WZÓR UMOWY NR CSIOZ/../2019

ZAŁĄCZNIK NR 3 DO ZAPYTANIA OFERTOWEGO

WZÓR UMOWY NR CSIOZ/../2019

zawarta pomiędzy:

Skarbem Państwa - Centrum Systemów Informacyjnych Ochrony Zdrowia, z siedzibą w Warszawie, xx. Xxxxxxxxxx Xxxxxx 0X, 00-000 Xxxxxxxx, posiadającym REGON: 001377706, NIP: 5251575309, zwanym dalej „Zamawiającym” lub „Stroną” reprezentowanym przez:

……………………………………………………………….

a

… zwanym dalej „Wykonawcą” lub „Stroną”, reprezentowanym przez: …, zwanymi dalej łącznie „Stronami”

po przeprowadzeniu postępowania o udzielenie zamówienia publicznego nr ..., zawarta została umowa, zwana dalej „Umową”, o następującej treści:

§ 1.

Przedmiot Umowy oraz termin realizacji

1. Przedmiotem Umowy jest dostawa licencji na oprogramowanie (łącznie zwanych dalej: Produktami), zgodnie z Opisem Przedmiotu Zamówienia stanowiącym Załącznik nr 1 do Umowy

„Opis Przedmiotu Zamówienia” oraz zgodnie z Ofertą Wykonawcy stanowiącą Załącznik nr 2 do Umowy „Oferta Wykonawcy”.

2. Umowa obowiązuje od dnia jej zawarcia przez okres 24 miesięcy liczonych od dnia podpisania bez zastrzeżeń Protokołu Odbioru Licencji, o którym mowa w § 3 ust. 4.

§ 2.

Warunki realizacji Umowy

1. Wykonawca zobowiązuje się do realizacji Umowy z należytą starannością, przy zachowaniu zasad współczesnej wiedzy i zgodnie z obowiązującymi w tym zakresie przepisami oraz zgodnie z najlepszą praktyką i wiedzą zawodową. Jednocześnie Wykonawca zobowiązany jest do zapewnienia nadzoru i koordynacji wszelkich działań związanych z realizacją Umowy w celu osiągnięcia wymaganej, jakości i terminowości realizacji Umowy.

2. Wykonawca oświadcza, że:

1) dysponuje odpowiednim potencjałem techniczno-organizacyjnym oraz posiada wiedzę i doświadczenie pozwalające na należyte wykonanie Umowy;

2) posiada wszelkie niezbędne uprawnienia do realizacji Umowy, w tym uprawnienia do udzielenia licencji na oprogramowanie dostarczone w ramach Umowy;

3) korzystanie przez niego oraz przez Zamawiającego z materiałów, narzędzi i informacji związanych z realizacją Umowy, w tym z oprogramowania nie narusza przepisów prawa, praw

osób trzecich, w tym praw na dobrach niematerialnych, w szczególności praw autorskich, praw pokrewnych, praw z rejestracji wzorów przemysłowych oraz praw ochronnych na znaki towarowe. Wykonanie Umowy nie będzie prowadzić do wypełniania przesłanek czynu nieuczciwej konkurencji, w szczególności nie stanowi naruszenia tajemnicy przedsiębiorstwa osoby trzeciej;

4) Produkty są produktami standardowymi – powszechnie dostępnymi na rynku (typu Commercial off-the-shelf - COTS).

3. Zamawiający nie ponosi odpowiedzialności za naruszenia praw osób trzecich w związku z wykonywaniem Umowy, w tym w związku z korzystaniem z oprogramowania, a w przypadku skierowania roszczeń przeciwko Zamawiającemu, Wykonawca zobowiązuje się do całkowitego zaspokojenia roszczeń osób trzecich oraz do zwolnienia Zamawiającego z obowiązku świadczenia z tego tytułu.

4. Dostawa Produktów następuje na warunkach przewidzianych przez producenta oprogramowania (Producenta) dla jednostek sektora finansów publicznych (administracji rządowej), o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz. U. z 2017 r., poz. 2077 z późn. zm.).

5. W okresie obowiązywania Umowy Wykonawca zapewni najnowszą wersję oprogramowania oraz bieżące jego poprawki i uaktualnienia wydane przez Producenta (Aktualizacja).

6. W ramach licencji na dostarczone oprogramowanie Zamawiający jest uprawniony do udzielania dalszych licencji (sublicencji), w zakresie wskazanym w ust. 5 jednostkom podległym organizacyjnie Ministrowi właściwemu do spraw zdrowia, w szczególności Ministerstwu Zdrowia.

7. Oprogramowanie dostarczone w ramach Umowy pozwala na jego swobodne przenoszenie pomiędzy stacjami roboczymi lub serwerami (np. w przypadku wymiany lub uszkodzenia sprzętu).

8. Za dni robocze Strony uznają dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy oraz dni wolnych u Zamawiającego, w godz.: 8:00 - 16:00.

9. Wykonawca ponosi pełną odpowiedzialność za szkody wyrządzone Zamawiającemu przez swoich pracowników lub osoby, którym powierzył wykonanie przedmiotu Umowy.

10. Wraz z licencją Wykonawca dostarczy oświadczenie podmiotu udzielającego licencji zawierające postanowienia dotyczące korzystania ze środowisk chmurowych.

§ 3. Odbiór

1. Wykonawca dostarczy licencje na oprogramowanie dostarczone w ramach Umowy do siedziby Zamawiającego xx. Xxxxxxxxxx Xxxxxx 0X, Xxxxxxxx w formie elektronicznej na wskazany przez Zamawiającego adres e-mail.

2. Licencje, o których mowa w ust. 1 zostaną dostarczone w terminie do 10 dni roboczych od dnia złożenia zlecenia przez Zamawiającego.

3. W ramach procedury odbiorczej Wykonawca w terminie do 10 dni roboczych od dnia złożenia zlecenia przez Zamawiającego prześlę drogą mailową informację potwierdzającą pozyskanie dostępu do licencji oraz klucze dostępowe przez co zapewni dostęp do spersonalizowanej strony

pozwalającej upoważnionym ze strony Zamawiającego osobom na:

1) Sprawdzanie liczby zakupionych licencji;

2) Zarządzanie licencjami.

4. Odbiór licencji potwierdzony będzie poprzez podpisanie bez zastrzeżeń Protokołu Odbioru Licencji wnioskujący o rozliczenie finansowe, którego wzór stanowi Załącznik nr 3 do Umowy.

5. Adres e-mail właściwy w zakresie udzielenia licencji to: xxxxxxxxxxxxx@xxxxx.xxx.xx.

6. W przypadku zastrzeżeń dotyczących możliwości korzystania z Produktów, w tym dostarczonego oprogramowania, zastrzeżeń, co do możliwości korzystania ze spersonalizowanej strony, ewentualnych nośników lub dokumentacji, Zamawiający odmówi odbioru licencji wskazując termin usunięcia zastrzeżeń nie dłuższy niż 3 dni robocze. Po uwzględnieniu zastrzeżeń przez Wykonawcę Zamawiający ponownie przystąpi do odbioru.

7. Po uwzględnieniu wszystkich zastrzeżeń Zamawiającego, Strony podpiszą Protokół Odbioru Licencji. Z chwilą podpisania Protokołu Odbioru Licencji bez zastrzeżeń, Zamawiający uzyska prawo do korzystania z oprogramowania dostarczonego w ramach Umowy, własność ewentualnych nośników oprogramowania i dostęp do spersonalizowanej strony na warunkach określonych w Umowie, równocześnie Wykonawca zapewni świadczenie usług standardowych oraz standardowych pakietów usług platformowych oraz wsparcie techniczne.

§ 4

Gwarancja oraz wsparcie techniczne

1. Wykonawca zobowiązuje się do udzielenia gwarancji na dostarczone oprogramowanie. Okres i warunki udzielonej gwarancji nie mogą być gorsze niż warunki gwarancji udzielane przez Producenta.

2. Wykonawca w ramach przedmiotu Umowy zobowiązany jest do zapewnienia co najmniej 12 miesięcznego (liczonego od dnia podpisania bez zastrzeżeń Protokołu Odbioru Licencji) wsparcia technicznego zgodnego z polityką Producenta.

3. Wsparcie techniczne polegać będzie na:

1) diagnozie błędów Produktów;

2) konsultacjach w zakresie konfiguracji Produktów;

3) zapewnieniu aktualizacji oprogramowania dostarczonego w ramach Umowy.

4. Wsparcie techniczne ze strony Wykonawcy będzie świadczone przez następujące osoby:

a) telefonicznie, w godz. 8:00 – 16:00, w dni robocze, pod nr telefonu:

 …………………………………., tel. ……………………….., e-mail: …………………………………………

 …………………………………., tel. ……………………….., e-mail: …………………………………………

b) e-mailem, całodobowo, na adres: …………………………………………

§ 5.

Wynagrodzenie oraz warunki płatności

1. Maksymalne wynagrodzenie z tytułu prawidłowego wykonania Umowy wynosi zł

brutto (słownie złotych 00/100), w tym VAT.

2. Wynagrodzenie określone w ust. 1 jest ostateczne, nie podlega waloryzacji i obejmuje wszystkie koszty wykonania Umowy oraz wydatki Wykonawcy, w szczególności obejmuje wynagrodzenie

z tytułu zobowiązań Wykonawcy dotyczących własności intelektualnej, w tym udzielonych licencji.

3. Wynagrodzenie z tytułu zakupu Produktów, o którym mowa w ust. 1 będzie płatne na podstawie prawidłowo wystawionej przez Wykonawcę faktury, w terminie do 30 dni od jej doręczenia Zamawiającemu w postaci elektronicznej lub papierowej, przelewem na rachunek bankowy Wykonawcy wskazany na fakturze.

4. Wykonawca zobowiązuje się do dostarczenia prawidłowo wystawionych faktur w postaci papierowej lub elektronicznej na adres wymieniony w §7 ust. 3 pkt. 1. Podstawą wystawienia faktury jest podpisany przez Strony Protokołu Odbioru Licencji wnioskujący o rozliczenie finansowe.

5. Za dzień zapłaty uważany będzie dzień zlecenia obciążenia rachunku bankowego Zamawiającego.

6. Przedmiot Umowy finansowany jest ze środków Centrum Systemów Informacyjnych Ochrony Zdrowia, ujętych w odpowiednim planie finansowym wydatków bieżących. Zmiana informacji o finansowaniu przez Zamawiającego nie stanowi zmiany Umowy i nie wymaga aneksu.

§6

Podwykonawcy

1. W przypadku konieczności korzystania ze świadczeń jakichkolwiek podwykonawców, Wykonawca poinformuje Zamawiającego na piśmie o powierzeniu podwykonawcy realizacji zobowiązania wynikającego z Umowy wraz ze wskazaniem zakresu tego powierzenia.

2. Zamawiający w terminie 7 Dni Roboczych ma prawo wyrażenia sprzeciwu wobec powierzenia prac podwykonawcy wraz ze stosownym uzasadnieniem. Dla uniknięcia wątpliwości, Strony uznają, że brak sprzeciwu Zamawiającego w terminie 7 Dni Roboczych oznacza zgodę na powierzenie podwykonawcy realizacji Umowy we wskazanym zakresie. Zamawiający może wyrazić sprzeciw, o którym mowa powyżej, wyłącznie z ważnych powodów.

3. Wykonawca zapewnia, że podwykonawcy będą przestrzegać wszelkich postanowień Umowy, do realizacji których zobowiązany jest Wykonawca.

4. Powierzenie realizacji Umowy podwykonawcy nie stwarza żadnych stosunków zobowiązaniowych pomiędzy Zamawiającym, a którymkolwiek z podwykonawców, w szczególności w zakresie odpowiedzialności za zapłatę wynagrodzenia za usługi wykonane przez podwykonawców.

5. Wykonawca jest odpowiedzialny za działania, uchybienia i zaniedbania każdego podwykonawcy i jego pracowników tak, jakby to były działania, zaniechania, uchybienia i zaniedbania jego i jego własnych pracowników lub przedstawicieli.

§ 7.

Komunikacja

1. Do współpracy z Wykonawcą i koordynacji realizacji przedmiotu Umowy, w tym do podpisywania zlecenia, o którym mowa w §3 ust. 2 lub Protokołu Odbioru Licencji, upoważnione są następujące osoby ze strony Zamawiającego:

1) ……………………….. tel. ……………………………………., e-mail: ………………………………………..

lub

2) ……………………….. tel. ……………………………………., e-mail: ………………………………………..

2. Do współpracy z Zamawiającym i koordynacji realizacji przedmiotu Umowy, w tym do podpisywania Protokołu Odbioru Licencji, upoważnione są następujące osoby ze strony Wykonawcy:

1) ……………………….. tel. ……………………………………., e-mail: ………………………………………..

3. W przypadku korespondencji Stron w postaci papierowej lub elektronicznej, będzie ona przesyłana:

1) do Zamawiającego na następujący adres: Centrum Systemów Informacyjnych Ochrony Zdrowia, xx. Xxxxxxxxxx Xxxxxx 0X, 00-000 Xxxxxxxx lub xxxxxxxxxx@xxxxx.xxx.xx

2) do Wykonawcy na następujący adres: …………………………….., ul. ……………………….., lub

………………………………………….

4. Każda ze Stron zobowiązuje się niezwłocznie zawiadomić drugą Stronę o zmianie danych, o których mowa w ust. 1-3. Zmiana taka nie stanowi istotnej zmiany Umowy i nie wymaga aneksu, staje się skuteczna z chwilą pisemnego powiadomienia o niej drugiej Strony.

5. Strony oświadczają, że osoby wskazane w ust. 1 i 2 nie są uprawnione do zmiany, rozwiązania lub odstąpienia od Umowy, chyba, że działają na podstawie odrębnego upoważnienia udzielonego przez Strony.

§ 8.

Kary umowne

1. W przypadku, gdy odstąpienie od Umowy nastąpi z przyczyn leżących po stronie Wykonawcy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 20% maksymalnego wynagrodzenia brutto, o którym mowa w § 5 ust. 1.

2. W przypadku, gdy Wykonawca nie dochowa terminu określonego w §3 ust. 2 lub ust. 3 Zamawiający zastrzega sobie prawo obciążenia Wykonawcy karami umownymi w wysokości 1 % maksymalnego wynagrodzenia brutto, o którym mowa w § 5 ust. 1, za każdy rozpoczęty dzień opóźnienia.

3. Kary umowne podlegają stosownemu łączeniu.

4. Kary umowne będą potrącane w pierwszej kolejności z wynagrodzenia należnego Wykonawcy, na co Wykonawca wyraża zgodę i do czego upoważnia Zamawiającego bez potrzeby uzyskania pisemnego potwierdzenia.

5. Kary umowne określone w niniejszym paragrafie mogą być dochodzone niezależnie od siebie.

6. Wartość kar umownych nie może przekroczyć maksymalnego wynagrodzenia, o którym mowa w § 5 ust. 1.

7. Zamawiający zastrzega sobie prawo dochodzenia odszkodowania przekraczającego wysokość kar umownych, jeżeli nie pokryją one rzeczywiście poniesionej szkody.

8. W przypadku odstąpienia od umowy przez Zamawiającego postanowienia dotyczące kar umownych pozostają w mocy.

§ 9.

Ochrona informacji

1. Wszelkie informacje udostępniane Wykonawcy oraz wszelkie informacje, do których Wykonawca będzie miał, w ramach wykonywania Umowy, dostęp, będą traktowane przez Wykonawcę, jako poufne (w czasie obowiązywania Umowy oraz po jej wygaśnięciu) i mogą być ujawniane wyłącznie tym pracownikom i przedstawicielom Wykonawcy, których obowiązkiem jest realizacja Umowy.

2. Wykonawca zobowiązuje się do zachowania poufności informacji, w posiadanie, których wejdzie w trakcie wykonywania Umowy, w szczególności:

a. nieujawniania i niezezwalania na ujawnienie jakichkolwiek informacji w jakiejkolwiek formie w całości lub w części jakiejkolwiek osobie trzeciej bez uprzedniej pisemnej zgody Zamawiającego;

b. zapewnienia, że personel oraz inni współpracownicy Wykonawcy, którym informacje, o których mowa ust. 1 zostaną udostępnione, nie ujawnią i nie zezwolą na ich ujawnienie w jakiejkolwiek formie w całości lub w części jakiejkolwiek osobie trzeciej bez uprzedniej pisemnej zgody Zamawiającego;

c. zapewnienia prawidłowej ochrony informacji przed utratą, kradzieżą, zniszczeniem, zgubieniem lub dostępem osób trzecich nieupoważnionych do uzyskania informacji, o których mowa w ust. 1.

3. Wykonawca zobowiązuje się do niewykorzystywania informacji, o których mowa w ust. 1 do innych celów niż wykonywanie czynności wynikających z Umowy.

4. Wykonawca zobowiązuje się do niezwłocznego zawiadomienia Zamawiającego o każdym przypadku ujawnienia informacji, o których mowa w ust. 1.

5. Zobowiązanie do zachowania poufności informacji, o których mowa w ust. 1 i 2, nie dotyczy przypadków, gdy informacje te:

a. stały się publicznie dostępne, jednak w inny sposób niż w wyniku naruszenia Umowy, lub

b. muszą zostać udostępnione zgodnie z obowiązkiem wynikającym z przepisów powszechnie obowiązującego prawa polskiego, orzeczenia sądu lub uprawnionego organu administracji państwowej. W takim przypadku Wykonawca będzie zobowiązany zapewnić, by udostępnienie informacji, o których mowa w ust. 1 i 2, nastąpiło tylko i wyłącznie w zakresie koniecznym dla zadośćuczynienia powyższemu obowiązkowi.

6. Wykonawca zobowiązuje się ponadto do przejęcia na siebie wszelkich roszczeń osób trzecich w stosunku do Zamawiającego, wynikających z wykorzystania przez Wykonawcę danych uzyskanych w czasie wykonywania Umowy w sposób naruszający jej postanowienia.

7. W przypadku, gdy w ramach wykonywania Umowy - zaistnieje konieczność lub prawdopodobieństwo uzyskania przez Wykonawcę dostępu do danych osobowych, których administratorem jest Zamawiający, lub do danych osobowych, których administratorem jest inny podmiot, ale Zamawiający jest uprawniony do ich przetwarzania na odrębnej podstawie prawnej, Wykonawca jest zobowiązany do zawarcia, na żądanie Zamawiającego, umowy o powierzenie przetwarzania danych osobowych stanowiącej Załącznik nr 4 do Umowy, w której Strony określą zakres i cel powierzonego Wykonawcy przetwarzania takich danych osobowych.

8. Wykonawca niezwłocznie, nie później jednak niż w ciągu 2 Dni Roboczych po zakończeniu Umowy, niezależnie od podstawy prawnej tego zakończenia, w szczególności odstąpieniu, wypowiedzeniu, wygaśnięciu lub rozwiązaniu przez którąkolwiek ze Stron, zwróci

Zamawiającemu wszystkie otrzymane dokumenty i materiały oraz usunie informacje mające charakter informacji poufnych w rozumieniu niniejszego paragrafu. Wykonawca przedstawi Zamawiającemu na piśmie potwierdzenie realizacji działań przewidzianych w zdaniu poprzedzającym w ciągu 3 Dni Roboczych od zakończenia Umowy, o którym mowa w zdaniu poprzedzającym.

§ 10.

Odstąpienie od Umowy

1. W razie zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy lub powodującej, że dalsze wykonywanie Umowy może zagrozić istotnemu interesowi bezpieczeństwa Państwa lub bezpieczeństwu publicznemu lub powzięcia informacji o nieotrzymaniu środków budżetowych koniecznych do realizacji Umowy od dysponenta odpowiedniego stopnia lub braku środków w budżecie Zamawiającego, Zamawiający może odstąpić od Umowy w terminie 30 dni kalendarzowych od powzięcia wiadomości o tych okolicznościach. W przypadku odstąpienia od Umowy, Wykonawcy przysługiwało będzie jedynie wynagrodzenie za zrealizowaną część Umowy.

2. Każda ze Stron ma możliwość odstąpienia od Umowy w wypadku zaistnienia przeszkód wynikających z siły wyższej uniemożliwiających realizację Umowy, w terminie 30 dni kalendarzowych od powzięcia wiadomości o okolicznościach skutkujących możliwością odstąpienia od Umowy. Przez siłę wyższą należy rozumieć zdarzenie nadzwyczajne, zewnętrzne, niemożliwe do przewidzenia i przeciwdziałania, którego wystąpienie jest niezależne od Stron, a które uniemożliwia wykonanie zobowiązań wynikających z Umowy.

3. W przypadku, gdy Wykonawca będzie realizował Umowę w sposób wadliwy albo sprzeczny z Umową, Zamawiający wezwie Wykonawcę do zmiany sposobu jej wykonywania i wyznaczy mu w tym celu dodatkowy termin, nie krótszy niż 3 dni robocze. Po bezskutecznym upływie tego terminu Zamawiający będzie uprawniony do odstąpienia od Umowy.

4. Opóźnienie w dostawie licencji na oprogramowanie powyżej 15 dni roboczych od terminu, o którym mowa w § 3 ust. 2 i ust. 3 uprawnia Zamawiającego do odstąpienia od Umowy.

5. Zamawiający może skorzystać z prawa odstąpienia w terminie 30 dni kalendarzowych od powzięcia wiadomości o okolicznościach skutkujących możliwością odstąpienia od Umowy.

6. Odstąpienie od Umowy wymaga formy pisemnej pod rygorem nieważności.

7. Po dziewięćdziesięciu (90) dniach od zakończenia okresu trwania Umowy lub odstąpienia od niej lub jej rozwiązania na innej podstawie, Wykonawca zapewni możliwość wyłączenia konta na spersonalizowanej stronie Zamawiającego i trwałe usunięcie jego danych.

§11

Postanowienia końcowe

1. O ile umowa nie stanowi inaczej, wszelkie zmiany Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

2. Ewentualne spory powstałe w związku z Umową podlegają rozpoznaniu przez sąd właściwy dla siedziby Zmawiającego.

3. Załączniki do Umowy stanowią jej integralną część.

4. Wykonawca nie może dokonać cesji, przeniesienia lub obciążenia swoich praw lub obowiązków wynikających z Umowy bez uprzedniej pisemnej zgody Zamawiającego, udzielonej na piśmie pod rygorem nieważności.

5. Wszystkie koszty związane z realizacją świadczeń wynikających z Umowy ponosi Wykonawca.

6. Umowa zostaje zawarta w dniu podpisania Umowy przez ostatnią ze Stron.

7. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla Zamawiającego i Wykonawcy.

Załączniki:

Załącznik nr 1 – Opis przedmiotu zamówienia; Załącznik nr 2 – Oferta Wykonawcy;

Załącznik nr 3 – Protokół Odbioru Licencji;

Załącznik nr 4 – Umowa o powierzenie przetwarzania danych osobowych

2019-…………………

Dyrektor

Centrum Systemów Informacyjnych Ochrony Zdrowia

……………………………………. …………………………………

ZAMAWIAJĄCY WYKONAWCA

(data i podpis Zamawiającego) (data i podpis Wykonawcy)

Załącznik nr 3 do Umowy nr CSIOZ/../2019

Protokół Odbioru Licencji

Sporządzony w dniu 2019 r., w Warszawie pomiędzy:

Przedstawiciel Zamawiającego - Centrum Systemów Informacyjnych Ochrony Zdrowia z siedzibą w Warszawie przy xx. Xxxxxxxxxx Xxxxxx 0X,

reprezentowanym przez

…………………………… przy udziale

Przedstawiciela Wykonawcy z siedzibą …

reprezentowanym przez ………………………

W ramach Umowy nr CSIOZ/…./2019 z dnia 2019 r dostarczono:

lp.	nazwa licencji	cena jednostkowa brutto	Ilość sztuk	wartość brutto
			Razem

wraz z wymaganą dokumentacją.

Zamawiający stwierdza, że przedmiot Umowy został wykonany:

terminowo*/ nieterminowo* należycie*/ nienależycie*.

Uwagi: wymienić/ brak uwag*………………………………………………………………………….

Wnioskuję/nie wnioskuję* o rozliczenie finansowe.

Przedstawiciel Zamawiającego Przedstawiciel Wykonawcy

……………………………..……… ……………………………………..

(czytelny podpis Zamawiającego) (czytelny podpis Wykonawcy)

* niepotrzebne skreślić

Załącznik Nr 4 do Umowy nr ……………. z dnia …………………

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu roku w Warszawie pomiędzy:

Skarbem Państwa - Centrum Systemów Informacyjnych Ochrony Zdrowia, z siedzibą w Warszawie, xx. Xxxxxxxxxx Xxxxxx 0 X, 00-000 Xxxxxxxx, posiadającym REGON 001377706, NIP: 5251575309, zwanym dalej „Administratorem” reprezentowanym przez:

Bartłomieja Wnuka – Dyrektora Centrum Systemów Informatycznych Ochrony Zdrowia

a

…………………………………….. z siedzibą w Warszawie, adres: ,

zwanym dalej „Podmiotem przetwarzającym” reprezentowanym przez:

………………………………………………………., zwanymi dalej łącznie

„Stronami”

Administrator i Podmiot przetwarzający są zwani dalej łącznie „Stronami”.

1. PRZEDMIOT UMOWY

1.1. Administrator i Podmiot przetwarzający zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej “Umową”, na mocy której Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku A („Dane osobowe”).

1.2. Powierzenie Danych osobowych Podmiotowi przetwarzającemu następuje w celu wykonania zawartej pomiędzy Stronami umów (dalej określanej jako „Umowa główna”) wskazanych w Załączniku nr C do Umowy – Wykaz Umów Głównych.

1.3. Dane osobowe będą przetwarzane przez Podmiot przetwarzający na terenie wskazanym w Załączniku A.

1.4. Zakres powierzenia, wskazany w Załączniku A, może zostać w każdym momencie rozszerzony lub ograniczony przez Administratora. Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Administratora do Podmiotu przetwarzającego nowej wersji Załącznika A, za pośrednictwem poczty elektronicznej na adres e-mail wskazany w rozdziale 10 Umowy. W przypadku braku reakcji Podmiotu przetwarzającego w ciągu 3 Dni Roboczych (na potrzeby Umowy „Dni Robocze” należy rozumieć dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy w Polsce) od daty wysłania wiadomości przez Administratora przyjmuje się, że Podmiot przetwarzający zaakceptował zmianę zakresu powierzenia.

1.5. Podmiot przetwarzający może przetwarzać Dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz w celu i zakresie niezbędnym do wykonania Umowy głównej. Przetwarzanie Danych osobowych przez Podmiot przetwarzający odbywa się wyłącznie w czasie obowiązywania Umowy.

2. OŚWIADCZENIA I OBOWIĄZKI PROCESORA

2.1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa.

W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”) a także ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000).

2.2. Podmiot przetwarzający jest zobowiązany:

2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail Podmiotu przetwarzającego wskazany w Załączniku A, z zastrzeżeniem postanowień rozdziału 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Podmiotu przetwarzającego wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy oraz Umowy głównej;

2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. Poprzez udokumentowane polecenie Administratora uważa się niniejsza Umowę. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

2.2.3. przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;

2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;

2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Na każde żądanie Administratora, nie później niż w terminie 3 Dni Roboczych, Podmiot przetwarzający zobowiązany jest do przekazania kopii upoważnień do przetwarzania Danych osobowych oraz oświadczeń o zobowiązaniu do zachowania tajemnicy, osób przez niego upoważnionych i realizujących Umowę główną.

2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);

2.2.7. wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie

wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora;

2.2.8. pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie:

 zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych;

 dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Podmiotu przetwarzającego w odniesieniu do zgłaszania naruszeń zostały określone w rozdziale 8 Umowy);

 dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym;

2.2.9. xxxxxxxxx, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o:

 nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz innych podmiotów przetwarzających (w przypadku podpowierzenia danych osobowych, o którym mowa w rozdziale 4 Umowy) oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie;

 kategoriach przetwarzań dokonywanych w imieniu Administratora;

 gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;

 ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych;

2.2.10. udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;

2.2.11. umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy;

2.2.12. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Podmiotu przetwarzającego został naruszony;

2.2.13. niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora

o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający,

o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzoru, a także

o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;

2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora i Umową główną.

3. ŚRODKI ORGANIZACYJNE I TECHNICZNE

3.1. Podmiot przetwarzający wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których Dane osobowe są przetwarzane na podstawie Umowy.

3.2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt. 0 jest odpowiedni, Podmiot przetwarzający jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3.3. Podmiot przetwarzający powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu

przetwarzania określonego w Załączniku A (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).

3.4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Podmiot przetwarzający:

3.4.1. przestrzega wytycznych Administratora w zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w pkt. 2.1 oraz 2.2;

3.4.2. powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie Umowy.

3.5. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Podmiot przetwarzający informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych, po uzgodnieniu przez Strony zakresu, sposobu i terminu takich działań oraz podziału związanych z nimi kosztów.

3.6. W przypadku stwierdzenia przez Administratora konieczności zastosowania dodatkowych środków zabezpieczających, Strony uzgodnią zakres, sposób i termin ich wdrożenia oraz podział kosztów wdrożenia.

4. PODPOWIERZENIE

4.1. Administrator wyraża zgodę na dalsze powierzenie przez Podmiot przetwarzający przetwarzania Danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku B do Umowy w zakresie oraz celu zgodnym z Umową. Podmiot przetwarzający jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Administrator może sprzeciwić się dalszemu powierzeniu przez Podmiot przetwarzający danych osobowych, w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym. W przypadku wyrażenia sprzeciwu przez Administratora, Podmiot przetwarzający nie jest

uprawniony do powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu, którego dotyczy sprzeciw.

4.2. Podmiot przetwarzający zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów ustawy z dnia 10 maja 2018

r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000)., a także zapewniało ochronę praw osób, których dane dotyczą.

4.3. Podmiot przetwarzający zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Podmiotu przetwarzającego określonym w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

4.4. Podmiot przetwarzający zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Administratora bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w rozdziale 6 Umowy). Podmiot przetwarzający jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Administratorowi w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.

4.5. Podmiot przetwarzający jest w pełni odpowiedzialny przed Administratorem za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Podmiotem przetwarzającym a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Podmiocie przetwarzającym.

4.6. Podmiot przetwarzający zobowiązany jest zapewnić, by dalszy podmiot przetwarzający zaprzestał przetwarzania danych w każdym wypadku rozwiązania Umowy, niezależnie od przyczyny oraz w przypadku upływu okresu przetwarzania danych na podstawie Umowy głównej, o którym mowa w pkt 9.1 Umowy. W takim wypadku postanowienia pkt. 9.4 i 9.5 stosuje się odpowiednio.

5. TRANSFER DANYCH OSOBOWYCH

5.1. Podmiot przetwarzający nie może przekazywać (transferować) Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem bezskuteczności, zgody zezwalającej na taki transfer.

5.2. Jeśli Administrator udzieli Podmiotowi przetwarzającemu uprzedniej zgody na przekazanie Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Podmiot przetwarzający może dokonać transferu tych danych osobowych tylko wtedy, gdy:

5.2.1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub

5.2.2. Administrator i Podmiot przetwarzający lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.

6. AUDYT

6.1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Podmiot przetwarzający z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Podmiot przetwarzający.

6.2. Administrator poinformuje Podmiot przetwarzający co najmniej na 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia, chyba że z uwagi na wysokie ryzyko zagrożenia praw i wolności osób, których dane dotyczą, audyt powinien być przeprowadzony niezwłocznie. Jeżeli w ocenie Podmiotu przetwarzającego audyt nie może zostać przeprowadzony we wskazanym terminie Podmiot przetwarzający powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Podmiotu przetwarzającego wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.

6.3. Podmiot przetwarzający ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Podmiot przetwarzający.

6.4. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych. W przypadku gdy wdrożenie tych zaleceń będzie wiązać się z dodatkowymi kosztami, Xxxxxx wspólnie ustalą sposób ich ponoszenia przez Xxxxxx.

6.5. Administrator ma także prawo żądać od Podmiotu przetwarzającego składania pisemnych wyjaśnień dotyczących realizacji Umowy. Podmiot przetwarzający zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.

6.6. Podmiot przetwarzający jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Administratora

audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w pkt. 6.1. – 6.4. powyżej.

6.7. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron we własnym zakresie, przy czym Podmiot przetwarzający nie ma prawa do żądania zwrotu takich kosztów ani zapłaty jakiegokolwiek dodatkowego wynagrodzenia z tytułu poniesienia takich kosztów.

7. POUFNOŚĆ

7.1. Podmiot przetwarzający ma obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania, rozumianych jako informacje takie jak:

7.1.1. powierzone przez Administratora dane osobowe, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO);

7.1.2. informacje wymagające ochrony ze względu na ich znaczenie dla interesów Administratora, w tym wszelkie dane techniczne, finansowe, materiały i dokumenty lub inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Administratora lub jego, kontrahentów, dostawców, a także informacje dotyczące wynagrodzeń pracowników, które Podmiot przetwarzający otrzymał w okresie obowiązywania Umowy, lub o których dowiedział się, czy też do których miał dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.

7.2. Podmiot przetwarzający w szczególności zapewnia, że:

7.2.1. wszelkie przekazane, udostępnione lub ujawnione mu przez Administratora informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy;

7.2.2. uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu wykonania Umowy;

7.2.3. posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie) – bez uprzedniej zgody Administratora, wyrażonej w formie pisemnej;

7.2.4. będzie chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.

7.3. Podmiot przetwarzający zobowiązuje się nie kopiować, ani w inny sposób nie powielać dostarczonych przez Administratora informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu wykonania Umowy lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością Administratora i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jego żądanie.

7.4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Podmiotu przetwarzającego, osobom zatrudnionym przez Podmiot przetwarzający na podstawie umów cywilnoprawnych, podwykonawcom Podmiotu przetwarzającego, którzy z uwagi na zakres swych obowiązków, bądź zadania im powierzone będą zaangażowani w wykonanie Umowy na rzecz Administratora i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach Podmiotu przetwarzającego do zachowania ich w tajemnicy wynikających z Umowy oraz zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej. Administrator upoważnia Podmiot przetwarzający do udzielania dalszych upoważnień do przetwarzania informacji poufnych. Podmiot przetwarzający ponosi całkowitą odpowiedzialność za działania i zaniechania ww. osób.

7.5. Podmiot przetwarzający będzie zwolniony z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych

wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Podmiot przetwarzający jest zobowiązany niezwłocznie, nie później niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić Administratora. W takim przypadku Podmiot przetwarzający obowiązany jest do:

7.5.1. ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo;

7.5.2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.

7.6. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy i jest nieograniczone w czasie. W przypadku gdyby powyższe zastrzeżenie okazało się nieważne lub bezskuteczne, zobowiązanie do zachowania poufności trwa przez okres 10 lat od dnia wygaśnięcia Umowy głównej, niezależnie od przyczyny.

8. ZGŁASZANIE NARUSZEŃ

8.1. Podmiot przetwarzający jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.

8.2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Podmiot przetwarzający, bez zbędnej zwłoki, jednak nie później niż w ciągu 24 godzin od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:

8.2.1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;

8.2.2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie;

8.2.3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);

8.2.4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;

8.2.5. charakterze i zakresie danych osobowych objętych naruszeniem;

8.2.6. kategoriach osób, których dotyczą dane osobowe objęte naruszeniem, a w razie możliwości także wskazania podmiotów danych, których dotyczyło naruszenie;

8.2.7. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;

8.2.8. środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;

8.2.9. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.

8.3. Jeżeli Podmiot przetwarzający nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.

8.4. Podmiot przetwarzający bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

8.5. Podmiot przetwarzający jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Podmiot przetwarzający jest zobowiązany na każde żądanie Administratora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.

8.6. Podmiot przetwarzający nie będzie bez wyraźnej instrukcji Administratora powiadamiał o naruszeniu:

8.6.1. osób, których dane dotyczą; ani

8.6.2. organu nadzorczego.

9. CZAS TRWANIA PRZETWARZANIA ORAZ ZASADY ODPOWIEDZIALNOŚCI

9.1. Administrator powierza Podmiotowi przetwarzającemu, przetwarzanie danych osobowych na czas obowiązywania Umowy głównej z zastrzeżeniem, że w stosunku do każdej w zakresie określonym w Załączniku A do Umowy.

9.2. Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Podmiot przetwarzający lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub Umowy, a w szczególności, gdy:

9.2.1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Podmiot przetwarzający lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych,

9.2.2. prawomocne orzeczenie sądu powszechnego wykaże, że Podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;

9.2.3. Administrator, w wyniku przeprowadzenia audytu, o którym mowa w rozdziale 6 Umowy stwierdzi, że Podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Podmiot przetwarzający nie zastosował się do zaleceń pokontrolnych, o których mowa w pkt. 6.4.

9.3. Naruszenie przez Podmiot przetwarzający postanowień Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.

9.4. W dniu zakończenia obowiązywania Umowy Podmiot przetwarzający powinien zgodnie z dyspozycją Administratora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Administratorem, wszelkie Dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych Danych osobowych.

9.5. Na prośbę Administratora Podmiot przetwarzający przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie przez niego wskazanym.

9.6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Podmiot przetwarzający.

9.7. W przypadku dalszego powierzenia przetwarzania Danych osobowych Podmiot przetwarzający zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi dalszy podmiot przetwarzający zaprzestanie przetwarzania powierzonych danych osobowych w każdym wypadku rozwiązania Umowy – z dniem rozwiązania oraz w przypadku upływu okresu przetwarzania danych na podstawie Umowy głównej, o którym mowa w pkt 9.1 Umowy. W takim wypadku postanowienia pkt. 9.4 i 9.5 stosuje się odpowiednio.

9.8. Podmiot przetwarzający odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Podmiot przetwarzający Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym.

9.9. Podmiot przetwarzający ponosi względem Administratora odpowiedzialność na zasadach ogólnych.

9.10 Rozwiązanie Umowy z jakiejkolwiek przyczyny nie ma wpływu na możliwość dochodzenia przez Administratora odszkodowania.

10. ADRESY STRON I DANE OSÓB

10.1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku A.

10.2. Podmiot przetwarzający w kontaktach z Administratorem oraz Administratora w kontaktach z Podmiotem przetwarzającym w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku A. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. Osoby wskazane w Załączniku A nie są uprawnione do zmiany Umowy, jej

wypowiedzenia lub rozwiązania, chyba że co innego wynika z treści okazanego przez nie pełnomocnictwa.

11. POSTANOWIENIA KOŃCOWE

11.1. Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla Administratora i Podmiotu przetwarzającego.

11.2. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem bezskuteczności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.

11.3. Podmiot przetwarzający nie może przenieść praw lub obowiązków wynikających z Umowy bez uprzedniej zgody Administratora wyrażonej w formie pisemnej pod rygorem bezskuteczności.

11.4 Wszelkie spory w związku z Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego dla Administratora.

11.5. Załączniki do Umowy stanowią jej integralną część. Lista Załączników jest następująca:

11.5.1. Załącznik A – Zakres powierzenia danych osobowych;

11.5.2. Załącznik B – Lista dalszych podmiotów przetwarzających (wzór).

11.5.3. Załącznik C – Wykaz Umów Głównych

Dyrektor

Centrum Systemów Informacyjnych Ochrony Zdrowia

(-) Xxxxxxxxxx Xxxx

………………………………. ………………………………. Podpis osoby reprezentującej Podpis osoby reprezentującej Podmiot przetwarzający Administratora

ZAŁĄCZNIK A

ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON

1. Umowa nr CSIOZ/31/2019 z dnia 2019-01-28

1) Charakter oraz cele przetwarzania: …………………………………………………………………………………

.............................................................................................................................................

– Kategorie osób, których dane dotyczą: …………………………………………………………………………..

2) Rodzaj danych osobowych: …………………………………………

3) Obszar, na którym przetwarzane będą dane osobowe: …………………………………………..

4) Dane kontaktowe stron:

a. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Administratora na następujące dane kontaktowe:

……………………………………………………………………………………………………………………………

b. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Podmiotu przetwarzającego na następujące dane kontaktowe: adres :

…………………………………………………………………………………………………………………………..

5) Dane przedstawicieli Stron:

a. Podmiotu przetwarzającego w kontaktach z Administratorem w zakresie ustaleń Umowy reprezentować będą następujące osoby:

…………………………………………………………………………….. lub

……………………………………………………………………………..

b. Administratora w kontaktach z Podmiotem przetwarzającym w zakresie ustaleń Umowy reprezentować będą następujące osoby:

………………………………………………………………………………………………………………………………..

ZAŁĄCZNIK B

WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH

1. Umowa podwykonawcza z dnia ………………………………..

a) …………………………………………………………………………….

ZAŁĄCZNIK C

WYKAZ UMÓW GŁÓWNYCH

Umowa nr ……………………………. w zakresie ………………………………………………………………………