Wzór Umowy nr …………………

Wzór Umowy nr …………………

(zwana dalej „Umową”) zawarta w dniu 2021 r. w Warszawie,

pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00–695 Warszawa), adres: xx. Xxxxxxxxxxx 00x, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U. z 2020 r. poz. 1861, ze zm.), posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, zwanym dalej: „Zamawiającym” lub „NCBR”, reprezentowanym przez:

………………………………….. – ………………………………………………., działającego/ą na podstawie upoważnienia nr ………….. z dnia r.

(kopia upoważnienia do wykonywania czynności zastrzeżonych dla Kierownika Zamawiającego stanowi

Załącznik nr 1 do Umowy)

a

………………………. zamieszkałą/zamieszkałym w……………………… (xx-xxx), przy ul. ,

posiadającą/posiadającym nr PESEL: , legitymującą/legitymującym się

dowodem osobistym serii: …. numer ….., wydanym przez: …………………., ważnym do:

…………………………, prowadzącą/prowadzącym działalność gospodarczą pod firmą

„…………………………………….”, przy ul. ………………………….., posiadającą/posiadającym

NIP: oraz REGON: , zwaną/zwanym dalej „Wykonawcą”,

lub

…………………………………… z siedzibą w ……………, adres: ul. …………….., 00-000

…………… wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: …………, posiadającą NIP: …………………. oraz REGON: ,

kapitał zakładowy w wysokości2: ……………………., opłacony w całości3, zwaną dalej

,,Wykonawcą”,

reprezentowaną przez: ……………………………….

(wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy stanowi Załącznik nr 2 do Umowy)

Pełnomocnicy i osoby upoważnione przez Strony oświadczają, że udzielone im pełnomocnictwa

/upoważnienia nie wygasły, ani nie zostały odwołane, a ich treść nie uległa zmianie.

Umowa została zawarta w wyniku postępowania o udzielenie zamówienia publicznego, przeprowadzonego przetargu w trybie podstawowego bez negocjacji na podstawie art. 275 pkt 1 ustawy

2 Wysokość kapitału zakładowego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej, sp. z o.o., oraz spółki akcyjnej.

3 Wysokość kapitału wpłaconego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej oraz spółki akcyjnej.

z dnia 11 września 2019 roku Prawo zamówień publicznych (t.j. Dz. U. z 2019 r. poz. 2019, ze zm.), dalej: „pzp.”

§ 1.

1. Wykonawca zobowiązuje się do weryfikacji standardowej oraz weryfikacji wraz z analizą pogłębioną, maksymalnie 200 (dwustu) iteracji weryfikacji wniosków o płatność, w tym wniosków o płatność końcową, rozliczających wydatki kwalifikowane poniesione przez beneficjentów projektów dotyczących III osi Priorytetowej Programu Operacyjnego Wiedza Edukacja Rozwój, w charakterze tzw. „pierwszej pary oczu”, niezależnie od konieczności wykonania do wniosku analizy pogłębionej oraz ilości wersji wniosków z danej iteracji weryfikacji złożonej przez beneficjenta, w terminie 60 (sześćdziesięciu) dni kalendarzowych od dnia przekazania zlecenia po podpisaniu Umowy (dalej: „Przedmiot Umowy”).

2. Zlecenie wszystkich wniosków nastąpi najpóźniej następnego dnia po podpisaniu Umowy. Przedmiot Umowy będzie realizowany w 2 (dwóch) etapach (dalej łącznie „Etapy”, a każdy z osobna „Etap”) tj.:

1) Etap I - w terminie 30 (trzydziestu) dni kalendarzowych od dnia przekazania zlecenia - 100 (sto) iteracji weryfikacji wniosków o płatność,

2) Etap II - w terminie 60 (sześćdziesięciu) dni kalendarzowych od dnia przekazania zlecenia – kolejne 100 (sto) iteracji weryfikacji wniosków o płatność.

3. Wykonawca zobowiązuje się do wykonania Przedmiotu Umowy zgodnie z wymaganiami określonymi w Umowie oraz Szczegółowym Opisie Przedmiotu Zamówienia (dalej: „SOPZ”), który stanowi Załącznik nr 3 do Umowy, przy dołożeniu należytej staranności uwzględniającej profesjonalny charakter prowadzonej przez Wykonawcę działalności oraz zgodnie z obowiązującymi przepisami prawa.

4. Zamawiający dopuszcza realizowanie Przedmiotu Umowy zdalnie przy wykorzystaniu dedykowanych systemów informatycznych (SL2014, SZOB, SOWA, zdefiniowanych w SOPZ). Zamawiający zapewni dostęp do ww. systemów, wszystkim osobom wskazanym przez Wykonawcę, które wykonywać będą Przedmiot Umowy.

5. Wszelkie uzgodnienia dotyczące realizacji Przedmiotu Umowy, nieujęte w Umowie, ustalane będą przez Strony w trybie roboczym, w formie elektronicznej, w wyniku wymiany wiadomości e-mail, poprzez adresy wskazane w § 10. ust. 1 Umowy lub poprzez funkcjonujące u Zamawiającego systemy teleinformatyczne, stosownie do zgłoszonego zapotrzebowania Zamawiającego.

6. Każdorazowo w terminie 10 (dziesięciu) dni kalendarzowych, od dnia przekazania dokumentów dotyczących danego Etapu realizacji Przedmiotu Umowy, Strony sporządzą Protokół odbioru danego Etapu („Protokół odbioru Etapu”). Odbioru Etapu dokona osoba, wyznaczona w § 10. ust. 1 Umowy.

7. Protokół odbioru Etapu ma zawierać min. oznaczenie NCBR i Wykonawcy; wskazanie Umowy; datę i miejsce jego sporządzenia; stwierdzenie należytego wykonania Umowy tj. listę wniosków o płatność, których weryfikacja została zakończona poprzez akceptację listy sprawdzającej do analizy pogłębionej (jeżeli dotyczy danego wniosku o płatność) i listy sprawdzającej do weryfikacji wniosku o płatność w charakterze „pierwszej pary oczu” albo określenie w jakim zakresie Przedmiot Umowy nie został wykonany lub został wykonany nienależycie wraz ze wskazaniem sposobu postępowania; podpisy osób upoważnionych do odbioru etapu usługi.

8. Zastrzeżenia do wykonania Etapu Przedmiotu Umowy Zamawiający zgłosi w Protokole odbioru Etapu, jeżeli stwierdzi, że Przedmiot Umowy w danym Etapie, wykonano w sposób niezgodny z Umową.

9. W przypadku stwierdzenia zastrzeżeń co do wykonania Usługi Wykonawca usunie wady i przekaże poprawioną dokumentację, w terminie 3 dni roboczych. Po uzupełnieniu dokumentów zostanie sporządzony Protokół odbioru Etapu. Potwierdzenie przez Xxxxxxxxxxxxx usunięcia przez Wykonawcę wad będzie stanowiło podstawę do sporządzenia Protokołu odbioru Etapu bez zastrzeżeń.

§ 2.

1. Sposób realizacji Przedmiotu Umowy, jego sprawdzenie, odbiór nastąpią zgodnie z uzgodnieniami, warunkami i terminami określonymi w SOPZ, który stanowi Załącznik nr 3 do Umowy oraz Umową.

2. W uzasadnionych przypadkach Zamawiający może dopuścić odstępstwa od terminów, o których mowa w § 1 ust. 2. Uzgodnienie przez Strony ewentualnej zmiany terminów odbywa się za pośrednictwem poczty elektronicznej lub dedykowanych systemów informatycznych, o których mowa w § 1. ust. 4 Umowy.

3. Wykonawca zobowiązuje się do zweryfikowania wszystkich przekazanych do oceny wniosków o płatność w charakterze „pierwszej pary oczu” lub pakietu wniosków o płatność dotyczących III osi Priorytetowej Programu Operacyjnego Wiedza Edukacja Rozwój wraz z analizą pogłębioną (o ile dotyczy danego wniosku/pakietu). W sytuacji wystąpienia okoliczności uniemożliwiających weryfikację Wykonawca jest zobowiązany zgłosić niezwłocznie taką informację Zamawiającemu elektronicznie na adres wskazany w §10. ust. 1 pkt 1 Umowy. Ostateczna decyzja o uznaniu, że zakończenie weryfikacji wniosku o płatność nie było możliwe należy do Zamawiającego.

4. Jeśli po upływie 60 (sześćdziesięciu) dni kalendarzowych od dnia przekazania zlecenia, Wnioskodawca z uwagi na brak kontaktu z beneficjentem lub zaistniałe opóźnienia po stronie beneficjenta w udzieleniu wyjaśnień/uzupełnień do wniosku w dalszym ciągu nie może zakończyć weryfikacji wniosku o płatność, wniosek ten zostanie warunkowo odebrany i rozliczony przez Zamawiającego oraz zostanie za niego dokonana zapłata w wysokości 50% kwoty jednostkowej za weryfikację o której mowa w §4. ust. 3 Umowy – niezależnie od wersji danego wniosku o płatność. gdy dwukrotnie wezwano lub ponaglono lub ustalono dodatkowy termin, nie przekraczający każdorazowo 7 (siedmiu) dni kalendarzowych, na przesłanie przez beneficjenta dodatkowych wyjaśnień lub uzupełnień do wniosku o płatność.

§ 3.

1. Wykonawca oświadcza, że dysponuje niezbędną wiedzą specjalistyczną i doświadczeniem oraz posiada kwalifikacje umożliwiające prawidłowe wykonanie Przedmiotu Umowy. Zamawiający bezpłatnie użycza Wykonawcy sprzęt komputerowy niezbędny do wykonania Przedmiotu Umowy (w ilości maksymalnej 20 sztuk) na czas realizacji Przedmiotu Umowy. Wykonawca odbierając sprzęt komputerowy zobowiązany będzie poświadczyć odbiór podpisaniem protokołu odbioru sprzętu komputerowego.

2. Wykonawca zobowiązuje się do pokrycia wszelkich strat spowodowanych zniszczeniem lub uszkodzeniem powierzonego mu przez Zamawiającego mienia, wskazanego w ust. 1 powyżej. Celem zabezpieczenia mienia w postaci sprzętu komputerowego, o którym mowa w ust. 1 Wykonawca wystawia weksel własny in blanco, którego wzór stanowi załącznik nr 5 do Umowy. Cena jednostkowa wydanego sprzętu wynosi 3 000 (trzy tysiące) złotych.

3. Wykonawca jest zobowiązany do zwrotu powierzonego mu sprzętu komputerowego, o którym mowa ust. 1 niniejszego paragrafu, w terminie 7 dni kalendarzowych od zakończenia realizacji Przedmiotu Umowy przez Wykonawcę. Zabezpieczenie wekslowe, o którym mowa w ust. 2 zostanie zwrócone Wykonawcy po stwierdzeniu przez Zamawiającego, że sprzęt komputerowy, o którym mowa w ust. 2, nie jest uszkodzony lub zniszczony. Okoliczność powyższa potwierdzona będzie podpisaniem protokołu odbiorczego sprzętu komputerowego, w którym odnotowana będzie informacja o zwrocie weksla Wykonawcy.

4. Wykonawca oświadcza, że nie są mu znane żadne przeszkody natury technicznej, prawnej ani finansowej, które mogą uniemożliwić wykonanie Umowy.

5. Wykonawca zapewni niezbędny personel do właściwego i terminowego wykonania Przedmiotu Umowy.

6. Wykonawca ponosi pełną i wyłączną odpowiedzialność za prawidłową realizację Usługi, w tym za wysokie kwalifikacje osób kierowanych do jej wykonania oraz dobór najlepszych środków i metod, mających na celu zagwarantowanie realizacji Przedmiotu Umowy wysokiej jakości.

7. Wykonawca ponosi pełną i wyłączną odpowiedzialność za nadzór nad osobami wyznaczonymi do realizacji Przedmiotu Umowy oraz dopełnienie wszelkich zobowiązań związanych z ich zatrudnieniem i wynagrodzeniem.

8. Do realizacji Przedmiotu Umowy Wykonawca wyznaczy co najmniej ………. osoby, zgodnie z złożonym wraz z ofertą „Wykazem osób w celu uzyskania punktów w ramach kryterium merytorycznego oceny ofert” stanowiącym Załącznik nr 4a do Umowy w tym:

1) … osób, z których każda posiada doświadczenie w weryfikacji co najmniej 40 (czterdziestu) wniosków o płatność w ramach Programu Operacyjnego Wiedza Edukacja Rozwój, przy czym każdy zweryfikowany wniosek powinien zwierać:

a. przygotowanie dokumentów dotyczących procesu weryfikacji wniosków o płatność;

b. wprowadzenie wyniku weryfikacji wniosku o płatność w systemie SL2014;

c. prowadzenie korespondencji z beneficjentem w zakresie weryfikowanego wniosku o płatność.

2) co najmniej 1 (jedną) osobę, która posiada uprawnienia spełniające wymogi określone w art. 286 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz. U. 2019 poz. 869 z póź. zm.). Osoba ta będą odpowiadać za kontrolę realizacji weryfikacji wniosków.

3) co najmniej 1 (jedną) osobę wyznaczoną do koordynacji wykonania Przedmiot Umowy. Osobą koordynującą może być również osoba wskazana w pkt 2.

9. Zmiana bądź dodanie kolejnych osób, które będą uczestniczyć w wykonywaniu Przedmiotu Umowy bez uprzedniej pisemnej zgody Zamawiającego jest niedopuszczalna. W przypadku, gdy z przyczyn obiektywnych, niezależnych od Wykonawcy, w szczególności z powodu choroby danej osoby uniemożliwiającej przeprowadzenie weryfikacji wniosków lub ujawnionego konfliktu interesów, wyniknie konieczność zmiany bądź dodanie kolejnej osoby, Wykonawca może zaproponować Zamawiającemu inną osobę, która będzie posiadała kwalifikacje, o których mowa w ust. 8. Zmiana składu bądź dodanie kolejnych osób nie wymaga sporządzenia aneksu do Umowy.

10. W przypadku konieczności zmiany bądź dodanie kolejnej osoby, która będzie uczestniczyć w wykonywaniu Przedmiotu Umowy Wykonawca zobligowany jest uprzednio wystąpić do Zamawiającego z pisemnym wnioskiem. Postanowienia ust. 8 dotyczące kwalifikacji osób, które będą uczestniczyć w wykonywaniu Przedmiotu Umowy stosuje się odpowiednio. Zastąpienie osoby, która będzie uczestniczyć w wykonywaniu Przedmiotu Umowy nie stanowi podstawy do

zwiększenia wynagrodzenia Wykonawcy z tytułu wykonania Umowy i nie wymaga sporządzenia

aneksu do Umowy.

11. Pisemny wniosek o zmianę osoby, które będą uczestniczyć w wykonywaniu Przedmiotu Umowy będzie zawierać opis doświadczenia zastępcy zgodny z wymaganiami wskazanymi w SIWZ a także uzasadnienie zmiany.

12. Zamawiający zaakceptuje, zgłosi uwagi lub odrzuci proponowaną zmianę bądź dodanie kolejnej osoby w terminie 2 (dwóch) dni kalendarzowych od dnia otrzymania od Wykonawcy wniosku, o którym mowa w ust. 10 powyżej.

13. Dodatkowo, Wykonawca jest zobowiązany dokonać zmiany osoby, która będzie uczestniczyć

w wykonywaniu Przedmiotu Umowy w następujących przypadkach:

1) niezaakceptowania przez Zamawiającego, z przyczyn merytorycznych, treści weryfikowanych dokumentów, sporządzonego x.xx. przez daną osobę,

2) nieujawnienia przez daną osobę konfliktu interesów w zakresie dotyczącym weryfikacji danego wniosku.

14. Wykonawca jest zobowiązany niezwłocznie poinformować Zamawiającego o zmianie osoby wyznaczonej do koordynacji, o której mowa w ust. 8 pkt 3 powyżej.

15. Wykonawca ponosi pełną i wyłączną odpowiedzialność za nadzór nad osobami wyznaczonymi do realizacji Przedmiotu Umowy oraz za dopełnienie wszelkich prawnych zobowiązań związanych z ich zatrudnieniem i wynagrodzeniem.

16. Wykonawca ponosi pełną i wyłączną odpowiedzialność za działania lub zaniechania osób wyznaczonych do realizacji Przedmiotu Umowy oraz za ogólną i techniczną kontrolę nad wykonaniem Przedmiotu Umowy.

17. Wykonawca zobowiązuje się wykonać weryfikacje wniosków i wszelkie prace związane z realizacją Przedmiotu Umowy terminowo, z zachowaniem należytej staranności, efektywnie oraz zgodnie z zasadami bezstronności i unikania konfliktu interesów, w tym także przez nieświadczenie usług doradztwa, szkolenia i pokrewnych, które w jakikolwiek sposób byłyby związane albo wynikały z Przedmiotu Umowy lub zawierały informacje pozyskane w ramach lub przy okazji realizacji niniejszej Umowy.

18. Wykonawca zobowiązuje się do niezwłocznego informowania Zamawiającego o trudnościach

w realizacji Umowy.

19. Wykonawca zobowiązany jest do stosowania się do regulaminów obowiązujących u Zamawiającego, w szczególności do regulamin ochrony informacji dla wykonawcy NCBR, stanowiącym Załącznik nr 10 do Umowy, oraz wyciągu z regulaminu Użytkownika Systemu Informatycznego Narodowego Centrum Badań i Rozwoju, który stanowi Załącznik nr 11 do Umowy.

§ 4.

1. Strony zgodnie ustalają, że maksymalna kwota wynagrodzenia należna Wykonawcy z tytułu należytego wykonania Umowy wynosi ……………………… (słownie: ) zł

netto, powiększone o należny podatek VAT, tj.………………… (słownie: ) zł brutto,

w ramach której wykonana zostanie weryfikacja maksymalnie 200 (dwustu) iteracji weryfikacji wniosków o płatność.

2. Strony zgodnie postanawiają, że kwota wskazana w ust. 1 stanowi maksymalną kwotę

wynagrodzenia należną Wykonawcy z tytułu należytego wykonania Przedmiotu Umowy i stanowi

górną granicę, do jakiej Zamawiający jest zobowiązany do zapłaty za wykonanie przez Wykonawcę zobowiązań wynikających z Umowy.

3. Ostateczna kwota wynagrodzenia przysługująca Wykonawcy zostanie określona według wzoru: iloczyn: liczby faktycznie odebranych i zaakceptowanych przez Zamawiającego list sprawdzających z weryfikacji w charakterze „pierwszej pary oczu” wniosków o płatność lub pakietu wniosków o płatność dotyczących III osi Priorytetowej Programu Operacyjnego Wiedza Edukacja Rozwój niezależnie od konieczności wykonania do wniosku analizy pogłębionej oraz ilości wersji wniosków z danej iteracji weryfikacji w tym wniosków o płatność końcową złożonej przez beneficjenta oraz kwotę jednostkową, która zgodnie z ofertą Wykonawcy stanowiącą Załącznik nr 4 do Umowy za

„weryfikację w charakterze „pierwszej pary oczu” w skład, której wchodzi: weryfikacja standardowa pojedyncza albo weryfikacja pogłębiona pojedyncza albo pakiet weryfikacji niezależnie od ilości wersji wniosków z danej iteracji weryfikacji złożonej przez beneficjenta” wynosi… zł

(słownie: ………..), tj. ………………… zł (słownie …………………) brutto, z zastrzeżeniem

§ 2. ust. 4.

4. Strony zgodnie postanawiają, że kwota wymieniona w ust. 3, jest całkowitą kwotą wynagrodzenia należną Wykonawcy z tytułu należytego wykonania Umowy oraz, że wynagrodzenie to pokrywa wszelkie koszty, jakie Wykonawca poniesie w związku z realizacją Umowy, w szczególności roszczenia z tytułu przeniesienia na Zamawiającego majątkowych praw autorskich do wszystkich mogących stanowić przedmiot prawa autorskiego wyników prac powstałych w związku z wykonaniem Umowy, o których mowa w § 5. Umowy oraz inne czynniki cenotwórcze związane z realizacją Przedmiotu Umowy. Za wartość wynagrodzenia z tytułu przeniesienia na Zamawiającego autorskich praw majątkowych do utworów, o których mowa w § 5. Umowy, Strony uznają wartość wynoszącą 2% kwoty wynagrodzenia za realizację Umowy.

5. Podstawę do wystawienia faktury VAT stanowić będzie podpisany przez Zamawiającego Protokół

odbioru końcowego bez zastrzeżeń, o którym mowa w § 6. ust. 1 Umowy.

6. Zapłata wynagrodzenia, nastąpi na podstawie prawidłowo wystawionej i doręczonej NCBR faktury VAT, w terminie do 30 (trzydziestu) dni kalendarzowych od dnia jej doręczenia NCBR albo odebrania przez NCBR przesłanej przez Wykonawcę ustrukturyzowanej faktury elektronicznej za pośrednictwem adresu e-mail: xxxxxxx@xxxx.xxx.xx lub Platformy Elektronicznego Fakturowania, z zastrzeżeniem art. 4 ustawy z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2020 r., poz. 1666, ze zm.), zawierającej prawidłowy numer rachunku bankowego, znajdujący się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych. Zapłata wynagrodzenia nastąpi przelewem na rachunek bankowy wskazany w ust. 14 niniejszego paragrafu.

7. Brak rachunku bankowego Wykonawcy, znajdującego się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych, uprawnia Zamawiającego do wstrzymania płatności z faktury do czasu spełnienia wymogów opisanych w zdaniu poprzednim, a termin płatności tej faktury ulega wydłużeniu o czas tego opóźnienia. W takim przypadku Wykonawcy nie przysługują odsetki za nieterminową płatność ani uprawnienie do wstrzymania lub braku realizacji obowiązków wynikających z Umowy.

8. W przypadku gdy termin zapłaty za fakturę przekroczyłby 30 (trzydzieści) dni kalendarzowych, liczonych od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury, Zamawiający zrealizuje płatność na rachunek wskazany przez Wykonawcę i złoży zawiadomienie o zapłacie należności na ten rachunek do naczelnika urzędu skarbowego właściwego dla Wykonawcy

w terminie 3 (trzech) dni od dnia zlecenia przelewu oraz poinformuje Wykonawcę drogą elektroniczną o płatności.

9. Wykonawca na fakturze, w której kwota należności ogółem stanowi kwotę, o której mowa w art. 19 pkt 2 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz.U. z 2019 r. poz. 1292, z późn zm.), obejmującą dokonaną na rzecz Zamawiającego dostawę towarów/świadczenie usług, o których mowa w załączniku nr 15 do ustawy o podatku od towarów i usług (Dz.U. z 2020 r. poz. 106 z późn zm.) umieści wyrazy „mechanizm podzielonej płatności” zgodnie z art. 106e ust. 1 pkt 18a ustawy o podatku od towarów i usług.

10. Nieprawidłowo wystawiona faktura nie będzie stanowiła podstawy do zapłaty wynagrodzenia i zostanie zwrócona Wykonawcy. W takim przypadku, termin zapłaty należnego Wykonawcy wynagrodzenia biegnie od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury.

11. Podstawą do wystawienia faktury w terminie 7 (siedmiu) dni kalendarzowych jest podpisany przez obie Strony Protokół odbioru końcowego, o którym mowa w § 6. Umowy, potwierdzający wykonanie Przedmiotu Umowy przez Wykonawcę, bez zastrzeżeń.

12. Za dzień zapłaty uważa się dzień wydania dyspozycji przelewu z rachunku bankowego NCBR.

13. Wynagrodzenie, o którym mowa w ust. 1, zaspokaja wszelkie roszczenia Wykonawcy wobec

Zamawiającego z tytułu wykonania Umowy.

14. Numer rachunku bankowego Wykonawcy: [… ].

§ 5.

1. Na podstawie Umowy, w ramach wynagrodzenia określonego w § 4. ust. 3 Umowy, Wykonawca przenosi na NCBR całość autorskich praw majątkowych do wszelkich utworów powstałych w wyniku realizacji Umowy (dalej jako „Utwór”), bez żadnych ograniczeń czasowych i terytorialnych, na wszelkich znanych w chwili zawarcia Umowy polach eksploatacji, w tym wskazanych w art. 50 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz. U. z 2019 r. poz. 1231, ze zm.), (dalej jako „ustawa o prawie autorskim”), a w szczególności w zakresie:

1) utrwalenia i zwielokrotniania – wytwarzanie dowolną techniką, w tym drukarską reprograficzną,

zapisu magnetycznego oraz techniką cyfrowa;

2) obrotu oryginałem lub egzemplarzami – wprowadzenie do obrotu, użyczenie, najem oryginału lub egzemplarzy Utworów;

3) wprowadzania do obrotu nośników zapisów wszelkiego rodzaju, w tym np. CD, DVD, Blue-ray, a także publikacji wydawniczych realizowanych na podstawie utworów powstałych w wyniku realizacji Umowy lub z ich wykorzystaniem;

4) wszelkiego rozpowszechniania, w tym wprowadzanie zapisów do pamięci komputerów i serwerów sieci komputerowych, w tym ogólnie dostępnych np. Internetu oraz udostępnianie ich użytkownikom takich sieci;

5) przekazywania lub przesyłania zapisów Utworów pomiędzy komputerami, serwerami i użytkownikami (korzystającymi), innymi odbiorcami, przy pomocy wszelkiego rodzaju środków i technik;

6) publicznego udostępniania, zarówno odpłatnie, jak i nieodpłatnie, w tym w trakcie prezentacji i konferencji oraz w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i w czasie przez siebie wybranym, w tym także w sieciach telekomunikacyjnych i komputerowych lub w związku ze świadczeniem usług telekomunikacyjnych, w tym również – z zastosowaniem w tym celu usług interaktywnych.

2. Wykonawca oświadcza, że:

1) wszelkie Utwory jakimi będzie się posługiwał w toku realizacji Umowy, a także powstałe w trakcie lub w wyniku realizacji Umowy, będą oryginalne, bez niedozwolonych zapożyczeń z utworów osób trzecich oraz nie będą naruszać praw przysługujących osobom trzecim, a w szczególności praw autorskich oraz dóbr osobistych tych osób;

2) w przypadku korzystania z cudzych utworów, nabędzie stosowne prawa (w tym autorskie prawa majątkowe lub prawa do korzystania z utworów – licencje) oraz wszelkie upoważnienia do wykonywania praw zależnych oraz zezwolenia na wykonywanie praw zależnych od osób, z którymi będzie współpracować przy realizacji Przedmiotu Umowy, a także uzyska od tych osób nieodwołalne, bezwarunkowe zezwolenia na wykonywanie praw zależnych oraz na wprowadzenie zmian do Utworów bez konieczności ich uzgadniania z osobami, którym mogłyby przysługiwać autorskie prawa osobiste. Wykonawca zapewnia, iż żaden z twórców Utworów nie wycofa, ani nie ograniczy w jakikolwiek sposób udzielonych NCBR praw, zgód i zezwoleń, o których mowa w zdaniu poprzedzającym. Wykonawca zapewnia, iż twórcy Utworów nie będą wykonywać przysługujących im osobistych praw autorskich do Utworów względem NCBR, jego następców prawnych oraz podmiotów, którym NCBR (następca prawny) udzieli licencji na korzystanie z Utworów lub w inny sposób udostępni lub umożliwi korzystanie z Utworów;

3) nie dokona rozporządzeń prawami, w tym autorskimi prawami majątkowymi do Utworów w zakresie, jaki uniemożliwiłby ich nabycie przez NCBR i dysponowanie na polach eksploatacji określonych w ust. 1;

4) do dnia przeniesienia autorskich praw majątkowych będzie wykonywał te prawa wyłącznie dla celów realizacji Przedmiotu Umowy;

5) Wykonawca zobowiązuje się do niewykonywania wobec NCBR, jego następców prawnych oraz podmiotów, którym NCBR (następca prawny) udzieli licencji na korzystanie z Utworów lub w inny sposób udostępni lub umożliwi korzystanie z Utworów, przysługujących mu osobistych praw autorskich do Utworów.

3. W przypadku, gdy do stworzenia Utworu będącego rezultatem Umowy, Wykonawca posłuży się cudzym utworem, Wykonawca przeniesie na NCBR autorskie prawa majątkowe lub udzieli mu sublicencji do tego utworu na polach eksploatacji określonych w ust. 1. Za przeniesienie praw lub udzielenie sublicencji Wykonawcy nie należy się dodatkowe wynagrodzenie.

4. Wykonawca upoważnia NCBR do rozporządzania oraz korzystania z utworów stanowiących opracowanie Utworu (wykonywanie zależnego prawa autorskiego), w zakresie wskazanym w ust. 1, z możliwością przenoszenia tego prawa na osoby trzecie bez zgody Wykonawcy oraz bez prawa domagania się dodatkowego wynagrodzenia. Ponadto, Wykonawca zezwala NCBR na dokonywanie zmian w Utworze bez konieczności uzyskiwania jego odrębnej zgody oraz bez prawa domagania się dodatkowego wynagrodzenia.

5. Przeniesienie praw autorskich nastąpi z chwilą wydania egzemplarza Utworu w przewidzianej formie, w szczególności w formie elektronicznej lub papierowej, w zależności od tego, co nastąpi pierwsze. Przeniesienie majątkowych praw autorskich powoduje przeniesienie na NCBR własności egzemplarzy Utworów oraz nośników na których zostały utrwalone.

6. Wykonawca zobowiązuje się do niepodnoszenia roszczeń, jakie przysługują mu z tytułu naruszenia praw osobistych. Jednocześnie, Wykonawca upoważnia NCBR do wykonywania praw osobistych przysługujących Wykonawcy. Wykonawca zapewnia, iż żaden z twórców (współtwórców) nie będzie podnosił względem NCBR, jego następców prawnych, ani innych podmiotów, którym NCBR udostępniło Utwór, jakichkolwiek roszczeń z tytułu naruszenia jego praw osobistych, w szczególności osobistych praw autorskich w związku z wykorzystaniem, rozpowszechnieniem, opracowaniem lub inną modyfikacją takich utworów.

7. W przypadku wystąpienia przeciwko NCBR przez osobę trzecią z roszczeniami wynikającymi z naruszenia jej praw, Wykonawca zobowiązuje się do ich zaspokojenia i zwolnienia NCBR od obowiązku świadczeń z tego tytułu.

8. W przypadku dochodzenia na drodze sądowej przez osoby trzecie roszczeń wynikających z powyższych tytułów przeciwko NCBR, Wykonawca zobowiązany jest do przystąpienia po stronie NCBR do postępowania i podjęcia wszelkich czynności w celu zwolnienia NCBR z udziału w postępowaniu.

9. W razie stwierdzenia nieprawdziwości oświadczeń lub zapewnień Wykonawcy zawartych w Umowie, lub też wad prawnych Utworu, NCBR będzie uprawnione do odstąpienia od Umowy w terminie do 30 (trzydziestu) dni kalendarzowych od dnia powzięcia informacji o powyższych okolicznościach oraz będzie miał prawo do naliczenia kary umownej, o której mowa w § 8. ust. 5 Umowy. W każdym wypadku, NCBR będzie także uprawnione do dochodzenia naprawienia szkody na zasadach ogólnych.

§ 6.

1. W terminie do 7 (siedmiu) dni roboczych od dnia podpisania drugiego Protokołu odbioru Etapu bez zastrzeżeń, osoby o których mowa w §10. ust. 1 Umowy, podpiszą końcowy protokół odbioru, zwany dalej „Protokołem odbioru końcowego.”

2. Protokół odbioru końcowego zawiera w szczególności:

1) oznaczenie NCBR i Wykonawcy;

2) wskazanie Umowy;

3) datę i miejsce jego sporządzenia;

4) stwierdzenie należytego wykonania Umowy tj. listę wniosków o płatność, których weryfikacja została zakończona poprzez akceptację listy sprawdzającej do Analizy pogłębionej (jeżeli dotyczy danego wniosku o płatność) i listy sprawdzającej do weryfikacji wniosku o płatność w charakterze

„pierwszej pary oczu” albo określenie w jakim zakresie Przedmiot Umowy nie został wykonany lub został wykonany nienależycie, w szczególności jakie wady i zastrzeżenia stwierdzono wraz ze wskazaniem sposobu postępowania;

5) podpisy osób upoważnionych do odbioru Przedmiotu Umowy.

3. Zastrzeżenia i wady, o których mowa w ust. 2 pkt 4, NCBR zgłosi w Protokole odbioru końcowego, jeżeli stwierdzi, że Przedmiot Umowy albo jego część wykonano w sposób niezgodny z Umową lub umówionym przez Strony.

4. W razie zgłoszenia zastrzeżeń lub wad w Protokole odbioru końcowego, NCBR pisemnie wyznaczy Wykonawcy stosowny termin, nie dłuższy jednak niż 7 (siedem) dni kalendarzowych, do usunięcia stwierdzonych Protokołem odbioru końcowego wad Przedmiotu Umowy. Termin, o którym mowa w zdaniu poprzedzającym, liczony będzie od dnia przekazania Protokołu odbioru końcowego z zastrzeżeniami na adres mailowy wskazany w § 10. ust. 1 pkt 2 Umowy. Wykonawca zobowiązuje się usunąć wady w wyznaczonym przez NCBR terminie, bez prawa do odrębnego wynagrodzenia z tego tytułu.

5. Stwierdzenie przez NCBR usunięcia przez Wykonawcę wad w wykonaniu Przedmiotu Umowy,

będzie stanowić podstawę do sporządzenia Protokołu odbioru końcowego bez zastrzeżeń.

6. W terminie do 30 (trzydziestu) dni kalendarzowych od dnia bezskutecznego upływu terminu wyznaczonego na podstawie ust. 4, NCBR może od Umowy odstąpić i ma prawo naliczyć Wykonawcy karę umowną określoną w § 8. ust. 5 Umowy.

7. Jeżeli NCBR, mimo zastrzeżeń zgłoszonych w Protokole odbioru końcowego, przyjmie Przedmiot Umowy, wówczas wynagrodzenie może ulec obniżeniu proporcjonalnie do zakresu wadliwości Przedmiotu Umowy.

8. Niezależnie od obniżenia wynagrodzenia w przypadku, o którym mowa w ust. 7, NCBR przysługuje

prawo do naliczenia kary umownej, określonej w § 8. ust. 2 Umowy.

9. Strony uzgadniają, że w razie uchylania się przez Wykonawcę od podpisania Protokołu odbioru końcowego w terminie określonym w ust. 1, NCBR może z upływem tego terminu od Umowy sporządzić jednostronny Protokół odbioru końcowego.

§ 7.

1. Wykonawca zobowiązuje się zachować w poufności wszelkie informacje techniczne, technologiczne, ekonomiczne, finansowe, handlowe, prawne, organizacyjne i inne dotyczące Zamawiającego, otrzymane od Zamawiającego w związku z realizacją Umowy, wyrażone w formie ustnej, pisemnej, za pomocą obrazu, rysunku, znaku, dźwięku albo zawarte w urządzeniu, przyrządzie lub innym przedmiocie, a także wyrażone w jakikolwiek inny sposób i przekazane Wykonawcy (zwane dalej: „Informacjami”).

2. Wykonawca zobowiązuje się nie kopiować, nie powielać, ani w jakikolwiek inny sposób nie rozpowszechniać Informacji lub ich części, za wyjątkiem przypadków, gdy jest to konieczne do realizacji celów ściśle związanych ze współpracą Stron wynikającą z postanowień Umowy oraz przypadków określonych w ust. 3- 5.

3. Wymogi zawarte w niniejszym paragrafie nie będą miały zastosowania do jakichkolwiek Informacji, które zostały opublikowane lub podane do publicznej wiadomości przed zawarciem Umowy.

4. W przypadku skierowania przez uprawniony organ żądania ujawnienia Informacji, Wykonawca dokona natychmiastowego powiadomienia Zamawiającego o wystąpieniu takiego żądania i jego okolicznościach towarzyszących.

5. Jeżeli ujawnienie Informacji jest konieczne z uwagi na obowiązujące przepisy prawa, Wykonawca ujawniający Informacje zobowiązuje się dołożyć wszelkich starań dla uzyskania wiarygodnego zapewnienia od podmiotu, któremu Informacje są ujawniane, że nie będą ujawniane dalej.

6. Wykonawca ponosi odpowiedzialność za przestrzeganie postanowień niniejszego paragrafu przez wszystkie osoby, którymi posługuje się przy wykonywaniu Umowy.

7. Zobowiązanie określone w niniejszym paragrafie pozostaje w mocy również po wygaśnięciu, rozwiązaniu lub odstąpieniu od Umowy, bezterminowo.

8. Strony wraz z zawarciem Umowy, zawrą umowę o zachowaniu poufności, której wzór stanowi

Załącznik nr 9 do Umowy.

9. Wykonawca zobowiązany jest bez wezwania trwale i nieodwracalnie usunąć ze wszystkich nośników, na jakich ją zapisał dokumentację, dotyczącą danego Etapu w terminie 10 dni roboczych liczonych od podpisania Protokołu odbioru danego Etapu, o którym mowa w § 1. ust. 6 Umowy.

§ 8.

1. W przypadku niewykonania Umowy lub Etapu, Zamawiający może naliczyć Wykonawcy karę umowną w wysokości 10% kwoty wynagrodzenia brutto, o którym mowa w § 4. ust. 1 Umowy.

2. W przypadku nienależytego wykonania weryfikacji, Zamawiający może naliczyć Wykonawcy karę umowną w wysokości 10% wynagrodzenia jednostkowego brutto, o którym mowa w § 4. ust. 3

Umowy należnego za wykonanie 1 (jednej) weryfikacji, za każdy przypadek wadliwie wykonanej weryfikacji, w szczególności w razie wad lub zastrzeżeń stwierdzonych w Protokole odbioru Etapu przez Zamawiającego.

3. W razie bezskutecznego upływu terminu wyznaczonego na podstawie § 6. ust. 4 Umowy (w takim przypadku nie ma zastosowania kara umowna, o której mowa w ust. 2) Zamawiający może naliczyć Wykonawcy karę umowną w wysokości 1% kwoty wynagrodzenia brutto, o którym mowa w § 4. ust. 1 Umowy.

4. Zamawiający ma prawo naliczyć Wykonawcy karę umowną w wysokości 1% wynagrodzenia jednostkowego brutto, o którym mowa w § 4. ust. 3 Umowy, należnego za wykonanie 1 (jednej) weryfikacji, za każdy rozpoczęty dzień zwłoki w stosunku do terminów realizacji weryfikacji wynikających z Umowy i SOPZ.

5. W przypadku odstąpienia od Umowy przez Zamawiającego z powodu okoliczności, za które odpowiedzialność ponosi Wykonawca tj. wskazanych w § 9. ust. 1 pkt 2-7, § 6. ust. 6 Umowy, Zamawiający ma prawo naliczyć Wykonawcy karę umowną w wysokości 10% kwoty wynagrodzenia brutto, o którym mowa w § 4. ust. 1 Umowy.

6. W przypadku naruszenia zasad poufności, o których mowa w § 7 Umowy lub zasad ochrony danych osobowych, o których mowa w § 12. Umowy, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w kwocie 20% wynagrodzenia brutto o którym mowa w § 4. ust. 1 Umowy.

7. Wykonawca wyraża zgodę na potrącanie przysługującego mu wynagrodzenia, obliczanej zgodnie z

§ 4. ust 3 Umowy, o wysokość naliczonych kar umownych, choćby którakolwiek z wierzytelności przedstawionych do potrącenia przez Zamawiającego była niewymagalna lub niezaskarżalna. W przypadku braku pokrycia nałożonych kar umownych w kwotach pozostałych do zapłaty, Wykonawca zobowiązuje się do uregulowania kary w terminie 14 (czternastu) dni kalendarzowych od dnia doręczenia mu noty obciążeniowej.

8. Zamawiający może nałożyć karę umowną za każde kolejne (więcej niż raz) zgłoszenie uwag lub zastrzeżeń do przekazanych przez Wykonawcę list sprawdzających weryfikacji wniosku o płatność w wysokości 10% wartości ustalonego wynagrodzenia jednostkowego brutto, o którym mowa w § 4. ust. 3 należnego za wykonanie 1 (jednej) weryfikacji.

9. Łączna maksymalna wysokość kar umownych, jaką Zamawiający może nałożyć na Wykonawcę nie

może przekroczyć 20% wartości brutto Umowy o którym mowa w § 4. ust. 1 Umowy.

10.Zamawiający może dochodzić odszkodowania uzupełniającego na zasadach ogólnych, jeżeli wysokość szkody poniesionej przez Zamawiającego będzie większa od naliczonych kar umownych.

11.Zapłata kar umownych nie zwalnia Wykonawcy od obowiązku wykonania Umowy.

§ 9.

1. Zamawiający może od Umowy odstąpić w przypadku:

1) wystąpienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy lub dalsze wykonanie Umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu – w terminie do 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

2) złożenia przez Wykonawcę, w toku postępowania o udzielenie zamówienia publicznego, którego dotyczy Umowa, oświadczeń niezgodnych z prawdą – w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

3) gdy Wykonawca wykonuje Przedmiot Umowy w sposób nienależyty albo sprzeczny z Umową– w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

4) gdy Wykonawca nie rozpoczął realizacji Umowy bez uzasadnionych przyczyn oraz nie podejmuje jej realizacji, pomimo wezwania go do tego przez Zamawiającego – w terminie do 30 (trzydziestu) kalendarzowych dni od dnia upływu terminu wyznaczonego w wezwaniu;

5) innych uchybień ze strony Wykonawcy dotyczących wykonywania Umowy, powodujących, że dalsze wykonywanie Umowy jest niemożliwe lub niecelowe – w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

6) gdy Wykonawca zleca wykonanie prac będących Przedmiotem Umowy innym podmiotom lub osobom niż zaakceptowanym przez Zamawiającego – w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

7) gdy Wykonawca nie realizuje Umowy w terminach, w których Umowa miała być realizowana – w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

8) wystąpienia niezależnych od którejkolwiek ze Stron okoliczności uniemożliwiających wykonanie Umowy lub jej części przez Wykonawcę – w terminie do 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach.

2. W przypadku odstąpienia od Umowy przez Zamawiającego, Wykonawca może żądać od Zamawiającego wyłącznie wynagrodzenia z tytułu należytego wykonania części Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy. Pomimo odstąpienia od Umowy, Zamawiający zachowuje prawa do rezultatu świadczenia zrealizowanego przez Wykonawcę na podstawie Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy. W przypadku, o którym mowa w niniejszym ustępie tj. gdy, pomimo odstąpienia od Umowy przez Zamawiającego, Wykonawca zachowuje prawo do wynagrodzenia z tytułu należytego wykonania części Przedmiotu Umowy i Zamawiający zachowuje prawa do rezultatu świadczenia zrealizowanego przez Wykonawcę na podstawie Umowy, odstąpienie od Umowy ma skutek na przyszłość tj. nie obejmuje Umowy w części, w której Przedmiot Umowy został należycie wykonany i Wykonawcy przysługuje z tego tytułu wynagrodzenie. W przypadku powstania wątpliwości, po odstąpieniu od Umowy przez Zamawiającego, Strony zgodnie podejmą działania, celem ustalenia zakresu świadczenia zrealizowanego przez Wykonawcę na podstawie Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy oraz wysokości wynagrodzenia przysługującego Wykonawcy w powyższym zakresie.

3. Odstąpienie od Umowy następuje w formie pisemnej pod rygorem nieważności.

4. Odstąpienie od Umowy nie powoduje odpowiedzialności odszkodowawczej Zamawiającego

w związku ze skróceniem okresu obowiązywania Umowy.

§ 10.

1. Strony postanawiają, że do kontaktów pomiędzy Stronami, do nadzoru, do podejmowania bieżących ustaleń związanych z realizacją Umowy oraz do podpisania Protokołu odbioru Etapu i Protokołu odbioru końcowego, wyznaczeni są:

1) ze strony Zamawiającego: ……….. tel. ……………. e-mail: ;

2) ze strony Wykonawcy: ……….. tel. ……………. e-mail: …………………………

2. Uznaje się, iż dotarcie informacji do osób wskazanych w ust. 1, jest poinformowaniem Stron Umowy. Strony zgodnie postanawiają, iż zmiana danych i osób, w tym rozszerzenia ilości osób

o których mowa w ust. 1, następuje w drodze powiadomienia drugiej Strony za pośrednictwem wiadomości e-mail i nie wymaga sporządzenia aneksu do Umowy.

§ 11.

1. Zważywszy, że Umowa zawierana jest w związku z wyborem oferty Wykonawcy w przeprowadzonym przez Zamawiającego postępowaniu o udzielenie zamówienia publicznego pt.

„Wsparcie procesu oceny wniosków standardowych oraz weryfikacja wraz z analizą pogłębioną, w charakterze tzw. „pierwszej pary oczu”, wniosków o płatność, w tym wniosków o płatność końcową, rozliczających wydatki kwalifikowane poniesione przez beneficjentów w ramach projektów POWER” przeprowadzonym przetargu w trybie podstawowym bez negocjacji zgodnie z art. 275 pkt 1 pzp, Strony przyjmują, iż, postanowienia Umowy interpretować należy z przyznaniem pierwszeństwa postanowieniom niniejszego paragrafu.

2. Wszelkie zmiany Umowy mowy są dokonywane przez umocowanych przedstawicieli Zamawiającego i Wykonawcy wymagają zachowania formy pisemnej, pod rygorem nieważności, z zastrzeżeniem § 3. ust. 10 oraz § 10. ust. 2 oraz § 14. ust. 11 Umowy.

3. W razie wątpliwości, przyjmuje się, że nie stanowią zmiany Umowy następujące zmiany:

1) danych związanych z obsługą administracyjno-organizacyjną Umowy;

2) danych teleadresowych;

3) danych rejestrowych;

4) będące następstwem sukcesji uniwersalnej po jednej ze stron Umowy,

5) załączników nr 6 oraz 7 do Umowy, których zmiana może nastąpić w formie dokumentowej,

6) załącznika nr 8 do Umowy, którego zmiana następuje zgodnie z trybem przyjętym w umowie podpowierzenia.

4. Zamawiający przewiduje możliwość zmiany postanowień Umowy w przypadkach gdy:

1) nastąpi zmiana powszechnie obowiązujących przepisów prawa w zakresie mającym wpływ na

realizację Przedmiotu Umowy;

2) konieczność wprowadzenia zmian będzie następstwem zmian wprowadzonych w umowach

pomiędzy Zamawiającym a inną niż Wykonawca stroną;

3) wynikną rozbieżności lub niejasności w Umowie, których nie można usunąć w inny sposób a zmiana będzie umożliwiać usunięcie rozbieżności i doprecyzowanie Umowy w celu jednoznacznej interpretacji jej zapisów przez Xxxxxx;

4) zmiana Umowy bez przeprowadzenia nowego postępowania o udzielenie zamówienia, których łączna wartość jest mniejsza niż progi unijne oraz jest niższa niż 10% wartości pierwotnej Umowy a zmiany te nie powodują zmiany ogólnego charakteru Umowy;

5) okoliczności związane z wystąpieniem COVID-19, wpływają na należyte wykonanie tej Umowy,

6) nastąpi zmiana w obszarze ochrony danych osobowych powierzanych w ramach realizacji Umowy.

§ 12.

1. Strony oświadczają, że przetwarzanie w zakresie udostępnionych im przez drugą Stronę Umowy danych osobowych dokonywane będzie przez każdą ze Stron jako administratora danych osobowych w celu realizacji Przedmiotu Umowy.

2. Dane osobowe przedstawicieli Stron wymienionych w § 10. ust. 1 udostępniane będą drugiej Stronie, która stanie się ich administratorem danych i przetwarzane będą przez nią w celu realizacji Umowy.

3. NCBR podaje, iż wszelkie informacje dotyczące przetwarzania jako Administratora Danych Osobowych znajdują się w Klauzuli informacyjnej o której mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) dalej jako: „RODO”, stanowiącą Załącznik nr 6 do Umowy.

4. W przypadku, gdy NCBR będzie przetwarzał w ramach realizacji niniejszej Umowy dane pracowników lub współpracowników Wykonawcy w tym osób wskazanych w § 10., a także podwykonawców, NCBR realizuje obowiązek informacyjny, o którym mowa w art. 14 RODO, poprzez Klauzulę stanowiącą Załącznik nr 7 do Umowy i zobowiązuje drugą Stronę Umowy do udostępnienia tejże informacji wskazanym osobom.

5. W zakresie niezbędnym do realizacji Umowy, Zamawiający powierza Wykonawcy przetwarzanie danych osobowych na warunkach określonych w zawartej między Stronami umowie powierzenia oraz dalszego powierzenia przetwarzania danych osobowych, która stanowi Załącznik nr 8 do Umowy.

§ 13.

Umowa zostaje zawarta na czas określony od dnia podpisania jej przez ostatnią ze Stron do czasu wykonania ostatniego obowiązku z niej wynikającego, nie później niż w terminie 122 (sto dwadzieścia dwa) dni kalendarzowe od dnia podpisania Umowy.

§ 14.

1. Wykonawca może korzystać w toku realizacji Umowy ze świadczeń podwykonawców wyłącznie

na zasadach opisanych w niniejszym paragrafie.

2. Wykonawca wykona Przedmiot Umowy przy udziale następujących podwykonawców:

1) [wskazanie firmy, danych kontaktowych, osób reprezentujących podwykonawcę]

          - w zakresie             ,

2) [wskazanie firmy, danych kontaktowych, osób reprezentujących podwykonawcę]

          - w zakresie             ,

3. Wykonawca zobowiązany jest do poinformowania Zamawiającego w formie pisemnej o każdej zmianie danych dotyczących podwykonawców, jak również o ewentualnych nowych podwykonawcach, którym zamierza powierzyć prace w ramach realizacji Umowy.

4. Informacja o zmianie danych dotyczących podwykonawców powinna zostać przekazana Zamawiającemu w terminie 2 (dwóch) dni roboczych od daty zmiany danych, w celu zachowania niezakłóconej współpracy.

5. Informacja o zamiarze powierzenia prac nowemu podwykonawcy powinna zostać przekazana Zamawiającemu nie później niż na 2 (dwóch) dni roboczych przed planowanym powierzeniem mu realizacji prac.

6. W przypadku niewykonania zobowiązania, o którym mowa w ust. 3 - 5 powyżej, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 1 000,00 zł (jeden tysiąc złotych) za każdy dzień zwłoki w przekazaniu informacji.

7. Wykonawca zapewnia, że podwykonawcy, z których świadczeń będzie korzystał w trakcie wykonywania Umowy będą podmiotami profesjonalnie świadczącymi zlecone im przez Wykonawcę zadania oraz posiadającymi wszelkie niezbędne kwalifikacje do wykonywania zleconych im przez Wykonawcę zadań.

8. Korzystając w ramach wykonywania Umowy ze świadczeń podwykonawców, Wykonawca zobowiązany jest nałożyć na takiego podwykonawcę obowiązek przestrzegania wszelkich zasad, reguł i zobowiązań określonych w Umowie, w zakresie, w jakim odnosić się one będą do zakresu prac danego podwykonawcy.

9. Wykonawca pozostaje gwarantem wykonywania i przestrzegania przez Podwykonawców wszelkich zasad, reguł i zobowiązań określonych w Umowie.

10. Jeżeli zmiana albo rezygnacja z podwykonawcy dotyczy podmiotu, na którego zasoby Wykonawca powoływał się, na zasadach określonych w art. 22a ust. 1 pzp, w celu wykazania spełniania warunków udziału w postępowaniu, Wykonawca jest obowiązany wykazać Zamawiającemu, że proponowany inny podwykonawca lub Wykonawca samodzielnie spełnia je w stopniu nie mniejszym niż podwykonawca, na którego zasoby wykonawca powoływał się w trakcie postępowania o udzielenie zamówienia.

11. Zmiany, o których mowa w niniejszym paragrafie nie wymagają aneksu.

12. Powierzenie wykonania części zamówienia podwykonawcom nie zwalnia Wykonawcy z odpowiedzialności za należyte wykonanie Umowy. Wykonawca odpowiada za działania lub zaniechania podwykonawców jak za działania własne.

13. Korzystanie ze świadczeń podwykonawców niezgodnie z postanowieniami niniejszego paragrafu traktowane będzie jako istotne naruszenie warunków Umowy oraz ważny powód wypowiedzenia Umowy lub przyczynę odstąpienia od Umowy przez Zamawiającego.

§ 15.

1. Wszelkie spory wynikłe w związku z realizacją Umowy, Strony będą się starały rozwiązać polubownie. W przypadku braku możliwości dojścia do porozumienia w sposób wskazany w zdaniu poprzedzającym, spory te będą rozpatrywane przez sąd powszechny miejscowo właściwy dla siedziby Zamawiającego.

2. Prawa i obowiązki oraz wierzytelności Wykonawcy wobec Zamawiającego wynikające z Umowy w całości ani w części nie mogą być przenoszone albo powierzone osobą trzecim, bez uprzedniej pisemnej zgody Zamawiającego.

3. Umowa zostaje zawarta z dniem podpisania jej przez ostatnią ze Stron.

4. Umowę sporządzono w 3 (trzech) jednobrzmiących egzemplarzach, 2 (dwa) egzemplarze dla Zamawiającego i 1 (jeden) egzemplarz dla Wykonawcy.

5. Integralną część Umowy stanowią następujące załączniki:

1) Załącznik nr 1 - kopia upoważnienia do wykonywania czynności zastrzeżonych dla Kierownika

Zamawiającego;

2) Załącznik nr 2 - wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy;

3) Załącznik nr 3 – SOPZ;

4) Załącznik nr 4 – oferta Wykonawcy;

5) Załącznik nr 4a – wykaz osób w celu uzyskania punktów w ramach kryterium merytorycznego oceny ofert;

6) Załącznik nr 5 – wzór weksla własnego;

7) Załącznik nr 6 – klauzula informacyjna z art. 13 RODO;

8) Załącznik nr 7 – klauzula informacyjna z art. 14 RODO;

9) Załącznik nr 8 – Umowa powierzenia oraz dalszego powierzenia przetwarzania danych osobowych;

10) Załącznik nr 9 – umowa o zachowaniu poufności informacji;

11) Załącznik nr 10 – regulamin ochrony informacji dla wykonawcy NCBR;

12) Załącznik nr 11 – regulamin Użytkownika Systemu Informatycznego Narodowego Centrum

Badań i Rozwoju.

Zamawiający Wykonawca

…………………………………… ……………………………………..

Załącznik nr 3 do Umowy

Szczegółowy Opis Przedmiotu Zamówienia (SOPZ)

Załącznik nr 5 do Umowy

Warszawa, dn. ……………………..

Weksel własny

na złotych.

Zapłacę za ten własny weksel na zlecenie Narodowego Centrum Badań i Rozwoju (NIP: 701-007-37- 77), sumę złotych.

Płatny w Warszawie

….…………………………………………….

..……………………………………………..

……………………………………………….

Załącznik 6 do Umowy

Klauzula Informacyjna – dotycząca zbierania danych osobowych bezpośrednio

od osoby, której dane dotyczą

Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej ogólne rozporządzenie o ochronie danych, „RODO”), informuję Panią/Pana, że:

1) administratorem danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej NCBR) z siedzibą w Xxxxxxxx 00-000, Xxxxxxxxxxx 00x;

2) z inspektorem ochrony danych (IOD) można się skontaktować poprzez e-mail: xxx@xxxx.xxx.xx;

3) dane osobowe są przetwarzane w celu zawarcia i realizacji umowy z dnia…………....

nr …………… zawartej pomiędzy NCBR a Wykonawcą, to jest ;

4) dane osobowe są przetwarzane z uwagi na zawartą powyżej umowę, a przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO), a NCBR jest umocnowane do przetwarzania Pani/Pana danych osobowych na mocy ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U. z 2020 r. poz. 1861 z późn. zm.) i określonych tamże zadań NCBR;

5) dane osobowe będą przetwarzane w okresie realizacji Umowy, a następnie w celu archiwalnym przez okres zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;

6) podanie danych osobowych stanowi warunek zawarcia umowy wskazanej powyżej;

7) odbiorcami danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;

8) przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia sprzeciwu wobec przetwarzania dotyczących Pani/Pana danych osobowych. W sprawie realizacji praw można kontaktować się z inspektorem ochrony danych pod adresem mailowym udostępnionym w pkt 2 powyżej;

9) przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub do innego organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia;

10) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;

11) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

Załącznik 7 do Umowy

Klauzula informacyjna – dotycząca zbierania danych osobowych niebezpośrednio

od osoby, której dane dotyczą

Zgodnie z art. 14 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej ogólne rozporządzenie o ochronie danych, „RODO”), informuję Panią/Pana, że:

1) administratorem danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej NCBR) z siedzibą w Xxxxxxxx 00-000, Xxxxxxxxxxx 00x;

2) dane osobowe zostały pozyskane od (Wykonawcy);

3) z inspektorem ochrony danych (IOD) można się skontaktować poprzez adres e-mail – xxx@xxxx.xxx.xx;

4) NCBR bedzie przetwarzała następujące kategorie Pani/Pana danych osobowych: imię i nazwisko, adres e-mailowy, numer telefonu, stanowisko, miejsce zatrudnienia;

5) dane osobowe są przetwarzane w celu zawarcia i realizacji umowy z dnia

........................nr ....................... zawartej pomiędzy NCBR a Wykonawcą ;

6) dane osobowe są przetwarzane z uwagi na wskazaną powyżej umowę, a przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO), a NCBR jest umocowane do przetwarzania Pani/Pana danych osobowych na mocy ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U. z 2020 r. poz. 1861 z późn. zm.) i określonych tamże zadań NCBR;

7) dane osobowe będą przetwarzane w okresie realizacji Umowy, a następnie w celu archiwalnym przez okres zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;

8) odbiorcami danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;

9) przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia sprzeciwu wobec przetwarzania dotyczących Pani/Pana danych osobowych. W sprawie realizacji praw można kontaktować się z inspektorem ochrony danych pod adresem mailowym udostępnionym w pkt 3 powyżej;

10) przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub do innego organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia;

11) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;

12) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

Załącznik nr 8 do Umowy

Umowa powierzenia oraz dalszego powierzenia przetwarzania danych osobowych nr

………………..

Zawarta w dniu w Warszawie pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Xxxxxxxxx (00-000 Xxxxxxxx), adres: xx. Xxxxxxxxxxx 00x, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (Dz. U. z 2020 roku poz. 1861, z późń. zm.), posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, zwanym dalej „Administratorem” lub „NCBR” reprezentowanym przez:

………………………………….. – ………………………………………………., działającego/ą na podstawie upoważnienia nr ………….. z dnia r.

a

………………………. zamieszkałą/zamieszkałym w……………………… (xx-xxx), przy ul. ,

posiadającą/posiadającym nr PESEL: ………………………………., legitymującą/legitymującym się dowodem osobistym serii: …. numer ….., wydanym przez: …………………., ważnym do:

…………………………, prowadzącą/prowadzącym działalność gospodarczą pod firmą

„…………………………………….”, przy ul. ,

posiadającą/posiadającym NIP: ………………….. oraz REGON: ,

zwaną/zwanym dalej „Wykonawcą”,

lub

…………………………………… z siedzibą w ……………, adres: ul. …………….., 00-000

…………… wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: …………, posiadającą NIP: …………………. oraz REGON:

…………………., kapitał zakładowy w wysokości4: ……………………., opłacony w całości5, zwaną dalej ,,Wykonawcą”,

reprezentowaną przez: ……………………………….

zwanymi dalej „Podmiotem przetwarzającym” zwane dalej łącznie „Stronami” a osobno „Stroną”. Strony ustalają:

1) mając na uwadze fakt, iż Strony zawarły umowę nr [   ] z dnia [   ] w przedmiocie usługi weryfikacji standardowej, oraz weryfikacji wraz z analizą pogłębioną wraz z przygotowaniem listy sprawdzającej do analizy pogłębionej, w charakterze tzw. „pierwszej pary oczu”, wniosków o płatność rozliczających wydatki kwalifikowane przez beneficjentów w ramach projektów POWER dalej („Umowa główna”), nazwa Wykonawcy będzie przetwarzać dane osobowe podmiotów powierzonych mu przez NCBR;

2) w celu realizacji Umowy głównej …………………..(nazwa Wykonawcy) będą/będzie przetwarzać dane osobowe powierzone jej/jemu przez NCBR, wobec których NCBR pełni rolę

4 Wysokość kapitału zakładowego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej, sp. z o.o., oraz spółki akcyjnej.

5 Wysokość kapitału wpłaconego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej oraz spółki akcyjnej.

Administratora Danych Osobowych, lub wobec których NCBR pełni role podmiotu przetwarzającego na podstawie różnych podstaw prawnych i w odniesieniu do różnych źródeł pochodzenia danych osobowych opisanych poniżej;

3) NCBR występuje w roli Administratora Danych Osobowych w ramach:

a. rejestracji konta i wymaganym do rejestracji konta i w celu utrzymania oraz rozwoju systemu LSI w celu utrzymania oraz rozwoju systemu LSI,

b. wszelkich własnych baz danych ekspertów,

c. danych pracowników oraz współpracowników NCBR,

d. wszelkich niewymienionych w pozostałych punktach Umowy danych NCBR w przypadku wątpliwości co do roli jaką pełni w odniesieniu do danych osobowych osoby, której dane dotyczą- domyślnie dla zapewnienia najwyższego stopnia ochrony przetwarzania danych identyfikuje się jako Administrator Danych Osobowych;

4) NCBR występuje w roli Podmiotu Przetwarzającego w ramach danych wnioskodawców, beneficjentów Programu Operacyjnego Wiedza Edukacja Rozwój (dalej jako „POWER”) i ich partnerów oraz pracowników, uczestników projektów, osób, których dane są przetwarzane w związku z badaniem kwalifikowalności środków w projekcie, w tym w szczególności personelu projektu dla których administratorem danych osobowych jest Minister Finansów, Funduszy i Polityki Regionalnej, z siedzibą w Xxxxxxxxx 00-000, Xxxxxxx 0/0. Minister jako administrator danych osobowych powierzył NCBR przetwarzanie określonych danych osobowych w związku z realizacją POWER na warunkach i w celach określonych w stosownym porozumieniu oraz umocował NCBR do dalszego powierzenia powierzonych danych;

5) NCBR oświadcza, iż spełnił wszelkie warunki dla dalszego przetwarzania danych osobowych i jest uprawniony do dalszego ich powierzenia… (nazwa Wykonawcy),

6) dla przejrzystej systematyki niniejszej umowy NCBR przy uwzględnieniu różnych ról w odniesieniu do charakteru podmiotu w jakim występuje wobec osób, których dane są przetwarzane (punkty 3-4 Preambuły) oraz z uwagi na proces powierzenia przetwarzania danych osobowych nazywany będzie w dalszej części każdorazowo Administratorem, a………..

(nazwa Wykonawcy) Podmiotem przetwarzającym.

§ 1

1. Przedmiotem przetwarzania są następujące wszystkie kategorie (rodzaje) danych osobowych: wskazane w pkt 1 preambuły Umowy, nazwiska i imiona, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, numer REGON, miejsce pracy, zawód, wykształcenie, numer telefonu, numer konta bankowego, e-mail, dane dotyczące zawartych umów, dane dotyczące otrzymywanych świadczeń, dane z kart RFID w tym dane dotyczące wizerunku, dane dotyczące miejsca świadczenia pracy, dane dotyczące wykonywanych delegacji, dane dotyczące dysponowania określonym sprzętem, sytuacja finansowa, stan cywilny, sytuacja rodzinna, pełnione funkcje, doświadczenie zawodowe, informacje dotyczące zalegania z należnościami publicznymi, wzór podpisu oraz inne dane podane przez osoby, których dane są powierzane.

2. Przekazywane na podstawie niniejszej Umowy dane osobowe dotyczą następujących kategorii osób: beneficjenci, wnioskodawcy, personel projektu, pracownicy, współpracownicy, kontrahenci, współwłaściciele ruchomości oraz nieruchomości, osoby wskazywane w ramach ustanawianych zabezpieczeń, urzędnicy, przedstawiciele organów, członkowie rodzin, beneficjenci ostateczni, beneficjenci rzeczowi, interesanci, wnioskodawcy, wnoszący skargi, reprezentanci, spadkobiercy oraz podmioty współpracujące na podstawie innych postaw prawnych z wymienionymi w niniejszym ustępie.

3. Przetwarzanie danych osobowych przez Podmiot przetwarzający na podstawie niniejszej Umowy odbywa się wyłącznie w celu realizacji Umowy głównej na polecenie Administratora.

4. Przetwarzanie danych osobowych w ramach niniejszej Umowy odnosi się do następujących kategorii przetwarzań wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, odpowiednio do zakresu współpracy z podmiotem przetwarzającym takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie – jakim kategoriom odbiorców, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

5. Umowa niniejsza jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz powiązanymi z nim powszechnie obowiązującymi przepisami prawa polskiego.

6. Dane osobowe przetwarzane są w celu realizacji Umowy głównej. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzanych mu danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej.

§ 2

1. Podmiot przetwarzający oświadcza, że zapewnia:

a. wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą,

b. dysponuje odpowiednimi środkami technicznymi i organizacyjnymi dla zapewnienia spełnienia wymogów oraz zapewnienia ochrony praw osób, których dotyczą dane osobowe, przekazywane na podstawie niniejszej umowy, zgodnie z właściwymi przepisami krajowymi, a także przyjętą przez Podmiot przetwarzający dokumentacją ochrony danych.

2. W celu prawidłowej realizacji Umowy głównej, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w odniesieniu do rodzajów danych oraz kategorii osób, o których mowa w § 1 niniejszej Umowy.

§ 3

1. Podmiot przetwarzający zobowiązuje się niniejszym:

a) przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa oraz zasadami ochrony określonymi w niniejszej Umowie;

b) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim wypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający zobowiązany jest poinformować Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny;

c) niezwłocznie informować Administratora, jeżeli zdaniem Podmiotu przetwarzającego, wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii Europejskiej lub przepisów krajowych o ochronie danych osobowych.

d) dopuścić do przetwarzania danych osobowych wyłącznie osoby posiadające upoważnienie nadane przez Podmiot przetwarzający zgodnie z załącznikiem nr 2 i 3 do Umowy lub w zakresie minimalnym wynikającym z treści załączników 2 i 3 do umowy oraz zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania nieograniczonej w czasie tajemnicy, a także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych;

e) niezwłocznie informować Administratora o obowiązku prawnym udostępnienia danych osobowych, chyba że powszechnie obowiązujące przepisy zabraniają udzielenia takiej informacji z uwagi na ważny interes publiczny;

f) podejmować wszelkie środki techniczne i organizacyjne wymagane na mocy Artykułu 32 RODO, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, w szczególności:

• pseudonimizację lub szyfrowanie danych osobowych,

• zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania danych osobowych,

• zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;

g) przestrzegać warunków korzystania z usług innego Podmiotu przetwarzającego, o których mowa w Artykule 28 ust. 2 i 4 RODO, z zastrzeżeniem § 4 poniżej;

h) uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w Artykułach 32 – 36 RODO;

i) niezwłocznie informować Administratora o tym, że osoba której dane osobowych dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonania praw, o których mowa w rozdziale III RODO, jak również udostępniać treść tej korespondencji;

j) udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Artykule 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji i przyczyniania się do nich;

k) po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi – w zależności od decyzji Administratora - wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć ich istniejące kopie, chyba że przepisy prawa powszechnego nakazują przechowywanie tych danych.

§ 4

1. Strony zgodnie postanawiają, że powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający podmiotowi trzeciemu (dalszemu przetwarzającemu) jest dopuszczalne wyłącznie po uzyskaniu pisemnej zgody Administratora w odniesieniu do konkretnego dalszego przetwarzającego, której wzór stanowi załącznik nr 1 do umowy.

2. W przypadku opisanym w ust. 1 Podmiot przetwarzający zobligowany będzie do umownego zobowiązania w formie pisemnej, każdego z dalszych przetwarzających do przestrzegania takich samych obowiązków i zasad, jakie dotyczą Podmiotu przetwarzającego względem Administratora na podstawie niniejszej umowy oraz przepisów RODO, a także innych odnośnych przepisów dotyczących ochrony danych osobowych.

3. Podmiot przetwarzający w razie skorzystania z usług dalszego przetwarzającego zobowiązuje się nadto zapewnić, by przetwarzanie danych przez ten podmiot odbywało się wyłącznie w celu i w zakresie opisanym w niniejszej Umowie.

§ 5

1. Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania, na zasadach, o których mowa w Artykule 30 ust. 2 RODO, który zawierać będzie informacje określone w lit. a – d Artykułu 30 ust. 2 RODO.

2. Podmiot przetwarzający w przypadkach, o których mowa w Artykule 37 ust. 1 RODO zobligowany będzie do wyznaczenia inspektora ochrony danych. O fakcie wyznaczenia inspektora ochrony danych Podmiot przetwarzający powiadomi Administratora, wskazując dane kontaktowe inspektora.

3. Podmiot przetwarzający zobowiązuje się do udzielania Administratorowi na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych, a w szczególności do niezwłocznego informowania o każdym przypadku naruszenia w zakresie ochrony danych osobowych.

4. Podmiot przetwarzający zobowiązany jest do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Podmiot przetwarzający zobowiązany jest do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie Administratora. Podmiot przetwarzający zobowiązany jest do udzielenia odpowiedzi w terminie 3 dni od przesłania przez Administratora żądania w tym zakresie.

5. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż 24 godziny od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Administratorowi wskazując w zgłoszeniu:

- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można pozyskać informacje,

• opis możliwych konsekwencji naruszenia ochrony danych osobowych,

• opis środków zastosowanych lub proponowanych przez podmiot przetwarzający w celu zapobieżenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

6. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy: xxx@xxxx.xxx.xx .

7. Jeżeli informacji, o których mowa w ust. 5 powyżej, nie da się ustalić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.

8. Do czasu przekazania Podmiotowi przetwarzającemu instrukcji postępowania w związku

z naruszeniem ochrony danych osobowych, Podmiot przetwarzający podejmuje bez zbędnej

zwłoki wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

9. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych osobowych powierzonych mu przez Administratora, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację na żądanie Administratora.

10. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania i zaniechanie.

11. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał niezgodnie ze zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

12. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio dalszy przetwarzający w stosunku do Administratora.

13. W razie stwierdzenia przez Administratora istnienia po stronie Podmiotu przetwarzającego uchybień w zakresie realizacji niniejszej Umowy prowadzących do naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych, Administrator uprawniony będzie do:

a) żądania niezwłocznego usunięcia uchybień;

b) rozwiązania niniejszej umowy bez zachowania okresu wypowiedzenia.

14. Podjęcie przez Administratora, którejkolwiek z czynności opisanych w §5 ust. 13 jest równoznaczne z uznaniem, iż Wykonawca wykonuje Przedmiot Umowy głównej w sposób nienależyty albo sprzeczny z Umową główną i uprawnia Administratora do skorzystania z uprawnień wynikających z tego a wskazanych w Umowie głównej

15. W przypadku, gdy Administrator zapłaci odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Podmiotu przetwarzającego zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.

16. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.

§ 6

1. Strony zgodnie postanawiają, że Administrator uprawniony będzie do dokonywania kontroli prawidłowości warunków przetwarzania powierzonych na podstawie niniejszej Umowy danych osobowych przez Podmiot przetwarzający, a Podmiot przetwarzający zobligowany będzie do współdziałania z Administratorem w celu realizacji powyższego zobowiązania w możliwe szerokim zakresie, tj. w szczególności udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przyjętych obowiązków oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji.

2. Termin przeprowadzenia kontroli, o której mowa w ust. 1 zostanie ustalony z Podmiotem przetwarzającym, jednak kontrola nie może odbyć się później niż 5 dni roboczych od przekazania Podmiotowi przetwarzającemu pisemnej informacji.

3. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 dni roboczych od dnia otrzymania wniosku.

4. Po przeprowadzonym audycie przedstawiciel Administratora lub upoważniony przez Administratora przedstawiciel audytora, sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

5. Administrator ma prawo żądania od Podmiotu przetwarzającego składania pisemnych

wyjaśnień dotyczących realizacji niniejszej Umowy.

6. Podmiot przetwarzający zobowiązany jest zapewnić w umowie z dalszym przetwarzającym, możliwość przeprowadzenia przez Podmiot przetwarzający audytu zgodności przetwarzania danych osobowych na zasadach określonych w niniejszej Umowie.

7. Koszty przeprowadzenia audytu ponosi podmiot, który zlecił przeprowadzenia audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.

§ 7

1. Zgodnie z art. 28 ust. 3 lit. e RODO, biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

2. Podmiot przetwarzający zobowiązany jest do wsparcia Administratora w zakresie realizacji

następujących praw podmiotów danych:

a. Obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO,

b. Prawa dostępu do danych osobowych,

c. Prawa do sprostowania danych osobowych,

d. Prawa do usunięcia danych osobowych,

e. Prawa do ograniczenia przetwarzania,

f. Obowiązku informowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,

g. Prawa do przenoszenia danych osobowych,

h. Prawa do sprzeciwu,

i. Kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych, w tym profilowaniu.

3. W przypadku otrzymania żądania od Administratora w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w ust. 2 Podmiot przetwarzający w terminie 5 dni od otrzymania żądania poinformuje Administratora o wykonaniu żądania.

4. Jeżeli Podmiot przetwarzający nie jest w stanie zrealizować żądania, o którym mowa w ust. 2, jest on zobowiązany do przygotowania i przekazania wyjaśnień opisujących przyczyny, dla których nie zrealizował żądania Administratora.

§ 8

Powierzenie przetwarzania trwa przez czas obowiązywania Umowy głównej.

§ 9

1. Zmiana niniejszej Umowy nastąpić może wyłącznie w formie pisemnej pod rygorem

nieważności.

2. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają odpowiednio przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.

3. Podmiot przetwarzający nie może przenieść praw i obowiązków wynikających z niniejszej umowy bez pisemnej zgody Administratora.

4. Podmiot przetwarzający oświadcza, że znane są mu sankcje przewidziane za naruszenie obowiązków w zakresie ochrony danych osobowych przewidziane w RODO. Jeżeli w wyniku naruszenia przez Xxxxxxx przetwarzający przepisów RODO oraz niniejszej Umowy Administrator zobligowany będzie do zapłaty kary pieniężnej lub odszkodowania, Podmiot przetwarzający zobowiązuje się zwrócić Administratorowi wszelkie poniesione z tego tytułu koszty i wydatki.

5. Umowa została sporządzona w ……egzemplarzach tj. …. dla Zamawiającego oraz …. dla Wykonawcy

6. Integralną część Umowy stanowią załącznik:

1) Załącznik nr - 1: Wzór zgody,

2) Załącznik nr – 2: wzór upoważnienia do przetwarzania danych,

3) Załącznik nr – 3: wzór odwołania upoważnienia.

……………………………… ………………………… Administrator Podmiot przetwarzający

Załącznik nr 1 Umowy powierzenia oraz dalszego powierzenia przetwarzania danych osobowych

Pisemna zgoda administratora danych na korzystanie przez podmiot przetwarzający

z usług dalszych przetwarzających

Działając w imieniu administratora danych, zgodnie z § 4 ust. 1 Umowy nr … z dnia …, niniejszym wyrażam zgodę na korzystanie przez podmiot przetwarzający z usług dalszych przetwarzających na podstawie ww. Umowy.

W imieniu administratora danych

………………………………………. podpis, data

Załącznik nr 2 do Umowy powierzenia oraz dalszego powierzenia przetwarzania danych osobowych

UPOWAŻNIENIE NR .....

do przetwarzania powierzonych do przetwarzania danych osobowych

Z dniem r. na podstawie art. 29 w zw. z art. 28 rozporządzenia

Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), upoważniam Pana/Panią*

...............................................................................w zakresie wykonywania Pani/Pana obowiązków do przetwarzania danych osobowych powierzonych do przetwarzania zgodnie z Umową powierzenia oraz dalszego powierzenia przetwarzania danych osobowych z dnia ………….

Upoważnienie wygasa z chwilą (ustania Pana/Pani* zatrudnienia w /zaprzestania

wykonywania przez Pana/Panią* zadań na podstawie stosunku cywilnoprawnego)* lub z chwilą jego

odwołania.

(pieczątka i podpis osoby upoważnionej do wydania

upoważnienia)

Oświadczam, że zapoznałem/am się z przepisami dotyczącymi ochrony danych osobowych, w tym z RODO i zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w tych dokumentach.

Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczania, zarówno w okresie zatrudnienia w /wykonywania

zadań na podstawie stosunku cywilnoprawnego*, jak też po jego ustaniu lub odwołaniu upoważnienia.

(czytelny podpis osoby upoważnionej)

Upoważnienie otrzymałem/am

(miejscowość, data, podpis)

*niepotrzebne skreślić

Załącznik nr 3 do Umowy powierzenia oraz dalszego powierzenia przetwarzania danych osobowych

ODWOŁANIE UPOWAŻNIENIA Nr..............

do przetwarzania powierzonych do przetwarzania danych osobowych

Z dniem r.; na podstawie art. 29 rozporządzenia Parlamentu

Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), odwołuję upoważnienie Pana/Pani*

...............................................................................do przetwarzania danych osobowych wydane w dniu

...............................................................................r.

Czytelny podpis osoby upoważnionej do odwołania upoważnienia.

* niepotrzebne skreślić

Załącznik nr 9 do Umowy

UMOWA O ZACHOWANIU POUFNOŚCI INFORMACJI

(zwana dalej „Umową”)

zawarta w dniu […] w […] pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Xxxxxxxxx (00-000 Xxxxxxxx), adres: xx. Xxxxxxxxxxx 00x, działającym na podstawie ustawy z dnia 30 kwietnia 2010 roku o Narodowym Centrum Badań i Rozwoju posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, zwanym dalej

„NCBR” lub „Stroną ujawniającą” reprezentowanym przez:

……………………………………………… a

Panią/Panem ………………………. zamieszkałą/zamieszkałym w… (…-…),

przy ul. …….., posiadającą/posiadającym PESEL: ,

legitymującą/legitymującym się dowodem osobistym serii: …. numer ….., wydanym przez:

…………………., ważnym do: …………………………, prowadzącą/prowadzącym działalność gospodarczą pod firmą „…………………………………….”, przy ul. ,

posiadającą/posiadającym NIP: ………………….. oraz REGON: ,

zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”

(wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Odbiorcy stanowi Załącznik

nr 1 do Umowy) lub

………………………………… z siedzibą w ……………, adres: ul. …………….., (…-…) wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w

………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS:

…………, posiadającą NIP: …………………. oraz REGON: , kapitał zakładowy w

wysokości: , opłacony w całości, zwanym dalej „Odbiorcą Informacji Poufnych”

lub „Odbiorcą”, reprezentowanym przez:

Panią/a ………………………………………

(wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Odbiorcy stanowi Załącznik nr 1 do Umowy)

zwanymi dalej łącznie „Stronami” a pojedynczo „Stroną”.

Preambuła

Zważywszy, że celem Stron jest uregulowanie wzajemnych stosunków w zakresie przekazywania przez NCBR informacji poufnych do Odbiorcy w związku z wykonywaniem umowy dotyczącej ……………..

(dalej jako „Umowa główna”) oraz zapewnienie bezpieczeństwa i ochrony takich informacji, Strony zgodnie postanawiają, co następuje:

§ 1.

1. Przedmiotem Umowy jest zobowiązanie się przez Odbiorcę do zachowania poufności i nieujawniania jakichkolwiek informacji przekazywanych przez NCBR i pozyskanych w trakcie realizacji Umowy głównej, niezależnie od formy ich uzyskania, bez konieczności ich oznaczenie przez NCBR jako poufne w chwili udostępnienia (dalej jako: Informacje Poufne”).

2. W szczególności, do Informacji Poufnych zaliczane będą wszelkie informacje i dokumenty o charakterze technicznym, technologicznym, handlowym lub związane z działalnością NCBR oraz wszelkie inne informacje posiadające ekonomiczną wartość, które nie są powszechnie znane.

3. Odbiorca zobowiązuje się do:

1) zachowania w tajemnicy wszelkich informacji przekazywanych przez Stronę ujawniającą w związku z wykonywaniem Umowy głównej, jak i wszelkich informacji zebranych w trakcie negocjacji poprzedzających jej zawarcie, niezależnie od formy w jakiej zostały przekazane;

2) ujawnienia Informacji Poufnych wyłącznie osobom, którymi się posługuje lub którym powierza wykonanie Umowy głównej w celu i w zakresie niezbędnym do jej wykonania;

3) poinformowania osób, o których mowa w § 1 ust. 3 pkt 2 Umowy, o poufnym charakterze informacji, pouczenia w sprawie ich traktowania jako poufnych oraz odebrania od nich oświadczenia, którego wzór stanowi Załącznik nr 1 do Umowy;

4) niewykorzystywania, niekopiowania, niepowielania, nierozpowszechniania jakiejkolwiek Informacji Poufnej lub jej części, za wyjątkiem przypadków gdy jest to niezbędne dla wykonania Umowy głównej.

4. Nie stanowią Informacji Poufnej informacje:

1) które są dostępne publicznie lub staną się publicznie dostępne w inny sposób niż poprzez naruszenie obowiązku zachowania poufności;

2) które w momencie ujawnienia były już w posiadaniu Odbiorcy lub jego pracownika, członka organu lub doradcy, pod warunkiem, iż nie zostały objęte obowiązkiem zachowania poufności oraz że zostały one uzyskane bez naruszenia prawa;

3) które zostały otrzymane od stron trzecich zgodnie z prawem i bez naruszenia jakiegokolwiek zobowiązań do zachowania poufności w stosunku, do których NCBR oświadczy na piśmie, że nie uznaje ich za Informacje Poufne;

5. Nie stanowi naruszenia Informacji Poufnej ujawnienie dokonane zgodnie z wymogami prawa, w tym na wniosek lub wezwanie uprawnionych sądów lub organów, w zakresie i w granicach dozwolonych prawem, na podstawie postanowienia lub wezwania sądu lub decyzji administracyjnej albo w celu dochodzenia roszczeń. Przed ujawnieniem informacji zgodnie ze zdaniem poprzednim, Odbiorca powiadomi NCBR pisemnie o otrzymaniu takiego wniosku lub wezwania, określając formę i cel ujawnienia, chyba że przekazanie takiej wiadomości jest zabronione na podstawie obowiązujących przepisów prawa. Gdyby uprzednie powiadomienie NCBR o otrzymaniu wniosku lub wezwania nie było w okolicznościach sprawy możliwe, Odbiorca powiadomi NCBR niezwłocznie po ustaniu okoliczności uniemożliwiających powiadomienie.

6. Ujawnienie Informacji Poufnych osobie trzeciej jest dopuszczalne wyłącznie po uzyskaniu uprzedniej pisemnej zgody NCBR i na warunkach przez NCBR określonych.

7. Odbiorca ponosi wobec Strony ujawniającej odpowiedzialność za naruszenie obowiązków w zakresie zachowania w tajemnicy Informacji Poufnych, również w przypadku, gdy naruszenie jest dokonane przez osobę trzecią, o której mowa w § 1 ust. 3 pkt 2 Umowy, za której działania lub zaniechania Odbiorca odpowiada jak za własne.

8. Odbiorca zapewnia, że dysponuje właściwymi zabezpieczeniami umożliwiającymi ochronę Informacji Poufnych przed dostępem i bezprawnym ich wykorzystaniem przez osoby nieuprawnione.

9. W zakresie możliwości posługiwania się osobami trzecimi lub powierzania im wykonania Umowy głównej, wiążące dla Stron są jej postanowienia.

§ 2.

Dla uniknięcia wątpliwości Strony potwierdzają, iż Umowa nie skutkuje przeniesieniem jakiegokolwiek prawa do Informacji Poufnych na Odbiorcę uzyskującego te informacje.

§ 3.

1. Odbiorca zobowiązuje się do zachowania w poufności Informacji Poufnych oraz wykorzystania Informacji Poufnych wyłącznie dla celów realizacji Umowy głównej oraz do podjęcia w stosunku do Informacji Poufnych co najmniej takich środków ostrożności oraz takich samych środków zabezpieczających, jak te podejmowane w stosunku do własnych informacji poufnych.

2. Odbiorca zobowiązuje się do przechowywania Informacji Poufnych w bezpiecznym środowisku oraz zobowiązuje się nie kopiować, nie powielać, ani w jakikolwiek inny sposób nie utrwalać i nie rozpowszechniać Informacji Poufnych lub ich części, z wyjątkiem przypadków wewnętrznego użytku, gdy jest to niezbędne dla celów realizacji Umowy głównej.

3. W przypadku, gdy przekazywane Informacje Poufne będą stanowić informacje chronione przez przepisy powszechnie obowiązującego prawa, Odbiorca zobowiązuje się do przestrzegania stosownych regulacji prawnych w zakresie ochrony takich informacji.

4. Odbiorca oświadcza, że jest świadomy zagrożeń dotyczących bezpieczeństwa związanych z przesyłaniem informacji pocztą elektroniczną lub z użyciem Internetu, oraz że będzie odpowiedzialny za ochronę w zakresie informacji przesyłanych w formie elektronicznej i ochrony przed wirusami oraz za zapewnienie, aby informacje takie nie były kierowane pod niewłaściwy adres.

5. Odbiorca zobowiązuje się do przestrzegania przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2018 r. poz. 1000, ze zm.). oraz rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) i zobowiązuje się nie wykorzystywać ani nie przetwarzać w jakikolwiek sposób danych osobowych, do których uzyska dostęp w wyniku realizacji współpracy dla celów innych niż wykonywanie umowy wskazanej w preambule.

6. Odbiorca ponosi pełną i wyłączną odpowiedzialność za będące następstwem jego zachowań szkody wyrządzone niezgodnym z Umową przetwarzaniem danych osobowych, w szczególności szkody wyrządzone utratą, niewłaściwym przechowywaniem lub posłużeniem się dokumentami, które są nośnikiem danych osobowych.

7. W przypadku, gdy Odbiorca wykonuje Umowę główną przy udziale osób trzecich, z zastrzeżeniem § 1 ust. 9 Umowy, postanowienia poprzedzających ustępów rozciągają się także na te osoby, przy czym Odbiorca ponosi pełną i wyłączną odpowiedzialność za działania lub zaniechania osób, którymi się posługuje lub którym powierza wykonanie powyższej umowy, jak za działania lub zaniechania własne.

8. Odbiorca dopuści do przetwarzania danych osobowych wyłącznie osoby posiadające stosowne upoważnienia do przetwarzania danych osobowych. W tym celu NCBR upoważnia Odbiorcę do wystawiania imiennych upoważnień do przetwarzania danych osobowych, przy czym Odbiorca zobowiązuje się niezwłocznie informować NCBR o osobach upoważnionych.

§ 4.

Umowa obowiązuje przez cały okres obowiązywania Umowy głównej, jak również przez okres … (słownie: ….) lat po jej wykonaniu albo wygaśnięciu lub … (słownie:…) lat po jej rozwiązaniu, odstąpieniu lub wypowiedzeniu.

§ 5.

1. Odbiorca na żądanie NCBR zwróci niezwłocznie wszelkie materiały, dokumenty, inne opracowania (na piśmie, w formie elektronicznej lub innej) oraz zniszczy wszystkie materiały, które zawierają Informacje Poufne i wykasuje z pamięci swoich komputerów, edytorów tekstów i podobnych środków wszystkie materiały stanowiące Informacje Poufne, włączając każdą kopię, w zakresie w jakim pozwala na to konfiguracja systemów teleinformatycznych. Ponadto

Odbiorca, bez żądania NCBR, zwróci lub zniszczy materiały, dokumenty, nośniki zawierające

Informacje Poufne odpowiednio najpóźniej z upływem okresu, o którym mowa w § 4 Umowy.

2. Na żądanie Strony ujawniającej Odbiorca niezwłocznie dostarczy jej pisemne oświadczenie potwierdzające dokonanie czynności wskazanych w ust. 1 powyżej.

§ 6.

1. W przypadku naruszenia przez Odbiorcę jakichkolwiek zobowiązań wynikających z niniejszej Umowy, NCBR będzie miał prawo do żądania natychmiastowego zaniechania naruszenia i usunięcia jego skutków. Wezwanie do zaniechania naruszeń i usunięcia jego skutków powinno być wysłane Odbiorcy w formie pisemnej z wyznaczeniem co najmniej terminu 14 (słownie: czternastu) dni do ustosunkowania się do niego.

2. W przypadku naruszenia przez Odbiorcę obowiązków dotyczących Informacji Poufnych, w tym danych osobowych, NCBR może żądać od Odbiorcy zapłaty kary umownej w wysokości w kwocie 50% wynagrodzenia brutto o którym mowa w § 4 ust. 1 Umowy głównej za każdy przypadek naruszenia. Odbiorca zobowiązuje się do uregulowania kary w terminie 14 (słownie: czternastu) dni kalendarzowych od dnia doręczenia Odbiorcy wezwania do zapłaty/noty obciążeniowej w formie pisemnej.

3. NCBR zastrzega sobie prawo dochodzenia odszkodowania przewyższającego wysokość zastrzeżonych kar umownych na zasadach ogólnych Kodeksu cywilnego.

§ 7.

1. Umowa wchodzi w życie w dniu podpisania jej przez Xxxxxx.

2. Umowa podlega prawu polskiemu.

3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

4. Strony zgodnie oświadczają, że wszelkie spory powstałe w związku z realizacją niniejszej Umowy będą starały się rozstrzygać w sposób polubowny. W przypadku, gdy Xxxxxx nie osiągną porozumienia w sposób wskazany w zdaniu poprzedzającym, wszelkie spory wynikające w związku z realizacją Umowy zostaną rozstrzygnięte przez sąd powszechny właściwy miejscowo dla siedziby NCBR.

5. Niniejsza Umowa sporządzona została w …… jednobrzmiących egzemplarzach, tj. …. dla

Zamawiającego i …. dla Wykonawcy.

6. Integralną część Umowy stanowią:

1) Załącznik nr 1 - wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Odbiorcy/ wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Odbiorcy;

2) Załącznik nr 2 - Oświadczenie o zobowiązaniu do zachowania poufności (Wzór).

…………………….. ……………………..

Strona ujawniająca Odbiorca Informacji Poufnych

(data i podpis) (data i podpis)

Załącznik nr 2 do Umowy o zachowaniu poufności informacji z dnia ……………….

/WZÓR/

OŚWIADCZENIE

O ZOBOWIĄZANIU DO ZACHOWANIA POUFNOŚCI

Warszawa, dnia r.

Niniejszym oświadczam, że znana mi jest treść Umowy o zachowaniu poufności informacji z dnia zawartej pomiędzy

………………………………………………………………………………………………… a

…………………………………………………………………………………………………

i wynikające z niej zobowiązania do utrzymywania w tajemnicy ujawnionych Informacji Poufnych oraz zobowiązuje się do ich przestrzegania.

Niniejszym zobowiązuję się jako pracownik (nazwa

firmy)/zleceniobiorca/Wykonawca* ……………………………………….. do zachowania w tajemnicy wszelkich Informacji Poufnych, które zostały mi ujawnione w związku z moim uczestnictwem w wykonywaniu …………….., na warunkach określonych w Umowie o zachowaniu poufności. Jestem świadomy, że naruszenie powyższych zobowiązań może skutkować odpowiedzialnością cywilną i karną na podstawie obowiązujących przepisów prawa.

…………………………………… (data i podpis)

* niepotrzebne skreślić

Załącznik nr 10 do Umowy

Wyciąg z regulaminu Użytkownika Systemu Informatycznego Narodowego Centrum Badań i Rozwoju

Ochrona zasobów danych NCBR jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków każdego użytkownika Centrum.

I. Kontakt

1. W Narodowym Centrum Badań i Rozwoju (NCBR, Centrum) zarządzaniem infrastrukturą teleinformatyczną, jej optymalizacją i bezpieczeństwem zajmuje się Dział Systemów Informatycznych (DSI). Wszelkie uwagi i problemy związane z obsługą informatyczną należy zgłaszać na adres mailowy: xxxxxxxx@xxxx.xxx.xx lub do pracownika NCBR odpowiedzialnego za kontakt z Wykonawcą.

II. Podstawowe zasady bezpieczeństwa

1. Każdorazowe odejście od komputera powinno być poprzedzone jego zablokowaniem poprzez

naciśnięcie przycisków Logo Windows + „L”.

2. Ekran komputera musi być skierowany tak, aby uniemożliwić dostęp osobom nieuprawnionym do

wyświetlanych na nim informacji.

3. Zakończenie pracy z systemem odbywa się poprzez:

a. Wylogowanie się z używanych aplikacji,

b. Zamknięcie otwartych dokumentów i ewentualne zapisanie zmian,

c. Wykonanie kopii bezpieczeństwa wykonanej pracy (według potrzeby),

d. Zamknięcie systemu operacyjnego (należy zaczekać na jego całkowite wyłączenie).

4. Hasła do konta osobistego lub dowolnych aplikacji pod żadnym pozorem nie można przechowywać w postaci jawnej, tj. zapisanej na przykład na kartce papieru, obudowie komputera, czy w innej formie, a także jako notatki w telefonie czy w innej formie, a także jako notatki w telefonie czy innym urządzeniu.

5. Tworząc hasła, należy pamiętać by nie były to proste i łatwe do odgadnięcia słowa, daty, itp. Dobrze jest dodać do każdego hasła kilka przypadkowych znaków, co znacząco podwyższy odporność hasła na próby jego odgadnięcia/złamania.

6. Zabrania się udostępniać hasła innym osobom.

7. W Centrum wszystkie komputery posiadają zainstalowany, działający i aktualny program antywirusowy. Jeżeli oprogramowanie antywirusowe na użytkowanym komputerze przenośnym informuje o błędach, wirusach, zagrożeniach lub nieaktualnych bazach wirusów, należy niezwłocznie poinformować o tym DSI (xxxxxxxx@xxxx.xxx.xx) lub osobę odpowiedzialną za kontakt Wykonawcy z NCBR.

8. Każdy komputer przenośny posiada skonfigurowane mechanizmy aktualizacji oprogramowania. Regularne aktualizowanie oprogramowania znacząco wpływa na poziom bezpieczeństwa komputera. Zobowiązuje się wszystkich użytkowników do codziennego wyłączania komputera po zakończonym dniu pracy.

III. Zasady bezpieczeństwa przy obsłudze korespondencji mailowej

1. Nadzór i opiekę techniczną nad systemem poczty elektronicznej sprawuje DSI.

2. Użytkownicy zobowiązani są korzystać wyłącznie z poczty elektronicznej, obsługiwanej przez Centrum.

3. Poczta elektroniczna może być wykorzystywana wyłącznie do celów służbowych.

4. Z poczty elektronicznej trzeba korzystać wyłącznie przy pomocy skonfigurowanych w tym celu przez DSI programów oraz z poziomu przeglądarki internetowej.

5. Zabrania się korzystania na komputerach służbowych z poczty prywatnej, np. gmail, xxxxxx.xx.xx, itp.

6. Wiadomości poczty elektronicznej, którą odbiera oraz dostarcza system pocztowy Centrum, są własnością Centrum.

7. Centrum w celach dowodowych na żądanie organów ścigania, jednostek nadzorujących oraz bezpieczeństwa systemów, ma prawo do kontroli skrzynek pocztowych użytkowników. O wynikach kontroli powinien być poinformowany użytkownik.

8. Centrum rezerwuje sobie prawo natychmiastowej blokady skrzynki pocztowej.

9. W NCBR uruchomione jest oprogramowanie antyspamowe, sprawdzające pocztę elektroniczną i oznaczające podejrzane maile ciągiem znaków: „[SPAM]” w temacie maila. Każdy mail tak oznaczony jest potencjalnie niebezpieczny i należy być bardzo ostrożnym podczas jego otwierania.

10. Każda wiadomość pochodząca spoza domeny NCBR oznaczona jest informacją o treści:

** OSTRZEŻENIE **

Ta wiadomość pochodzi spoza organizacji. Nie klikaj łączy ani nie otwieraj załączników, chyba

że rozpoznajesz nadawcę i wiesz, że zawartość jest bezpieczna.”

11. Nie należy otwierać załączników ani klikać w linki znajdujące się w podejrzanych wiadomościach. Wszelkie dziwnie i nietypowo wyglądające maile należy wnikliwie weryfikować lub skorzystać z pomocy

12. Należy pamiętać, że spamerzy (osoby zajmujące się rozsyłaniem niechcianych wiadomości mailowych - spamu) są coraz bardziej pomysłowi i podszywają się pod różne instytucje, firmy kurierskie, kontrahentów, itp. Każda nowa forma spamu najczęściej nie jest rozpoznawana przez oprogramowanie antyspamowe, co oznacza, że w pierwszych dniach jej występowania możemy otrzymywać maile, które nie będą oznaczone ciągiem znaków „[SPAM]”, co oznacza, że nawet wiadomości nieoznaczone mogą zawierać niebezpieczną zawartość.

IV. Zasady bezpieczeństwa podczas korzystania z komputerów przenośnych poza siedzibą

Centrum

1. Użytkownik komputera przenośnego zobowiązany jest zachować szczególną ostrożność podczas jego przechowywania oraz transportu, szczególnie w publicznych środkach transportu.

2. Użytkownik nie może przetwarzać danych NCRB w miejscach publicznie dostępnych, np. kawiarniach, publicznych środkach transportu.

3. Komputer przenośny nie może być pozostawiany w sposób narażający go na kradzież.

4. O fakcie utraty sprzętu będącego własnością NCBR, należy natychmiast zawiadomić

przedstawiciela NCBR odpowiadającego za kontakt z Wykonawcą lub bezpośrednio DSI.

5. Korzystając komputera przenośnego poza siedzibą Centrum, należy używać tylko z takich sieci, do których dostęp jest zabezpieczony hasłem i nie mają do nich dostępu osoby nieuprawnione.

6. Pod żadnym pozorem nie udostępnia się komputera przenośnego osobom postronnym. Nie pozostawiamy komputera bez nadzoru!

7. Za wszelkie działania wykonywane na komputerze przenośnym odpowiada użytkownik.

V. Pozostałe zasady bezpieczeństwa

1. Nie wolno zapisywać ani uruchamiać aplikacji (programów) otrzymanych pocztą elektroniczną

lub pobranych z sieci Internet.

2. Gdy komputer przenośny połączony jest z siecią lokalną Centrum (przy pomocy kabla - LAN), zabrania się podłączania innych urządzeń sieciowych.

3. Na zewnętrzny nośnik danych (np. pendrive, dysk twardy, CD/DVD) informacje można zapisywać jedynie za zgodą NCBR.

4. Dane wrażliwe muszą być utrwalane na nośnikach danych zabezpieczonych kryptograficznie (np. pendrive’y muszą posiadać mechanizm szyfrowania) oraz nie mogą być przetwarzane na sprzęcie nie będącym własnością Centrum.

Załącznik nr 11 do Umowy

Regulamin ochrony informacji dla wykonawcy NCBR

1 Cel

Celem dokumentu jest:

1.2 Określenie minimalnych wymagań w zakresie bezpieczeństwa informacji dla wykonawców.

1.3 Określenie minimalnych wymagań w zakresie zabezpieczeń systemu informatycznego.

2 Zakres

2.1 Postanowienia niniejszego dokumentu stosują wszyscy wykonawcy, którzy realizują prace na rzecz Centrum, związane z przetwarzaniem aktywów informacyjnych Centrum.

2.2 Postanowienia niniejszego ROI należy stosować we wszystkich umowach z wykonawcami, których przedmiot jest związany z ochroną informacji.

3 Postanowienia ogólne

3.1 ROI określa zakres obowiązków i odpowiedzialności wykonawców w zakresie bezpieczeństwa informacji. ROI obejmuje swym zakresem wszystkich wykonawców, mających dostęp do systemów informatycznych Centrum. ROI jest syntezą informacji zawartych w Polityce Bezpieczeństwa Informacji Narodowego Centrum Badań i Rozwoju, Polityce Bezpieczeństwa Systemu Informatycznego Narodowego Centrum Badań i Rozwoju.

3.2 Wykonawca musi spełniać wymagania niniejszego ROI przed uzyskaniem dostępu do systemu informatycznego Centrum.

3.3 Przed rozpoczęciem przetwarzania informacji chronionych, w szczególności danych osobowych, których administratorem jest Dyrektor Centrum, wykonawca musi spełnić warunki:

a. podpisać zobowiązanie do zachowania poufności przetwarzanych danych na wzorze,

będącym załącznikiem nr 1 do ROI.

b. w przypadku powierzenia przetwarzania danych osobowych Centrum, podpisać umowę powierzenia przetwarzania danych osobowych zgodnie ze wzorem obowiązującym w Centrum.

3.4 Pracownicy wykonawcy realizujący prace zgodnie z zawartą umową mogą przebywać na terenie Centrum jedynie pod nadzorem pracownika Centrum lub pracowników ochrony budynku Roma Office Center.

W przypadku, gdy zlecenie będzie wykonywane po godzinach pracy Centrum lub w dni wolne od pracy, kierownik KO nadzorujący bezpośrednio wykonywane prace musi zgłosić powyższy fakt Dyrektorowi DAZ. Dyrektor DAZ wystawia zlecenie na wykonanie prac i przekazuje informację o terminie i zakresie wykonywanych prac Kierownikowi Działu Technicznego Roma Office Center, który zawiadamia ochronę obiektu.

W zleceniu należy podać:

a. nazwę wykonawcy,

b. zakres wykonywanej pracy,

c. termin wykonania (data od-do, godzina od-do),

d. imię nazwisko, nr dowodu osobistego pracowników wykonujących prace,

e. imię nazwisko, tel. osoby nadzorującej prace w Centrum,

f. nr rejestracyjny samochodów – w przypadku konieczności wyrażenia zgody na wjazd na parking służbowy.

Klucze do pomieszczeń wydaje pracownik DAZ. Przebywanie oraz wykonywanie pracy pod

nieobecność pracowników Centrum możliwe jest jedynie pod nadzorem pracowników ochrony.

4 Nadawanie, zmiana bądź odebranie uprawnień

4.1 W przypadku wykonawców zakres uprawnień w poszczególnych systemach i aplikacjach ustawia

się adekwatnie do przedmiotu umowy i zakresu powierzonych danych osobowych.

4.2 Lista użytkowników ze strony wykonawcy powinna być dostarczona przez osoby wskazane w umowie jako odpowiedzialne za jej realizację.

4.3 Po każdej zmianie użytkowników ze strony wykonawcy, jest on zobowiązany do przekazania listy użytkowników ze wskazaniem zmian w ich zakresie uprawnień.

4.4 Rejestrowanie/wyrejestrowanie użytkowników wykonawcy systemu informatycznego Centrum oraz nadawanie/zmiana/odebranie uprawnień jest realizowane przez pracowników DSI zgodnie ze schematem postępowania:

a. Na podstawie postanowień umowy z wykonawcą a także w wyniku konsultacji z osobą wskazaną w umowie jako odpowiedzialną za jej realizację z ramienia Centrum, ABSI ustala niezbędny zakres uprawnień dla poszczególnych użytkowników będących przedstawicielami wykonawcy.

b. Z wnioskiem o nadanie/zmianę/odebranie uprawnień do systemu informatycznego występuje pracownik Centrum skazany w umowie z wykonawcą jako osoba odpowiedzialna za jej realizację z ramienia Centrum. Zakres uprawnień na wniosku musi być zgodny z zaleceniami ABSI, wniosek składany jest z zachowaniem regulacji wewnętrznych opisanych w dokumentach wewnętrznych Centrum.

c. Podczas rejestracji użytkownika będącego przedstawicielem wykonawcy nadawany jest unikalny identyfikator użytkownika oraz ustawiane jest hasło tymczasowe niezbędne do logowania po raz pierwszy do systemu informatycznego (hasła nadawane są zgodnie z zasadami opisanymi w niniejszej procedurze) dla użytkownika zewnętrznego systemu informatycznego.

d. O nadaniu/zmianie/odebraniu uprawnień właściwych identyfikatorów w odpowiednich systemach informatycznych i nadaniu właściwych uprawnień ABSI informuje wykonawcę za pośrednictwem pracownika Centrum wskazanego w umowie z wykonawcą jako odpowiedzialnego za realizację umowy z ramienia Centrum.

5 Metody i środki uwierzytelniania

Dostęp do poszczególnych części systemu informatycznego jest możliwy wyłącznie poprzez podanie prawidłowego identyfikatora i hasła przyznanych użytkownikowi podczas procesu nadawania uprawnień do systemu informatycznego.

Hasła użytkowników

5.1 Hasła użytkowników do systemów informatycznych powinny podlegać następującym zasadom:

a. hasło składa się z minimum 8 znaków,

b. hasło musi spełniać warunek złożoności polegający na występowaniu w nim: wielkiej i małej litery, oraz cyfry lub znaku specjalnego (np.!@#),

c. hasło musi być zmieniane minimum co 30 dni,

d. kolejne hasła muszą być różne, zapamiętywanych jest 6 ostatnich haseł,

e. hasła należy przechowywać w sposób gwarantujący ich poufność.

5.2 Zabrania się udostępniania haseł innym osobom.

5.3 Zabrania się tworzenia haseł na podstawie:

a. cech i numerów osobistych (np. dat urodzenia, imion itp.),

b. sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx),

c. identyfikatora użytkownika.

5.4 Zabrania się tworzenia haseł łatwych do odgadnięcia.

5.5 Logowanie anonimowe do systemu informatycznego jest zabronione dla użytkowników.

5.6 Uwierzytelnienie następuje wyłącznie po podaniu zgodnego hasła i powiązanego z nim identyfikatora.

5.7 W przypadku logowania do systemu informatycznego odbywającego się po raz pierwszy, użytkownik ma obowiązek zmiany hasła tymczasowego na właściwe, na znane tylko użytkownikowi.

5.8 W przypadku systemów informatycznych, które nie wymuszają automatycznie cyklicznej zmiany hasła oraz nie kontrolują jego złożoności, obowiązkiem użytkownika jest zmiana hasła zgodnie z zasadami określonymi w powyższych punktach.

5.9 Użytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego bezpieczne przechowywanie.

5.10 Hasła nie mogą być ujawniane w sposób celowy lub przypadkowy i powinny być znane wyłącznie użytkownikowi.

5.11 Hasła nie powinny być przechowywane w formie dostępnej dla osób nieupoważnionych:

a. w plikach,

b. na kartkach papieru w miejscach dostępnych dla osób trzecich,

c. w skryptach,

d. w innych zapisach elektronicznych i papierowych, które byłyby dostępne dla osób trzecich.

5.12 W przypadku podejrzenia ujawnienia haseł osobie nieupoważnionej, hasła muszą być

natychmiast zmienione przez użytkownika lub AS.

5.13 Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, utrzymuje się

w tajemnicy również po upływie jego ważności.

5.14 Zmiany hasła dokonuje użytkownik. W przypadku, gdy użytkownik zapomniał hasła, właściwy AS ustawia hasło tymczasowe użytkownikowi z wymuszeniem jego zmiany podczas pierwszego logowania.

5.15 Hasła użytkowników nie powinny być przekazywane ani przesyłane za pomocą telefonu, faksu czy tez poczty elektronicznej w formie jawnej.

6 Dostęp zdalny

6.1 W DSI prowadzony jest elektroniczny wykaz osób i wykonawców posiadających dostęp zdalny do zasobów systemu informatycznego Centrum.

6.2 Dostęp zdalny wykonawców, możliwy jest tylko po spełnieniu warunków wymienionych w niniejszym ROI.

6.3 Wykonawca we własnym zakresie udziela pełnomocnictw swoim pracownikom powierzając im zadania.

6.4 Dostępu zdalnego udziela się na zasadach i na czas określony zapisami umowy.

6.5 Zakres dostępu zdalnego może zostać ograniczony lub zwiększony decyzją ABSI, po przeanalizowaniu potrzeb określonych postanowieniami umowy z wykonawcą, a także w wyniku konsultacji z pracownikiem Centrum wskazanym w umowie jako osoba odpowiedzialna za jej realizację.

6.6 Pracownik Centrum wskazany w umowie z wykonawcą, jako osoba odpowiedzialna za jej realizację wnioskuje o dostęp zdalny w zakresie wskazanym przez ABSI a także zgodnie z wewnętrznymi regulacjami opisanymi w dokumentach Centrum.

6.7 W ramach dostępu zabrania się wykonawcy trwale usuwać dane, przeprowadzać jakiekolwiek operacje na dyskach mogące prowadzić do ich uszkodzenia lub utraty danych, w szczególności ich formatowania. Przedstawiciel wykonawcy wykonujący prace, przystępując do czynności, o których wie, że w konsekwencji doprowadzić one mogą do zniszczenia danych, musi poinformować przedstawiciela Centrum i dopiero po jego akceptacji może podjąć te czynności.

6.8 Dla środowisk produkcyjnych (oddanych do eksploatacji) wykonawca, przed przystąpieniem do prac, przedstawia scenariusz planowanych prac wraz z oceną ryzyka podejmowanych czynności. Wykonawca odpowiada za odstępstwa od przedstawionego scenariusza. Scenariusz powinien obejmować:

a. Kto będzie prowadził prace,

b. Kiedy, przewidywany czas trwania,

c. Zakres wykonywanych prac,

d. Informację czy wymagana jest przerwa w pracy użytkowników,

e. Potencjalne ryzyka podejmowanych czynności.

6.9 Pracownik lub przedstawiciel wykonawcy wykonujący prace, przystępując do czynności, co do których istnieje wysokie ryzyko utraty danych, informuje o ryzyku pracownika Centrum wskazanego w umowie z wykonawcą jako osoby odpowiedzialnej za jej realizację ABSI.

6.10 Po formalnej, pisemnej akceptacji ryzyka przez XXXX, pracownik wykonawcy może rozpocząć realizację czynności objętej wskazanym ryzykiem.

6.11 Wykonywanie prac polegających na standardowej obsłudze serwisowej, prac nad rozwojem programu będącego w fazie wdrażania nie wymaga każdorazowego ustalenia warunków realizacji czynności, będącej ich częścią. W ramach wykonywania tych czynności obowiązują warunki uzgodnione wcześniej. W szczególności nie wymagają każdorazowego ustalenia warunków realizacji te czynności, które wynikają z przedmiotu umowy i nie są objęte ryzykami opisanymi w pkt. 8-10. Wykonywanie czynności niestandardowych wymaga każdorazowo określenia warunków.

6.12 Zabrania się podejmowania czynności zmierzających do penetrowania zasobów sieci Centrum, chyba, że czynności dotyczą realizacji umowy na testy bezpieczeństwa, testy penetracyjne, itp. Każde przeprowadzenie testów bezpieczeństwa lub penetracyjnych musi być realizowane za uprzednią zgodą ABSI.

6.13 ABSI w porozumieniu z właściwymi administratorami ogranicza zasoby dostępne dla sesji zdalnej, do niezbędnego minimum, chyba, że wymagałoby to rozległej ingerencji w konfigurację urządzeń dostępowych.

6.14 ABSI wraz z właściwymi administratorami ustalają wymagane zasoby. Wykonawca zobowiązuje się do wykorzystywania tylko i wyłącznie ustalonych zasobów nawet, jeśli dostępne są inne niż tylko wymagane.

6.15 Na potrzeby realizacji umowy ABSI może udzielić dostępu zdalnego do następujących środowisk:

a. testowych,

b. produkcyjnych.

6.16 Zabrania się dostępu zdalnego z komputerów dostępnych publicznie np. kafejki internetowe, dworce PKP, restauracje, bezprzewodowe sieci miejskie, itp.

7 Zasady zabezpieczeń stacji roboczych

7.1 Do systemu informatycznego mogą być podłączane wyłącznie komputery i urządzenia zgodne z minimalnymi wymaganiami bezpieczeństwa, w szczególności:

a. System antywirusowy jest zainstalowany w systemie operacyjnym i jego sygnatury są

aktualne,

b. System operacyjny posiada zainstalowane wszystkie dostępne aktualizacje zabezpieczeń,

c. Firewall jest uruchomiony w systemie operacyjnym i posiada właściwą konfigurację, odpowiadającą wykonywanym obowiązkom pracowniczym przez użytkowników komputera,

d. Zainstalowane na komputerze oprogramowanie pochodzi z godnych zaufania źródeł,

e. Oprogramowanie jest zainstalowane zgodnie z postanowieniami licencji producenta oprogramowania,

f. Oprogramowanie nie łamie Ustawy o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r.

8 Stosowanie zabezpieczeń kryptograficznych

W celu ochrony poufności przesyłanych oraz przechowywanych danych stosuje się zabezpieczenia kryptograficzne. Miejsca stosowania kryptografii powinny być zgodne z wymaganiami prawnymi oraz regulacjami wewnętrznymi, w szczególności należy stosować zabezpieczenia kryptograficzne:

8.1 Na dyskach twardych komputerów przenośnych.

8.2 Na pendrive’ach.

8.3 Na nośnikach kopii zapasowych przechowywanych poza systemem informatycznym Centrum.

8.4 Na urządzeniach typu smartfon oraz tablet w aplikacjach, które przechowują dane objęte ochroną

np. dane osobowe.

8.5 Tunelach VPN.

8.6 Wiadomościach poczty elektronicznej, w których przesyłane są dane objęte ochroną,

w szczególności dane osobowe.

8.7 Zakres stosowanych rozwiązań kryptograficznych powinien obejmować minimum dane znajdujące się na nośnikach, które objęte są ochroną ze względu na wymagania utrzymania odpowiedniego poziomu poufności.

8.8 Rozwiązania kryptograficzne powinny wykorzystywać algorytm AES o długości klucza min. 128 bit.

9 Reagowanie na incydenty

9.1 Każde naruszenie bezpieczeństwa informacji należy każdorazowo zgłaszać do ABSI lub jeżeli naruszenie w jednoznaczny sposób dotyczy przetwarzania danych osobowych do bezpośredniego przełożonego oraz IOD. Zgłoszenia należy dokonać za pośrednictwem poczty elektronicznej, za potwierdzeniem odbioru na adres [xxxxxxxx@xxxx.xxx.xx] z tematem wiadomości „Naruszenie bezpieczeństwa informacji”.

9.2 Jeśli zdarzenie jest ewidentnym naruszeniem bezpieczeństwa, osoby wskazane w punkcie powyżej mogą zdecydować o natychmiastowym odebraniu uprawnień w systemach informatycznych użytkownikom wykonawcy i bez zbędnej zwłoki przekazują informację o blokadzie dostępu osobie upoważnionej ze strony wykonawcy.

9.3 Upoważnione osoby wykonawcy zabezpieczają ślady (np. logi systemowe) naruszenia

bezpieczeństwa.

9.4 W szczególnych przypadkach ABSI informuje organy ścigania o zaistniałej sytuacji.

9.5 Pracownik DSI sporządza notatkę dotyczącą naruszenia bezpieczeństwa i kieruje ją do ABSI Centrum.

9.6 Ostatnim etapem zamykania naruszenia bezpieczeństwa jest usunięcie skutków naruszenia bezpieczeństwa oraz wprowadzenie dodatkowych zabezpieczeń (np. zmieniając konfigurację) w porozumieniu z uprawnionym przedstawicielem wykonawcy.

9.7 Każdy incydent związany z naruszeniem bezpieczeństwa informacji musi być zarejestrowany w rejestrze incydentów prowadzonym przez ABSI/IOD.

10 Postanowienia końcowe

10.1 Za nadzór nad przestrzeganiem postanowień ROI odpowiada:

a. ze strony wykonawcy uprawniony przedstawiciel wykonawcy,

b. ze strony Centrum ABSI.

Naruszając ROI wykonawca może podlegać sankcjom karnym, cywilnym oraz wynikającym

z przepisów art. 107 i art. 108 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.