UMOWA NR ……………………………………..
UMOWA NR ……………………………………..
zawarta w dniu w Warszawie pomiędzy:
Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego, ul. Xxxxxxx 0x, 00-000 Xxxxxxxx, stanowiącym samodzielny publiczny zakład opieki zdrowotnej, wpisanym do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000073036, NIP 000-00-00-000, REGON 000288975,
reprezentowanym przez:
Xxxx Xxxxxxx – Dyrektor
zwane w dalszej części umowy „Zamawiającym”,
a
…………………………………………………………………………….…………..
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………………………….
reprezentowanym przez:
…………………………………… – ………………………………………………………………………………………. zwaną w dalszej części umowy Wykonawcą
§ 1 Przedmiot i zakres umowy
1. Przedmiotem niniejszej umowy jest wykonanie przez Wykonawcę na rzecz Zamawiajacego prac w
zakresie:::
a) Przeprowadzenia audytu zerowego stwierdzającego obecny stan przygotowania Systemu SZBI Zamawiającego lub jego elementów do wymogów ustawy o KSC i jej aktów wykonawczych.
b) Przeprowadzenia Analizy Ryzyka wystąpienia incydentu.
c) Opracowania dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (dalej SZBI) w UCK WUM będącego Operatorem Usług Kluczowych (dalej OUK) wraz z przekazaniem praw autorskich wytworzonej na te potrzeby dokumentacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070 ze zm.), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r.
poz. 655);
d) Przygotowania szkoleń dla personelu Zamawiającego z SZBI.
e) Realizacja szkolenia stacjonarnego dla Kadry Zarządzającej Zamawiającego z SZBI.
2. Szczegółowy zakres Przedmiotu Umowy określonego w ust. 1 określa Załącznik nr 1. Szczegółowy opis zamówinia.
3. Osoby podpisujące niniejszą umowę oświadczają, iż są upoważnione do jej zawarcia w imieniu Xxxxx, na dowód czego przedkładają aktualne wypisy z rejestru przedsiębiorców Krajowego Rejestru Sądowego.
§ 2 Obowiązki wykonawcy
1. Wykonawca zobowiązany jest wykonać Przedmiot Umowy zgodnie ze swoim doświadczeniem branżowym oraz zasadami wiedzy fachowej i z jak największym poszanowaniem oraz dbałością o interesy Zamawiającego, tak by nie wpływało to niekorzystnie na bezpieczeństwo Zamawiającego i jego działalność operacyjną. Wykonawca gwarantuje, że usługi świadczone w ramach niniejszej umowy będą realizowane przez konsultantów posiadających odpowiednią wiedzę i doświadczenie.
2. Wykonawca zobowiązuje się zwrócić wszelkie materiały i dokumenty uzyskane od Zamawiającego w
trakcie realizacji umowy, o której mowa w §1, nie później niż po zakończeniu realizacji prac.
3. Wykonawca będzie wykonywał Przedmiot Umowy osobiście. Strony dopuszczają możliwość powierzenia realizacji przez Wykonawcę Usług osobom trzecim (ekspertom), za wiedzą i uprzednią pisemną zgodą Zamawiającego, za których działania i zaniechania Wykonawca ponosi odpowiedzialność jak za własne działania i zaniechania.
4. W związku z realizacją prac wchodzących w zakres niniejszej umowy Wykonawca zobowiązuje się przestrzegać obowiązujących przepisów prawa. Wykonawca zobowiązuje się także wykonywać Przedmiot Umowy w sposób, który nie będzie zakłócał bieżącego funkcjonowania przedsiębiorstwa Zamawiającego.
5. Wykonawca przed dokonaniem ingerencji w systemy informatyczne Zamawiającego, poprzez instalację jakiegokolwiek oprogramowania w środowisku informatycznym, musi uzyskać jego pisemną akceptację.
6. Wykonawca zobowiązany jest do informowania Zamawiającego o wszelkich istotnych okolicznościach mających wpływ na należyte wykonywanie umowy, w tym w szczególności o przeszkodach i utrudnieniach związanych z realizacją Umowy.
7. Wykonawca oświadcza, że posiada odpowiednie doświadczenie oraz potencjał intelektualny,
techniczny i finansowy oraz uprawnienia niezbędne do realizacji przedmiotu umowy.
8. Wykonawca zobowiązuje się wykonać Przedmiot Umowy zgodnie z obowiązującymi przepisami prawa oraz dobrymi praktykami w zakresie bezpieczeństwa systemów informatycznych.
9. Wykonawca zobowiązuje się do wykonania przedmiotu zamówienia z zachowaniem staranności
zawodowej, rzetelnie i terminowo.
10. Wykonawca oświadcza, że ma świadomość, że usługa stanowiąca przedmiot umowy będzie wykonywana w Szpitalu czynnym przez całą dobę i zobowiązuje się ją prowadzić w sposób nie utrudniający utrzymania ciągłej pracy Szpitala oraz dokonać wszelkich czynności, które okażą się niezbędne do nieprzerwanego i prawidłowego funkcjonowania Szpitala Zamawiającego.
11. Wykonawca zobowiązany jest do zachowania szczególnej ostrożności i działań zapobiegawczych zakażeniom i zachorowaniom na choroby zakaźne, w tym związanym z koronawirusem (COVID-19), x.xx. poprzez wyposażenie pracownika wykonującego usługę w odpowiednie jednorazowe środki ochrony indywidualnej (maski) zakładane przed wejściem na teren Szpitala.
12. Wykonawca zobowiązuje się przestrzegać wszelkich procedur, regulaminów i zasad obwiązujących u Zamawiającego.
§ 3 Obowiązki Zamawiającego
1. Zamawiający zobowiązany jest do współpracy z Wykonawcą w zakresie wykonania niniejszej umowy oraz do udzielania i udostępniania Wykonawcy informacji i dokumentów potrzebnych do realizacji postanowień umowy. Zamawiający zobowiązany jest nadto do realizowania zaleceń Wykonawcy w związku z realizacją przedmiotu umowy o którym mowa w §1, a także powołania zespołu pracowników do współpracy z Wykonawcą w zakresie realizacji przedmiotu umowy.
2. Do obowiązków Zamawiającego związanych z realizacją umowy należy nadto umożliwienie Wykonawcy dostępu do odpowiednich pomieszczeń w siedzibie Zamawiającego pod nadzorem pracowników Zamawiającego lub innym ustalonym przez Strony miejscu wykonania Umowy w sposób i w terminie umożliwiającym Wykonawcy prawidłowe i terminowe wykonanie usług wchodzących w zakres niniejszej umowy.
§ 4 Harmonogram i odbiór usług
1. Termin wykonania umowy wynosi 60 dni od daty podpisania umowy.
2. Terminy i etapy realizacji Przedmiotu Umowy wchodzących w zakres niniejszej umowy (harmonogram), w tym terminy realizacji poszczególnych etapów zostaną przedstawione zamawiającemu w terminie 3 dni od daty podpisania umowy.
3. Potwierdzeniem prawidłowej realizacji i przyjęcia przez Zamawiającego każdego etapu prac wchodzących w zakres niniejszej umowy jest sporządzony przez Wykonawcę i podpisany bez zastrzeżeń przez Zamawiającego pisemny protokół wykonania etapu prac, którego wzór określa Załącznik nr 2 do niniejszej umowy.
4. W przypadku istnienia zastrzeżeń co do należytego wykonania przez Wykonawcę czynności wchodzących w zakres danego etapu prac, zastrzeżenia te winny zostać zgłoszone Wykonawcy przez Zamawiającego pod rygorem nieważności w formie uwag do protokołu, o którym mowa w §4 punkt 2
umowy, jednakże nie później aniżeli w terminie 14 dni od dnia otrzymania przez Zamawiającego podpisanego przez Wykonawcę protokołu.
5. Wykonawca zobowiązuje się niezwłocznie w terminie określonym przez Zamawiającego usunąć zaistniałe nieprawidłowości, bądź dokonać innych czynności zmierzających do prawidłowego wykonania czynności objętych uznanymi zastrzeżeniami.
6. W przypadku nie doręczenia Wykonawcy przez Zamawiającego podpisanego przez Zamawiającego protokołu, o którym mowa w §4 punkt 3 umowy w terminie 14 dni od dnia otrzymania przez Xxxxxxxxxxxxx podpisanego przez Wykonawcę protokołu, Wykonawca zobowiązany jest wezwać pisemnie Zamawiającego do podpisania protokołu ewentualnie do wskazania zastrzeżeń i wyznaczyć dodatkowy termin 7 dni po upływie, którego uznaje się, że Przedmiot umowy wchodzący w zakres danego etapu prac zostały prawidłowo wykonane i odebrane przez Zamawiającego. Nie dotyczy to sytuacji, w której Zamawiającego zgłosił zastrzeżenia w trybie określonym w §4 punkt 4 umowy.
§ 5 Wynagrodzenie
1. Z tytułu prawidłowej i terminowej realizacji przez Wykonawcę Przedmiotu Umowy wchodzących w zakres wskazanych w niniejszej umowie, strony ustalają wynagrodzenie za realizację przedmiotu umowy na łączną kwotę
• netto zł
(słownie: złote 00/100 ),
• brutto zł
(słownie: złote 00/100 ),
2. Wynagrodzenie płatne będzie na podstawie faktury VAT wystawianej przez Wykonawcę po wykonaniu i odbiorze wszystkich etapów prac zgodnie z Załącznikiem nr 2 do umowy bez uwag. Podstawę wystrawienia przez Wykonawcę faktury stanowi podpisany przez Zamawiającego protokół odbioru bez zastrzeżeń.
3. Wynagrodzenie płatne będzie w terminie 60 dni od daty doręczenia Zamawiającemu prawidłowo
wystawionej faktury VAT.
4. Wynagrodzenie płatne będzie na rachunek bankowy Wykonawcy prowadzony przez
…………………………… numer konta lub inny wskazany w
fakturze VAT.
5. Odbiorca oświadcza, że zezwala na przesyłanie drogą elektroniczną faktur wystawianych przez wystawcę zgodnie z obowiązującymi przepisami.
6. Wystawca zobowiązuje się zapewnić autentyczność pochodzenia i integralność danych zawartych w fakturach poprzez wystawianie faktur w formacie nieedytowalnego tekstu PDF i udostępnienie ich odbiorcy.
7. W formacie PDF będą wystawiane i przesyłane drogą elektroniczną również faktury korygujące i
duplikaty faktur.
8. Wystawca oświadcza, że faktury będą przesyłane odbiorcy w terminie 3 dni roboczych licząc od daty wystawienia faktury z następującego adresu (adresów) e-mail: …………………………………………..…………...
9. Odbiorca oświadcza, że adresem e-mail właściwym do przesyłania faktur jest:
10. Strony zobowiązują się co najmniej na trzy dni przed zmianą danych określonych w ust. 4 poinformować pisemnie o tym drugą stronę.
11. Za dzień zapłaty uważa się dzień obciążenia rachunku bankowego Zamawiającego. Termin uważa się za zachowany, jeżeli obciążenie rachunku bankowego Zamawiającego nastąpi najpóźniej w ostatnim dniu terminu płatności.
12. Wykonawca nie może, pod rygorem nieważności, bez uprzedniej pisemnej zgody Zamawiającego i organu założycielskiego Szpitala przenieść wierzytelności wynikających z niniejszej Umowy na osoby trzecie.
13. Wykonawca, poza zakazem zbywania wierzytelności wynikających z niniejszej Umowy nie może, bez uprzedniej pisemnej zgody Zamawiającego, uzyskiwać dodatkowego ubezpieczenia, gwarancji lub poręczenia spłaty tych wierzytelności od podmiotów trzecich. Zamawiający potwierdza, że zawieranie takich umów naraża go na dodatkowe, wysokie koszty związane z ponad standardowymi czynnościami administracyjnymi i księgowymi, niezbędnymi do obsługi takich umów.
14. W przypadku opóźnienia terminu płatności Wykonawca ma prawo do naliczenia odsetek ustawowych za opóźnienie
15. Zobowiązanie Zamawiającego dotyczy należności określonej w Umowie. Jeżeli należność naliczona na fakturze VAT Wykonawcy przewyższy cenę uzgodnioną, Zamawiający dokona zapłaty jedynie do ceny uzgodnionej, a Wykonawca zobowiązuje się do niezwłocznego wystawienia faktury korygującej.
16. Wykonawca zobowiązany jest do umieszczenia na każdej fakturze postanowienia treści: „Zgodnie z zawartą Umową, przelew wierzytelności nie może nastąpić bez zgody dłużnika”.
17. Wykonawca oświadcza, że rachunek bankowy wskazany na fakturze jako numer rachunku do zapłaty wynagrodzenia będzie figurował w wykazie podmiotów, o którym mowa w art. 96b ust. 1 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług. W przypadku, gdy oświadczenie to okaże się niezgodne z rzeczywistością, Zamawiający może wstrzymać się z zapłatą na rzecz Wykonawcy do momentu podania przez Wykonawcę rachunku bankowego, który figuruje w wykazie, o którym mowa w zdaniu poprzedzającym.
18. Zapłata przez Xxxxxxxxxxxxx wynagrodzenia w wysokości określonej w paragrafie 4 ust. 1 niniejszej Umowy wyczerpuje wszelkie roszczenia Wykonawcy względem Zamawiającego wynikające z realizacji niniejszej Umowy.
19.
§ 6 Odpowiedzialność i kary umowne
1. Z tytułu realizacji obowiązków określonych w Umowie, każda ze Stron ponosi odpowiedzialność na zasadach ogólnych, w szczególności w razie niewykonania bądź nienależytego wykonania umowy, przy czym żadna ze Stron nie odpowiada za szkody powstałe w związku ze zdarzeniami pozostającymi poza kontrolną danej Strony.Strony zgodnie ustalają, że nie będą ponosić odpowiedzialności za opóźnienia w realizacji Swoich obowiązków z niniejszej umowy, a wynikających z siły wyższej. Dla potrzeb umowy, siła wyższa oznacza zdarzenie nadzwyczajne, zewnętrzne, którego nie można było przewidzieć i któremu nie można było zapobiec. Pojęcie siły wyższej nie obejmuje żadnych zdarzeń, które wynikają z nie dołożenia przez Strony należytej staranności w rozumieniu art. 355 § 2 Kodeksu Cywilnego.
2. Strony umowy postanawiają, iż Wykonawcy nie można postawić zarzutu braku należytej staranności przy realizacji prac, jeżeli te okoliczności wynikają z:
a) działania sił przyrody,
b) działania lub zaniechania organów państwowych i samorządowych polegających x.xx. na zmianie przepisów prawnych,
c) nie udzielenia informacji bądź nie udostępnienia Wykonawcy przez Zamawiającego dokumentów istotnych z punktu widzenia realizacji przedmiotu umowy, o które Wykonawca wnioskował do Zamawiającego, a ten nie potwierdził ich niespełnienia.
3. W przypadku opóźnienia Wykonawcy w wykonaniu całego przedmiotu niniejszej umowy stosownie do postanowień Załącznika nr 1, Wykonawca zobowiązany jest do zapłaty na rzecz Zamawiającego kary umownej w wysokości 1% kwoty netto wskazanej w §5 punkt 1 za każdy dzień roboczy opóźnienia. Obowiązek zapłaty kary umownej nie powstaje, jeżeli zwłoka spowodowana jest czynnikami wskazanymi w §6.1 i §6.2 umowy, bądź spowodowana jest niewykonaniem lub nienależytym wykonaniem przez Zamawiającego obowiązków wskazanych w §3 niniejszej umowy, bądź zwłoka spowodowana jest koniecznością usunięcia przez Wykonawcę uchybień zgłoszonych przez Zamawiającego w trybie wskazanym w §4.3 umowy.
§ 7 Zachowanie poufności
1. Wykonawca zobowiązuje się do bezwzględnego zachowania w poufności wszelkich informacji uzyskanych w związku z wykonywaniem zlecenia.
2. Przez obowiązek, o jakim mowa w §7.1 umowy rozumie się w szczególności zakaz:
a) zapoznawania się przez Wykonawcę z dokumentami, analizami, zawartością dysków twardych i innych nośników informacji itp.- nie związanymi ze zleconym zakresem prac,
b) zabierania, kopiowania oraz powielania dokumentów i danych, a w szczególności udostępniania
ich osobom trzecim,
c) informowania osób trzecich o danych objętych nakazem poufności.
3. Za osobę trzecią uważa się osoby nie wymienione w Załączniku nr 3, którego zmianę strony dopuszczają w drodze wymiany pism.
4. Wykonawca zobowiązuje się zapoznać i przestrzegać aktów regulujących zasady postępowania z dokumentami lub danymi w zakresie niezbędnym do realizacji umowy, które obowiązują Zamawiającego .
5. Wykonawca zobowiązuje się informować przedstawicieli Zamawiającego o wszystkich zauważonych nieprawidłowościach mogących mieć wpływ na bezpieczeństwo informacji.
6. Zamawiający wyraża zgodę na wymienienie faktu realizacji niniejszej umowy w materiałach reklamowych i referencyjnych przez Wykonawcę po wykonaniu i przyjęciu przez Xxxxxxxxxxxxx usług, będących przedmiotem umowy. Wykonawca zobowiązuje się wymienić w tych materiałach: przedmiot umowy, krótki opis projektu, referencje otrzymane od Zamawiającego. W tym zakresie Wykonawcy przysługuje prawo do posługiwania się oznaczeniem (logotypem) Zamawiającego.
§ 8 Okres obowiązywania umowy
1. Niniejsza umowa wchodzi w życie z dniem …………………
2. Zamawiający może do dnia 31 grudnia 2023 r. odstąpić od niniejszej umowy w sytuacji gdy Wykonawca opóźnia się z realizacją Umowy o więcej niż 14 dni wobec harmonogramu prac lub gdy realizuje umowę z naruszeniem postanowień umowy w szczególności § 7, § 2 ust. 1-12, § 4 ust. 5.
3. W przypadku wypowiedzenia lub rozwiązania umowy przez Zamawiającego bądź faktycznej rezygnacji Zamawiającego z dalszej realizacji umowy, Zamawiający zobowiązany jest do zapłaty na rzecz Wykonawcy wynagrodzenia za dotychczas prawidłowo wykonane i odebrane przez Zamawiającego bez zastrzeżeń prace.
§ 9 Doręczenia. Osoby upoważnione do kontaktów
1. Wszelkie zlecenia, potwierdzenia zlecenia, powiadomienia i inne oświadczenia Stron wynikające z niniejszej umowy, dla których umowa wymaga formy pisemnej, kierować należy listem poleconym na adresy Stron wskazane na wstępie niniejszej umowy i to tak długo, aż strona, której to dotyczy nie poinformuje pisemnie drugiej strony o innym adresie. Powyższe oświadczenia uznaje się także za skutecznie doręczone w przypadku ich skierowania mailem na następujące adresy email:
• E-mail Zamawiającego: …………….., na ręce ,
• E-mail Wykonawcy: …………….., na ręce ,
§ 10 Prawa autorskie
1. W przypadku gdyby w wyniku wykonania Umowy powstał utwór w rozumieniu ustawy z dnia 04.02.1994r o Prawie autorskim i prawach pokrewnych (dalej zamiennie: Dzieło lub dzieło) zastosowanie mają poniższe postanowienia, w ramach wynagrodzenia określonego w niniejszej umowie.
2. Wykonawca z chwilą odebrania dzieła przez Zamawiającego przenosi bez żadnych ograniczeń czaskowych i terytorialnych na Zamawiającego prawo własności dzieła opisanego §1 niniejszej Umowy oraz przenosi w ramach wynagrodzenia opisanego w niniejszej Umowie na Zamawiającego autorskie prawa majątkowe do dzieła na wszystkich znanych w chwili zawarcia niniejszej Umowy polach eksploatacji, co uprawnia Zamawiającego do korzystania, używania i rozpowszechniania dzieła, oraz jego elementów we wszystkich formach, w dowolnej ilości egzemplarzy, w całości lub części, a w szczególności:
a. w zakresie utrwalania i zwielokrotniania utworu - wytwarzanie jakąkolwiek techniką i w jakiejkolwiek formie egzemplarzy utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową, jak również zamieszczanie utworu na wszelkich nośnikach informatycznych oraz drukiem; egzemplarzy, posługiwanie się utworem w ramach prowadzonej działalności gospodarczej,
b. wykorzystywanie utworu w ramach kursów i szkoleń prowadzonych przez Zamawiającego lub, w których Zamawiający bierze udział, z prawem do rozpowszechnia wśród uczestników kursów lub szkoleń egzemplarzy utworów,
c. tłumaczenie, przystosowywanie, zmiany układu oraz jakiekolwiek inne modyfikacje lub tworzenie innych utworów z wykorzystaniem utworu,
d. korzystanie dla celów Zamawiającego, podmiotów z nim powiązanych i jego kontrahentów,
e. udzielanie przez Zamawiającego licencji na korzystanie z utworu,
f. zezwalanie na wykonywanie zależnego prawa autorskiego w zakresie w/w pól eksploatacji.
3. Wykonawca zezwala Zamawiającego na wykonanie, korzystanie i rozporządzanie wszelkimi prawami zależnymi do dzieła określonego w niniejszej Umowie, zezwala na jego dowolne przetwarzanie (adaptacje) przez Zamawiającego lub osoby trzecie działające na jego zlecenie oraz zezwala na wykonywanie wszystkich przysługujących autorowi dzieła praw osobistych, a w szczególności na decydowanie o dacie pierwszego udostępnienia dzieła / wprowadzenia do obrotu / i udostępniania ich bez wskazywania kto jest autorem dzieła. Wykonawca zrzeka się na rzecz Zamawiającego prawa do udzielania zezwolenia na wykonywanie zależnego prawa autorskiego. Wykonawca zapewnia, że wobec utworu nie będzie wykonywane prawo do nadzoru autorskiego, chyba że na zlecenie Zamawiającego.
4. Wynagrodzenie opisane w Umowie obejmuje prawo do korzystania, używania i rozporządzania dziełem na wszystkich wskazanych w Umowie polach eksploatacji oraz zawiera w sobie wynagrodzenie z tytułu wykonywania odpłatnego nadzoru autorskiego.
5. W przypadku zgłoszenia roszczeń lub wytoczenia przez osobę trzecią powództwa przeciwko Z Zamawiającemu o naruszenie praw autorskich do dzieła określonego w niniejszej Umowie, które Zamawiający uzyskał zgodnie z jej postanowieniami, Wykonawca zobowiązany będzie pokryć koszty zastępstwa procesowego, koszty sądowe oraz zapłacić zasądzone odszkodowanie lub koszty polubownego załatwienia sprawy oraz inne koszty związane ze zgłoszeniem roszczeń lub wytoczeniem powództwa pod warunkiem wypełnienia przez Zamawiającego zobowiązania, o którym mowa w ust. 5, jak również wstąpić w spór oraz zwolnić Zamawiającego z wszelkiej odpowiedzialności.
6. Zamawiający zobowiązany jest do niezwłocznego poinformowania Wykonawcy o wniesieniu
przeciwko niemu pozwu lub zgłoszeniu roszczeń opisanych w ust. 5.
7. Dodatkowo, Wykonawca, wyraża zgodę na dokonywania adaptacji dzieła powstałego w wykonaniu niniejszej Umowy, przez Zamawiającego polegającej na czynieniu przez Zamawiającego skrótów i przeróbek redakcyjnych.
8. Wszystkie te prawa określone w niniejszym paragrafie przysługują Zamawiającemu na terenie
Rzeczpospolitej Polskiej i za granicą bez ograniczenia czasowego.
9. Prawa do eksploatacji utworu określone w niniejszym paragrafie odnoszą się do korzystania i rozporządzania utworem w całości lub w części. Prawo to dotyczy każdej warstwy utworu, w szczególności tekstowej, graficznej oraz cyfrowej.
10. Wykonawca zobowiązuje się, że ani Wykonawca ani osoby posiadające osobiste prawa autorskie do utworu nie będą wykonywać autorskich praw osobistych do utworu, w szczególności do autorstwa utworu, oznaczenia utworu swoim nazwiskiem lub pseudonimem, nadzoru nad sposobem korzystania z utworu.
§ 11 Dane osobowe
1. Szczególowe zasady dotyczące przetwarzania danych osobowych określa załącznik nr 6 do umowy.
§ 12 Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy wymagają dla swej ważności zachowania formy pisemnej.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy kodeksu cywilnego.
3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
4. Wszystkie załączniki do niniejszej umowy stanowią jej integralną część. Załączniki do niniejszej umowy stanowią:
• Załącznik nr 1. Szczegółowy opis zamówinia
• Załącznik nr 2. Protokół zdawczo-odbiorczy
• Załącznik nr 3. Lista osób upoważnionych do wykonania umowy
• Załącznik nr 4. Harmonogram
• Załącznik nr 5. Wypisy stron z rejestru przedsiębiorców krajowego rejestru sądowego
• Załącznik nr 6. Umowa powierzenia danych osobowych
5. Wszelkie spory wynikłe między Stronami związane z zawarciem lub wykonaniem niniejszej umowy Strony zobowiązują się rozstrzygać w drodze przyjaznych negocjacji. W przypadku braku porozumienia, Xxxxxx zgodnie poddają ewentualne spory pod rozstrzygnięcie właściwego miejscowo sądu powszechnego.
Za Zamawiającego: | Za Wykonawcę: |
…………………………………………………………… | …………………………………………………………… |
…………………………………………………………… | …………………………………………………………… |
Załącznik nr 1. Szczegółowy opis zamówienia
Numer umowy ………………………………………………
I. Opis przedmiotu zamówienia
1. Przedmiotem zamówienia jest wykonanie usługi polegającej na:
a. Przeprowadzeniu audytu zerowego stwierdzającego obecny stan przygotowania Systemu SZBI Zamawiającego lub jego elementów do wymogów ustawy o KSC i jej aktów wykonawczych.
b. Przeprowadzeniu Analizy Ryzyka wystąpienia incydentu.
c. Opracowaniu dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (dalej SZBI) w UCK WUM będącego Operatorem Usług Kluczowych (dalej OUK) wraz z przekazaniem praw autorskich wytworzonej na te potrzeby dokumentacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070 ze zm.), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r. poz. 655);
d. Przygotowaniu szkoleń dla personelu Zamawiającego z SZBI.
e. Realizacji szkolenia stacjonarnego dla Kadry Zarządzającej Zamawiającego z SZBI (20 osób).
2. Termin realizacji zamówienia wynosi 60 dni od daty podpisania umowy. Wykonawca w ciągu 3 dni po podpisaniu umowy przedstawi Zamawiającemu propozycję harmonogramu zawierającego ramy czasowe dla każdego z 4 punktów szczegółowego opisu przedmiotu zamówienia.
II. Szczegółowy opis przedmiotu zamówienia
1. Przeprowadzenie Audytu zerowego
Wykonawca określi na podstawie tzw. audytu zerowego stan przygotowania jednostki oraz jego dokumentacji i procesów do realizacji wymogów określonych w:
a. Ustawie o KSC z dnia 5 lipca 2018 r.
b. rozporządzeniach wykonawczych, zwłaszcza Rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo
c. normie PN-ISO/IEC 27001
d. normie PN-ISO/IEC 22301
i przedstawi rekomendacje przygotowania lub aktualizacji niezbędnej dokumentacji oraz
zmian w procesach realizowanych w UCK WUM.
2. Przeprowadzenie analizy ryzyka
Wykonawca dokona analizy ryzyka wystąpienia incydentu w UCK WUM jako OUK i przedstawi raport z przeprowadzonej analizy wraz z rekomendacjami oraz opisem zastosowanej metodologii szacowania ryzyka.
3. Wykonanie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji
Wykonawca, na podstawie wymogów określonych w:
a. Ustawie o KSC,
b. rozporządzeniach wykonawczych, zwłaszcza Rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwa,
c. normie PN-ISO/IEC 27001
d. normie PN-ISO/IEC 22301
oraz na podstawie rekomendacji zawartych w wynikach przeprowadzonego audytu zerowego i testów penetracyjnych oraz przeprowadzonej analizy ryzyka wystąpienia incydentu przedstawi propozycję kompletnej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji, przy uwzględnieniu istniejących dokumentów w UCK WUM, które będą włączone do dokumentacji SZBI.
Kompletna dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji będzie dodatkowo przekazana w postaci dokumentów edytowalnych (np. docx, xlsx).
4. Przygotowanie szkoleń dla personelu Zamawiającego
a. W celu zaznajomienia personelu Zamawiającego z Systemem Zarządzania Bezpieczeństwem Informacji który zostanie dostarczony przez Wykonawcę, niezbędne będzie przeprowadzenie dedykowanych szkoleń. Szkolenia muszą zostać podzielone zgodnie
z kompetencjami personelu Zamawiającego na grupy: personel biały, pracownicy administracji, pracownicy Działu Informatyki, oraz Zarząd UCK WUM.
b. Szkolenia zostaną przeprowadzone w formie online jako prezentacja zakończona
testem.
c. Testy będą sprofilowane dla 4 grup wskazanych w punkcie 1 osobno i będzie można wybrać do której grupy należę.
d. Szkolenia będą zrealizowane przez Wykonawcę w formie umożliwiającą uruchomienie ich na platformie szkoleniowej Moodle Zamawiającego.
e. Dalsze opieka nad frekwencją rozwiązywanych testów będzie po stronie Zamawiającego. Dostarczenie i prawidłowe uruchomienie szkoleń na platformie Moodle będzie świadczyło o realizacji zadania.
f. Prawa autorskie do materiałów i szkoleń będą przekazane Zamawiającemu zgodnie z Rozdział I. punkt 1 d
a. Realizacja szkolenia stacjonarnego dla Kadry Zarządzającej Zamawiającego z SZBI.
W celu zaznajomienia personelu Zamawiającego z Systemem Zarządzania Bezpieczeństwem Informacji który zostanie dostarczony przez Wykonawcę, niezbędne będzie przeprowadzenie szkolenia stacjonarnego dla Kadry Zarządzającej do 20 osób.
III. Wymogi co do realizacji przedmiotu zamówienia
1. W związku z tym, że przedmiot zapytania musi być realizowany przez podmiot spełniający warunki z art. 15 pkt 2 UKSC Zamawiający prosi o zawarcie w ofercie informacyjnej oświadczenia, że Państwa zespół wdrożeniowy posiada:
a) co najmniej 4 audytorów z ważnymi certyfikatami określonymi w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu bezpieczeństwa,
b) każdy z audytorów posiada co najmniej pięcioletnią praktykę w zakresie wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnie z PN-ISO/IEC 27001 lub systemu zarządzania ciągłością działania opartą PN-ISO/IEC 22301
c) przeprowadził co najmniej 5 audytów w jednostkach będących operatorami usługi
kluczowej zgodnie z UKSC
d) co najmniej 4 audytorów dysponujących odpowiednim doświadczeniem do wykonania zamówienia, warunek ten zostanie spełniony, jeżeli Wykonawca wykaże, że w okresie trzech ostatnich lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie wykonał, a w przypadku świadczeń okresowych lub ciągłych wykonuje co najmniej 4 zamówienia u podmiotów zatrudniających co najmniej 1000 pracowników każdy, z których każde polegało/polega na wsparciu przy doskonaleniu lub wdrożeniu Systemów Zarządzania Bezpieczeństwem Informacji w oparciu o normę PN-
ISO/IEC 27001:2017
e) aktualną polisę OC w zakresie prowadzonej działalności w wysokości min. 1 000 000 PLN.
osoby zdolne (minimum 5 osób) (z certyfikatami określonymi w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999)) do wykonania zamówienia, którzy posiadają aktualny certyfikat audytora wiodącego Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001 (min. 4 osoby).
Załącznik nr 2. Protokół zdawczo-odbiorczy
Numer umowy ………………………………………………
Protokół zdawczo-odbiorczy Etapu ……..
Uniwersyteckie Centrum Klinicznye Warszawskiego Uniwersytetu Medycznego ul. Banacha 1a, 02-097 Warszawa, | ………………………………….. …………………………………………………………………… ..………………………………………………………………… |
Lp. | Etap umowy / przedmiot zlecenia | Przekazane materiały / format |
Zamawiający przyjmuje w całości wykonane prace i potwierdza ich zgodność z przedmiotem zamówienia. Niniejszy protokół jest podstawą do wystawienia faktury za zrealizowane prace, zgodnie z zawartą umową.
Za Zamawiającego: ………………………………………………………………… ………………………………………………………………… | Za Wykonawcę: …………………………………………………………………. ………………………………………………………………… |
Załącznik nr 3. Lista osób upoważnionych do wykonania umowy
Numer umowy ………………………………………………
Przedstawiciele Wykonawcy:
1. ........................ – ……………………………………………………………………….
2. ........................ – ……………………………………………………………………….
3. ........................ – ……………………………………………………………………….
4. ........................ – ……………………………………………………………………….
5. ........................ – ……………………………………………………………………….
Przedstawiciele Zamawiającego:
1. ........................ – ……………………………………………………………………….
2. ........................ – ……………………………………………………………………….
3. ........................ – ……………………………………………………………………….
4. ........................ – ……………………………………………………………………….
5. ........................ – ……………………………………………………………………….
Uwagi: Aktualizacje składu osobowego osób upoważnionych do wykonania umowy będą przeprowadzane
w formie pisemnej.
Za Zamawiającego: | Za Wykonawcę: |
…………………………………………………………… | ………………………………………………………… |
………………………………………………………… | ……………………………………………………………. |
Załącznik nr 4. Harmonogram
Numer umowy ………………………………………………
…………………………………………………………………………...
Nazwa Wykonawcy
……………………………………………………………………….
Adres
…………………………………………………………………….………
NIP
Harmonogram
………………………………………….
Miejscowość, data
Harmonogram realizacji zadania - „Budowa kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji, w celu zapewnienia bezpieczeństwa informacji i bezpieczeństwa cybernetycznego Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego, uwzględniającego wymogi ustawowe związane z OUK i
ustawą o KSC i jej akty wykonawcze dla Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego przy ul. Banacha 1a, W warszawie zgodnie z treścią zapytania 19/IT/2023” w zakresie:
Lp. | Zakres do realizacji | Termin rozpoczęcia | Termin zakończenia | Uwagi |
1 | Audyt zero (sprawdzenie stanu obecnego) wraz z rekomendacjami | |||
2 | Analiza wpływu i szacowanie ryzyka wraz z rekomendacjami | |||
3 | Sporządzenie dokumentacji systemu zarządzania bezpieczeństwem informacji wraz z dostosowaniem obecnych procesów lub ich ponownego zaprojektowania do specyfikacji jednostki Zamawiającego | |||
4 | Szkolenia personelu |
Akceptacja Zamawiającego: | Za Wykonawcę: |
…………………………………………………………… | ………………………………………………………… |
………………………………………………………… | ……………………………………………………………. |
Załącznik nr 5. Wypisy Stron z rejestru przedsiębiorców Krajowego Rejestru Sądowego
Numer umowy ………………………………………………
Załącznik nr 6. Umowa powierzenia danych osobowych
Numer umowy ………………………………………………
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w , pomiędzy:
Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą przy ul. Xxxxxxx 0x, 00-000 Xxxxxxxx, adres do korespondencji: ul. Xxxxxx x Xxxxxx 00X, 00-000 Xxxxxxxx, wpisanym przez Sąd Rejonowy dla x.xx. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji i samodzielnych publicznych zakładów opieki zdrowotnej pod numerem KRS 0000073036, NIP: 5220002529, REGON: 000288975, zwanym dalej „Administratorem”, reprezentowanym przez
Xxxx Xxxxxxx – Dyrektor
a
………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………, reprezentowanym przez
……………………………………..……… – …………………………………….
zwanym dalej „Przetwarzającym”,
zwani dalej „Stroną” lub „Stronami”
§ 1
Przedmiot Umowy
1. Strony oświadczają, że zawarły umowę (zwaną dalej Umową Główną), której realizacja wymaga powierzenia Przetwarzającemu przetwarzania danych osobowych, administrowanych przez Administratora, w tym także szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679/WE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływy takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako
„RODO”, – tj. danych dotyczących zdrowia, przy czym szczegółowe informacje o Umowie Głównej wskazano w poniższej tabeli:
Numer | Data zawarcia | Przedmiot umowy – cel i charakter przetwarzania | Kategoria osób których dane dotyczą – rodzaj powierzonych danych osobowych | Czas przetwarzania |
[…] | […] | Realizacja umowy głównej w postaci 1. Przeprowadzenia audytu zerowego stwierdzającego obecny stan przygotowania Systemu SZBI Zamawiającego lub jego elementów do wymogów ustawy o KSC i jej aktów wykonawczych. 2. Przeprowadzenia Analizy Ryzyka wystąpienia incydentu. 3. Opracowania dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (dalej SZBI) w UCK WUM będącego Operatorem Usług Kluczowych (dalej OUK) wraz z przekazaniem praw autorskich wytworzonej na te potrzeby dokumentacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów 2 | 1. Świadczeniobiorcy Administratora – imię, nazwisko, Xxxxx, adres zamieszkania, data urodzenia, w przypadku osób niebędących obywatelami polskimi: numer paszportu lub innego dokumentu tożsamości, obywatelstwo (jeśli inne niż polskie), identyfikator pacjenta w systemie, telefon komórkowy, telefon stacjonarny, e-mail, 2. Przedstawiciel ustawowy/opiekun świadczeniobiorcy - imię, nazwisko, adres zamieszkania, numer telefonu, adres e-mail 3. Dane osobowe pracowników / współpracowników Administratora i Przetwarzającego – imię i nazwisko, zajmowane stanowisko i miejsce pracy, służbowy numer telefony, fax | Czas realizacji umowy oraz czas wynikający z konieczności archiwizacji dokumentacji księgowej oraz czas związany z rękojmią lub gwarancją oraz z ewentualnymi procedurami dochodzenia wzajemnych roszczeń |
realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070 ze zm.), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r. poz. 655); 4. Przygotowania szkoleń dla personelu Zamawiającego z SZBI. 5. Realizacja szkolenia stacjonarnego dla Kadry Zarządzającej Zamawiającego z SZBI | oraz służbowy adres |
6. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych uzyskanych przez Przetwarzającego w związku z realizacją w/w Umowy Głównej, w celu i zakresie wskazanym powyżej, a Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe, zgodnie z wymogami i warunkami obowiązujących w tym zakresie przepisów
prawnych, w tym z treścią RODO. Strony oświadczają, że powierzone dane osobowe, będą
przetwarzane tylko na terenie Europejskiego Obszaru Gospodarczego (EOG).
7. Przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować odpowiednie środki techniczne i organizacyjne, zapewniające stopień ochrony bezpieczeństwa danych osobowych, odpowiadający stopniowi ryzyka naruszenia praw osób których dane dotyczą.
8. Przetwarzający oświadcza, iż dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie niniejszej Umowy, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
9. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz Umowie Głównej, a przy ich przetwarzaniu zobowiązany jest stosować środki zabezpieczające, o których mowa w art. 32 RODO, w szczególności poprzez stosowanie urządzeń zapewniających kontrolę dostępu, pseudonimizację i szyfrowanie danych, tam gdzie jest to możliwe i uzasadnione.
10. W ramach udzielonego powierzenia, Przetwarzający może przetwarzać dane poprzez utrwalanie, zwielokrotnianie, przechowywanie, porządkowanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, usuwanie oraz niszczenie.
11. Przetwarzający może powierzyć przetwarzanie danych osobowych innym podmiotom (podwykonawcom), wyłącznie za zgodą Administratora wyrażoną w formie pisemnej pod rygorem nieważności. Przetwarzający zobowiązany jest do zawiadomienia i uzyskania zgody Administratora przez dokonaniem podpowierzenia przetwarzania danych osobowych. W przypadku chęci podpowierzenia przetwarzania danych osobowych, Przetwarzający zobowiązany jest jeszcze przed uzyskaniem zgody Administratora, zawrzeć z podwykonawcą umowę podpowierzenia przetwarzania danych osobowych, w której podwykonawca zapewni zgodność przetwarzania danych z wymogami zawartej przez strony Umowy Głównej oraz z wymogami obowiązującego prawa, w tym RODO. W przypadku dalszego powierzenia przetwarzania danych osobowych, Przetwarzający ponosi pełną odpowiedzialność za działania i zaniechania podwykonawcy. Jednocześnie Xxxxxx przyjmują, że Administrator posiadać będzie te same prawa wobec podwykonawcy, które posiada z tytułu niniejszej umowy wobec Przetwarzającego, w tym prawo do dokonywania audytów, żądania informacji i wyjaśnień, żądania pomocy i współdziałania w wykonywaniu obowiązków Administratora, opisanych w niniejszej umowie.
§ 2
Prawa i obowiązki Stron
1. Przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się niniejszą umowę oraz Umowę Główną. W przypadku powierzenia przetwarzania danych w zakresie szerszym niż to
wynika z niniejszej umowy oraz Umowy Głównej, Administrator wyda odrębne polecenie i określi zakres, cel oraz przedmiot powierzenia.
b) zobowiązany jest udostępnić Administratorowi, na każde żądanie, informacji o środkach technicznych i organizacyjnych i dokumentacji dotyczącej tych środków, które stosuje w celu ochrony danych osobowych;
c) zobowiązany jest stosować się do poleceń Administratora dotyczących przetwarzania
powierzonych danych;
d) zobowiązany jest zapewnić, aby przetwarzanie danych następowało przy pomocy osób, które posiadają odpowiednią wiedzę na temat ochrony danych osobowych oraz które zobowiązały się do zachowania tajemnicy, lub tajemnicę zobowiązane są zachować na podstawie odrębnych przepisów;
e) zobowiązany jest zapewnić, aby przetwarzanie danych następowało przy pomocy osób, które posiadają pisemne upoważnienie wydane przez Przetwarzającego;
f) zobowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych
osobowych;
g) zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora;
h) zobowiązany jest prowadzić rejestr naruszeń ochrony danych;
i) zobowiązany jest przechowywać dane osobowe zawarte na elektronicznych nośnikach informacji, w taki sposób, aby dostęp do nich miały jedynie osoby uprawnione, a do danych przetwarzanych w systemach informatycznych osoby, które przeszły pomyślnie proces uwierzytelnienia i autoryzacji;
j) zobowiązany jest pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO;
k) zobowiązany jest pomagać Administratorowi, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO, w szczególności Przetwarzający zobowiązuje się do poinformowania Administratora o złożonym żądaniu osoby, której dane dotyczą w ciągu 2 dni od dnia otrzymania takiego żądania;
l) zobowiązany jest do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych Danych Osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących Przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy;
m) zobowiązany jest niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych;
n) Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania danych przez Przetwarzającego.
o) w przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego niniejszej Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania Administratorowi lub osobie trzeciej, która zgłosiła takie żądanie do Administratora lub Przetwarzającego.
p) za naruszenie przez pracowników, zleceniobiorców, współpracowników lub podwykonawców warunków Umowy Przetwarzający odpowiada jak za działania własne.
2. Administrator:
a) ma prawo dokonywania kontroli i audytów oraz żądania udzielenia przez Przetwarzającego wyjaśnień i informacji o środkach i wszelkich okolicznościach i warunkach przetwarzania przez niego danych osobowych;
b) uprawniony jest do wydawania Przetwarzającemu wiążących poleceń, dotyczących środków służących zabezpieczeniu danych osobowych;
c) ma prawo do rozwiązania niniejszej umowy ze skutkiem natychmiastowym oraz rozwiązania Umowy Głównej, jeżeli Przetwarzający nie przestrzega swoich zobowiązań wynikających z niniejszej Umowy, w tym x.xx. narusza obowiązujące przepisy prawa dotyczące przetwarzania danych osobowych;
§ 3
Naruszenie ochrony danych osobowych
1. W przypadku zdarzenia mogącego skutkować naruszeniem ochrony danych osobowych, Przetwarzający zobowiązany jest do:
a) przekazania Administratorowi informacji w terminie 24 godzin od wykrycia zdarzenia,
drogą telefoniczną oraz mailową na adres xxx@xxxxxx.xx;
b) wyznaczenia osób odpowiedzialnych za podjęcie kroków w celu zbadania przyczyn i skutków zdarzenia i podjęcia działań naprawczych w uzgodnieniu z Administratorem;
c) podania wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, o których mowa w art. 34 RODO w ciągu 24 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych;
d) przeprowadzenia analizy skutków naruszenia praw i wolności podmiotów danych i przekazania wyników tej analizy do Administratora, w tym oceny czy konieczne jest zgłoszenie naruszenia do organu nadzorczego, a to w terminie 36 godzin od wykrycia zdarzenia;
e) przygotowania w ciągu 48 godzin od wykrycia zdarzenia, informacji wymaganych w zgłoszeniu naruszenia ochrony danych do organu nadzorczego, jeżeli decyzję o dokonaniu zgłoszenia podejmie Administrator;
§ 4
Termin obowiązywania umowy – usunięcie danych
1. Niniejsza Umowa zostaje zawarta na czas wynikający z czasokresu przetwarzania danych osobowych przez Przetwarzającego, w tym niniejsza Umowa nie ulega rozwiązaniu mimo rozwiązania Umowy Głównej, jeżeli z przepisów szczególnych, w tym dotyczących przechowywania dokumentacji zawierającej dane osobowe wynikają dłuższe okresy, w których dane osobowe nadal będą przetwarzane przez Przetwarzającego.
2. Po zakończeniu przetwarzania danych osobowych, niezależnie od dalszego obowiązywania Umowy Głównej, Przetwarzający zobowiązany jest do usunięcia lub zwrotu Administratorowi wszelkich danych osobowych (w tym również części danych) uzyskanych w związku z realizacją Umowy Głównej, których dalsze przetwarzanie, w tym archiwizowanie nie jest wymagane odrębnymi przepisami prawa.
3. Jeżeli odrębne przepisy tego wymagają, Przetwarzający zobowiązany jest do archiwizacji lub usunięcia danych osobowych zgodnie z tymi przepisami. W zakresie nieuregulowanym w odrębnych przepisach, Przetwarzający zobowiązany jest do usunięcia danych w sposób uniemożliwiający ich odtworzenie. Przed usunięciem danych Przetwarzający uzgodni z Administratorem, które z powierzonych danych podlegać będą zwrotowi, a które usunięciu.
§ 5
Postanowienia końcowe
1. Niniejsza umowa wchodzi w życie z dniem jej podpisania.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy RODO, Kodeksu
Cywilnego oraz wszelkich innych przepisów krajowych dotyczących ochrony danych osobowych
4. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Administratora.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
ze Stron.
w imieniu Administratora UCK WUM w imieniu Przetwarzającego