Umowa nr ………………………………..

Znak sprawy DZP.262.192.2019

Załącznik nr 4

Umowa nr ………………………………..

zawarta w dniu………………………………..2019 r. w Warszawie pomiędzy:

Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie przy ulicy Banacha 1a, 02-097 Warszawa, wpisanym przez Sąd Rejonowy dla x.xx. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji i publicznych zakładów opieki zdrowotnej pod numerem: KRS 0000073036, XXX 0000000000, REGON 000288975 reprezentowanym przez:

Xxxxxxx Xxxxxxx Xxxxxxxxx – Dyrektora

zwanym dalej Zamawiającym,

a

…………………………………………………..

zwanym w dalszej treści umowy „Wykonawcą”.

Podstawą zawarcia niniejszej umowy jest…………………………………………………………………..

o następującej treści:

§1

PRZEDMIOT UMOWY

1. Przedmiotem niniejszej umowy jest objęcie nadzorem autorskim i usługą serwisową nad systemem InfoMedica/AMMS (dalej Oprogramowanie Aplikacyjne) w lokalizacji UCK WUM - Szpitala Klinicznego Dzieciątka Jezus, xx. X. X. Xxxxxxxx 0, 00-000 Xxxxxxxx, stanowiących ubezpieczenie Zamawiającego na wypadek wystąpienia problemów w trakcje eksploatacji rozwiązania indywidualnego lub jego części, a polegającej na zapewnieniu gotowości Wykonawcy do udostępniania nowych wersji oprogramowania i realizacji usług konserwacyjno-serwisowych, zgodnie ze złożoną ofertą przetargową, stanowiącą Załącznik nr 1 do Umowy oraz Opisem przedmiotu zamówienia, stanowiącym Załącznik nr 2 do Umowy. Opis przedmiotu zamówienia zawiera również moduły systemu InfoMedica/AMMS, użytkowane przez Zamawiającego.

2. Strony ustalają, że osobami upoważnionymi do bezpośrednich kontaktów w trakcie wykonywania niniejszej umowy, mających na celu sprawną realizację umowy oraz jej bieżący nadzór, są:

1. Zamawiający ustanawia do kontaktów z Wykonawcą:

(Imię i nazwisko) …………………………….. tel.:…………….. e-mail: …….………………

2. Wykonawca ustanawia do kontaktów osobę/y: odpowiedzialne za realizację usług:

(Imię i nazwisko) ……………………… tel. ………………… e-mail: …….……….…………

3. Wskazane osoby umocowane są jedynie do dokonywania czynności faktycznych związanych z realizacją przedmiotu Umowy i nie są upoważnione do dokonywania zmian w umowie.

4. Zmiana osób określonych w ust. 2 wymaga poinformowania drugiej Strony na piśmie, e-mail, nie wymaga aneksu do umowy i nie stanowi zmiany umowy.

5. Obsługa serwisowa Oprogramowania Aplikacyjnego objętego Umową może być realizowana samodzielnie lub we współpracy z Autoryzowanym Przedstawicielem Wykonawcy dysponującym pracownikami certyfikowanymi w zakresie realizacji przedmiotu niniejszej umowy (wypełnić jeśli dotyczy):

………………………………………………………………………………………………………………………………………

6. Zmiana wskazanego Autoryzowanego Przedstawiciela Wykonawcy wymaga zgody Zamawiającego. Warunkiem dopuszczenia Autoryzowanego Partnera Wykonawcy jest podpisanie umowy trójstronnej powierzenia przetwarzania danych osobowych.

§2

ZOBOWIĄZANIA WYKONAWCY

1. W ramach usług, o których mowa w §1 niniejszej umowy, Wykonawca zapewnia:

1. Udostępnienie poprawek do Oprogramowania Aplikacyjnego, w przypadku stwierdzenia przez Zamawiającego błędu Oprogramowania Aplikacyjnego (tzn. nie spowodowanego przez Zamawiającego powtarzalnego działania Oprogramowania Aplikacyjnego, w tym samym miejscu programu, prowadzącego w każdym przypadku do otrzymania błędnych wyników jego działania):

1. w przypadku tzw. błędu krytycznego, tj. takiego, który uniemożliwia użytkowanie Oprogramowania Aplikacyjnego (w zakresie jego podstawowej funkcjonalności wskazanej w dokumentacji użytkownika) i prowadzi do zatrzymania jego eksploatacji, utraty danych lub naruszenia ich spójności, w wyniku których niemożliwe jest prowadzenie działalności z użyciem Oprogramowania Aplikacyjnego:

• czas reakcji Wykonawcy na zgłoszenie Zamawiającego (tj. czas od otrzymania zgłoszenia do chwili podjęcia przez Wykonawcę czynności zmierzających do naprawy zgłoszonego „błędu krytycznego”) wynosi 2 godziny robocze,

• czas dokonania i udostępnienia Zamawiającemu odpowiednich korekt Oprogramowania Aplikacyjnego wyniesie do 8 godzin roboczych licząc od chwili rozpoczęcia czynności serwisowych,

• w przypadku wystąpienia „błędu krytycznego” Wykonawca może wprowadzić tzw. Rozwiązanie tymczasowe, doraźnie rozwiązujące problem błędu krytycznego; w takim przypadku dalsza obsługa usunięcia dotychczasowego błędu krytycznego będzie traktowana jako błąd zwykły,

• zgłaszanie i usuwanie błędów krytycznych będzie obsługiwane całodobowo.

1. w pozostałych przypadkach:

• czas reakcji Wykonawcy na zgłoszenie Zamawiającego (tj. czas od otrzymania zgłoszenia do chwili podjęcia przez Wykonawcę czynności zmierzających do naprawy zgłoszonego błędu zwykłego) wynosi do 15 dni roboczych,

• czas dokonania i udostępnienia Zamawiającemu odpowiednich korekt Oprogramowania Aplikacyjnego wyniesie do 60 dni roboczych od chwili rozpoczęcia czynności serwisowych.

1. w wyjątkowych wypadkach, za zgodą Zamawiającego, czas dokonania korekt będzie uzgodniony pomiędzy Wykonawcą i Zamawiającym,

2. Zamawiający udostępni Wykonawcy zdalny dostęp do baz danych i Oprogramowania Aplikacyjnego. Zasady zdalnego dostępu określa Załącznik nr 3 do niniejszej Umowy,

3. zgłoszenie błędu przez Zamawiającego odbywać się będzie poprzez witrynę internetową Centralnego Help-Desku Wykonawcy www……………………………….; w razie trudności z rejestracją zgłoszenia na w/w witrynie internetowej, Zamawiający może dokonać zgłoszenia telefonicznie pod numerem telefonu:

• tel. …………………………………. - system InfoMedica część biała (medyczna),

• tel. …………………………………. - system InfoMedica część szara (administracyjna).

lub pisemnie na formularzu przesyłanym za pomocą poczty elektronicznej na adres:

…………………………………., opcjonalnie faksem na numer ………………………………….. Wzór formularza stanowi Załącznik nr 4 do niniejszej umowy. Jeden formularz będzie dotyczył tylko jednego rodzaju problemu występującego w konkretnym module;

6. w przypadku, gdy formularz zgłoszenia błędu zostanie przyjęty przez Wykonawcę:

1. w godzinach pomiędzy 8.00 a 16.00 dnia roboczego - traktowany jest jak przyjęty danego dnia roboczego,

2. w godzinach pomiędzy 16.00 a 24.00 dnia roboczego - traktowany jest jak przyjęty o godz. 8.00 następnego dnia roboczego,

3. w godzinach pomiędzy 0.00 a 8.00 dnia roboczego - traktowany jest jak przyjęty
   o godz. 8.00 danego dnia roboczego,

4. w dniu ustawowo lub dodatkowo wolnym od pracy - traktowany jest jak przyjęty
   o godz. 8.00 najbliższego dnia roboczego.

2. Wprowadzanie zmian w Oprogramowaniu Aplikacyjnym w zakresie dotyczącym istniejących funkcjonalności, objętych niniejszą umową, w zakresie wymaganym zmianami powszechnie obowiązujących przepisów prawa lub przepisów prawa wewnętrznie obowiązujących wydanych na podstawie delegacji ustawowej w tym obowiązujących wykładni prawnych lub wskazówek jednostek nadrzędnych (np. Narodowy Fundusz Zdrowia, Ministerstwo Zdrowia, Samorządowy Wydział Zdrowia, Organ Założycielski, inne), z zastrzeżeniem, że Wykonawca zobowiązany jest do:

1. przekazania Zamawiającemu informacji o nowych wersjach Oprogramowania Aplikacyjnego, poprzez: ……………………………………………..,

2. udostępniania uaktualnień Oprogramowania Aplikacyjnego (nowych wersji Oprogramowania Aplikacyjnego) poprzez: ……………………………………………..,

3. Możliwość pisemnego zgłoszenia uwag i propozycji modyfikacji Oprogramowania Aplikacyjnego poprzez: ……………………………………………..; zgłoszenia takie wynikają
   z zobowiązania Wykonawcy do dokonywania rozwoju Oprogramowania Aplikacyjnego,
   o którym mowa w punkcie poprzedzającym, będą one rozpatrywane w czasie prac analitycznych przy rozwoju Oprogramowania Aplikacyjnego przez Producenta Systemu.

§3

ZOBOWIĄZANIA ZAMAWIAJĄCEGO

1. Zamawiający zobowiązuje się do:

   1. Wykonywania niezwłocznie czynności zaleconych przez Wykonawcę, w szczególności czynności związanych z bezpieczeństwem pracy systemu i bezpieczeństwem danych gromadzonych w systemie funkcjonującym u Zamawiającego, w tym
      w Oprogramowaniu Aplikacyjnym,

   2. Powstrzymania się od samodzielnego lub przy udziale osób trzecich dokonywania jakichkolwiek zmian w konfiguracji oprogramowania lub sprzętu komputerowego, na którym wykorzystywane jest Oprogramowanie Aplikacyjne objęte niniejszą umową, w tym Zamawiający zobowiązuje się nie dokonywać nieautoryzowanych przez Wykonawcę modyfikacji zawartości baz danych Oprogramowania Aplikacyjnego; za wyjątkiem wykonania tych czynności wykonywanych za uprzednią wyraźną zgodą Wykonawcy lub przez Autoryzowanego Partnera Serwisowego Wykonawcy.

   3. Dostarczenia na wniosek Wykonawcy wskazanych fragmentów lub całości baz danych Oprogramowania Aplikacyjnego, w przypadku uzasadnionej potrzeby ich użycia do prawidłowej realizacji przedmiotu niniejszej umowy poza siedzibą Zamawiającego przy zachowaniu poniższej procedury:

1. uprawiony pracownik Zamawiającego przekaże bazę danych Wykonawcy / Autoryzowanemu Przedstawicielowi Wykonawcy poprzez jej skopiowanie na serwer SFTP o adresie dwftp…………………………………………, w pliku archiwum (np. w formacie zip) zabezpieczonym hasłem (minimum 12 znakowym, uwzględniającym minimum 2 znaki specjalne i minimum 2 cyfry). Hasło do pliku archiwum zawierającego bazę danych będzie przekazywane SMS'em osobie ze Strony Wykonawcy, która wnioskowała o udostępnienie bazy danych. Zaszyfrowany plik archiwum z bazą danych będzie skopiowany przez pracownika Zamawiającego do katalogu domowego Zamawiającego na wskazanym wyżej serwerze SFTP, skąd będzie go mógł pobrać pracownik Wykonawcy, wnioskujący o udostępnienie bazy danych,

2. listę osób mogących wnioskować o udostępnienie bazy danych ze Strony Wykonawcy/ Autoryzowanego Przedstawiciela Wykonawcy, przy użyciu indywidualnego konta na serwerze SFTP, o którym mowa w pkt a) (wraz z adresem e-mail oraz numerem telefonu komórkowego), zawiera Załącznik nr 5 do niniejszej umowy,

3. listę osób mogących udostępniać bazę danych ze Strony Zamawiającego, przy użyciu indywidualnego konta na serwerze SFTP, o którym mowa w pkt a) oraz pkt b), (wraz z adresem e-mail, numerem telefonu komórkowego), zawiera Załącznik nr 5 do niniejszej umowy,

4. dostęp do serwerów SFTP wymaga uwierzytelnienia identyfikatorem i hasłem. Każdy użytkownik zarówno ze strony Zamawiającego, Wykonawcy jak i Autoryzowanego Przedstawiciela Wykonawcy, chcący skorzystać z zasobów serwera i mając do tego uprawnienie wynikające ze wskazania go w załączniku nr 5, będzie zobowiązany do posiadania własnego identyfikatora.

1. Delegowania i upoważnienia pracowników do współpracy z Wykonawcą w zakresie potrzebnym do świadczenia usług określonych niniejszą umową.

2. Zapewnienia, aby Oprogramowanie Aplikacyjne, zainstalowane u Zamawiającego, wymienione w załączniku nr 2 było używane wyłącznie przez użytkowników upoważnionych przez Zamawiającego do korzystania z wyżej wymienionego oprogramowania zgodnie z dokumentacją i instrukcjami Producenta.

3. Dokonywania zgłoszeń ewentualnych błędów zgodnie z niniejszą umową oraz dostarczania Wykonawcy rzetelnych i wyczerpujących informacji o stanie Oprogramowania Aplikacyjnego i o zamiarach wprowadzenia zmian w działalności Zamawiającego (z odpowiednim wyprzedzeniem) oraz materiałów potrzebnych do wykonania usług w zakresie niniejszej umowy.

4. Przekazywania na bieżąco Wykonawcy wszystkich wewnętrznych przepisów
   i regulaminów obowiązujących u Zamawiającego, które mogą mieć zastosowanie
   w realizacji niniejszej umowy.

5. Zapewnienia Wykonawcy możliwości stałego dostępu do Oprogramowania Aplikacyjnego objętego zakresem, określonym w §2 niniejszej umowy, w tym pracy w godzinach popołudniowych i wieczornych.

6. Udostępnienia Wykonawcy sprzętu komputerowego i Oprogramowania Aplikacyjnego Zamawiającego lub oprogramowania osób trzecich w zakresie potrzebnym do świadczenia usług określonych w §2 niniejszej umowy.

7. Zapewnienia pracownikom Wykonawcy warunków do świadczenia usług określonych w §2 niniejszej umowy, z uwzględnieniem obowiązujących u siebie przepisów BHP.

8. Zapewnienia zdalnego dostępu do Oprogramowania Aplikacyjnego objętego usługami określonymi w §2 niniejszej umowy, o ile to będzie konieczne.

1. Jeśli Zamawiający nie wywiąże się z obowiązków wymienionych powyżej, okoliczność ta traktowana będzie jako zwłoka Zamawiającego, a Wykonawca nie ponosi odpowiedzialności za dotrzymanie terminów przewidzianych umową.

§4

WARUNKI PŁATNOŚCI

1. Za realizację przedmiotu niniejszej umowy, określonego w §1, Zamawiający zapłaci Wykonawcy łączne wynagrodzenie, za cały okres obowiązywania niniejszej umowy, w wysokości: …………………………..zł netto, powiększone o podatek VAT ………………………., łącznie brutto: ……………………………zł, zgodnie z Ofertą Wykonawcy, stanowiącą Załącznik nr 1 do niniejszej umowy.

2. Usługi objęte niniejszą umową będą rozliczane w miesięcznych okresach rozliczeniowych po zakończeniu każdego miesiąca świadczenia usług.

3. Miesięczna wartość wynagrodzenia z tytułu realizacji przedmiotu niniejszej umowy, wskazanego w §1, w wysokości: …………………………..zł netto, powiększona o podatek VAT, łącznie: …………………………..zł brutto będzie płatna na podstawie faktur VAT wystawianych miesięcznie w terminie i na zasadach określonych w przepisach prawa obowiązujących w dniu wykonania usługi. Płatność nastąpi przelewem na rachunek bankowy Wykonawcy
   nr ………………………….. .

4. Zamawiający dopuszcza złożenie faktury VAT w formie:

1. papierowej;

2. ustrukturyzowanego dokumentu elektronicznego, złożonego za pośrednictwem Platformy Elektronicznego Fakturowania, zwanej dalej PEF, zgodnie z Ustawą o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym z dnia 9 listopada 2018 r. (Dz.U. 2018 poz. 2191).

5. Zamawiający zobowiązuje się dokonać zapłaty należności w terminie do 60 dni od:

1. daty dostarczenia oryginału prawidłowo wystawionej faktury VAT;

2. daty przesłania ustrukturyzowanej faktury elektronicznej za pośrednictwem PEF;

6. Zamawiający informuje, że identyfikatorem PEPPOL/adresem PEF Zamawiającego, który pozwoli na złożenie ustrukturyzowanej faktury elektronicznej jest: XXX 0000000000.

7. W przypadku nie zapłacenia przez Zamawiającego wynagrodzenia, określonego w §4 ust. 3 niniejszej umowy w ustalonym terminie, Wykonawca naliczy odsetki w wysokości ustawowej.

8. Opóźnienie zapłaty należności za wykonaną usługę w terminach określonych w §4 ust. 3 niniejszej umowy nie uprawnia Wykonawcy do wstrzymania świadczenia usług.

9. Zmiana stawki podatku od towarów i usług (VAT) w trakcie obowiązywania niniejszej umowy, w odniesieniu do usług przewidzianych niniejszą umową, skutkuje, z dniem wejścia w życie nowej stawki VAT, zmianą wynagrodzenia brutto należnego Wykonawcy oraz zmianą formularza cenowego stanowiącego załącznik nr 1 do umowy w zakresie stawki VAT, wymaga sporządzenia aneksu do niniejszej umowy.

10. Wykonawca nie może bez uprzedniej pisemnej zgody Zamawiającego i organu założycielskiego Szpitala przenieść wierzytelności wynikających z niniejszej umowy na osoby trzecie.

§5

OKRES OBOWIĄZYWANIA UMOWY

Niniejsza umowa została zawarta na okres 12 miesięcy od dnia jej podpisania.

§6

ODPOWIEDZIALNOŚC WYKONAWCY

1. Wykonawca nie ponosi odpowiedzialności za:

1. treść i integralność danych, otrzymywanych i przechowywanych przez użytkownika lub administratora Zamawiającego, (do których nie ma dostępu Wykonawca),

2. jakiekolwiek szkody wynikłe z nieprawidłowego działania lub zaprzestania funkcjonowania Oprogramowania Aplikacyjnego związane z nieprawidłowym korzystaniem z Oprogramowania Aplikacyjnego,

1. korzystanie z Oprogramowania Aplikacyjnego przez osoby nieupoważnione,

2. dokonywanie modyfikacji Oprogramowania Aplikacyjnego przez osoby inne niż upoważnione przez Wykonawcę,

3. udostępnienie hasła lub jakichkolwiek innych informacji identyfikujących użytkownika lub administratora Zamawiającego względem Wykonawcy, włącznie z treścią wiadomości przekazywanych przez użytkownika lub przez niego odbieranych, osobom upoważnionym na podstawie właściwych przepisów prawa lub regulaminów Wykonawcy oraz umów z podmiotami trzecimi, które biorą udział w świadczeniu usług,

4. wadliwe działanie sieci telekomunikacyjnej,

5. nieprawidłowe działanie lub brak działania Oprogramowania Aplikacyjnego, spowodowane nieprawidłowym działaniem lub brakiem działania oprogramowania osób trzecich, komunikującego się z oprogramowaniem Wykonawcy, z wyłączeniem oprogramowania zintegrowanego RIS i PACS.

6. siłę wyższą.

2. Odpowiedzialność odszkodowawcza Wykonawcy wynikająca z niewykonania lub nienależytego wykonania przedmiotu umowy ogranicza się do rzeczywistej straty Zamawiającego, bez utraconych korzyści, z jednoczesnym ograniczeniem do równowartości wynagrodzenia netto należnego Wykonawcy na podstawie niniejszej umowy.

3. Strony oświadczają, że wszelka odpowiedzialność Wykonawcy z tytułu rękojmi za wady fizyczne na podstawie art. 55 ustawy o prawie autorskim i prawach pokrewnych jak i na podstawie jakiegokolwiek tytułu prawnego, ulega wyłączeniu.

§7

KARY UMOWNE

1. Za każdą niewykonaną z winy Wykonawcy w terminie, a objętą umową usługę, Zamawiający naliczy karę umowną w wysokości 0,2% miesięcznego wynagrodzenia netto, o którym mowa w §4 ust. 3 umowy, za każdy pełny dzień zwłoki.

2. Naliczenie kary umownej, o której mowa w ust. 1 może nastąpić w terminie do 30 dni od daty zaistnienia przyczyn, stanowiących podstawę ich naliczenia. Po upływie tego terminu prawo do naliczenia kary, w oparciu o przyczyny stanowiące podstawę ich naliczenia, wygasa.

3. Łączna wartość kar umownych, o których mowa w ust. 1 nie może przekroczyć 20% wynagrodzenia netto, określonego w §4 ust. 1 umowy.

4. Zamawiający zastrzega sobie prawo do potrącenia należności wynikających z kar umownych bezpośrednio z wynagrodzenia przysługującego Wykonawcy - za pisemnym powiadomieniem Wykonawcy, na co Wykonawca wyraża zgodę. Zapłata lub potrącenie kary umownej nie zwalnia Wykonawcy z wykonania zobowiązań objętych umową.

5. Zamawiający może dochodzić odszkodowania uzupełniającego przenoszącego wysokość zastrzeżonych kar umownych na zasadach ogólnych, do wysokości rzeczywiście poniesionej szkody.

§8

SIŁA WYŻSZA

1. Żadna ze Stron umowy nie będzie odpowiedzialna za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z umowy spowodowane przez okoliczności traktowane jako Siła Wyższa. Przez Siłę Wyższą rozumie się zdarzenia pozostające poza kontrolą każdej ze Stron, których nie mogły one przewidzieć ani zapobiec, a które zakłócają lub uniemożliwiają realizację umowy.

2. W przypadku zaistnienia Siły Wyższej, Strona, której taka okoliczność uniemożliwia lub utrudnia prawidłowe wywiązanie się z jej zobowiązań niezwłocznie nie później jednak niż w ciągu 14 dni, powiadomi drugą Stronę o takich okolicznościach i ich przyczynie.

3. Jeżeli Siła Wyższa, będzie trwała nieprzerwanie przez okres 180 dni lub dłużej, Strony mogą w drodze wzajemnego uzgodnienia rozwiązać umowę, bez nakładania na żadną ze Stron dalszych zobowiązań, oprócz płatności należnych z tytułu wykonanych usług.

4. Okres występowania następstw Siły Wyższej powoduje odpowiednie przesunięcie terminów realizacji usług określonych w umowie, z zastrzeżeniem terminu obowiązywania umowy.

§9

RODO

Zgodnie z art. 13 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych (RODO) informujemy, że:

1. administratorem danych osobowych Wykonawców lub Zleceniobiorców jest:

Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego, xx. Xxxxxxx 0x, 00 -000 Xxxxxxxx;

2. administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować
   w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: xxx@xxxxx.xxx.xx;

3. administrator będzie przetwarzał Państwa dane osobowe na podstawie art. 6 ust. 1 lit. b) RODO, tj. przetwarzanie jest niezbędne w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

4. dane osobowe mogą być udostępnione innym uprawnionym podmiotom, na podstawie przepisów prawa, a także na rzecz podmiotów, z którymi administrator zawarł umowę powierzenia przetwarzania danych w związku z realizacją usług na rzecz administratora (np. kancelarią prawną, dostawcą oprogramowania, zewnętrznym audytorem, zleceniobiorcą świadczącym usługę z zakresu ochrony danych osobowych);

5. administrator nie zamierza przekazywać Państwa danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

6. mają Państwo prawo uzyskać kopię swoich danych osobowych w siedzibie administratora. Dodatkowo zgodnie z art. 13 ust. 2 RODO informujemy, że:

1. Państwa dane osobowe będą przechowywane do momentu upływu okresu przedawnienia wynikającego z ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny;

2. przysługuje Państwu prawo dostępu do treści swoich danych, ich sprostowania lub ograniczenia przetwarzania, a także prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przeniesienia danych oraz prawo do wniesienia skargi do organu nadzorczego;

3. podanie danych osobowych jest dobrowolne, jednakże niezbędne do zawarcia umowy. Konsekwencją niepodania danych osobowych będzie brak realizacji umowy;

4. administrator nie podejmuje decyzji w sposób zautomatyzowany w oparciu o Państwa dane osobowe.

7. Zamawiający wymaga zawarcia odrębnej umowy powierzenia przetwarzania danych osobowych, stanowiącej Załącznik nr 6 do niniejszej Umowy.

§10

PRAWA AUTORSKIE

1. Wykonawca oświadcza, że posiada autorskie prawa majątkowe do Oprogramowania Aplikacyjnego, którego dotyczy niniejsza umowa lub zgodę Podmiotu posiadającego autorskie prawa majątkowe do Oprogramowania Aplikacyjnego, którego dotyczy niniejsza umowa oraz posiada prawo do czerpania wynagrodzenia za korzystanie z niego przez osoby trzecie.

2. Oprogramowanie Aplikacyjne, którego dotyczy niniejsza umowa jest chronione prawem autorskim wynikającym z przepisów Ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (Dz. U. z 2006, Nr 90 poz. 631).

3. Zasady korzystania z Oprogramowania Aplikacyjnego będącego przedmiotem usług reguluje odrębna umowa licencyjna.

§11

ZMIANY UMOWY

1. Strony dopuszczają możliwość dokonania zmian umowy w następującym zakresie:

1. w sytuacji wystąpienia zmian w przepisach prawa powszechnie obowiązującego, w regulacjach wewnętrznych Zamawiającego, zmianach technologicznych w zakresie infrastruktury Zamawiającego, powodujących konieczność wprowadzenia modyfikacji we wdrożonym systemie informatycznym lub zmian organizacyjnych, w tym związanych z działalnością statutową powodujących konieczność nabycia przez Zamawiającego licencji na korzystanie z dodatkowych modułów Oprogramowania Aplikacyjnego, zmianie może ulec zakres modułów objętych usługą nadzoru oraz serwisu oraz wysokość wynagrodzenia należnego Wykonawcy z tytułu świadczenia usług,

2. zmian w umowie w celu ustalenia odmiennych zasad rozliczenia wynagrodzenia należnego Wykonawcy, w szczególności zmiany okresów rozliczeniowych,

3. zmian w umowie, które będą mogły być dokonane z powodu zaistnienia okoliczności niemożliwych do przewidzenia w chwili zawarcia umowy,

4. zmiany stawki podatku od towarów i usług, na zasadach o których mowa w § 4 ust. 9 umowy.

2. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

§12

ROZWIĄZANIE UMOWY

1. Zamawiający może odstąpić od umowy w trybie natychmiastowym, bez koniczności wyznaczania dodatkowego terminu na zaprzestanie naruszeń i usunięcie ewentualnych skutków tych naruszeń:

1. w razie zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia umowy, lub dalsze wykonywanie umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu - w terminie 30 dni od dnia powzięcia wiadomości o tych okolicznościach,

2. w przypadku niewykonania umowy lub rażącego naruszenia postanowień umowy przez Wykonawcę (np. powtarzające się opóźnienie w terminowej realizacji usług, w tym co najmniej dwukrotnego: (i) nie dokonania i udostępnienia Zamawiającemu odpowiednich korekt Oprogramowania Aplikacyjnego o których mowa w § 2 ust. 1.1 lit „a” tiret drugie; (ii) nie dokonania i udostępnienia Zamawiającemu odpowiednich korekt Oprogramowania Aplikacyjnego o których mowa w § 2 ust. 1.1 lit „b” tiret drugie – terminach tam wskazanych.)

Zmawiający może skorzystać z przysługującego mu uprawnienia w terminie 30 dni od powzięcia wiadomości o zaistnieniu okoliczności uzasadniającej odstąpienie.

2. Zamawiający może rozwiązać umowę, jeżeli zachodzi co najmniej jedna z następujących okoliczności:

3. zmiana umowy została dokonana z naruszeniem art. 144 ust. 1 -1 b, 1d i 1e ustawy Prawo zamówień publicznych,

4. Wykonawca w chwili zawarcia umowy podlegał wykluczeniu z postępowania na podstawie art. 24 ust. 1 ustawy Prawo zamówień publicznych,

5. Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że w ramach procedury przewidzianej w art. 258 Traktatu o Funkcjonowaniu Unii Europejskiej, że państwo polskie uchybiło zobowiązaniom, które ciążą na nim na mocy Traktatów, dyrektywy 2014/24/UE i dyrektywy 2014/25/UE, z uwagi na to, że Zamawiający udzielił zamówienia z naruszeniem przepisów prawa Unii Europejskiej.

6. W przypadkach, o których mowa w ust. 1 i 2 powyżej, Wykonawca może żądać wyłącznie wynagrodzenia należnego z tytułu wykonania części umowy.

7. Powyższe nie wyłącza możliwości rozwiązania lub odstąpienia od umowy w przypadkach przewidzianych
   w ustawie Kodeks Cywilny oraz ustawie z 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2018 r. poz.1986).

§13

ROZSTRZYGANIE SPORÓW oraz UMOWA O MEDIACJĘ

1. Strony ustalają, że wszelkie spory rozstrzygane będą w pierwszej kolejności w drodze negocjacji, a jeśli porozumienie nie zostanie zawarte - przez Sąd właściwy dla siedziby Zamawiającego.

2. Strony niniejszej umowy dobrowolnie poddają wszelkie spory z niej wynikłe pod rozstrzygniecie
   w drodze mediacji.

3. Sąd kieruje strony do mediacji na zarzut pozwanego zgłoszony przed wdaniem się w spór co do istoty sprawy, w związku z powyższym strony zobowiązują się, przed wytoczeniem powództwa wyczerpać tok postepowania mediacyjnego.

4. Mediatorami rozstrzygającymi spór mogą być osoby fizyczne, mające pełną zdolność do czynności prawnych, korzystające z pełni praw publicznych.

5. Osobę mediatora wyznacza, za zgoda strony przeciwnej, otrzymujący wniosek o przeprowadzenie mediacji

6. Koszty mediacji strony ponoszą w częściach równych. Wysokość wynagrodzenia mediatora nie może być wyższa niż określona w: Rozporządzeniu Ministra Sprawiedliwości z dnia 20 czerwca 2016 roku
   w sprawie wysokości wynagrodzenia i podlegających zwrotowi wydatków mediatora w postępowaniu cywilnym (Dz.U. z 2016 r. poz. 921)

7. Mediacje odbywają się na posiedzeniu mediacyjnym. Miejsce mediacji ustala mediator wybrany
   w sposób określony w ust. 5.

8. W przypadku zawarcia ugody, każdej ze stron przysługuje prawo do skierowania wniosku do sądu o jej zatwierdzenie, bądź nadanie klauzuli wykonalności.

9. Po odbyciu posiedzenia mediacyjnego, strony podpisują protokół z jego obrad, przy czym brak rozstrzygnięcia sporu powoduje wyczerpanie toku postępowania mediacyjnego.

§14

POSTANOWIENIA KOŃCOWE

1. Zamawiający wyraża zgodę na powierzenie realizacji niniejszej umowy osobom trzecim (podwykonawcom), w tym na powierzenie tym osobom przetwarzania danych osobowych, przy odpowiednim zastosowaniu zasad określonych w §9 niniejszej umowy, w zakresie
   w jakim niezbędne będzie udostępnienie i przetwarzanie takich danych dla wykonywania obowiązków wynikających z umowy podwykonawczej zawartej przez Wykonawcę
   z podwykonawcą, pod warunkiem, że podwykonawca zastosuje środki zabezpieczające, określone w przepisach prawa dotyczące przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zamawiający wyraża także zgodę na udostępnienie podwykonawcom informacji wskazanych w §9 niniejszej umowy,
   w zakresie w jakim będzie to niezbędne dla wykonywania obowiązków wynikających
   z umowy podwykonawczej zawartej przez Wykonawcę z podwykonawcą. Jednocześnie Wykonawca oświadcza, że za działania lub zaniechania osób trzecich, którym powierzono wykonanie umowy odpowiada jak za własne działania lub zaniechania.

2. W sprawach nie uregulowanych w niniejszej umowie zastosowanie będą miały przepisy Kodeksu Cywilnego i Ustawy prawo zamówień publicznych.

3. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Załączniki:

Załącznik nr 1 – Oferta Wykonawcy

Załącznik nr 2 - Opis przedmiotu zamówienia

Załącznik nr 3 - Zasady zdalnego dostępu

Załącznik nr 4 - Formularz zgłoszeniowy

Załącznik nr 5 - Informacje o Zamawiającym

Załącznik nr 6 - Umowa powierzenia przetwarzania danych osobowych

Wykonawca Zamawiający

…………………….……………………….. …….…………………….………………..

Załącznik nr 3 do umowy

Zasady zdalnego dostępu do zasobów informatycznych UCK WUM

Zgodne z Procedurą zdalnego dostępu do zasobów informatycznych UCK WUM

Numer PA. 003

określające zasady zdalnego dostępu pomiędzy UCK WUM a podmiotem zewnętrznym:

……………………………………………………………………………………

1. Każda osoba, która uzyskała dostęp zdalny do zasobów informatycznych UCK WUM, w tym osoby reprezentujące podmioty zewnętrzne, ponoszą bezpośrednią odpowiedzialność za stan bezpieczeństwa zasobów, środków i urządzeń które wykorzystywane są przez te osoby do realizacji dostępu zdalnego, w szczególności osoby te odpowiedzialne są za:

1. zapoznanie się z treścią niniejszej procedury oraz innymi przepisami prawa dotyczącymi bezpieczeństwa i poufności danych, jak również innymi aktami wewnętrznymi UCK WUM oraz za przestrzeganie ich w ramach udzielonego dostępu zdalnego;

2. stały nadzór oraz dbałość o bezpieczeństwo danych w tym danych osobowych, które przetwarza w ramach dostępu zdalnego, w szczególności utrzymanie właściwego poziomu bezpieczeństwa w zakresie swoich obowiązków i przyznanych uprawnień;

3. podjęcie przewidzianych przepisami obowiązującego prawa i wewnętrznymi aktami prawnymi, środków mających na celu właściwe zabezpieczenie danych;

4. wykorzystanie uprawnień do dostępu zdalnego i danych uzyskanych za pomocą tego dostępu, jedynie i wyłącznie w ramach realizowanych czynności i obowiązków dla celów których, dostęp zdalny został udzielony (prawidłowej realizacji przez podmiot zewnętrzny współpracy z UCK WUM), z jednoczesnym zachowaniem obowiązujących wymogów prawnych i procedur wewnętrznych UCK WUM;

5. zachowanie w tajemnicy treści informacji i danych uzyskanych za pomocą dostępu zdalnego, w tym w szczególności danych medycznych oraz danych osobowych;

6. postępowanie zgodnie z przyjętymi zasadami i minimalizowanie zagrożeń wynikających z ludzkich błędów.

2. Za nieprawidłowe korzystanie, nieprzestrzeganie i niedopełnienie obowiązków przez podmiot zewnętrzny współpracujący z UCK WUM lub osoby przez niego wyznaczone, związanych z uzyskanym dostępem zdalnym, podmiot zewnętrzny oraz osoby przez niego wyznaczone do realizacji dostępu zdalnego, ponosić będą odpowiedzialność prawną przewidzianą przepisami prawa. W przypadku wystąpienia powyższych okoliczności podmiot zewnętrzny oraz osoby przez niego wyznaczone, mogą zostać pociągnięte przez UCK WUM do odpowiedzialności na podstawie obowiązujących przepisów prawa, w szczególności określonych w Kodeksie Karnym i Kodeksie Cywilnym oraz na podstawie regulacji zamieszczonych w odpowiedniej umowie łączącej podmiot z UCK WUM.

3. Dostęp zdalny do zasobów może zostać udzielony tylko i wyłącznie jeżeli jest to niezbędne do prawidłowej realizacji przez podmiot zewnętrzny współpracy z UCK WUM.

4. UCK WUM może odmówić udzielenia podmiotom zewnętrznym uprawnienia do dostępu zdalnego, bez konieczności podawania przyczyny. Odmowa udzielenia dostępu zdalnego powinna być wydana w szczególności jeżeli w ocenie UCK WUM udzielenie dostępu zdalnego mogłoby negatywnie wpłynąć na bezpieczeństwo sieci oraz systemów informatycznych UCK WUM.

5. Dostęp zdalny realizowany będzie przez podmiot zewnętrzny za pośrednictwem następujących użytkowników:

   Imię Nazwisko Dane kontaktowe (telefon, e-mail)

6. Rodzaj i zakres zasobów UCK WUM, do których ma zostać udzielony dostęp zdalny:

……………………………………………………………………………………………………………………………………………………………………………….

7. Rodzaj sprzętu oraz rodzaj oprogramowania i ochrony antywirusowej i innych zabezpieczeń stacji roboczych, używanych do zdalnego dostępu

Nazwa komputera oraz adres sprzętowy karty sieciowej Zainstalowany system operacyjny Rodzaj oprogramowania i ochrony antywirusowej (należy podać producenta i nazwę) Czy oprogramowanie i ochrona antywirusowa jest aktualna?

8. Czy dostęp zdalny wykorzystywany będzie do celów naukowo-badawczych:  NIE  TAK

9. W przypadku jeśli równocześnie będzie wymagany dostęp do systemu informatycznego i/lub zaistnieje potrzeba założenia nowego konta w systemie informatycznym, należy złożyć wniosek o nadanie uprawnień w systemach informatycznych UCK WUM.

10. Zdalny dostęp do zasobów informatycznych UCK WUM realizowany jest, tam gdzie to możliwe, przy wykorzystaniu szyfrowanego mechanizmu VPN zgodnego z protokołem SSL 3 i TLS 1.3 lub cyfrowych certyfikatów wydawanych przez Centrum Certyfikacji UCK WUM.

11. W procesie nadawania uprawnień zdalnego dostępu VPN rozróżniane są trzy niezależne etapy:

1. etap Utworzenia i/lub modyfikacji konta;

2. etap tworzenia konta i nadawania uprawnień w systemach informatycznych UCK WUM;

3. etap odebrania zdalnego dostępu do wskazanych zasobów sieciowych i systemowych UCK WUM;

12. Uwierzytelnianie użytkowników do zasobów informatycznych realizowane jest za pomocą przypisanego unikalnego identyfikatora oraz hasła znanego jedynie użytkownikowi i/lub certyfikatu.

13. Konto użytkownika jest tworzone z hasłem zgodnym z zasadami zawartymi w Polityce Bezpieczeństwa UCK WUM.

14. Dostęp zdalny jest przyznawany maksymalnie na okres jednego roku, chyba że umowa łącząca podmiot zewnętrznych z UCK WUM jest krótsza. Termin na okres który udziela się dostęp zdalny, nie może być dłuższy niż okres trwania umowy łączącej podmiot zewnętrzny z UCK WUM. Po upływie okresu na który udzielono dostępu istnieje możliwość przedłużenia dostępu zdalnego (w tym o kolejny rok) pod warunkiem, że wnioskujący posiada aktywną umowę z UCK WUM oraz złoży wniosek o nadanie/modyfikacje/odebranie dostępu zdalnego.

15. Efektem końcowym osoby odpowiedzialnej za realizację procedury zdalnego dostępu do zasobów informatycznych UCK WUM jest przekazanie użytkownikowi danych umożliwiających poprawną zdalną autoryzację w systemie informatycznym.

16. Dane umożliwiające poprawną autoryzację są przekazywane tylko i wyłącznie telefonicznie lub osobiście albo za pomocą bezpiecznych szyfrowanych protokołów.

17. Proces instalacji i konfiguracji zdalnego dostępu jest realizowany samodzielnie przez użytkownika zgodnie z przekazaną instrukcją.

18. UCK WUM nie bierze odpowiedzialności za nieprawidłowe działanie zdalnego dostępu w przypadku gdy ruch jest blokowany na stacji użytkownika (oprogramowanie typu: firewall, antywirus, inne oprogramowanie filtrujące) lub przez urządzenia (np. router) w sieci z której łączy się użytkownik.

19. Dział Informatyki zastrzega sobie możliwość wyboru metody udostępniania połączenia zdalnego np. Gateway-to-Gateway (IPSec itp), Gateway-to-Client (SSL Client, l2tp/ipsec itp.) oraz metody autoryzacji użytkownika (np. certyfikat lub login i hasło).

20. UCK WUM nie gwarantuje ciągłego działania dostępu zdalnego jednak dołoży wszelkich starań, aby przerwy w działaniu dostępu zdalnego były jak najkrótsze.

21. Brak dostępu zdalnego do zasobów informatycznych UCK WUM nie będzie powodować żadnych roszczeń podmiotów zewnętrznych w stosunku do UCK WUM, a ponadto nie będzie zwalniać podmiotów zewnętrznych z należytego (w szczególności terminowego) wykonania łączących ich z UCK WUM umów i porozumień. Przyjmuje się w razie wątpliwości, że w przypadku braku dostępu zdalnego, podmiot zewnętrzny zobowiązany jest wykonywać swoje obowiązki, które dotychczas wykonywał zdalnie, na miejscu w obiektach UCK WUM.

22. Każda osoba i podmiot, które uzyskały prawo do dostępu zdalnego, zobowiązana jest przestrzegać poniższych zasad bezpieczeństwa oraz zgłaszać wszelkie stwierdzone fakty lub podejrzenia naruszenia atrybutów bezpieczeństwa zasobów informatycznych UCK WUM w zakresie poufności, integralności i dostępności danych.

23. Osoba i podmiot, które uzyskały prawo do dostępu zdalnego zobowiązane są do:

1. natychmiastowego zgłaszania do Inspektora ochrony danych UCK WUM (na adres xxx@xxxxx.xxx.xx) wystąpienia incydentu bezpieczeństwa danych, w każdym przypadku gdy wystąpiło choćby podejrzenie naruszenia zasad bezpieczeństwa zasobów informatycznych UCK WUM. Analiza incydentu dokonywana jest zgodnie z obowiązującą w UCK WUM polityką zarządzania incydentami bezpieczeństwa danych;

2. realizacji dostępu zdalnego i pracy w trybie dostępu zdalnego w bezpiecznym otoczeniu, minimalizującym zagrożenia m. in. dotyczące napadu, kradzieży oraz możliwości uzyskania wglądu do przetwarzanych informacji i danych przez osoby do tego nieuprawnione;

3. objęcia ochroną antywirusową i zabezpieczenia dostępu sieciowego oraz zabezpieczenia stacji roboczych, używanych do zdalnego łączenia się zasobami informatycznymi UCK WUM;

4. natychmiastowego pisemnego zgłoszenia do UCK WUM zgubienia lub kradzieży sprzętu komputerowego wykorzystywanego do połączenia zdalnego oraz jeżeli zaistnieją do tego podstawy – również zgłoszenia kradzieży do organów ścigania;

5. niekorzystania z dostępu zdalnego w miejscach publicznych rozumianych, jako miejsca niepozwalające na dostateczne zabezpieczenie przetwarzanych informacji i danych przed ich podejrzeniem przez osoby nieuprawnione lub przed kradzieżą;

6. przestrzegania zakazu korzystania z dostępu zdalnego, poprzez wykorzystanie nieznanych internetowych punktów dostępowych (np. publiczne hotspoty);

7. ochrony systemu i danych na nim zgromadzonych, z których korzysta w ramach dostępu zdalnego;

8. do korzystania tylko i wyłącznie z przydzielonych im własnych danych identyfikacyjnych do dostępu zdalnego.

24. Zabrania się udostępniania przez osobę i podmiot, które uzyskały prawo do dostępu zdalnego, innym osobom, danych o koncie i haśle użytkownika utworzonych w ramach dostępu zdalnego.

25. Osoby i podmioty, które uzyskały prawo do dostępu zdalnego, oddalając się od swojego stanowiska komputerowego i miejsca w którym korzystają z dostępu zdalnego, zobowiązane są bezwarunkowo do poprawnego, każdorazowego rozłączenia otwartego połączenia zdalnego.

26. Po zakończeniu korzystania z połączenia zdalnego należy zamknąć połączenie.

27. Hasła dostępu użytkownika umożliwiające nawiązanie połączenia zdalnego z UCK WUM są znane tylko i wyłącznie danemu użytkownikowi i nie mogą być przekazywane żadnej osobie, w tym pracownikom Działu Informatyki UCK WUM.

28. Podmiot zewnętrzny zobowiązany jest do bezzwłocznego informowania UCK WUM o wszelkich zmianach osób, które zostały przez podmiot wskazane jako osoby uprawnione do korzystania z udostępnionego dostępu zdalnego (użytkowników), w szczególności obowiązek informowania dotyczy zakończenia współpracy z osobą wskazaną lub zmiany zakresu zadań tej osoby, powodującą ustanie konieczności korzystania przez daną osobę z dostępu zdalnego.

29. Podmiot zewnętrzny zobowiązany jest do przekazania wyznaczonym użytkownikom i zapoznania ich z warunkami udzielenia w UCK WUM zdalnego dostępu oraz z obowiązkami jakie na nich ciążą wobec UCK WUM.

30. UCK WUM przekaże podmiotowi zewnętrznemu instrukcję umożliwiającą instalację oraz konfigurację oprogramowania umożliwiającego zdalny dostęp do zasobów informatycznych UCK WUM. Podmiot zewnętrzny zobowiązany jest do przekazania osobom wyznaczonym przez siebie informacji umożliwiających aktywację zdalnego dostępu.

31. Podmiot zewnętrzny zobowiązany jest do nieujawniania osobom niezaangażowanym w realizację obowiązków związanych ze zdalnym dostępem, żadnych informacji mogących umożliwić uzyskanie dostępu do zasobów informatycznych UCK WUM przez osoby niepowołane i niewskazane przez podmiot zewnętrzny w pisemnej liście osób upoważnionych.

32. Podmiot zewnętrzny ponosi pełną odpowiedzialność za swoich przedstawicieli i współpracowników, w tym w szczególności za osoby które zostały wskazane imiennie jako uprawnione imiennie do korzystania z przyznanego dostępu zdalnego.

33. Podmiot zewnętrzny zobowiązany jest do zapewnienia funkcjonowania u niego polityk i procedur bezpieczeństwa mających na celu utrzymanie bezpieczeństwa informacji i danych UCK WUM, do których podmiot uzyska dostęp w ramach zdalnego dostępu.

34. Podmiot zewnętrzny zobowiązany jest do zapewnienia monitoringu i rozliczalności działań prowadzonych w sieci na poziomie użytkowników.

35. Podmiot zewnętrzny zobowiązany jest do zapewnienia, że wyznaczeni przez niego użytkownicy przestrzegać będą następujących zasad:

1. niepodejmowania prób uzyskania dostępu zdalnego z wykorzystaniem sprzętu lub lokalizacji, które nie zostały zaakceptowane przez UCK WUM;

2. zapewnienia ochrony przetwarzanych danych, w tym niepozostawiania niewylogowanego użytkownika gdy odchodzi od stanowiska pracy, nieudostępniania loginów i haseł jakimkolwiek osobom;

3. podejmowania działań ochronnych przed zainfekowaniem systemu złośliwymi oprogramowaniem;

4. użytkownicy będą korzystać jedynie i wyłącznie z wyraźnie wskazanych systemów i zasobów UCK WUM, do których uzyskano dostęp;

36. Po zakończeniu korzystania z dostępu zdalnego podmiot zewnętrzny zobowiązany jest zwrócić UCK WUM wszelkie dane jakie uzyskał w związku z dostępem oraz w przypadku braku możliwości zwrotu, dokonać nieodwracalnego usunięcia danych i niezwłocznie poinformować UCK WUM o usunięciu.

37. Nadane dostępy zdalne mogą być modyfikowane. Modyfikacja może być dokonywana z inicjatywy własnej UCK WUM lub na wniosek.

38. Modyfikacja polega na rozszerzeniu lub cofnięciu części nadanych dostępów.

39. Rozszerzenie dostępu zdalnego o dodatkowe zasoby może zostać udzielone tylko i wyłącznie jeżeli jest to niezbędne do prawidłowej realizacji przez podmiot zewnętrzny współpracy z UCK WUM.

40. UCK WUM podejmuje autonomiczną decyzję i ocenę czy w danym przypadku występują okoliczności, które w opinii UCK WUM świadczą o konieczności modyfikacji tego typu dostępu, chyba że z zawartych umów z podmiotem zewnętrznym bezpośrednio wynika obowiązek UCK WUM do modyfikacji dostępu zdalnego.

41. UCK WUM może odmówić rozszerzenia podmiotowi zewnętrznemu uprawnienia do dostępu zdalnego, bez konieczności podawania przyczyny. Odmowa modyfikacji nadanego dostępu zdalnego powinna być wydana w szczególności jeżeli w ocenie UCK WUM udzielenie dostępu zdalnego mogłoby negatywnie wpłynąć na bezpieczeństwo sieci oraz systemów informatycznych UCK WUM.

42. Warunkiem modyfikacji zdalnego dostępu do zasobów informatycznych UCK WUM na wniosek, jest w przypadku podmiotu zewnętrznego - złożenie wniosku o modyfikacje dostępu zdalnego wraz z podpisanym oświadczeniem o zachowaniu zasad bezpieczeństwa i ponoszenia odpowiedzialności. Warunkiem udzielenia dostępu zdalnego jest również podpisanie umowy powierzenia przetwarzania danych osobowych (chyba że umowa taka została już zawarta). Wzór wniosku stanowi Załącznik Nr 2 do procedury zdalnego dostępu do zasobów informatycznych UCK WUM.

43. Modyfikacja dostępu zdalnego następuje na tych samych zasadach jak przy jego pierwszym udzielaniu.

44. Jeśli wniosek o modyfikacje będzie dotyczyć rozszerzenia nadanych dostępów zdalnych, a wskazana we wniosku umowa współpracy będzie różna od podanej w pierwotnym wniosku, wówczas taki wniosek może zostać potraktowany jako nowy wniosek o nadanie dostępów.

45. Dostęp zdalny odbierany jest poprzez zablokowanie konta lub unieważnienie certyfikatów w następujących przypadkach:

1. automatycznie, z upływem okresu na który dostęp zdalny był udzielony;

2. w przypadku zmiany osób upoważnionych do korzystania z dostępu zdalnego w imieniu podmiotu zewnętrznego;

3. na każde polecenie Kierownika Działu Informatyki lub Dyrekcji UCK WUM, przy czym nie ma obowiązku wskazywania przyczyny, chyba że inaczej wynika z umowy lub porozumienia łączącego użytkownika z UCK WUM (Dział Informatyki zastrzega sobie możliwość skrócenia okresu ważności konta do niezbędnego minimum bez podania przyczyny);

4. przez kompromitację certyfikatu (upublicznienie klucza prywatnego);

5. przez kompromitację danych autoryzacyjnych (login i hasło) użytkownika;

6. nieprzestrzegania przez podmiot zewnętrzny zasad udzielenia i korzystania z dostępu zdalnego, wskazanych w umowach i porozumieniach między UCK WUM a użytkownikiem;

7. wystąpienia lub chociażby podejrzenia wystąpienia incydentu bezpieczeństwa danych i bezpieczeństwa zasobów informatycznych UCK WUM w zakresie poufności, integralności lub dostępności danych;

8. na wniosek podmiotu któremu udzielono dostępu zdalnego.

46. UCK WUM co do zasady udziela dostępu zdalnego na zasadach nieodpłatności, chyba że z zawartych umów z podmiotem zewnętrznym bądź z treści wniosku o dostęp zdalny wynika, że usługa dostępu zdalnego udzielona zostanie odpłatnie.

47. W przypadku odpłatnego udzielenia dostępu zdalnego, wysokość wynagrodzenia oraz warunki jego płatności określa się w umowie z podmiotem zewnętrznym.

48. Podmiot zewnętrzny oświadcza, że wskazane dane są zgodne z prawdą. Jednocześnie podmiot zewnętrzny rozumie i akceptuje zasady dostępu zdalnego oraz dotyczące go obowiązki i przyjmuje pełną odpowiedzialność za przyznane podmiotowi zewnętrznemu oraz wskazanym użytkownikom dane dostępowe i jest świadomy praw UCK WUM do pociągnięcia podmiot zewnętrzny do odpowiedzialności w przypadku utraty poufności danych z winy podmiotu zewnętrznego oraz jego przedstawicieli i wskazanych użytkowników. Podmiot zewnętrzny zobowiązuje się przestrzegać zasad dostępu zdalnego w tym procedur wewnętrznych dostępu zdalnego i ochrony danych, obowiązujących w UCK WUM oraz przepisów prawa. Jednocześnie zobowiązuje się dołożyć wszelkich starań celem ochrony danych, do których podmiot zewnętrzny i użytkownicy otrzymają dostęp, przed ich utratą, nieuprawnioną modyfikacją lub ujawnieniem nieuprawnionym osobom. Podmiot zewnętrzny oraz wskazani przez niego użytkownicy zobowiązuję się do:

1. nieinstalowania jakiegokolwiek oprogramowania w zasobach i sieciach informatycznych UCK WUM;

2. nieudostępniania swojego identyfikatora (loginu) i hasła żadnym osobom;

3. zapewnienia odpowiedniego i bezpiecznego środowiska pracy zdalnej;

4. niedokonywania nieautoryzowanej pracy w systemach UCK WUM;

5. nieuruchamiania aplikacji umożliwiających rozkodowanie hasła;

6. nieuruchamiania aplikacji innych niż zalecane do pracy zdalnej;

7. niepozyskiwania i nieprzetwarzania danych, w tym danych osobowych wykraczających poza cel udzielenia dostępu zdalnego;

8. niekorzystania z dostępu zdalnego po upływie terminu na który został udzielony;

9. zachowania w tajemnicy treści informacji i danych uzyskanych za pomocą dostępu zdalnego, w tym w szczególności danych medycznych oraz danych osobowych.

49. Podmiot zewnętrzny jest świadomy możliwości monitorowania przez UCK WUM zawartości wiadomości e-mail i innych wiadomości przesyłanych z wykorzystywaniem systemów UCK WUM, jak również możliwości regularnego monitorowania wykorzystywania sieci Internet, z zachowaniem poszanowania godności i innych dóbr osobistych użytkownika systemów UCK WUM. Podmiot zewnętrzny oświadcza, że on oraz wskazani przez niego użytkownicy, zapoznali się z treścią i akceptują zapisy obowiązującej w UCK WUM procedury zdalnego dostępu do zasobów informatycznych. Gwarantuje i zobowiązuje się, że udzielony dostęp zdalny zostanie wykorzystany wyłącznie przez Podmiot zewnętrzny i wskazanych przez nich użytkowników, wyłącznie we wskazanym we wniosku celu i zakresie. Podmiot zewnętrzny oświadcza i zobowiązuje się do ponoszenia pełnej odpowiedzialności za działania i zaniechania swoich przedstawicieli i współpracowników, w tym w szczególności za osoby które zostały wskazane jako użytkownicy.

Załącznik nr 4 do umowy

FORMULARZ ZGŁOSZENIOWY

Typ dokumentu:

□ Zgłoszenie błędu

□ Uwaga/propozycja zmiany

WYPEŁNIA ZGŁASZAJĄCY NR FAKSU: ………………………………

Zgłoszenie dotyczy: □ Systemów administracyjnych □ Systemów medycznych - proszę wybrać system, którego dotyczy zgłoszenie i przesłać na adres: …………..
Symbol zewnętrzny	- proszę wpisać dowolny symbol identyfikujący zgłoszenie w ewidencji Zgłaszającego
Tytuł zgłoszenia	Umowa nr ………………..
Zgłaszający	……………….
Kontakt	Imię, nazwisko, nazwa i adres firmy/komórka organizacyjna/tel., e-mail
Szpital	……………….
Adres Szpitala	……………….
Dotyczy modułu	Nazwa modułu		Klasyfikacja: Błąd krytyczny (jeżeli dotyczy) Błąd zwykły
Termin zgłoszenia	Data	Godzina		Czy dzień roboczy? (TAK/NIE)
Wymagany termin reakcji	Reakcja	Diagnoza		Naprawa

WYPEŁNIA PRZYJMUJACY:

Przyjmuje pracownik Hot - Line	Imię, nazwisko, nazwa i adres firmy/komórka organizacyjna/tel., e-mail
	Podpis Przyjmującego:
Nr wewnętrzny zgłoszenia				Klasyfikacja: Błąd krytyczny (jeżeli dotyczy) Błąd zwykły
Termin przyjęcia	Data	Godzina			Czy dzień roboczy? (TAK/NIE)
Zobowiązany do udzielenia odpowiedzi przedstawiciel Wykonawcy	Imię, nazwisko, nazwa i adres firmy/komórka organizacyjna/tel., e-mail
Termin odpowiedzi	Data			Godzina
Wymagany termin reakcji	Reakcja		Diagnoza			Naprawa

Akceptacja Zamawiającego: Osoba odpowiedzialna za umowę od strony Wykonawcy: Akceptacja Wykonawcy:

Załącznik nr 5 do umowy

Umowa nr …………………..

INFORMACJA O ZAMAWIAJĄCYM

Dane Zamawiającego:	Dane zarejestrowane:	Dane poprawne (korekta):
Nazwa jednostki:
Adres:
Główny adres e-mail Zamawiającego:
Akceptacja dostarczania informacji dotyczących pakietu Oprogramowania Aplikacyjnego na w/w adres e-mail (TAK/NIE):
Nr telefonu:
Nr faksu:
NIP
REGON
Wpis do KRS prowadzonego przez:
KRS:
Adres WWW:
Identyfikator Zamawiającego w systemie zgłoszeń:

Akceptacja Zamawiającego: Osoba odpowiedzialna za umowę od strony Wykonawcy: Akceptacja Wykonawcy:

Załącznik nr 6 do umowy

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu …………………………………… pomiędzy:

Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą przy xx. Xxxxxxx 0x, 00-000 Xxxxxxxx, adres do korespondencji: xx. Xxxxxx x Xxxxxx 00X, 00-000 Xxxxxxxx, wpisanym przez Sąd Rejonowy dla x.xx. Warszawy,
XII Wydział Gospodarczy Krajowego Rejestru Sądowego do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji i samodzielnych publicznych zakładów opieki zdrowotnej pod numerem KRS 0000073036, NIP: 5220002529,
REGON: 000288975, zwanym dalej „Administratorem”

reprezentowanym przez

Xxxxxxx Xxxxxxx Xxxxxxxxx – Dyrektor

a

…………………………………., ul. ………………………, ………………………………, wpisaną do rejestru przedsiębiorców pod nr KRS ………………………., prowadzonego przez Sąd Rejonowy ………………………………………., posiadającą REGON: …………………………, NIP: …………………………………………………….,

reprezentowaną przez:

………………………………………………………………………..

………………………………………………………………………..

zwanym dalej „Przetwarzającym”,

zwani dalej „Stroną” lub „Stronami”

§ 1

Przedmiot Umowy

1. Strony oświadczają, że zawarły Umowę Główną (zwana dalej Umową Główną), których realizacja wymaga powierzenia Przetwarzającemu przetwarzania danych osobowych administrowanych przez Administratora, przy czym szczegółowe informacje o Umowie Głównej wskazano w poniższej tabeli:

   Numer	Data zawarcia	Przedmiot umowy – cel i charakter przetwarzania	Kategoria osób których dane dotyczą – rodzaj powierzonych danych osobowych	Czas przetwarzania
   		Umowa na usługi opieki serwisowej i gwarancyjnej, których zakres rzeczowy określa Umowa Główna. Cel- zapewnienie gotowości Wykonawcy do udostępniania nowych wersji oprogramowania i realizacji usług konserwacyjno-serwisowych rozwiązania indywidualnego lub jego poszczególnych części. Zapewnienie gotowości Wykonawcy na wypadek wystąpienia problemów w trakcie eksploatacji systemu oraz wykonania koniecznych zmian w zakresie rozwiązania indywidualnego.	Dane osobowe adresowe dotyczące pracowników i przedstawicieli Administratora : imię i nazwisko, data urodzenia, pesel, numer prawa wykonywania zawodu, informacje o podstawie zatrudnienia i wynagrodzeniu, wykształceniu, tytułach zawodowych, dane adresowe i kontaktowe, dane dotyczące członków rodziny pracownika - jeżeli dotyczy, numer NIP, numer dowodu osobistego, informacje dot. niepełnosprawności Dane osobowe i adresowe pacjentów i opiekunów, dane medyczne, dotyczące stanu zdrowia, przebiegu leczenia, rozpoznań, wykonanych zabiegów i procedur. Dane dotyczące osób udzielających świadczeń. Dane dotyczące rozliczeń świadczeń medycznych.	Czas realizacji umowy głównej przez inny odpowiedni czas, jeżeli przepisy obowiązującego prawa nakazują przetwarzającemu dalsze przechowywanie danych osobowych

2. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych uzyskanych przez Przetwarzającego w związku z realizacją w/w Umowy Głównej, w celu i zakresie wskazanym powyżej, a Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe, zgodnie z wymogami i warunkami obowiązujących w tym zakresie przepisów prawnych, w tym z treścią Ogólnego Rozporządzenia o Ochronie Danych 2016/679/WE. Strony oświadczają, że powierzone dane osobowe, będą przetwarzane tylko na terenie Europejskiego Obszaru Gospodarczego (EOG).

3. Przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować odpowiednie środki techniczne i organizacyjne, zapewniające stopień ochrony bezpieczeństwa danych osobowych, odpowiadający stopniowi ryzyka naruszenia praw osób których dane dotyczą.

4. Przetwarzający oświadcza, iż dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie niniejszej Umowy, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia 2016/679/WE.

5. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz Umowie Głównej/Umowach Głównych, a przy ich przetwarzaniu zobowiązany jest stosować środki zabezpieczające, o których mowa w art. 32 Rozporządzenia 2016/679/WE, w szczególności poprzez stosowanie urządzeń zapewniających kontrolę dostępu, pseudonimizację i szyfrowanie danych.

6. W ramach udzielonego powierzenia, Przetwarzający może przetwarzać dane poprzez utrwalanie, zwielokrotnianie, przechowywanie, porządkowanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, usuwanie oraz niszczenie.

§ 2

Prawa i obowiązki Stron

1. Przetwarzający:

1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się niniejszą umowę oraz Umowę Główną. W przypadku powierzenia przetwarzania danych w zakresie szerszym niż to wynika z niniejszej umowy oraz Umowy Głównej, Administrator wyda odrębne polecenie i określi zakres, cel oraz przedmiot powierzenia.

2. zobowiązany jest udostępnić Administratorowi, na każde żądanie, informacji o środkach technicznych i organizacyjnych i dokumentacji dotyczącej tych środków, które stosuje w celu ochrony danych osobowych;

3. zobowiązany jest stosować się do poleceń Administratora dotyczących przetwarzania powierzonych danych;

4. zobowiązany jest zapewnić, aby przetwarzanie danych następowało przy pomocy osób, które posiadają odpowiednią wiedzę na temat ochrony danych osobowych oraz które zobowiązały się do zachowania tajemnicy, lub tajemnicę zobowiązane są zachować na podstawie odrębnych przepisów;

5. zobowiązany jest zapewnić, aby przetwarzanie danych następowało przy pomocy osób, które posiadają pisemne upoważnienie wydane przez Przetwarzającego;

6. zobowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych;

7. zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora;

8. zobowiązany jest prowadzić rejestr naruszeń ochrony danych;

9. zobowiązany jest przechowywać dane osobowe zawarte na elektronicznych nośnikach informacji, w taki sposób, aby dostęp do nich miały jedynie osoby uprawnione, a do danych przetwarzanych w systemach informatycznych osoby, które przeszły pomyślnie proces uwierzytelnienia i autoryzacji;

10. zobowiązany jest pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia 2016/679/WE;

11. zobowiązany jest pomagać Administratorowi, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia 2016/679/WE, w szczególności Przetwarzający zobowiązuje się do poinformowania Administratora o złożonym żądaniu osoby, której dane dotyczą w ciągu 2 dni od dnia otrzymania takiego żądania;

12. zobowiązany jest do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych Danych Osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących Przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy;

13. zobowiązany jest niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie Rozporządzenia 2016/679/WE lub innych przepisów o ochronie danych;

14. Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania danych przez Przetwarzającego.

15. w przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego niniejszej Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania Administratorowi lub osobie trzeciej, która zgłosiła takie żądanie do Administratora lub Przetwarzającego.

16. za naruszenie przez pracowników, zleceniobiorców, współpracowników lub podwykonawców warunków Umowy Przetwarzający odpowiada jak za działania własne.

2. Administrator:

1. ma prawo dokonywania kontroli i audytów oraz żądania udzielenia przez Przetwarzającego wyjaśnień i informacji o środkach i wszelkich okolicznościach i warunkach przetwarzania przez niego danych osobowych;

2. uprawniony jest do wydawania Przetwarzającemu wiążących poleceń, dotyczących środków służących zabezpieczeniu danych osobowych;

3. ma prawo do rozwiązania niniejszej umowy ze skutkiem natychmiastowym oraz rozwiązania Umowy Głównej, jeżeli Przetwarzający nie przestrzega swoich zobowiązań wynikających z niniejszej Umowy, w tym x.xx. narusza obowiązujące przepisy prawa dotyczące przetwarzania danych osobowych;

§ 3

Naruszenie ochrony danych osobowych

1. W przypadku zdarzenia mogącego skutkować naruszeniem ochrony danych osobowych, Przetwarzający zobowiązany jest do:

1. przekazania Administratorowi informacji w terminie 24 godzin od wykrycia zdarzenia, drogą telefoniczną oraz mailową na adres xxx@xxxxx.xxx.xx;

2. wyznaczenia osób odpowiedzialnych za podjęcie kroków w celu zbadania przyczyn i skutków zdarzenia i podjęcia działań naprawczych w uzgodnieniu z Administratorem;

3. podania wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, o których mowa w art. 34 Rozporządzenia 2016/679/WE w ciągu 24 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych;

4. przeprowadzenia analizy skutków naruszenia praw i wolności podmiotów danych i przekazania wyników tej analizy do Administratora, w tym oceny czy konieczne jest zgłoszenie naruszenia do organu nadzorczego, a to w terminie 36 godzin od wykrycia zdarzenia;

5. przygotowania w ciągu 48 godzin od wykrycia zdarzenia, informacji wymaganych w zgłoszeniu naruszenia ochrony danych do organu nadzorczego, jeżeli decyzję o dokonaniu zgłoszenia podejmie Administrator;

§ 4

Termin obowiązywania umowy – usunięcie danych

1. Niniejsza Umowa zostaje zawarta na czas wynikający z czasokresu przetwarzania danych osobowych przez Przetwarzającego, w tym niniejsza Umowa nie ulega rozwiązaniu mimo rozwiązania Umowy Głównej, jeżeli z przepisów szczególnych, w tym dotyczących przechowywania dokumentacji medycznej wynikają dłuższe okresy, w których dane osobowe nadal będą przetwarzane przez Przetwarzającego.

2. Po zakończeniu przetwarzania danych osobowych, niezależnie od dalszego obowiązywania Umowy Głównej, Przetwarzający zobowiązany jest do usunięcia lub zwrotu Administratorowi wszelkich danych osobowych (w tym również części danych) uzyskanych w związku z realizacją Umowy Głównej, których dalsze przetwarzanie, w tym archiwizowanie nie jest wymagana odrębnymi przepisami prawa.

3. Jeżeli odrębne przepisy tego wymagają, Przetwarzający zobowiązany jest do archiwizacji lub usunięcia danych osobowych zgodnie z tymi przepisami. W zakresie nieuregulowanym w odrębnych przepisach, Przetwarzający zobowiązany jest do usunięcia danych w sposób uniemożliwiający ich odtworzenie. Przed usunięciem danych Przetwarzający uzgodni z Administratorem, które z powierzonych danych podlegać będą zwrotowi, a które usunięciu.

§ 5

Postanowienia końcowe

1. Niniejsza umowa wchodzi w życie z dniem jej podpisania.

2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

3. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy Rozporządzenia 2016/679/WE, Kodeksu Cywilnego oraz wszelkich innych przepisów krajowych dotyczących ochrony danych osobowych

4. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Administratora.

5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

w imieniu Administratora w imieniu Przetwarzającego

29