UMOWA nr CIUWO.234.69.2021
UMOWA nr CIUWO.234.69.2021
zawarta w Olsztynie, w dniu pomiędzy:
Gminą Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna, ul. 1 Maja 18/19, lok. 21, 10-118 Olsztyn, NIP 000-000-00-00, reprezentowaną przez Pana Xxxxxx Xxxxxxxxxxx - Prezydenta Olsztyna,
w imieniu którego działa Xxx Xxxxx Xxxxxxxxx – Dyrektor Centrum Informatycznych Usług Wspólnych Olsztyna
zwaną dalej „Zamawiającym” a
Panią Xxxxxxx Xxxxxxxx prowadzącą działalność gospodarczą pod nazwą XXXXX Xxxxxxx Xxxxxxxx z siedzibą w Warszawie przy xx. Xxxxxxxx xx 00, 00-000 Xxxxxxxx (xxxxx Xxxxxx), wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadająca nr XXX 0000000000 oraz nr REGON 142312689,
zwanym dalej „Wykonawcą”,
w wyniku przeprowadzenia przez Zamawiającego postępowania o udzielenie zamówienia publicznego w trybie podstawowym zgodnie z ustawą z dnia 11 września 2019 r. - Prawo zamówień publicznych (t.j. Dz.
U. z 2021 r., poz. 1129, z późniejszymi zmianami; dalej: „ustawa pzp”), w którym oferta Wykonawcy uznana została za najkorzystniejszą, zawarta została umowa o następującej treści:
§ 1. PRZEDMIOT UMOWY.
1.1. Przedmiotem umowy jest rozbudowa posiadanego przez Zamawiającego systemu tworzenia kopii bezpieczeństwa DELL EMC Avamar (System) o dodatkowe urządzenie wraz z oprogramowaniem, gwarantujące minimum 34 TB dodatkowej przestrzeni na deduplikaty składające się z: Dell EMC Data Domain 63001 (łącznie Urządzenie).
1.2. W ramach rozbudowy, o której mowa w ust. 1.1 Wykonawca zobowiązuje się do:
1) dostawy, montażu, konfiguracji i instalacji Urządzenia,
2) sporządzenia dokumentacji powykonawczej,
3) udzielenia gwarancji na Urządzenie oraz zapewnienia udzielenia przez producenta Urządzenia gwarancji, w ramach której autoryzowany serwis producenta Urządzenia będzie realizował zgłoszenia gwarancyjne przez okres 5 lat od dnia podpisania protokołu odbioru, o którym mowa w ust. 2.5, na poziomie Rozszerzonym2,
zgodnie z warunkami zawartymi w załączniku nr 1 oraz treścią oferty zawartą w załączniku nr 3.
1.3. Ilekroć w niniejszej umowie jest mowa o Urządzeniu, należy przez to rozumieć zarówno część hardware’ową jak i software’ową Urządzenia.
1.4. W przypadku stwierdzenia braku dostępności na rynku Urządzenia wskazanego w ofercie z przyczyn od Wykonawcy niezależnych, w szczególności wycofania oferowanego modelu z produkcji lub wprowadzenia zakazu importu lub eksportu danego modelu dopuszcza się, bez zmiany terminu realizacji niniejszej umowy, dostarczenie Urządzenia o cechach i parametrach nie gorszych niż zaproponowane w ofercie oraz zgodnych z parametrami technicznymi i użytkowymi określonymi w załączniku nr 1. Zmiana nie wpływa na wysokość wynagrodzenia Wykonawcy z tytułu realizacji niniejszej umowy.
1 Do zamieszczenia dokładny opis oferowanego rozwiązania przeniesiony z oferty wybranego Wykonawcy.
2 Poziom wsparcia do uzupełnienia zgodnie z treścią wybranej oferty.
Umowa - rozbudowa systemu backup 2021
§ 2. DOSTAWA, INSTALACJA I ODBIÓR.
2.1. Dostarczenie Urządzenia nastąpi w terminie 30 dni od daty zawarcia umowy do Centrum Informatycznych Usług Wspólnych Olsztyna, mieszczącego się przy xx. 0 Xxxx 00/00, xxx. 00 w Olsztynie.
2.2. Urządzenie musi być nowe, nieużywane, pochodzące z legalnego kanału dystrybucyjnego, dopuszczone do dystrybucji i używania w Polsce, objęte pełnym wsparciem producenta.
2.3. Wraz z Urządzeniem Wykonawca dostarczy Zamawiającemu odpowiednie dokumenty (także w postaci elektronicznej) potwierdzające, zgodnie z zasadami dystrybucji producenta bądź dystrybutora, fakt uzyskania przez Zamawiającego stosowych uprawnień do korzystania z oprogramowania zainstalowanego w Urządzeniu oraz uprawnień gwarancyjnych, o których mowa w ust. 1.2.3). Niezależnie od tego Zamawiający jest uprawniony do weryfikacji legalności zainstalowanego oprogramowania w Urządzeniu.
2.4. Po dostarczeniu Urządzenia, Wykonawca:
1) w ciągu 7 dni od dostarczenia Urządzenia, dokona montażu, konfiguracji i instalacji Urządzenia;
2) w ciągu 5 dni od zakończenia czynności wskazanych w ust. 2.4.1) sporządzi dokumentację powykonawczą.
2.5. Zamawiający potwierdzi wykonanie czynności opisanych w ust. 2.1 - 2.4 podpisaniem protokołu odbioru. Zamawiający ma prawo zgłosić uwagi do przedmiotu odbioru. Ewentualne uwagi Zamawiającego do przedmiotu odbioru winny zostać przez Wykonawcę usunięte w terminie 7 dni od ich zgłoszenia.
2.6. Za datę wykonania poszczególnych zobowiązań określonych w ust. 2.1 - 2.4, uważa się datę zakończenia odpowiedniej czynności przez Wykonawcę, do której Zamawiający nie zgłosił uwag. Daty tych czynności określi protokół odbioru.
§ 3. PRAWO DO KORZYSTANIA.
3.1. Wykonawca udzieli Zamawiającemu (w znaczeniu: Gminie Olsztyn i wszystkim jej jednostkom organizacyjnym) lub zapewni udzielenie Zamawiającemu przez podmiot uprawniony, bądź przeniesie na Zamawiającego niewyłączną licencję na korzystanie z oprogramowania dostarczonego wraz z Urządzeniem na czas nieoznaczony.
3.2. Zamawiający ma prawo korzystać z oprogramowania na potrzeby prowadzonej przez Zamawiającego działalności na polach eksploatacji obejmujących trwałe lub czasowe zwielokrotnianie oprogramowania w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie.
3.3. Do niniejszej umowy nie znajdują zastosowania żadne ograniczenia zakresu licencji zawarte w standardowych warunkach licencjonowania oprogramowania, stosowanych przez Wykonawcę lub producenta oprogramowania, za wyjątkiem ograniczeń wyraźnie zaakceptowanych przez Zamawiającego, poprzez pisemne zaakceptowanie treści certyfikatów lub innych dokumentów licencyjnych.
3.4. Zapewnienie Zamawiającemu licencji możliwe jest również na podstawie innej formy prawnej korzystania z oprogramowania, w szczególności w oparciu o tzw. prawa legalnego nabywcy egzemplarza oprogramowania, o ile rozwiązanie to pozwoli na uzyskanie przez Zamawiającego analogicznych uprawnień do oprogramowania, jak w przypadku licencji.
3.5. Wykonawca zobowiązuje się, że podmiot uprawniony nie wypowie Zamawiającemu udzielonej licencji z innego powodu niż naruszenie przez Zamawiającego warunków licencyjnych przez okres co najmniej 30 lat.
§ 4. GWARANCJA.
4.1. Dostarczone Urządzenie jest objęte gwarancją (wsparciem) producenta Urządzenia na okres 5 lat, liczoną od dnia podpisania protokołu odbioru Urządzenia.
4.2. Okres rękojmi wynosi tyle samo co okres gwarancji (wsparcia) i liczony jest od dnia podpisania protokołu odbioru Urządzenia.
4.3. Gwarancja (wsparcie) obejmuje:
1) przyjmowanie zgłoszeń wad Urządzenia,
2) dokonywanie napraw Urządzenia w miejscu użytkowania zgodnie z czasami reakcji określonymi w ust. 4.5 lub w przypadku niemożności wykonania czynności serwisowych na miejscu, wymiany w powyższym terminie Urządzenia o nie gorszych parametrach (w wypadku naprawy Urządzenia poza siedzibą Zamawiającego, wszelkie nośniki danych winny zostać wymontowane z Urządzenia i pozostawione u Zamawiającego),
3) niezwłocznej wymiany wadliwego Urządzenia na fabrycznie nowe, jeśli naprawa nie zostanie wykonana w ciągu 14 dni roboczych od dnia dokonania zgłoszenia,
4) udzielania konsultacji dotyczących Urządzenia.
4.4. Przyjmowanie zgłoszeń odbywać się będzie:
1) Pod adresem poczty elektronicznej: xxxxx://xxx.xxxx.xxx/xxxxxxx
2) Pod numerem telefonu: 22 5071 978
3) Za pośrednictwem strony www: xxxxx://xxx.xxxx.xxx/xxxxxxx
4.5. Gotowość serwisowa i czas reakcji będą realizowane dla poziomu rozszerzonego3 i wynoszą:
Rodzaj wady | Gotowość serwisowa | Czas reakcji4 |
Całkowita utrata możliwości normalnego funkcjonowania przedsiębiorstwa wymagająca natychmiastowej reakcji | 24 godziny na dobę – przez 7 dni w tygodniu | Następny dzień roboczy |
Zdolność do realizacji krytycznych funkcji biznesowych ze znaczącym zmniejszeniem wydajności/możliwości | 24 godziny na dobę – przez 7 dni w tygodniu | Następny dzień roboczy |
Minimalny wpływ na działalność lub brak takiego wpływu | 24 godziny na dobę – przez 7 dni w tygodniu | Następny dzień roboczy |
4.6. W przypadku realizacji uprawnień z tytułu rękojmi za wady niezależnie od uprawnień przewidzianych w przepisach prawa, Zamawiający ma prawo żądać realizacji przez Wykonawcę naprawy zgodnie z postanowieniami ust. 4.5.
4.7. Wszelkie koszty związane z zapewnieniem obsługi gwarancyjnej (wsparciem), a w szczególności: koszty dojazdu, transportu, montażu, demontażu, instalacji i konfiguracji ponosi Wykonawca.
4.8. Wykonawca zobowiązuje się do zachowania pełnych świadczeń gwarancyjnych (wsparcia) w sytuacji, gdy Zamawiający będzie samodzielnie instalował na Urządzeniu oprogramowanie.
4.9. Za dzień roboczy uznaje się dni od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy, w rozumieniu przepisów ustawy z dnia 18 stycznia 1951 r. o dniach wolnych od pracy (tj. Dz.U. z 2015 r. poz. 90).
3 Poziom wsparcia do uzupełnienia zgodnie z ofertą wybranego Wykonawcy.
4 Zgodnie z ofertą wybranego Wykonawcy.
§ 5. WYNAGRODZENIE.
5.1. Za realizację przedmiotu umowy, o którym mowa w § 1 powyżej, Zamawiający zobowiązuje się zapłacić Wykonawcy wynagrodzenie w łącznej wysokości 227.559,50 zł netto (słownie: dwieście dwadzieścia siedem tysięcy pięćset pięćdziesiąt dziewięć złotych 50/100), tj. 279.898,19 zł brutto (słownie: dwieście siedemdziesiąt dziewięć tysięcy osiemset dziewięćdziesiąt osiem złotych 19/100), w tym 52.338,69 zł podatek VAT (słownie: pięćdziesiąt dwa tysiące trzysta trzydzieści osiem złotych 69/100).
5.2. Jeżeli Wykonawca posiada firmowy rachunek bankowy związany z prowadzoną działalnością gospodarczą, płatność wynagrodzenia zostanie dokonana z wykorzystaniem metody podzielonej płatności (split payment). Wykonawca oświadcza, że na wystawionej fakturze zostanie wskazany jego rachunek bankowy związany / nie związany5 z prowadzoną działalnością gospodarczą.
5.3. Zapłata wynagrodzenia nastąpi w formie przelewu na rachunek bankowy Wykonawcy wskazany na fakturze. Zapłata nastąpi w terminie 30 dni od dnia wystawienia faktury pod warunkiem doręczenia faktury w terminie 7 (siedmiu) dni od dnia jej wystawienia W przypadku doręczenia faktury po terminie 7 (siedmiu) dni od dnia jej wystawienia, termin zapłaty ulega wydłużeniu o ilość dni przekroczenia wskazanego wyżej 7 (siedmio) dniowego terminu.
5.4. Faktura będzie wystawiona na:
NABYWCA: ODBIORCA:
Centrum Informatycznych Usług Wspólnych Olsztyna
Gmina Olsztyn, Xxxx Xxxx Xxxxx XX 0 00-000 Xxxxxxx
NIP: 000-00-00-000
xx. 0 Xxxx 00/00, xxx. 00
00-000 Xxxxxxx
5.5. Faktura powinna być dostarczona Zamawiającemu w następujący sposób:
1) na adres Centrum Informatycznych Usług Wspólnych Olsztyna, ul. 0 Xxxx 00/00, xxx. 00, Xxxxxxx, lub
2) na adres e-mail: xxxxxxxxxxx@xxxxx.xxxxxxx.xx według oświadczenia złożonego przez Strony zgodne z załącznikiem nr 4, lub
3) przy użyciu Platformy Elektronicznego Fakturowania (PEF).
5.6. W przypadku, gdy Wykonawca skorzysta z możliwości wysyłania Zamawiającemu faktury (tzw. ustrukturyzowanej faktury elektronicznej) przy użyciu Platformy Elektronicznego Fakturowania, o czym mowa w pkt 5.5.3, numer PEPPOL Zamawiającego to 7393921082. Oprócz danych zawartych w ust. 5.4 w opisie ustrukturyzowanej faktury elektronicznej Wykonawca zobowiązany jest do wskazania numeru i daty zawarcia niniejszej umowy.
5.7. Korekty faktur i noty księgowe (tzw. inne ustrukturyzowane dokumenty elektroniczne) mogą być wysyłane przy użyciu Platformy Elektronicznego Fakturowania, z uwzględnieniem postanowień ust. 5.6.
5.8. Podstawą do wystawienia faktury jest podpisany przez Zamawiającego protokół odbioru bez uwag, którego wzór stanowi załącznik nr 2.
5.9. Za dzień zapłaty Strony uznają datę obciążenia rachunku bankowego Zamawiającego.
5.10. W przypadku nieterminowego przekazania należności wynikających z umowy Zamawiający zapłaci Wykonawcy odsetki w ustawowej wysokości.
5 Niepotrzebne skreślić
5.11. Wykonawca oświadcza, że jest czynnym podatnikiem podatku VAT i zgodnie z art. 96b ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (t.j. Dz. U. z 2021 r., poz. 685 z późn. zm.) znajduje się w wykazie podmiotów zrejestrowanych jako podatnicy VAT (tzw. biała lista podatników VAT), w którym x.xx. ujawniony został numer rachunku bankowego związany z prowadzoną przez Wykonawcę działalnością gospodarczą, służący do rozliczenia transakcji w ramach tej działalności i który zostanie wskazany na fakturze VAT wystawionej Zamawiającemu zgodnie z postanowieniami niniejszego paragrafu. Wykonawca oświadcza, że teraz i na przyszłość zrzeka się wszelkich roszczeń wobec Zamawiającego, w szczególności z tytułu braku terminowej zapłaty wynagrodzenia i wstrzymania się przez Zamawiającego z zapłatą wynagrodzenia w ramach niniejszej umowy w przypadku, gdy okaże się, że wskazany przez Wykonawcę na fakturze VAT numer rachunku bankowego nie będzie w dniu dokonania zapłaty przez Zamawiającego kwoty tytułem wynagrodzenia w ramach niniejszej umowy tożsamy z numerem rachunku bankowego ujawnionym na tzw. białej liście podatników VAT albo nie będzie ujawniony na tzw. białej liście podatników VAT
– jeżeli zapłata wynagrodzenia na rachunek Wykonawcy nie ujęty na tzw. białej liście podatników VAT łączyłoby się dla Zamawiającego z jakimikolwiek negatywnymi konsekwencjami prawnymi - do czasu wskazania przez Wykonawcę rachunku bankowego ujawnionego na tzw. białej liście podatników VAT lub ujęcia na tej liście wskazanego wcześniej rachunku bankowego Wykonawcy
5.12. Wynagrodzenie określone w ust. 5.1 obejmuje wszelkie koszty i obciążenia związane z realizacją umowy oraz wynikające z przepisów prawa, w tym wynagrodzenie za udzielenie licencji na korzystanie z oprogramowania przez Zamawiającego, jak również wszystkie koszty, opłaty, wydatki Wykonawcy, a także podatki, w tym 23 % podatek od towarów i usług (VAT), jeśli jest należny.
§ 6. ODPOWIEDZIALNOŚĆ.
6.1. W razie zwłoki w:
1) dostarczeniu Urządzenia w stosunku do terminu wskazanego w ust. 2.1;
2) montażu, konfiguracji i instalacji Urządzenia w stosunku do terminu wskazanego w ust. 2.4.1);
3) wykonaniu dokumentacji powykonawczej w stosunku do terminu wskazanego w ust. 2.4.2);
Wykonawca zapłaci Zamawiającemu za każdy dzień zwłoki karę umowną w wysokości 0,1 % wynagrodzenia brutto określonego w ust. 5.1.
6.2. W wypadku niedotrzymania terminów wynikających ze wsparcia na poziomie Rozszerzonym6
Wykonawca zapłaci kary umowne w następujących wysokościach dla poniższych zdarzeń:
Rodzaj wady | Wysokość kary |
Całkowita utrata możliwości normalnego funkcjonowania przedsiębiorstwa wymagająca natychmiastowej reakcji | 50,00 zł za każdą godzinę zwłoki czasu reakcji wskazanych w ust. 4.5 |
Zdolność do realizacji krytycznych funkcji biznesowych ze znaczącym zmniejszeniem wydajności/możliwości | 10,00 zł za każdą godzinę zwłoki czasu reakcji wskazanego w ust. 4.5 |
Minimalny wpływ na działalność lub brak takiego wpływu | 10,00 zł za każdą godzinę zwłoki czasu reakcji wskazanego w ust. 4.5 |
6.3. Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 20 % wartości wynagrodzenia brutto określonego w ust. 5.1 w przypadku odstąpienia od umowy przez Zamawiającego z przyczyn zależnych od Wykonawcy.
6.4. W razie odstąpienia przez Zamawiającego od umowy, Zamawiający zachowuje prawo do naliczenia kar umownych i żądania odszkodowania za zdarzenia, które miały miejsce do chwili odstąpienia.
6 Do uzupełnienia zgodnie z ofertą wybranego Wykonawcy.
6.5. Łączna wysokość kar umownych naliczonych na podstawie nieniniejszej umowy nie może przekroczyć 100% wartości wynagrodzenia brutto określonego w ust. 5.1.
6.6. Strony zastrzegają sobie prawo dochodzenia odszkodowania przewyższającego kary umowne na zasadach ogólnych.
§ 7. POUFNOŚĆ I DANE OSOBOWE.
7.1. Wykonawca zobowiązuje się do przestrzegania Regulaminu Ochrony Informacji dla wykonawcy Centrum Informatycznych Usług Wspólnych, który stanowi załącznik nr 4.
7.2. Wykonawca zobowiązuje się do zapewnienia przestrzegania przepisów o ochronie danych osobowych. Wobec faktu, że w ramach wykonywania niniejszej Umowy Wykonawca będzie miał dostęp do danych osobowych przetwarzanych przez Zamawiającego, Strony zawarły umowę powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji, która stanowi załącznik nr 5.
7.3. Wykonywanie przez Wykonawcę obowiązków wynikających z umowy o powierzenie przetwarzania danych osobowych odbywać się będzie w ramach wynagrodzenia należnego Wykonawcy z tytułu wykonania umowy i Wykonawca nie będzie uprawniony do żądania od Zamawiającego dodatkowego wynagrodzenia z tego tytułu.
7.4. Wykonawca pozostaje w posiadaniu Informacji Poufnych, przekazanych przez Zamawiającego, przez okres trwania umowy oraz zobowiązuje się do nieujawniania, nieprzekazywania, ani do niewykorzystywania we własnej działalności, w zakresie szerszym niż niezbędny do realizacji umowy, informacji uzyskanych w związku z wykonaniem umowy niezależnie od formy przekazania tych informacji, ich źródła i sposobu przetwarzania oraz bezzwłocznego trwałego ich usunięcia natychmiast po jej wygaśnięciu. Zasady poufności znajdują się w umowie powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji stanowiącej załącznik nr 5.
§ 8. OSOBY ODPOWIEDZIALNE.
8.1. Do bieżącej współpracy, w zakresie wykonywania niniejszej umowy, upoważnione są następujące osoby:
1) po stronie Zamawiającego: Xxxxxxxxx Xxxxxxxxxxx, mail: xxxxxxxxxxx.xxxxxxxxx@xxxxxxx.xx, tel.: x00 000 000 000,
2) po stronie Wykonawcy: Xxxxxxx Xxxxxxxx, mail: xxxxxxxx@xxxxx.xx, tel.: x00 000 000 000.
8.2. Osoby wskazane w ust. 8.1 są upoważnione do wykonywania w imieniu Xxxxx wszelkich czynności określonych w niniejszej umowie, z wyłączeniem zmiany postanowień tej umowy, jej rozwiązania lub odstąpienia.
8.3. Zmiana osób wymienionych w ust. 8.1 w trakcie realizacji umowy wymaga poinformowania drugiej Strony w formie dokumentowej i nie stanowi zmiany umowy.
8.4. Strony zobowiązują się do kierowania wszelkiej korespondencji wymagającej formy pisemnej na adresy stron wymienione w komparycji umowy, a w przypadku zmiany adresu, do niezwłocznego, pisemnego powiadomienia o tym fakcie drugiej Strony.
8.5. W przypadku braku powiadomienia, o którym mowa w ust. 8.4 doręczenie korespondencji na adres wskazany w komparycji umowy wywiera przewidziane prawem skutki prawne.
§ 9. ZMIANY UMOWY i ODSTĄPIENIE.
9.1. Zamawiający przewiduje możliwość zmian postanowień niniejszej umowy w przypadkach, gdy możliwość taką dopuszczają przepisy prawa, w szczególności art. 455 pzp.
9.2. Zamawiający przewiduje możliwość odstąpienia od umowy w przypadkach, gdy możliwość taką dopuszczają przepisy prawa, w szczególności art. 456 pzp.
§ 10. ZABEZPIECZENIE.
10.1. Wykonawca uiścił zabezpieczenie należytego wykonania umowy na warunkach określonych w SWZ.
§ 11. SIŁA WYŻSZA.
11.1. Strony przewidują zmianę terminu realizacji umowy z powodu działania siły wyższej uniemożliwiającej realizację umowy w terminie określonym pierwotnie.
11.2. Zmiana terminu realizacji umowy dopuszczalna jest tylko o czas działania siły wyższej oraz o czas potrzebny do usunięcia skutków tego działania.
§ 12. PODWYKONAWCY.
12.1. Wykonawca może powierzyć wykonanie części zamówienia podwykonawcy.
12.2. Powierzenie wykonania części zamówienia podwykonawcom nie zwalnia Wykonawcy z odpowiedzialności za należyte wykonanie tego zamówienia. Wykonawca odpowiada za działania i zaniechania podwykonawców jak za swoje własne działania i zaniechania.
12.3. Wykonawca zapewnia, że podwykonawcy lub dalsi podwykonawcy będą przestrzegać wszelkich postanowień niniejszej umowy.
§ 13. POSTANOWIENIA KOŃCOWE.
13.1. Wszelkie zmiany i uzupełnienia niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
13.2. W sprawach nieuregulowanych niniejszą umową mają zastosowanie odpowiednie przepisy kodeksu cywilnego oraz inne odpowiednie przepisy powszechnie obowiązującego prawa.
13.3. Ewentualne spory Strony poddają pod rozstrzygnięcie sądu powszechnego właściwego dla siedziby Zamawiającego.
13.4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Załączniki:
Załącznik nr 1. Szczegółowy opis przedmiotu zamówienia; Załącznik nr 2. Wzór protokołu odbioru;
Załącznik nr 3. Oferta Wykonawcy;
Załącznik nr 4. Regulamin ochrony informacji dla wykonawcy Centrum Informatycznych Usług Wspólnych Olsztyna;
Załącznik nr 5. Umowa powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji;
Załącznik nr 6. Oświadczenie Wykonawcy o akceptacji przesyłania faktur w formie elektronicznej.
Zamawiający Wykonawca
Załącznik nr 1 do umowy
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
1) Wstęp.
Niniejszy dokument zawiera opis wymagań funkcjonalnych i technicznych wraz z zakresem wdrożenia, dotyczących rozbudowy posiadanego przez Zamawiającego systemu tworzenia kopii bezpieczeństwa DELL EMC Avamar składającego się z następujących urządzeń:
a) EMC Avamar Data Store Gen4, Product ID: NNG03124710558,
b) EMC Avamar Data Store Gen4S, Product ID: FC6AV145100092
c) DD6300 Appliance 34TB, Product ID: CKM00170102541
d) DD6300 Appliance 34TB, Product ID: CKM00183101221
e) DD6300 Appliance 34TB, Product ID: CKM00194200748 (dalej jako System)
2) Wymagania dotyczące rozbudowy Systemu.
2.1 Dodatkowe Urządzenie:
a) System musi zostać rozbudowany o dodatkowe urządzenie gwarantujące minimum 34 TB dodatkowej przestrzeni na deduplikaty.
b) Dostarczone Urządzenie musi być w pełni kompatybilne sprzętowo (urządzenie musi współpracować z obecnie posiadanym rozwiązaniem do tworzenia backupu, opisanym w pkt 1) i licencyjnie (posiadane przez Zamawiającego oprogramowanie (DPS for VMWare) musi pozwalać na tworzenie i przechowywanie kopii na dostarczonym urządzeniu) oraz musi umożliwiać zintegrowanie swojej przestrzeni dyskowej z posiadanym przez Zamawiającego Systemem.
3) Warunki wsparcia, serwisu i gwarancji.
a) Dostarczone Urządzenie musi być objęte w każdym aspekcie 5-cio letnią gwarancją (wsparciem) producenta Urządzenia, liczoną od dnia podpisania protokołu odbioru Urządzenia.
b) Okres rękojmi będzie wynosił tyle samo co okres gwarancji.
c) Gwarancja z punktu a) musi spełniać poniższe warunki:
i) Wykonawca zapewni możliwość zgłaszania wad i zapotrzebowania na konsultacje: pisemnie, za pomocą poczty elektronicznej e-mail, faxu, telefonicznie na numer serwisowy Wykonawcy oraz za pomocą strony www.
ii) Zamawiający wymaga, aby usługi gwarancyjne świadczone były przez autoryzowany serwis producenta.
iii) W ramach gwarancji musi być zapewniony dostęp do nowych wersji oprogramowania oraz internetowych narzędzi serwisowych wydanych przez producenta Urządzenia.
iv) W ramach gwarancji musi być zapewniony bezpłatny dostęp do części zamiennych wymienianych w przypadku wad.
v) W ramach gwarancji musi być udostępniona możliwość konfiguracji w Urządzeniu automatycznego powiadamiania producenta o wystąpieniu wady.
d) Jeśli producent Urządzenia nie udziela gwarancji spełniającej wymagania określone w pkt a) i c), Wykonawca winien w ramach wskazanego w umowie wynagrodzenia, wykupić u producenta wsparcie serwisowe odpowiadające przedmiotowym warunkom.
e) Zamawiający wymaga udzielenia przez Wykonawcę oraz zapewnienie udzielenia przez producenta Urządzenia gwarancji, w ramach której autoryzowany serwis producenta Urządzenia będzie realizował zgłoszenia gwarancyjne dotyczące Urządzenie przez okres 5 lat od dnia podpisania protokołu odbioru Urządzenia na poziomie Podstawowy zgodnie z poniższymi wymaganiami:
Nazwa wymagania | Opis | Wymagane parametry w poziomie Podstawowym | Wymagane parametry w poziomie Rozszerzonym |
GLOBALNA POMOC TECHNICZNA | Wymaganie polegające na umożliwieniu Klientowi kontaktu z producentem w celu zgłoszenia problemu związanego ze sprzętem lub oprogramowaniem. | Kontakt w trybie (24x7) przez telefon lub interfejs sieci WWW. Wymagana reakcja poprzez zapewnienie zdalnej pomocy technika firmy w oparciu o poziom ważności zgłoszenia. | Kontakt w trybie (24x7) przez telefon lub interfejs sieci WWW. Wymagana reakcja poprzez zapewnienie zdalnej pomocy technika firmy w oparciu o poziom ważności zgłoszenia. |
REAKCJA W SIEDZIBIE KLIENTA | Wymaganie polegające na zapewnieniu przez producenta w miejscu zgłoszenia wykwalifikowanego personelu w celu rozwiązania zaistniałego problemu w przypadku gdy pomoc zdalna jest niewystarczająca. | reakcja w siedzibie Klienta musi nastąpić najpóźniej w następnym dniu roboczym od zakończenia próby zdalnej pomocy. | reakcja w siedzibie Klienta musi nastąpić najpóźniej w ciągu 4 godzin od zakończenia próby zdalnej pomocy. |
DOSTAWA CZĘŚCI ZAMIENNYCH | W przypadku awarii sprzętu Firma zapewni klientowi części zamienne. | Docelowy czas realizacji dostawy części zamiennych najpóźniej w następnym dniu roboczym od zdiagnozowania uszkodzonej części. | Docelowy czas realizacji dostawy części zamiennych najpóźniej w ciągu czterech godzin od zdiagnozowania uszkodzonej części. |
UPRAWNIENIA DO NOWYCH WERSJI OPROGRAMOWANIA | Wymaganie polegające na zapewnieniu przez producenta nowych wersji oprogramowania instalowanego na urządzeniu. | Zapewnione | Zapewnione |
INSTALACJA NOWYCH WERSJI OPROGRAMOWANIA | Wymaganie polegające na zapewnieniu przez producenta autoryzowanego personelu w celu przeprowadzenia instalacji nowych wersji oprogramowania. | Brak | Zapewnione |
*DEFINICJE POZIOMU WAŻNOŚCI ZDARZEŃ
(1) POZIOM WAŻNOŚCI 1 Krytyczny - całkowita utrata możliwości normalnego funkcjonowania przedsiębiorstwa wymagająca natychmiastowej reakcji.
(2) POZIOM WAŻNOŚCI 2 Wysoki - zdolność do realizacji krytycznych funkcji biznesowych ze znaczącym zmniejszeniem wydajności/możliwości.
(3) POZIOM WAŻNOŚCI 3 Średni/niski - minimalny wpływ na działalność lub brak takiego wpływu.
f) Wykonawca może zaoferować udzielenie gwarancji oraz zapewnić udzielenie gwarancji przez producenta Urządzenia przez okres 5 lat od dnia podpisania protokołu odbioru na poziomie rozszerzonym.
4) Zakres montażu, konfiguracji i instalację Urządzenia leżący po stronie Wykonawcy w ramach realizacji przedmiotu zmówienia.
a) Dostawa wszystkich elementów niezbędnych do montażu, konfiguracji i instalacji (x.xx. Urządzenia, okablowania, nośników, uchwytów montażowych).
b) Montaż Urządzenia w serwerowni w lokalizacji Zamawiającego.
c) Instalacja i uruchomienie Urządzenia w konfiguracji współpracującej z posiadanym Systemem na poziomie rozszerzonej przestrzeni dyskowej, zintegrowanego zarządzania, licencjonowania oraz replikacji danych. Uruchomienie nie może uszkodzić zapisanych wcześniej kopii zapasowych.
d) Backup konfiguracji Systemu.
5) Opracowanie dokumentacji powykonawczej
a) Po uruchomieniu Urządzenia Wykonawca sporządzi i przekaże dokumentację powykonawczą zawierającą x.xx.:
i) Opis połączeń.
ii) Konfigurację.
iii) Pełną instrukcję odzyskiwania Urządzenia z backupu konfiguracji.
Załącznik nr 2 do umowy
Wzór protokołu odbioru
PROTOKÓŁ ODBIORU KOŃCOWEGO
do umowy nr z dnia
Gmina Olsztyn – Centrum Informatycznych Usług Wspólnych Xxxxxxxx, xx. 0 Xxxx 00/00 lok.21, 10-118 Olsztyn, NIP 000-000-00-00
(Zamawiający)
Odbierający:
(Wykonawca)
Przekazujący:
Świadczenia polegające odbiorowi (przedmiot odbioru):
Lp . | Świadczenia polegające odbiorowi (przedmiot odbioru): | Data odbioru | Uwagi |
1. | [Opis przedmiot odbioru zgodnie z umową] | [Data dostarczenia świadczenia zgodnego z umową] | [Zastrzeżenia lub stwierdzenie zgodności świadczenia z umową] |
2. | |||
3. |
Przedmiot odbioru zostaje przyjęty bez zastrzeżeń
Z uwagi na zgłoszone uwagi w tabeli Zamawiający odmawia odbioru przedmiotu odbioru7
Dodatkowe uzasadnienie
[Dodatkowe uzasadnienie decyzji – jeśli dotyczy] Dodatkowe ustalenia,
Przekazujący (Wykonawca): | |
podpis | |
[Opis dodatkowych ustaleń – jeśli dotyczy] Dodatkowe uwagi:
Zamawiający: | |||
Imię i nazwisko | Stanowisko | ||
Xxxx protokołu | Podpis | ||
7 Należy zaznaczyć właściwy kwadrat
Załącznik nr 3 do umowy
OFERTA WYKONAWCY
FORMULARZ OFERTY
Załącznik nr 1 do SWZ
Dot. „Rozbudowa systemu tworzenia kopii bezpieczeństwa (backup)” CIUWO.232.10.2021
1. ZAMAWIAJĄCY:
Centrum Informatycznych Usług Wspólnych Xxxxxxxx, xx. 0 Xxxx 00/00 lok. 21, 10-118 Olsztyn
2. WYKONAWCA:
Niniejsza oferta zostaje złożona przez1:
Lp. | Nazwa(y) Wykonawcy(ów) | Adres(y) Wykonawcy(ów) | NIP Wykonawcy(ów) |
1 | XXXXX Xxxxxxx Xxxxxxxx | 00-000 Xxxxxxxx; xx. Xxxxxxxx 00 Xxxxxxxxxxx: xxxxxxxxxxx | 000-000-00-00 |
Województwo: |
3. DANE KONTAKTOWE WYKONAWCY2:
[wszelka korespondencja prowadzona będzie wyłącznie na n/w adres / e-mail]
Osoba do kontaktów | Xxxxxxx Xxxxxxxx |
Osoba uprawiona do podpisania oferty | Xxxxxxx Xxxxxxxx Podać podstawę umocowania: KRS, pełnomocnictwo, inna podstawa |
Adres korespondencyjny | 00-000 Xxxxxxxx; ul. Cyrkonii 10 |
Nr telefonu | x00 000 000 000 |
Adres e-mail | |
Adres skrzynki ePUAP | /TCIIT/domyslna |
4. CENA OFERTY:
1) Oferuję/my wykonanie całości zamówienia, zgodnie z wymogami zawartymi w SWZ za cenę:
Cena brutto: 279 898,19 PLN (słownie złotych: dwieście siedemdziesiąt dziewięć tysięcy osiemset dziewięćdziesiąt osiem złotych 19/100) w tym stawka należnego podatku VAT 23
%
2) Cena oferty została obliczona w oparciu o poniższą kalkulację za wykonanie całości dostawy objętej przedmiotem zamówienia, zgodnie z wymogami zawartymi w SWZ:
1 Wykonawca modeluje tabelę powyżej w zależności od swego składu.
2 Wykonawcy wspólnie ubiegający się o udzielenie zamówienia wskazują dane pełnomocnika (lidera), z którym prowadzona będzie wszelka korespondencja.
Przedmiot wyceny | Producent, typ, model (opis urządzenia) | Ilość szt. | Stawka podatku VAT (%) | Wartość brutto (z VAT) PLN |
1 | 2 | 3 | 4 | 5 |
Urządzenie | DellEMC Data Domain 6300 | 1 | 23 | 279 898,19 |
5. INFORMACJE DOTYCZĄCE POWSTANIA U ZAMAWIAJĄCEGO OBOWIĄZKU PODATKOWEGO:
Jeżeli wybór niniejszej oferty będzie prowadził do powstania u Zamawiającego obowiązku podatkowego zgodnie z ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2021 r. poz. 685 t.j.), dla celów zastosowania kryterium ceny Zamawiający doliczy do przedstawionej w niniejszej ofercie ceny kwotę podatku od towarów i usług, którą miałby obowiązek rozliczyć.
W takim przypadku Wykonawca ma obowiązek:
1) poinformowania Zamawiającego, że wybór jego oferty będzie prowadził do powstania u Zamawiającego obowiązku podatkowego;
2) wskazania nazwy (rodzaju) towaru lub usługi, których dostawa lub świadczenie będą prowadziły do powstania obowiązku podatkowego;
3) wskazania wartości towaru lub usługi objętego obowiązkiem podatkowym Zamawiającego, bez kwoty podatku;
4) wskazania stawki podatku od towarów i usług, która zgodnie z wiedzą Wykonawcy, będzie miała zastosowanie.
Jeśli zachodzą ww. okoliczności, Wykonawca ma obowiązek podania informacji, o których mowa w punktach 1)-4).
Jeżeli ww. okoliczności nie zachodzą, Wykonawca wpisuje: „NIE DOTYCZY” Nie dotyczy
6. KRYTERIA OCENY OFERT:
Deklaruję/my w ramach oferowanej ceny minimalny wymagany okres gwarancji udzielonej przez producenta, który wynosi 5 lat na wymagany zakres podstawowy przedmiotu zamówienia.
Deklaruję/my w ramach oferowanej ceny wsparcie na poziomie:
3 Rozszerzonym
3 Podstawowym
7. OŚWIADCZENIA
Ja/my niżej podpisany/i oświadczam/y, że:
1) składam/y niniejszą ofertę we własnym imieniu/jako Wykonawcy wspólnie ubiegający się o udzielenie zamówienia (niepotrzebne skreślić),
3 Zaznaczyć w sposób wyraźny właściwą informację.
Jeżeli tak:
a) Proszę wskazać rolę Wykonawcy w grupie (lider, odpowiedzialny za określone zadania itd.):
……………………………………………………………………………………………………………………………………….………………
b) Proszę wskazać pozostałych Wykonawców biorących wspólnie udział w postępowaniu o udzielenie zamówienia:
……………………………………………………………………………………………………………………………..………………………..
2) cena oferty obejmuje wszystkie koszty związane z prawidłową realizacją przedmiotu zamówienia,
3) akceptuję bez zastrzeżeń wzór umowy i w razie wybrania mojej oferty zobowiązuję się do podpisania umowy na warunkach zawartych w SWZ, w miejscu i terminie wskazanym przez Xxxxxxxxxxxxx.
Oświadczam/y, że wypełniłem/liśmy obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1)) wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu.
W przypadku, gdy Wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO treści oświadczenia Wykonawca nie składa (usunięcie treści oświadczenia np. przez jego wykreślenie).
Oświadczam/y, że jestem/śmy:
3 przedsiębiorcą prowadzącym jednoosobową działalność gospodarczą
3 mikroprzedsiębiorstwem
3 małym przedsiębiorstwem
3 średnim przedsiębiorstwem
3 inny rodzaj
(Wyjaśnienie poszczególnych terminów przedsiębiorców znajduje się na końcu formularz ofertowego)
Oświadczam/y, że Zamawiający może uzyskać podmiotowe środki dowodowe, za pomocą niżej wymienionych bezpłatnych i ogólnodostępnych baz danych, w szczególności rejestrów publicznych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne:…………………………………………………………………………………………………………………………………
8. TAJEMNICA PRZEDSIĘBIORSTWA: Oświadczam/y:
3 żadne z informacji zawartych w ofercie nie stanowią tajemnicy przedsiębiorstwa w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji
3 wskazane poniżej informacje zawarte w ofercie stanowią tajemnicę przedsiębiorstwa w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji i w związku z tym nie mogą być one udostępniane, w szczególności innym uczestnikom postępowania
…………………………………………………………………………………………………………………………………………………………….
W celu wykazania, iż zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa, do oferty załączam/y: …………………………………………………………………………………………………………………………………………
Nie ujawnia się informacji stanowiących tajemnicę przedsiębiorstwa w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r. poz. 1010 i 1649), jeżeli Wykonawca, wraz z przekazaniem takich informacji, zastrzegł, że nie mogą być one udostępniane oraz wykazał, że zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa. Wykonawca nie może zastrzec informacji, o których mowa w art. 222 ust. 5 ustawy Pzp.
9. INFORMACJA NA TEMAT PODWYKONAWCÓW:
Oświadczam/y, że zamierzam/y zlecić wykonanie przedmiotu zamówienia podwykonawcom zgodnie z poniższym:
Zakresu dostaw objętych przedmiotem zamówienia, który Wykonawca zamierza powierzyć podwykonawcy / podwykonawcom | Procentowy udział lub wartość część zamówienia, jaka zostanie powierzona podwykonawcy / podwykonawcom (o ile jest znana) | Nazwa (firma) podwykonawcy (o ile jest znana) |
……………………………… | …………………. | ……………………. |
……………………………… | …………………. | ……………………. |
……………………………… | …………………. | ……………………. |
10. Integralną część oferty stanowią następujące dokumenty:
1) Wypis z CEiDG
2) Załacznik nr 2 do SIWZ
3) Oświadczenie o udzieleniu poręczenia
4) Pełnomocnictwo rodzajowe poręczenia Wadium
Dokument powinien być podpisany kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym przez osobę upoważnioną do reprezentowania Wykonawcy, zgodnie z formą reprezentacji Wykonawcy określoną w rejestrze lub innym dokumencie, właściwym dla danej formy organizacyjnej Wykonawcy albo przez upełnomocnionego przedstawiciela Wykonawcy.
Zalecenie Komisji z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36):
Mikroprzedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 10 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 2 milionów EUR.
Małe przedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 50 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów EUR.
Średnie przedsiębiorstwa: przedsiębiorstwa, które nie są mikroprzedsiębiorstwami ani małymi przedsiębiorstwami i które zatrudniają mniej niż 250 osób i których roczny obrót nie przekracza 50 milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów EUR.
Załącznik nr 4 do umowy
Załącznik nr 1 do Zarządzenia nr 24/2019 Dyrektora Centrum Informatycznych Usług Wspólnych Olsztyna z dnia 9 września 2019 r. w sprawie ustalenia regulaminu ochrony informacji dla Wykonawcy, wzoru umowy powierzenia przetwarzania danych oraz o zachowaniu poufności informacji, wzoru umowy o zachowaniu poufności informacji.
Regulamin Ochrony Informacji dla Wykonawcy
Centrum Informatycznych Usług Wspólnych Olsztyna
Spis treści
§1 CEL 21
§2 ZAKRES 21
§3 TERMINOLOGIA 21
§4 POSTANOWIENIA OGÓLNE 22
§5 NADAWANIE, ZMIANA BĄDŹ ODEBRANIE UPRAWNIEŃ 22
§7 DOSTĘP ZDALNY 24
§8 WYMAGANIA ZABEZPIECZEŃ 25
§9 REAGOWANIE NA INCYDENTY 26
§10 POSTANOWIENIA KOŃCOWE 27
§11 LISTA DOKUMENTÓW ZWIĄZANYCH 27
§12 ZAŁĄCZNIKI 27
§1 DEFINICJE 31
§1 CEL
1.1. Celem dokumentu w Centrum Informatycznych Usług Wspólnych Olsztyna jest:
1) Określenie minimalnych środków technicznych i organizacyjnych służących zabezpieczeniu danych.
2) Określenie minimalnych wymagań w zakresie bezpieczeństwa informacji dla podmiotów zewnętrznych.
3) Określenie minimalnych wymagań w zakresie zabezpieczeń systemów teleinformatycznych.
§2 ZAKRES
2.1. Niniejszy dokument stosują wszystkie podmioty zewnętrzne wykonujące prace na rzecz Centrum Informatycznych Usług Wspólnych Olsztyna (zwanego dalej CIUWO), związane z przetwarzaniem Aktywów informacyjnych Centrum Informatycznych Usług Wspólnych Olsztyna.
2.2. Niniejszy dokument należy stosować we wszystkich umowach z podmiotami zewnętrznymi, których przedmiot jest związany z ochroną informacji.
2.3. Stosowanie niniejszego dokumentu określającego minimalne środki techniczne i organizacyjne nie zwalnia podmiotów zewnętrznych ze stosowania środków adekwatnych, tj. dostosowanych do rodzaju przetwarzanych danych i sposobu ich przetwarzania tak, żeby zapewnić bezpieczeństwo przetwarzania stosownie do ryzyka naruszenia praw i wolności osób, których dane dotyczą, a które w konkretnych przypadkach mogą być dalej idące.
§3 TERMINOLOGIA
3.1. Pojęcia używane w Regulaminie:
1) Aktywo i zasób informacyjny – wszelkie informacje w formie papierowej, elektronicznej i innej, przetwarzane (zbierane, utrwalane, przechowywane, opracowywane, zmieniane, udostępniane i usuwane) w sposób tradycyjny lub w systemach informatycznych, będące własnością CIUWO lub wykorzystywane bądź administrowane bądź zarządzane przez CIUWO.
2) Główny Administrator Bezpieczeństwa Systemów (GABS) – nadzoruje bezpieczeństwo wszystkich systemów teleinformatycznych. Jest odpowiedzialny za dopuszczanie systemów teleinformatycznych do eksploatacji.
3) System informatyczny, System – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
4) System Teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego.
5) System Zarządzania Bezpieczeństwem Informacji (SZBI) - część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
§4 POSTANOWIENIA OGÓLNE
4.1. Regulamin Ochrony Informacji dla Wykonawcy Centrum Informatycznych Usług Wspólnych Olsztyna (zwany dalej Regulaminem) określa zakres obowiązków i odpowiedzialności podmiotów zewnętrznych w zakresie bezpieczeństwa informacji. Regulamin obejmuje swym zakresem wszystkich użytkowników podmiotów zewnętrznych, mających dostęp do systemów teleinformatycznych Centrum Informatycznych Usług Wspólnych Olsztyna.
4.2. Podmiot zewnętrzny spełnia wymagania niniejszego Regulaminu przed uzyskaniem dostępu do Systemu Teleinformatycznego CIUWO.
4.3. Przed rozpoczęciem przetwarzania informacji chronionych, w szczególności danych osobowych przetwarzanych przez CIUWO, podmiot zewnętrzny powinien spełnić następujące warunki:
1) w przypadku przetwarzania Informacji Poufnych – podpisać zobowiązanie do zachowania poufności przetwarzanych danych na wzorze obowiązującym w CIUWO, będącym załącznikiem nr 1 do Regulaminu.
2) w przypadku przetwarzania Informacji Poufnych i Danych – podpisać umowę powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji na wzorze obowiązującym w CIUWO, będącym załącznikiem nr 2 do Regulaminu.
§5 NADAWANIE, ZMIANA BĄDŹ ODEBRANIE UPRAWNIEŃ
5.1. W przypadku podmiotów zewnętrznych, zakres uprawnień w poszczególnych systemach i aplikacjach ustawia się adekwatnie do przedmiotu umowy i zakresu powierzonych danych osobowych.
5.2. Lista użytkowników podmiotu zewnętrznego powinna być dostarczona przez osoby ze strony podmiotu zewnętrznego wskazane w umowie jako odpowiedzialne za jej realizację.
5.3. Po każdej zmianie użytkowników ze strony podmiotu zewnętrznego, jest on zobowiązany do przekazania listy użytkowników ze wskazaniem zmian w ich zakresie uprawnień.
5.4. Rejestrowanie/wyrejestrowanie użytkowników zewnętrznych Systemu Teleinformatycznego CIUWO oraz nadawanie/zmiana/odebranie uprawnień jest realizowane przez pracowników CIUWO:
1) Podczas rejestracji użytkownika zewnętrznego nadawany jest przez administratora systemu unikalny identyfikator użytkownika oraz ustawiane jest hasło tymczasowe niezbędne do logowania po raz pierwszy do Systemu (zgodne z zasadami opisanymi w niniejszej procedurze) dla użytkownika zewnętrznego Systemu Teleinformatycznego.
2) O nadaniu/zmianie/odebraniu uprawnień właściwych identyfikatorów w odpowiednich systemach i aplikacjach i nadaniu właściwych uprawnień administrator systemu informuje GABS oraz przedstawiciela podmiotu zewnętrznego.
§6 METODY I ŚRODKI UWIERZYTELNIANIA
6.1. Dostęp do poszczególnych części systemu informatycznego jest możliwy wyłącznie poprzez podanie prawidłowego identyfikatora i hasła przyznanych użytkownikowi podczas procesu nadawania uprawnień do Systemu Teleinformatycznego.
6.2. Hasła użytkowników do systemów powinny podlegać następującym zasadom:
1) hasło składa się z minimum 8 znaków,
2) hasło musi spełniać warunek złożoności polegający na występowaniu w nim: wielkiej i małej litery, oraz cyfry lub znaku specjalnego (np. !@#),
3) hasło musi być zmieniane minimum co 30 dni,
4) kolejne hasła muszą być różne,
5) hasła należy przechowywać w sposób gwarantujący ich poufność,
6.3. Zabrania się udostępniania haseł innym osobom.
6.4. Zabrania się tworzenia haseł na podstawie:
1) cech i numerów osobistych (np. dat urodzenia, imion itp.),
2) sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx),
3) identyfikatora użytkownika
6.5. Zabrania się tworzenia haseł łatwych do odgadnięcia.
6.6. Logowanie anonimowe do systemu informatycznego jest zabronione dla użytkowników.
6.7. Uwierzytelnienie następuje wyłącznie po podaniu zgodnego hasła i powiązanego z nim identyfikatora.
6.8. W przypadku logowania do systemu informatycznego odbywającego się po raz pierwszy, użytkownik ma obowiązek zmiany hasła tymczasowego na właściwe, na znane tylko użytkownikowi.
6.9. W przypadku systemów, które nie wymuszają automatycznie cyklicznej zmiany hasła oraz nie kontrolują jego znaków, obowiązkiem użytkownika jest zmiana hasła zgodnie z zasadami określonymi w punktach poprzednich.
6.10. Użytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego bezpieczne przechowywanie.
6.11. Hasła nie mogą być ujawniane w sposób celowy lub przypadkowy i powinny być znane wyłącznie użytkownikowi.
6.12. Hasła nie powinny być przechowywane w formie dostępnej dla osób nieupoważnionych:
1) w plikach,
2) na kartkach papieru w miejscach dostępnych dla osób trzecich,
3) w skryptach,
4) w innych zapisach elektronicznych i papierowych, które byłyby dostępne dla osób trzecich.
6.13. W przypadku podejrzenia ujawnienia haseł osobie nieupoważnionej, hasła muszą zostać natychmiast zmienione przez użytkownika lub Administratora Systemu.
6.14. Hasło użytkownika sytemu umożliwiające dostęp do Systemu Teleinformatycznego utrzymuje się w tajemnicy również po upływie jego ważności.
6.15. Zmiany hasła dokonuje użytkownik. W przypadku gdy użytkownik zapomniał hasła, właściwy Administrator Systemu ustawia hasło tymczasowe użytkownikowi z wymuszeniem jego zmiany podczas pierwszego logowania.
6.16. Hasła przez użytkowników nie powinny być przekazywane przesyłane za pomocą telefonu, faksu, bądź poczty e-mail w formie jawnej.
6.17. W przypadku grupowego tworzenia kont użytkowników generowane hasła powinny być unikalne.
§7 DOSTĘP ZDALNY
7.1. CIUWO prowadzi pisemny wykaz osób i podmiotów zewnętrznych posiadających dostęp zdalny do zasobów Systemu Teleinformatycznego CIUWO.
7.2. Dostęp zdalny podmiotów zewnętrznych możliwy jest tylko po spełnieniu warunków wymienionych w niniejszym Regulaminie.
7.3. Dla każdej umowy z podmiotem zewnętrznym Dyrektor CIUWO wyznacza Koordynatora Prac Zdalnych CIUWO (dalej zwany KPZ) zgodnie z wzorem określonym w załączniku nr 4.
7.4. Podmiot zewnętrzny powierzając prace swoim pracownikom we własnym zakresie udziela im niezbędnych pełnomocnictw.
7.5. Dostępu udziela się na czas obowiązywania umowy na podstawie pisemnego wniosku przekazanego przez podmiot zewnętrzny do KPZ o podanie potrzebnych identyfikatorów i haseł dostępu.
7.6. W ramach dostępu zabrania się podmiotowi zewnętrznemu trwale usuwać dane, przeprowadzać jakiekolwiek operacje na dyskach mogące prowadzić do ich uszkodzenia lub utraty danych, w szczególności ich formatowania. Przedstawiciel podmiotu zewnętrznego wykonujący prace, przystępując do czynności, o których wie, że w konsekwencji doprowadzić one mogą do zniszczenia danych, musi poinformować przedstawiciela Zamawiającego i dopiero po jego akceptacji podjąć może te czynności.
7.7. W przypadku konieczności realizacji prac na środowisku produkcyjnym, podmiot zewnętrzny uzgadnia z KPZ termin prowadzenia prac obarczonych ryzykiem, o którym mowa w §8, przed przystąpieniem do prac, przedstawia scenariusz planowanych prac wraz z oceną ryzyka podejmowanych czynności. Podmiot zewnętrzny odpowiada za odstępstwa od przedstawionego scenariusza. Scenariusz powinien obejmować:
1) Czas (moment) podjęcia planowanych prac, przewidywany czas trwania prac.
2) Zakres wykonywanych prac.
3) Informację, czy wymagana jest przerwa w pracy użytkowników.
4) Potencjalne ryzyka podejmowanych czynności.
7.8. Pracownik lub przedstawiciel podmiotu zewnętrznego wykonujący prace, przystępując do czynności, co do których istnieje wysokie ryzyko utraty danych lub przerwy w działaniu systemu, informuje o ryzyku KPZ.
7.9. KPZ w przypadku otrzymania informacji o wysokim ryzyku utraty danych ustala możliwość rozpoczęcia prac z bezpośrednim przełożonym, Głównym Administratorem Bezpieczeństwa Systemów, a w przypadku takiej potrzeby – z innymi administratorami, w tym z administratorem systemu sesji zdalnych. Po akceptacji ryzyka przez KPZ w formie dokumentowej, pracownik podmiotu zewnętrznego może rozpocząć realizację czynności objętej wskazanym ryzykiem. W przypadku braku akceptacji ryzyka, strony podejmują działania w celu usunięcia potencjalnych podatności dla ryzyka, a następnie przedstawiciel podmiotu zewnętrznego postępuje zgodnie z §7 i
§8 powyżej.
7.10. Wykonywanie prac polegających na standardowej obsłudze serwisowej, prac nad rozwojem programu będącego w fazie wdrażania nie wymaga każdorazowego ustalenia warunków realizacji czynności, będącej ich częścią. W ramach wykonywania tych czynności obowiązują warunki uzgodnione wcześniej. W szczególności nie wymagają każdorazowego ustalenia warunków realizacji te czynności, które wynikają z przedmiotu umowy i nie są objęte ryzykami opisanymi w pkt. 6-8. Wykonywanie czynności niestandardowych wymaga każdorazowo określenia warunków.
7.11. Zabrania się podejmowania czynności zmierzających do penetrowania zasobów sieci CIUWO.
7.12. Zabrania się dostępu zdalnego z komputerów dostępnych publicznie np. kafejki internetowe, dworce PKP, restauracje, bezprzewodowe sieci miejskie.
7.13. Dostęp zdalny jest przez CIUWO monitorowany.
7.14. Monitorowanie odbywa się poprzez:
1) Logowanie ruchu w zakresie wszystkich sesji połączeń.
2) Nadzór nad wykonawcami za pomocą systemu monitorowania zdalnych sesji w zakresie prac wykonywanych zdalnie w sieci Urzędu,
3) Centralny system korelacji logów (SIEM) zbiera informacje ze wszystkich systemów i ocenia stopień zagrożenia sieci LAN.
7.15. W przypadku realizacji umowy głównej w trybie SaaS, IaaS lub DaaS, zapewnienie realizacji obowiązków określonych w §7 realizuje podmiot zewnętrzny.
§8 WYMAGANIA ZABEZPIECZEŃ
Zasady zabezpieczeń zasobów serwerowych i stacji roboczych
8.1. Do systemu informatycznego mogą być podłączane wyłącznie komputery i urządzenia zgodne z minimalnymi wymaganiami bezpieczeństwa, w szczególności:
1) System antywirusowy jest zainstalowany w systemie operacyjnym i jego sygnatury są aktualne.
2) System operacyjny posiada zainstalowane wszystkie dostępne aktualizacje zabezpieczeń.
3) Firewall jest uruchomiony w systemie operacyjnym i posiada właściwą konfigurację, odpowiadającą wykonywanym obowiązkom pracowniczym przez użytkowników komputera.
4) Zainstalowane na komputerze oprogramowanie pochodzi z godnych zaufania źródeł.
5) Oprogramowanie jest zainstalowane zgodnie z postanowieniami licencji producenta oprogramowania.
6) Oprogramowanie nie łamie i nie narusza w żadnym stopniu przepisów ustawy o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. z późniejszymi zmianami.
8.2. W przypadku realizacji umowy głównej w trybie SaaS Podmiot zewnętrzny zobowiązuje się dodatkowo do:
1) W zakresie realizacji polityki Antywirusowej – do aktualizacji bazy definicji wirusów i przeprowadzania co najmniej cotygodniowego skanu Antywirusowego wszystkich serwerów, na których są zlokalizowane zasoby CIUWO. Skanowanie będzie przeprowadzane w godzinach nocnych/rannych. Ponadto Podmiot zewnętrzny zobowiązuje się do uruchomienia skanowania
Antywirusowego na żądanie Zamawiającego w przypadku pozyskania przez niego informacji o zagrożeniu.
2) Celem potwierdzenia wywiązania się z realizacji zadań, przekazania do CIUWO pisemnego raportu 1 (jeden) raz na kwartał, zawierającego:
i) planowaną ilość wykonanych kopii zapasowych i rzeczywistą ilość wykonanych kopii zapasowych,
ii) potwierdzenie przeprowadzenia skanu Antywirusowego wszystkich serwerów, na których są zlokalizowane zasoby Zamawiającego wraz z wynikami skanu.
Stosowanie zabezpieczeń kryptograficznych
8.3. W celu ochrony poufności przesyłanych oraz przechowywanych danych, stosuje się zabezpieczenia kryptograficzne. Miejsca stosowania kryptografii powinny być zgodne z wymaganiami prawnymi oraz regulacjami wewnętrznymi. Zabezpieczenia kryptograficzne należy stosować w szczególności:
1) Na dyskach twardych komputerów przenośnych.
2) Na pendrive’ach.
3) Na nośnikach kopii zapasowych przechowywanych poza Systemem Teleinformatycznym Urzędu.
4) Na urządzeniach typu smartfon oraz tablet w aplikacjach, które przechowują dane objęte ochroną np. dane osobowe.
5) Tunelach VPN.
8.4. Wiadomościach poczty elektronicznej, w których przesyłane są dane objęte ochroną, w szczególności dane osobowe.
8.5. Zakres stosowanych rozwiązań kryptograficznych powinien obejmować minimum dane znajdujące się na nośnikach, które objęte są ochroną ze względu na wymagania utrzymania odpowiedniego poziomu poufności.
8.6. Rozwiązania kryptograficzne powinny wykorzystywać algorytm AES o długości klucza min. 256 bit.
§9 REAGOWANIE NA INCYDENTY
9.1. O ile zawarte między CIUWO a podmiotem zewnętrznym umowy nie przewidują dalej idących zobowiązań, każde naruszenie bezpieczeństwa informacji należy w ciągu [24] godziny od powzięcia informacji o jego wystąpieniu zgłaszać Inspektorowi Ochrony Danych telefonicznie pod numer 89 7525809 lub w formie e-mail za potwierdzeniem odbioru na adres xxx@xxxxx.xxxxxxx.xx z tematem wiadomości „Naruszenie bezpieczeństwa informacji”.
9.2. Inspektor Ochrony Danych w porozumieniu z Dyrektorem CIUWO, jeśli zdarzenie jest ewidentnym naruszeniem bezpieczeństwa, może zdecydować o natychmiastowym odebraniu uprawnień w systemach użytkownikom podmiotu zewnętrznego, przy czym w takiej sytuacji bez zbędnej zwłoki przekazuje on informację o blokadzie dostępu osobie upoważnionej ze strony podmiotu zewnętrznego.
9.3. Upoważnione osoby z podmiotu zewnętrznego zabezpieczają ślady (np. logi systemowe) naruszenia bezpieczeństwa.
9.4. W stosownych przypadkach Administrator Xxxxxx informuje o wystąpieniu incydentu
bezpieczeństwa organ nadzorczy ds. ochrony danych osobowych oraz Podmiot danych.
9.5. W szczególnych przypadkach Administrator Danych informuje organy ścigania o zaistniałej sytuacji.
9.6. Sposób zgłaszania incydentów bezpieczeństwa przez Podmioty Zewnętrzne, postępowanie i odpowiedzialność dla naruszeń bezpieczeństwa określa umowa powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji.
§10 POSTANOWIENIA KOŃCOWE
10.1. Za nadzór nad przestrzeganiem postanowień Regulaminu odpowiada:
1) Ze strony podmiotu zewnętrznego – uprawniony przedstawiciel tego podmiotu.
2) Ze strony CIUWO – Inspektor Ochrony Danych oraz Główny Administrator Bezpieczeństwa Systemów.
10.2. Naruszając Regulamin, podmiot zewnętrzny może podlegać sankcjom karnym, cywilnym oraz wynikającym z przepisów RODO.
§11 LISTA DOKUMENTÓW ZWIĄZANYCH
11.1. Wzór zobowiązania do zachowania poufności przetwarzanych danych;
11.2. Wzór umowy powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji.
§12 ZAŁĄCZNIKI
12.1. Wzór – wyznaczenie Koordynatora Prac Zdalnych CIUWO.
Załącznik nr 1 do Regulaminu Ochrony Informacji dla Wykonawcy CIUWO – Wzór
– wyznaczenie Koordynatora Prac Zdalnych CIUWO
Wyznaczenie Koordynatora Prac Zdalnych Centrum Informatycznych Usług Wspólnych Olsztyna
Na podstawnie zapisów zawartych w pkt. 8.3 Regulaminu, wyznaczam Panią /Pana*
Imię i nazwisko
na stanowisku
nazwa stanowiska
adres e’mail:
tel.:
adres e’mail nr telefonu
po stronie Centrum Informatycznych Usług Wspólnych Olsztyna na Koordynatora Prac Zdalnych w ramach umowy zawartej pomiędzy Centrum Informatycznych Usług Wspólnych Olsztyna a:
Nazwa Wykonawcy
z siedzibą w
Siedziba Wykonawcy
adres:
Adres Wykonawcy
data
Nr
Data zawarcia umowy powierzenia przetwarzania danych numer umowy
Dotyczącej
do
Przedmiot umowy
Obowiązującej w okresie od
Początek obowiązywania umowy
Koniec obowiązywania umowy
Dostęp zdalny odbywać się będzie na zasadach określonych w §7 wyżej powołanego Regulaminu, którego kopia została dostarczona Wykonawcy.
Wyznaczam: | Zatwierdzam: | Przyjąłem do stosowania: |
data i podpis bezpośredniego przełożonego | data i podpis Dyrektora CIUWO | data podpis pracownika wyznaczonego na KPZ |
Załącznik nr 5 do umowy
Załącznik nr 2 do Zarządzenia nr 24/2019 Dyrektora Centrum Informatycznych Usług Wspólnych Olsztyna z dnia 9 września 2019 r. w sprawie ustalenia regulaminu ochrony informacji dla Wykonawcy, wzoru umowy powierzenia przetwarzania danych oraz o zachowaniu poufności informacji, wzoru umowy o zachowaniu poufności informacji.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORAZ O ZACHOWANIU POUFNOŚCI INFORMACJI
dotycząca umowy: CIUWO.234.69.2021 zawarta w Olsztynie, w dniu roku, pomiędzy:
Centrum Informatycznych Usług Wspólnych Olsztyna oraz Gminą Olsztyn – Centrum Informatycznych Usług Wspólnych Xxxxxxxx, xx. 0 Xxxx 00/00 lok. 21,; 00-000 Xxxxxxx, reprezentowaną przez Prezydenta Olsztyna - Pana Xxxxxx Xxxxxxxxxxx, w imieniu którego działa Dyrektor Centrum Informatycznych Usług Wspólnych Olsztyna - Xxx Xxxxx Xxxxxxxxx,
(zwanym dalej Powierzającym) a
XXXXX Xxxxxxx Xxxxxxxx z siedzibą w Warszawie przy xx. Xxxxxxxx xx 00, 00-000 Xxxxxxxx (xxxxx Xxxxxx), wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, posiadającą nr XXX 0000000000 oraz REGON 142312689,
(zwaną dalej Przetwarzającym),
zwanymi dalej łącznie Stronami, a każda z osobna Stroną,
Spis treści
§1 DEFINICJE 31
§2 PRZEDMIOT UMOWY 31
§3 XXXXXXXXX XXXXXXXXXXXXXX 00
§4 ZOBOWIĄZANIA PRZETWARZAJĄCEGO 32
§5 WSPÓŁPRACA PRZETWARZAJĄCEGO Z POWIERZAJĄCYM 34
§6 NARUSZENIA 35
§7 POWIERZENIE DANYCH OSOBOWYCH INNEMU PODMIOTOWI PRZETWARZAJĄCEMU 36
§8 OBOWIĄZEK ZACHOWANIA TAJEMNICY 37
§9 KONTROLA I AUDYT 38
§10 ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO 39
§11 OBOWIĄZYWANIE UMOWY 40
§12 USUNIĘCIE LUB ZWROT DANYCH 41
§13 POSTANOWIENIA KOŃCOWE 41
§14 ZAŁĄCZNIKI 42
§1 DEFINICJE
1.1. Dla potrzeb Umowy, Strony ustalają następujące znaczenie niżej wymienionych pojęć:
1) Xxxx – dane osobowe w rozumieniu art. 4 pkt 1) RODO.
2) Dni Robocze – dni w Pn 8:00 – 16:00, Wt-Pt 7:30 – 15:30, z wyłączeniem dni ustawowo wolnych od pracy w Polsce;
3) Przetwarzanie Danych – przetwarzanie Danych w rozumieniu art. 4 pkt 2) RODO;
4) Umowa – niniejsza umowa;
5) Umowa Główna – umowa CIUWO.234.69.2021 zawarta w dniu ;
6) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
7) Informacje Poufne – oznaczają Dane oraz wszelkie inne materiały i/lub informacje dotyczące Powierzającego lub osób trzecich, zarówno handlowe, finansowe, techniczne, technologiczne i inne, ujawnione Przetwarzającemu w związku z realizacją przez Przetwarzającego dla Powierzającego Umowy Głównej, w tym stanowiące tajemnice przedsiębiorstwa, przekazane w postaci ustnej, pisemnej, elektronicznej lub w jakikolwiek inny sposób (w tym w formie dokumentów, prezentacji, rysunków, filmów, nagrań audio).
§2 PRZEDMIOT UMOWY
2.1. Przetwarzający oświadcza, że dysponuje odpowiednimi doświadczeniem, wiedzą oraz personelem, a także, że wdrożył i stosuje odpowiednie środki organizacyjne i techniczne w celu zapewnienia prawidłowego wykonywania Umowy oraz zapewnienia wystarczających gwarancji, aby Przetwarzanie Danych spełniało wymogi określone przepisami prawa, w tym regulacjami RODO.
2.2. Na podstawie art. 28 ust. 3 RODO oraz na zasadach określonych postanowieniami Umowy, Powierzający powierza Przetwarzającemu przetwarzanie Danych, a Przetwarzający zobowiązuje się przetwarzać Dane:
1) w zakresie obejmującym kategorie osób, których dane dotyczą, rodzaje informacji (Danych) oraz operacje lub zestawy operacji na Danych (czynności Przetwarzania Danych) wymienione w Załączniku nr [1] do Umowy oraz
2) wyłącznie w celu wykonania zobowiązań Przetwarzającego wynikających z Umowy Głównej.
2.3. Przetwarzający w zakresie realizacji celu określonego w ust. 2.2 pkt 2) jest uprawniony do wykonywania wyłącznie takich czynności Przetwarzania niezbędnych do realizacji tego celu.
2.4. Powierzenie Przetwarzania Danych następuje z chwilą zawarcia przez Strony Umowy.
2.5. Przetwarzanie Danych może odbywać się wyłącznie na terenie państwa członkowskiego Unii Europejskiej lub w innym państwie będącym sygnatariuszem Porozumienia o Europejskim Obszarze Gospodarczym (EOG), chyba że zachodzi wyjątek opisany w art. 49 RODO.
2.6. Z tytułu wykonywania świadczeń określonych w Umowie, Przetwarzającemu nie przysługuje odrębne wynagrodzenie. Wykonywanie przez Przetwarzającego obowiązków określonych w
Umowie następuje w ramach wynagrodzenia Przetwarzającego określonego w Umowie Głównej.
§3 POLECENIA POWIERZAJĄCEGO
3.1. W celu uniknięcia wątpliwości Strony postanawiają, że zawarcie Umowy stanowi udokumentowane polecenie Powierzającego, o którym mowa w art. 28 ust. 3 pkt a) RODO.
3.2. Dodatkowe polecenia dotyczące Przetwarzania Danych w trakcie realizacji Umowy będą przekazywane Przetwarzającemu przez Powierzającego w formie pisemnej, elektronicznej lub dokumentowej.
3.3. Przetwarzający jest zobowiązany zastosować się do poleceń Powierzającego, o których mowa w ust. 2 powyżej, w tym w szczególności dokonywać zmian w zakresie sposobu Przetwarzania Danych lub wdrożyć przewidziane w poleceniach środki techniczne lub organizacyjne niezwłocznie, nie później jednak niż w terminie [3] Dni Roboczych od dnia otrzymania polecenia, chyba że Strony w danym przypadku postanowią inaczej.
3.4. Jeżeli Przetwarzający uzna, że polecenie Powierzającego narusza przepisy o ochronie danych osobowych, Przetwarzający niezwłocznie informuje o tym Powierzającego i Przetwarzający ma prawo wstrzymać się z wykonaniem takiego polecenia do chwili potwierdzenia polecenia przez Powierzającego.
§4 ZOBOWIĄZANIA PRZETWARZAJĄCEGO
4.1. Przetwarzający zobowiązuje się do Przetwarzania Danych wyłącznie w zakresie i w ramach realizacji celu określonego w Umowie, z uwzględnieniem szczegółowych zasad Przetwarzania wynikających z postanowień Umowy, obowiązujących przepisów prawa, w tym regulacji dotyczących zasad przetwarzania danych osobowych, a w szczególności art. 32-36 RODO, a także wszelkich kodeksów postępowania, wytycznych oraz opisów dobrych praktyk, nawet jeśli nie stanowią powszechnie obowiązującego prawa, które powinny mieć zastosowanie do Umowy i Przetwarzania Danych realizowanego na jej podstawie.
4.2. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
4.3. Przed rozpoczęciem Przetwarzania, Przetwarzający zobowiązuje się do wdrożenia, a przez cały okres obowiązywania Umowy do stosowania środków technicznych i organizacyjnych służących zabezpieczeniu Danych oraz realizowanych na podstawie umowy czynności Przetwarzania Danych, co najmniej w zakresie środków opisanych w Regulaminie Ochrony Informacji dla Wykonawcy.
4.4. Niezależnie od obowiązku wskazanego w ust. 4.3, Przetwarzający zobowiązuje się przez cały okres Przetwarzania Danych do zapewnienia bezpieczeństwa powierzonych do przetwarzania Danych poprzez wdrożenie, aktualizację i stosowanie odpowiednich środków organizacyjnych oraz technicznych w celu prawidłowego wykonania Umowy oraz zapewnienia wystarczających gwarancji, aby Przetwarzanie Danych spełniało wymogi określone przepisami prawa, w tym regulacjami RODO. W szczególności, Przetwarzający zobowiązuje się podjąć odpowiednie środki gwarantujące bezpieczeństwo Danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem, w szczególności wdrożyć, przy uwzględnieniu stanu wiedzy technicznej, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednie środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa przetwarzania Danych odpowiadającego ryzyku określonemu przez Powierzającego, w tym między innymi w stosownym przypadku:
1) środki polegające na pseudonimizacji i szyfrowaniu danych osobowych,
2) środki gwarantujące zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
3) środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
4) środki zapewniające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
4.5. W przypadku stwierdzenia przez Przetwarzającego, że stosowane przez niego środki organizacyjne i techniczne mogą być nieadekwatne do rozpoznanych zagrożeń ochrony Danych, Przetwarzający ma obowiązek zastosować środki techniczne i organizacyjne odpowiednie do zapewnienia adekwatnego poziomu bezpieczeństwa Przetwarzania Danych oraz niezwłocznie poinformować o Powierzającego o podjętych działaniach, w tym o charakterze i terminie wdrożenia takich środków.
4.6. Przetwarzający zobowiązuje się przeszkolić pracowników oraz współpracowników uczestniczących w realizacji Umowy lub Umowy Głównej w zakresie regulacji prawnych dotyczących przetwarzania danych osobowych i ochrony informacji, a także stosowanych środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa Przetwarzania Danych realizowanego na podstawie Umowy.
4.7. Przetwarzający zapewni, że każda osoba upoważniona przez Przetwarzającego do Przetwarzania, przetwarzała je wyłącznie na polecenie Powierzającego w celach i zakresie przewidzianym w Umowie, przy czym Powierzający upoważnia Przetwarzającego do udzielenia indywidualnych upoważnień do Przetwarzania Danych dla osób dokonujących Przetwarzania Danych w ramach realizacji Umowy.
4.8. Przetwarzający jest zobowiązany do poinformowania Powierzającego o wszelkich zmianach w zakresie osób upoważnionych do Przetwarzania Danych.
4.9. Przetwarzający zobowiązuje się prowadzić ewidencję osób upoważnionych do Przetwarzania Danych; na żądanie Powierzającego w terminie wskazanym w takim wezwaniu Przetwarzający przekaże Powierzającemu kopię lub, odpowiednio, wyciąg z takiej ewidencji.
4.10. Na żądanie Powierzającego wyrażone w formie dokumentowej, a w przypadku upoważnienia do Przetwarzania Danych za pośrednictwem zdalnego dostępu – bez żądania przed dopuszczeniem do Przetwarzania Danych – Przetwarzający zobowiązany jest do przekazania Powierzającemu kopii upoważnień do przetwarzania danych osobowych i oświadczeń o zachowaniu poufności.
4.11. Przetwarzający jest zobowiązany prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Powierzającego, o którym mowa w art. 30 ust. 2 RODO.
4.12. Przetwarzający jest zobowiązany do prowadzenia rejestru naruszeń ochrony danych, w którym dokumentowane są wszelkie naruszenia ochrony danych osobowych, dotyczące powierzonych danych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze przez Przetwarzającego.
4.13. Przetwarzający zobowiązuje się do niezwłocznego, jednak nie później niż w terminie [3] Dni Roboczych, informowania Powierzającego w formie pisemnej o:
1) każdym postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym Przetwarzania Danych przez Przetwarzającego;
2) każdej decyzji administracyjnej lub orzeczeniu dotyczącym Przetwarzania Danych, skierowanych do Przetwarzającego;
3) wszelkich kontrolach i inspekcjach dotyczących Przetwarzania Danych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy;
4) wszelkich skargach osób, których dane dotyczą, związanych z Przetwarzaniem dotyczących ich Danych;
5) każdym żądaniu udostępnienia powierzonych Przetwarzającemu Danych właściwemu organowi państwa, chyba że zakaz zawiadomienia Powierzającego wynika z bezwzględnie obowiązujących przepisów prawa;
6) każdym nieupoważnionym dostępie do Danych, których Przetwarzanie zostało powierzone Przetwarzającemu.
§5 WSPÓŁPRACA PRZETWARZAJĄCEGO Z POWIERZAJĄCYM
5.1. Przetwarzający zobowiązuje się współpracować z Powierzającym przez cały okres trwania powierzenia Przetwarzania Danych w zakresie umożliwiającym Powierzającemu wywiązanie się z wszelkich obowiązków związanych z przetwarzaniem Danych zgodnie obowiązującymi przepisami prawa.
5.2. Przetwarzający, w zakresie wskazanym przez Powierzającego, zobowiązuje się zapewnić Powierzającemu pomoc, w tym za pośrednictwem stosowanych przez siebie odpowiednich środków technicznych i organizacyjnych, w wywiązywaniu się przez Powierzającego z obowiązku odpowiadania na żądania osoby fizycznej, której przetwarzane Dane dotyczą, w zakresie wykonywania jej praw określonych w określonych w art. 15-22 RODO, w szczególności poprzez niezwłoczne przekazywanie Powierzającemu wszelkich otrzymanych żądań i wniosków osób, których Dane dotyczą, nie później jednak niż w terminie [2] Dni Roboczych od dnia ich wpłynięcia.
5.3. Przetwarzający nie jest upoważniony do udzielenia odpowiedzi na wniosek, o którym mowa w ust. 5.2, bez uprzedniej zgody lub wyraźnego polecenia Powierzającego. Powierzający uprawniony jest do wskazania sposobu realizacji żądania osoby, której dane dotyczą przez Przetwarzającego.
5.4. Przetwarzający zobowiązuje się współpracować z Powierzającym w zakresie niezbędnym do wywiązania się przez Powierzającego z obowiązku dokonania oceny skutków dla ochrony danych osobowych, o której mowa w art. 35 RODO oraz przeprowadzenia konsultacji Powierzającego z organem nadzorczym, o których mowa w art. 36 RODO; w szczególności Przetwarzający jest zobowiązany dostarczać Powierzającemu na jego żądanie, w terminie [3] Dni Roboczych od dnia sformułowania żądania, informacji niezbędnych do opisu planowanych operacji przetwarzania, a także jest zobowiązany do uczestniczenia w dokonywaniu oceny, czy te operacje są niezbędne oraz proporcjonalne do celu przetwarzania oraz oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą.
5.5. Przetwarzający zobowiązuje się udostępniać Powierzającemu na każde jego żądanie, w formie określonej w treści żądania, niezwłocznie, nie później niż w terminie [2] Dni Roboczych od dnia
sformułowania żądania (chyba że z uwagi na charakter lub zakres żądanej informacji strony uzgodnią dłuższy termin), wszelkie informacje niezbędne do wykazania spełnienia przez Powierzającego obowiązków w zakresie ochrony danych osobowych określonych w RODO oraz innych znajdujących zastosowanie przepisach prawa, w tym w celu należytego wykonania przez Powierzającego obowiązków w zakresie właściwego opisania zaistniałych naruszeń ochrony danych osobowych oraz podjętych środków w rejestrze prowadzonym przez powierzającego (art. 33 pkt 5 RODO) oraz w celu przygotowania dla organu nadzorczego lub osób, których dane dotyczą informacji o naruszeniach ochrony danych osobowych i podjętych środkach (art. 33 pkt 1 RODO i art. 34 RODO).
§6 NARUSZENIA
6.1. Przetwarzający jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony Danych oraz wdrażaniu właściwych środków naprawczych.
6.2. Przetwarzający jest zobowiązany do udzielania Powierzającemu informacji na temat procedur, o których mowa powyżej, na każde żądanie Powierzającego, w formie określonej w treści żądania, w terminie [2] Dni Roboczych od dnia sformułowania żądania.
6.3. Po stwierdzeniu naruszenia ochrony danych osobowych (także w przypadku poinformowania o naruszeniu przez Powierzającego), w rozumieniu art. 4 pkt 12) RODO, dotyczącego lub mogącego dotyczyć Danych powierzonych przez Powierzającego w tym w szczególności w zakresie stosowania art. 32-36 RODO, Przetwarzający niezwłocznie, jednak nie później niż w ciągu [24] godzin od chwili wykrycia naruszenia, zgłasza je Powierzającemu w formie dokumentowej, poprzez przesłanie wiadomości e-mail oraz w formie pisemnej.
6.4. Zgłoszenie, o którym mowa w ust. 6.3, zawiera co najmniej informacje o:
1) dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
2) charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
3) systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
4) przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
5) charakterze i zakresie danych osobowych objętych naruszeniem;
6) możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
7) środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
8) danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
6.5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w zgłoszeniu Przetwarzający jest zobowiązany poinformować Powierzającego o dokonaniu takiej oceny.
6.6. Do czasu uzyskania od Powierzającego wytycznych dotyczących wdrożenia odpowiednich środków
naprawczych, Przetwarzający bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
6.7. Przetwarzający jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, ich skutków oraz podjętych działań zaradczych w sposób i zakresie wskazanym w art. 33 ust 5 RODO; przetwarzający zobowiązuje się niezwłocznie udostępnić Powierzającemu dokumentację, o której mowa w zdaniu poprzedzającym, na każde żądanie Powierzającego niezwłocznie, nie później niż w terminie [2] dni od dnia otrzymania żądania przez Przetwarzającego, chyba że z uwagi na charakter lub zakres żądanej informacji strony uzgodnią dłuższy termin.
6.8. Przetwarzający zobowiązuje się nie powiadamiać o stwierdzonym naruszeniu bez wyraźnego polecenia Powierzającego w tym zakresie innych podmiotów, w tym osób, których dane dotyczą, ani organu nadzorczego, chyba że obowiązek taki wynika z przepisów prawa (w takim przypadku Przetwarzający jest zobowiązany do poinformowania o przekazaniu takiej informacji Powierzającego, chyba, że przekazanie takiej informacji stanowiłoby naruszenie obowiązujących przepisów prawa).
§7 POWIERZENIE DANYCH OSOBOWYCH INNEMU PODMIOTOWI PRZETWARZAJĄCEMU
7.1. Przetwarzający może powierzyć powierzone mu dane osobowe do przetwarzania innym podmiotom przetwarzającym jedynie w zakresie i celu zgodnym z Umową, wyłącznie po uzyskaniu pisemnej, pod rygorem nieważności, zgody Powierzającego. Przetwarzający zobowiązuje się do korzystania z usług wyłącznie takich innych podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia wystarczającego poziomu bezpieczeństwa przetwarzania danych osobowych.
7.2. W każdym przypadku korzystania z usług innego podmiotu przetwarzającego, Przetwarzający zawrze z innym podmiotem przetwarzającym umowę dalszego powierzenia przetwarzania danych osobowych i zobowiąże w niej inny podmiot przetwarzający do przestrzegania wszystkich obowiązków nałożonych na Przetwarzającego na podstawie niniejszej umowy, w tym w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO oraz zapewni możliwość przeprowadzenia przez Powierzającego bezpośredniej kontroli zgodności przetwarzania danych osobowych przez inny podmiot przetwarzający z umową oraz obowiązującymi przepisami prawa.
7.3. Na każde jego żądanie Powierzającego w celu wykazania spełnienia przez Przetwarzającego obowiązków wynikających z umowy Przetwarzający udostępni Powierzającemu wszelkie informacje dotyczące innych podmiotów przetwarzających oraz umowy zawarte z tymi podmiotami.
7.4. Powierzający może żądać od Przetwarzającego natychmiastowego rozwiązania umowy z innym podmiotem przetwarzającym w przypadku, gdy Przetwarzający zawarł z tym podmiotem umowę dalszego powierzenia przetwarzania danych osobowych bez uprzedniej pisemnej zgody Powierzającego, jak również gdy dalszy podmiot przetwarzający nie daje gwarancji należytego zabezpieczenia danych osobowych, a także w każdym innym przypadku, gdy Powierzający będzie miał uzasadnione podstawy do stwierdzenia, że dalsze przetwarzanie danych przez taki podmiot ma negatywny wpływ na ochronę danych osobowych.
7.5. W przypadku niewywiązania się przez inny podmiot przetwarzający ze spoczywających na nim obowiązków ochrony danych osobowych, na Przetwarzającym spoczywa pełna odpowiedzialność wobec Powierzającego za wypełnienie obowiązków innego podmiotu przetwarzającego.
§8 OBOWIĄZEK ZACHOWANIA TAJEMNICY
8.1. Przetwarzający zobowiązany jest do zachowania w tajemnicy treści Danych oraz wszelkich innych Informacji Poufnych, w tym informacji o stosowanych środkach organizacyjnych i technicznych służących zabezpieczeniu Danych lub procesów Przetwarzania Danych – przez czas obowiązywania Umowy, jak również w okresie [15] lat po jej rozwiązaniu, chyba że dłuższy okres takiego obowiązku przewidują obowiązujące przepisy prawa.
8.2. Przetwarzający zobowiązuje się:
1) zachować w tajemnicy uzyskane Informacje Poufne;
2) nie przekazywać ani nie ujawniać bez każdorazowej uprzedniej pisemnej zgody Powierzającego, jakichkolwiek Informacji Poufnych żadnej osobie z wyjątkiem:
i) pracowników Przetwarzającego wyznaczonych do realizacji Umowy Głównej, którzy potrzebują takich informacji w związku z realizacją Umowy Głównej, pod warunkiem podpisania przez nich oświadczenia stanowiącego Załącznik do Umowy, zawierającego zobowiązanie do zachowania w poufności oraz poinformowania takich osób o prawnych konsekwencjach naruszenia poufności Informacji Poufnych, w tym Danych;
ii) przypadków, w których Przetwarzający jest zobowiązany do takiego ujawnienia przez sąd lub w przypadku ustawowego obowiązku takiego ujawnienia, z zastrzeżeniem, że Przetwarzający dołoży właściwych starań w celu uprzedniego pisemnego poinformowania Powierzającego przed dokonaniem takiego ujawnienia;
iii) osób trzecich zaangażowanych przez Przetwarzającego do realizacji Umowy Głównej, pod warunkiem podpisania przez nich Oświadczenia stanowiącego Załącznik do Umowy, zawierającego zobowiązanie do zachowania w poufności informacji;
3) ponieść wobec Powierzającego odpowiedzialność za naruszenie obowiązków w zakresie zachowania w tajemnicy Informacji Poufnych, również w przypadku, gdy naruszenie jest dokonane przez osobę trzecią, o której mowa w pkt 2) ppkt iii), za której działania Przetwarzający odpowiada, jak za działania własne;
4) nie wykorzystywać i nie rozpowszechniać Informacji Poufnych w ramach swojej działalności, z wyjątkiem wykorzystywania lub rozpowszechniania wyłącznie w zakresie koniecznym dla celów Umowy Głównej;
5) dołożyć odpowiednich starań w celu zapewnienia i utrzymania odpowiednich środków zabezpieczających ochronę Informacji Poufnych przed dostępem i bezprawnym wykorzystaniem przez osoby nieuprawnione;
6) spowodować, na żądanie Powierzającego, aby którekolwiek z osób i organów, o których mowa w pkt 2) ppkt ii), podpisały przed udostępnieniem Informacji Poufnych odrębne zobowiązanie do zachowania poufności, z tym, że obowiązek określony powyżej ma zastosowanie w sytuacjach, gdy jest to prawnie dopuszczalne.
8.3. Obowiązku zachowania poufności, o którym mowa w ust. 8.2, nie stosuje się do jakiejkolwiek
części Informacji Poufnych, w stosunku, do których Przetwarzający może wykazać, że informacje takie są lub stały się publicznie znane z przyczyn, za które pozostają poza kontrolą Przetwarzającego; lub zostały zgodnie z prawem otrzymane od niezależnej osoby trzeciej bez naruszenia obowiązku zachowania poufności; lub w dacie ich ujawnienia przez Powierzającego lub otrzymania od Powierzającego były już znane Przetwarzającemu bez obowiązku zachowania poufności.
8.4. Przetwarzający może ujawnić Informacje Poufne otrzymane od drugiej Strony wyłącznie w celu wykorzystania w związku z realizacją Umowy Głównej, co nie uchybia ograniczeniom lub dodatkowym obowiązkom Przetwarzającego związanych z ujawnieniem Danych wynikającym z Umowy (w szczególności opisanym w §7 Umowy) oraz obowiązujących przepisów prawa.
8.5. Niezależnie od obowiązku wskazanego w ust. 8.2 pkt 2) ppkt i), Powierzający zobowiązuje się zapewnić, aby osoby upoważnione do Przetwarzania Danych dodatkowo zobowiązały się do zachowania tajemnicy, zarówno w trakcie trwania upoważnienia do Przetwarzania Danych, jak i po jego ustaniu.
8.6. Postanowienia powyższe nie uchybiają dalej idącym zobowiązaniom Przetwarzającego wynikającym z Umowy Głównej, innych umów zawartych z Powierzającym lub powszechnie obowiązujących przepisów prawa.
§9 KONTROLA I AUDYT
9.1. Powierzającemu przysługuje prawo przeprowadzenia w każdym momencie obowiązywania Umowy kontroli zgodności przetwarzania danych osobowych przez Przetwarzającego z Umową oraz obowiązującymi przepisami prawa, w szczególności zgodności i adekwatności stosowanych przez Przetwarzającego środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa Przetwarzanych Danych, poprzez:
1) prawo żądania dostępu do posiadanej przez Przetwarzającego dokumentacji dotyczącej Przetwarzania Danych;
2) prawo żądania udzielenia wszelkich informacji dotyczących Przetwarzania Danych;
3) prawo przeprowadzania audytów lub inspekcji Przetwarzającego, w tym domagania się dostępu do pomieszczeń, infrastruktury, nośników oraz systemów informatycznych służących do przetwarzania powierzonych Danych, także prowadzonych przez osoby trzecie, działające na zlecenie i w imieniu Powierzającego.
9.2. Powierzający ma prawo żądać od Przetwarzającego w dowolnym momencie obowiązywania Umowy udzielenia informacji dotyczących Przetwarzania powierzonych mu Danych. Przetwarzający jest zobowiązany do udzielenia Powierzającemu stosownych informacji w formie określonej w treści żądania, niezwłocznie, nie później niż w terminie [2] dni od dnia otrzymania żądania przez Przetwarzającego, chyba że z uwagi na charakter lub zakres żądanej informacji strony uzgodnią dłuższy termin.
9.3. W przypadku zamiaru przeprowadzenia audytu w miejscach Przetwarzania Danych, Powierzający poinformuje Przetwarzającego co najmniej [5] Dni Roboczych przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Przetwarzającego, audyt nie może zostać przeprowadzony we wskazanym terminie, Przetwarzający zobowiązany jest niezwłocznie poinformować o tym fakcie Powierzającego, drogą mailową, wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
9.4. Przetwarzający ma obowiązek współpracować z Powierzającym i upoważnionymi przez niego audytorami we wszelkim wymaganym czynnościami audytowymi zakresie, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących Dane oraz informacje o sposobie przetwarzania Danych, infrastrukturze teleinformatycznej oraz systemach IT, a także do osób mających wiedzę na temat procesów Przetwarzania Danych realizowanych przez Przetwarzającego.
9.5. Powierzający lub upoważnieni przez niego audytorzy po przeprowadzeniu audytu sporządzają protokół, zawierający wskazówki i zalecenia dotyczące w szczególności poprawy bezpieczeństwa Przetwarzania powierzonych Danych, który podpisują przedstawiciele obu Stron. Przetwarzający zobowiązuje się, w terminie uzgodnionym z Powierzającym, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa Przetwarzania Danych.
§10 ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO
10.1. Strony zgodnie postanawiają, że jakiekolwiek ograniczenia odpowiedzialności Przetwarzającego przewidziane w Umowie Głównej nie będą miały zastosowania w odniesieniu do odpowiedzialności Przetwarzającego z tytułu niewykonania lub nienależytego wykonania Umowy, w szczególności naruszenia zasad Przetwarzania Danych.
10.2. Przetwarzający odpowiada za wszelkie szkody, jakie powstaną wobec Powierzającego, osób, których Dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub obowiązującymi przepisami prawa przetwarzania Danych objętych powierzeniem, a w szczególności w związku z udostępnianiem Danych osobom nieupoważnionym.
10.3. Przetwarzający ponosi pełną odpowiedzialność za działania swoich pracowników, współpracowników, podwykonawców (w tym innych podmiotów przetwarzających) oraz innych osób, przy pomocy których Przetwarza powierzone Dane, jak za własne działania i zaniechania.
10.4. Przetwarzający zobowiązany jest pokryć każdą szkodę, a także wszelkie koszty, wydatki, w tym koszty obsługi prawnej oraz koszty kar finansowych, które Powierzający poniesie albo może ponieść lub za które może stać się odpowiedzialny w związku z jakimkolwiek pozwem, roszczeniem, bądź postępowaniem prowadzonym przeciwko niemu w związku z nienależytym wykonywaniem przez Przetwarzającego obowiązków wynikających z Umowy oraz obowiązków wynikających z RODO i innych właściwych przepisów.
10.5. Przetwarzający zobowiązany jest do niezwłocznego wezwania Powierzającego do przystąpienia do ewentualnego procesu, związanego z żądaniem odszkodowania za poniesioną przez osobę fizyczną szkodę majątkową lub niemajątkową związaną z Przetwarzaniem Danych naruszającym przepisy prawa i wytoczeniem powództwa w tym zakresie bezpośrednio przeciwko Przetwarzającemu, oraz prowadzenia procesu z udziałem Powierzającego jako interwenienta ubocznego albo w innym charakterze stosownie do obowiązujących przepisów procedury cywilnej.
10.6. W przypadku, gdy osoba fizyczna wytoczy powództwo bezpośrednio przeciwko Powierzającemu, Powierzający zobowiązany jest do niezwłocznego wezwania Przetwarzającego do przystąpienia do ewentualnego procesu związanego z żądaniem odszkodowania za poniesioną przez osobę fizyczną szkodę majątkową lub niemajątkową związaną z Przetwarzaniem Danych naruszającym przepisy prawa i prowadzenia procesu z udziałem Przetwarzającego jako interwenienta ubocznego albo w innym charakterze stosownie do obowiązujących przepisów procedury cywilnej.
10.7. W każdym przypadku naruszenia przez Przetwarzającego zasad ochrony Danych lub obowiązku zachowania w tajemnicy treści Danych oraz wszelkich innych Informacji Poufnych, w szczególności niewykonania lub nienależytego wykonania Umowy, Powierzającemu przysługuje prawo dochodzenia zapłaty kary umownej w wysokości 10.000,00 złotych (słownie: dziesięć tysięcy 00/100) za każdy przypadek naruszenia, płatnej na podstawie noty obciążeniowej w terminie w niej wskazanym. Żądanie zapłaty kary umownej przysługuje niezależnie od obowiązku naprawienia szkody, o których mowa w ust. 10.2 - 10.6 i prawa do odszkodowania uzupełniającego, o którym mowa w ust. 10.11.
10.8. Przez nienależyte wykonanie Umowy Strony rozumieją w szczególności sytuację, gdy organ nadzorczy stwierdzi, że Przetwarzanie Danych w zakresie realizowanym przez Przetwarzającego nie jest zgodne z zasadami ochrony danych osobowych.
10.9. W razie rozwiązania Umowy, Powierzający może dochodzić kar umownych należnych do dnia jej rozwiązania, a w przypadku naruszenia obowiązku, o którym mowa w §12 ust. 12.2 Umowy, również kary umownej z tytułu naruszenia tego obowiązku.
10.10. W przypadku zawarcia przez Przetwarzającego umowy podpowierzenia z innym podmiotem przetwarzającym pomimo braku zgody Powierzającego, Powierzającemu przysługuje prawo dochodzenia zapłaty kary umownej w wysokości 10.000,00 złotych (słownie: dziesięć tysięcy 00/100), płatnej na podstawie noty obciążeniowej w terminie w niej wskazanym.
10.11. Powierzający jest uprawniony do żądania zapłaty przez Przetwarzającego odszkodowania uzupełniającego na zasadach ogólnych, przenoszącego wartość zastrzeżonych kar umownych.
10.12. Przetwarzający jest odpowiedzialny za naruszenie przepisów prawa podczas Przetwarzania Danych, ponosząc odpowiedzialność przed organem nadzorczym w postaci kar administracyjnych.
§11 OBOWIĄZYWANIE UMOWY
11.1. Umowa zostaje zawarta na czas wykonania zobowiązań wynikających z Umowy Głównej oraz obowiązków wynikających z Umowy.
11.2. Powierzający jest uprawniony do rozwiązania Umowy ze skutkiem natychmiastowym, jeżeli:
1) Przetwarzający nie stosuje odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z Przetwarzaniem powierzonych Danych,
2) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, Przetwarzający nie usunie ich w wyznaczonym terminie,
3) Przetwarzający Przetwarza Dane w sposób niezgodny z Umową,
4) Przetwarzający Przetwarza Dane w sposób niezgodny z przepisami RODO lub innymi właściwymi przepisami prawa, bądź instrukcjami Powierzającego,
5) Przetwarzający powierzył Przetwarzanie Danych dalszemu podmiotowi przetwarzającemu bez zgody Powierzającego,
6) Przetwarzający utracił zdolność do realizacji Umowy, w szczególności utracił zdolność do zagwarantowania należytego zabezpieczenia powierzonych danych osobowych.
11.3. Niezależnie od przypadków wskazanych w ust. 11.2, Powierzający może rozwiązać Umowę bez wypowiedzenia z innych ważnych powodów, w szczególności gdy Powierzający będzie miał
uzasadnione podstawy do stwierdzenia, że dalsze przetwarzanie danych przez Przetwarzającego lub inną osobę działającą w jego imieniu ma negatywny wpływ na ochronę danych osobowych.
11.4. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Powierzającego, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych osobowych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Przetwarzającego.
11.5. W przypadku zawarcia przez Powierzającego umowy podpowierzenia przetwarzania danych osobowych Przetwarzający zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania Umowy.
§12 USUNIĘCIE LUB ZWROT DANYCH
12.1. Stosownie do decyzji Powierzającego w tym zakresie, w terminie do [30] dni od dnia rozwiązania Umowy, niezależnie od sposobu i trybu jej rozwiązania, lub od dnia zakończenia Przetwarzania Danych (w zależności od tego, co nastąpiło wcześniej), Przetwarzający jest zobowiązany do usunięcia lub zwrotu Informacji Poufnych, w tym wszelkich powierzonych mu Danych oraz usunięcia wszelkich ich istniejących kopii zapisanych w jakimkolwiek urządzeniu lub na jakimkolwiek innym nośniku na którym są zapisane lub przechowywane, chyba że obowiązujące przepisy prawa nakazują przechowywanie tych Informacji Poufnych.
12.2. Przetwarzający zobowiązany jest przesłać Powierzającemu pisemne potwierdzenie zwrotu lub zniszczenia wszelkich Informacji Poufnych, w tym Danych w sposób i w terminie uzgodnionym z Powierzającym, nie dłuższym niż [7] dni.
12.3. W przypadku gdy Przetwarzanie Danych przez Przetwarzającego odbywało się wyłącznie w systemach informatycznych Powierzającego, Przetwarzający złoży po rozwiązaniu Umowy, niezależnie od sposobu i trybu jej rozwiązania (w zależności od tego, co nastąpiło wcześniej), pisemne oświadczenie o nieprzechowywaniu powierzonych na podstawie Umowy Danych.
§13 POSTANOWIENIA KOŃCOWE
13.1. Zmiana Umowy wymaga zachowania formy pisemnej pod rygorem nieważności, z zastrzeżeniem odmiennie brzmiących postanowień Umowy.
13.2. W sprawach nieuregulowanych Umową mają zastosowanie przepisy prawa polskiego, w tym przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2019 r. poz. 1145), ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2019 r., poz. 1010) oraz przepisy RODO.
13.3. Przetwarzający nie może przenieść praw lub obowiązków wynikających z Umowy bez pisemnej zgody Powierzającego.
13.4. Osobami upoważnionymi do kontaktu w sprawach związanych z realizacją Umowy, w tym do przekazywania informacji o stwierdzonych naruszeniach ochrony Danych (§ 6 ust 3 Umowy), są:
1) ze strony Powierzającego – Inspektor Ochrony Danych:
i) e-mail: xxx@xxxxx.xxxxxxx.xx ii) tel: 00 000 00 00
2) ze strony Przetwarzającego – Xxxxxxx Xxxxxxxx:
i) e-mail: xxxxxxxx@xxxxx.xx ii) tel: x00 000 000 000
13.5. Spory związane z wykonywaniem Umowy rozstrzygane będą przez sąd właściwy dla siedziby Powierzającego.
13.6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, jeden dla Powierzającego i jeden dla Przetwarzającego.
§14 ZAŁĄCZNIKI:
14.1. Załącznik nr 1 – zakres powierzenia Danych.
14.2. Załącznik nr 2 – wzór oświadczenia.
POWIERZAJĄCY PRZETWARZAJĄCY
Dyrektor Centrum Informatycznych Usług Wspólnych Olsztyna Xxx Xxxxx Xxxxxxxxx
Załącznik nr 1 umowy powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji
ZAKRES POWIERZENIA DANYCH
Zbiór pod nazwą: Użytkownicy uprawnieni do dostępu do zasobów CIUWO i zasobów Jednostek obsługiwanych przez CIUWO
System: Avamar
(Jeżeli dane przetwarzane w systemie, dodać nazwę systemu)
Charakter oraz cele przetwarzania: | realizacja usług wsparcia technicznego |
Operacje wykonywane na danych osobowych: | organizowanie, porządkowanie, adaptowanie lub modyfikowanie, dopasowywanie lub łączenie, przeglądanie, ograniczanie lub niszczenie – w sposób zautomatyzowany lub niezautomatyzowany |
Kategorie osób, których dane dotyczą: | pracownicy wykonawców, dostawców i serwisantów systemów informatycznych, pracownicy CIUWO oraz jednostek organizacyjnych obsługiwanych przez CIUWO |
Rodzaj danych osobowych: | nazwiska i imiona, login, płeć, adres poczty elektronicznej, miejsce pracy, adres IP |
Obszar, na którym przetwarzane będą dane osobowe: | Rzeczpospolita Polska, państwa członkowski Unii Europejskiej lub inne państwa będące sygnatariuszem Porozumienia o Europejskim Obszarze Gospodarczym |
Zbiór pod nazwą: Kopie bezpieczeństwa zasobów CIUWO oraz Jednostek obsługiwanych przez CIUWO
System: Avamar
(Jeżeli dane przetwarzane w systemie, dodać nazwę systemu)
Charakter oraz cele przetwarzania: | realizacja usług wsparcia technicznego |
Operacje wykonywane na danych osobowych: | organizowanie, porządkowanie, adaptowanie lub modyfikowanie, dopasowywanie lub łączenie, przeglądanie, ograniczanie lub niszczenie – w sposób zautomatyzowany lub niezautomatyzowany |
Kategorie osób, których dane dotyczą: | osoby zgromadzone w zasobach CIUWO oraz jednostek organizacyjnych obsługiwanych przez CIUWO |
Rodzaj danych osobowych: | dane osobowe zgromadzone zasobach CIUWO oraz jednostek organizacyjnych obsługiwanych przez CIUWO |
Obszar, na którym przetwarzane będą dane osobowe: | Rzeczpospolita Polska, państwa członkowski Unii Europejskiej lub inne państwa będące sygnatariuszem Porozumienia o Europejskim Obszarze Gospodarczym |
Załącznik nr 2 umowy powierzenia przetwarzania danych osobowych oraz o zachowaniu poufności informacji
/WZÓR/
OŚWIADCZENIE
……………………, dnia r.
Niniejszym oświadczam, że znana mi jest treść Umowy przetwarzania danych osobowych oraz o zachowaniu poufności informacji, zawarta pomiędzy Centrum Informatycznych Usług Wspólnych Olsztyna oraz Gminą Olsztyn – Centrum Informatycznych Usług Wspólnych Xxxxxxxx, xx. 0 Xxxx 00/00 lok. 21; 10- 118 Olsztyn a:
Nazwa Wykonawcy
z siedzibą w
Siedziba Wykonawcy
adres:
Adres Wykonawcy
data
Data zawarcia umowy powierzenia przetwarzania danych
oraz wynikające z niej zobowiązania do utrzymywania w tajemnicy ujawnionych Informacji Poufnych.
Niniejszym zobowiązuję się jako pracownik/ współpracownik/ zleceniobiorca/ podwykonawca* ww. Wykonawcy do zachowania w tajemnicy wszelkich Informacji Poufnych, które zostały mi ujawnione w związku z moim uczestnictwem w realizacji prac na rzecz Centrum Informatycznych Usług Wspólnych Olsztyna, na warunkach określonych w umowie przetwarzania danych osobowych oraz o zachowaniu poufności. Jestem świadomy, że naruszenie powyższych zobowiązań może skutkować odpowiedzialnością cywilną i karną na podstawie obowiązujących przepisów prawa.
Imię i nazwisko oświadczającego
podpis
* niepotrzebne skreślić
Załącznik nr 6 do umowy
Oświadczenie Wykonawcy o akceptacji przesyłania faktur drogą elektroniczną
Na podstawie art. 106n ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (tj. Dz. U. z 2021 r., poz. 685, z późn. zm.) Zamawiający: Gmina Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna; xx. 0 Xxxx 00/00, xxx. 00, 00-000 Xxxxxxx; NIP 000-000-00-00, akceptuje przesyłanie, w tym udostępniane faktur, ich korekt oraz duplikatów w formie PDF za pośrednictwem poczty elektronicznej.
Gmina Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna oświadcza, że:
1. Faktury VAT i korekty faktur należy przesyłać na adres email: xxxxxxxxxxx@xxxxx.xxxxxxx.xx,
2. Tytuł wiadomości email musi zawierać wyrażenie: faktura/faktury lub korekta/korekty lub korygująca/korygujące lub duplikat/duplikaty
3. Faktury VAT i korekty faktur, Gmina Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna wysyła z adresu e-mail: xxxxxxxxxxx@xxxxx.xxxxxxx.xx.
Podpis Zamawiającego
Oświadczenie Wykonawcy o akceptacji przesyłania faktur w formie elektronicznej
Na podstawie art. 106n ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (tj. Dz. U. z 2021 r., poz. 685, z późn. zm.) akceptuję przesyłanie, w tym udostępnianie faktur, ich korekt oraz duplikatów w formie PDF za pośrednictwem poczty elektronicznej:
Nazwa firmy Wykonawcy: | Xxxx Xxxxxxx Xxxxxxxx prowadząca działalność gospodarczą pod nazwą XXXXX Xxxxxxx Xxxxxxxx | |
Adres Wykonawcy: Nr NIP Wykonawcy: | xx. Xxxxxxxx xx 00, 00-000 Xxxxxxxx (xxxxx Xxxxxx) | |
5381337784 | Oświadczam, że: | |
Faktury/korekty faktur/duplikaty faktur będę przesyłać do Gminy Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna z adresu e-mail:
Adres skrzynki nadawczej Wykonawcy:
Adres skrzynki odbiorczej Wykonawcy:
Adresem właściwym do przesyłania faktur/ korekty faktur/duplikaty faktur przez Gminę Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna jest adres e-mail:
Podpis Wykonawcy
INFORMACJE DODATKOWE:
1. Faktury wraz ze wszystkimi załącznikami muszą być zapisane w formie PDF oraz załączone bezpośrednio do wiadomości e-mail.
2. Faktury i załączniki nie mogą być kompresowane i zaszyfrowane.
3. Skrzynka odbiorcza Gminy Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna – email: sekretariat@ciuwo.olsztyn.eu- jest obsługiwana automatycznie. Fakturę uważa się za doręczoną w momencie wpływu na skrzynkę odbiorczą Gminy Olsztyn - Centrum Informatycznych Usług Wspólnych Olsztyna.
4. Wskazane powyżej adresy skrzynek pocztowych Zamawiającego i Wykonawcy są jedynymi właściwymi adresami stanowiącymi gwarancję pochodzenia faktury
Signature Not Verified
Dokument podpisany przez Xxxxxx Xxxxx Data: 2021.09.22 12:08:02 CEST