UMOWA NR IHiT/DZ/ /2023
UMOWA NR IHiT/DZ/ /2023
W dniu……………w Warszawie, w wyniku przeprowadzonego zapytania ofertowego, została zawarta umowa pomiędzy:
Instytutem Hematologii i Transfuzjologii
z siedzibą: ul. Xxxxxx Xxxxxx 00, 00-000 Xxxxxxxx
zarejestrowanym w Sądzie Rejonowym dla m. st. Warszawy w Warszawie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem 0000119139,
NIP 5250009424, REGON 000288484
zwanym w dalszej treści umowy Zamawiającym reprezentowaną przez: …………………………………….
a
……….
z siedzibą: …………………………………………..
zarejestrowanym w ,
…………………………………, pod numerem ,
NIP …………………., REGON ……………………
zwaną w dalszej treści umowy Wykonawcą, reprezentowaną przez: …………………………………….
o treści następującej:
§1
PRZEDMIOT UMOWY
1. Przedmiotem umowy jest świadczenie usługi serwera wirtualnego (tj. wydzielonej części zasobów serwera fizycznego takich jak procesor, pamięć ram i dysk), dedykowanego wirtualnego rozwiązania VPN (tj. serwera wirtualnego z zainstalowanym routerem VPN), wraz z dedykowanym wsparciem technicznym (polegającym na zdalnym, telefonicznym wsparciu w zakresie analizy i zarządzania rozwiązaniami dotyczącymi świadczonej usługi), dodatkową przestrzenią dyskową przez Wykonawcę na rzecz Zamawiającego zgodnie z wymaganiami technicznymi określonymi w załączniku nr 1 do niniejszej umowy.
2. Wykonawca oświadcza, że posiada wiedzę, doświadczenie i zasoby osobowe i sprzętowe, umożliwiające należyte wykonanie zobowiązań wynikających z umowy, jak również, że nie istnieją żadne przeszkody natury technicznej, prawnej ani finansowej, które mogą uniemożliwić wykonanie przedmiotu umowy.
3. Wykonawca oświadcza, że używane przez Wykonawcę narzędzia programistyczne są wykorzystywane zgodnie z obowiązującym prawem oraz udzielonymi licencjami.
§2
WARTOŚĆ PRZEDMIOTU UMOWY
1. Strony ustalają wynagrodzenie miesięczne, zgodnie ze złożoną przez Wykonawcę w postaci elektronicznej ofertą, w wysokości:
netto PLN
podatek od towarów i usług VAT PLN
brutto ………….. PLN (słownie ),
2. Całkowita wartość przedmiotu umowy wynosi netto PLN
Podatek od towarów i usług VAT PLN
Całkowita wartość przedmiotu umowy wynosi brutto PLN
(słownie: )
3. Wynagrodzenie, o którym mowa w ust. 1 obejmuje wszystkie koszty niezbędne do prawidłowego i pełnego wykonania przedmiotu umowy oraz obowiązków wynikających z umowy, wszelkie opłaty i podatki wynikające z obowiązujących przepisów.
§3
TERMIN REALIZACJI
1. Usługa, o której mowa w §1 umowy będzie świadczona w sposób ciągły przez okres 24 miesięcy od dnia podpisania umowy.
2. Zamawiający może wypowiedzieć niniejszą umowę z zachowaniem miesięcznego terminu wypowiedzenia.
3. Zamawiający może wypowiedzieć niniejszą umowę bez zachowania terminu wypowiedzenia w przypadku rażącego naruszania przez Wykonawcę postanowień niniejszej umowy.
§4
WARUNKI PŁATNOŚCI
1. Płatność z tytułu przedmiotu umowy dokonywana będzie z dołu, miesięcznie, w ciągu 30 dni od daty dostarczenia przez Wykonawcę oryginału faktury do Zamawiającego, na rachunek bankowy wpisany przez Wykonawcę na fakturze. Faktura wystawiana będzie przez Wykonawcę do 10 dnia miesiąca następnego po miesiącu, w którym wykonywany będzie przedmiot umowy.
2. Wykonawca oświadcza, że numer rachunku bankowego wpisany na fakturze stanowić będzie rachunek rozliczeniowy, o którym mowa w art. 49 ust.1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe lub imienny rachunek w spółdzielczej kasie oszczędnościowo kredytowej, której Wykonawca jest członkiem, otwarty w związku z prowadzoną przez Wykonawcę działalnością gospodarczą – wskazanych w zgłoszeniu identyfikacyjnym lub zgłoszeniu aktualizującym i potwierdzony przy wykorzystaniu STIR systemu teleinformatycznego izby rozliczeniowej w rozumieniu art. 119zg pkt 6 Ordynacji Podatkowej.
3. Za datę zapłaty uznaje się dzień obciążenia rachunku bankowego Zamawiającego.
4. W przypadku nieuregulowania przez Zamawiającego płatności w terminie określonym w ust. 1, Wykonawcy przysługuje prawo naliczania odsetek ustawowych za opóźnienie w transakcjach handlowych.
5. Termin płatności wpisany przez Wykonawcę na fakturze musi być zgodny z terminem płatności określonym w ust. 1 niniejszego paragrafu. Dla wskazania na fakturze prawidłowego terminu płatności Wykonawca zobowiązany jest użyć sformułowanie: „zgodnie z umową” / „według umowy”.
6. W przypadku wpisania przez Wykonawcę na fakturze terminu płatności niezgodnego z terminem określonym w ust. 1 niniejszego paragrafu, obowiązującym jest termin płatności określony w ust 1. Jednocześnie ustala się, że Zamawiający nie będzie dokonywał korekt błędnie wskazanego terminu płatności na fakturze w trybie "noty korygującej" - Wykonawca zobowiązany jest do dokonania tych korekt wewnętrznie w swoich urządzeniach księgowych.
7. Zamawiający dopuszcza dostarczenie faktury w formacie pliku PDF drogą elektroniczną na adres e-mailowy: xxxxxxx@xxxx.xxx.xx. Za datę doręczenia Zamawiającemu faktury drogą elektroniczną uznaje się dzień, który Zamawiający wskazał w e-mailu zwrotnym, potwierdzającym odbiór faktury.
§5
KARY UMOWNE
1. Wykonawca zapłaci Zamawiającemu karę umowną:
a) za rozwiązanie umowy przez Zamawiającego z winy Wykonawcy w wysokości 10% wynagrodzenia brutto, o którym mowa w § 2 ust. 2,
b) za opóźnienie w uruchomieniu usługi w wysokości 0,5 % wynagrodzenia brutto, o którym mowa w §2 ust. 2 za każdy dzień opóźnienia, nie więcej jednak niż 50% wartości wynagrodzenia brutto, o którym mowa w § 2 ust. 2.
2. Zamawiający ma prawo do potrącenia należności naliczanych z tytułu kar umownych z płatności za fakturę Wykonawcy na podstawie noty wystawionej przez Zamawiającego.
3. Zamawiający zastrzega sobie prawo do dochodzenia na zasadach ogólnych odszkodowania uzupełniającego przewyższającego wysokość zastrzeżonych kar umownych
§6
OCHRONA DANYCH OSOBOWYCH
1. Strony zobowiązują się przetwarzać dane osobowe - udostępnione na podstawie odpowiednich zgód lub innych podstaw prawnych, zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) i innymi powszechnie obowiązującymi przepisami dotyczącymi ochrony danych osobowych, stosując przy tym środki techniczne i organizacyjne wskazane w art. 32 RODO, zapewniające właściwą ochronę danych osobowych oraz zapewniając dostęp do danych osobowych wyłącznie osobom upoważnionym.
2. Strony oświadczają, że wzajemnie wobec siebie wypełniły obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO, wobec każdej osoby wskazanej w komparycji umowy oraz osób wskazanych do realizacji umowy. Strony zobowiązuje się, w przypadku zmiany powyższych osób do wypełnienia obowiązków informacyjnych w trybie art. 13 lub 14 RODO najpóźniej wraz z przekazaniem drugiej stronie umowy danych osobowych tych osób. Właściwe klauzule informacyjne stanowią załącznik nr 2 do Umowy.
3. Zamawiający powierza Wykonawcy przetwarzanie danych osobowych w imieniu Zamawiającego, na zasadach określonych w Umowie powierzenia przetwarzania danych osobowych, stanowiącej załącznik nr 3 do niniejszej umowy oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności w RODO.
§7
POSTANOWIENIA KOŃCOWE
1. Wykonawca nie może przenosić na osoby trzecie żadnych praw i obowiązków wynikających z niniejszej umowy, ani podjąć jakichkolwiek działań skutkujących zmianą wierzyciela, bez uprzedniej pisemnej zgody Zamawiającego.
2. W sprawach nieuregulowanych umową stosuje się przepisy Kodeksu Cywilnego.
3. Zmiany umowy mogą być dokonane – pod rygorem nieważności – w formie pisemnej.
4. Wszelkie spory związane z realizacją niniejszej Umowy, których strony nie będą mogły polubownie załatwić między sobą, będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.
5. Niniejsza umowa została sporządzona w dwóch jednobrzmiących egzemplarzach – 1 egzemplarz dla Zamawiającego, 1 egzemplarz dla Wykonawcy. Każdy egzemplarz ma moc oryginału.
ZAMAWIAJĄCY WYKONAWCA
Załączniki:
1. Specyfikacja techniczna serwera;
2. Klauzula obowiązku informacyjnego RODO;
3. Umowa powierzenia przetwarzania danych osobowych.
Załącznik nr 1 do umowy nr …………z dnia………...
Specyfikacja techniczna serwera:
Serwer VPS 24vcore 256GB vram, 900Gb-2TB vhdd, 1 IPv4, vpn backup, dodatkowa przestrzeń dyskowa 30 TB, nielimitowane łącze do sieci internetowej o przepustowości 1 Gb.
Dowolność w konfiguracji - dopuszczalne rozwiązanie w postaci jednego urządzenia lub kilku maszyn współpracujących ze sobą. Kryterium w przypadku wyboru pomiędzy tymi dwoma rozwiązaniami to korzystniejsza cena.
Dopuszczalne zarówno rozwiązanie chmurowe jak i stacjonarne – kryterium wyboru również to korzystniejsza cena.
Dodatkowe usługi w ramach umowy:
Administrowanie serwera, instalacja oprogramowania na życzenie użytkowników, usługa publicznego udostępniania plików poprzez autoryzowany dostęp po protokole http, inżynier ds. systemów i rozwiązań IT - consulting do 4 godzin w miesiącu, wsparcie użytkownika w konfiguracji dostępu do platformy i pomoc w rozwiązywaniu problemów.
Zabezpieczenie danych poprzez logowanie do systemu VPN. Możliwość zdalnej pracy na kontach użytkowników niekoniecznie przypisanych do stałych adresów IP. Zapewnienie bezpieczeństwa dla całego środowiska.
Estymacja ruchu in/out w przesyłaniu danych około 300GB na miesiąc. Zazwyczaj są to jednokrotne transfery od kilku do kilkunastu, czasem kilkudziesięciu GB.
Ilość docelowych użytkowników: do 10
Wydajność: Dyski minimum SAS, bez preferencji IOPS Brak konieczności instalacji zintegrowanej karty graficznej.
Okresowy Backup systemu i danych – kopie danych przyrostowych backup’owanie co najmniej raz na dobę, kopie całego systemu backup’owanie przynajmniej raz na miesiąc.
Migracja oprogramowania i jego konfiguracji z istniejącej konfiguracji na nowa obejmująca instalacje oprogramowania (wszystkie wymagane biblioteki są publicznie dostępne w repozytoriach dla danego systemu): Slurm Workload Manager, Docker, Conda, R (wraz z instalacją pakietów: abind, annotate, AnnotationDbi, AnnotationFilter, ape, aplot, ash, askpass, assertthat, babelgene, backports, base64enc, beeswarm, BH, Biobase, BiocFileCache, BiocGenerics, BiocIO, BiocManager, BiocParallel, BiocVersion, biomaRt, Biostrings, bit, bit64, bitops, blob, brew, brio, broom, BSgenome, bslib, cachem, Cairo, callr, car, carData, caret, caTools, cellranger, ChIPpeakAnno, ChIPseeker, cli, clipr, clusterProfiler, colorspace, commonmark, conquer, corrplot, cowplot, cpp11, crayon, credentials, crosstalk, curl, data.table, DBI, dbplyr, DelayedArray, desc, DESeq2, devtools, diffobj, digest, DO.db, DOSE, downloader, dplyr, DT, dtplyr, e1071, edgeR, ellipsis, EnhancedVolcano, enrichplot, ensembldb, evaluate, extrafont, extrafontdb, fansi, farver, fastmap, fastmatch, fgsea, filelock, fontawesome, forcats, foreach, formatR, fs, futile.logger, futile.options, future, future.apply, gargle, genefilter, geneplotter, generics, GenomeInfoDb, GenomeInfoDbData, GenomicAlignments, GenomicFeatures, GenomicRanges, gert, ggalt, ggbeeswarm, ggforce, ggfun, ggplot2, ggplotify, ggpubr, ggraph, ggrastr, ggrepel, ggsci, ggsignif, ggthemes, ggtree,
ggvenn, gh, gitcreds, globals, glue, GO.db, googledrive, googlesheets4, GOSemSim, gower, gplots, graph, graphlayouts, gridExtra, gridGraphics, gtable, gtools, haven, highr, hms, htmltools, htmlwidgets, httpuv, httr, ids, igraph, ini, InteractionSet, ipred, IRanges, isoband, iterators, jquerylib, jsonlite, KEGGREST, knitr, labeling, lambda.r, later, lava, lazyeval, lifecycle, limma, listenv, lme4, locfit, lubridate, maftools, magrittr, maps, maptools, markdown, MatrixGenerics, MatrixModels, matrixStats, memoise, memuse, mime, minqa, ModelMetrics, modelr, msigdbr, multtest, xxxxxxx, nloptr, numDeriv, openssl, openxlsx, org.Hs.eg.db, parallelly, patchwork, pbkrtest, permute, pheatmap, pillar, pinfsc50, pkgbuild, pkgconfig, pkgload, plogr, plotly, plotrix, plyr, png, polyclip, polynom, praise, prettyunits, pROC, processx, prodlim, progress, progressr, proj4, promises, ProtGenerics, proxy, ps, purrr, quantreg, qvalue, R.methodsS3, R.xx, X.utils, R6, ragg, rappdirs, RBGL, rcmdcheck, RColorBrewer, Rcpp, RcppArmadillo, RcppEigen, RCurl, readr, readxl, recipes, regioneR, rematch, rematch2, remotes, reprex, reshape2, restfulr, Rhtslib, rio, rjson, rlang, rmarkdown, roxygen2, rprojroot, Rsamtools, RSQLite, rstatix, rstudioapi, rtracklayer, Rttf2pt1, rversions, rvest, S4Vectors, sass, scales, scatterpie, selectr, sessioninfo, shadowtext, shiny, snow, sourcetools, sp, SparseM, SQUAREM, stringi, stringr, SummarizedExperiment, sva, sys, systemfonts, testthat, textshaping, xxxxxx, tidygraph, tidyr, tidyselect, tidytree, tidyverse, timeDate, tinytex, treeio, tweenr, TxDb.Xxxxxxxx.UCSC.hg19.knownGene, tzdb, UpSetR, usethis, utf8, uuid, VariantAnnotation, vcfR, vctrs, vegan, VennDiagram, Vennerable, vipor, viridis, viridisLite, vroom, waldo, whisker, withr, writexl, xfun, XML, xml2, xopen, xtable, XVector, yaml, yulab.utils, zip, zlibbioc, base, boot, class, cluster, codetools, compiler, datasets, foreign, graphics, grDevices, grid, KernSmooth, lattice, MASS, Matrix, methods, mgcv, nlme, nnet, parallel, rpart, spatial, splines, stats, stats4, survival, tcltk, tools, utils), R Studio Server, Jupiter Notebook Server, Python (wraz z instalacją pakietów pysam, pandas, numpy, matplotlib), Nextflow, Cromwell, bedtools, Annovar, GATK tools, AWS CLI, BaseSpace CLI, FastQC, Picard, Womtool. Migracja 10 TB danych wraz z zachowaniem struktury i nazw folderów.
Preferowana migracja w ciągu 48h w ustalonym wspólnie z Zamawiającym terminie. Dokładny czas na przygotowanie się do migracji zostanie ustalony wspólnie z Zamawiającym i wpisany do umowy współpracy.
Wsparcie techniczne – reakcja na problemy techniczne ze strony serwera do 24h od zgłoszenia. Kontakt z supportem technicznym w dni robocze w godzinach pracy.
Współpraca - 24 miesiące.
Załącznik nr 2 do umowy nr……………….. z dnia…………
Klauzula informacyjna podawana w przypadku zbierania danych od osób wskazanych w umowie do realizacji umowy
Zgodnie z art. 14 Ogólnego Rozporządzenia o Ochronie Danych (RODO) informujemy, że:
1. Administratorem danych osobowych osób wskazanych do realizacji umowy jest Instytut Hematologii i Transfuzjologii, ul. Xxxxxx Xxxxxx 00, 00-000 Xxxxxxxx.
2. Administrator wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować w sprawach przetwarzania danych osobowych za pośrednictwem poczty elektronicznej xxx@xxxx.xxx.xx
3. Administrator przetwarza Państwa dane osobowe w zakresie: imienia i nazwiska, stanowiska służbowego, danych kontaktowych (numeru telefonu). Dane zostały pozyskane w sposób inny niż od osoby, której dane dotyczą (tj. od Wykonawcy) oraz są przetwarzane w wyniku współpracy między Administratorem, a Wykonawcą.
4. Administrator będzie przetwarzał dane na podstawie art. 6 ust 1 lit f) RODO na podstawie prawnie uzasadnionego interesu administratora którym jest:
a) Bieżąca realizacja umowy (umożliwienie kontaktu pomiędzy dedykowanymi jednostkami odpowiedzialnymi za realizację umowy;
b) Ustalenia, zabezpieczenia i dochodzenia ewentualnych roszczeń wynikających z zawartej umowy.
5. Dane osobowe mogą być udostępnione innym uprawnionym podmiotom, na podstawie przepisów prawa, a także innym podmiotom z którymi Administrator zawarł umowę w związku z realizacją usług na rzecz Administratora (np. kancelarią prawną, dostawcą oprogramowania, zewnętrznym audytorem, zleceniobiorcom świadczącym usługę z zakresu ochrony danych osobowych).
6. Administrator nie zamierza przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
7. Przysługuje prawo uzyskać kopię swoich danych osobowych.
8. Dane osobowe będą przechowywane przez okres współpracy między Administratorem a Wykonawcą, a po jego zakończeniu przez okres przedawnienia roszczeń, wynikający z przepisów prawa.
9. Osobie, której dane dotyczą przysługuje prawo dostępu do treści danych, ich sprostowania lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu i usunięcia danych a także prawo do wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.
10. Podanie danych osobowych jest dobrowolne, jednakże niezbędne do realizacji celu ich przetwarzania.
11. Administrator nie podejmuje decyzji w sposób zautomatyzowany w oparciu o podane dane osobowe.
Klauzula informacyjna podawana w przypadku zbierania danych od osób reprezentujących osoby prawne
Zgodnie z art. 13 Ogólnego Rozporządzenia o Ochronie Danych (RODO) informujemy, że:
1. Administratorem danych osobowych osób wskazanych w komparycji umowy jest Instytut Hematologii i Transfuzjologii, ul. Xxxxxx Xxxxxx 00, 00-000 Xxxxxxxx.
2. Administrator wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować w sprawach przetwarzania danych osobowych za pośrednictwem poczty elektronicznej xxx@xxxx.xxx.xx
3. Administrator będzie przetwarzał dane na podstawie art. 6 ust. 1 lit. b) w zw. z umową, zawartą z podmiotem, do którego reprezentowania jesteście Państwo uprawnieni oraz na podstawie art. 6 ust 1 lit. f) RODO, na podstawie prawnie uzasadnionego interesu Administratora, którym jest ustalenia, zabezpieczenia i dochodzenia ewentualnych roszczeń.
4. Dane osobowe mogą być udostępnione innym uprawnionym podmiotom, na podstawie przepisów prawa, a także innym podmiotom z którymi Administrator zawarł umowę w związku z realizacją usług na rzecz Administratora (np. kancelarią prawną, dostawcą oprogramowania, zewnętrznym audytorem, zleceniobiorcom świadczącym usługę z zakresu ochrony danych osobowych).
5. Administrator nie zamierza przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
6. Przysługuje prawo uzyskać kopię swoich danych osobowych.
7. Dane osobowe będą przechowywane przez okres współpracy między Administratorem a Wykonawcą, a po jego zakończeniu przez okres przedawnienia roszczeń, wynikający z przepisów prawa.
8. Osobie, której dane dotyczą przysługuje prawo dostępu do treści danych, ich sprostowania lub ograniczenia przetwarzania, prawo do usunięcia danych a także prawo do wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.
9. Podanie danych osobowych jest dobrowolne, jednakże niezbędne do realizacji celu ich przetwarzania.
Administrator nie podejmuje decyzji w sposób zautomatyzowany w oparciu o podane dane osobowe.
Załącznik nr 3 do umowy nr……………. z dnia…………….
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Niniejsza umowa została zawarta w Warszawie w dniu 2023 r. roku pomiędzy:
Instytutem Hematologii i Transfuzjologii
z siedzibą: ul. Xxxxxx Xxxxxx 00, 00-000 Xxxxxxxx
zarejestrowanym w Sądzie Rejonowym dla m. st. Warszawy w Warszawie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem 0000119139,
NIP 5250009424, REGON 000288484
reprezentowanym przez:
……………………. – ……………………………………., zwanym dalej „Administratorem”,
oraz
………………………., …………………………………………………. reprezentowanym przez:
…………………….. - ………………………………………………, zwanym dalej „Podmiotem Przetwarzającym”,
Administrator i Podmiot Przetwarzający będą dalej zwani łącznie „Stronami”, a każdy z osobna „Stroną”. Zważywszy, że:
1. Administrator jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”, wskazanych w załączniku nr 1 do umowy.
2. Administrator zamierza powierzyć Podmiotowi Przetwarzającemu przetwarzanie danych osobowych, a Podmiot Przetwarzający zamierza przyjąć powierzone mu dane osobowe do przetwarzania w imieniu Administratora, zgodnie z umową oraz z przepisami regulującymi przetwarzanie danych osobowych, wiążącymi Podmiot Przetwarzający i Administratora.
Xxxxxx postanowiły, co następuje:
§ 1
Przedmiot umowy
1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w imieniu Administratora, na zasadach określonych w Umowie oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności w RODO.
2. Rodzaj danych osobowych, kategorie osób, których dotyczą dane osobowe, jak również przedmiot, czas trwania, charakter i cel przetwarzania danych osobowych są wskazane w załączniku nr 1 do umowy.
3. Strony zobowiązują się wykonywać zobowiązania wynikające z umowy z najwyższą starannością, w celu prawidłowego zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron oraz osób, których dane osobowe dotyczą, w zakresie przetwarzania danych osobowych.
§ 2
Oświadczenie Podmiotu Przetwarzającego
Podmiot Przetwarzający oświadcza, że:
a) wdrożył środki techniczne i organizacyjne gwarantujące przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, w sposób zapewniający ochronę praw osób, których dotyczą dane osobowe; oraz
b) dysponuje środkami, doświadczeniem, wiedzą oraz odpowiednio wyszkolonym personelem, umożliwiającymi prawidłowe przetwarzanie danych osobowych w zakresie i w celu określonych w umowie.
§ 3
Przetwarzanie danych osobowych
1. Z zastrzeżeniem ust. 2, przetwarzanie danych osobowych przez Podmiot Przetwarzający może następować wyłącznie w przypadkach wynikających z Umowy lub na podstawie odrębnych zleceń Administratora, wyrażonych w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej).
2. Podmiot Przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot Przetwarzający jest zobowiązany poinformować Administratora o stosującym się do niego obowiązku prawnym co najmniej na 24 godziny przed rozpoczęciem przetwarzania, a w sytuacjach nagłych, w których zachowanie terminu nie jest możliwe, niezwłocznie chyba że wiążące go przepisy zabraniają mu udzielania takiej informacji, z uwagi na ważny interes publiczny.
3. Przetwarzanie danych osobowych przez Podmiot Przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy.
4. Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania danych osobowych, zawierający informacje wymagane przez obowiązujące przepisy, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
5. Podmiot Przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
6. Wszelkie zlecane przez Administratora operacje przetwarzania danych osobowych Podmiot Przetwarzający wykonuje niezwłocznie, w szczególności jeśli chodzi o usunięcie danych osobowych na żądanie osoby, której dotyczą.
7. Biorąc pod uwagę charakter przetwarzania danych osobowych, Podmiot Przetwarzający ma obowiązek współdziałania z Administratorem w celu wywiązania się z obowiązku odpowiadania na żądania osoby,
której dane osobowe dotyczą, w zakresie wykonywania jej praw określonych w obowiązujących przepisach, wdrażając odpowiednie środki techniczne i organizacyjne.
8. Podmiot Przetwarzający zapewni, że osoby, które będą zaangażowane w czynności przetwarzania danych osobowych w ramach jego organizacji:
a) otrzymają pisemne upoważnienia do przetwarzania danych osobowych;
b) będą zaznajomione z obowiązującymi przepisami o ochronie danych osobowych (z uwzględnieniem ich ewentualnych zmian) oraz z odpowiedzialnością za ich nieprzestrzeganie;
c) będą dokonywały czynności przetwarzania danych osobowych wyłącznie na polecenie Administratora, z zastrzeżeniem ust. 2; oraz
d) zobowiążą się do bezterminowego zachowania w tajemnicy danych osobowych oraz stosowanych przez Podmiot Przetwarzający sposobów ich zabezpieczenia, o ile taki obowiązek nie wynika dla nich z odpowiednich przepisów.
9. Podmiot Przetwarzający prowadzi ewidencję udzielonych upoważnień do przetwarzania danych osobowych, o których mowa w ust. 8 lit. a).
§ 4
Dalsze powierzenia przetwarzania
1. Podmiot Przetwarzający ma prawo korzystać z podwykonawców przy przetwarzaniu danych osobowych (dalsze powierzenie przetwarzania), pod warunkiem, że przed powierzeniem podwykonawcy przetwarzania danych osobowych:
a) uzyska na to zgodę Administratora, wyrażoną w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej);
b) zawrze z podwykonawcą umowę powierzenia przetwarzania danych osobowych na warunkach nie gorszych niż warunki umowy;
c) upewni się, że podwykonawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom obowiązujących przepisów.
2. Jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków podwykonawcy.
3. Wykaz podwykonawców, z których Podmiot Przetwarzający korzysta w dniu zawarcia umowy, i co do których Administrator wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych, stanowi załącznik nr 2 do umowy.
§ 5
Bezpieczeństwo danych osobowych
1. Podmiot Przetwarzający stosuje środki techniczne i organizacyjne, odpowiednie do zagrożeń oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych, zapewniające bezpieczeństwo danych osobowych, w szczególności przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem.
2. Podmiot Przetwarzający zobowiązuje się stale monitorować stan stosowanych zabezpieczeń danych osobowych oraz występujących zagrożeń bezpieczeństwa, i w razie potrzeby aktualizuje stosowane środki techniczne i organizacyjne, tak, żeby zapewnić najwyższy osiągalny poziom ochrony danych osobowych.
3. Podmiot Przetwarzający, uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, ma obowiązek współdziałania z Administratorem w wywiązaniu się z obowiązków określonych w art. 32–36 RODO.
4. Podmiot Przetwarzający niezwłocznie zawiadamia Administratora, przed podjęciem jakichkolwiek działań, o każdym przypadku:
a) wystąpienia jakiegokolwiek organu z żądaniem udostępnienia danych osobowych, chyba że zakaz ujawnienia tej informacji wynika z obowiązujących przepisów;
b) wystąpienia przez osobę, której dane osobowe dotyczą, z żądaniem dotyczącym przetwarzania danych osobowych lub ich treści.
5. Podmiot Przetwarzający niezwłocznie – w każdym wypadku nie później niż w ciągu 36 godzin od wykrycia – informuje Administratora o wszelkich wykrytych naruszeniach bezpieczeństwa danych osobowych, przekazując Administratorowi wszelkie dostępne Podmiotowi Przetwarzającemu informacje na temat naruszenia, w szczególności:
a) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) możliwe konsekwencje naruszenia ochrony danych osobowych; oraz
d) środki zastosowane lub proponowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Jeżeli - i w zakresie, w jakim - informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
7. Podmiot Przetwarzający współdziała z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym Administratorowi naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Administratora środki mające na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych oraz środki naprawcze.
8. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeśli jego zdaniem wydane mu przez Administratora polecenie dotyczące przetwarzania danych osobowych stanowi naruszenie obowiązujących przepisów.
§ 6
Prawo do kontroli
1. Administrator ma prawo kontrolowania sposobu wypełniania przez Podmiot Przetwarzający jego obowiązków określonych w umowie lub w obowiązujących przepisach. W szczególności Administrator może żądać udostępnienia określonych informacji lub dokumentów oraz może przeprowadzać – samodzielnie lub przez upoważnionego przez Administratora pracownika lub współpracownika – audyty, w tym inspekcje w miejscu przetwarzania danych osobowych przez Podmiot Przetwarzający.
2. Podmiot Przetwarzający ma obowiązek współpracować z Administratorem lub upoważnionym przez Administratora pracownikiem lub współpracownikiem w czasie przeprowadzanej kontroli, w sposób umożliwiający Administratorowi weryfikację prawidłowej realizacji obowiązków Podmiotu Przetwarzającego.
§ 7
Rozwiązanie umowy
1. Umowa zostaje zawarta na czas określony do dnia rozwiązania lub wygaśnięcia ostatniej z umów łączących Strony, z których wynika konieczność przetwarzania danych osobowych przez Podmiot Przetwarzający.
2. W przypadku stwierdzenia naruszenia przez Podmiot Przetwarzający obowiązków wynikających z umowy, Administrator ma prawo rozwiązać wszystkie umowy zawarte z Podmiotem Przetwarzającym, z których wynika konieczność przetwarzania danych osobowych przez Podmiot Przetwarzający, ze skutkiem natychmiastowym.
3. Najpóźniej w dniu rozwiązania umowy Podmiot Przetwarzający ma obowiązek:
a) usunąć wszelkie dane osobowe; albo
b) zwrócić Administratorowi wszelkie nośniki zawierające dane osobowe oraz usunąć wszelkie istniejące kopie danych osobowych, chyba że obowiązujące przepisy wymagają od niego dalszego przechowywania części lub całości danych osobowych,
zależnie od wyboru Administratora, zakomunikowanego Podmiotowi Przetwarzającemu w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) co najmniej na 7 dni przed terminem rozwiązania Umowy.
4. W przypadku rozwiązania Umowy w trybie ust. 2 wybór Administratora będzie zakomunikowany Podmiotowi Przetwarzającemu w oświadczeniu o rozwiązaniu umowy ze skutkiem natychmiastowym.
5. Czynności wskazane w ust. 3 zostaną wykazane w pisemnym protokole, podpisanym przez przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w terminie 7 dni od dokonania wskazanych w nim czynności.
§ 8
Postanowienia końcowe
1. Podmiotowi Przetwarzającemu nie przysługuje wynagrodzenie za wykonywanie Umowy.
2. Umowa stanowi całość porozumienia pomiędzy Stronami i zastępuje w całości uprzednie lub równoczesne uzgodnienia poczynione przez Strony (w formie pisemnej lub ustnej) w przedmiocie regulowanym postanowieniami niniejszej Umowy.
3. Załączniki do Umowy stanowią jej integralną część.
4. Wszelkie spory między Stronami będą rozwiązywane na zasadzie polubownych negocjacji. W przypadku nieosiągnięcia przez Xxxxxx porozumienia, spór zostanie przekazany do rozstrzygnięcia sądowi powszechnemu właściwemu dla siedziby Administratora.
5. Wszelkie zmiany umowy wymagają formy pisemnej pod rygorem nieważności.
6. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.
Administrator: | Podmiot Przetwarzający: |
Załącznik nr 1 – Dane osobowe
Rodzaje danych osobowych (np. imię, nazwisko, adres, numer PESEL, numer telefonu, e-mail, adres IP, xxxx o stanie zdrowia) | |
Kategorie osób, których dane osobowe dotyczą (np. pracownicy, dostawcy, kontrahenci, klienci) | |
Zakres przetwarzania danych osobowych (czynności dokonywane na powierzonych danych osobowych, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, udostępnianie, zmienianie, usuwanie) | |
Charakter przetwarzania (np. systematyczny/sporadyczny) | Systematyczny |
Cel przetwarzania (np. wykonanie umowy z dnia…) | Realizacja umowy z dnia ………… 2023 r., której celem jest realizacja ……………………... |
Czas przetwarzania (np. okres obowiązywania umowy z dnia…) | Czas realizacja umowy z dnia 2023 r., której celem jest realizacja …………………….. |
Załącznik nr 2 – Podwykonawcy zatwierdzeni przez Administratora
Lp. | Nazwa | Adres | NIP |
1. | |||
2. | |||
3. |