WZÓR UMOWY
Załącznik nr 2 do SPZOZ/ZAP/474/2024
WZÓR UMOWY
UMOWA nr …………………………..
zawarta w dniu …………………… roku… w Sanoku pomiędzy:
Samodzielnym Publicznym Zespołem Opieki Zdrowotnej w Sanoku, adres: xx. 000-xxxxx 00, 00-000 Xxxxx, xxxxxxxx do Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji oraz Samodzielnych Publicznych zakładów Opieki Zdrowotnej prowadzonego przez Sąd Rejonowy w Rzeszowie XII Wydział Gospodarczy – Krajowego Rejestru Sądowego pod numerem KRS: 0000059726, NIP: 6871640438, REGON 3704444345,
reprezentowanym przez Dyrektora SP ZOZ w Sanoku – Xxxxxxxxx Xxxxx MBA, zwanym dalej Zamawiającym lub SP ZOZ w Sanoku,
a
......................................................................................................................................................
reprezentowanym przez ...............................................................................................................
zwanym dalej Wykonawcą,
łącznie zwanych Stronami, a z osobna Stroną.
Niniejsza umowa została zawarta na podstawie Regulaminu udzielania zamówień publicznych w SPZOZ w Sanoku – Części IV, wobec nieprzekroczenia progu kwotowego, określonego w art. 2 ust. 1 pkt 1 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (tekst jedn. Dz. U. z 2023 r. poz. 1605 z późn. zm.).
§ 1
Przedmiot umowy
Zamawiający jako operator usługi kluczowej zleca, a Wykonawca - w zakresie prowadzonej przez siebie działalności gospodarczej, przyjmuje do realizacji świadczenie usług wsparcia eksperckiego z zakresu cyberbezpieczeństwa, obejmujące w szczególności:
1) wsparcie w utrzymaniu wdrożonego u Zamawiającego Systemu Zarzadzania Ciągłością Działania oraz Systemu Zarządzania Bezpieczeństwem Informacji, w tym aktualizacji dokumentacji związanej z tymi systemami;
2) wsparcie Zamawiającego w zakresie x.xx. udzielania informacji oraz odpowiedzi na pytania pracowników w zakresie bezpieczeństwa informacji w formie kontaktu mailowego, telefonicznego lub na miejscu w siedzibie Zamawiającego podczas wizyty kontrolnej lub roboczej;
3) opiniowanie wdrażanych zabezpieczeń (technicznych i organizacyjnych) pod kątem zgodności z obowiązującymi przepisami prawa;
4) podejmowanie lub proponowanie Zamawiającemu działań w zakresie zgłoszeń naruszenia przepisów;
5) wyznaczenie przez Wykonawcę osoby odpowiedzialnej za utrzymywanie w imieniu Xxxxxxxxxxxxx kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłoszenie do CSIRT NASK jej danych kontaktowych;
6) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego i przekazywanie ich Zamawiającemu;
7) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
8) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji;
9) proponowanie Zamawiającemu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
10) zapewnienie wsparcia w obsłudze incydentu, jego klasyfikację i usunięcie podatności, jak również niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
11) zgłaszanie incydentów poważnych niezwłocznie do właściwego CSIRT, współdziałanie podczas obsługi incydentu poważnego i krytycznego z właściwym CSIRT z przekazaniem niezbędnych dane, w tym danych osobowych;
12) opiniowanie umów dotyczących bezpieczeństwa na potrzeby Zamawiającego oraz zapewnienie bieżącego nadzoru nad zawieraniem umów;
13) opiniowanie zmian technicznych (np. zabezpieczenia, nowe systemy informatyczne) pod kątem zgodności z przepisami;
14) przeprowadzenie w siedzibie Zamawiającego cyklu szkoleń (minimum 6 szkoleń x 1 godz. z możliwością rozłożenia na 2 dni) dla personelu w zakresie cyberbezpieczeństwa (w zakresie ustalonym w porozumieniu z Zamawiającym) oraz pomoc w opracowaniu szkoleń w formie e-learningowej (udostępnienie platformy e-learningowej).
§ 2
Obowiązki i odpowiedzialność Wykonawcy
1. Wykonawca zobowiązuje się świadczyć usługi stanowiące przedmiot umowy z należytą starannością, przy zachowaniu zasad współczesnej wiedzy technicznej, jak również obowiązujących przepisów prawa oraz norm.
2. Wykonawca oświadcza, iż posiada wiedzę, doświadczenie, w tym wykwalifikowany personel oraz urządzenia i narzędzia informatyczne niezbędne do prawidłowej realizacji umowy.
3. Wykonawca został poinformowany, iż przedmiotowe usługi mają być świadczone w funkcjonującym szpitalu w związku z czym zobowiązuje się zorganizować pracę w taki sposób, aby zminimalizować wpływ na ciągłość funkcjonowania działalności systemów informatycznych Zamawiającego.
4. Czynności związane z realizacją przedmiotu umowy w imieniu Wykonawcy wykonywał będzie zespół posiadający kompetencje z zakresu utrzymywanego systemu oraz w zakresie zarządzania podatnościami i incydentami, a w szczególności:
1) ISO 22301 (Wiodący),
2) ISO 27001 (Wiodący),
3) OSCP lub CEH.
5. W nawiązaniu do ust. 4 Wykonawca powołuje zespół do realizacji niniejszej osoby w osobach:
…………………………………………………………………………………….…
…………………………………………………………………………………….…
…………………………………………………………………………………….…
6. Wykonawca będzie miał prawo wstępu do pomieszczeń siedziby Zamawiającego oraz do wglądu do wszelkich dokumentów, informacji i danych oraz do innych materiałów związanych z funkcjonowaniem organizacji, w tym także do nośników elektronicznych, przy zachowaniu przepisów o tajemnicy ustawowo chronionej.
7. Wykonawca oświadcza, że podczas przeprowadzonych prac nie zmieni konfiguracji infrastruktury sprzętowej wykorzystywanej przez Zamawiającego, a wszelkie zmiany w systemie informatycznym będą musiały zostać uprzednio zatwierdzone przez Zamawiającego.
8. Analiza dokonywana w systemach informatycznych będzie prowadzona po zalogowaniu się na wyznaczone konto administratora systemu informatycznego lub inne konto wyznaczone przez Zamawiającego na urządzenia brzegowe. Zamawiający nie będzie udostępniał haseł Wykonawcy.
9. Wykonawca po zakończeniu realizacji umowy zwróci Zamawiającemu wszelkie dokumenty, które zostały mu udostępnione w związku z przeprowadzonymi pracami.
10. Wykonawca ponosi odpowiedzialność za zawinione działanie lub zaniechanie osób wyznaczonych przez Niego do realizacji umowy – niezależnie od podstawy ich zatrudnienia, w szczególności jeżeli w wyniku ich działań lub realizacji ich poleceń przez pracowników Zamawiającego dojdzie do awarii sprzętu komputerowego lub oprogramowania Zamawiającego.
§ 3
Obowiązki i odpowiedzialność Zamawiającego
1. Zamawiający wyznacza następujące osoby do współpracy przy realizacji niniejszej umowy:
…………………………………………………………………………………….…
…………………………………………………………………………………….…
2. Zmiana osób określonych w ust. 1 lub ich danych kontaktowych nie stanowi zmiany umowy i dla swej skuteczności wymaga jedynie powiadomienia Wykonawcy w formie pisemnej, elektronicznej (zgodnie z art. 781 Kodeksu cywilnego) lub w formie dokumentowej, za pośrednictwem poczty elektronicznej na wskazany przez Wykonawcę adres email.
3. Zamawiający zobowiązuje się do zapewnienia dostępu przedstawicielom Wykonawcy do zasobów SP ZOZ w Sanoku, w tym dokumentów, danych umów, urządzeń oraz systemów informatycznych i pomieszczeń niezbędnych do realizacji umowy.
4. Zamawiający udostępni Wykonawcy niezbędną infrastrukturę w celu realizacji prac określonych w § 1 umowy.
5. Zamawiający zobowiązuje się poinformować Wykonawcę o wszelkich zdarzeniach dotyczących cyberbezpieczeństwa (incydenty, zmiany w infrastrukturze) które mogą mieć wpływ na realizację umowy.
§ 4
Termin i miejsce wykonania
1. Niniejsza umowa jest zawarta na czas określony roku tj. od 01.10.2024 r. do 30.09.2025 r.
2. Umowa może ulec rozwiązaniu:
1) za porozumieniem Stron – w każdym czasie,
2) za złożeniem przez którąkolwiek ze Stron oświadczenia o rozwiązaniu umowy z zachowaniem 2-miesięcznego okresu wypowiedzenia, liczonego począwszy od dnia doręczenia oświadczenia drugiej Stronie,
3) za złożeniem przez którąkolwiek ze Stron oświadczenia o natychmiastowym rozwiązaniu umowy, bez zachowania okresu wypowiedzenia, licząc od dnia doręczenia oświadczenia drugiej Stronie, w następujących przypadkach:
a) przez Zamawiającego – z powodu niewykonywania lub nienależytego wykonywania umowy, po uprzednim bezskutecznym wezwaniu Wykonawcy do podjęcia wykonywania umowy lub jej prawidłowej realizacji z wyznaczeniem terminu,
b) przez Wykonawcę – z powodu zaległości w płatności wynagrodzenia za dwa pełne miesiące, po uprzednim bezskutecznym wezwaniu Zamawiającego do zapłaty z wyznaczeniem terminu.
§ 5
Ochrona danych osobowych
1. Strony zgodnie potwierdzają, iż będą przestrzegać obowiązujących przepisów w zakresie ochrony danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako „RODO”), w odniesieniu do wszystkich danych osobowych udostępnionych w ramach realizacji niniejszej umowy.
2. Strony zgodnie potwierdzają, że dane osobowe osób fizycznych reprezentujących, upoważnionych przez nich do określonych czynności w związku z wykonywaniem niniejszej umowy albo osób kontaktowych związanych z wykonywaniem niniejszej umowy będą przetwarzały jako dane niezbędne do celów wynikających z ich prawnie uzasadnionych interesów jako administratorów, związanych z odpowiednim wykonywaniem niniejszej umowy oraz że są upoważnione do udostępnienia tych danych drugiej Stronie umowy w oparciu o stosowną przesłankę wynikającą z RODO.
3. Strony zobowiązane są do poinformowania osób, o których mowa w ust. 2, o tym że druga Strona niniejszej umowy będzie administratorem ich danych osobowych i będzie te dane przetwarzać w celach o których mowa w ust. 2 powyżej, tak aby druga Strona mogła powołać się na art. 14 ust. 5 lit. a) RODO.
4. Zamawiający powierza Wykonawcy przetwarzanie danych osobowych w imieniu Zamawiającego, na zasadach określonych w umowie powierzenia przetwarzania danych osobowych, stanowiącej załącznik Nr 1 do niniejszej umowy oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności w RODO.
5. Informacja Zamawiającego dotycząca przetwarzania danych osobowych w związku z realizacją niniejszej umowy stanowi załącznik Nr 2 do umowy.
6. Wykonawca zapewnia, iż dostęp do danych osobowych przetwarzanych w celu realizacji przedmiotu umowy będą posiadać tylko osoby, którym Zamawiający nadał upoważnienie do przetwarzania danych.
7. Zamawiający wyda osobom wskazanym przez Wykonawcę w § 2 ust. 5 umowy, upoważnienia do przetwarzania danych osobowych na podstawie przedstawionych upoważnień do przeprowadzenia czynności wdrożeniowych.
§ 6
Wynagrodzenie
1. Wartość przedmiotu umowy wynosi …………………… zł netto (……………………………………. złotych …/100) + VAT w stawce …..%, tj.
…………………………….. zł brutto.
2. Za należyte wykonanie pełnego zakresu przedmiotu umowy określonego w § 1 umowy, ustala się wynagrodzenie w rozliczeniu obejmującym miesiąc kalendarzowy w kwocie netto: …………….. (słownie: ……………………………………….. złotych netto) plus podatek VAT w stawce obowiązującej w dniu wystawienia faktury.
3. W przypadku realizacji przedmiotu umowy przez niepełny miesiąc kalendarzowy, wynagrodzenie, o którym mowa w ust. 2, określa się proporcjonalnie do liczby dni świadczenia przez Wykonawcę usług w danym miesiącu.
4. Faktura wystawiona przez Wykonawcę płatna będzie w terminie 30 dni od daty otrzymania faktury przez Zamawiającego, w formie przelewu na rachunek bankowy Wykonawcy: ………………………………..……
5. Wynagrodzenie, o którym mowa w ust. 2 obejmuje wszelkie koszty i roszczenia Wykonawcy związane z realizacją niniejszej umowy.
6. Zamawiający oświadcza, że jest płatnikiem VAT i upoważnia Wykonawcę do wystawienia faktury VAT bez jego podpisu.
7. Datą zapłaty jest data obciążenia rachunku bankowego Zamawiającego.
8. Przeniesienie bez pisemnej zgody Zamawiającego wierzytelności pieniężnych związanych z realizacją niniejszej umowy na rzecz osób trzecich, jak również dokonanie jakichkolwiek innych czynności w wyniku, których doszłoby do zmiany Stron umowy jest bezskuteczne.
9. Wykonawca oświadcza że jest mu znany stan majątkowy Zamawiającego w rozumieniu art. 490 § 2 Kodeksu cywilnego.
§ 7
Poufność i zabezpieczenie danych
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji otrzymanych pośrednio lub bezpośrednio w trakcie trwania prac i po ich zakończeniu, o ile informacje te nie stanowią danych ogólnodostępnych.
2. Wykonawca ponosi odpowiedzialność za naruszenie praw osób trzecich, w tym za ujawnienie informacji, jakie zostały ujawnione w trakcie przeprowadzonych prac.
3. Wykonawca zobowiązany jest do zachowania tajemnicy obejmującej szczegóły realizowanego wdrożenia systemu bezpieczeństwa i nieudostępniania jego wyników osobom do tego nieuprawnionym.
4. Zobowiązanie do zachowania poufności obowiązuje w czasie trwania umowy, jak i po jej wygaśnięciu przez czas nieokreślony.
5. Zobowiązanie do zachowania poufności określone powyżej nie narusza obowiązku żadnej ze stron do dostarczania informacji uprawnionym do tego podmiotom na podstawie obowiązujących przepisów prawa, jak również nie narusza uprawnień Stron do podawania do publicznej wiadomości ogólnych informacji o ich działalności.
§ 8
Prawa autorskie
1. Wykonawca oświadcza i gwarantuje, że korzystanie przez Zamawiającego z utworów wytworzonych w ramach wykonywania przedmiotu umowy oraz korzystanie z nich przez inne osoby zgodnie z umową, nie będą naruszać praw własności intelektualnej osób trzecich, w tym praw autorskich, patentów, ani praw do baz danych.
2. Wykonawca, w ramach wynagrodzenia określonego w § 6 ust. 2 umowy, przenosi na Zamawiającego autorskie prawa majątkowe do wszelkiej dokumentacji wytworzonej
przez Wykonawcę w związku z realizacją niniejszej umowy, na następujących polach eksploatacji:
1) w zakresie utrwalania na jakimkolwiek nośniku, niezależnie od standardu i formatu oraz zwielokrotniania dokumentacji – wytwarzanie określoną techniką egzemplarzy dokumentacji, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową,
2) w zakresie obrotu oryginałem albo egzemplarzami, na których dokumentację utrwalono – wprowadzanie do obrotu, użyczenie lub najem oryginału albo egzemplarzy,
3) wykorzystywania dokumentacji lub jej dowolnych części,
4) obrót oryginałem albo egzemplarzami, na których dokumentację utrwalono – wprowadzanie do obrotu przy użyciu Internetu i innych technik przekazu danych, wykorzystujących sieci telekomunikacyjne, informatyczne i bezprzewodowe, użyczenie lub najem oryginału albo egzemplarzy,
5) wprowadzanie do pamięci komputera i do sieci multimedialnej, w tym do Internetu,
6) sporządzanie wersji obcojęzycznych,
7) łączenie fragmentów z innymi utworami,
8) dowolnego przetwarzania dokumentacji, w tym na adaptacje, modyfikacje dokumentacji, aktualizacje dokumentacji, wykorzystywanie dokumentacji jako podstawę lub materiał wyjściowy do tworzenia innych utworów w rozumieniu przepisów ustawy o prawie autorskim i prawach pokrewnych.
3. Wykonawca przenosi na Zamawiającego prawo zezwalania na wykonywanie zależnego prawa autorskiego do przedmiotu umowy.
4. Przeniesienie autorskich praw majątkowych do wytworzonej dokumentacji nastąpi z chwilą podpisania przez Xxxxxx protokołu odbioru przedmiotu umowy (bez zastrzeżeń).
5. Przeniesienie autorskich praw majątkowych i prawa zezwalania na wykonywanie zależnego prawa autorskiego na mocy niniejszej umowy dokonuje się na czas nieokreślony oraz w sposób nieograniczony, co do miejsca, bez dodatkowego wynagrodzenia.
§ 9
Kary umowne
1. Wykonawca zapłaci Zamawiającemu kary umowne w następujących przypadkach i wysokościach:
1) w przypadku stwierdzenia niewykonania lub nienależytego wykonania prac objętych przedmiotem umowy - w wysokości 0,8% wartości przedmiotu umowy netto za każdy stwierdzony przypadek;
2) za rozwiązanie niniejszej umowy w trybie natychmiastowym z przyczyn leżących po stronie Wykonawcy – w wysokości 10% wartości przedmiotu umowy netto.
2. W przypadku zaistnienia okoliczności uzasadniających zapłatę kar umownych, Wykonawca zobowiązany jest do ich zapłacenia w terminie do 14 dni od daty otrzymania pisemnego wezwania od Zamawiającego.
3. W przypadku naliczenia kar umownych Wykonawca wyraża zgodę na ich potrącenie z przysługującego mu wynagrodzenia miesięcznego.
4. Za szkody których wartość przekracza wysokość kar umownych (w zakresie odszkodowania uzupełniającego), Wykonawca ponosi odpowiedzialność na zasadach ogólnych wynikających z Kodeksu cywilnego.
§ 10
Postanowienia końcowe
1. Zawarcie niniejszej umowy, jak również jej wszelkie zmiany i uzupełnienia wymagają zachowania:
1) formy elektronicznej w rozumieniu art. 781 Kodeksu cywilnego pod rygorem bezskuteczności, w przypadku wyboru przez Strony formy elektronicznej ⎯ oświadczenie woli obu Stron będzie składane w postaci elektronicznej i opatrzone kwalifikowanym podpisem elektronicznym zgodnie z art. 781 Kodeksu cywilnego oraz przesyłane za pośrednictwem wiadomości e-mail na następujące adresy e-mail:
a) Zamawiający ,
b) Wykonawca ,
⎯ wiadomość wysłaną za pośrednictwem poczty e-mail, uważa się za doręczoną z chwilą przesłania, przy czym w przypadku przesłania wiadomości e-mail po godz.
15.00 wiadomość uważa się za doręczoną w następnym dniu roboczym; albo
2) formy pisemnej pod rygorem bezskuteczności.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy ustawy
o krajowym systemie cyberbezpieczeństwa, przepisy wykonawcze, jak również przepisy Kodeksu Cywilnego.
3. Wszelkie spory mogące powstać w związku z wykonywaniem niniejszej umowy Strony zobowiązują się rozstrzygać polubownie. W przypadku braku porozumienia, spory będą rozstrzygane przez Sąd właściwy dla siedziby Zamawiającego.
4. Integralną część umowy stanowi dokumentacja postępowania na podstawie którego dokonano wyboru oferty Wykonawcy i zawarcia niniejszej umowy, jak również załączniki do umowy, tj.:
1) Załącznik Nr 1 – umowa powierzenia przetwarzania danych osobowych,
2) Załącznik Nr 2 – Klauzula informacyjna Zamawiającego.
5. W przypadku gdy umowa będzie zawarta w formie elektronicznej, sporządzona zostanie w jednym egzemplarzu, a w przypadku gdy umowa będzie zawierana w formie pisemnej sporządzona zostanie w dwóch egzemplarzach po jednym dla każdej ze Stron.
Zamawiający Wykonawca
Załącznik Nr 1 do umowy ……………………………..
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Niniejsza umowa została zawarta w Sanoku w dniu r. roku przez:
Samodzielny Publiczny Zespół Opieki Zdrowotnej w Sanoku, adres: xx. 000-xxxxx 00, 00-000 Xxxxx, xxxxxxxx do Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji oraz Samodzielnych Publicznych Zakładów Opieki Zdrowotnej prowadzonego przez Sąd Rejonowy w Rzeszowie XII Wydział Gospodarczy – Krajowego Rejestru Sądowego pod numerem KRS: 0000059726, NIP: 6871640438, REGON: 370444345, zwanym dalej
„Administratorem”, reprezentowanym przez:
Dyrektora – Xxxxxxxxx Xxxxx, oraz
…………………………………………………………………... zwaną dalej „Podmiotem Przetwarzającym”, reprezentowaną przez:
……………………………………………….
Administrator i Podmiot Przetwarzający będą dalej zwani łącznie „Stronami”, a każdy z osobna „Stroną”.
Zważywszy, że:
1. Administrator jest administratorem danych osobowych w rozumieniu art. 4 pkt 7
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”, wskazanych w załączniku nr 1 do umowy.
2. Administrator zamierza powierzyć Podmiotowi Przetwarzającemu przetwarzanie danych osobowych, a Podmiot Przetwarzający zamierza przyjąć powierzone mu dane osobowe do przetwarzania w imieniu Administratora, zgodnie z umową oraz z przepisami regulującymi przetwarzanie danych osobowych, wiążącymi Podmiot Przetwarzający i Administratora.
Xxxxxx postanowiły, co następuje:
§ 1
Przedmiot umowy
1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w imieniu Administratora, na zasadach określonych w Umowie oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności w RODO.
2. Rodzaj danych osobowych, kategorie osób, których dotyczą dane osobowe, jak również przedmiot, czas trwania, charakter i cel przetwarzania danych osobowych są wskazane w załączniku nr 1 do umowy.
3. Strony zobowiązują się wykonywać zobowiązania wynikające z umowy z najwyższą starannością, w celu prawidłowego zabezpieczenia prawnego, organizacyjnego i
technicznego interesów Stron oraz osób, których dane osobowe dotyczą, w zakresie przetwarzania danych osobowych.
§ 2
Oświadczenie Podmiotu Przetwarzającego
Podmiot Przetwarzający oświadcza, że:
1) wdrożył środki techniczne i organizacyjne gwarantujące przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, w sposób zapewniający ochronę praw osób, których dotyczą dane osobowe; oraz
2) dysponuje środkami, doświadczeniem, wiedzą oraz odpowiednio wyszkolonym personelem, umożliwiającymi prawidłowe przetwarzanie danych osobowych w zakresie i w celu określonych w umowie.
§ 3
Przetwarzanie danych osobowych
1. Z zastrzeżeniem ust. 2, przetwarzanie danych osobowych przez Podmiot Przetwarzający może następować wyłącznie w przypadkach wynikających z Umowy lub na podstawie odrębnych zleceń Administratora, wyrażonych w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej).
2. Podmiot Przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot Przetwarzający jest zobowiązany poinformować Administratora o stosującym się do niego obowiązku prawnym co najmniej na 24 godziny przed rozpoczęciem przetwarzania, chyba że wiążące go przepisy zabraniają mu udzielania takiej informacji, z uwagi na ważny interes publiczny.
3. Przetwarzanie danych osobowych przez Podmiot Przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy.
4. Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania danych osobowych, zawierający informacje wymagane przez obowiązujące przepisy, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
5. Podmiot Przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
6. Wszelkie zlecane przez Administratora operacje przetwarzania danych osobowych Podmiot Przetwarzający wykonuje niezwłocznie, w szczególności jeśli chodzi o usunięcie danych osobowych na żądanie osoby, której dotyczą.
7. Biorąc pod uwagę charakter przetwarzania danych osobowych, Podmiot Przetwarzający ma obowiązek współdziałania z Administratorem w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie wykonywania jej praw określonych w obowiązujących przepisach, wdrażając odpowiednie środki techniczne i organizacyjne.
8. Podmiot Przetwarzający zapewni, że osoby, które będą zaangażowane w czynności przetwarzania danych osobowych w ramach jego organizacji:
a) otrzymają pisemne upoważnienia do przetwarzania danych osobowych;
b) będą zaznajomione z obowiązującymi przepisami o ochronie danych osobowych (z uwzględnieniem ich ewentualnych zmian) oraz z odpowiedzialnością za ich nieprzestrzeganie;
c) będą dokonywały czynności przetwarzania danych osobowych wyłącznie na polecenie Administratora, z zastrzeżeniem ust. 2; oraz
d) zobowiążą się do bezterminowego zachowania w tajemnicy danych osobowych oraz stosowanych przez Podmiot Przetwarzający sposobów ich zabezpieczenia, o ile taki obowiązek nie wynika dla nich z odpowiednich przepisów.
9. Podmiot Przetwarzający prowadzi ewidencję udzielonych upoważnień do przetwarzania danych osobowych, o których mowa w ust. 8 lit. a).
§ 4
Dalsze powierzenia przetwarzania
1. Podmiot Przetwarzający ma prawo korzystać z podwykonawców przy przetwarzaniu danych osobowych (dalsze powierzenie przetwarzania), pod warunkiem, że przed powierzeniem podwykonawcy przetwarzania danych osobowych:
a) uzyska na to zgodę Administratora, wyrażoną w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej);
b) zawrze z podwykonawcą umowę powierzenia przetwarzania danych osobowych
c) na warunkach nie gorszych niż warunki umowy;
d) upewni się, że podwykonawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom obowiązujących przepisów.
2. Jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków podwykonawcy.
3. Wykaz podwykonawców, z których Podmiot Przetwarzający korzysta w dniu zawarcia umowy, i co do których Administrator wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych, stanowi załącznik nr 2 do umowy.
§ 5
Bezpieczeństwo danych osobowych
1. Podmiot Przetwarzający stosuje środki techniczne i organizacyjne, odpowiednie do zagrożeń oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych, zapewniające bezpieczeństwo danych osobowych, w szczególności przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem.
2. Podmiot Przetwarzający zobowiązuje się stale monitorować stan stosowanych zabezpieczeń danych osobowych oraz występujących zagrożeń bezpieczeństwa, i w razie potrzeby aktualizuje stosowane środki techniczne i organizacyjne, tak, żeby zapewnić najwyższy osiągalny poziom ochrony danych osobowych.
3. Podmiot Przetwarzający, uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, ma obowiązek współdziałania z Administratorem w wywiązaniu się z obowiązków określonych w art. 32–36 RODO.
4. Podmiot Przetwarzający niezwłocznie zawiadamia Administratora, przed podjęciem jakichkolwiek działań, o każdym przypadku:
a) wystąpienia jakiegokolwiek organu z żądaniem udostępnienia danych osobowych, chyba że zakaz ujawnienia tej informacji wynika z obowiązujących przepisów;
b) wystąpienia przez osobę, której dane osobowe dotyczą, z żądaniem dotyczącym przetwarzania danych osobowych lub ich treści.
5. Podmiot Przetwarzający niezwłocznie – w każdym wypadku nie później niż w ciągu 24 godzin od wykrycia – informuje Administratora o wszelkich wykrytych naruszeniach bezpieczeństwa danych osobowych, przekazując Administratorowi wszelkie dostępne Podmiotowi Przetwarzającemu informacje na temat naruszenia, w szczególności:
a) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) możliwe konsekwencje naruszenia ochrony danych osobowych; oraz
d) środki zastosowane lub proponowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Podmiot Przetwarzający współdziała z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym Administratorowi naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Administratora środki mające na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych oraz środki naprawcze.
7. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeśli jego zdaniem wydane mu przez Administratora polecenie dotyczące przetwarzania danych osobowych stanowi naruszenie obowiązujących przepisów.
§ 6
Prawo do kontroli
1. Administrator ma prawo kontrolowania sposobu wypełniania przez Podmiot Przetwarzający jego obowiązków określonych w umowie lub w obowiązujących przepisach. W szczególności Administrator może żądać udostępnienia określonych informacji lub dokumentów oraz może przeprowadzać – samodzielnie lub przez upoważnionego przez Administratora pracownika lub współpracownika – audyty, w tym inspekcje w miejscu przetwarzania danych osobowych przez Podmiot Przetwarzający.
2. Podmiot Przetwarzający ma obowiązek współpracować z Administratorem lub upoważnionym przez Administratora pracownikiem lub współpracownikiem w czasie przeprowadzanej kontroli, w sposób umożliwiający Administratorowi weryfikację prawidłowej realizacji obowiązków Podmiotu Przetwarzającego.
§ 7
Rozwiązanie umowy
1. Umowa wchodzi w życie z dniem r. i zostaje zawarta na czas określony do dnia
rozwiązania lub wygaśnięcia ostatniej z umów łączących Strony, z których wynika konieczność przetwarzania danych osobowych przez Podmiot Przetwarzający.
2. W przypadku stwierdzenia naruszenia przez Podmiot Przetwarzający obowiązków wynikających z umowy, Administrator ma prawo rozwiązać wszystkie umowy zawarte z Podmiotem Przetwarzającym, z których wynika konieczność przetwarzania danych osobowych przez Podmiot Przetwarzający, ze skutkiem natychmiastowym.
3. Najpóźniej w dniu rozwiązania umowy Podmiot Przetwarzający ma obowiązek:
a) usunąć wszelkie dane osobowe, chyba że obowiązujące przepisy wymagają od niego dalszego przechowywania części lub całości danych osobowych; albo
b) zwrócić Administratorowi wszelkie nośniki zawierające dane osobowe oraz usunąć wszelkie istniejące kopie danych osobowych, chyba że obowiązujące przepisy wymagają od niego dalszego przechowywania części lub całości danych osobowych,
c) zależnie od wyboru Administratora, zakomunikowanego Podmiotowi Przetwarzającemu w formie dokumentowej (papierowej lub cyfrowej, w tym za
pośrednictwem poczty elektronicznej) co najmniej na 7 dni przed terminem rozwiązania Umowy.
4. W przypadku rozwiązania Umowy w trybie ust. 2 wybór Administratora będzie zakomunikowany Podmiotowi Przetwarzającemu w oświadczeniu o rozwiązaniu umowy ze skutkiem natychmiastowym.
5. Czynności wskazane w ust. 3 zostaną wykazane w pisemnym protokole, podpisanym przez przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w terminie 7 dni od dokonania wskazanych w nim czynności.
§ 8
Postanowienia końcowe
1. Podmiotowi Przetwarzającemu nie przysługuje wynagrodzenie za wykonywanie Umowy.
2. Umowa stanowi całość porozumienia pomiędzy Stronami i zastępuje w całości uprzednie lub równoczesne uzgodnienia poczynione przez Strony (w formie pisemnej lub ustnej) w przedmiocie regulowanym postanowieniami niniejszej Umowy.
3. Załączniki do Umowy stanowią jej integralną część.
4. Wszelkie spory między Stronami będą rozwiązywane na zasadzie polubownych negocjacji. W przypadku nieosiągnięcia przez Xxxxxx porozumienia, spór zostanie przekazany do rozstrzygnięcia sądowi powszechnemu właściwemu dla siedziby Administratora.
5. Wszelkie zmiany umowy wymagają formy pisemnej pod rygorem nieważności.
6. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.
Administrator: Podmiot Przetwarzający:
…………………………….. ………………………………
Załącznik Nr 1 do umowy powierzenia przetwarzania danych osobowych
Rodzaje danych osobowych (np. imię, nazwisko, adres, numer PESEL, numer telefonu, e-mail, adres IP, dane o stanie zdrowia) | imię i nazwisko, numer ewidencyjny PESEL, adres e- mail, adres IP, numery telefonów, adres zamieszkania, data urodzenia, NIP, seria i numer dokumentu tożsamości, imiona rodziców, numer rachunku bankowego, dane osobowe przechowywane w systemach informatycznych Administratora, wizerunek, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące zdrowia |
Kategorie osób, których dane osobowe dotyczą (np. pracownicy, dostawcy, pacjenci, kontrahenci, klienci) | pracownicy i współpracownicy, dostawcy, pacjenci, kontrahenci |
Zakres przetwarzania danych osobowych (czynności dokonywane na powierzonych danych osobowych, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, udostępnianie, zmienianie, usuwanie) | Przechowywanie |
Charakter przetwarzania (np. systematyczny/sporadyczny) | Systematyczny |
Cel przetwarzania (np. wykonanie umowy z dnia…) | Wykonanie umowy nr ………….. z dnia ……………. |
Czas przetwarzania (np. okres obowiązywania umowy z dnia…) | Okres obowiązywania umowy nr ……………… z dnia …………………….. |
Załącznik Nr 2 do umowy ……………………………..
KLAUZULA INFORMACYJNA
dla osób fizycznych reprezentujących, upoważnionych przez nich do określonych czynności w związku z wykonywaniem umowy albo osób kontaktowych związanych
z wykonywaniem umowy
Zgodnie z art. 13 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych (RODO),informujemy, że:
1) administratorem Pani/Pana danych osobowych jest Samodzielny Publiczny Zespół Opieki Zdrowotnej w Sanoku, adres: xx. 000-xxxxx 00, 00-000 Xxxxx;
2) administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: xxxx@xxxxxxxx.xx
3) administrator będzie przetwarzał Pani/Pana dane osobowe w następujących celach:
a) zawarcia, realizacji i zakończenia niniejszej umowy na podstawie art. 6 ust. 1 lit. b RODO;
b) wypełnienia obowiązków prawnych ciążących na Administratorze wynikających x.xx. z przepisów o podatkach i rachunkowości tzn. rozliczenie finansowe i podatkowe (np. rozliczenie faktur lub rachunków, prowadzenie dokumentacji księgowej) na podstawie art. 6 ust. 1 lit. c RODO;
c) ewentualnego dochodzenia roszczeń lub obrony przed roszczeniami z tytułu zawartej umowy, co stanowi prawnie uzasadniony interes Administratora zgodnie z art. 6 ust. 1 lit. f RODO;
d) kontaktowania się ze Zleceniobiorcą i jego pracownikami w sprawie realizacji umowy na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) jakim jest kontakt w celu realizacji umowy.
4) Pani/Pana dane osobowe mogą być udostępnione innym uprawnionym podmiotom, na podstawie przepisów prawa, a także na rzecz podmiotów, z którymi administrator zawarł umowę powierzenia przetwarzania danych w związku z realizacją usług na rzecz administratora (np. kancelarią prawną, dostawcą oprogramowania, zewnętrznym audytorem, zleceniobiorcą świadczącym usługę z zakresu ochrony danych osobowych);
5) administrator nie zamierza przekazywać Pani/ Pana danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
6) administrator nie podejmuje decyzji w sposób zautomatyzowany w oparciu o Pani/Pana dane osobowe
7) przysługuje Pani/Panu prawo uzyskania kopii jego danych osobowych w siedzibie administratora.
8) Pani/Pana dane osobowe będą przechowywane przez czas realizacji umowy, a po jej zakończeniu przez czas związany z wygaśnięciem roszczeń związanych z umową oraz
przez czas zastrzeżony przepisami prawa, w tym przepisów podatkowych i przepisów dotyczących sprawozdawczości finansowej;
9) przysługuje Pani/Panu prawo dostępu do treści jego danych, ich sprostowania lub ograniczenia przetwarzania, a także prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przeniesienia danych oraz prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
10) podanie danych osobowych osób reprezentujących jest dobrowolne, jednakże niezbędne do realizacji ww. celu.
11) Pani/Pana dane osobowe zostały przekazane Administratorowi przez Zleceniobiorcę.