Projekt umowy

Załącznik nr 4 do zapytania ofertowego

Projekt umowy

zawarta w dniu …………………………… r. w Augustowie pomiędzy:

Samodzielnym Publicznym Zakładem Opieki Zdrowotnej w Augustowie, ul. Szpitalna 12 ,
16 – 300 Augustów wpisanym do Krajowego Rejestru Sądowego przez Sąd Rejonowy w Białymstoku XII Wydział Gospodarczy pod numerem KRS 0000037781, REGON: 790317038, NIP: 000-00-00-000

reprezentowanym przez:

Xxxxxx Xxxxxxxx - Dyrektora

zwanym dalej „Zamawiającym”

a:

………………………………………………………………………………………………………

reprezentowaną przez ……………………………………………..

zwanym dalej „Wykonawcą”

§ 1

Postanowienia ogólne

1. Przedmiotem zamówienia jest usługa przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej "audytem" u operatora usługi kluczowej zgodnie z wymogami ustawy o krajowym systemie cyberbezpieczeństwa oraz aktów powiązanych pod kątem ich zgodności z przepisami oraz normami, o których mowa poniżej oraz przygotowanie i przekazanie Zamawiającemu pisemnego sprawozdania z przeprowadzonego audytu wraz z dokumentacją z przeprowadzonego audytu, zwanego dalej „raportem”.

2. Na podstawie zebranych dokumentów i dowodów audytorzy sporządzą pisemne sprawozdanie z przeprowadzonego audytu zgodne z szablonem sprawozdania z audytu zgodnego z ustawą KSC, opracowanym przez Ekspertów z ISSA Polska - Stowarzyszenia do spraw Bezpieczeństwa Systemów Informacyjnych oraz IIA Polska - Instytutu Audytorów Wewnętrznych pod nadzorem ówczesnego Ministerstwa Cyfryzacji (xxxxx://xxx.xxx.xx/xxx/xxxx-xxxxxx/xxxxxxxx-xxxxxx-xxx-xxxxxxxxxx-xxxxx-xxxxxxxxxx)

3. Celem audytu jest potwierdzenie zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usług Kluczowych z wymaganiami ustawy o krajowym systemie cyberbezpieczeństwa.

§ 2

Termin realizacji zamówienia

Audyt bezpieczeństwa systemu informacyjnego zostanie wykonany do dnia 19 lipca 2023 r. dla zadania nr 1 i do dnia 20 sierpnia 2023 r. dla zadania nr 2.

§ 3

Zakres audytu

Zakres i przedmiot audytu bezpieczeństwa informatycznego obejmuje 10 obszarów tj. :

Obszar 1: Organizacja zarządzania bezpieczeństwem informacji

Obszar 2: Procesy zarządzania bezpieczeństwem informacji

Obszar 3: Zarządzanie ryzykiem

Obszar 4: Monitorowanie i reagowanie na incydenty bezpieczeństwa

Obszar 5: Zarządzanie zmianą

Obszar 6: Zarządzanie ciągłością działania

Obszar 7: Utrzymanie systemów informacyjnych

Obszar 8: Utrzymanie i rozwój systemów informacyjnych

Obszar 9: Bezpieczeństwo fizyczne

Obszar 10: Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług

§ 4

Oświadczenia i obowiązki Wykonawcy

1. Wykonawca zobowiązuje się do wykonania umowy z zachowaniem zasad należytej staranności i profesjonalizmu wynikających z zawodowego charakteru prowadzonej działalności.

2. Wykonawca przeprowadzi audyt przy ścisłej współpracy z Zamawiającym.

3. Wykonawca zobowiązuje się, że wykonane w ramach przeprowadzonego audytu prace, materiały i informacje oraz wykorzystywane przez niego oprogramowanie nie narusza praw osób trzecich, a w szczególności prawa autorskiego i praw pokrewnych.

4. Wykonawca ponosi odpowiedzialność za działania i zaniechania osób, którymi posłużył się przy wykonywaniu umowy, jak za własne działania czy zaniechania.

5. Wykonawca oświadcza, że wyznaczony przez niego Audytor do realizacji niniejszej umowy posiada wskazane w zapytaniu ofertowym certyfikaty lub co najmniej trzyletnią praktykę z zakresu audytu systemów informacyjnych posiada co najmniej dwuletnia praktykę z zakresu audytu systemów informacyjnych i kserokopii potwierdzonej za zgodność z oryginałem dyplomu ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.

§ 5

Obowiązki i oświadczenia Zamawiającego

1. Zamawiający zobowiązuje się do zapewnienia Wykonawcy w siedzibie Zamawiającego dostępu do informacji niezbędnych do realizacji umowy.

2. Zamawiający zobowiązuje się do przekazywania niezwłocznie, osobiście lub za pośrednictwem wyznaczonego pracownika, w terminie nie dłuższym niż 3 dni robocze, żądanych przez Wykonawcę informacji niezbędnych do wykonania umowy.

3. Brak przedłożenia w/w informacji skutkować może niewykonaniem audytu w zakresie objętym brakiem.

4. W przypadku powstania przeszkód po stronie Zamawiającego w wykonaniu przedmiotu umowy, Zamawiający poinformuje Wykonawcę o powyższym niezwłocznie, pisemnie lub za pośrednictwem poczty elektronicznej, na adres wskazany w umowie. Okres czasowej przeszkody w wykonaniu umowy powstały po stronie Zamawiającego powoduje przesunięcie terminu realizacji umowy o liczbę dni, w trakcie których Wykonawca z nie swojej winy nie mógł wykonywać umowy.

5. Zamawiający wyraża zgodę na przeprowadzenie przez Wykonawcę czynności w zakresie objętym audytem, w tym udziela Wykonawcy zgody na przetwarzanie danych zgromadzonych podczas audytu, wyłącznie w celach związanych z realizacją umowy.

6. Zamawiający oświadcza, że w przypadku awarii sprzętu komputerowego lub oprogramowania, w trakcie trwania audytu, Wykonawca nie będzie ponosił z tego tytułu żadnej odpowiedzialności, o ile awaria nie była spowodowana zawinionym działaniem Wykonawcy.

§ 6

Upoważnienie

1. Wykonawca zobowiązuje się do udzielenia audytującemu pracownikowi/pracownikom upoważnienia do przeprowadzenia czynności audytowych na piśmie. Upoważnienie udzielone jest osobie fizycznej, ze wskazaniem danych osobowych – imię, nazwisko, numer pesel, seria i numer dowodu osobistego.

2. Upoważnienie winno zostać okazane Zamawiającemu przed przystąpieniem do wykonania czynności objętych umową. Raz udzielone upoważnienie ważne jest przez okres trwania umowy, chyba że Wykonawca cofnie upoważnienie o czym niezwłocznie powiadomi Zamawiającego.

3. Zamawiający zobowiązany jest do wyznaczenia pracownika, który obecny będzie przy wykonywaniu umowy, w zakresie czynności objętych audytem w siedzibie Zamawiającego.

4. Zamawiający zobowiązany jest do zapewnienia obecności administratora systemu informatycznego w trakcie czynności w zakresie przeprowadzanego audytu.

5. Pracownik wyznaczony będzie posiadał wystawiony przez Zamawiającego dokument, uprawniający do uczestnictwa w czynnościach objętych umową.

6. Niezapewnienie obecności pracownika wyznaczonego, o ile nie jest to konieczne, nie wstrzymuje czynności objętych przedmiotem niniejszej umowy.

§ 7

Wynagrodzenie

1. Strony ustalają wynagrodzenie za tytułu wykonania przedmiotu niniejszej umowy na podstawie wartości oferty przetargowej : Zadanie nr 1 ……………………. zł brutto ( słownie : ……………………… zł ), Zadanie nr 2 ……………………… zł brutto ( słownie : ……………………………………….. zł ).

2. Całkowita wartość umowy wynosi ………………. zł brutto ( słownie : …………………………. zł ).

3. Podstawą zapłaty jest faktura z terminem płatności wynoszącym 30 dni od dnia doręczenia Zamawiającemu.

4. Faktura wystawiona zostanie przez Wykonawcę po przekazaniu Zamawiającemu raportu końcowego, którego otrzymanie zostanie potwierdzone przez Zamawiającego pieczęcią kancelaryjną.

5. Zapłata nastąpi na rachunek bankowy wskazany w fakturze. Za dzień zapłaty uznaje się dzień obciążenia kwotą rachunku bankowego Zamawiającego.

6. Zamawiający upoważnia Wykonawcę do wystawienia faktury bez podpisu Zamawiającego.

7. Wykonawcy nie przysługuje prawo cesji wierzytelności wynikającej z niniejszej umowy, bez uzyskania pisemnej zgody Zamawiającego.

§ 8

Poufność i zabezpieczenie danych

1. Wykonawca ponosi odpowiedzialność za naruszenie praw osób trzecich, w tym za ujawnienie informacji, jakie uzyskane zostały w trakcie przeprowadzenia audytu w szczególności w zakresie bezpieczeństwa systemu informatycznego Zamawiającego, danych osobowych pracowników Zamawiającego, w tym za ujawnienie tych informacji przez swoich pracowników i osoby, z którymi się posługuje przy wykonaniu umowy.

2. Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji otrzymanych pośrednio lub bezpośrednio w trakcie trwania audytu i po jego zakończeniu, o ile informacje te nie stanowią informacji ogólnodostępnych (ochrona tajemnicy uzyskanej w ramach audytu).

3. Zabrania się wynoszenia przez Wykonawcę poza obszar SUM zgromadzonych dowodów audytowych i innych informacji potrzebnych do wykonania przedmiotu umowy. Wyjątek stanowi jedynie kopia gotowego raportu stanowiącego dowód wykonania umowy.

§ 9

Ochrona Danych Osobowych

1. Zamawiający zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 poz. 922 z późn. zm.) zwanej dalej Ustawą, powierza przetwarzanie danych osobowych w zakresie określonym niniejszą umową.

2. Dane osobowe przetwarzane na podstawie niniejszej umowy to w szczególności dane osobowe pracowników SUM przetwarzane w zakresie czynności audytowych.

3. Wykonawca może przetwarzać powierzone dane w zakresie tylko do odczytu/wglądu.

4. Wykonawca jest zobowiązany do przestrzegania przepisów Ustawy o ochronie danych osobowych oraz przepisów wykonawczych.

5. Wykonawca oświadcza, iż spełnia wymagania określone w art. 36 – 39a Ustawy dotyczące zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

6. Zamawiający, jako administrator powierzonych niniejszą umową danych osobowych zastrzega sobie prawo do przeprowadzenia, w dowolnym czasie trwania umowy, kontroli
   w zakresie zastosowanych technicznych środków ochrony w miejscach przetwarzania u Wykonawcy danych osobowych.

7. Wykonawca oświadcza, iż sposób prowadzenia i zakres dokumentacji, o której mowa wart. 39a Ustawy o ochronie danych osobowych oraz środki techniczne i organizacyjne zastosowane w celu zapewnienia ochrony przetwarzanych danych są zgodne z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zwanego dalej Rozporządzeniem.

8. Dostęp do powierzonych danych osobowych mogą posiadać tylko osoby, którym nadano upoważnienie zgodnie z art. 37 ustawy. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 3 do niniejszej umowy. Upoważnienia zostaną sporządzone w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron zgodnie z procedurą obowiązującą u Zamawiającego i wymagają podpisania oświadczenia przez Wykonawcę. Zamawiający nada stosowne numery na upoważnieniach dla osób upoważnionych.

9. Wykonawca odpowiada za szkody, jakie powstały w wyniku niezgodnego z Umową przetwarzania powierzonych danych osobowych.

10. Wykonawcy przysługuje prawo kierowania zapytań do Zamawiającego w zakresie prawidłowości wykonania obowiązków dotyczących zabezpieczenia powierzonych mu na podstawie niniejszej umowy danych.

11. Wykonawca na mocy niniejszej umowy nie może powierzać przetwarzania danych osobowych w jakiejkolwiek formie i zakresie stronom trzecim bez zgody i upoważnienia Zamawiającego.

12. Wykonawca nie może wynosić, ani wysyłać Danych Osobowych poza audytowane lokalizacje Zamawiającego.

13. W sprawach nieuregulowanych niniejszą umową a dotyczących przetwarzania danych osobowych mają zastosowania przepisy ustawy i rozporządzenia.

§ 10

Odstąpienie od Umowy i kara umowna

1. Zamawiający może odstąpić od umowy bez wypowiedzenia w przypadku zaistnienia okoliczności uniemożliwiających dalszą realizację umowy przez co rozumie się w szczególności :

a) wystąpienia istotnej zmiany okoliczności powodującej, że wykonanie umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia umowy

b) ogłoszenia upadłości lub likwidacji Wykonawcy,

c) wydania nakazu majątku Wykonawcy,

2. Wykonawca zapłaci karę umowną:

   1. za odstąpienie od umowy przez Zamawiającego z winy Wykonawcy w wysokości 20% wartości brutto umowy,

   2. za opóźnienie w wykonaniu określonych w umowie usług w wysokości 2% wartości umowy brutto za każdy dzień opóźnienia.

3. Zapłata kar umownych nie wyłącza odpowiedzialności odszkodowawczej (uzupełniającej) Wykonawcy wobec Zamawiającego, na zasadach określonych w Kodeksie Cywilnym.

4. W przypadku niewykonania lub nienależytego wykonania przez Wykonawcę usługi stanowiącej przedmiot umowy, Zamawiający zleci realizację usługi innemu Wykonawcy na koszt Wykonawcy, z którym została podpisana umowa.

§ 11

Siła wyższa

1. W czasie trwania siły wyższej strony umowy zwolnione będą od wszelkiej odpowiedzialności za niewykonanie umowy, jeżeli okoliczności zaistnienia siły wyższej będą stanowiły przeszkodę w wykonaniu umowy.

2. Przez siłę wyższą należy rozumieć zdarzenia zewnętrzne, których nie można było przewidzieć i niemożliwe było ich zapobieżenie, przy czym chodzi tu w szczególności o powódź, włamanie, długotrwały zanik energii elektrycznej wywołany awarią dostawcy energii, uszkodzenie sprzętu komputerowego.

3. Strona uprawniona jest do powołania się na siłę wyższą tylko w przypadku, gdy poinformuje pisemnie o powyższym drugą stronę niezwłocznie, nie później niż w dniu następnym po dniu kiedy powstało zdarzenie uniemożliwiające wykonywanie Umowy.

§ 12

Postanowienia końcowe

1. Strony zgodnie ustalają, że formą kontaktu jest poczta elektroniczna:

   1. Adres poczty elektronicznej Zamawiającego xx@xxxxx.xxxxxxxx.xx

   2. Adres poczty elektronicznej Wykonawcy ……………………….

2. Zmiana postanowień umowy wymaga formy pisemnej pod rygorem nieważności.

3. W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy Kodeksu Cywilnego.

4. Wszelkie spory mogące powstać w związku z wykonaniem niniejszej umowy strony zobowiązują się w pierwszej kolejności poddać pod mediację. W przypadku braku porozumienia właściwym dla rozstrzygnięcia sporów jest Sąd właściwy według siedziby Zamawiającego.

5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym egzemplarzu dla każdej ze stron.

6. Załączniki stanowią integralną część umowy.

WYKONAWCA ZAMAWIAJĄCY