wzór umowy Umowa Nr………………………………

dotyczy zapytanie nr PU/156/EO/71/2023 załącznik nr 4 do Zapytania Ofertowego



wzór umowy

Umowa Nr………………………………



Zawarta w dniu ……………… roku w Warszawie pomiędzy:

Narodowym Instytutem Kardiologii Xxxxxxx Xxxxxxxxx Xxxxxxxxxxxx – Państwowym Instytutem Badawczym z siedzibą w Warszawie przy ul. Xxxxxxxxxx 00 (kod pocztowy: 04-628), wpisanym do Rejestru Przedsiębiorców prowadzonym przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV wydział gospodarczy Krajowego rejestru sądowego pod numerem, KRS: 0000041396, NIP: 000-000-00-00, REGON: 000837583,

zwanym dalej „Zamawiającym”, w imieniu i na rzecz którego działa:

……………………………………………………………………………………….,



a



...................................................................................., z siedzibą w ......................................................... (…..-……..), przy ul. ..................................................................., prowadzącą działalność gospodarczą na podstawie wpisu ……………………..……., pod numerem KRS ……….………….…, NIP: ......................................, REGON: ......................................, w imieniu i na rzecz którego działa:

……………………...………………………………………..,

zwanym dalej „Wykonawcą”,

Została zawarta umowa następującej treści:

§ 1

Przedmiot umowy

  1. Przedmiotem Umowy jest świadczenie przez Wykonawcę na rzecz Zamawiającego specjalistycznych usług informatycznych.

  2. Strony ustalają następujący zakres usług Wykonawcy:

  1. Konserwacja systemów: usługi poawaryjnego odzyskiwania systemów, usługi komputerowe w zakresie archiwizowania, usługi pomocy komputerowej, usługi wsparcia systemu, usługi testowania i konserwacji systemów;

  2. Zarządzanie oprogramowaniem sieciowym: administrowanie siecią LAN klienta oraz sprzętem sieciowym (routery, przełączniki), serwerami sieciowymi działającymi pod kontrolą systemu operacyjnego Linux, Microsoft Windows

  3. Konserwacja i administracja systemem pocztowym i antyspamowym

  4. Konserwacja i administracja serwerami DNS

  1. Szczegółowy zakres przedmiotu umowy zawarty jest w opisie przedmiotu zamówienia, wykazie usług oraz w formularzu oferty (oferta)- zał. 1,2,3

  2. Wykonawca zobowiązuje się do zrealizowania przedmiotu Umowy z należytą starannością, w sposób zgodny z obowiązującymi przepisami, zasadami wiedzy technicznej i zapisami Umowy oraz z przestrzeganiem praw autorskich.

§ 2

Zasady realizacji umowy


  1. Umowa będzie wykonywana w okresie od 01.06.2023 r. do 31.05.2024 r.

  2. Zamawiający zobowiązuje się do udostępnienia Wykonawcy wszelkich informacji, środków i narzędzi informatycznych w stopniu niezbędnym do wykonywania umowy

  3. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, jakie uzyskał w związku z wykonywaną umową

  4. Strony ustalają, że świadczenie usług będzie realizowane za pomocą środków własnych Wykonawcy w siedzibie Zamawiającego, a także w formie konsultacji telefonicznych i dostępu zdalnego poprzez sieć Internet (dostęp szyfrowany VPN), a w razie potrzeby poprzez wizyty w następujących lokalizacjach należących do Zamawiającego:

  1. Xxxxxxxx 00, 00-000 Xxxxxxxx

  2. Xxxxxxxxxxxx 00, 00-000 Xxxxxxxx

  1. Wykonawca oświadcza, że posiada niezbędną wiedzę i doświadczenie, oraz dysponuje potencjałem technicznym do wykonania umowy

  2. Wykonawca ponosi ryzyko gospodarcze związane z prowadzoną działalnością

  3. Przedmiot umowy nie jest wykonywany pod kierownictwem Zamawiającego

  4. W ramach realizacji umowy miesięcznie Zamawiającemu przysługuje 20 godzin opieki- realizacji usług przez Wykonawcę (abonament miesięczny), o którym mowa w § 3 ust. 1 Dodatkowe godziny opieki- realizacji usług Wykonawcy będą płatne zgodnie ze stawką godzinową, o której mowa w § 3 ust. 2.

  5. Łączna ilość dodatkowych godzin wykonawcy w trakcie trwania umowy nie może przekroczyć 312 godzin.

  6. Wykonawca zobowiązuje się do przedstawienia miesięcznego sprawozdania z liczby godzin realizacji usługi na rzecz Zamawiającego do akceptacji osoby wskazanej w ust. 14 niniejszego paragrafu.

  7. Wykonawca jest do dyspozycji Zamawiającego w powyższych lokalizacjach w dni robocze oraz w soboty i niedziele w godzinach 7:00-19:00, lub w godzinach 24/7 po wcześniejszym uzgodnieniu.

  8. W szczególnie ciężkich przypadkach technicznych (awaria, konieczność natychmiastowej reakcji) Wykonawca jest do dyspozycji Zamawiającego w powyższych lokalizacjach w dodatkowo uzgodnionych terminach.

  9. Wykonawca do przyjmowania w jego imieniu oświadczeń oraz reprezentowania w sprawach związanych z wykonaniem umowy wyznacza:

……………………………………………….……………

tel.: +48…………………………..…………….., e-mail: ……………………………………………

  1. Do kontaktów z Wykonawcą Zamawiający upoważnia:

……………………………………………….……………

tel.: +48…………………………..…………….., e-mail: ……………………………………………



§ 3

Wynagrodzenie


  1. Strony postanawiają, że za wykonanie przedmiotu umowy Zamawiający zapłaci miesięcznie abonament w wysokości ……………. Zł netto (słownie: ………………… 00/100), co stanowi …….. zł brutto(słownie: ………………………………… 00/100). Miesięczny abonament obejmuje 20 (słownie: dwadzieścia) godzin świadczonych w ramach umowy usług (abonament miesięczny). Łączna wartość usług w ramach abonamentu wynosi ……………… zł netto (słownie: ………………………………… 00/100), powiększonych o należny podatek VAT w wysokości 23%, co daje ……………. Zł brutto (słownie: ………………….. 00/100) PLN.

  2. Strony postanawiają, że zamawiający zapłaci za każdą godzinę realizacji usług poza abonamentem w trakcie trwania umowy do limitu 312 (trzystu dwunastu) godzin kwotę …………. Zł netto (słownie: …………… 00/100) za godzinę powiększone o należny podatek VAT w wysokości 23%, co daje ………. (słownie: ………………. 00/100) PLN brutto za godzinę.

  3. Wartość przedmiotu umowy, ustalona na podstawie zapisów niniejszej umowy nie może przekroczyć łącznie ………….. netto PLN (słownie: ……………….. 00/100) + należny podatek VAT w wysokości 23%, co daje brutto ………… PLN (słownie: …………………. 00/100).

  4. Wykonawca wystawi fakturę w ostatnim dniu miesiąca, którego dotyczyć będzie płatność

  5. Należność za usługę regulowana będzie przelewem na konto Wykonawcy podane w fakturze w ciągu …… (min. 30) dni od daty dostarczenia prawidłowo wystawionej faktury do Zamawiającego.

  6. Zamawiający upoważnia Wykonawcę do wystawienia faktury bez podpisu Zamawiającego

  7. Za datę płatności przyjmuje się datę obciążenia rachunku bankowego Zamawiającego.

  8. Koszty obsługi bankowej powstałe w banku Zamawiającego pokrywa Zamawiający; koszty obsługi bankowej powstałe w banku Wykonawcy pokrywa Wykonawca.

  9. Zamawiający nie wyraża zgody na przelew wierzytelności wynikających z niniejszej Umowy na osoby trzecie bez pisemnej zgody Zamawiającego

  10. Wykonawca, pod rygorem nieważności, nie może przenieść na osobę trzecią praw i obowiązków wynikających z niniejszej Umowy bez pisemnej zgody Zamawiającego.



§ 4

Kary umowne

  1. W przypadku naruszenia postanowień niniejszej umowy Zamawiający ma prawo naliczyć Wykonawcy kary umowne

  2. Wykonawca zapłaci Zamawiającemu karę umowną za każdorazowe niewykonanie usług w terminie uzgodnionym z Zamawiającym w wysokości 10% wartości abonamentu miesięcznego netto, o którym mowa w § 3 ust. 1 za każdy dzień opóźnienia od terminu uzgodnionego z Zamawiającym.

  3. W przypadku odstąpienia od Umowy z winy Wykonawcy, Wykonawca zapłaci karę w wysokości 30% wartości brutto przedmiotu Umowy, o której mowa w § 3 ust. 3

  4. Łączna wysokość kar nie może przekroczyć 40% wynagrodzenia umownego brutto, o którym mowa w § 3 ust. 3

  5. Przed naliczeniem kary umownej Zamawiający wezwie Wykonawcę do pisemnego szczegółowego podania przyczyn niewykonania lub nienależytego wykonania Umowy w terminie 3 dni roboczych od daty otrzymania wezwania.

  6. Wykonawca zobowiązany jest w terminie 10 dni od daty otrzymania w/w dokumentów do zapłaty naliczonej kary umownej. Brak zapłaty w powyższym terminie uprawnia Zamawiającego do potrącenia kary umownej z wynagrodzenia Wykonawcy lub innych jego wierzytelności przysługujących Wykonawcy w stosunku do Zamawiającego.

  7. W przypadku gdy wysokość szkody przekroczy wysokość kar umownych, Zamawiający może dochodzić odszkodowania na zasadach ogólnych.

  8. Naliczenie przez Xxxxxxxxxxxxx bądź zapłata przez Wykonawcę kary umownej nie zwalnia go ze zobowiązań wynikających z niniejszej Umowy.




§ 5

Podwykonawcy

Zamawiający nie wyraża zgody na udział podwykonawców przy realizacji przedmiotu umowy

§ 6

Siła wyższa

  1. Strony nie odpowiadają za niewykonanie lub nienależyte wykonanie Przedmiotu umowy, jeżeli jest to spowodowane siłą wyższą.

  2. Dla celów niniejszej umowy „Siłą Wyższą” jest zdarzenie o charakterze nadzwyczajnym, którego nie można było przewidzieć w momencie podpisywania umowy, ani mu zapobiec pomimo dołożenia należytej staranności

  3. Jeżeli okres Siły Wyższej trwa dłużej niż 3 miesiące, Strony mają prawo odstąpić od dalszej realizacji Umowy, po uprzednim wzajemnym pisemnym powiadomieniu.


§ 7

Ubezpieczenie

Wykonawca oświadcza, iż posiada aktualną polisę nr …………… od odpowiedzialności cywilnej. Ubezpieczycielem Wykonawcy jest : ……………………………………………………………………………………….


§ 8

Poufność oraz ochrona danych osobowych


  1. Wykonawca zobowiązany jest ściśle przestrzegać przepisów ustawy z dnia 10 maja 2018 roku
    o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t. j.) oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 04.05.2016, str. 1).

  2. Ilekroć w niniejszej Umowie mowa jest o informacjach poufnych, rozumie się przez to wszelkie informacje lub dane dotyczące działalności Zamawiającego, w szczególności informacje organizacyjne, finansowe, prawne, biznesowe, techniczne, w tym dotyczące zakresu współpracy, know-how lub inne informacje mające wartość gospodarczą, a także informacje pozyskane w wyniku analizy lub przetworzenia dostarczonych informacji, niezależnie od sposobu ich ujawnienia.

  3. Wykonawca zobowiązuje się zachować w tajemnicy wszelkie informacje poufne dotyczące Zamawiającego przekazane Wykonawcy w związku z Umową lub w których posiadanie Wykonawca wejdzie w trakcie wykonywania Umowy, przez cały okres obowiązywania Umowy, jak również po jej rozwiązaniu lub wygaśnięciu.

  4. Dla uniknięcia wątpliwości Strony potwierdzają, że za informacje poufne nie są uważane informacje, które Xxxxxx jest zobowiązana ujawnić na mocy obowiązujących przepisów, informacje ogólnie dostępne oraz informacje, które były znane Stronie przed otrzymaniem ich od Strony ujawniającej.

  5. Wykonawca zobowiązuje się:

    1. nie ujawniać informacji poufnych innym podmiotom bez zgody Zamawiającego, udzielonej na piśmie pod rygorem nieważności,

    2. wykorzystywać informacje poufne jedynie do potrzeb realizacji Umowy;

    3. nie powielać informacji poufnych w zakresie szerszym, niż jest to potrzebne dla realizacji Umowy;

    4. zabezpieczać otrzymane informacje poufne przed dostępem osób nieuprawnionych w stopniu niezbędnym do zachowania ich poufnego charakteru.

  1. Strona może udostępnić informacje poufne w zakresie niezbędnym do realizacji Umowy swojemu personelowi oraz współpracownikom. Strona zobowiąże te podmioty do przestrzegania poufności. Strona udostępniająca jest odpowiedzialna za naruszenia poufności informacji poufnych spowodowane przez takie osoby i podmioty.

  2. Zamawiający powierza Wykonawcy przetwarzanie danych osobowych uczestników wdrożenia i szkolenia, będących pracownikami Zamawiającego w zakresie wynikającym z realizacji Umowy. Strony zawarły Umowę powierzenia przetwarzania danych osobowych w celu realizacji niniejszej Umowy, która stanowi Załącznik nr 4 do Umowy.

  3. Dane osobowe uczestników szkolenia mogą być przetwarzane przez Wykonawcę wyłącznie w celu rejestracji uczestników na szkolenia oraz na potrzeby przygotowania dokumentów świadczących
    o ukończeniu szkolenia przez uczestnika szkolenia.

  4. Wykonawca oświadcza, że zapoznał się z klauzulą informacyjną dotyczącą przetwarzania danych osobowych, stanowiącą Załącznik nr 7 do Umowy.

  5. Strony zobowiązują się przekazać sobie wzajemnie klauzule informacyjne dotyczące przetwarzania danych osobowych podpisane przez osoby wyznaczone do realizacji i kontaktu, których dane Strony sobie udostępniły w związku z zawarciem i wykonywaniem niniejszej Umowy. Wzory klauzul informacyjnych stanowią Załączniki nr 5 i nr 6 do Umowy.

  6. Strony dostarczą sobie wzajemnie podpisane przez pracowników informacje, o których mowa w ust. 10 niezwłocznie, nie później niż w terminie 3 dni od dnia ich podpisania.

  7. Wykonawca jest obowiązany odebrać od wszystkich osób, które będą realizowały niniejszą Umowę, pisemne oświadczenie o zachowaniu w poufności wszelkich informacji i danych, w których posiadanie wszedł w związku z wykonywaniem zadań u Zamawiającego.

  8. Niezwłocznie po zakończeniu realizacji Umowy, jednakże nie później niż w ostatnim dniu obowiązywania Umowy, Wykonawca dokona trwałego usunięcia wszelkich powierzonych mu danych osobowych, przetwarzanych w formie papierowej lub elektronicznej, jak również kopii tych danych, o ile znajdują się w jego posiadaniu, a w przypadku, gdy nie będzie możliwe nieodwracalne usunięcie tych danych osobowych z nośników informacji, na których je zapisał, dokona zniszczenia tych nośników.


§ 9

Prawa Autorskie


    1. Wykonawca oświadcza, że w ramach otrzymanego wynagrodzenia, o którym mowa w § 3, z chwilą wytworzenia utworu, przenosi mocą niniejszej umowy na Zamawiającego, bez ograniczeń czasowych i terytorialnych, prawa autorskie i pokrewne do utworów wytworzonych w ramach niniejszej umowy, w tym materiałów szkoleniowych, w zakresie umożliwiającym Zamawiającemu:

  1. trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego;

  2. tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym, z zachowaniem praw osoby, która tych zmian dokonała;

  3. rozpowszechniania, w tym użyczenia lub najmu, programu komputerowego lub jego kopii;

  4. Utrwalania dzieła lub jego fragmentów na dowolnych nośnikach, a w szczególności nośnikach właściwych dla technik komputerowych

  5. Zwielokrotnienie dzieła lub jego fragmentów na dowolnych nośnikach, a w szczególności nośnikach właściwych dla technik komputerowych

  6. Wykorzystanie zaproponowanych w dziele pomysłów, koncepcji, wskazanych w otworach celów i sposobów ich osiągania w ramach działalności Zamawiającego

  7. Włączenie dzieła lub jego fragmentów do innych dzieł powstałych w ramach działalności Zamawiającego

  8. Wprowadzenie dzieła do sieci komputerowych i sieci multimedialnych (w tym do Internetu)

  9. Obrót dziełem

  10. Udostępnianie dzieła w taki sposób, aby każdy miał do nich dostęp w wybranym przez siebie miejscu i czasie

  11. Tworzenie dzieł zależnych (opracowań utworów) i korzystanie z nich oraz rozporządzanie nimi w takim zakresie jak utworem

    1. Zamawiający jest uprawniony do przenoszenia praw, o których mowa w ust. 1 niniejszego paragrafu, na inny podmiot, z prawem dalszego przeniesienia tych praw przez ten podmiot na dowolnego następcę prawnego

    2. Przejście praw autorskich i pokrewnych, a także praw do opracowań dzieła, następuje z chwilą podpisania przez Xxxxxxxxxxxxx protokołu zdawczo-odbiorczego przedmiotu umowy.

    3. Postanowienia z ust 1-3 dotyczą również przekazanych Zamawiającemu przez Wykonawcę wyników analiz (we wszelkiej ich postaci), które stanowiły podstawę do stworzenia utworów.


§ 10

Postanowienia końcowe


  1. Każda zmiana niniejszej Umowy pod rygorem nieważności wymaga formy pisemnej.

  2. Każde zawiadomienie lub inne pismo wysłane w związku z realizacją niniejszej Umowy jest uważane za właściwie doręczone, odpowiednio Zamawiającemu lub Wykonawcy, jeżeli:

  1. zostanie wysłane listem poleconym za zwrotnym potwierdzeniem odbioru lub doręczone przez firmę kurierską pod podany na wstępie Umowy adres, lub

  2. zostanie doręczone osobiście, za potwierdzeniem odbioru, do sekretariatów Stron.

  1. W sprawach nie uregulowanych w niniejszej Umowie mają zastosowanie przepisy Kodeksu Cywilnego oraz Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.

  2. Wszelkie spory mogące wyniknąć w związku z niniejszą Umową będą rozstrzygane polubownie, a w przypadku braku porozumienia przez sąd właściwy miejscowo dla siedziby Zamawiającego.

  3. Umowa może być rozwiązana przed końcem obowiązywania przez dowolną ze stron, z zachowaniem miesięcznego okresu wypowiedzenia

  4. Umowa została sporządzona w 2 jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.

  5. Umowa wchodzi w życie z dniem jej podpisania.

  6. Integralną część Umowy stanowią załączniki:

Załącznik nr 1 - Opis przedmiotu zamówienia

Załącznik nr 2- Wykaz usług

Załącznik nr 3 – Formularz oferty (oferta)

Załącznik nr 4 – Umowa powierzenia przetwarzania danych

Załącznik nr 5 - Klauzula informacyjna dla osoby wskazanej przez Zamawiającego do kontaktu

Załącznik nr 6 - Klauzula informacyjna dla osoby wskazanej przez Wykonawcę do realizacji umowy

Załącznik nr 7 - Klauzula Informacyjna dla kontrahentów Instytutu



Shape1

Wykonawca



…………………………………….

Shape2

Zamawiający



…………………………………….



Załącznik nr 4 do Umowy


UMOWA POWIERZENIA PRZETWARZANIA DANYCH


(dalej również: Umowa”)


Datą zawarcia umowy jest dzień złożenia zgodnych oświadczeń woli stron.


pomiędzy:


Narodowym Instytutem Kardiologii Xxxxxxx kardynała Wyszyńskiego Państwowym Instytutem Badawczym z siedzibą w Warszawie przy ul. Xxxxxxxxxx 00 (kod pocztowy: 04-628), wpisanym do Rejestru Przedsiębiorców prowadzonym przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem, KRS: 0000041396, NIP: 000-000-00-00, REGON: 000837583

reprezentowanym przez:

…………………………………………………………………………………….,


(dalej również: „Powierzający”)

a


...................................................................................., z siedzibą w ......................................................... (…..-……..), przy ul. ..................................................................., prowadzącą działalność gospodarczą na podstawie wpisu ……………………..……., pod numerem KRS ……….………….…, NIP: ......................................, REGON: ......................................, w imieniu i na rzecz którego działa:

……………………...………………………………………..,

(dalej również: „Procesor”)


(Powierzający i Procesor zwani są dalej łącznie „Stronami”, a każdy z osobna „Stroną”)


Mając na uwadze fakt, że Xxxxxx zawarły umowę z dnia ………………… w przedmiocie
świadczenie przez Procesora na rzecz Powierzającego specjalistycznych usług informatycznych w zakresie:

- Konserwacja systemów: usługi poawaryjnego odzyskiwania systemów, usługi komputerowe w zakresie archiwizowania, usługi pomocy komputerowej, usługi wsparcia systemu, usługi testowania i konserwacji systemów;

- Zarządzanie oprogramowaniem sieciowym: administrowanie siecią LAN klienta oraz sprzętem sieciowym (routery, przełączniki), serwerami sieciowymi działającymi pod kontrolą systemu operacyjnego Linux, Microsoft Windows

- Konserwacja i administracja systemem pocztowym i antyspamowym

- Konserwacja i administracja serwerami DNS

na podstawie której Procesor zobowiązał się do przetwarzania danych osobowych uczestników szkolenia, którzy są pracownikami Powierzającego (dalej również „Umowa Główna”), Strony zawierają Umowę o następującej treści:



§ 1

Przedmiot powierzenia i oświadczenia Stron


  1. Powierzający oświadcza, że jest uprawniony do powierzenia przetwarzania danych osobowych
    w zakresie wskazanym w Załączniku nr 1 i na zasadach wskazanych w     niniejszej Umowie powierza Procesorowi do przetwarzania dane osobowe.

  2. Zakres powierzenia, wskazany w Załączniku nr 1, może zostać w każdym momencie rozszerzony albo ograniczony przez Powierzającego. Zmiana Załącznika nr 1 w zakresie ograniczenia albo rozszerzenia zakresu może być dokonana poprzez przesłanie przez Powierzającego do Procesora nowej zmienionej wersji Załącznika nr 1 w formie elektronicznej (na adres e-mail wskazany w Załączniku nr 4). W przypadku braku reakcji Procesora w ciągu 3 dni roboczych (dalej również: Dni Robocze”) od daty wysłania wiadomości przez Powierzającego przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.

  3. Dane osobowe przetwarzane są w celu realizacji Umowy. Procesor zobowiązuje się do przetwarzania powierzonych mu danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy Głównej.

  4. W stosunku do danych osobowych podejmowane mogą być następujące kategorie czynności przetwarzania: utrwalanie, przechowywanie.

  5. Z tytułu przetwarzania danych osobowych Procesorowi nie przysługuje prawo do odrębnego wynagrodzenia poza wskazanym w Umowie Głównej (w tym również na wypadek zmiany zakresu przetwarzania).


§ 2

Obowiązki i Odpowiedzialność Stron


  1. Procesor oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

  2. W przypadku, gdy Procesor stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, lub zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 RODO, jest to wystarczające do wykazania zapewnienia gwarancji, o których mowa w ustępie poprzedzającym
    w zakresie objętym zatwierdzonym kodeksem postępowania lub zatwierdzonym mechanizmem certyfikacji.

  3. Procesor zobowiązany jest:

  1. przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Powierzającego,
    co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Powierzający może przekazywać Procesorowi instrukcje drogą elektroniczną, na adres wskazany w Załączniku nr 4. Procesor powinien wdrożyć instrukcje niezwłocznie, nie później jednak niż w terminie 5 Dni Roboczych. Jeżeli Procesor nie będzie w stanie wdrożyć instrukcji we wskazanym terminie, powinien poinformować Powierzającego o tym fakcie, za pośrednictwem informacji przesłanej na adres e-mail wskazany w Załączniku nr 4 i wskazać uzasadnienie dlaczego wdrożenie instrukcji Powierzającego nie było możliwe. Procesor może również zaproponować nowy termin wdrożenia instrukcji Powierzającego, który musi zostać zaakceptowany drogą elektroniczną (wysyła e-mail na adres wskazany w Załączniku nr 4) przez Powierzającego    ,

  2. niezwłocznie informować Powierzającego o obowiązku prawnym udostępnienia danych osobowych, o którym mowa w pkt. 1) powyżej, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny,

  3. dopuszczać do przetwarzania danych osobowych wyłącznie osoby odpowiednie upoważnione do tego,

  4. dopuszczać do przetwarzania danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy, lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

  5. jeżeli dane osobowe powierzone Procesorowi do przetwarzania zawierają dane o stanie zdrowia oraz podlegają tajemnicy zawodowej osób wykonujących zawody medyczne, procesowania ich z zachowaniem najwyższej staranności, w tym zakresie zasad bezpieczeństwa i zabezpieczeń systemów informatycznych oraz innych obowiązków wynikających z przepisów prawa, w szczególności ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz Umowy,

  6. podejmować wszelkie środki wymagane, zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności:

  1. pseudonimizację i szyfrowanie danych osobowych,

  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

  3. zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
    i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,

  1. przestrzegać warunków korzystania z usług podmiotu, któremu podpowierza przetwarzanie danych osobowych, wskazanych w ust. 14 i 15 poniżej,

  2. w razie potrzeby i na żądanie Powierzającego pomagać Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, których dane dotyczą, w tym w zakresie prawa dostępu przysługującego osobie, której dane dotyczą, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania,

  3. niezwłocznie, nie później jednak niż w terminie 2 dni roboczych na adres wskazany
    w Załączniku nr 4 informować Powierzającego o tym, iż osoba, której dane dotyczą, skierowała do Procesora korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji    ,

  4. w razie potrzeby i/lub na żądanie Powierzającego pomagać Powierzającemu wywiązywać się z następujących obowiązków:

  1. wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Powierzającego, zgodnie z art. 32 RODO,

  2. zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie
    z art. 33 RODO,

  3. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO,

  4. dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO,

  5. przeprowadzaniu konsultacji z organem nadzorczym zgodnie art. 36 RODO,

  1. udostępniać Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków w zakresie powierzenia przetwarzania danych. Proces jest zobowiązany udostępnić wszelkie informacje i dokumenty w terminie 2 Dni Roboczych od przesłania żądania Powierzającego na adres wskazany w Załączniku nr 4.

  1. Procesor zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Powierzającego, zawierający następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe Procesora oraz Powierzającego, a gdy ma to zastosowanie – przedstawiciela Procesora oraz inspektora ochrony danych,

  2. kategorie przetwarzań dokonywanych w imieniu Powierzającego,

  3. gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO dokumentację odpowiednich zabezpieczeń,

  4. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.


  1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Procesor jest zobowiązany do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie Powierzającego przekazane za pośrednictwem e-maila na adres wskazany w Załączniku nr 4. Procesor jest zobowiązany do udzielenia odpowiedzi w terminie 3 Dni Roboczych od przesłania przez Powierzającego żądania.

  2. Po stwierdzeniu naruszenia ochrony danych osobowych. Procesor bez zbędnej zwłoki, jednak nie później niż 24 godzin od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Powierzającemu, wskazując w zgłoszeniu:

  1. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych,

  4. opis środków zastosowanych lub proponowanych przez Procesora w celu zapobieżeniu naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.


  1. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy wskazany
    w Załączniku nr 4.

  2. Jeśli wszystkich informacji, o których mowa w ust. 6 powyżej, nie da się udzielić w tym samym czasie, Procesor ma obowiązek ich udzielać Powierzającemu sukcesywnie bez zbędnej zwłoki.

  3. Do czasu przekazania Procesorowi instrukcji postępowania w związku z naruszeniem ochrony danych, Procesor podejmuje bez zbędnej zwłoki wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

  4. Bez wyraźnej instrukcji Powierzającego Procesor nie jest zobowiązany do informowania o naruszeniu ochrony danych osobowych organu nadzorczego ani osób, których dane dotyczą.

  5. Procesor dokumentuje wszelkie naruszenia ochrony powierzonych mu przez Powierzającego danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację Powierzającemu na jego żądanie.

  6. Procesor ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.

  7. Procesor jest uprawniony do dokonania dalszego powierzenia (podpowierzenia) przetwarzania danych osobowych innemu podmiotowi (dalej również: „Podprocesor”) wyłącznie na podstawie uprzedniej ogólnej zgody Powierzającego, która stanowi Załącznik nr 2 do Umowy. Lista podmiotów z których korzysta Procesor stanowi Załącznik nr 3 do Umowy. Powyższe nie wyklucza prawa Procesora do upoważnienia innych podmiotów do przetwarzania danych osobowych powierzonych w ramach Umowy, jednak upoważnienie to musi odbyć się zgodnie z zasadami przewidzianymi w art. 28 ust. 2 RODO. W szczególności Procesor informuje Powierzającego o zamiarze wyboru nowego Podprocesora spoza listy wskazanej w Załączniku nr 3 bez zbędnej zwłoki, nie później jednak niż w terminie 5 dni roboczych od planowanego dnia zawarcia umowy dalszego powierzenia przetwarzania z nowym Podprocesorem. W sytuacji w której Powierzający wyrazi sprzeciw wobec korzystania przez Xxxxxxxxx z Podprocesora, Procesor nie jest uprawniony do zawarcia umowy z Podprocesorem, którego dotyczy sprzeciw.

  8. Jeśli do wykonania, w imieniu Powierzającego, konkretnych czynności przetwarzania Procesor dokona dalszego powierzenia (podpowierzenia) przetwarzania danych osobowych Podprocesorowi, to Procesor zapewnia, iż Podprocesor wypełnia te same obowiązki ochrony danych osobowych, jakie zostały nałożone na Procesora w Umowie, w szczególności obowiązek zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzane przez niego danych osobowych było zgodne z wymogami RODO. Procesor ponosi pełną odpowiedzialność za wypełnienie tych obowiązków ochrony danych osobowych przez Podprocesora.

  9. W przypadku, gdy Xxxxxxxx dokonał dalszego powierzenia danych osobowych, Procesor zapewnia, iż Podprocesor wypełniać będzie, bezpośrednio w stosunku do Powierzającego, obowiązki wymienione w ust. 6 oraz ust. 8-9 i ust. 11 powyżej.

  10. Procesor zapewni również w umowie z Podprocesorem możliwość realizacji przez Powierzającego kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w § 3 Umowy). Procesor jest zobowiązany poinformować Podprocesora, że informacje, w tym dane osobowe, na jego temat mogą być udostępnione Powierzającemu w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.

  11. Procesor odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał poza zgodnymi z prawem instrukcjami Powierzającego lub wbrew tym instrukcjom.

  12. Procesor ma obowiązek współdziałać z Powierzającym na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio Podprocesor w stosunku do Powierzającego.

  13. W przypadku, gdy za szkodę spowodowaną przetwarzaniem odpowiadają zarówno Powierzający, jak i Procesor, ponoszą oni odpowiedzialność solidarną za całą szkodę.

  14. W przypadku, gdy Powierzający zapłacił odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Procesora zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.

  15. Niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych Procesor zobowiązany jest informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych.

  16. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami Kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.

§ 3

Prawo kontroli


  1. Powierzający posiada prawo kontroli właściwego przetwarzania przez Procesora powierzonych mu danych osobowych. Procesor na każdy pisemny wniosek Powierzającego zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 Dni Roboczych od dnia otrzymania wniosku Powierzającego.

  2. Procesor umożliwia Powierzającemu lub upoważnionemu przez Powierzającego audytorowi przeprowadzenie audytów, w tym inspekcji, i zobowiązuję się współpracować z Powierzającym
    w zakresie dotyczącym wyłącznie realizacji     Umowy. Powierzający zobowiązuje się, że jako upoważniony audytor nie zostanie wyznaczony podmiot prowadzący pośrednio lub bezpośrednio działalność konkurencyjną w stosunku do działalności prowadzonej przez Procesora. Ewentualne czynności kontrolne będą prowadzone na koszt i ryzyko Powierzającego.

  3. Termin przeprowadzenia kontroli zostanie ustalony z Procesorem, jednak kontrola nie może odbyć się później niż 5 Dni Roboczych od przekazania Procesorowi żądania na adres mailowy wskazany w Załączniku nr 4.

  4. Procesor niezwłocznie informuje Powierzającego, jeśli wydane Procesorowi polecenie, w oparciu o § 2 ust. 3 pkt 10 Umowy lub w oparciu o ust. 1 powyżej, stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.

  5. Po przeprowadzonym audycie przedstawiciel Powierzającego lub upoważniony przez Powierzającego przedstawiciel audytora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w terminie uzgodnionym z Powierzającym, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

  6. Powierzający ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w      terminie 3 Dni Roboczych, na każde pytanie Powierzającego dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.

  7. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Powierzającego (lub podmiot zewnętrzny, któremu Powierzający zleci wykonanie audytu) audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w § 3 ust. 1 – 3.

  8. Koszty związane z przeprowadzeniem audytu ponosi podmiot, który zlecił przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.

  9. W przypadku, gdy Procesor audytowany jest za zgodność z przepisami RODO przez niezależny podmiot trzeci z własnej inicjatywy, Xxxxxxxx zobowiązuje się udostępnić Powierzającemu na jego żądanie wyniki tego audytu bez zbędnej zwłoki, nie później niż w terminie 3 dni roboczych.


§ 4

Wsparcie Powierzającego w wykonywaniu praw określonych w rozdziale III RODO


  1. Zgodnie z art. 28 ust. 3 pkt. e RODO biorąc pod uwagę charakter przetwarzania, Procesor w miarę możliwości pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

  2. Procesor jest zobowiązany do wsparcia Powierzającego w zakresie realizacji następujących praw podmiotów danych osobowych:

    1. obowiązku informacyjnego przewidzianego w art. 13 i art. 14 RODO;

    2. prawa dostępu do danych;

    3. prawa do sprostowania danych;

    4. prawa do usunięcia danych;

    5. prawa do ograniczenia przetwarzania;

    6. obowiązku poinformowania o sprostowaniu lub usunięciu danych lub o ograniczeniu przetwarzania;

    7. prawa do przenoszenia danych;

    8. prawa do sprzeciwu;

    9. kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych,
      w tym profilowaniu.


  1. Żądanie Powierzającego w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w  pkt. 2 zostanie niezwłocznie przekazane Procesorowi na adres mailowy wskazany w Załączniku nr 4.

  2. Procesor w ciągu 2 Dni Roboczych od otrzymania żądania potwierdzi jego otrzymanie Powierzającemu.

  3. Procesor w terminie 5 Dni Roboczych od terminu wskazanego w ust. 4 poinformuje Powierzającego o wykonaniu przekazanego żądania.

  4. Jeżeli Procesor nie jest w stanie zrealizować żądania przekazanego mu przez Powierzającego jest ono zobowiązany do przygotowania i przekazania Powierzającemu wyjaśnienia opisującego przyczyny dla których zrealizowanie żądania Powierzającego było niemożliwe.


§ 5

Ocena Procesora z wymaganiami RODO


W terminie 30 dni od zawarcia niniejszej Umowy, Procesor zobowiązany jest przesłać
do Powierzającego uzupełnioną i podpisaną ankietę (oryginał), potwierdzającą stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych. Wzór ankiety stanowi
Załącznik nr 5 do niniejszej Umowy. 

§ 6

Transfer danych osobowych do państw trzecich


    1. Procesor nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym (dalej również: „EOG”), chyba że Powierzający udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.

    2. Jeśli Powierzający udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:

      1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej lub

      2. Powierzający i Procesor lub Podprocesor zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.


§ 7

Adresy stron i dane osób


    1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku nr 4.

    2. Procesora w kontaktach z Powierzającym oraz Powierzający w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku nr 4.

    3. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie danych zawartych w Załączniku nr 4, Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.

§ 8

Czas trwania Umowy


  1. Powierzenie trwa przez czas obowiązywania Umowy Głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy Głównej skutkuje rozwiązaniem niniejszej Umowy.

  2. Po zakończeniu świadczenia usług związanych z przetwarzaniem Procesor ma obowiązek usunąć lub zwrócić Powierzającemu – zależnie od decyzji Powierzającego – wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych danych osobowych.

  3. Procesor przesyła Powierzającemu pisemne potwierdzenie zniszczenia danych osobowych. Potwierdzenie powinno zostać przesłane na adres e-mail wskazany w Załączniku nr 4.

  4. Powierzający jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli Procesor nie wypełnia obowiązków wskazanych w § 2 Umowy, lub uniemożliwia Powierzającemu skorzystania z prawa kontroli wskazanego w § 3 Umowy.

  5. W przypadku podpowierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z Podprocesorami postanowień, zgodnie z którymi umowy podpowierzenia danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.


§ 9

Postanowienia końcowe


  1. Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej Strony.

  2. W sprawach, które nie zostały uregulowane Umową, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych, a także przepisy regulujące prawa pacjenta, zasady wykonywania zawodów medycznych oraz prowadzenia działalności leczniczej.

  3. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.

  4. Procesor nie może przenieść praw lub obowiązków wynikających z niniejszej Umowy bez pisemnej zgody Powierzającego.

  5. O ile Umowa główna nie stanowi inaczej, wszelkie spory w związku z niniejszą Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego ze względu na siedzibę Powierzającego.


W imieniu Powierzającego

W imieniu Procesora


________________________________


_______________________________________

___________________________________

______________________________________






ZAŁĄCZNIK NR 1

ZAKRES PRZETWARZANIA


Kategoria osób, których dane dotyczą

Rodzaj danych osobowych

Pracownicy

Imię, nazwisko, miejsce zatrudnienia







ZAŁĄCZNIK NR 2

PISEMNA ZGODA POWIERZAJĄCEGO NA KORZYSTANIE PRZEZ PROCESORA Z USŁUG PODPROCESORÓW



Działając w imieniu Powierzającego, zgodnie z § 2 ust. 13 Umowy, niniejszym wyrażam zgodę na korzystanie przez Procesora z Podprocesorów w ramach świadczenia usług na podstawie niniejszej Umowy.


Oświadczam, iż Procesor przedstawił mi listę Podprocesów z których usług korzysta. Lista stanowi załącznik nr 3 do Umowy.




W imieniu Powierzającego



Nie dotyczy — Powierzający nie wyraża zgody na korzystanie przez Procesora z usług Podprocesorów.



____________________________________

…………………………….. / data















ZAŁĄCZNIK NR 3

LISTA PODPROCESORÓW Z USŁUG KTÓRYCH KORZYSTA PROCESOR



  1. ………………………………………..

  2. ………………………………………..

  3. ………………………………………..






Nie dotyczy — Powierzający nie wyraża zgody na korzystanie przez Procesora z usług Podprocesorów.






ZAŁĄCZNIK NR 4

DANE KONTAKTOWE STRON


  1. Dane kontaktowe Stron:

    1. wszelka korespondencja w sprawach związanych z Umową będzie kierowana do
      Powierzającego na następujące dane kontaktowe – adres: Narodowy Instytut Kardiologii Xxxxxxx kardynała Wyszyńskiego Państwowy Instytut Badawczy ul. Xxxxxxxx 00, 00-000
      Xxxxxxxx tel. …………………………. email: …………………………………..;       xxx@xxxxx.xx

  1. wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Procesora na następujące dane kontaktowe - adres: …………….……………………….., tel. …………………email: …………………………………


  1. Dane przedstawicieli Stron:

    1. Powierzającego w kontaktach z Procesorem w zakresie ustaleń Umową reprezentować
      będą następujące osoby:

…………………………………..

Narodowy Instytut Kardiologii Xxxxxxx kardynała Wyszyńskiego Państwowy Instytut Badawczy, ul. Xxxxxxxx 00, 00-000 Xxxxxxxx tel. ………………………. email: ……………………………..

Inspektor Ochrony Danych

Narodowy Instytut Kardiologii Xxxxxxx kardynała Wyszyńskiego Państwowy Instytut Badawczy, ul. Xxxxxxxx 00, 00-000 Xxxxxxxx, e-mail: xxx@xxxxx.xx

    1. Procesora w kontaktach z Powierzającym w zakresie ustaleń Umową reprezentować będą
      następujące osoby:

……………..……………… tel.……………………… email: …………….…………

Ankieta weryfikacji Procesora



NIE DOTYCZY



Ankieta Zgodności Podmiotu Przetwarzającego

z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.


Nazwa podmiotu przetwarzającego


Adres podmiotu przetwarzającego


Dane kontaktowe




PYTANIA DOTYCZĄCE kwestii organizacyjnych

TAK

NIE

NIE DOTYCZY

Uwagi

Ocena*

1.

Czy zgodnie z art. 29 RODO osoby przetwarzające dane osobowe w imieniu i na polecenie Podmiotu Przetwarzającego otrzymały upoważnienia do przetwarzania tych danych, z wyszczególnieniem zakresu przetwarzania






2.

Czy osoby przetwarzające dane w imieniu i na polecenie Podmiotu Przetwarzającego zobowiązały się do zachowania w poufności tych danych oraz sposobów ich przetwarzania?






3.

Czy Podmiot Przetwarzający wyznaczył Inspektor Ochrony Danych (dalej: IOD)?






Jeżeli TAK, proszę podać imię i nazwisko oraz dane kontaktowe XXX.



4.

W przypadku braku konieczności powołania IOD – czy Podmiot Przetwarzający wyznaczył osobę odpowiedzialną za ochronę danych osobowych?






Jeżeli TAK, proszę podać imię i nazwisko oraz dane kontaktowe osoby, która jest odpowiedzialna za ochronę danych osobowych.






5.

Czy Podmiot Przetwarzający realizuje wymagania art. 30 ust. 2 RODO (czy prowadzi rejestr kategorii czynności przeważania)?






6.

Xxx Xxxxxxx Przetwarzający opracował politykę ochrony danych lub inną dokumentację opisującą zasady ochrony danych osobowych?






7.

Czy Podmiot Przetwarzający zapewnia, że nowozatrudniony pracownik przed podjęciem czynności związanych z przetwarzaniem danych osobowych został odpowiednio przeszkolony w tym zakresie oraz zapoznany z obowiązującymi przepisami prawa?






8.

Czy podmiot Przetwarzający dba o doskonalenie wiedzy swoich pracowników w zakresie ochrony danych osobowych poprzez cykliczne szkolenia?






9.

Czy Podmiot Przetwarzający stosuje zatwierdzony kodeks postepowania, o którym mowa a art. 40 lub zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42?






10.

Czy Podmiot Przetwarzający korzysta z usług tylko takich podmiotów zewnętrznych/podwykonawców, którzy gwarantują odpowiednie bezpieczeństwo danych osobowych (zgodność z RODO) oraz czy te podmioty zostały przez niego zweryfikowane?






11.

Czy Podmiot Przetwarzający podpisał stosowne umowy powierzenia z podwykonawcami?






12.

Czy w ciągu ostatnich dwóch lat Podmiot Przetwarzający przeprowadził kompleksowy audyt zgodności z przepisami o ochronie danych osobowych?






13.

Czy Podmiot Przetwarzający wdraża nowe rozwiązania w oparciu o zasadę „privacy by design”?






14.

Czy Podmiot Przetwarzający działa zgodnie z zasadą „privacy by default”?






15.

Czy Podmiot Przetwarzający wypracował zasady realizacji praw Podmiotów Danych w zakresie ochrony danych osobowych, o którym mowa w art. 15-22 RODO






16.

Czy Podmiot Przetwarzający oszacował ryzyko przetwarzania danych osobowych?






17.

Czy Podmiot Przetwarzający dokonała oceny skutków dla ochrony danych osobowych dla czynności przetwarzania (o których mowa w art. 35 RODO i w wykazie rodzajów operacji przetwarzania danych wymagających oceny skutków dla ochrony ich danych, opublikowanym w komunikacie Prezesa Urzędu Ochrony Danych Osobowych), a które wchodzą w zakres planowanej?






PYTANIA DOTYCZĄCE BEZPIECZEŃSTWA FIZYCZNEGO






18.

Czy Podmiot Przetwarzający opracował procedury dotyczące nadawania fizycznego dostępu do pomieszczeń, w których przechowywana jest dokumentacja zawierająca dane osobowe, zapewniające weryfikację tożsamości i zakres nadawanego dostępu?






19.

Czy istnieją mechanizmy kontroli dostępu to tych pomieszczeń?






20.

Czy dostęp do pomieszczeń pozostających w dyspozycji Podmiotu Przetwarzającego po godzinach pracy nie jest możliwy dla osób trzecich (firma sprzątająca, ochrona) bądź dostęp ten jest szczegółowo nadzorowany?






21.

Czy Podmiot Przetwarzający posiada działający system alarmowy oraz system monitoringu przemysłowego obejmujący miejsca, gdzie przechowywana jest dokumentacja medyczna oraz inne dane osób fizycznych?






PYTANIE DOTYCZĄCE STSOWANYCH ŚRODKÓW BEZPIECZEŃSTWA W ŚRODOWISKU INFORMATYCZNYM






22.

Czy Podmiot Przetwarzający zapewnia jednoznaczną identyfikację działań w systemach informatycznych za pomocą unikalnego ID Użytkownika?






23.

Czy system, w którym są przetwarzane dane osobowe posiada funkcjonalności pozwalające na jednoznaczne wskazanie i odtworzenie działań użytkownika o konkretnym ID, w określonym czasie?






24

Czy Podmiot Przetwarzający posiada formalne zasady zarządzania hasłami (minimalna długość, złożoność, częstotliwość zmiany, możliwość powtórnego użycia hasła, szyfrowanie przechowywanych haseł), które są wdrożone?






25.

Czy urządzenia (np. tablety, smartfony), i komputery osobiste, na których przetwarzane są dane osobowe, mają włączoną automatyczne blokowanie ekranu po okresie bezczynności użytkownika?






26.

Czy w Podmiot Przetwarzający stosuje politykę tzw. „czystego biurka”?






27

Czy dane osobowe gromadzone w formie papierowej przechowywane są w zamykanych szafach/szufladach bez możliwości dostępu do nich osób nieupoważnionych?






28.

Czy dokumenty w formie papierowej są niszczone przy pomocy niszczarek dokumentów






29.

Czy Podmiot Przetwarzający zabezpieczył urządzenia przenośne oraz nośniki pamięci, wynoszone poza obszar przetwarzania kryptograficznie?






30.

Czy zapewniono mechanizmy umożliwiające szybkie przywrócenie dostępu do danych osobowych oraz przywrócenie systemu w przypadku wystąpienia incydentu fizycznego lub technicznego?






31.

Czy Podmiot Przetwarzający prowadzi monitorowanie nieudanych prób zalogowania się do systemu oraz blokowanie konta po określonej nieudanej liczbie prób zalogowania?






32.

Czy zostały wprowadzone mechanizmy kopii zapasowych, czy kopie zapasowe są prowadzone regularnie?






33.

Czy kopie zapasowe są testowane okresowo pod kątem ich odtworzenia?






34.

Czy zapewniono oprogramowanie antywirusowe na wszystkich stacjach?






35.

Czy Podmiot Przetwarzający jest właścicielem infrastruktury fizycznej (serwerownia, serwery) na której funkcjonują systemy IT, w których są przetwarzane dane osobowe?






36.

Czy w Podmiot Przetwarzający wyznaczył osobę odpowiedzialną za bezpieczeństwo IT?






Jeśli tak, proszę podać służbowe dane kontaktowe tej osoby (imię, nazwisko, nr telefonu, adres e-mail).



37.

Czy Podmiot Przetwarzający korzysta chmury publicznej (cloud computing)?






Jeżeli tak, to z jakiego rozwiązania?



38.

Czy rozwiązanie chmurowe pozwala na przetwarzanie danych zgodnie z obowiązującymi regulacjami?






39.

W przypadku stosowania rozwiązań w chmurze, czy stosowane są metody ograniczające dostęp do danych dla osób nieuprawnionych np. szyfrowanie danych?






40.

Czy systemy IT, w których są przetwarzane dane osobowe zarządzane są przez podmiot zewnętrzny?






41.

Jeśli administratorem systemu IT lub dostawcą utrzymującym system jest podmiot zewnętrzny, proszę wskazać czy posiada on zdalny dostęp do środowiska IT?






42.

Czy użytkownicy mają dostęp zdalny do zasobów? Jeśli tak, to w jaki sposób zabezpieczony jest kanał komunikacji?






43

Czy Podmiot przetwarzający gwarantuje ciągłość funkcjonowania swojej platformy?






44

Czy bezpieczeństwo przetwarzania jest potwierdzane certyfikatami bezpieczeństwa, normami?






* - wypełnia Administrator Danych

Załącznik nr 5 do Umowy

Klauzula Informacyjna

dla osoby wyznaczonej przez Zamawiającego do realizacji umowy


  1. Informacje dotyczące administratora danych

Administratorem Pani/Pana danych osobowych jest ……………………………………………… z siedzibą w ……………………………………………………………………

  1. Inspektor ochrony danych

Nad prawidłowością przetwarzania Pani/Pana danych osobowych czuwa wyznaczony przez Administratora Inspektor Ochrony Danych, z którym można się skontaktować poprzez adres e-mail ……………………………………….. lub pisemnie na adres siedziby Administratora.

  1. Cel i podstawy przetwarzania

Pani/Pana dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tj. przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu polegającego na możliwości realizacji umowy nr IK.AG.K.0379.2023 (dalej: umowa).

  1. Pani/Pana dane otrzymaliśmy bezpośrednio od podmiotu, który Pani/Pan reprezentuje.

  2. Okres przechowywania danych

Pani/Pana dane osobowe będą przetwarzane przez czas trwania umowy, a także przez okres przedawnienia roszczeń wynikających z umowy.

  1. Odbiorcy danych osobowych

Pani/Pana dane osobowe mogą zostać ujawnione podmiotom, które świadczą na rzecz Administratora usługi prawne, IT oraz analityczne.

  1. Prawa osób, których dane dotyczą

Osobie, której dane dotyczą przysługuje:

1) prawo dostępu do danych osobowych jej dotyczących,

2) prawo do sprostowania danych osobowych,

3) prawo do ograniczenia przetwarzania danych osobowych,

4) prawo do sprzeciwu.

Ma Pani/Pan również prawo wnieść skargę do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres UODO, ul. Xxxxxx 0, 00-000 Xxxxxxxx).





Zapoznałam/em się



.......................................................

(podpis osoby kontaktowej)


Załącznik nr 6 do Umowy

Klauzula Informacyjna

dla osoby wyznaczonej przez Wykonawcę do realizacji umowy


  1. Informacje dotyczące administratora danych

Administratorem Pani/Pana danych osobowych jest Narodowy Instytut Kardiologii Xxxxxxx xxxxxxxxx Xxxxxxxxxxxx Państwowy Instytut Badawczy z siedzibą w Warszawie, przy ul. Alpejskiej 42 (kod pocztowy: 04-628).

  1. Inspektor ochrony danych

Nad prawidłowością przetwarzania Pani/Pana danych osobowych czuwa wyznaczony przez Administratora Inspektor Ochrony Danych, z którym można się skontaktować poprzez adres e-mail xxx@xxxxx.xx lub pisemnie na adres siedziby Administratora.

  1. Cel i podstawy przetwarzania

Pani/Pana dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tj. przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu polegającego na możliwości realizacji umowy nr IK.AG.K.0379.2023 (dalej: umowa).

  1. Pani/Pana dane otrzymaliśmy bezpośrednio od podmiotu, który Pani/Pan reprezentuje.

  2. Okres przechowywania danych

Pani/Pana dane osobowe będą przetwarzane przez czas trwania umowy, a także przez okres przedawnienia roszczeń wynikających z umowy.

  1. Odbiorcy danych osobowych

Pani/Pana dane osobowe mogą zostać ujawnione podmiotom, które świadczą na rzecz Administratora usługi prawne, IT oraz analityczne.

  1. Prawa osób, których dane dotyczą

Osobie, której dane dotyczą przysługuje:

1) prawo dostępu do danych osobowych jej dotyczących,

2) prawo do sprostowania danych osobowych,

3) prawo do ograniczenia przetwarzania danych osobowych,

4) prawo do sprzeciwu.

Ma Pani/Pan również prawo wnieść skargę do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres UODO, ul. Xxxxxx 0, 00-000 Xxxxxxxx).





Zapoznałam/em się



.......................................................

(podpis osoby wyznaczonej do realizacji umowy

Załącznik nr 7 do Umowy

Klauzula Informacyjna

dla kontrahentów Instytutu


  1. Informacje dotyczące administratora danych

Administratorem Państwa danych osobowych jest Narodowy Instytut Kardiologii Stefana kardynała Wyszyńskiego Państwowy Instytut Badawczy z siedzibą w Warszawie, przy ul. Alpejskiej 42 (kod pocztowy: 04-628).

  1. Inspektor ochrony danych

Nad prawidłowością przetwarzania Państwa danych osobowych czuwa wyznaczony przez Administratora Inspektor Ochrony Danych, z którym można się skontaktować poprzez adres e-mail xxx@xxxxx.xx lub pisemnie na adres siedziby Administratora.

  1. Cel i podstawy przetwarzania

Państwa dane osobowe będą przetwarzane w celu realizacji prawnie uzasadnionych czynności (w zależności od charakteru i etapu współpracy):

  • podjęcia działań zmierzających do zawarcia i wykonania umowy zawartej z Administratorem zgodnie
    z art. 6 ust. 1 lit. b RODO    1;

  • realizacji przez Administratora obowiązków wynikających z prawa zamówień publicznych2 zgodnie
    z art. 6 ust. 1 lit. c RODO;

  • realizacji przez Administratora obowiązków wynikających z konieczności udzielania informacji publicznej3 zgodnie z art. 6 ust. 1 lit. c RODO;

  • prowadzenia ksiąg rachunkowych4 oraz rozliczeń podatkowych5 zgodnie z art. 6 ust. 1 lit. c RODO;

  • obrony praw i dochodzenia roszczeń przez Administratora w związku z prowadzoną przez niego działalnością, zgodnie z art. 6 ust. 1 lit. b oraz f RODO.

  1. Okres przechowywania danych

Okres przechowywania Państwa danych przetwarzanych na potrzeby rachunkowości oraz ze względów podatkowych będzie zgodny z obowiązującymi przepisami prawa, czyli przez 5 lat liczonych od końca roku kalendarzowego, w którym powstał obowiązek podatkowy. Czas ten może ulec wydłużeniu, jeżeli z przepisów prawa wynikać będzie dłuższy okres przedawnienia roszczeń związanych z umową.

  1. Odbiorcy danych osobowych

Państwa dane osobowe mogą zostać ujawnione podmiotom, które świadczą na rzecz Administratora usługi prawne, IT, marketingowe oraz analityczne.

  1. Przekazywanie danych poza Europejski Obszar Gospodarczy

Państwa dane nie będą przekazywane do państw trzecich ani organizacji międzynarodowych, chyba, że taki obowiązek wynika z przepisów prawa.

  1. Prawa osób, których dane dotyczą

Przysługuje Państwu prawo żądania od Administratora dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych.

Mają Państwo również prawo wnieść skargę do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres UODO, ul. Xxxxxx 0, 00-000 Xxxxxxxx).

  1. Informacja o wymogu podania danych

Podanie danych osobowych jest dobrowolne, jednak niezbędne do zawarcia z Państwem umowy. Państwa dane nie będą przetwarzane w sposób zautomatyzowany ani nie będą poddawane profilowaniu

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej „RODO”), (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

2 Ustawa z dnia 11 września 2019 r. Prawo zamówień publicznych (Dz. U. 2019 poz. 2019);

3 Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. 2019 poz. 1429 t. j.);

4 Ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. 2019 poz. 351 t. j.);

5 Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. 2020 poz. 1325 t. j.) oraz ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. 2020 poz. 106 t. j.);

Document Metadata

Filed: May 16th, 2023