Załącznik nr III do zapytania ofertowego UMOWA nr …………/… [PROJEKT]
Załącznik nr III do zapytania ofertowego UMOWA nr …………/… [PROJEKT]
Zawarta w dniu r. w Warszawie pomiędzy:
Urzędem Komisji Nadzoru Finansowego z siedzibą w Warszawie, adres: xx. Xxxxxx 00, 00-000 Xxxxxxxx, NIP: 7010902185, REGON: 382088467, reprezentowanym przez
……………………………………………………, zwanym dalej „Zamawiającym”
a
......................................... (firma Wykonawcy), z siedzibą w .............................. przy ul ; wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy pod
numerem KRS ……......., posiadający REGON……… i nadany NIP ................, zwaną dalej „Wykonawcą”, reprezentowaną zgodnie z odpisem z rejestru (lub na podstawie udzielonego pełnomocnictwa) przez:
...................................... - ...................................................
zwanymi dalej z osobna „Stroną” lub łącznie „Stronami”.
POSTANOWIENIA OGÓLNE
Definicje
§ 1.
Używane w niniejszej Umowie terminy mają następujące znaczenie:
1. Błąd – niezgodne z wymaganiami zawartymi w Umowie działanie całości bądź dowolnej części Systemu, występujące w postaci Błędu krytycznego, Błędu ważnego i Błędu innego.
2. Czas naprawy – czas od momentu otrzymania od Zamawiającego zgłoszenia do przekazania przez Wykonawcę skutecznej poprawki do Zamawiającego. Do Czasu naprawy nie zalicza się okresów, w których Wykonawca oczekiwał na odpowiedź Zamawiającego.
3. Czas reakcji – czas od momentu otrzymania zgłoszenia do podjęcia pierwszych działań przez Wykonawcę na środowisku Zamawiającego.
4. Dokumentacja – wszelkie dokumenty, wytworzone bądź modyfikowane, niezbędne w celu realizacji Umowy.
5. Dokumentacja Systemu – wytworzone w języku polskim dokumenty, wchodzące w skład Dokumentacji, obejmujące w szczególności: Opis funkcjonalności Systemu, Dokumentacja analityczna i projektowa Systemu, Architektura i konfiguracja Systemu, wykonywania kopii zapasowych i odtworzenia Systemu, Plan testów, scenariusze testowe, Instrukcja użytkownika Systemu, Instrukcja administratora merytorycznego (super-user) Systemu, kody źródłowe wytworzonego Systemu, instrukcja kompilacji kodu.
6. Dni robocze – dni od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy wg. prawa polskiego.
7. Kierownik Projektu – osoby wskazane w § 4 ust. 1 pkt a) oraz c) Umowy do kierowania odpowiednio Zespołem Zamawiającego i Wykonawcy.
8. Obejście Błędu - zaakceptowane przez Zamawiającego rozwiązanie Błędu, które pozwoli na kontynuowanie pracy z Systemem, choć może wiązać się to z utrudnieniem w jego korzystaniu.
9. Okno serwisowe – Czas, w którym Wykonawca może wykonywać w ramach wsparcia powdrożeniowego prace serwisowe związane z utrzymaniem wersji produkcyjnej Systemu, codziennie poza Godzinami dostępności Systemu, po wcześniejszym uzgodnieniu terminu z Zamawiającym..
10. Dyrektywa PSD2 - Dyrektywa 2007/64/WE Parlamentu Europejskiego i Rady 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (znowelizowana dyrektywa w sprawie usług płatniczych).
11. Protokół odbioru – dokument przygotowany przez Wykonawcę i zatwierdzony przez Zamawiającego, potwierdzający wykonanie części lub całości prac objętych przedmiotem Umowy, których wzory stanowią Załączniki nr 4 i 5 do Umowy.
12. System/Sandbox Open API – środowisko teleinformatyczne zgodne z wymaganiami Dyrektywy PSD2.
13. Wdrożenie produkcyjne – rozpoczęcie produkcyjnej eksploatacji Systemu będącego przedmiotem niniejszej Umowy poprzedzone testami, a także podpisaniem Protokołu z Wdrożenia produkcyjnego.
14. Wsparcie powdrożeniowe – usługi Wykonawcy mające zapewnić sprawne działanie Systemu, świadczone od Daty wdrożenia produkcyjnego Systemu potwierdzonego podpisanym Protokołem odbioru.
Przedmiot Umowy
§ 2.
1. Przedmiotem Umowy jest:
1) zaprojektowanie, wytworzenie, dostawa wraz z wdrożeniem na infrastrukturze Zamawiającego środowiska teleinformatycznego zgodnego z wymaganiami Dyrektywy PSD2 (zwanego dalej „Sandbox Open API” lub „Systemem”) wraz z 12 miesięcznym wsparciem producenta zapewniającym dostęp do aktualizacji, najnowszych wersji oprogramowania oraz pomocy technicznej, zgodnie z Opisem przedmiotu zamówienia stanowiącym Załącznik nr 1 do Umowy;
2) w ramach Umowy Wykonawca zobowiązuje się wykonać:
a) szczegółową analizę wymagań i przygotowanie dokumentacji analitycznej w zakresie tworzonego rozwiązania;
b) projekt techniczny i projekt wdrożenia;
c) stworzenie środowisk: produkcyjnego i testowego;
d) przygotowanie scenariuszy testowych oraz planu testów (wewnętrznych oraz zewnętrznych) obejmujących weryfikację wszystkich wymagań wskazanych w Załączniku nr 1 do Umowy;
e) implementację rozwiązania wraz z testami własnymi rozwiązania oraz przygotowaniem raportu z testów odzwierciedlającego zakres i wynik przeprowadzonych testów;
f) udział w testach akceptacyjnych Zamawiającego;
g) realizacja zaleceń poaudytowych Zamawiającego będących wynikiem testów bezpieczeństwa przeprowadzonych w środowisku Zamawiającego;
h) wdrożenie produkcyjne rozwiązania na infrastrukturze Zamawiającego;
i) opracowanie dokumentacji eksploatacyjnej oraz powykonawczej Systemu opisanej w Załączniku nr 1 do Umowy;
j) udzielenie Zamawiającemu bezterminowej, niewyłącznej, nieograniczonej terytorialnie licencji obejmującej swoim zakresem wszelkie autorskie prawa majątkowe do Systemu i jego modyfikacji (w tym do dokumentacji oraz kodów źródłowych Systemu) zgodnie z postanowieniami § 9 Umowy;
k) świadczenie usług wsparcia powdrożeniowego przez okres 12 miesięcy na zasadach opisanych w załączniku nr 1 do Umowy;
l) przekazanie Zamawiającemu kompletnych kodów Systemu.
OKRES OBOWIĄZYWANIA UMOWY
§ 3.
1. Umowa wchodzi w życie z dniem podpisania.
2. Wykonawca wykona Wdrożenie produkcyjne w terminie 1 Termin ten może ulec wydłużeniu za
zgodą Zamawiającego na warunkach opisanych § 15 ust. 1 Umowy.
3. Wsparcie powdrożeniowe będzie obowiązywać od dnia następującego po dniu wdrożenia Systemu, potwierdzonego podpisanym protokołem odbioru, przez okres 12 miesięcy i świadczone będzie na zasadach opisanych w Załączniku nr 1 do Umowy.
ZASADY ŚWIADCZENIA USŁUG
Zasady Realizacji Umowy
§ 4
1. W celu zapewnienia sprawnej realizacji przedmiotu Umowy Strony będą reprezentowane przez:
a) …………………………, nr tel.….., e-mail….. – osobę pełniącą funkcję Kierownika Projektu Zamawiającego,
b) ………………………, nr tel.….., e-mail…. – osobę odpowiedzialną za kontakt w okresie wsparcia powdrożeniowego po stronie Zamawiającego,
c) ………………………, nr tel.….., e-mail…. – osobę pełniącą funkcję Kierownika Projektu Wykonawcy,
d) …………………………, nr tel.….., e-mail….. – osobę odpowiedzialną za kontakt w okresie wsparcia powdrożeniowego po stronie Wykonawcy.
2. Kierownicy Projektów upoważnieni są w szczególności do dokonywania odbioru produktów dostarczanych i wykonywanych w ramach realizacji przedmiotu Umowy i podpisywania protokołów odbioru oraz do dokonywania akceptacji zmian zgłoszonych w trakcie realizacji przedmiotu Umowy.
3. Zmiana Kierownika Projektu, dokonana przez Stronę delegującą danego Kierownika nie wymaga aneksu do Umowy i powinna zostać zgłoszona w formie pisemnej lub elektronicznej z minimum 3 dniowym wyprzedzeniem.
4. Zamawiający umożliwi Wykonawcy po dniu podpisania Umowy dostęp do uzgodnionych z Zamawiającym zasobów (pomieszczeń, urządzeń lub danych) niezbędnych do zrealizowania przez Wykonawcę przedmiotu Umowy w terminie uzgodnionym pomiędzy stronami.
5. Na wniosek Kierownika Projektu Zamawiającego, Wykonawca w przypadku realizacji przedmiotu Umowy w pomieszczeniach Zamawiającego zobowiązany jest do dostarczenia odpowiednich danych personelu Wykonawcy biorących udział w realizacji przedmiotu Umowy, celem uzyskania dostępu do uzgodnionych z Zamawiającym pomieszczeń, urządzeń lub danych. Działania Wykonawcy realizowane w pomieszczeniach Zamawiającego będą realizowane w uzgodnieniu i pod nadzorem Zamawiającego.
6. Wykonawca przygotuje projekt wdrożenia i projekt techniczny o którym mowa w § 2 ust. 1 pkt 2 lit b w terminie 7 dni roboczych od daty podpisania Umowy.
7. Zamawiający dopuszcza zdalny dostęp do środowiska Zamawiającego w zakresie realizacji usług i gwarancji wynikających z Umowy, w tym możliwość przeprowadzenia prac instalacyjnych i konfiguracyjnych oraz diagnozowania przyczyn błędów i problemów. Każdorazowo dostęp taki będzie wymagał zgody Zamawiającego i będzie udzielany wyłącznie na czas realizacji zleconych prac na warunkach określonych przez Zamawiającego.
1 Postanowienie zostanie uzupełnione zgodnie z terminem podanym przez Wykonawcę w formularzu ofertowym
Zobowiązania Stron
§ 5.
1. Wykonawca oświadcza, że posiada doświadczenie, kwalifikacje i zasoby niezbędne do wykonania dla Zamawiającego przedmiotu Umowy oraz że zajmuje się w zakresie działalności swego przedsiębiorstwa wykonywaniem dostaw oraz świadczeniem usług, których dotyczy Umowa.
2. Wykonawca zobowiązuje się:
a) do świadczenia usług związanych z Umową, z należytą starannością i w ustalonym zakresie oraz terminie,
b) wyznaczyć do realizacji poszczególnych prac, o których mowa w § 2 Umowy osoby wyspecjalizowane w zakresie odpowiednich obszarów merytorycznych,
c) wykonując usługi w ramach Umowy, do podporządkowania się stosownym przepisom obowiązującym u Zamawiającego, w szczególności przepisom z zakresu bezpieczeństwa informacji oraz bezpieczeństwa i higieny pracy. Wykonawca zobowiązuje się przejąć roszczenia wynikające z wypadków lub utraty życia, które wyniknęły z winy Wykonawcy. Wykonawca zapłaci wszelkie odszkodowania wynikające z takich zdarzeń i nie uczyni Zamawiającego odpowiedzialnym lub zobowiązanym z tego tytułu,
d) do niezwłocznego odpowiadania na wnioski o wprowadzenie określonych procedur, na wnioski o podanie informacji, na raporty na temat problemów występujących w trakcie realizacji Umowy w uzgodnionych każdorazowo terminach. W przypadku, gdy nie są podane konkretne terminy, Wykonawca zobowiązuje się odpowiedzieć na piśmie w ciągu 3 dni roboczych,
e) do każdorazowego, niezwłocznego, potwierdzania przyjęcia odpowiedniego zgłoszenia, o którym mowa w pkt 2 lit d) powyżej, w formie pisemnej lub elektronicznej.
3. Strony zobowiązują się do współdziałania w zakresie niezbędnym do prawidłowego wykonania przedmiotu Umowy.
4. Zamawiający zobowiązuje się udzielać odpowiedzi na pytania kierowane przez Wykonawcę. Zamawiający zobowiązuje się, by celem zapewnienia terminowej realizacji prac objętych przedmiotem Umowy, odpowiedzi były udzielane w terminie nie dłuższym niż 3 dni robocze od dnia otrzymania pytania skierowanego na adres e-mail Kierownika Projektu Zamawiającego wskazany w § 4 Umowy. Odpowiedzi Zamawiającego będą przekazywane na adres mail Kierownika Projektu Wykonawcy wskazany w § 4 Umowy.
5. Na żądanie Zamawiającego Wykonawca zobowiązuje się udzielać Zamawiającemu informacji o przebiegu prac będących przedmiotem niniejszej Umowy nie później niż następnego dnia po dniu otrzymania pytania skierowanego na adres e-mail Kierownika Projektu Wykonawcy wskazany w § 4 Umowy. Odpowiedzi Wykonawcy będą przekazywane na adres e-mail Kierownika Projektu Zamawiającego wskazany w § 4 Umowy.
6. W toku realizacji przedmiotu Umowy Strony zobowiązują się do bieżącego przekazywania informacji
o wszelkich zagrożeniach, trudnościach czy przeszkodach związanych z wykonywaniem Umowy.
7. W ciągu 7 dni roboczych od podpisania Umowy Wykonawca określa wymagania techniczne i wersje komponentów, na których zostanie zainstalowany System i przedkłada do akceptacji Zamawiającego.
8. Zamawiający w ciągu 5 dni roboczych zaakceptuje powyższe wymagania lub zgłasza pisemne zastrzeżenia do przedłożonych przez Wykonawcę wymagań.
9. Wykonawca zobowiązany jest w terminie do 3 dni roboczych od dnia otrzymania uwag i zastrzeżeń Zamawiającego do ich uwzględnienia i do ponownego przekazania Zamawiającemu.
10. Zamawiający nie wyraża zgody na dokonanie cesji wierzytelności wynikających z realizacji Umowy na rzecz osób trzecich.
Testy Systemu
§ 6.
1. Integralną częścią procesu wdrożenia będą testy Systemu.
2. Terminy przeprowadzenia testów zostaną uzgodnione pomiędzy Stronami i odbędą się przed wdrożeniem Systemu.
3. Testy dzielą się na: funkcjonalne, akceptacyjne i bezpieczeństwa.
4. Wykonawca zobowiązuje się do przeprowadzenia testów funkcjonalnych potwierdzających poprawność działania Systemu, co zostanie udokumentowane raportem z testów.
5. Zamawiający zobowiązuje się do przeprowadzenia testów akceptacyjnych, których celem jest potwierdzenie, że System funkcjonuje poprawnie i został zrealizowany zgodnie z wymaganiami wskazanymi w Załączniku nr 1 do Umowy.
6. Warunkiem zakończenia testów akceptacyjnych będzie spełnienie kryteriów opisanych w Planie testów, a także raport końcowy z realizacji testów zaakceptowany przez Zamawiającego.
7. Dostarczony system zostanie przetestowany przez Zamawiającego pod kątem spełnienia wymogów bezpieczeństwa.
8. System zostanie odebrany i uruchomiony produkcyjnie jedynie po pozytywnym przejściu testów bezpieczeństwa.
9. Wykonawca dostarczy dokumentację systemu do przeprowadzenia testów bezpieczeństwa. tj. co najmniej dokumentacja techniczna systemu, dokumentacja API. W przypadku braku w dokumentacji szczegółów niezbędnych do przeprowadzenia testów bezpieczeństwa Wykonawca w ciągu 3 dni roboczych uzupełni dokumentację w zakresie niezbędnym do ich przeprowadzenia.
10. System musi zapewniać mechanizmy zabezpieczające przed podatnościami bezpieczeństwa, w szczególności z aktualnej listy TOP 10 wg organizacji OWASP oraz podatnościami opisywanymi w zaktualizowanym OWASP Testing Guide.
11. System musi posiadać mechanizmy walidacji danych wejściowych i wyjściowych w szczególności pod kątem ataków typu cross-site scripting (XSS) oraz injection np. SQL injection, shell injection, OS injection, code injection.
12. System musi posiadać mechanizmy zabezpieczające go przed atakami polegającymi na przepełnieniu bufora.
13. System musi zapewniać bezpieczeństwo komunikacji danych poprzez silne szyfrowanie za pomocą algorytmów, które są powszechnie uznawane za bezpieczne i pozbawione są powszechnie znanych błędów.
14. System musi zapewniać ochronę przed atakami typu cross-site request forgery.
15. System musi posiadać zabezpieczenia przed podatnościami związanymi z niewłaściwymi mechanizmy przekierowania, w szczególności tymi które mogą być wykorzystywane w trakcie ataków phishingowych.
16. System musi zapewnić mechanizmy zabezpieczające przed podatnościami związanymi z kontrolą dostępu (np. niezabezpieczone bezpośrednie odwołania do obiektów, nieograniczony dostęp URL, nieograniczony dostęp użytkowników do funkcji, eskalacje uprawnień, niewłaściwe zarządzanie sesją użytkownika).
17. System musi zapewniać mechanizmy zabezpieczające przed podatnościami wynikającymi z nieodpowiedniego zarządzania błędami oraz nadmiarowym ujawnieniem informacji o infrastrukturze.
18. System musi zapewniać mechanizmy pełnego monitorowania i logowania zdarzeń.
19. Wykonawca musi zapewnić zgodność poziomu bezpieczeństwa Systemu z wymaganiami projektu ASVS (OWASP ASVS) (Application Security Verification Standard) poziom 2, dostępnymi powszechnie w sieci Internet.
20. W ramach realizowanej gwarancji Wykonawca jest odpowiedzialny za monitorowanie, wykrywanie i usuwanie pojawiających się luk bezpieczeństwa w Systemie.
21. System musi korzystać ze stabilnych, aktualnych wersji komponentów oraz bibliotek programistycznych (maksymalnie 3 wersje wstecz, o ile nie zostały skompromitowane pod względem bezpieczeństwa) przez cały okres wsparcia.
22. Każdy z elementów rozwiązania (baza danych, systemy operacyjne, serwery webowe/aplikacyjne oraz pozostałe dostarczone przez Wykonawcę komponenty informatyczne) musi być poddany procesowi utwardzania (hardeningu) zgodnie z powszechnie dostępnymi w sieci Internet zaleceniami producenta w celu uzyskania maksymalnej możliwej odporności systemu na ataki.
23. System musi integrować się z istniejącą infrastrukturą bezpieczeństwa Zamawiającego – w szczególności z systemami klasy WAF oraz Firewall – bez konieczności obniżania aktualnego poziomu zabezpieczeń.
24. Wymagania bezpieczeństwa dla systemu, wymienione w ww. punktach, muszą być spełnione bez wykorzystywania w tym celu infrastruktury Zamawiającego.
Procedura odbioru
§ 7.
Strony wprowadzają następujące zasady dokonywania odbioru:
1) Odbiorowi podlegają co najmniej prace opisane w par 2 ust 1 pkt 2 lit a, b, h, i. W terminach opisanych poniżej:
a) § 2 ust 1 pkt 2 lit a w ciągu 10 Dni roboczych od podpisania Umowy,
b) § 2 ust 1 pkt 2 lit b w ciągu 10 Dni roboczych od podpisania Umowy,
c) § 2 ust 1 pkt 2 lit h w ciągu …2 dni od podpisania Umowy,
d) § 2 ust 1 pkt 2 lit i w ciągu …3 dni od podpisania Umowy,
Po odebraniu pac powyżej i wykonaniu innych zobowiązań Umowy następuje odbiór końcowy.
2) Wykonawca zobowiązuje się nie później niż w dniu terminu odbioru poinformować Zamawiającego, w formie pisemnej, o gotowości do odbioru. Zamawiający dopuszcza zgłoszenie gotowości odbioru za pośrednictwem poczty elektronicznej na adres e-mail Kierownika Projektu Zamawiającego wskazany w § 4 Umowy.
3) Warunkiem zgłoszenia do odbioru końcowego o którym mowa w ust.1 powyżej jest pozytywne przejście testów Systemu zgodnie z postanowieniami § 6 Umowy.
4) Kierownik Projektu Zamawiającego zobowiązany jest w terminie do 5 dni roboczych od dnia otrzymania informacji o gotowości do odbioru dokonać odbioru, poprzez podpisanie protokołu odbioru lub zgłosić pisemne zastrzeżenia do przedmiotu odbioru.
5) Wykonawca zobowiązany jest w terminie do 3 dni roboczych od dnia otrzymania uwag i zastrzeżeń Zamawiającego do ich uwzględnienia i do ponownego przekazania Zamawiającemu prac do odbioru. Postanowienia pkt 1)-2) powyżej stosuje się odpowiednio.
6) Procedurę odbioru określoną w pkt. 1) - 3) powyżej stosuje się odpowiednio do odbiorów dokonywanych ponownie, przy czym ponownej procedurze odbioru podlegają zastrzeżenia wyszczególnione na liście przekazanej przez Xxxxxxxxxxxxx, po zgłoszeniu przez Wykonawcę gotowości do dokonania odbioru wykonania zrealizowanych prac oraz inne zastrzeżenia powstałe lub ujawnione w wyniku usuwania zgłoszonych zastrzeżeń.
Wynagrodzenie
§ 8.
1. Wynagrodzenie Wykonawcy za realizację przedmiotu Umowy wynosi: …………….. zł brutto (słownie:
………………………zł …../100). Wynagrodzenie Wykonawcy obejmuje wszystkie elementy wchodzące w zakres prac objętych przedmiotem Umowy, w tym wynagrodzenie z tytułu udzielenia licencji o których mowa w § 9 ust 1 Umowy oraz wynagrodzenie za dodatkowe, o ile będą niezbędne do realizacji przedmiotu Umowy, oprogramowanie i sprzęt niezbędny do uruchomienia przedmiotu Umowy o którym mowa w Załączniku nr 1.
2 Postanowienie zostanie uzupełnione przed podpisaniem Umowy na podstawie terminu realizacji prac w złożonej ofercie
3 Postanowienie zostanie uzupełnione przed podpisaniem Umowy na podstawie terminu realizacji prac w złożonej ofercie
2. Wynagrodzenie o którym mowa w ust.1 płatne będzie jednorazowo po podpisaniu przez Zamawiającego Protokołu Odbioru Końcowego.
3. Płatność wynagrodzenia, o którym mowa w ust. 1 dokonana będzie w terminie 30 dni od dnia doręczenia do Zamawiającego prawidłowo wystawionej faktury VAT. Podstawą do wystawienia faktury jest podpisany przez Zamawiającego bez zastrzeżeń Protokołu odbioru. Oryginał podpisanego Protokołu odbioru musi być dołączony do faktury. Płatność będzie dokonana na rachunek bankowy Wykonawcy wskazany w ofercie.
4. Za dzień zapłaty przyjmuje się dzień obciążenia rachunku Zamawiającego. W przypadku opóźnień w płatnościach Wykonawca na prawo do naliczania odsetek ustawowych za opóźnienie za każdy dzień opóźnienia.
5. Wykonawca oświadcza, że jest płatnikiem VAT.
6. Dane Zamawiającego do faktury: Urząd Komisji Nadzoru Finansowego xx. Xxxxxx 00 , 00-000 Xxxxxxxx NIP: 000-000-00-00
7. W przypadku zmiany numeru rachunku bankowego Wykonawcy, Wykonawca zobowiązuje się do poinformowania o powyższym fakcie Zamawiającego, przed wystawieniem faktury na piśmie z podaniem zmienionego numeru rachunku bankowego. Pismo winno być podpisane przez osobę/y upoważnione do reprezentowania Wykonawcy wskazane w odpowiednich dokumentach rejestrowanych/pełnomocnictwie.
AUTORSKIE PRAWA MAJĄTKOWE I LICENCJE
§ 9.
1. Na mocy Umowy Wykonawca udziela Zamawiającemu bezterminowej, niewyłącznej, nieograniczonej terytorialnie lub czasowo licencji obejmującej swoim zakresem wszelkie autorskie prawa majątkowe do Systemu i jego modyfikacji (w tym do dokumentacji oraz kodów źródłowych Systemu). Udzielenie powyższej licencji następuje z dniem podpisania Protokołu Odbioru Końcowego. Udzielenie licencji obejmuje pola eksploatacji znane w chwili podpisania Umowy, obejmujące w szczególności pola wskazane w ust. 5 poniżej.
2. Wynagrodzenie Wykonawcy za wykonanie przedmiotu Xxxxx obejmuje również wynagrodzenie Wykonawcy należne z tytułu udzielenia licencji, o której mowa w ust. 1 powyżej.
3. Wykonawca oświadcza, że przysługują mu wyłączne i nieograniczone prawa autorskie do utworów wskazanych w ust. 1 powyżej (dalej „Utwór”).
4. Wykonawca oświadcza, że Xxxxxx nie naruszają praw autorskich, pokrewnych i patentowych osób trzecich, są wolne od jakichkolwiek zapożyczeń oraz nie mają, według jego najlepszej wiedzy, miejsca żadne inne okoliczności, które mogłyby narazić Zamawiającego na odpowiedzialność wobec osób trzecich.
5. Na podstawie niniejszej Umowy i w ramach określonego w § 8 Umowy wynagrodzenia Wykonawca udziela Zamawiającemu licencji, o której mowa w ust. 1 powyżej, w szczególności na następujących polach eksploatacji:
a) w zakresie utrwalania i zwielokrotniania Utworu — wytwarzania każdą dowolną techniką egzemplarzy Utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową,
b) w zakresie rozpowszechniania Utworu - publicznego wykonania, wystawienia, wyświetlenia, odtworzenia oraz nadawania i reemitowania, przekazania Utworu określonemu odbiorcy, a także publicznego udostępnienia Utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym (w szczególności w sieci Internet),
c) dowolne przetwarzanie Utworów, w tym łączenie z innymi Utworami,
d) trwałe lub czasowe zwielokrotnianie Utworów w całości lub części jakimikolwiek środkami i w jakiejkolwiek formie, w tym wprowadzanie, wyświetlanie, stosowanie, przekazywanie i przechowywanie x.xx. do systemu informatycznego, pamięci komputera, sieci komputerowych,
e) tłumaczenie, przystosowywanie, zmiana układu lub jakakolwiek inna zmiana w oprogramowaniu, w tym łączenie w jeden system z innymi programami,
f) modyfikowanie kodu źródłowego,
g) wykonywanie i zezwalanie na wykonywanie zależnych praw autorskich na wszystkich powyżej określonych polach eksploatacji.
6. Wykonawca, z chwilą udzielenia licencji o której mowa w ust. 1, w ramach wynagrodzenia określonego w § 8 Umowy, na Zamawiającego własność wszelkich nośników na których utrwalono Utwory celem przekazania do Zamawiającego i przekazanych do Zamawiającego.
7. W ramach licencji o której mowa w ust. 1 Wykonawca udziela Zamawiającemu prawo do wyrażania zezwoleń na wykonywanie praw zależnych do Utworów na wszystkich polach eksploatacji wskazanych w ust. 5 powyżej.
8. Wykonawcy nie przysługuje wynagrodzenie za każde odrębne pole eksploatacji.
9. Z chwilą przekazania Utworu, będącego programem komputerowym, do odbioru, Wykonawca każdorazowo przekaże Zamawiającemu kody źródłowe wraz z dokumentacją projektową, skrypty konfiguracyjne oraz wszelkie inne skrypty (np. budujące aplikację, instalacyjne, zasilające inicjalnie).
10. Na czas od dnia przekazania Utworów do dnia udzielenia licencji o której mowa w ust. 1 powyżej Wykonawca udziela Zamawiającemu w ramach wynagrodzenia określonego w § 8 Umowy licencji niewyłącznej, nieograniczonej terytorialnie, czasowej uprawniającej Zamawiającego do korzystania z Utworów na polach eksploatacji wskazanych w ust. 5 powyżej na potrzeby realizacji czynności odbiorczych Systemu wraz z prawem do produkcyjnego korzystania z Systemu do czasu podpisania Protokołu Odbioru Końcowego.
11. Wykonawca zobowiązuje się, że twórcy nie będą wykonywać względem Xxxxxxxxxxxxx swych autorskich praw osobistych.
12. Wykonawca ponosi odpowiedzialność cywilnoprawną za wady prawne Utworów powstałych w ramach wykonywania niniejszej Umowy, w szczególności w przypadku skierowania przeciwko Zamawiającemu roszczeń przez osoby trzecie z tytułu naruszenia przysługujących im autorskich praw majątkowych do utworów lub ich części.
13. Zamawiający niezwłocznie zawiadomi Wykonawcę o roszczeniu zgłoszonym przez osobę trzecią lub
o toczącym się postępowaniu sądowym, a także przekaże posiadaną dokumentację oraz informacje
o dodatkowych okolicznościach, które mogą być przydatne dla Wykonawcy lub o których wydanie zwróci się Wykonawca.
14. W przypadku zgłoszenia przeciwko Zamawiającemu roszczenia opisanego w ust. 13 powyżej, Wykonawca zobowiązuje się ponieść konsekwencje orzeczenia sądowego lub ostatecznego rozstrzygnięcia sprawy w sposób pozasądowy pod warunkiem uprzedniej akceptacji warunków przedmiotowego rozstrzygnięcia przez Wykonawcę i umożliwienia Wykonawcy udziału w postępowaniu.
15. Wykonawca oświadcza, że po podpisaniu Protokołu Odbioru Końcowego Zamawiający będzie posiadał w ramach udzielonej licencji, o której mowa w ust. 1 powyżej nieograniczone czasowo i terytorialnie prawo do korzystania z Systemu i jego modyfikacji niezależnie od liczby użytkowników wewnętrznych tj. pracowników Zamawiającego i zewnętrznych tj. nie będących pracownikami Zamawiającego i niezależnie od tego czy wykorzystane przez Wykonawcę komponenty są odpłatne, czy też dostarczone narzędzia są typu open source.
DALSZE POSTANOWIENIA
Siła Wyższa
§ 10.
1. Strona nie jest odpowiedzialna za niewykonanie lub nienależyte wykonanie swoich zobowiązań, jeżeli wykaże, że niewykonanie zostało spowodowane wydarzeniem będącym poza jej kontrolą, oraz że w chwili zawarcia Umowy niemożliwe było przewidzenie zdarzenia i jego skutków, które wpłynęły na zdolność Strony do wykonania Umowy, oraz że niemożliwe było uniknięcie samego wydarzenia lub przynajmniej jego skutków.
2. Przez pojęcie siły wyższej Strony rozumieją zdarzenie, którego nie można było przewidzieć przy zachowaniu staranności wymaganej w stosunkach kupieckich (art. 355 § 2 k.c.), które jest zewnętrzne zarówno w
stosunku do Wykonawcy, jak i Zamawiającego, zaistniałe niezależnie od woli Stron, na których zaistnienie Strony
nie miały żadnego wpływu i któremu nie mogły się przeciwstawić, jak np. wojna, atak terrorystyczny, pożar, powódź, epidemie, strajki.
3. Strona powołująca się na siłę wyższą powinna, pod rygorem bezskuteczności tego powołania się zawiadomić drugą Stronę na piśmie niezwłocznie, nie później niż w terminie 7 dni od zaistnienia zdarzenia stanowiącego przypadek sity wyższej pod rygorem utraty prawa powołania się na siłę wyższą oraz wykazać, że zachodzi bezpośredni związek przyczynowy, między wystąpieniem siły wyższej, a niewykonaniem zobowiązania wynikającego z umowy. Taki sam obowiązek ciąży na Stronie w przypadku ustania siły wyższej. Opóźnienie lub wadliwe wykonanie całości lub części Umowy z powodu siły wyższej, nie stanowi dla Strony dotkniętej siłą wyższą, naruszenia postanowień Umowy.
Rozwiązanie Umowy
§ 11.
1. Zamawiającemu przysługuje prawo wypowiedzenia Umowy ze skutkiem natychmiastowym jeżeli Wykonawca realizuje Przedmiot Umowy, o którym mowa w § 2 Umowy niezgodnie z jej postanowieniami lub rażąco nie wywiązuje się z pozostałych obowiązków określonych w Umowie, przy czym prawo do rozwiązania Umowy może zostać wykonane, jeżeli Zamawiający wezwał Wykonawcę do zaprzestania naruszeń i usunięcia skutków, wyznaczając mu w tym celu odpowiedni termin nie krótszy niż 7 dni kalendarzowych, a mimo upływu tego terminu Wykonawca nie zaprzestał naruszeń, ani nie usunął ich skutków.
2. Zamawiającemu przysługuje prawo natychmiastowego wypowiedzenia Xxxxx jeżeli Wykonawca nie rozpoczął świadczenia usługi, o której mowa w § 2 ust. 1 pkt 2 lit a) Umowy w terminie dwóch tygodni od podpisania Umowy, z przyczyn leżących po stronie Wykonawcy.
3. Zamawiającemu przysługuje prawo do rozwiązania Umowy na zasadach określonych w ustawie z dnia 28 lutego 2003 r. – Prawo upadłościowe (Dz.U. z 2019 r., poz. 498).
4. Zamawiającemu przysługuje prawo rozwiązania lub wypowiedzenia Umowy jeżeli łączna wysokość kar umownych naliczonych przez Zamawiającego z tytułu wskazanego w § 12 osiągnie 30% wartości brutto Umowy wskazanej w § 8 ust.1 Umowy.
5. Wykonawcy przysługuje prawo wypowiedzenia Umowy jedynie w przypadku, jeżeli Zamawiający pomimo dodatkowego wezwania nie wywiązuje się z obowiązku zapłaty faktury, wystawionej zgodnie z § 8 ust. 3 Umowy, w terminie 21 dni od daty dodatkowego wezwania do zapłaty.
6. Wypowiedzenie Umowy należy złożyć drugiej Stronie w formie pisemnej pod rygorem nieważności. Wypowiedzenie Xxxxx musi zawierać uzasadnienie.
7. Za dzień wypowiedzenia Xxxxx ze skutkiem natychmiastowym Strony uznają dzień doręczenia Wykonawcy wypowiedzenia na piśmie za pośrednictwem poczty lub osobiście na adres Wykonawcy. W przypadku nie doręczenia przez operatora pocztowego, dniem wypowiedzenia Umowy jest upływ terminu wskazanego w powtórnym zawiadomieniu o złożeniu przesyłki pocztowej u operatora pocztowego.
8. Rozwiązanie Umowy nie wyklucza dochodzenia kar umownych.
Niewykonanie lub nienależyte wykonanie Umowy
§ 12.
1. W przypadku niewykonania lub nienależytego wykonania przez Wykonawcę Umowy na skutek okoliczności, za które Wykonawca nie ponosi odpowiedzialności, Zamawiający udzieli Wykonawcy dodatkowego terminu na realizację przedmiotu Umowy. Wykonawca powołując się na okoliczności, o których mowa powyżej, przedstawi Zamawiającemu dokumenty potwierdzające ich wystąpienie oraz czas ich występowania.
2. W przypadku opóźnienia wykonania przez Wykonawcę przedmiotu Umowy, Zamawiającemu przysługuje prawo naliczenia kary umownej w wysokości 0,5% wartości zamówienia o której mowa w § 8 Umowy za każdy rozpoczęty dzień roboczy opóźnienia.
3. W przypadku opóźnienia Wykonawcy skutkującego niedotrzymaniem terminu odbioru o którym mowa w § 7 ust. 1 Zamawiający ma prawo naliczenia Wykonawcy kary umownej w wysokości 0,5% wartości zamówienia o której mowa w § 8 Umowy za każdy rozpoczęty dzień opóźnienia.
4. Za każdy przypadek opóźnienia w dostarczaniu produktów uwzględniających uwagi i zastrzeżenia Zamawiającego o którym mowa w § 7 pkt 4, Zamawiającemu przysługuje prawo do naliczenia kary umownej wynoszącej 300 zł (słownie: trzysta złotych 00/100) za każdy przypadek.
5. W przypadku stwierdzenia przez Zamawiającego, że zgłoszenie gotowości odbioru danego etapu było bezpodstawne, Zamawiający ma prawo naliczenia kar umownych zgodnie z ust. 8.
6. Łączna wysokość kar umownych naliczonych przez Zamawiającego nie może przekroczyć 30 % wartości brutto Umowy wskazanej w § 8 ust. 1 Umowy.
7. W przypadku naruszenia zasad poufności, o których mowa w § 17 Umowy Zamawiający ma prawo naliczenia Wykonawcy kary umownej w wysokości 10 000 zł (słownie: dziesięć tysięcy złotych 00/100) za każdy przypadek naruszenia.
8. W przypadku opóźnienia Wykonawcy skutkującego niedotrzymaniem terminów o których mowa w pkt. 5.5.5. Załącznika nr 1 do Umowy Zamawiający ma prawo naliczenia kary umownej wynoszącej 150 zł (słownie: sto pięćdziesiąt złotych 00/100) za każdą rozpoczętą godzinę roboczą opóźnienia w usunięciu Błędu krytycznego lub znalezienia obejścia i 50 zł (słownie: pięćdziesiąt złotych 00/100) za każdą rozpoczętą godzinę roboczą opóźnienia w usunięciu innego błędu.
9. Za każdy przypadek niewykonania lub nienależytego wykonania Umowy przez Wykonawcę Zamawiającemu przysługuje prawo do żądania zapłaty kary umownej w wysokości 5% kwoty wynagrodzenia brutto określonej w § 8 ust. 1 Umowy za każdy przypadek naruszenia postanowień Umowy.
10. W przypadku odstąpienia Zamawiającego od Umowy z przyczyn leżących po stronie Wykonawcy, Zamawiającemu przysługuje prawo żądania zapłaty kary umownej w wysokości 30% kwoty wynagrodzenia brutto, o którym mowa w § 8 ust. 1 Umowy.
11. Z zastrzeżeniem ust. 12 poniżej Wykonawca zapłaci karę umowną naliczoną na warunkach określonych powyżej najpóźniej w terminie 30 dni od otrzymania pisemnego wezwania do zapłaty, na rachunek Zamawiającego wskazany w wezwaniu.
12. Zamawiający ma prawo do potrącania kar umownych, z należnego Wykonawcy wynagrodzenia na podstawie noty obciążeniowej.
13. Jeżeli wskutek niewykonania lub nienależytego wykonania przedmiotu Umowy, w tym także wskutek opóźnienia, Zamawiający poniesie szkodę przewyższającą wysokość kary umownej, będzie on uprawniony do dochodzenia odszkodowania na zasadach ogólnych, uregulowanych w Kodeksie Cywilnym.
14. Wykonawca odpowiada wobec Zamawiającego za szkody powstałe na skutek niewykonania lub nienależytego wykonania Umowy, z wyłączeniem odpowiedzialności z tytułu utraconych korzyści, chyba że niewykonanie lub nienależyte wykonanie Umowy jest następstwem okoliczności, za które Wykonawca nie ponosi odpowiedzialności.
Zasady bezpieczeństwa
§ 13.
1. Wykonawca zobowiązuje się do niedołączania bez zgody Zamawiającego żadnych urządzeń własnych Wykonawcy (np. komputerów przenośnych) do środowiska teleinformatycznego Zamawiającego.
2. Wykonawca zobowiązuje się do uzyskania zgody Xxxxxxxxxxxxx na instalację nowego oprogramowania w środowisku teleinformatycznym Zamawiającego.
3. Wykonawca przyjmuje do wiadomości, że wszelkie prace wykonywane w środowisku teleinformatycznym Zamawiającego mogą być monitorowane.
4. W przypadku naruszenia którejkolwiek z zasad bezpieczeństwa opisanych w niniejszym paragrafie przez Wykonawcę, Zamawiającemu przysługuje prawo do naliczenia kary umownej w wysokości 20% łącznej kwoty wynagrodzenia brutto, o którym mowa w § 8 ust. 1 Umowy.
5. Wykonawca zobowiązuje się do przekazania Zamawiającemu w ciągu 3 Dni roboczych od dnia podpisania Umowy podpisane przez wszystkich pracowników oraz osoby trzecie biorące udział w realizacji Umowy po stronie Wykonawcy, oświadczenia o ochronie informacji, według wzoru, który określa Załącznik Nr 3 do Umowy.
POSTANOWIENIA KOŃCOWE
Rozstrzyganie sporów
§ 14.
1. Strony zobowiązują się rozwiązywać polubownie wszelkie spory, które mogą powstać w związku z Umową.
2. Spory wynikłe z Umowy będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.
Zmiany Umowy
§ 15.
1. Zamawiający przewiduje zmiany postanowień zawartej Umowy w stosunku do treści oferty, na podstawie której dokonano wyboru Wykonawcy, w wypadku wystąpienia jednej z następujących okoliczności:
a) w przypadku zmian stanu prawnego, które mają wpływ na treść zawartej Umowy,
b) w przypadku zmiany urzędowej stawki VAT przy czym zmianie ulegnie kwota podatku VAT i kwota brutto wynagrodzenia,
c) w przypadku, gdy nastąpi konieczność wprowadzenia zmian dotyczących terminu realizacji działań określonych w Umowie, które będą następstwem uzasadnionych, niezawinionych przez Wykonawcę przerw w realizacji Umowy na skutek: Siły Wyższej lub zmiany składu Zespołu Zamawiającego. Termin, o którym mowa w § 3 ust. 2 Umowy, może ulec wydłużeniu z przyczyn, o których mowa powyżej jednak
o okres nie dłuższy niż 1 miesiąc.
2. Wszystkie zmiany Umowy dokonywane są w formie pisemnej pod rygorem nieważności i muszą być podpisane przez upoważnionych przedstawicieli obu Stron.
Warunki Gwarancji
§ 16.
1. Wykonawca udziela 24-miesięcznej gwarancji na System i wszystkie Utwory dedykowane dla Zamawiającego wykonane w ramach Umowy. Okres obowiązywania gwarancji rozpoczyna swój bieg od dnia wdrożenia produkcyjnego potwierdzonego podpisanym Protokołem Odbioru Końcowego.
2. Zamawiający zobowiązuje się do niezwłocznego powiadamiania Wykonawcy o wszelkich wadach ujawnionych w Systemie.
3. Wszelkie koszty Wykonawcy związane z obsługą napraw gwarancyjnych ponosi Wykonawca.
4. Usługi gwarancyjne (w tym przyjmowanie zgłoszeń o wadach Systemu) będą świadczone w Dni robocze w godzinach 08:00-16:00 przez dedykowany do rejestracji zgłoszeń serwis Wykonawcy4. Wykonawca wskazuje dane kontaktowe do serwisu Wykonawcy:
a) e-mail: …………………………….
b) numer telefonu nr 1………………………
4 W przypadku, gdy Wykonawca nie będzie posiadał/mógł udostępnić serwisu zgłoszeniowego postanowienie zostanie usunięte.
5. Osobą wskazaną do kontaktów ze strony Wykonawcy przez okres objęty gwarancją, będzie osoba wskazana w § 4 Umowy.
6. W ramach gwarancji Wykonawca, po zatwierdzeniu przez Zamawiającego, będzie dokonywał aktualizacji (rozumianych jako aktualizacje w ramach eksploatacji systemu np. wersji używanych bibliotek) niezbędnych napraw, korekt i uzupełnień Systemu przywracających jego pełną funkcjonalność..
7. Wykonawca zobowiązuje się poinformować Zamawiającego o każdej zamianie numeru telefonu i adresu e-mail, na który będą zgłaszane wady Systemu, najpóźniej do końca dnia roboczego, w którym nastąpiła zmiana. W przypadku niedopełnienia tego obowiązku zgłoszenia dokonane w jeden ze sposobów opisanych w Umowie uważa się za skuteczne wobec Wykonawcy.
8. Modyfikacja Systemu wykonana przez Zamawiającego w okresie gwarancji nie skutkuje utratą przez niego gwarancji, jeżeli zakres modyfikacji został uprzednio uzgodniony i zaakceptowany przez Wykonawcę.
9. W ramach gwarancji Wykonawca zobowiązuje się usunąć błędy w Dokumentacji.
10. Okno serwisowe, w trakcie którego Wykonawca ma prawo wykonywać prace serwisowe na środowisku produkcyjnym zostaje określone od 18:00 do 07:00.
Poufność
§ 17.
1. Strony zobowiązują się nawzajem do utrzymania w tajemnicy i nie przekazywania osobom trzecim, w okresie obowiązywania Umowy, po jej rozwiązaniu lub po jej wygaśnięciu:
a) informacji związanych z działalnością Zamawiającego i Wykonawcy oraz wykonywaniem Umowy,
b) informacji lub danych uzyskanych w trakcie lub w związku z realizacją Umowy, bez względu na sposób i formę ich utrwalania lub przekazania, o ile informacje takie nie są powszechnie znane, bądź obowiązek ich ujawnienia nie wynika z obowiązujących przepisów, orzeczeń sądowych lub decyzji odpowiednich władz publicznych.
2. Strony ustalają, że wszelkie informacje uzyskane w związku z realizacją Umowy traktować będą jako poufne i żadna ze Stron nie będzie ich ujawniać osobom trzecim bez pisemnej zgody drugiej Strony Umowy oraz, że każda ze Stron będzie wykorzystywać je jedynie do realizacji zobowiązań wynikających z Umowy, chyba że są to informacje publicznie dostępne, a ich ujawnienie nie nastąpiło w wyniku naruszenia postanowień Umowy.
3. Strona niezwłocznie poinformuje drugą Stronę o ujawnieniu informacji poufnej, podmiocie, któremu informacje zostały ujawnione oraz zakresie ujawnienia informacji. Każda ze Xxxxx zobowiązuje się do przekazania drugiej Stronie kopii dokumentów związanych z ujawnieniem informacji, chyba, że będzie to naruszało przepisy prawa.
4. Wszelkie materiały i dokumenty, w tym dane osobowe, w których posiadanie Wykonawca wejdzie w związku z wykonywaniem przedmiotu Umowy, są i pozostaną własnością Zamawiającego. Wykonawca zwróci je Zamawiającemu nie później niż w momencie wykonania, rozwiązania lub wygaśnięcia Umowy.
5. Wszystkie dokumenty, które zostaną sporządzone przez Wykonawcę w związku z wykonywaniem Umowy, a także nośniki danych wykorzystane do sporządzenia dokumentów i ich kopii, zostaną przekazane Zamawiającemu nie później niż w dniu wykonania, rozwiązania lub wygaśnięcia Umowy. Wykonawca może zatrzymać kopie takich dokumentów, przy czym nie dotyczy to dokumentów zawierających wiadomości stanowiące tajemnicę ustawowo chronioną.
6. Xxxxxxx nie wolno bez uprzedniej pisemnej zgody drugiej Strony, ujawnić treści Umowy ani jakiejkolwiek specyfikacji lub informacji dostarczonej przez Xxxxxxxxxxxxx, lub na jego rzecz w związku z niniejszą Umową, jakiejkolwiek osobie trzeciej.
7. W razie wątpliwości, czy określona informacja stanowi tajemnicę drugiej Strony, zainteresowany zobowiązany jest zwrócić się w formie pisemnej do drugiej Strony o wyjaśnienie takiej wątpliwości.
8. Informacje poufne mogą być ujawniane na żądanie sądu, prokuratury, policji i innych organów w związku z ich uprawnieniami ustawowymi, przy czym Strona poinformuje drugą Stronę o takiej sytuacji.
Zasady Przetwarzania i Ochrony Danych Osobowych
§ 18.
Wykonawca i Xxxxxxxxxxx, wywiązując się ze swoich zobowiązań w ramach Umowy, będą przestrzegać właściwych przepisów dotyczących ochrony danych osobowych. W celu realizacji Umowy, UKNF powierza Wykonawcy przetwarzanie danych osobowych, na zasadach określonych w umowie powierzenia przetwarzania danych osobowych, stanowiącej Załącznik nr 6 do Umowy („Umowa Powierzenia”).
Inne postanowienia
§ 19.
1. W sprawach nieuregulowanych niniejszą Umową zastosowanie ma prawo polskie, w szczególności przepisy Kodeksu cywilnego oraz ustawy o prawie autorskim i prawach pokrewnych.
2. Wszelkie zmiany i uzupełnienia do Umowy wymagają formy pisemnej pod rygorem nieważności w drodze obustronnie podpisanych aneksów.
3. Wykonawca nie ma prawa do zamieszczania w listach referencyjnych oraz materiałach marketingowych informacji o realizacji prac na rzecz Zamawiającego bez wyraźnej zgody Zamawiającego.
§ 20.
Integralną część Umowy stanowią następujące Załączniki:
1. Załącznik nr 1 do Umowy: Opis przedmiotu zamówienia
2. Załącznik nr 2 do Umowy: Kopia Oferty Wykonawcy
3. Załącznik nr 3 do Umowy: Wzór oświadczenia o ochronie informacji
4. Załącznik nr 4 do Umowy: Wzór Protokołu Odbioru/ z wdrożenia produkcyjnego
5. Załącznik nr 5 do Umowy: Wzór Protokołu ze Wsparcia powdrożeniowego
6. Załącznik nr 6 do Umowy: Umowa powierzenia przetwarzania danych
................................................ ................................................
WYKONAWCA ZAMAWIAJĄCY
Załącznik nr 1 do Umowy: Opis przedmiotu zamówienia
Opis przedmiotu zamówienia
Przedmiotem Umowy jest dostawa i wdrożenie u Zamawiającego środowiska teleinformatycznego zgodnego z Dyrektywą PSD2, zwanego w dalszej części Sandbox Open API, na infrastrukturze Zamawiającego.
1. Słownik pojęć
1.1. Account Information Service (AIS) - Usługa dostępu do informacji o rachunku, zdefiniowana w art. 67 dyrektywy PSD2.
1.2. Account Servicing Payment Service Provider (ASPSP) - Dostawca prowadzący rachunek płatniczy i udostępniający interfejs XS2A dla TPP (zwykle bank).
1.3. Confirmation of the Availability of Funds (CAF) - Usługa potwierdzania dostępności na rachunku płatniczym płatnika kwoty niezbędnej do wykonania transakcji płatniczej, zdefiniowana w art. 65 dyrektywy PSD2.
1.4. eIDAS - (ang. Electronic Identification and Trust Services) – usługi zaufania oraz identyfikacji elektronicznej zgodne z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE
1.5. Fallback - mechanizm awaryjnego dostępu do Symulatora ASPSP w przypadku nieplanowanej niedostępności lub awarii interfejsu Open API. Fallback powinien umożliwić TPP (do momentu przywrócenia odpowiedniego poziomu dostępności i efektywności interfejsu Open API) korzystanie z interfejsu tradycyjnego udostępnionego użytkownikom usług płatniczych na potrzeby uwierzytelniania i komunikacji z Symulatorem ASPSP.
1.6. Interfejs XS2A - dostęp do rachunków płatniczych, wykorzystywany do wykonywania usług AIS, PIS, CAF oraz innych usług realizowanych poprzez Open API.
1.7. Open Application Programming Interface (Open API) - Otwarty programistyczny interfejs aplikacji umożliwiający dostęp do części zasobów oraz usług internetowych świadczonych przez ASPSP.
1.8. Payment Initiation Service (PIS) - Usługa inicjowania transakcji płatniczej, zdefiniowana w art. 66 dyrektywy PSD2.
1.9. Payment Services Directive (PSD2) - Dyrektywa 2007/64/WE Parlamentu Europejskiego i Rady 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (znowelizowana dyrektywa w sprawie usług płatniczych).
1.10. Payment Service User (PSU) - Użytkownik rachunku płatniczego, którego dotyczy dana transakcja płatnicza.
1.11. PolishAPI - standard opracowany pod auspicjami Związku Banków Polskich (ZBP), we współpracy z uczestnikami rynku, który definiuje interfejs API na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych użytkowników. Istotny element otwartej bankowości na rynku polskim.
1.12.Portal Administracyjny - Aplikacja webowa umożliwiająca publikowanie treści na Portalach Developera, zarządzanie użytkownikami TPP, zarządzanie komponentem Symulatora ASPSP, usługami API.
1.13.Portal Developera - Aplikacja webowa dla TPP mająca na celu udostępnienia dokumentacji Open API, możliwości generowania certyfikatów testowych.
1.14.Regulatory Technical Standards (RTS) PSD2 – Rozporządzenie Delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji.
1.15.Symulator ASPSP – wirtualny moduł „symulujący” zgodne z PSD2 (to jest: PIS, CAF i AIS) funkcjonalności usług bankowości internetowej, zapewniający jednocześnie możliwość konfiguracji w określonym zakresie danych testowych oraz symulowanych procesów. Na potrzeby środowiska testowego Symulator ASPSP nie będzie powiązany z żadnym z faktycznie działających na rynku banków.
1.16.Third Party Provider (TPP) - Podmiot korzystający z interfejsu XS2A na podstawie i w ramach zgód wyrażonych przez uprawnionego użytkownika. ASPSP może występować również jako TPP i korzystać z interfejsów wystawionych przez inne ASPSP. Na potrzeby niniejszego zapytania rozumiany również jako potencjalny TPP (działający na podstawie PSD2), który zgłosi potrzebę przetestowania usługi w środowisku testowym Zamawiającego.
2. Minimalne wymagania funkcjonalne.
Sanbox Open API powinien zapewnić minimalne, niżej wymienione funkcjonalności:
2.1. Portal Administracyjny:
2.1.1. Zarządzanie dostępami do środowiska w zakresie funkcjonalności przewidzianych w Portalach Administracyjnym i Dewelopera,
2.1.2. . Środowisko powinno obsługiwać jedną, wybraną wersję Open API wraz z możliwością wersjonowania API jako techniczna możliwość portalu.
2.1.3. Sandbox Open API powinien umożliwiać późniejszą integrację z zewnętrznymi bazami danych i aplikacjami,
2.1.4. Funkcjonalności monitorowania i analizowania dostępu do Symulatora ASPSP,
2.1.5. Dostęp do logów z wykonanych operacji w zakresie co najmniej: poprawne logowanie, nieudane próby logowania, pobrane raporty, wykonane operacje na danych, alerty,
2.1.6. Generowanie raportów dotyczących zdarzeń na środowisku, obejmujących co najmniej: raport niedostępności, timeoutów.
2.1.7. Dokumentacja użytkownika osadzona w portalu, zawierająca: instrukcja użytkownika, FAQ i instrukcja logowania w formacie PDF,
2.1.8. Dodawanie/usuwanie dokumentacji, której mowa w punkcie 2.1.7 powyżej w portalach developera i administracyjnym.
2.2. Portal Dewelopera:
2.2.1. Rejestracja TPP,
2.2.2. Generowanie certyfikatów testowych TPP dopuszczalne również jako wygenerowanie certyfikatów typu self-sign oraz zarejestrowanie ich przy użyciu metody /register.
2.2.3. Moduł zarządzania certyfikatami użytkowników dopuszczonych do prowadzenia testów, obejmujący co najmniej generowanie/odwoływanie certyfikatu,
2.2.4. Możliwość uwierzytelnienia za pomocą certyfikatu,
2.2.5. Wystawienie interfejsów PSD2 dla TPP w standardzie PolishAPI zgodnym z RTS PSD2 przy czym interfejsy Callback nie są wymagane (Sandbox może opcjonalnie wspierać inne standardy),
2.2.6. Symulacja obsługi procesu autoryzacji i zgód umożliwiające przejście przez TPP pełnego kompletu wywołań (wymagań/przypadków użycia),
2.2.7. Możliwość zaczytywania danych testowych,
2.2.8. Repozytorium dokumentów, w zakresie co najmniej bazy wiedzy i dokumentów w formacie pdf dostępnych dla użytkowników z poziomu portalu Dewelopera i zarządzanych przez Portal Administracyjny,
2.2.9. Modyfikowanie testowanych funkcjonalności, naprawę zidentyfikowanych błędów poprzez dostarczenie poprawek, zmianę wersji testowanego rozwiązania realizowane przez uprawnionego użytkownika,
2.2.10.Generowanie raportów, co najmniej raport zrealizowanych transakcji, raport odmów wraz z możliwością definiowania własnych raportów,
2.2.11.Dokumentacja użytkownika osadzona w portalu, co najmniej manual, FAQ i instrukcja logowania w formacie PDF.
2.3. Symulator banków:
2.3.1. Symulacja ASPSP w zakresie co najmniej 50 tys. zapytań usług PSD2 na dobę,
2.3.2. Separacja instancji umożliwiająca równoległe testowanie co najmniej 5 TPP/uczestników testów,
2.3.3. Umożliwia dostęp i możliwość testowania co najmniej jednej wersji Open API,
2.3.4. Funkcjonalność opcji Fallback nie jest wymagana.
3. Sandbox Open API powinien zapewnić:
3.1. Możliwość równoległego testowania przez co najmniej 5. odseparowanych użytkowników (TPP/Uczestników) w środowisku testowym.
3.2. Możliwość symulowania wybranych procesów banku umożliwiających przetestowanie funkcjonalności uwzględnionych w PSD2 (co najmniej CAF, PIS, AIS).
3.3. Realizację przez TPP/uczestników testów w przydzielonym środowisku, na podstawie wygenerowanych danych testowych, w zakresie symulowanych usług.
3.4. Generowanie danych testowych umożliwiające zasymulowanie środowisk ASPSP. Możliwość generowania co najmniej 100 rachunków testowych na każdego ASPSP. Rachunki testowe muszą umożliwiać przyjęcie salda dodatniego i ujemnego. Rachunki testowe tworzone w różnych walutach.
3.5. Możliwość nadawania wnioskującemu dostępu do środowiska po autoryzacji ze strony administratora platformy.
3.6. Mechanizm automatycznego resetowania dostępów w ramach nadanych uprawnień (co najmniej opcja „nie pamiętam hasła” dla wcześniej zautoryzowanego użytkownika).
3.7. Interfejs zapewniający uczestnikom testów dostęp do wygenerowanych testowo rachunków bankowych.
3.8. Obsługa uwierzytelniania w symulatorze ASPSP i obsługa udzielania (potwierdzania) przez symulowanego PSU zgód na rzecz uczestnika testów.
3.9. Zapis logów transakcyjnych w dedykowanej bazie logów zlokalizowanej w infrastrukturze i na zasobach IT Zamawiającego przy czym dopuszcza się również składowanie logów w filesystem serwera. W przypadku braku odpowiedniej bazy po stronie Zamawiającego, Xxxxxxxx dostarczy ją na koszt własny.
4. Wymagania opcjonalne.
4.1. Moduł weryfikacji certyfikatów oraz stanu licencji/wpisu do rejestru instytucji płatniczych TPP (walidator TPP) . Z uwagi na możliwość dopuszczenia do testów na dostarczonym środowisku podmiotów nie posiadających statusu TPP, walidator powinien posiadać zarządzaną przez administratora opcję jego wyłączenia oraz edycji bazy TPP.
4.2. Dostarczenie funkcjonalności interfejsów Callback.
5. Pozostałe wymagania.
Wykonawca zapewni o posiadaniu pełni praw do oferowanego oprogramowania oraz zobowiązuje się do udzielenia licencji Zamawiającemu zgodnie z zapisami § 9. Umowy.
5.1. Architektura rozwiązania:
5.1.1. Zarządzanie Sandbox Open API przy pomocy przeglądarki co najmniej chrome, firefox, plus mobilne w aktualnej wersji.
5.1.2. W ramach realizacji projektu Zamawiający, po weryfikacji wymagań technicznych, udostępni Wykonawcy środowisko wirtualne oparte na Vmware lub Red Hat Virtualization udostępniające nie mniej niż 20 corów jednak nie więcej niż 40 corów procesora (vCore), 120 GB jednak nie więcej niż 240 GB pamięci RAM (vRAM) oraz 1TB nie więcej niż 2 TB przestrzeni dyskowej. Zamawiający zapewni dostęp do instancji bazy SQL (Oracle lub MSQL) o standardowej wydajności.
5.1.3. Silnik bazy danych Oracle. Oprogramowanie Sandbox Open API instalowane na infrastrukturze własnej Zamawiającego.
5.1.4. Warstwa bazodanowa i aplikacyjna architektury Open API, po weryfikacji Zamawiającego, zlokalizowana na zasobach Zamawiającego.
5.1.5. Na wniosek Wykonawcy, Zamawiający może udostępnić inne elementy infrastruktury o ile: są w posiadaniu Zamawiającego, ich dodatkowe wykorzystanie nie wpłynie na wydajność i bezpieczeństwo innych elementów infrastruktury i systemów wykorzystywanych w chwili obecnej przez Zamawiającego, nie stoi w sprzeczności z planami Zamawiającego co do ich wykorzystania.
5.1.6. Pozostałe elementy konieczne do wdrożenia Sanbox Open API (zarówno po stronie sprzętowej, jak i software’owej) są po stronie Wykonawcy, a ich koszt zostanie zawarty w cenie rozwiązania.
5.2. Usługi wdrożeniowe:
5.2.1. Instalacja i konfigurację Sandbox Open API.
5.2.2. Wykonanie testów funkcjonalnych potwierdzających poprawność dostarczonego Systemu: Sandbox Open API.
5.2.3. Wsparcie w przeprowadzeniu testów akceptacyjnych Zamawiającego,
5.2.4. Przygotowanie dokumentacji i procedur obsługi dot. eksploatacji oraz administrowania
5.2.5. Sandbox Open API (w tym wykonania kopii zapasowych ustawień konfiguracyjnych oraz ich odtwarzania).
5.3. Dokumentacja powykonawcza:
5.3.1. Wykonawca wykona i przekaże uzgodnioną z Zamawiającym Dokumentację powykonawczą opracowaną w formie elektronicznej (w formacie edytowanym: MS Word i nieedytowanym: pdf) opatrzoną kwalifikowanym podpisem elektronicznym, na adres email wskazany w § 4 ust 1 lit. a Umowy. Zamawiający w uzasadnionych przypadkach jest uprawniony do żądania przekazania dokumentacji w wersji papierowej.
5.3.2. Dokumentacja powykonawcza będzie obejmować w szczególności:
5.3.2.1. opis zastosowanego oprogramowania wraz z numerami seryjnymi/oznaczeniem wersji oraz szczegółową konfiguracją oraz opis infrastruktury technicznej wdrożonego Sandbox Open API,
5.3.2.2. opis struktury i konfiguracji Sandbox Open API, w tym pliki konfiguracyjne, skrypty uruchomieniowe, skrypty zatrzymujące, skrypty kompilacji kodu,
5.3.2.3. zalecenia i procedury eksploatacyjne oraz zalecenia w zakresie konserwacji Sandbox Open API (w szczególności dotyczące przeglądania logów oraz wykonania kopii zapasowych ustawień konfiguracyjnych i ich odtwarzania).
5.3.2.4. Manuale administratorskie i użytkowe.
5.3.3. Wykonawca zapewnia o posiadaniu pełni praw do oferowanego oprogramowania oraz zobowiązuje się do udzielenia Zamawiającemu, nie później niż w dniu podpisania protokołu odbioru licencji na dalsze użytkowanie i rozwój Sandbox Open API.
5.4. Warsztaty szkoleniowe:
5.4.1. Wykonawca zapewni przeprowadzenie warsztatów szkoleniowych dla łącznie 8 pracowników Zamawiającego w zakresie zaawansowanej obsługi Sandbox Open API (w szczególności nadawania praw dostępu, zarządzania rolami, konfigurowania).
5.4.2. Warsztaty powinny trwać minimum 1 dzień.
5.4.3. Warsztaty szkoleniowe odbędą się w terminach uzgodnionych przez Xxxxxx, nie później jednak niż 14 dni roboczych od daty podpisania bezusterkowego Protokołu Odbioru Wdrożenia.
5.4.4. Warsztaty szkoleniowe będą prowadzone w języku polskim przez osoby będące trenerami wyznaczonymi przez producenta lub Wykonawcę oraz posiadające odpowiednie kwalifikacje i umiejętności.
5.4.5. W ramach warsztatów szkoleniowych Wykonawca zapewni materiały szkoleniowe dla każdego uczestnika adekwatnie do zakresu szkolenia w języku polskim.
5.4.6. Zamawiający wymaga przeprowadzenia warsztatów w siedzibie Zamawiającego. Xxxxxx ewentualnego zakwaterowania i przejazdu pokrywa Wykonawca.
5.4.7. Zakres tematyczny warsztatów szkoleniowych Strony uzgodnią w trybie roboczym.
5.5. Wymagania dla serwisu i wsparcia:
5.5.1. Zgłoszenia problemów technicznych będą przekazywane bezpośrednio do Wykonawcy.
5.5.2. Wykonawca zapewni bezpośredni kontakt w postaci adresu e-mail i nr. telefonu do wyznaczonych osób świadczących wsparcie Zamawiającemu.
5.5.3. Zamawiający wprowadza następującą kategoryzację zgłoszeń:
a) Błąd Krytyczny - błąd typu A, w wyniku którego: następuje zatrzymanie pracy Systemu na okres dłuższy niż 2 godziny; kluczowe funkcje Systemu określone w dokumentacji Systemu (przynajmniej jedna) są niedostępne i nie ma możliwości Obejścia Błędu; wydajność Systemu została obniżona o więcej niż 50% w stosunku do wymagań; System utracił dane na skutek wadliwego działania funkcjonalności dostarczonej przez Wykonawcę.
b) Błąd Ważny - błąd typu B, w wyniku którego: kluczowe funkcje Systemu określone w dokumentacji Systemu (przynajmniej jedna) są niedostępne, istnieje jednak możliwość Obejścia Błędu; ważne funkcje Systemu określone w dokumentacji Systemu (przynajmniej jedna) są niedostępne, istnieje jednak możliwość Obejścia Błędu; wydajność Systemu została obniżona o więcej niż 30% w stosunku do wymagań. Błąd Krytyczny po zastosowaniu Obejścia Błędu staje się Błędem Ważnym.
c) Błąd Inny - błąd typu C, który nie jest Błędem Krytycznym ani Błędem Ważnym
5.5.4. Wsparcie techniczne będzie świadczone przez Wykonawcę w języku polskim, w dni robocze (od poniedziałku do piątku) w godzinach: 09:00-17:00, z wyjątkiem dni ustawowo wolnych od pracy.
5.5.5. Czas reakcji i naprawy zgłoszeń liczony w godzinach roboczych przedstawia poniższa tabela:
Kategoria zgłoszenia | Czas reakcji | Czas obejścia | Czas naprawy |
Błąd Krytyczny | 2 godziny | 8 godzin | 24 godziny |
Błąd Ważny | 4 godziny | nie dotyczy | 36 godzin |
Błąd Inny | 4 godziny | nie dotyczy | 48 godzin |
5.5.6. Wsparcie musi być aktywne przez cały okres obowiązywania Umowy i uwzględniać:
a) obsługę i rozwiązywanie problemów technicznych zgłaszanych przez Zamawiającego, usuwanie zgłoszonych podatności bezpieczeństwa, dostęp do informacji o zidentyfikowanych podatnościach oraz poprawkach i aktualizacji oprogramowania,
b) aktualizację oprogramowania zgodnie z umową,
c) wdrażanie, po uzgodnieniu z Zamawiającym zmian w konfiguracji Open API, lub zapewnienie możliwości ich wdrożenia samodzielnie przez Zamawiającego, przy jednoczesnym zapewnieniu wsparcia Zamawiającemu we wdrożeniu nowych funkcjonalności lub ich modyfikacji w zakresie uprawnień Portalu Administracyjnego.
5.5.7. Wykonawca zapewni konsultacje techniczne związane z zakupionym produktem (telefoniczne lub poprzez sesję zdalną) w dni powszednie w godzinach 09:00-17:00 przez cały okres obowiązywania Umowy.
Załącznik nr 2 do Umowy: Kopia Oferty Wykonawcy
Załącznik nr 3 do Umowy: Oświadczenie o ochronie informacji
Oświadczenie o ochronie informacji
……………….., dnia ……. / ……… / ……………
1. Ja niżej podpisana/y zobowiązuję się do zachowania w tajemnicy wszelkich informacji, do których mam/będę miał/a dostęp w związku z wykonywaniem Umowy ………………………. z dnia
………………………….. r., zarówno w trakcie jej trwania, jak i po jej zakończeniu lub rozwiązaniu.
2. Zobowiązuję się do ścisłego przestrzegania przepisów prawa i regulacji wewnętrznych Zamawiającego, które wiążą się z ochroną danych osobowych, tajemnicą przedsiębiorstwa, infrastrukturą teleinformatyczną Urzędu Komisji Nadzoru Finansowego i innych tajemnic prawnie chronionych. Nie będę bez upoważnienia wykorzystywał/a pozyskanych informacji w celach niezwiązanych z wykonywaniem przedmiotowej Umowy niezależnie od formy przekazania tych informacji i ich źródła.
3. Zobowiązuję się do niekopiowania, niepowielania, nieutrwalania żadnych danych i informacji uzyskanych podczas realizacji Umowy.
4. Jestem świadoma/y, iż wszelkie moje działania w obszarze dostępu do ww. informacji mogą być monitorowane przez Zamawiającego i wyrażam na to zgodę.
5. Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższym oświadczeniem oznacza naruszenie warunków przedmiotowej Umowy i może być podstawą do jej przedwczesnego zakończenia i pociągnięcia mnie do odpowiedzialności karnej.
………………………………………… (imię i nazwisko)
…………………………………………..
(podpis czytelny)
Załącznik nr 4 do Umowy: Wzór Protokołu Odbioru/ z wdrożenia produkcyjnego
Warszawa, dnia r.
PROTOKÓŁ ODBIORU/Z WDROŻENIA PRODUKCYJNEGO5 (częściowy/końcowy)6 | |||
Rodzaj usługi: | |||
Zgodnie z Umową nr ………………….. zawartą w dniu ............................................ z firmą …………………………………….. | |||
Opis zakresu zrealizowanych Usług | Uwagi | ||
□ Zamawiający nie wnosi zastrzeżeń co do zakresu, jakości i terminowości wykonanych prac. □ Zamawiający wnosi następujące zastrzeżenia: Lista załączników: 1. 2. □ Zamawiający oświadcza, że przeprowadził testy i odebrał zmodyfikowaną dokumentację oraz dokumentację zmiany (o ile dotyczy)7 | |||
[Imię i nazwisko osoby upoważnionej] …………………………………………………….. (data i podpis za Zamawiającego) | [Imię i nazwisko osoby upoważnionej] …………………………………………………….. (data i podpis za Wykonawcę) |
5 Niepotrzebne skreślić
6 Niepotrzebne skreślić. Jeśli jest to ostatni protokół w ramach danej Umowy, powinno być zaznaczone (ostateczna).
7 Niepotrzebne skreślić.
Załącznik nr 5 do Umowy: Wzór Protokołu ze Wsparcia powdrożeniowego
Warszawa, dnia r.
PROTOKÓŁ ODBIORU USŁUGI WSPARCIA (ostateczny/częściowy)8 | ||
Zgodnie z Umową nr………………….. zawartą w dniu ........................................... z firmą ……………………………….. | Usługa serwisowa za okres: | |
Od: | Do: | |
Na jakiej podstawie podpisywany jest protokół odbioru9: Lista załączników: 1. 2. 3. | ||
□ Zamawiający nie wnosi zastrzeżeń co do zakresu, jakości i terminowości wykonanych prac. □ Zamawiający wnosi następujące zastrzeżenia: | ||
□ Zamawiający nie wnosi roszczeń z tytułu kar umownych □ Zamawiający pomniejsza należną kwotę za usługi serwisowe o kwotę… wynikającą z tytułu kar umownych, zgodnie z opisem w Załączniku nr … do protokołu. | ||
[Imię i nazwisko osoby upoważnionej] …………………………………………………….. (data i podpis za Zamawiającego) | [Imię i nazwisko osoby upoważnionej] …………………………………………………….. (data i podpis za Wykonawcę) |
8 Niepotrzebne skreślić. Jeśli jest to ostatni protokół w ramach danej Umowy, powinno być zaznaczone (ostateczna). 9 Stały zapis z Umowy, może to być raport z wykonanych zgłoszeń, raport z przeprowadzonego audytu, wyniki testów itp.
Załącznik nr 6 do Umowy: Wzór umowy o powierzeniu przetwarzania danych
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
DO UMOWY [PROJEKT]
zawarta w dniu w Warszawie („Umowa Powierzenia”), pomiędzy:
Urzędem Komisji Nadzoru Finansowego, z siedzibą w Warszawie (00-549), przy ul. Pięknej 20, zwanym dalej
„Administratorem” lub „UKNF” reprezentowanym przez:
a
....................................... (nazwa Wykonawcy), z siedzibą w .................................. przy ul ; wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy pod
numerem ……………........, posiadający REGON…………….… i nadany NIP ,
zwaną dalej „Przetwarzającym”, reprezentowaną zgodnie z odpisem z rejestru (i na podstawie udzielonego pełnomocnictwa) przez:
...................................... - ...................................................
albo
…………………… prowadzącym/ą działalność gospodarczą pod firmą ……………………, z siedzibą w
……………….. przy ul , wpisanym/ą do Centralnej Ewidencji i Informacji o Działalności
Gospodarczej, posiadającym/ą numer identyfikacyjny REGON ……………, NIP ……………, zwanym/ą dalej
„Przetwarzającym”
Administrator i Przetwarzający mogą być dalej zwani indywidualnie jako „Strona”, a łącznie jako „Strony”. ZWAŻYWSZY, ŻE:
A. w dniu pomiędzy Urzędem Komisji Nadzoru Finansowego z siedzibą w Warszawie jako
Zamawiającym a Przetwarzającym została zawarta umowa nr ………………..(„Umowa Zasadnicza”), której przedmiotem jest x.xx… , zgodnie z Opisem przedmiotu zamówienia
stanowiącym Załącznik nr do Umowy;
B. Urząd Komisji Nadzoru Finansowego jest administratorem danych osobowych, których przetwarzanie na zasadach określonych w niniejszej Umowie Powierzenia jest niezbędne do prawidłowego świadczenia Usług przez Przetwarzającego.
Strony postanawiają, co następuje:
Oświadczenia Stron
§ 1
1. Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016 r. Nr 119, str. 1) („RODO”) w związku z zawarciem Umowy Zasadniczej.
2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7) RODO, tj. podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
3. Przetwarzający oświadcza, że dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie Umowy Powierzenia, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
4. Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8) RODO w ramach Umowy Powierzenia, co oznacza, że będzie przetwarzał dane osobowe w imieniu Administratora w zakresie i na warunkach określonych niniejszą Umową Powierzenia.
5. Przetwarzający oświadcza, że przetwarzanie powierzonych mu danych osobowych będzie odbywało się wyłącznie w siedzibie Administratora lub innych lokalizacjach wskazanych przez Administratora.
6. Administrator na pisemny wniosek Przetwarzającego może wyrazić zgodę na przetwarzanie przez Przetwarzającego powierzonych mu danych osobowych w siedzibie Administratora (adres ….) i/lub miejscu/ach prowadzenia działalności Przetwarzającego (adres/y …). Wyrażenie zgody następuje w formie pisemnej.
Przedmiot Umowy Powierzenia
§ 2
1. Administrator powierza Przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania w zakresie niezbędnym do realizacji Umowy Zasadniczej, na zasadach i w celu określonym w Umowie Powierzenia.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z prawem i Umową Powierzenia.
Zakres i cel przetwarzania
§ 3
1. Przetwarzający może przetwarzać powierzone dane osobowe wyłącznie w celu i w zakresie realizacji Umowy Zasadniczej, przewidzianym w Umowie Powierzenia.
2. Celem powierzenia przetwarzania danych osobowych jest ………………… § Umowy
Zasadniczej.
3. Zakres powierzonych Przetwarzającemu danych osobowych obejmuje następujące kategorie osób, których dane dotyczą: (do uzupełnienia na etapie podpisywania Umowy)
4. Zakres przetwarzanych przez Przetwarzającego danych osobowych na podstawie Umowy Powierzenia obejmuje następujące dane osobowe:
- imię i nazwisko;
- adres e-mail;
- nr telefonu.
5. Charakter powierzonego przetwarzania danych osobowych stanowią operacje lub zestawy operacji wykonywanych na danych osobowych przez Przetwarzającego do celów wskazanych w §3 ust. 2 Umowy
Powierzenia, tj. .………..(do uzupełnienia na etapie podpisywania Umowy, przykładowo: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ograniczanie, usuwanie lub niszczenie). Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej.
6. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą elektroniczną lub na piśmie, w tym na podstawie niniejszej Umowy Powierzenia lub Umowy Zasadniczej.
7. Przy przetwarzaniu powierzonych danych osobowych, Przetwarzający zobowiązuje się przestrzegać zasad wskazanych w niniejszej Umowie Powierzenia, RODO oraz innych przepisach prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Obowiązki Przetwarzającego
§ 4
1. Przetwarzający jest obowiązany wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zgodnie z art. 32, w związku z art. 28 ust. 3 lit. c RODO, w szczególności Przetwarzający zobowiązany jest zagwarantować:
a) przetwarzanie powierzonych danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zabraniem przez osobę nieuprawnioną, zniszczeniem lub uszkodzeniem;
b) zapewnić, aby każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do powierzonych na podstawie Umowy Powierzenia danych osobowych, przetwarzała je wyłączenie w celach i zakresie przewidzianym w Umowie Powierzenia, na podstawie stosownego upoważnienia; Przetwarzający zobowiązuje się prowadzić listę ww. osób upoważnionych i udostępnić ja na żądanie Administratora;
c) w związku z przekazaniem Administratorowi listy osób, które ze strony Przetwarzającego będą świadczyć usługi w ramach Umowy Zasadniczej, Przetwarzający zobowiązuje się do przekazania ww. osobom klauzuli informacyjnej określonej w Załączniku nr ….. do Umowy Zasadniczej;
d) prowadzenie dokumentacji w zakresie ochrony danych osobowych, spełniającej wymagania dla środków organizacyjnych i technicznych, o której mowa w art. 24 ust. 2 RODO;
e) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w tym rejestru kategorii czynności przetwarzania danych osobowych (art. 30 ust. 2 RODO). Przetwarzający udostępnia na żądanie Administratora prowadzony rejestr.
2. Przetwarzający zobowiązuje się nie wykorzystywać powierzonych danych osobowych w celach innych niż wyraźnie wskazane w Umowie Powierzenia lub na korzyść osób trzecich. Przetwarzający zobowiązuje się ponadto, w tym również po ustaniu Umowy Powierzenia, nie ujawniać osobom nieupoważnionym informacji o powierzonych danych osobowych, zwłaszcza o środkach ich ochrony i zabezpieczeniach danych osobowych stosowanych przez niego lub Administratora.
3. Przetwarzający zobowiązuje się nie wykonywać kopii żadnych danych Administratora, w szczególności danych osobowych, z wyjątkiem danych niezbędnych dla wykonania Umowy Powierzenia w zakresie uzgodnionym z Administratorem.
4. Przetwarzający zapewnia, aby osoby mające dostęp do powierzonych danych osobowych zachowały je oraz sposoby ich zabezpieczeń w tajemnicy, zarówno w okresie obowiązywania Umowy Powierzenia, jak i po jej rozwiązaniu (po ustaniu zatrudnienia u Przetwarzającego). W tym celu Przetwarzający dopuści do przetwarzania danych tylko te osoby, które podpisały zobowiązanie do zachowania w tajemnicy danych osobowych oaz sposobów ich zabezpieczenia. Osoby upoważnione są zobowiązane także do
zachowania tajemnic prawnie chronionych w zakresie, w jakim powierzone dane osobowe są chronione ww. tajemnicami.
5. Przetwarzający zapewnia, aby osoby mające dostęp do powierzonych danych osobowych zostały przeszkolone pod kątem ochrony danych osobowych, a w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a ponadto zasad dostępu do danych osobowych, ustalonych na podstawie Umowy.
6. Przetwarzający jest zobowiązany do ograniczenia dostępu do powierzonych danych osobowych wyłącznie do osób, których dostęp jest konieczny dla realizacji Umowy Zasadniczej i posiadających odpowiednie upoważnienie.
7. Przekazanie powierzonych danych do państwa trzeciego, tj. państwa spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W sytuacji, gdy Przetwarzający poweźmie zamiar lub będzie zobowiązany do dokonania transferu do państwa trzeciego lub organizacji międzynarodowej, jest zobowiązany poinformować o tym fakcie Administratora w celu umożliwienia podjęcia Administratorowi niezbędnych działań gwarantujących zgodność przetwarzania z prawem bądź podjęcia decyzji o zakończeniu współpracy w zakresie powierzenia przetwarzania danych osobowych.
Dalsze obowiązki Przetwarzającego
§ 5
1. Przetwarzający zobowiązuje się do pomocy Administratorowi przy wykonywaniu przez Administratora obowiązków określonych w art. 32-36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące przypadków naruszenia ochrony danych osobowych. Przetwarzający ma obowiązek:
a) przekazania Administratorowi informacji dotyczących podejrzenia naruszenia ochrony danych osobowych w terminie 24 godzin od jego wykrycia oraz umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających;
b) wyznaczenia osób odpowiedzialnych za podjęcie kroków w celu zaradzenia naruszeniu i podjęcia działań naprawczych w uzgodnieniu z Administratorem;
c) niezwłocznego podania będących w posiadaniu Przetwarzającego informacji niezbędnych do:
i. zawiadomienia organu nadzorczego, o których mowa w art. 33 ust. 3 RODO;
ii. zawiadomienia osoby, której dane dotyczą, o których mowa w art. 34 ust. 4 RODO.
2. W miarę możliwości Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w rozdziale III RODO oraz wywiązywania się z innych obowiązków określonych w przepisach dotyczących ochrony danych osobowych.
3. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
4. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez urząd nadzorujący ochronę danych osobowych.
5. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy Powierzenia, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do treści i zgodności z prawem poleceń Administratora.
Dalsze powierzenie przetwarzania danych osobowych
§ 6
1. Przetwarzający pod warunkiem uzyskania uprzedniej zgody Administratora lub braku sprzeciwu Administratora, na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, może powierzyć konkretne operacje przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.
2. Załącznik nr 1, stanowiący integralną część Umowy Powierzenia, określa listę dalszych podmiotów przetwarzających zgłoszonych przez Przetwarzającego i zaakceptowanych przez Administratora.
3. Administrator w każdym czasie, posiadając uzasadnione podstawy, może zgłosić udokumentowany sprzeciw wobec przetwarzania danych osobowych przez dalsze podmioty przetwarzające, określone w Załączniku nr 1 do Umowy Powierzenia. W takim przypadku Przetwarzający jest zobowiązany niezwłocznie zakończyć powierzanie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, których sprzeciw dotyczy.
4. Powierzenie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, którzy nie zostali określeni w Załączniku nr 1 do Umowy Powierzenia, wymaga ich uprzedniego zgłoszenia Administratorowi w celu umożliwienia zgłoszenia sprzeciwu. Zgłoszenie zawiera informacje o tożsamości (nazwie, adresie siedziby lub imieniu, nazwisku oraz adresie) podmiotu, któremu Przetwarzający ma zamiar powierzyć przetwarzanie danych osobowych, a także o charakterze podpowierzenia, zakresie danych i czasie trwania podpowierzenia. O ile Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia. W przypadku udokumentowanego, uzasadnionego sprzeciwu Administratora Przetwarzający nie ma prawa dokonać powierzenia przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.
Postanowienia ust. 2 – 4 powyżej mają zastosowanie, wyłącznie gdy na chwilę zawarcia umowy Przetwarzający zgłosi Administratorowi dalsze podmioty przetwarzające. W przeciwnym razie zastosowanie będą miały następujące postanowienia:
2. Jeżeli Przetwarzający zamierza podpowierzyć przetwarzanie danych osobowych dalszym podmiotom, to musi uprzednio poinformować Administratora o zamiarze podpowierzenia oraz o tożsamości (nazwie, adresie siedziby lub imieniu, nazwisku oraz adresie) podmiotu, któremu ma zamiar powierzyć przetwarzanie danych osobowych, a także o charakterze podpowierzenia, zakresie danych i czasie trwania podpowierzenia. O ile Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia.
3. Administrator w każdym czasie, posiadając uzasadnione podstawy, może zgłosić udokumentowany sprzeciw wobec przetwarzania danych osobowych przez dalsze podmioty przetwarzające, o którym mowa w ust. 2 powyżej. W takim przypadku Przetwarzający jest zobowiązany niezwłocznie zakończyć powierzanie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, których sprzeciw dotyczy.
4. Przetwarzający prowadzi wykaz podwykonawców, którym zostało powierzone przetwarzanie danych osobowych zgodnie z ust. 2. Przetwarzający zapewnia bieżącą aktualizację wykazu, a także przekazuje zaktualizowany wykaz Administratorowi, na każde jego żądanie.
Powyższe zapisy pozostają do wyboru/uzupełnienia na etapie podpisania Umowy.
5. Przetwarzający ma obowiązek zobowiązać, na podstawie pisemnej umowy, dalszy podmiot przetwarzający, aby ten przestrzegał wszystkich obowiązków, jakie zostały nałożone na Przetwarzającego w Umowie Powierzenia.
6. Przetwarzający zapewni, aby dalszy podmiot przetwarzający, któremu podpowierzono przetwarzanie danych osobowych, stosował co najmniej równorzędny poziom ochrony danych osobowych co Przetwarzający.
7. Jeżeli podwykonawcy (dalsze podmioty przetwarzające), którym Przetwarzający podpowierzył przetwarzanie danych osobowych nie wywiążą się ze spoczywających na nich obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tych dalszych podmiotów przetwarzających spoczywa na Przetwarzającym.
Prawo kontroli
§ 7
1. Administrator lub podmiot przez niego upoważniony ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy Powierzenia i RODO, w szczególności Administrator udostępnia Przetwarzającemu wszelkie informacje niezbędne do wykazania zgodności działania Przetwarzającego z Umową Powierzenia oraz przepisami RODO oraz umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenie audytów, inspekcji i kontroli w miejscach, w których przetwarzane są dane osobowe.
2. Pisemne zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Przetwarzającemu co najmniej na 5 dni kalendarzowych przed dniem rozpoczęcia kontroli lub audytu. Administrator realizować będzie prawo kontroli w godzinach pracy Przetwarzającego.
3. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Przetwarzającego zobowiązań wynikających z przepisów prawa o ochronie danych osobowych, w tym RODO lub z Umowy Powierzenia, Przetwarzający umożliwi Administratorowi lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli lub audytu, w zakresie, o którym mowa w ust. 1 powyżej.
4. W ramach kontroli lub audytu, Administrator lub podmiot przez niego upoważniony ma x.xx. prawo do:
a) wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe;
b) żądania złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego;
c) wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
d) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania powierzonych danych osobowych.
5. W przypadku stwierdzenia w toku kontroli lub audytu uchybień w odniesieniu do sposobu i zakresu przetwarzania danych osobowych przez Przetwarzającego, Administrator lub podmiot przez niego upoważniony wydaje zalecenia w celu zapewnienia zgodności przetwarzania powierzonych danych z RODO, Umową Powierzenia, przepisami o ochronie danych osobowych. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora, nie dłuższym niż 5 dni roboczych.
6. Przetwarzający zobowiąże podmioty, o których mowa w § 6 do umożliwienia dokonania przez Administratora kontroli lub audytu, o których mowa w ust. 1 powyżej oraz do zastosowania się do zaleceń sporządzonych w wyniku kontroli lub audytu – w celu zapewnienia zgodności przetwarzania danych osobowych z RODO, Umową Powierzenia i innymi przepisami o ochronie danych osobowych.
7. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 5 dni.
8. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu postanowienie stanowi naruszenie RODO lub innych przepisów o ochronie
danych osobowych, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
Czas obowiązywania Umowy Powierzenia
§ 8
1. Umowa Powierzenia wchodzi w życie w dniu jej zawarcia.
2. Umowa Powierzenia zostaje zawarta na czas obowiązywania Umowy Zasadniczej oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy Powierzenia.
Zakończenie powierzenia przetwarzania
§ 9
1. Po zakończeniu świadczenia usług związanych z przetwarzaniem, Przetwarzający zaprzestaje przetwarzania powierzonych danych osobowych oraz zależnie od decyzji Administratora, usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie ze wszystkich nośników będących w posiadaniu Przetwarzającego oraz podmiotów, o których mowa w § 6, niezwłocznie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Przetwarzający informuje Administratora o usunięciu wszelkich istniejących kopii danych osobowych.
2. Administrator informuje Przetwarzającego o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych w formie pisemnej, przed planowanym terminem zakończenia świadczenia usług związanych z przetwarzaniem.
3. Zwrot bądź usuniecie powierzonych do przetwarzania danych osobowych zostanie potwierdzone, na żądanie Administratora, stosownym protokołem.
Warunki wypowiedzenia powierzenia przetwarzania danych osobowych
§ 10
1. Umowa powierzenia może zostać wypowiedziana przez Administratora ze skutkiem natychmiastowym bez zachowania terminu wypowiedzenia w przypadku, gdy Umowa zasadnicza, zostanie rozwiązana przez którąkolwiek ze Stron z przyczyn i w terminie określonym w Umowie zasadniczej.
2. Umowa powierzenia może zostać wypowiedziana za 7 dniowym okresem wypowiedzenia w przypadku, gdy:
a) kontrola PUODO wykaże, że Przetwarzający nie podjął środków zabezpieczających, o których mowa w RODO;
b) Przetwarzający dopuszcza się zwłoki w dotrzymaniu terminu, określonego w zaleceniach pokontrolnych, o których mowa w niniejszej Umowie powierzenia;
c) Przetwarzający dalej powierzył przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody Administratora.
3. Administrator może rozwiązać Umowę powierzenia z Przetwarzającym ze skutkiem natychmiastowym z winy Przetwarzającego w przypadku, gdy:
a) Przetwarzający wykorzystał powierzone mu dane osobowe w celu, zakresie i w sposób niezgodny z Umową powierzenia lub Umową zasadniczą, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego;
b) Zostanie wszczęte postępowanie sądowe przeciw Przetwarzającemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
Postanowienia końcowe
§ 11
1. Przetwarzający ponosi odpowiedzialność wobec Administratora lub osób trzecich za szkody powstałe w związku z nieprzestrzeganiem przepisów RODO, jak również za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z Umową Powierzenia.
2. W sprawach nieuregulowanych Umową Powierzenia mają zastosowanie przepisy RODO oraz przepisy prawa polskiego, w tym ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t. j. Dz.U. z 2019 r. poz. 1145, ze zm.).
3. Wszelkie zmiany Umowy Powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy Powierzenia będzie sąd właściwy dla Administratora.
5. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Załącznik nr 1 – Lista zgłoszonych i zaakceptowanych przez Administratora dalszych podmiotów przetwarzających (o ile ma Przetwarzający zgłosi administratorowi dalsze podmioty przetwarzające na etapie zawierania umowy).
Z upoważnienia Administratora: W imieniu Przetwarzającego:
………………………………… ………………………………
Załącznik nr 7 do Umowy: Klauzula informacyjna
Klauzula informacyjna dla osób wskazanych przez Wykonawcę w związku z realizacją Umowy z Urzędem Komisji Nadzoru Finansowego
Zgodnie z art. 14 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”, informujemy, że:
1. Administratorem Pani/Pana danych osobowych jest Urząd Komisji Nadzoru Finansowego („UKNF”) z siedzibą w Warszawie (00-549) przy ul. Pięknej 20. Z administratorem można się kontaktować pisemnie, kierując korespondencję na adres: xx. Xxxxxx 00, xxx. xxxxx. xx 000, 00-000 Xxxxxxxx lub pocztą elektroniczną na adres: xxx@xxx.xxx.xx.
2. Administrator zapewnia kontakt z inspektorem ochrony danych („IOD”) za pośrednictwem poczty elektronicznej pod adresem: xxx@xxx.xxx.xx lub drogą pocztową na adres korespondencyjny administratora. Dane IOD znajdują się na stronie internetowej pod adresem: xxxxx://xxx.xxx.xxx.xx/x_xxx/xxxxx_xxxxxxx/xxxx_xxxxxxxxxxxx.
3. Administrator będzie przetwarzać pozyskane dane w celu realizacji prawnie uzasadnionego interesu administratora opisanego w pkt 4 poniżej – przez okres trwania umowy z Wykonawcą, a następnie do czasu upływu terminów przedawnienia roszczeń lub do momentu wygaśnięcia obowiązku przechowywania danych wynikającego z przepisów prawa.
4. Podstawą przetwarzania Pani/Pana danych osobowych jest art. 6 ust. 1 lit f) RODO, tj. prawnie uzasadniony interes administratora, którym jest realizacja przedmiotu umowy, a po zakończeniu umowy niezbędność do ustalania, dochodzenia lub obrony przed ewentualnymi roszczeniami.
5. Pani/Pana dane osobowe administrator pozyskał od Wykonawcy, który wskazał Panią/Pana jako osoby kontaktowe i osoby nadzorujące.
6. Administrator będzie przetwarzał następujące kategorie danych osobowych: dane identyfikujące (imię i nazwisko) oraz dane teleadresowe (adres e-mail, numer telefonu).
7. Odbiorcami Pani/Pana danych osobowych mogą być podmioty upoważnione na podstawie przepisów prawa.
8. Administrator nie planuje przekazywać Pani/Pana danych osobowych odbiorcom spoza Europejskiego Obszaru Gospodarczego, czyli do państw trzecich.
9. Ma Pani/Pan prawo: dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych z przyczyn związanych z Pani/Pana szczególną sytuacją.
10. W przypadku gdy uzna Pani/Pan, że przetwarzanie danych osobowych narusza przepisy prawa, przysługuje Pani/Panu prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
11. Dane osobowe Pani/Pana nie będą wykorzystywane do podejmowania zautomatyzowanych decyzji w indywidualnych przypadkach, w tym do profilowania.