych technologii.
iv. Podnoszenie wersji Portalu.
v. Dostęp do logów systemowych.
vi. Predefiniowanie raportów dotyczących zdarzeń w Portalu.
vii. Możliwość włączenia i wyłączenia obligatoryjności poszczególnych pól formularzy.
7. Zakończenie testów.
a. Testy zakończone mogą być na trzy sposoby:
i. Przez Użytkownika w dowolnym momencie trwania testów.
ii. Automatycznie po upływie czasu na jaki były przewidziane.
iii. W szczególnych przypadkach przez administratora biznesowego, gdy
Użytkownik narusza regulamin lub zasady bezpieczeństwa.
b. Użytkownik może wycofać się z zakończenia testów i przywrócić dostęp do SandBox tylko w przypadku gdy sam wcześniej zakończył testy, a czas na nie przewidziany jeszcze nie upłyną (tryb: pkt. 7 lit. a ppkt. i. powyżej)
c. Zakończenie testów odbiera dostęp do SandBox ale nadal pozwala logować się
do profilu w portalu w celu:
i. Ponownego wnioskowania o dostęp do SandBox,
ii. Dostępu do raportu z testów.
iii. Wygenerowania raportu z testów w formacie PDF.
d. Zakończenie testów udostępnia opcję generowania raportu z testów.
8. Formularz raportu z testów.
a. Formularz raportu z testów dostępny jest po wyborze opcji zakończenia testów.
b. Formularz raportu z testów zasilany jest danymi:
i. wprowadzonymi przez Użytkownika,
ii. zaczytanych automatycznie z formularza uzupełnianego na etapie rejestracji.
c. Formularz raportu z testów zawiera:
i. Oznaczenie testowanej technologii, co najmniej Open API/PSD2 i blockchain/DLT (uzupełniane automatycznie z danych wprowadzonych na etapie rejestracji bez możliwości edycji),
ii. Imię i Nazwisko wnioskującego (uzupełniane automatycznie z danych wprowadzonych na etapie rejestracji bez możliwości edycji),
iii. Imiona i Nazwiska Testerów (uzupełniane automatycznie na podstawie danych testerów zarejestrowanych na dzień generowania raportu),
iv. Nazwa organizacji (uzupełniane automatycznie z danych wprowadzonych na etapie rejestracji bez możliwości edycji),
v. Numer telefonu i adres e-mail (uzupełniane automatycznie z danych wprowadzonych na etapie rejestracji bez możliwości edycji),
vi. Informacja o sektorze działalności (uzupełniane automatycznie z danych wprowadzonych na etapie rejestracji bez możliwości edycji),
vii. W przypadku Open API/PSD2 oznaczenie rodzaju testowanej usługi
PSD2 (uzupełniane automatycznie bez możliwości edycji),
viii. W przypadku blockchain/DLT liczba utworzonych Node-ów.
ix. Informacja o liczbie zidentyfikowanych, w czasie trwania testów,
zgłoszeń błędów krytycznych.
x. Informacja o liczbie błędów krytycznych otwartych na dzień zakończenia testów.
xi. Oznaczenie wersji środowiska testowego (uzupełniane automatycznie bez możliwości edycji).
xii. Opisowa informacja o zakresie przeprowadzonych testów,
xiii. Informacja o wynikach testów funkcjonalnych wg. kategorii:
1. Rekomendacja do wdrożenia produkcyjnego – rozwiązanie realizuje założenia funkcjonalne i na dzień zakończenia testów nie posiada żadnych otwartych błędów.
2. Warunkowa rekomendacja do wdrożenia produkcyjnego – rozwiązanie realizuje założenia funkcjonalne lecz na dzień zakończenia testów posiada otwarte błędy niekrytyczne.
3. Brak rekomendacji do wdrożenia produkcyjnego – rozwiązanie
posiada na otwarte błędy krytyczne.
xiv. Pola x i xiii powinny być skorelowane. Podanie wartości innej niż 0 w liczbie nadal otwartych błędów krytycznych powinno blokować możliwość wystawienia rekomendacji do wdrożenia bez błędów krytycznych.
xv. Pole tekstowe „komentarz do wyników testów”.
xvi. Zaczytanie plików w formacie PDF, DOC oraz JPG.
xvii. Formularz PDF zawiera wyznaczone pole na podpis osób
reprezentujących podmiot.
9. Zatwierdzenie raportu z testów.
a. Użytkownik otrzymuje informację, że zatwierdzenie danych będzie skutkowało wyłącznie lokalnym wygenerowaniem raportu w formacie PDF oraz że raport nie będzie przekazywany do UKNF ani nie będzie w żadnej formie zapisywany na serwerach UKNF.
b. Zatwierdzenie raportu odnotowywane jest na serwerze UKNF wyłącznie jako fakt zakończenia testów i wygenerowania raportu bez rejestracji jego treści.
c. Użytkownik może wielokrotnie uzupełniać i generować raport z testów. Raport
każdorazowo zapisuje datę i godzinę jego wygenerowania.
d. Użytkownik otrzymuje możliwość wygenerowania i zapisania lokalnie raportu z testów w formacie PDF.
d. Checkbox z informacją, że przekazanie raportu z testów do UKNF stanowi wyłącznie etap usprawniający proces ewentualnego ubiegania się o licencję i sam w sobie nie może skutkować uzyskaniem jej bez dodatkowych elementów.
e. Raport z testów, wygenerowany w formacie PDF, zawiera wszystkie dane wprowadzone w formularzu zakończenia testów oraz dokładną datę i godzinę zatwierdzenia danych (timestamp).
10. Architektura rozwiązania:
1.1. Zarządzanie przy pomocy przeglądarki co najmniej Chrome, Firefox Microsoft Edge, Internet Explorer, Safari plus mobilne w wersji aktualnej na dzień podpisania Umowy.
1.2. W ramach realizacji projektu Zamawiający, po weryfikacji wymagań
technicznych, udostępni Wykonawcy:
- środowisko wirtualne oparte na VMware udostępniające nie mniej niż 2 maszyny virtualne: 4vcpu/32GB RAM/200GB HDD.
- silnik bazy danych Microsoft SQL Server 2019 Portalu zainstalowany na
udostępnionym środowisku.
1.3. Warstwa bazodanowa i aplikacyjna architektury Portalu, po weryfikacji Zamawiającego, zlokalizowana na udostępnionym środowisku wirtualnym Zamawiającego.
1.4. Na wniosek Wykonawcy, Zamawiający może udostępnić inne elementy infrastruktury o ile: są w posiadaniu Zamawiającego, ich dodatkowe wykorzystanie nie wpłynie na wydajność i bezpieczeństwo innych elementów infrastruktury i systemów wykorzystywanych w chwili obecnej przez Zamawiającego, nie stoi w sprzeczności z planami Zamawiającego co do ich wykorzystania.
1.5. Pozostałe elementy konieczne do wdrożenia Portalu (zarówno po stronie sprzętowej, jak i software’owej) są po stronie Wykonawcy, a ich cena zostanie zawarta w cenie rozwiązania.
1.6. Wykonawca powinien posiadać licencje na zastosowane oprogramowanie, jak również przekazać Zamawiającemu, bez dodatkowych opłat, wszelkie licencje niezbędne do użytkowania i rozwoju przekazanego oprogramowania.
1.7. Wykonawca opisze mechanizmy integracyjne z piaskownicami PSD2 i DLT.
1.8. Specyfikacja interfejsów powinna pozwalać integrować kolejne piaskownice.
11. Usługi wdrożeniowe:
a. Instalacja i konfiguracja Portalu.
b. Wykonanie testów funkcjonalnych wykazujących poprawność wdrożenia
Portalu.
c. Wsparcie testów bezpieczeństwa i akceptacyjnych Zamawiającego,.
d. Przygotowanie procedur obsługi dot. eksploatacji oraz administrowania Portalem (w tym wykonania kopii zapasowych ustawień konfiguracyjnych oraz ich odtwarzania).
12. Dokumentacja powykonawcza:
a. Wykonawca wykona i przekaże Zamawiającemu do akceptacji Dokumentację powykonawczą w formie papierowej i elektronicznej (w formacie edytowanym, MS Word i nieedytowanym, pdf).
b. Dokumentacja powykonawcza będzie obejmować w szczególności:
i. opis zastosowanego oprogramowania wraz z numerami seryjnymi/oznaczeniem wersji oraz szczegółową konfiguracją oraz opis infrastruktury technicznej wdrożonego Portalu,
ii. opis struktury i konfiguracji Portalu, w tym pliki konfiguracyjne, skrypty uruchomieniowe, skrypty zatrzymujące, skrypty kompilacji kodu,
iii. zalecenia i procedury eksploatacyjne oraz zalecenia w zakresie konserwacji Portalu (w szczególności dotyczące przeglądania logów oraz wykonania kopii zapasowych ustawień konfiguracyjnych i ich odtwarzania).
iv. Manuale administratorskie i użytkowe.
c. Wykonawca zapewnia o posiadaniu pełni praw do oferowanego oprogramowania.
13. Warsztaty szkoleniowe:
a. Wykonawca zapewni przeprowadzenie warsztatów dla łącznie 15 pracowników Zamawiającego w zakresie zaawansowanej obsługi Portalu (w szczególności: nadawania praw dostępu, zarządzania rolami, konfigurowania).
b. Warsztaty powinny trwać minimum 2 dni.
c. Warsztaty odbędą się w terminach uzgodnionych przez Xxxxxx, nie później
jednak niż 10 dni roboczych od daty podpisania Protokołu odbioru końcowego.
d. Warsztaty będą prowadzone w języku polskim przez osoby będące trenerami wyznaczonymi przez producenta lub Wykonawcę oraz posiadające kwalifikacje i umiejętności potwierdzone certyfikatem producenta oprogramowania zastosowanego w Portalu.
e. W ramach warsztatów Wykonawca zapewni materiały szkoleniowe dla każdego uczestnika adekwatnie do zakresu szkolenia w języku polskim.
f. Szczegółowy zakres tematyczny warsztatów Strony uzgodnią w trybie roboczym.
g. Warsztaty będą mogły się odbyć w trybie on-line.
14. Wymagania dla serwisu i wsparcia:
a. Zgłoszenia problemów technicznych będą przekazywane bezpośrednio do Wykonawcy.
b. Wykonawca udostępni Zamawiającemu, w ramach serwisu i wsparcia, kanał
komunikacji dedykowany do zgłaszania zidentyfikowanych wad Portalu.
c. Wsparcie techniczne będzie świadczone przez Wykonawcę w dni robocze od 8:00 do 16:00 w języku polskim
d. Czas realizacji Zgłoszenia, rozumiany jako czas od zgłoszenia wady do momentu jej naprawy w infrastrukturze Zamawiającego i wynosi 8 godzin.
e. Wsparcie musi być aktywne przez cały okres obowiązywania Umowy i
uwzględniać:
i. obsługę i rozwiązywanie problemów technicznych zgłaszanych przez Zamawiającego, usuwanie zgłoszonych podatności bezpieczeństwa, dostęp do informacji o zidentyfikowanych podatnościach oraz poprawkach i aktualizacji oprogramowania,
ii. aktualizację oprogramowania zgodnie z umową,
iii. wdrażanie, po uzgodnieniu z Zamawiającym zmian w konfiguracji Xxxxxxx, oraz pomoc Zamawiającemu we wdrożeniu nowych funkcjonalności lub ich modyfikacji.
f. Wykonawca zapewni konsultacje techniczne związane z zakupionym produktem (telefoniczne lub poprzez sesję zdalną) w dni robocze w godzinach od 8:00 do 16:00 przez cały okres obowiązywania Umowy.
Załącznik nr 3 do Umowy
Warszawa, dnia r.
PROTOKÓŁ ODBIORU (ostateczny/częściowy)1 | ||
Zgodnie z Umową nr zawartą w dniu ........................................... z firmą ……………………………….. | Usługa za okres: | |
Od: | Do: | |
Na jakiej podstawie podpisywany jest protokół odbioru2: Lista załączników: | ||
Osoby odpowiedzialne za przyjmowanie usług ……….: 1. 2. 3. | ||
Data, podpis | Data, podpis | Data, podpis |
□ Zamawiający nie wnosi zastrzeżeń co do zakresu, jakości i terminowości wykonanych prac. □ Zamawiający wnosi następujące zastrzeżenia, rekomendujące jednocześnie podpisanie protokołu odbioru: | ||
□ Zamawiający pomniejsza należną kwotę za usługi serwisowe o kwotę…………….. wynikającą z tytułu kar umownych, zgodnie z opisem w Załączniku nr … do protokołu. | ||
ZAMAWIAJĄCY: WYKONAWCA:
1 Niepotrzebne skreślić. Jeśli jest to ostatni protokół w ramach danej umowy, powinno być zaznaczone (ostateczna).
2 Stały zapis z umowy, może to być raport z wykonanych zgłoszeń, raport z przeprowadzonego audytu, wyniki testów itp.
Załącznik nr 4 do Umowy – Klauzula informacyjna
Klauzula informacyjna dla Wykonawcy, podwykonawców, osób reprezentujących Wykonawcę lub podwykonawców oraz dedykowanych z ich ramienia do współpracy w związku z realizacją Umowy.
Zgodnie z art. 13 ust. 1 i 2 oraz art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej
„RODO” informuje się, że:
1. Administratorem danych osobowych jest Urząd Komisji Nadzoru Finansowego („Administrator”) z siedzibą w Warszawie (00-549), przy ul. Pięknej 20. Z Administratorem można się kontaktować pisemnie, kierując korespondencję na adres: Xxxxxx 00, xxx. xxxxx. xx 000, 00-000 Xxxxxxxx lub pocztą elektroniczną na adres: xxx@xxx.xxx.xx.
2. Administrator zapewnia kontakt z inspektorem ochrony danych za pośrednictwem poczty elektronicznej pod adresem: xxx@xxx.xxx.xx lub drogą pocztową na adres korespondencyjny Administratora.
3. Dane osobowe będą przechowywane przez pięć lat począwszy od dnia 1 stycznia roku następnego od daty zakończenia sprawy, zgodnie z obowiązującymi przepisami prawa oraz zarządzeniami wewnętrznymi określającymi czas przechowywania dokumentacji w Urzędzie Komisji Nadzoru Finansowego.
4. Celem i podstawą przetwarzania danych osobowych jest:
• w stosunku do osób reprezentujących Wykonawcę oraz dedykowanych do kontaktu
i realizacji Umowy art. 6 ust. 1 lit f) RODO, tj. prawnie uzasadniony interes Administratora polegający na konieczności przetwarzania danych osobowych osób reprezentujących strony Umowy dla celów związanych z umożliwieniem jej realizacji,
• w przypadku gdy stroną Umowy jest osoba fizyczna prowadząca jednoosobową działalność gospodarczą art. 6 ust. 1 lit b) RODO tj. konieczność realizacji Umowy,
• w stosunku do podwykonawców lub osób reprezentujących podwykonawców oraz osób kierowanych przez podwykonawców do realizacji Umowy art. 6 ust. 1 lit f) RODO, tj. prawnie uzasadniony interes Administratora polegający na konieczności przetwarzania danych osobowych osób dedykowanych do realizacji Umowy w celach związanych z jej realizacją,
• w stosunku do wszystkich rodzajów osób art. 6 ust. 1 lit c) RODO, tj. niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze, wynikającego z ustawy z dnia 14 lipca 1983 r. o narodowym
zasobie archiwalnym i archiwach (Dz.U. z 2020 r. poz. 164 z późn. zm.) w
związku z koniecznością archiwizacji dokumentacji,
• w stosunku do wszystkich rodzajów osób art. 6 ust. 1 lit f) RODO, tj. prawnie uzasadniony interes Administratora polegający na konieczności ustalania, dochodzenia lub obrony przed ewentualnymi roszczeniami,
• w stosunku do Wykonawcy będącego osobą fizyczną prowadzącą jednoosobową działalność gospodarczą art. 6 ust. 1 lit c) RODO tj. niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze, wynikającego w szczególności z ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2019 r. poz. 351 z późn. zm.).
5. Jeżeli dane nie zostały pozyskane bezpośrednio od osób których dotyczą zostały one przekazane przez Wykonawcę lub podwykonawcę którzy wskazali osoby kontaktowe w celu realizacji zawartej Umowy. Dane osobowe, które zostały przekazane Administratorowi w tym celu to: imię i nazwisko, stanowisko lub funkcja oraz służbowe dane kontaktowe, takie jak adres poczty elektronicznej oraz numer telefonu.
6. W przypadku pozyskania danych bezpośrednio od osób, których one dotyczą podanie danych jest dobrowolne jednakże warunkuje możliwość prowadzenia współpracy w ramach realizacji Umowy.
7. Odbiorcami danych osobowych mogą być organy administracji publicznej lub inne podmioty upoważnione na podstawie przepisów prawa lub wykonujące zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej, podmioty świadczące usługi na rzecz Administratora, w tym usługi z zakresu informatycznego oraz w ramach przesyłanej korespondencji. W przypadku osób fizycznych będących Wykonawcą odbiorcą będzie także bank w związku z realizacją wypłaty wynagrodzenia w związku z realizacją Umowy.
8. Administrator nie planuje przekazywać danych osobowych odbiorcom spoza Europejskiego Obszaru Gospodarczego, czyli do państw trzecich ani organizacjom międzynarodowym.
9. W przypadkach przewidzianych przepisami prawa osobie której dane osobowe dotyczą przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, a także prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych.
10. W przypadku uznania, że przetwarzanie danych osobowych narusza przepisy prawa, przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
11. Dane osobowe nie będą wykorzystywane do podejmowania zautomatyzowanych decyzji w indywidualnych przypadkach, w tym do profilowania.
Załącznik nr 5 do Umowy
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH DO UMOWY [PROJEKT]
zawarta w dniu w Warszawie („Umowa Powierzenia”), pomiędzy:
Urzędem Komisji Nadzoru Finansowego, z siedzibą w Warszawie (00-549), przy ul. Pięknej
20, zwanym dalej „Administratorem” lub „UKNF” reprezentowanym przez: a
....................................... (nazwa Wykonawcy), z siedzibą w przy
ul. ..................; wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego
prowadzonego przez Sąd Rejonowy …….................. pod numerem ,
posiadający REGON…………….… i nadany NIP .........................., zwaną dalej
„Przetwarzającym”, reprezentowaną zgodnie z odpisem z rejestru (i na podstawie udzielonego pełnomocnictwa) przez:
...................................... - ...................................................
albo
…………………… prowadzącym/ą działalność gospodarczą pod firmą , z
siedzibą w ……………….. przy ul. …………………………, wpisanym/ą do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającym/ą numer identyfikacyjny REGON ……………, NIP , zwanym/ą dalej „Przetwarzającym”
Administrator i Przetwarzający mogą być dalej zwani indywidualnie jako „Strona”, a łącznie
jako „Strony”.
ZWAŻYWSZY, ŻE:
A. w dniu …………………..pomiędzy Urzędem Komisji Nadzoru Finansowego z siedzibą w Warszawie jako Zamawiającym a Przetwarzającym została zawarta umowa nr ………………..(„Umowa Zasadnicza”), której przedmiotem jest x.xx……………………………………………………………, zgodnie z Opisem przedmiotu zamówienia stanowiącym Załącznik nr… do Umowy;
B. Urząd Komisji Nadzoru Finansowego jest administratorem danych osobowych, których przetwarzanie na zasadach określonych w niniejszej Umowie Powierzenia jest niezbędne do prawidłowego świadczenia Usług przez Przetwarzającego.
Strony postanawiają, co następuje:
Oświadczenia Stron
§ 1
1. Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016 r. Nr 119, str. 1) („RODO”) w związku z zawarciem Umowy Zasadniczej.
2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7) RODO, tj. podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
3. Przetwarzający oświadcza, że dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie Umowy Powierzenia, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
4. Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt
8) RODO w ramach Umowy Powierzenia, co oznacza, że będzie przetwarzał dane osobowe
w imieniu Administratora w zakresie i na warunkach określonych niniejszą Umową
Powierzenia.
Przedmiot Umowy Powierzenia
§ 2
1. Administrator powierza Przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania w zakresie niezbędnym do realizacji Umowy Zasadniczej, na zasadach i w celu określonym w Umowie Powierzenia.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z prawem i Umową Powierzenia.
Zakres i cel przetwarzania
§ 3
1. Przetwarzający może przetwarzać powierzone dane osobowe wyłącznie w celu i w zakresie realizacji Umowy Zasadniczej, przewidzianym w Umowie Powierzenia.
2. Celem powierzenia przetwarzania danych osobowych jest realizacja postanowień w obszarze świadczenia usług wsparcia technicznego oraz realizacji warsztatów szkoleniowych realizowanych na mocy postanowień Umowy Zasadniczej.
3. Zakres powierzonych Przetwarzającemu danych osobowych obejmuje następujące
kategorie osób, których dane dotyczą:
a) Pracowników UKNF
b) Testerów z podmiotów zewnętrznych
4. Zakres przetwarzanych przez Przetwarzającego danych osobowych na podstawie Umowy Powierzenia obejmuje następujące dane osobowe:
a) W odniesieniu do pracowników UKNF: imię, nazwisko, adres e-mail, dane sesji użytkownika tj. w zależności od tego jakie dane wybrany system będzie rejestrował w logach, najczęściej: identyfikator użytkownika, timestamp (znacznik czasu), nr IP, rejestr wykonywanych operacji.
b) W odniesieniu do podmiotów zewnętrznych aplikujących o udział w testach:
i. dane podmiotu zgłaszającego wniosek: nazwa podmiotu, imię i nazwisko osób uprawnionych do reprezentacji podmiotu, adres siedziby podmiotu (ulica, nr, kod pocztowy, miasto), adres strony internetowej,
xx. xxxx osoby do kontaktu: imię nazwisko, stanowisko, adres email,
iii. dane testerów: imię nazwisko, stanowisko, adres email, dane sesji użytkownika (tj. w zależności od tego jakie dane wybrany system będzie rejestrował w logach, najczęściej: identyfikator użytkownika, timestamp (znacznik czasu), numer IP, rejestr wykonywanych operacji), numer telefonu,
c) W odniesieniu do pracowników UKNF, w przypadku gdy Wykonawca będzie przygotowywał listę obecności uczestników warsztatów szkoleniowych: imię i nazwisko uczestnika szkolenia, stanowisko, data szkolenia.
5. Charakter powierzonego przetwarzania danych osobowych stanowią operacje lub zestawy operacji wykonywanych na danych osobowych przez Przetwarzającego do celów wskazanych w §3 ust. 2 Umowy Powierzenia, tj. w szczególności zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
6. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą elektroniczną lub na piśmie, w tym za polecenie przetwarzania uważa się Umowy Powierzenia i Umowę Zasadniczą.
7. Przy przetwarzaniu powierzonych danych osobowych, Przetwarzający zobowiązuje się przestrzegać zasad wskazanych w niniejszej Umowie Powierzenia, RODO oraz innych przepisach prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Obowiązki Przetwarzającego
§ 4
1. Przetwarzający jest obowiązany wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zgodnie z art. 32, w związku z art. 28 ust. 3 lit. c RODO, w szczególności Przetwarzający zobowiązany jest zagwarantować:
a) przetwarzanie powierzonych danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zabraniem przez osobę nieuprawnioną, zniszczeniem lub uszkodzeniem;
b) zapewnić, aby każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do powierzonych na podstawie Umowy Powierzenia danych osobowych, przetwarzała je wyłączenie w celach i zakresie przewidzianym w Umowie Powierzenia, na podstawie stosownego upoważnienia; Przetwarzający zobowiązuje się prowadzić listę ww. osób upoważnionych i udostępnić ja na żądanie Administratora;
c) w związku z przekazaniem Administratorowi listy osób, które ze strony Przetwarzającego będą świadczyć usługi w ramach Umowy Zasadniczej, Przetwarzający zobowiązuje się do przekazania ww. osobom klauzuli informacyjnej określonej w Załączniku nr ….. do Umowy Zasadniczej;
d) prowadzenie dokumentacji w zakresie ochrony danych osobowych, spełniającej wymagania dla środków organizacyjnych i technicznych, o której mowa w art. 24 ust. 2 RODO;
e) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w tym rejestru kategorii czynności przetwarzania danych osobowych (art. 30 ust. 2 RODO). Przetwarzający udostępnia na żądanie Administratora prowadzony rejestr.
2. Przetwarzający zobowiązuje się nie wykorzystywać powierzonych danych osobowych w celach innych niż wyraźnie wskazane w Umowie Powierzenia lub na korzyść osób trzecich. Przetwarzający zobowiązuje się ponadto, w tym również po ustaniu Umowy Powierzenia, nie ujawniać osobom nieupoważnionym informacji o powierzonych danych osobowych, zwłaszcza o środkach ich ochrony i zabezpieczeniach danych osobowych stosowanych przez niego lub Administratora.
3. Przetwarzający zobowiązuje się nie wykonywać kopii żadnych danych Administratora, w szczególności danych osobowych, z wyjątkiem danych niezbędnych dla wykonania Umowy Powierzenia w zakresie uzgodnionym z Administratorem.
4. Przetwarzający zapewnia, aby osoby mające dostęp do powierzonych danych osobowych zachowały je oraz sposoby ich zabezpieczeń w tajemnicy, zarówno w okresie obowiązywania Umowy Powierzenia, jak i po jej rozwiązaniu (po ustaniu zatrudnienia u Przetwarzającego). W tym celu Przetwarzający dopuści do przetwarzania danych tylko te osoby, które podpisały zobowiązanie do zachowania w tajemnicy
danych osobowych oaz sposobów ich zabezpieczenia. Osoby upoważnione są zobowiązane także do zachowania tajemnic prawnie chronionych w zakresie, w jakim powierzone dane osobowe są chronione ww. tajemnicami.
5. Przetwarzający zapewnia, aby osoby mające dostęp do powierzonych danych osobowych zostały przeszkolone pod kątem ochrony danych osobowych, a w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a ponadto zasad dostępu do danych osobowych, ustalonych na podstawie Umowy.
6. Przetwarzający jest zobowiązany do ograniczenia dostępu do powierzonych danych osobowych wyłącznie do osób, których dostęp jest konieczny dla realizacji Umowy Zasadniczej i posiadających odpowiednie upoważnienie.
7. Przekazanie powierzonych danych do państwa trzeciego, tj. państwa spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W sytuacji, gdy Przetwarzający poweźmie zamiar lub będzie zobowiązany do dokonania transferu do państwa trzeciego lub organizacji międzynarodowej, jest zobowiązany poinformować o tym fakcie Administratora w celu umożliwienia podjęcia Administratorowi niezbędnych działań gwarantujących zgodność przetwarzania z prawem bądź podjęcia decyzji o zakończeniu współpracy w zakresie powierzenia przetwarzania danych osobowych.
Dalsze obowiązki Przetwarzającego
§ 5
1. Przetwarzający zobowiązuje się do pomocy Administratorowi przy wykonywaniu przez Administratora obowiązków określonych w art. 32-36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące przypadków naruszenia ochrony danych osobowych. Przetwarzający ma obowiązek:
a) przekazania Administratorowi informacji dotyczących podejrzenia naruszenia ochrony danych osobowych w terminie 24 godzin od jego wykrycia oraz umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających;
b) wyznaczenia osób odpowiedzialnych za podjęcie kroków w celu zaradzenia naruszeniu
i podjęcia działań naprawczych w uzgodnieniu z Administratorem;
c) niezwłocznego podania będących w posiadaniu Przetwarzającego informacji
niezbędnych do:
i. zawiadomienia organu nadzorczego, o których mowa w art. 33 ust. 3 RODO;
ii. zawiadomienia osoby, której dane dotyczą, o których mowa w art. 34 ust. 4 RODO.
2. W miarę możliwości Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w rozdziale III RODO oraz wywiązywania się z innych obowiązków określonych w przepisach dotyczących ochrony danych osobowych.
3. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
4. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez urząd nadzorujący ochronę danych osobowych.
5. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy Powierzenia, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do treści i zgodności z prawem poleceń Administratora.
Dalsze powierzenie przetwarzania danych osobowych
§ 6
1. Przetwarzający pod warunkiem uzyskania uprzedniej zgody Administratora lub braku sprzeciwu Administratora, na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, może powierzyć konkretne operacje przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.
2. Administrator w każdym czasie, posiadając uzasadnione podstawy, może zgłosić udokumentowany sprzeciw wobec przetwarzania danych osobowych przez dalsze podmioty przetwarzające. W takim przypadku Przetwarzający jest zobowiązany niezwłocznie zakończyć powierzanie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, których sprzeciw dotyczy.
3. Powierzenie przetwarzania danych osobowych dalszym podmiotom przetwarzającym wymaga ich uprzedniego zgłoszenia Administratorowi w celu umożliwienia zgłoszenia sprzeciwu. Zgłoszenie zawiera informacje o tożsamości (nazwie, adresie siedziby lub imieniu, nazwisku oraz adresie) podmiotu, któremu Przetwarzający ma zamiar powierzyć przetwarzanie danych osobowych, a także o charakterze podpowierzenia, zakresie danych i czasie trwania podpowierzenia. Jeżeli Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia. W przypadku
sprzeciwu Administratora Przetwarzający nie ma prawa dokonać powierzenia przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.
2. Przetwarzający prowadzi wykaz podwykonawców, którym zostało powierzone przetwarzanie danych osobowych zgodnie z ust. 1. Przetwarzający zapewnia bieżącą aktualizację wykazu, a także przekazuje zaktualizowany wykaz Administratorowi, na każde jego żądanie.
3. Przetwarzający ma obowiązek zobowiązać, na podstawie pisemnej umowy, dalszy podmiot przetwarzający, aby ten przestrzegał wszystkich obowiązków, jakie zostały nałożone na Przetwarzającego w Umowie Powierzenia.
4. Przetwarzający zapewni, aby dalszy podmiot przetwarzający, któremu podpowierzono przetwarzanie danych osobowych, stosował co najmniej równorzędny poziom ochrony danych osobowych co Przetwarzający.
5. Jeżeli podwykonawcy (dalsze podmioty przetwarzające), którym Przetwarzający podpowierzył przetwarzanie danych osobowych nie wywiążą się ze spoczywających na nich obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tych dalszych podmiotów przetwarzających spoczywa na Przetwarzającym.
Prawo kontroli
§ 7
1. Administrator lub podmiot przez niego upoważniony ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy Powierzenia i RODO, w szczególności Administrator udostępnia Przetwarzającemu wszelkie informacje niezbędne do wykazania zgodności działania Przetwarzającego z Umową Powierzenia oraz przepisami RODO oraz umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenie audytów, inspekcji i kontroli w miejscach, w których przetwarzane są dane osobowe.
2. Pisemne zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Przetwarzającemu co najmniej na 5 dni kalendarzowych przed dniem rozpoczęcia kontroli lub audytu. Administrator realizować będzie prawo kontroli w godzinach pracy Przetwarzającego.
3. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Przetwarzającego zobowiązań wynikających z przepisów prawa o ochronie danych osobowych, w tym RODO lub z Umowy Powierzenia, Przetwarzający umożliwi Administratorowi lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli lub audytu, w zakresie, o którym mowa w ust. 1 powyżej.
4. W ramach kontroli lub audytu, Administrator lub podmiot przez niego upoważniony ma x.xx. prawo do:
a) wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe;
b) żądania złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego;
c) wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
d) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania powierzonych danych osobowych.
5. W przypadku stwierdzenia w toku kontroli lub audytu uchybień w odniesieniu do sposobu i zakresu przetwarzania danych osobowych przez Przetwarzającego, Administrator lub podmiot przez niego upoważniony wydaje zalecenia w celu zapewnienia zgodności przetwarzania powierzonych danych z RODO, Umową Powierzenia, przepisami o ochronie danych osobowych. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora, nie dłuższym niż 5 dni roboczych.
6. Przetwarzający zobowiąże podmioty, o których mowa w § 6 do umożliwienia dokonania przez Administratora kontroli lub audytu, o których mowa w ust. 1 powyżej oraz do zastosowania się do zaleceń sporządzonych w wyniku kontroli lub audytu – w celu zapewnienia zgodności przetwarzania danych osobowych z RODO, Umową Powierzenia i innymi przepisami o ochronie danych osobowych.
7. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 5 dni.
8. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu postanowienie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
Czas obowiązywania Umowy Powierzenia
§ 8
1. Umowa Powierzenia wchodzi w życie w dniu jej zawarcia.
2. Umowa Powierzenia zostaje zawarta na czas obowiązywania Umowy Zasadniczej oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy Powierzenia.
Zakończenie powierzenia przetwarzania
§ 9
1. Po zakończeniu świadczenia usług związanych z przetwarzaniem, Przetwarzający zaprzestaje przetwarzania powierzonych danych osobowych oraz zależnie od decyzji Administratora, usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie ze wszystkich nośników będących w posiadaniu Przetwarzającego oraz podmiotów, o których mowa w § 6, niezwłocznie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Przetwarzający informuje Administratora o usunięciu wszelkich istniejących kopii danych osobowych.
2. Administrator informuje Przetwarzającego o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych w formie pisemnej, przed planowanym terminem zakończenia świadczenia usług związanych z przetwarzaniem.
3. Zwrot bądź usuniecie powierzonych do przetwarzania danych osobowych zostanie potwierdzone, na żądanie Administratora, stosownym protokołem.
Warunki wypowiedzenia powierzenia przetwarzania danych osobowych
§ 10
1. Umowa Powierzenia może zostać wypowiedziana przez Administratora ze skutkiem natychmiastowym bez zachowania terminu wypowiedzenia w przypadku, gdy Umowa Zasadnicza, zostanie rozwiązana przez którąkolwiek ze Stron z przyczyn i w terminie określonym w Umowie Zasadniczej.
2. Umowa Powierzenia może zostać wypowiedziana za 7 dniowym okresem wypowiedzenia w przypadku, gdy:
a) kontrola Prezesa Urzędu Ochrony Danych Osobowych wykaże, że Przetwarzający
nie podjął środków zabezpieczających, o których mowa w RODO;
b) Przetwarzający dopuszcza się zwłoki w dotrzymaniu terminu, określonego w zaleceniach pokontrolnych, o których mowa w niniejszej Umowie Powierzenia;
c) Przetwarzający dalej powierzył przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody Administratora lub pomimo wyrażenia przez Administratora sprzeciwu.
3. Administrator może rozwiązać Umowę Powierzenia z Przetwarzającym ze skutkiem natychmiastowym z winy Przetwarzającego w przypadku, gdy:
a) Przetwarzający wykorzystał powierzone mu dane osobowe w celu, zakresie i w sposób niezgodny z Umową powierzenia lub Umową Zasadniczą, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego;
b) Zostanie wszczęte postępowanie sądowe przeciw Przetwarzającemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową Powierzenia.
Postanowienia końcowe
§ 11
1. Przetwarzający ponosi odpowiedzialność wobec Administratora lub osób trzecich za szkody powstałe w związku z nieprzestrzeganiem przepisów RODO, jak również za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z Umową Powierzenia.
2. W sprawach nieuregulowanych Umową Powierzenia mają zastosowanie przepisy RODO oraz przepisy prawa polskiego, w tym ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2020 r. poz. 1740 z późn. zm.).
3. Wszelkie zmiany Umowy Powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy Powierzenia będzie sąd właściwy dla Administratora.
5. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Z upoważnienia Administratora: W imieniu Przetwarzającego:
………………………………… ………………………………