ZAPROSZENIE DO ZŁOŻENIA OFERTY (SOR.271.9.2022)

Chełmża, dn. 22.04.2022 r.

ZAPROSZENIE DO ZŁOŻENIA OFERTY

(SOR.271.9.2022)

Gmina Miasta Chełmży zaprasza do złożenia oferty na wykonanie zadania pod nazwą:

„Audyt cyberbezpieczeństwa w projekcie Cyfrowa Gmina w ramach Działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia”¹

Zamawiający:

Gmina Miasta Xxxxxxx

00-000 Xxxxxxx

xx. Xxxxxxx 0

tel. 00 000 00 00

fax: 00 000 00 00

e-mail: xx@xxxxxxx.xx

xxxxx://xxx.xxx.xxxxxxx.xx/

1. Przedmiot zamówienia:

1. Przeprowadzenie audytu cyberbezpieczeństwa w ramach projektu „Cyfrowa Gmina”
    w Urzędzie Miasta w Chełmży (w dokumentacji projektu określanego jako „diagnoza cyberbezpieczeństwa”) zgodnie z zakresem oraz formularzem stanowiącym załącznik nr 8 do Regulaminu Konkursu Grantowego Cyfrowa Gmina zakończonego raportem dostępnym na stronach Centrum Projektów Polska Cyfrowa [xxxxx://xxx.xxx.xx/xxx/xxxx/xxxxxxx-xxxxx].

2. Szczegółowy zakres przedmiotu zamówienia zawiera formularz informacji związanych
   z przeprowadzeniem diagnozy cyberbezpieczeństwa stanowiący załącznik nr 8 konkursu grantowego załączony do niniejszego Zaproszenia do złożenia oferty.

3. Kod CPV - 728100001 Usługi audytu komputerowego

2. Wymagany termin realizacji zamówienia:

Wykonawca jest zobowiązany wykonać zamówienie nie później niż w terminie 4 tygodni od dnia zawarcia umowy.

3. O udzielenie niniejszego zamówienia mogą ubiegać się wykonawcy, którzy spełniają warunki, dotyczące:

posiadanych uprawnień do wykonywania określonej działalności:

1) Audyt musi zostać przeprowadzony przez osobę posiadająca minimum jedno uprawnienie wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu w rozumieniu art. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wykaz certyfikatów wskazanych w w/w rozporządzeniu znajduje się poniżej:

1. Certified Internal Auditor (CIA)

2. Certified Information System Auditor (CISA)

3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób

4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób

5. Certified Information Security Manager (CISM)

6. Certified in Risk and Information Systems Control (CRISC)

7. Certified in the Governance of Enterprise IT (CGEIT)

8. Certified Information Systems Security Professional (CISSP)

9. Systems Security Certified Practitioner (SSCP)

10. Certified Reliability Professional

11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert

posiadanej wiedzy i doświadczenia:

2) Zamawiający wymaga, aby Wykonawca wykazał że przeprowadził minimum 1 audyt

w ramach programu Cyfrowa Gmina lub zrealizował co najmniej 1 audyty cyberbezpieczeństwa

w jednostkach administracji publicznej z zakresu KRI i/lub CERT w ostatnich 3 latach przed

złożeniem oferty. Wykonawcy, którzy nie wykażą spełnienia warunków udziału w postępowaniu podlegać będą wykluczeniu z udziału w postępowaniu. Ofertę wykonawcy wykluczonego uznaje się za odrzuconą.

4. W celu potwierdzenia wymaganych wyżej warunków wraz z ofertą należy dostarczyć:

a) dokumenty potwierdzające wymagane kwalifikacje do przeprowadzenia audytu

b) dowody określające czy świadczone usługi audytu, mające na celu wykazanie spełnienia przez Wykonawcę warunków udziału w postępowaniu, zostały wykonane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów - oświadczenie wykonawcy. Wykonawca ponosi wszelkie koszty związane z przygotowaniem i złożeniem oferty.

6. Przy wyborze oferty Zamawiający będzie kierował się kryterium najniższej ceny brutto.

Kryterium nr 1 – Cena brutto: będzie rozpatrywana na podstawie ceny brutto za wykonanie przedmiotu zamówienia, podanej przez Wykonawcę w Formularzu Oferty.

Wykonawca kalkuluje cenę ryczałtową na podstawie niniejszego Zapytania Ofertowego wraz z załącznikami. W wycenie oferty należy uwzględnić wszystkie niezbędne elementy i przewidywane koszty związane z realizacją zadania. Wykonawca ponosi wyłączną odpowiedzialność za zbadanie z należytą starannością i uzyskanie informacji w odniesieniu do przedmiotu zamówienia wszelkich warunków oraz zobowiązań, które w jakikolwiek sposób mogą wpłynąć na wartość lub charakter oferty lub na wykonanie zamówienia.

Każda oferta poddana ocenie otrzyma zaokrągloną do dwóch miejsc po przecinku liczbę punktów wynikającą ze wzoru:

P_(x) =C_min/C_x×100, gdzie:

P_(x) – liczba punktów otrzymanych przez ofertę „x”

C_min – najniższa cena spośród wszystkich ważnych i nieodrzuconych ofert

C_x – cena podana w badanej ofercie badanej „x”

Maksymalna liczba punktów, jaką może uzyskać Wykonawca i być przyznana ofercie: 100,00.

Obliczając punktację dla poszczególnych ofert, Zamawiający zastosuje zaokrąglenie do dwóch miejsc po przecinku. Za najkorzystniejszą uznana zostanie oferta, która uzyska najwyższą łączną liczbę punktów przyznaną wg wzoru wskazanego powyżej

W przypadku, gdy nie da się wyłonić oferty najkorzystniejszej ze względu na to, że minimum dwie oferty mają równą liczbę punktów, Zamawiający zastosuje właściwą procedurę określoną w art. 248 ustawy Pzp.

7. Wykonawca złoży ofertę na adres Zamawiającego wraz z oznaczeniem „Oferta na Audyt cyberbezpieczeństwa” na formularzu ofertowym stanowiącym załącznik nr 1 lub prześle na nr faksu: 56 675 21 22 lub na pocztę elektroniczną wpisując w tytule wiadomości „Oferta na Audyt cyberbezpieczeństwa”: xxxxxxxxxx@xx.xxxxxxx.xx

• W przypadku dostarczenia oferty w oryginale do siedziby Zamawiającego, za termin złożenia oferty przyjmuje się datę i godzinę wpływu oferty do Urzędu Miasta w Chełmży

• Za datę przekazania oferty, wniosków, zawiadomień, dokumentów elektronicznych, oświadczeń lub elektronicznych kopii dokumentów lub oświadczeń oraz innych informacji przyjmuje się datę ich skutecznego przesłania na wskazany w pkt 7 adres e-mail. Dopuszcza się złożenie oferty za pośrednictwem poczty elektronicznej w postaci:

  • czytelnego skanu podpisanego dokumentu lub

  • elektronicznej, podpisanej: kwalifikowanym podpisem elektronicznym lub podpisem osobistym lub podpisem zaufanym pod rygorem nieważności.

• Formularz ofertowy oraz załączniki muszą być podpisane przez osobę/y składającą/ce Ofertę. Do Oferty należy dostarczyć pełnomocnictwo do podpisania oferty, o ile prawo do podpisania oferty nie wynika z innych dokumentów złożonych wraz z ofertą lub ogólnodostępnych baz/ rejestrów. Treść pełnomocnictwa powinna jednoznacznie określać czynności, co do wykonywania, których pełnomocnik jest upoważniony.

8. Termin składania ofert upływa dnia 04.05.2022 r. o godz. 10.00

9. Zamawiający udzieli zamówienia Wykonawcy, którego oferta zostanie uznana za najkorzystniejszą.

10. Zamawiający zastrzega sobie prawo unieważnienia postępowania bez podania

przyczyny.

11. Podstawy wykluczenia: Zamawiający wykluczy z postępowania Wykonawców, wobec których zachodzą podstawy wykluczenia, o których mowa w art. 7 ust. 1 w związku z art. 7 ust. 9 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. z 2022 r. poz. 835).

12. Termin związania ofertą wynosi 30 dni. bieg terminu związania z ofertą rozpoczyna się wraz z upływem terminu składania ofert.

13. Załączniki do ogłoszenia:

1) Formularz ofertowy

2) Projekt umowy z załącznikami

3) Umowa powierzenia danych osobowych do przetwarzania

4) Formularz informacji związanych z przeprowadzeniem diagnozy cyberbezpieczeństwa

Zastrzega się, że niniejsze zaproszenie do złożenia oferty nie stanowi zobowiązania do udzielenia zamówienia.

KLAUZULA INFORMACYJNA

udzielanie zamówień publicznych w oparciu o ustawę Prawo zamówień publicznych

Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku przetwarzaniem danych osobowych

i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych, informujemy, że:

1. Administratorem Państwa danych osobowych będzie Burmistrz Miasta Chełmży. Można się z nim kontaktować w następujący sposób:

1) listownie na adres: Urząd Miasta Chełmży, xx. Xxx. X. Xxxxxxx 0, 00-000 Xxxxxxx;

2) przez e-mail: xx@xxxxxxx.xx ,

3) telefonicznie: 566392330,

Do kontaktów w sprawie ochrony Państwa danych osobowych został także powołany inspektor ochrony danych, z którym można się kontaktować wysyłając e-mail na adres xxxx@xx.xxxxxxx.xx

2. Państwa dane osobowe przetwarzane będą na podstawie:

1) art. 6 ust. 1 lit c), art. 9 ust. 2 lit. g) i art. 10 RODO, w związku z ustawą z dnia 11 września 2019 r. Prawo zamówień publicznych i regulaminem udzielania zamówień publicznych w celu realizacji obowiązku prawnego ciążącego na administratorze tj. udzielenia zamówienia publicznego,

2) art. 6 ust. 1 lit b) RODO, w związku z ustawą z dnia 11 września 2019 r. Prawo zamówień publicznych regulaminem udzielania zamówień publicznych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą tj. zawarcie odpłatnej umowy zawieranej między zamawiającym a wykonawcą, której przedmiotem jest usługa, dostawa lub robota budowlana (też umowa o podwykonawstwo),

3) art. 6 ust. 1 lit a RODO na podstawie zgody. Zgoda jest wymagana, gdy uprawnienie do przetwarzania danych osobowych nie wynika wprost z przepisów prawa, a Państwo przekażą administratorowi
z własnej inicjatywy więcej danych niż jest to konieczne dla załatwienia swojej sprawy (tzw. działanie wyraźnie potwierdzające) np. podanie nr telefonu, adresu e-mail i inne.

3. Państwa dane osobowe możemy ujawniać, przekazywać i udostępniać wyłącznie podmiotom uprawnionym na podstawie obowiązujących przepisów prawa są nimi x.xx. wykonawcy, podmioty świadczące usługi pocztowe, bankowe, telekomunikacyjne oraz inne podmioty, gdy wystąpią z takim żądaniem oczywiście w oparciu o stosowną podstawę prawną. Pracownikom oraz współpracownikom administratora.

Państwa dane osobowe możemy także przekazywać podmiotom, które przetwarzają je na zlecenie administratora tzw. podmiotom przetwarzającym, są nimi x.xx. podmioty świadczące usługi informatyczne
i inne, jednakże przekazanie Państwa danych nastąpić może tylko wtedy, gdy zapewnią one odpowiednią ochronę Państwa praw.

4. Państwa dane osobowe przetwarzane będą do czasu istnienia podstawy do ich przetwarzania, w tym również przez okres przewidziany w przepisach dotyczących przechowywania i archiwizacji dokumentacji i tak:

1) przez okres 5 lat od dnia zakończenia postępowania o udzielenie zamówienia publicznego,

2) jeżeli czas trwania umowy przekracza 4 lata, przez czas trwania umowy, do czasu przedawnienia roszczeń,

3) w zakresie danych, gdzie wyraziliście Państwo zgodę na ich przetwarzanie, do czasu cofnięcie zgody, nie dłużej jednak niż do czasu wskazanego w pkt 1.

5. W związku z przetwarzaniem danych osobowych przez Administratora mają Państwo prawo do:

1) dostępu do treści danych, jednakże, jeżeli spełnienie obowiązku prawa dostępu do danych osobie, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu,

2) sprostowania danych,

3) usunięcia danych, jeżeli:

a) wycofają zgodę na przetwarzanie danych osobowych,

b) dane osobowe przestaną być niezbędne do celów, dla których zostały zebrane lub dla których były przetwarzane,

c) dane są przetwarzane niezgodnie z prawem.

4) ograniczenia przetwarzania danych, jeżeli:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych,

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,

d) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. Wystąpienie osoby z żądaniem ograniczenia przetwarzania danych nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.

5) cofnięcia zgody w dowolnym momencie. Cofnięcie zgody nie wpływa na przetwarzanie danych dokonywane przez administratora przed jej cofnięciem.

6. Podanie Państwa danych:

1) jest wymogiem ustawy na podstawie, których działa administrator. Jeżeli odmówią Państwo podania swoich danych lub przekażą nieprawidłowe dane, administrator nie będzie mógł zrealizować celu do jakiego zobowiązują go przepisy prawa,

2) jest wymogiem umowy, jeżeli nie przekażą Państwo nam swoich danych osobowych nie będziemy mogli podpisać i realizować z Państwem zawarcia umowy,

3) jest dobrowolne w zakresie zgody, która może być cofnięta w dowolnym momencie.

7. Przysługuje Państwu także skarga do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych - Warszawa ul. Stawki 2, gdy uznają Państwo, iż przetwarzanie swoich danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

8. Dane nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym również w formie profilowania

9.Administrator nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowych.

Załącznik nr 1

(pieczęć adresowa lub dane adresowe Wykonawcy)

FORMULARZ OFERTOWY

Zamawiający:

Gmina Miasta Chełmża,

xx. xxx. X. Xxxxxxx 0

00-000 Xxxxxxx

W odpowiedzi na zapytanie ofertowe dotyczące postępowania o udzielenie zamówienia publicznego prowadzonego w oparciu o art. 2 ust. 1 pkt 1 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych na:

wykonanie zadania pod nazwą: „Audyt cyberbezpieczeństwa w projekcie Cyfrowa Gmina w ramach Działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia”

oferujemy wykonanie przedmiotu zamówienia zgodnie z wymogami określonymi w przedmiotowym zapytaniu ofertowym za cenę:

Cena ofertowa netto (w zł):
- słownie złotych:
Obowiązujący podatek VAT:	stawka (%):		kwota (w zł):
Cena ofertowa brutto (w zł)
- słownie złotych:

Oświadczamy, iż jesteśmy związaniu niniejszą ofertą przez (ilość dni):	30 dni
Termin realizacji zamówienia:	4 tygodnie od dnia zawarcia umowy

Oświadczamy, iż:
- spełniam (spełniamy) wszystkie warunki udziału w postępowaniu określone przez zamawiającego w prowadzonym postępowaniu i/ lub nie podlegam (nie podlegamy) wykluczeniu z niniejszego postępowania
- uzyskaliśmy wszelkie niezbędne informacje do przygotowania oferty i wykonania zamówienia
- zapoznaliśmy się z postanowieniami zawartymi we wzorze umowy i nie wnoszę do nich żadnych zastrzeżeń. W przypadku wyboru naszej oferty zobowiązujemy się do podpisania umowy w miejscu i czasie określonym przez Xxxxxxxxxxxxx.
- posiadamy uprawnienia do wykonywania działalności objętej przedmiotem zamówienia oraz dysponujemy potencjałem technicznym i osobowym umożliwiającym realizację zamówienia
- jako osoba prowadząca działalność gospodarczą lub jako osoba upoważniona do reprezentowania spółki (należy wybrać/ zaznaczyć właściwe)	☐	jestem/ jest zarejestrowanym czynnym podatnikiem podatku VAT
	☐	nie jestem/ nie jest zarejestrowanym czynnym podatnikiem podatku VAT
- oświadczam, że mam prawo dysponować towarem i rozliczę podatek od towarów i usług VAT, nie posiadam żadnych zaległych zobowiązań w stosunku do Skarbu Państwa, które uniemożliwiłyby zapłatę podatku od towarów i usług VAT*
- wyrażamy zgodę na dokonywanie wszelkich rozliczeń za pośrednictwem mechanizmu podzielonej płatności (Zapłata należności z faktury nastąpi przelewem na bankowy rachunek rozliczeniowy Wykonawcy widniejący w elektronicznym wykazie podatników VAT (tzw. „białej liście” - xxxxx://xxx.xxxxxxx.xxx.xx/xxxxx-xxxxxxxxxx-xxx-xxxxxxxxxxxx ))
- Oświadczam, że wszystkie informacje podane w powyższych oświadczeniach są aktualne i zgodne z prawdą oraz zostały przedstawione z pełną świadomością konsekwencji wprowadzenia zamawiającego w błąd przy przedstawianiu informacji.

Nazwa Wykonawcy:

Adres Wykonawcy:

NIP:

REGON:

Xxxxx, na który Zamawiający powinien przesyłać ewentualną korespondencję:

Osoba wyznaczona do kontaktów

z Zamawiającym:

Numer telefonu:

Adres e-mail:

Numer rachunku bankowego (opcjonalnie)

Załączniki:

1

2

3

(miejscowość i data) (podpis i/lub pieczątka osoby upoważnionej)

Załącznik nr 2

Projekt umowy

Umowa Nr …/2022

zawarta w dniu 2022 r. w Chełmży,

pomiędzy:

Gminą Miasta Chełmży, ul. Hallera 2, 87-140 Chełmża, NIP 879 25 82 481, REGON 871118690 zwaną dalej ZAMAWIAJĄCYM, reprezentowaną przez:

1. Xxxxxxx Xxxxxxxxxxxxx - Xxxxxxxxxx Xxxxxx Xxxxxxx

przy kontrasygnacie Xxxxxxxx Xxxxx - Skarbnika Miasta

a

reprezentowaną przez:

1………………………. - ……………………..zwaną w dalszej części umowy „Wykonawcą”

§ 1

Wykonawca zgodnie ze złożoną ofertą zobowiązuje się do przeprowadzenia audytu cyberbezpieczeństwa w ramach projektu „Cyfrowa Gmina” w Urzędzie Miasta w Chełmży (w dokumentacji projektu określanego jako „diagnoza cyberbezpieczeństwa”) zgodnie z zakresem oraz formularzem stanowiącym załącznik nr 8 do Regulaminu Konkursu Grantowego „Cyfrowa Gmina”.

§2

1. Wykonawca zobowiązuje się do wykonania przedmiotu umowy w terminie:

4 tygodni od dnia zawarcia umowy, tj. do dnia ………..

2. Wykonawca oświadcza, że:
   1) spełnia warunki, o których mowa w art. 15 ust. 2 ustawy z dnia 5 lipca 2018 r. o
   krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r., poz. 1369, z późn. zm.);
   2) posiada zasoby organizacyjne i techniczne konieczne do wykonania Audytu;
   3) przeprowadzi Audyt z zachowaniem należytej staranności i profesjonalizmu wynikających z zawodowego charakteru prowadzonej działalności;
   4) przeprowadzi Audyt w ścisłej współpracy z Zamawiającym;
   5) wykonane w ramach Audytu prace, materiały i informacje oraz wykorzystywane przez niego oprogramowanie nie naruszają praw licencyjnych i praw osób trzecich, a w szczególności prawa autorskiego i praw pokrewnych;
   6) ponosi odpowiedzialność za działania i zaniechania osób, którymi posłużył się przy wykonywaniu umowy, jak za własne działania i zaniechania;
   7) Audyt zostanie przeprowadzony w sposób bezstronny i konsekwentny;
   8) podczas przeprowadzanego Audytu nie zostanie zmieniona konfiguracja urządzeń Zamawiającego oraz nie zostanie wywarty wpływ na ich funkcjonowanie;
   9) zgodnie z jego wiedzą nie zostało wobec niego wszczęte, ani nie toczy się, postępowanie upadłościowe lub restrukturyzacyjne.

§3

1. Prawidłowość wykonania umowy wymaga potwierdzenia Zamawiającego w formie podpisania protokołu odbioru.

2. Protokół odbioru zostanie sporządzony najpóźniej do dnia …………….….. r

3. Zamawiający podpisze protokół odbioru albo zgłosi zastrzeżenia do Dokumentu w terminie 14 dni od dnia złożenia mu Dokumentu przez Wykonawcę.

4. W terminie 7 dni od zgłoszenia zastrzeżeń Wykonawca uwzględni je lub złoży uzasadnione wyjaśnienia do zastrzeżeń. Zamawiający podpisze protokół odbioru uwzględniający zastrzeżenia lub zawierający rozbieżności między zastrzeżeniami Zamawiającego a wyjaśnieniami Wykonawcy.

5. Podpisanie protokołu nie wyłącza praw Zamawiającego do dochodzenia roszczeń
   z tytułu nienależytego wykonania umowy, w szczególności w przypadku wykrycia wad Audytu przez Zamawiającego po dokonaniu odbioru.

6. Podstawą do podpisania protokołu odbioru będzie przekazanie Zamawiającemu całej dokumentacji z przeprowadzonego audytu.

§4

Ustala się wynagrodzenie ryczałtowe dla Wykonawcy zgodnie ze złożoną ofertą w wysokości:

zł netto plus obowiązujący podatek VAT w wysokości % tj zł. Kwota brutto za

przedmiot zamówienia wynosi zł (słownie: ).

§5

1. Należność za wykonanie przedmiotu umowy będzie opłacona przez Zamawiającego w ciągu 14 dni od dnia protokolarnego potwierdzenia prawidłowego jej wykonania przez osoby uprawnione i po przedłożeniu faktury.

2. Wykonawca jest zobowiązany do wystawienia i dostarczenia faktury VAT, która zawierać będzie następujące dane:

Nabywca: Gmina Miasta Chełmży, ul. Hallera 2, 87-140 Chełmża, NIP 879 25 82 481,

Odbiorca: Urząd Miasta Chełmży, xx. Xxxxxxx 0, 00-000 Xxxxxxx

3. Zamawiający dopuszcza złożenie faktur VAT przez Wykonawcę w formie:

a) Papierowej

b) elektronicznej (w postaci e-faktury sporządzonej według zasad uregulowanych w ustawie o VAT w formacie pliku PDF, zawierającej wszystkie elementy ustawowo wymagane, zgodnie z art. 106e ustawy o VAT).

c) elektronicznej (w postaci e-faktury sporządzonej według zasad uregulowanych w ustawie o VAT w formacie pliku PDF, zawierającej wszystkie elementy ustawowo wymagane, zgodnie z art. 106e ustawy o VAT).

4. Wykonawca:

a) będzie przesyłał / nie będzie przesyłał faktury oraz inne dokumenty ustrukturyzowane poprzez PEF lub

b) będzie przesyłał / nie będzie przesyłał faktury w formie elektronicznej (w nieedytowalnym formacie pliku PDF) na adres: xxxxxxx@xx.xxxxxxx.xx .

5. Zamawiający informuje, że identyfikatorem PEPPOL/ adresem PEF Zamawiającego, który pozwoli na złożenie ustrukturyzowanej faktury elektronicznej jest numer NIP: 000-00-00-000.

6. Wypłata należności wynikającej z wystawionej przez Wykonawcę faktury, nastąpi na konto Wykonawcy w terminie określonym w ust. 1 licząc od:

a) daty złożenia prawidłowo wystawionej faktury VAT wraz z protokołem odbioru (podpisanym przez uprawnionych przedstawicieli Wykonawcy i Zamawiającego) w siedzibie Zamawiającego lub

b) daty odebrania prawidłowo wystawionej ustrukturyzowanej faktury elektronicznej za pośrednictwem PEF wraz z złożeniem w siedzibie Zamawiającego protokołu odbioru (podpisanego przez uprawnionych przedstawicieli Wykonawcy i Zamawiającego).

c) daty odebrania przez Zamawiającego faktury elektronicznej przesłanej przez Wykonawcę z adresu e-mail: ………………………….. (należy wypełnić, jeśli dotyczy) na adres: xxxxxxx@xx.xxxxxxx.xx . Warunkiem zapłaty wynagrodzenia jest złożenie przez Wykonawcę protokołu odbioru w siedzibie Zamawiającego.

7. Ustrukturyzowana faktura elektroniczna (w przypadku wyboru tej formy dokumentu) winna składać się z danych wymaganych przepisami Ustawy o podatku od towarów i usług oraz m. in. danych zawierających informację dotyczące odbiorcy płatności, wskazanie umowy zamówienia publicznego. W przypadku wskazania przez Wykonawcę deklaracji przekazania faktury w formie, o której mowa w ust. 4 lit. b, akceptuje się wystawianie, przesyłanie przez Wykonawcę faktury VAT (jak również ich korekt i duplikatów) w formie elektronicznej, w związku z art. 106n ustawy z dania 11 marca 2004 r. o podatku od towarów i usług.

8. W przypadku przedstawienia przez Wykonawcę faktury VAT zawierającej błędy, niezgodnej z dokumentami rozliczeniowymi, niezawierającej wymaganych dokumentów, Zamawiający ma prawo zwrócić fakturę bez realizacji.

9. Wynagrodzenie płatne będzie przelewem na wskazany przez Wykonawcę rachunek bankowy. Za datę zapłaty uważa się dzień obciążenia rachunku bankowego Zamawiającego.

10. Wykonawca oświadcza, że numer rachunku rozliczeniowego wskazany we wszystkich fakturach, które będą wystawione w jego imieniu, jest rachunkiem/ nie jest rachunkiem, dla którego, zgodnie z Rozdziałem 3a ustawy z dnia 29 sierpnia 1997 r. – Prawo Bankowe (Dz. U. z 2021 r. poz. 2439 z późn. zm.) prowadzony jest rachunek VAT. Oświadczenie Wykonawcy, o którym mowa w zdaniu poprzednim stanowi załącznik do Umowy.

11. Numer rachunku rozliczeniowego wskazany przez Wykonawcę, o którym mowa w ust. poprzedzającym jest rachunkiem, dla którego zgodnie z Rozdziałem 31 ustawy z dnia 29 sierpnia 199r r. – Prawo Bankowe (Dz. U. z 2021 r. poz. 2439 z późn. zm.) prowadzony jest rachunek VAT:

1. Zamawiający na podstawie Ustawy z dnia 15 grudnia 2017 r. o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz. U. z 2019 r. poz. 1751, 2200) wprowadza mechanizm podzielonej płatności (Split Payment) dla wystawionych przez Wykonawcę faktur. Zamawiający oświadcza, że będzie realizować płatności za faktury z zastosowaniem mechanizmu podzielonej płatności tzw. Split Payment.

2. Podzieloną płatność tzw. split payment stosuje się wyłącznie przy płatnościach bezgotówkowych, realizowanych za pośrednictwem polecenia przelewu lub polecenia zapłaty dla czynnych podatników VAT. Mechanizm podzielonej płatności nie będzie wykorzystywany do zapłaty za czynności lub zdarzenia pozostające poza zakresem VAT (np. zapłata odszkodowania), a także za świadczenia zwolnione z VAT, opodatkowane stawką 0%.

12. Zamawiający informuję, iż dla wszystkich płatności wynikających z otrzymywanych faktur ze wskazanym podatkiem VAT, otrzymanych od Wykonawcy będącego dostawcą towarów lub świadczeniodawcą usług zastosuje mechanizm podzielonej płatności. Wykonawca natomiast wyraża zgodę na dokonywanie przez Zamawiającego płatności w systemie podzielonej płatności, tzw. Split Payment.

13. Wykonawca zobowiązuje się nie dokonywać cesji wierzytelności oraz innych jakichkolwiek praw lub obowiązków wynikających z niniejszej Umowy bez zgody Zamawiającego.

14. Cesja dokonana z naruszeniem ustępu powyżej jest nieważna.

§ 5a

1. Wykonawca na moment zawarcia Umowy jest zarejestrowanym czynnym podatnikiem podatku VAT.

2. W przypadku wykreślenia Wykonawcy z rejestru podatników VAT czynnych, jest on obowiązany niezwłocznie zawiadomić Zamawiającego i z tytułu świadczonych usług wystawiać rachunki.

3. W przypadku naruszenia powyższego zobowiązania Wykonawca zobowiązuje się do zapłaty na rzecz Zamawiającego kary umownej w wysokości stanowiącej równowartość podatku VAT, w stosunku do której Zamawiający utracił prawo do odliczenia, powiększonej o odsetki zapłacone do Urzędu Skarbowego.

4. Wykonawca wyraża zgodę na potrącenie przez Xxxxxxxxxxxxx wyżej wymienionej kwoty z należnego mu wynagrodzenia.

5. Wykonawca zobowiązuje się w przypadku ponownego wpisania go do rejestru podatników VAT czynnych, niezwłocznie zawiadomić o tym fakcie Zamawiającego, pod rygorem odpowiedzialności za szkody (utracone korzyści) powstałe w wyniku zaniedbania tego obowiązku.

6. Oświadczenie Wykonawcy dotyczące jego statusu podatnika podatku VAT stanowi załącznik do Umowy.

LUB

1. Wykonawca na moment zawarcia Umowy nie jest zarejestrowanym czynnym podatnikiem podatku VAT.

2. Wykonawca zobowiązuje się w przypadku wpisania go do rejestru podatników VAT czynnych, niezwłocznie zawiadomić o tym fakcie Zamawiającego, pod rygorem odpowiedzialności za szkody (utracone korzyści) powstałe w wyniku zaniedbania tego obowiązku.

3. W przypadku naruszenia powyższego zobowiązania Wykonawca zobowiązuje się do zapłaty na rzecz Zamawiającego kary umownej w wysokości stanowiącej równowartość podatku VAT, w stosunku do której Zamawiający utracił prawo do odliczenia, powiększonej o odsetki zapłacone do Urzędu Skarbowego.

4. Wykonawca wyraża zgodę na potrącenie przez Xxxxxxxxxxxxx ww. kwoty z należnego mu wynagrodzenia.

5. Oświadczenie Wykonawcy dotyczące jego statusu podatnika podatku VAT stanowi załącznik do Umowy.

§6

Wykonawca zapłaci Zamawiającemu karę umowną:

1. w przypadku niedotrzymania terminu zakończenia prac określonego w § 3 w wysokości 1 % wynagrodzenia umownego brutto za każdy dzień opóźnienia;

2. za odstąpienie od umowy przez Zamawiającego lub Wykonawcę z przyczyn, za które ponosi odpowiedzialność Wykonawca w wysokości 10 % wynagrodzenia umownego brutto;

§7

1. Zamawiający przewiduje możliwość dokonania następujących zmian postanowień zawartej umowy w stosunku do treści oferty:

1) Terminu wykonania zadania w następujących przypadkach:

1. W przypadku wystąpienia okoliczności niezależnych zarówno od Zamawiającego jak i od Wykonawcy uniemożliwiających terminowe wykonanie zamówienia,

2. Z powodu okoliczności siły wyższej, np. wystąpienia zdarzenia losowego wywołanego przez czynniki zewnętrzne, którego nie można było przewidzieć, w szczególności zagrażającego bezpośrednio życiu lub zdrowiu lub grożącego powstaniem szkody w

znacznych rozmiarach.

2. Gdy nastąpi zmiana stawki podatku VAT przez władzę ustawodawczą w trakcie trwania umowy, wynikającej ze zmiany ustawy o podatku od towarów i usług oraz podatku akcyzowego.

3. Gdy nastąpi zmiana przepisów prawnych mających wpływ na realizacje umowy, w szczególności na jej zakres, termin.

4. Gdy nastąpi zmiana formy organizacyjno - prawnej lub siedziby Wykonawcy.

5. Zmiana postanowień zawartej umowy może nastąpić wyłącznie za zgodą obu stron, wyrażoną w formie pisemnego aneksu - pod rygorem nieważności

§8

1. W przypadku konieczności powierzenia Wykonawcy danych osobowych przez Zamawiającego wymagane jest wcześniejsze podpisanie umowy powierzenia danych osobowych zgodnie z obowiązującym w Urzędzie wzorem (załącznik nr 3).

2. Zamawiający potwierdza, że działając jako administrator danych osobowych, jest uprawniony do przetwarzania oraz udostępnienia Wykonawcy danych osobowych w zakresie niezbędnym do wykonania niniejszej Umowy i realizacji prawnie usprawiedliwionych celów realizowanych przez Strony, a Wykonawca potwierdza, że w wyniku udostepnienia ww. danych osobowych staje się ich administratorem i jest zobowiązany do ich przetwarzania zgodnie z obowiązującymi przepisami prawa, w tym w szczególności z przepisami ustawy z dnia 10.05.2019 r. o ochronie danych osobowych oraz przepisami Rozporządzenia Parlamentu Europejskiego i Rady (EU) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych).

3. Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich danych i informacji, niezależnie od formy w jakiej zostaną przekazane, dotyczących Zamawiającego, których ujawnienie stanowiłoby naruszenie przepisów prawa lub mogłoby narazić Zamawiającego na szkodę, pod rygorem poniesienia odpowiedzialności, w tym odszkodowawczej. Powyższe zobowiązanie nie jest ograniczone w czasie.

4. W dniu podpisania przez Xxxxxxxxxxxxx protokołu odbioru, Wykonawca zaprzestanie przetwarzania danych osobowych oraz niezwłocznie zwróci Zamawiającemu wszelkie dokumenty i inne nośniki zawierające dane osobowe, których administratorem jest Zamawiający.

§9

W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego.

§10

Spory wynikłe z realizacji niniejszej umowy rozstrzygane będą przez właściwy terytorialnie dla Zamawiającego Sąd Rejonowy.

§11

Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.

Wykonawca: Zamawiający

Załącznik nr 1 do umowy

Pieczęć adresowa firmy Wykonawcy (lub dane adresowe Wykonawcy, NIP)

OŚWIADCZENIE

1.Rozliczenia płatności wynikających z umowy nr ……………………. z dnia ……………………. r. będą odbywać się za pośrednictwem mechanizmu podzielonej płatności.

2. Oświadczam, że numer rachunku bankowego ………………………………….. (należy podać numer rachunku bankowego) wskazany na fakturach wystawionych w związku z realizacją umowy/ zlecenia nr ……………………… z dnia ………………………. r. należy do firmy ………………………………………. (nazwa firmy) i został dla niego utworzony wydzielony rachunek VAT na cele prowadzenia działalności gospodarczej oraz że znajduje się on w wykazie podmiotów zarejestrowanych jako podatnicy podatku VAT prowadzonym przez Szefa Krajowej Administracji Skarbowej na tzw. Białej Liście Podatników, zgodnie z przepisami ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2020 r. poz. 106 z późn. zm.).

3. Zobowiązuję się do poinformowania gminę miasto Chełmża, w formie pisemnej, o każdej zmianie ww. rachunku bankowego, w terminie 7 dni od dnia zmiany, pod rygorem wstrzymania płatności przez gminę miasto Chełmża

….. , dnia ……………… …...........................................................................

(podpis upoważnionego/ych przedstawiciela/li Wykonawcy)

Załącznik nr 2 do umowy

Pieczęć adresowa firmy Wykonawcy (lub dane adresowe Wykonawcy, NIP)

OŚWIADCZENIE dot. podatnika VAT

Jako osoba upoważniona do reprezentowania spółki …………………… NIP ……………………. , REGON ………………………… , oświadczam, że Spółka jest/nie jest* zarejestrowanym czynnym podatnikiem podatku VAT

Jednocześnie oświadczam, że:

- Spółka nie zawiesiła i nie zaprzestała wykonywania działalności gospodarczej oraz zobowiązuję się do niezwłocznego pisemnego powiadomienia o zmianach powyższego statusu,

- mam prawo dysponować towarem i rozliczę podatek od towarów i usług VAT. Nie posiadam żadnych zaległych zobowiązań w stosunku do Skarbu Państwa, które umożliwiłyby zapłatę podatku od towarów i usług VAT (jeśli dotyczy).

*niewłaściwe wykreślić

….. , dnia ……………. r. …...........................................................................

(podpis upoważnionego/ych przedstawiciela/li Wykonawcy)

Załącznik Nr 3

UMOWA

POWIERZENIA DANYCH OSOBOWYCH DO PRZETWARZANIA

Zawarta dnia ………………… r. w ………….

Gminą Miasta Chełmża z siedzibą w xx. Xxxxxxx 0, 00-000 Xxxxxxx, NIP: 8792582481, zwanym dalej Zamawiającym, którą reprezentują:

Xxxxx Xxxxxxxxxx - Burmistrz Miasta

zwaną w treści Umowy „Administratorem”,

a

Panem /Firmą …………………………… z siedzibą w …………………, przy ulicy ………………….., wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczpospolitej Polskiej, posiadającą NIP: ………………., REGON: …………………………, reprezentowaną przez:

………………………………………….. – Właściciela firmy

zwaną dalej: „Zleceniobiorcą” lub „Podmiotem przetwarzającym”,

w dalszej części Umowy Administrator i Procesor są nazywani łącznie „Stronami” lub każde oddzielenie „Stroną”

§1

1. Strony zawarły w dniu ………………..2022 r. umowę nr, ……………. o świadczenie usługi przeprowadzenia audytu cyberbezpieczeństwa w ramach projektu „Cyfrowa Gmina”
   w Urzędzie Miasta w Chełmży (w dokumentacji projektu określanego jako „diagnoza cyberbezpieczeństwa”) zgodnie z zakresem oraz formularzem stanowiącym załącznik nr 8 do Regulaminu Konkursu Grantowego Cyfrowa Gmina zakończonego raportem zwaną dalej „Umową usługi”.

2. Mając na uwadze, że umowa wskazana powyżej dotyczy przetwarzania danych osobowych, na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: RODO") Administrator powierzenia przetwarzania danych osobowych Procesorowi.

3. Przetwarzanie ma charakter czasowy. Celem przetwarzania jest przegląd dokumentacji
   i infrastruktury teleinformatycznej .

4. Powierzenie obejmuje dane zwykłe, szczególne kategorie danych, dane wskazane w art. 10 RODO : pracowników, współpracowników, dzieci, uczniów, kontrahentów, klientów, osób kontaktujących się z administratorem, osób wyznaczonych do kontaktów, pełnomocników, operatorów systemów dziedzinowych i obejmuje:

1. nazwisko i imiona,

2. login

3. adres e-mail

4. numer telefonu

5. wizerunek

6. nazwa pełnionego stanowiska służbowego

5. Procesor uprawniony jest do przetwarzania danych osobowych wyłącznie w celu wykonania umowy określonych w ust. 1,

6. Procesor może przetwarzać powierzone mu dane osobowe dla własnych celów jedynie
   w przypadku dysponowania w tym zakresie odrębną podstawą prawną, o czym ma obowiązek powiadomić osoby, których dane przetwarza.

§ 2

OŚWIADCZENIA I OBOWIĄZKI PROCESORA

1. Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie niniejszej Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające RODO.

2. Procesor jest zobowiązany:

1. przetwarzać powierzone dane osobowe zgodnie z RODO oraz polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa oraz niniejszą Umową;

2. przetwarzać powierzone mu dane osobowe wyłącznie na obszarze Europejskiego Obszaru Gospodarczego oraz na urządzeniach zarządzanych przez Procesora i jego personel z zachowaniem zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;

3. udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających
   z Umowy usługi;

4. zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, chyba że osoby te podlegają lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

5. wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa adekwatny do zidentyfikowanego ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe;

6. wspierać Administratora w miarę możliwości w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych
   w rozdziale III RODO;

7. pomagać Administratorowi (uwzględniając charakter przetwarzania oraz dostępne mu informacje) wywiązać się z obowiązków określonych w art. 32-36 RODO, tj.
   w szczególności w zakresie:

1. zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych;

2. dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Procesora w odniesieniu do zgłaszania naruszeń zostały określone w § 8 Umowy);

3. dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym;

8. prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora

1. udostępniać Administratorowi, na jego uzasadnione żądanie wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających
   z art. 28 RODO;

2. umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6 Umowy;

3. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych;

4. przechowywać dane osobowe powierzone w związku z wykonywaniem danej Umowy usługi jedynie przez okres jej obowiązywania, a także bez zbędnej zwłoki zanonimizować dane lub ograniczać przetwarzanie wskazanych danych osobowych zgodnie
   z wytycznymi Administratora i Umową powierzenia.

5. Procesor zobowiązuje się udzielić pomocy oraz odpowiedzi administratorowi
   w zakresie opisanym w niniejszym paragrafie niezwłocznie, nie później jednak niż
   w ciągu 48 godzin od dnia otrzymania prośby od administratora.

§ 3

ŚRODKI ORGANIZACYJNE I TECHNICZNE

1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie Umowy.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, Procesor uwzględnia ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3. Procesor zapewnia przetwarzanie danych osobowych zgodnie z przepisami obowiązującego prawa,

4. Procesor powinien uwzględnić stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie niniejszej Umowy, z uwzględnieniem prawdopodobieństwa ich wystąpienia i wagi zagrożenia.

§ 4

PODPOWIERZENIE

1. Administrator wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym.

2. Procesor jest zobowiązany do pisemnego informowania o wszelkich zamierzonych dalszych powierzeniach.

3. Administrator może sprzeciwić się dalszemu powierzeniu przez Procesora danych osobowych, w terminie 7 Dni Roboczych (rozumianych jako dni od poniedziałku do piątku, godz. 8.00-16.00) od otrzymania informacji, o której mowa w ust. 2.

4. W przypadku wyrażenia sprzeciwu przez Administratora, Procesor nie jest uprawniony do zawarcia umowy z dalszym podmiotem przetwarzającym, którego dotyczy sprzeciw.

5. Procesor zapewnia, że korzysta i będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, a także chroniło prawa osób, których dane dotyczą.

6. Procesor w przypadku dalszego powierzenia jest zobowiązany do zawarcia umowy powierzania przetwarzania danych z podprocesorem.

§ 5

TRANSFER DANYCH OSOBOWYCH

1. Procesor nie może przekazywać danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym (EOG"), chyba że Administrator udzieli mu uprzedniej zgody zezwalającej na taki transfer.

2. Jeśli Administrator udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:

1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub

2. Administrator i Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu
   o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.

§ 6

AUDYT

1. Administrator jest upoważniony do przeprowadzenia audytu zgodności z Umową oraz obowiązującymi przepisami prawa, przetwarzania przez Procesora powierzonych mu do przetwarzania danych osobowych.

2. Administrator uzyska zgodę Procesora na przeprowadzenie audytu co najmniej 14 Dni Roboczych przed planowaną datą jego przeprowadzenia. Jeżeli w ocenie Procesora audyt nie może zostać przeprowadzony we wskazanym terminie Procesor powinien poinformować o tym fakcie Administratora. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.

3. Audyty, o których mowa w ust. 1, mogą być wykonywane przez Administratora w miejscu

przetwarzania danych osobowych objętych powierzeniem w Dni Robocze w godzinach od 8.00 do 16.00. Jeżeli Administrator nie prowadzi audytu samodzielnie, może zlecić przeprowadzenie audytu jedynie podmiotom lub osobom, profesjonalnie świadczącym usługi tego rodzaju (,,audytor zewnętrzny") pod warunkiem zawiadomienia o tym Procesora z wyprzedzeniem co xxxxxxxx 0 Xxx Xxxxxxxxx.

4. W każdym przypadku, w którym Administrator zamierza zlecić przeprowadzenie audytu, w tym inspekcji, audytorowi zewnętrznemu, Administrator ponosi odpowiedzialność za działania lub zaniechania takiego podmiotu jak za własne działania lub zaniechania.

5. Administrator zobowiązany jest zapewnić, by osoby wykonujące czynności w ramach audytu, w tym audytorzy zewnętrzni, zostały zobowiązane do zachowania w poufności wszelkich informacji, które uzyskają w związku wykonywaniem audytu, a stanowiących tajemnicę przedsiębiorstwa Procesora. Administrator zobowiązany jest zapewnić, że osoby wykonujące czynności w ramach audytu w tym audytorzy zewnętrzni, którym Administrator zleca przeprowadzenie nie są zatrudnione, nie są wspólnikami, akcjonariuszami, lub członkami organów podmiotów, wykonujących działalność konkurencyjną w stosunku do działalności gospodarczej prowadzonej przez Procesora ani nie prowadzą takiej działalności konkurencyjnej we własnym imieniu. Na żądanie Procesora, Administrator przedstawi w powyższym zakresie stosowne oświadczenie w formie pisemnej pod rygorem bezskuteczności przed przystąpieniem do audytu. W przypadku braku złożenia tego oświadczenia, uznaje się, że wskazana osoba
   (w tym w szczególności audytor zewnętrzny, któremu Administrator zleca przeprowadzenie audytu) nie ma umocowania do przeprowadzenia audytu. Procesor będzie wówczas uprawniony do wezwania Administratora do wskazania innej osoby lub podmiotu do przeprowadzenia audytu i przedstawienia stosownego oświadczenia, dotyczącego tej osoby lub podmiotu. Do czasu wykonania tego obowiązku, Procesor będzie uprawniony do niedopuszczenia wskazanej osoby do wykonywania czynności audytowych. Postanowienia niniejsze nie naruszają uprawnienia Administratora do przeprowadzenia audytu samodzielnie.

6. Procesor, w zakresie niezbędnym do przeprowadzenia audytu, będzie współpracować
   z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora, z uwzględnieniem konieczności zapewnienia ciągłości działalności gospodarczej i procesów biznesowych realizowanych na bieżąco przez Procesora. Administrator zapewni, że prowadzony audyt nie będzie kolidował z bieżącym wykonywaniem przez Procesora czynności w ramach prowadzonej działalności gospodarczej.

7. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron.

8. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron w swoim zakresie,
   w szczególności Procesor nie jest zobowiązany do zwrotu Administratorowi jakichkolwiek kosztów związanych z wykonanym audytem, niezależnie od jego wyniku.

§ 7

POUFNOŚĆ

1. Strony mają obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania
   i przetwarzania, rozumianych jako informacje takie jak:

1. dane osobowe, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9
   ust. 1 RODO),

2. informacje stanowiące tajemnicę przedsiębiorstwa (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji),

3. informacje wymagające ochrony ze względu na ich znaczenie dla interesów Stron, w tym wszelkie dane techniczne, finansowe i handlowe, materiały i dokumenty,

4. inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub
   w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Strony lub jej klientów, kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które druga Strona otrzymała w okresie obowiązywania Umowy, lub o których dowiedziała się, czy też do których miała dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.

2. Strony będą zwolnione z obowiązku zachowania w tajemnicy informacji poufnych
   w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Strona jest zobowiązana niezwłocznie powiadomić drugą Stronę. W takim przypadku Strona zobowiązana do ujawnienia informacji poufnych będzie obowiązana do:

1. ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo,

2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.

3. Zobowiązanie do zachowania poufności w odniesieniu do danych powierzonych w związku z daną Umową usługi jest nieograniczone w czasie.

§ 8

ZGŁASZANIE NARUSZEŃ

1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.

2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Procesor, bez zbędnej zwłoki nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgłasza je Administratorowi, informując o okolicznościach naruszenia i potencjalnych zagrożeniach dla ochrony powierzonych danych osobowych oraz jest zobowiązany pisemnie określić:

1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

2. możliwe konsekwencje naruszenia ochrony danych osobowych,

3. zastosowane lub proponowane środki w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków,

4. w jakim stopniu naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

3. Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

4. Procesor nie jest uprawniony ani zobowiązany do powiadamiania o naruszeniu:

1. osób, których dane dotyczą; ani

2. organu nadzorczego

§ 9

CZAS TRWANIA UMOWY I ODPOWIEDZIALNOŚĆ

1. Umowa zostaje zawarta na czas obowiązywania danej umowy usługi określonej w § 1,
   w odniesieniu do powierzenia przetwarzania danych w związku z tą Umową.

2. Umowa wygasa w razie zakończenia obowiązywania ostatniej Umowy usługi pomiędzy Stronami.

3. Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym
   w przypadku rażącego lub powtarzającego się naruszenia Umowy przez Procesora, a także
   w przypadku, gdy:

1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, na podstawie prawomocnej decyzji, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych,

2. prawomocne orzeczenie sądu powszechnego wykaże, że Procesor nie przestrzega zasad przetwarzania danych osobowych - pod warunkiem uprzedniego pisemnego wezwania Procesora do zaniechania naruszeń i usunięcia ich skutków, wyznaczenia w tym celu dodatkowego terminu, nie krótszego niż 30 dni, i bezskutecznego upływu tego terminu.

5. Po rozwiązaniu Umowy Usługi, Procesor niezwłocznie, ale nie później niż w terminie do 7 dni, zobowiązuje się usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w dyspozycji Procesora. O usunięciu danych Procesor powiadomi pisemnie Administratora, w terminie 5 dni od dnia usunięcia danych.

6. Procesor jest zobowiązany do podjęcia stosownych działań w celu wyeliminowania możliwości dalszego przetwarzania danych powierzonych na podstawie niniejszej Umowy powierzenia.

1. Procesor zobowiązuje się do pokrycia poniesionych przez administratora strat - z tytułu grzywien, kar pieniężnych, odszkodowań, których wypłata nastąpiła z powodu zawinionych przez Procesora naruszeń przepisów oraz RODO.

§ 10

POSTANOWIENIA KOŃCOWE

1. Wszelka korespondencja w sprawach związanych z Umową będzie prowadzona w następujący sposób:

• ze strony Procesora - na adres ……. lub na adres poczty elektronicznej: …………………………………;

• ze strony Administratora - na adres Urząd Miasta Chełmży, Xx. Xxxxxxx 0, 00-000 Xxxxxxx, lub na adres poczty elektronicznej xx@xxxxxxx.xx

2. Wszelkie oświadczenia i zawiadomienia mogą być składane za pośrednictwem poczty elektronicznej, zabezpieczonej w sposób uzgodniony przez Strony, chyba że Umowa lub bezwzględnie obowiązujące przepisy prawa wymagają formy pisemnej pod rygorem bezskuteczności lub nieważności.

3. Zmiana adresów nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną, wskazując nowe dane kontaktowe.

4. Do chwili złożenia oświadczenia o zmianie danych, oświadczenia i zawiadomienia kierowane na dotychczasowe adresy uważa się za skuteczne.

5. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej Strony.

6. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem bezskuteczności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.

7. Załączniki nr 1 wykaz pomiotów, którym procesor powierzył dalsze przetwarzanie danych osobowych przed zawarciem niniejszej umowy stanowi integralną część umowy

8. Użyte w Umowie pojęcia należy interpretować zgodnie z RODO, chyba że wyraźnie w treści niniejszej Umowy zastrzeżono inaczej.

9. Spory mające związek z Umową rozstrzygać będzie sąd właściwy dla siedziby administratora.

.................................. ………………………

Administrator Procesora

…………………. dnia, ………………

…………………………………………

(Pełna nazwa podmiotu przetwarzającego dane)

………………………………………………

(Adres siedziby podmiotu przetwarzającego dane)

…………………………………………

(dane administratora)

Informacja o zaprzestaniu przetwarzania danych osobowych

Zgodnie z art. 28 ust. 3 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwanego dalej „RODO”). Informuję, że zgodnie z Umową Powierzenia Przetwarzania Danych zawartą w dniu …………………dane osobowe przekazane przez …………………………………………… po wygaśnięciu umowy zostały usunięte - zniszczone i nie będą wykorzystywane w dalszej działalności.

……………………………

(pieczątka i podpis)

ARKUSZ WERYFIKACJI PODMIOTU PRZETWARZAJĄCEGO

Lp.	Pytanie	Odpowiedź	Uwagi
	Czy jako podmiot przetwarzający dane osobowe planujesz wyznaczyć/wyznaczyłeś Inspektora Ochrony Danych Osobowych (IOD)?	- tak zaplanowano wyznaczenie - tak wyznaczono - nie zaplanowano wyznaczenia (uzasadnienie: np. nie jest wymagane przepisami prawa) - zaplanowano wyznaczenie (kiedy: podać przewidywaną datę)
	Jeżeli nie planuje wyznaczyć/nie został wyznaczony IOD to proszę o wskazanie innej osoby do kontaktu w kwestiach związanych z ochroną danych osobowych.	Osoba do kontaktu…, stanowisko/funkcja…, numer tel.
	Czy jako podmiot przetwarzający dane osobowe wprowadziłeś środki techniczne i organizacyjne w tym politykę ochrony danych osobowych/bezpieczeństwa informacji/zarzadzania systemem informatycznym, które będą spełniały wymogi RODO oraz innych aktów regulujących legalne przetwarzanie danych osobowych?	TAK/NIE	(Jeśli tak jakie?)
	Czy jako podmiot przetwarzający dane osobowe korzystasz z dalszych przetwarzających dane osobowe w procesie przetwarzania danych osobowych na zlecenie administratora danych osobowych?	TAK/NIE	(jeśli tak, to przygotuj wykaz tych podmiotów w celu załączenia do umowy powierzania)
	Jeżeli jako podmiot przetwarzający dane osobowe korzystasz z dalszych procesorów to czy są oni zlokalizowani w ramach EOG?	TAK/NIE
	Jeżeli transfer danych odbywa się poza EOG to na jakiej podstawie prawnej?	TAK/NIE
	Czy z dalszymi procesorami zostały zawarte umowy powierzenia przetwarzania danych i czy stosują one środki techniczne i organizacyjne spełniające wymogi RODO?	TAK/NIE
	Czy Twoi pracownicy, którzy będą przetwarzać powierzone dane, mają wydane upoważnienia do przetwarzania danych osobowych oraz odebrano od nich zobowiązanie do zachowaniu danych w poufności/tajemnicy	TAK/NIE
	Czy prowadzisz rejestr czynności	TAK/NIE
	Czy jako podmiot przetwarzający dane osobowe prowadzisz rejestr kategorii czynności dla powierzonych operacji przetwarzania danych osobowych?	TAK/NIE
	Czy jako podmiot przetwarzający jesteś w stanie wspomagać administratora poprzez odpowiednie środki techniczne i organizacyjne, by wywiązać się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw?	TAK/NIE
	Czy jako podmiot przetwarzający dysponujesz środkami, które pozwalają na trwałe usunięcie lub zwrot wszelkich danych osobowych oraz usunięcie ich wszelkich istniejących kopii?	TAK/NIE	Jeśli TAK to jakie są to środki?
	Czy umożliwisz administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji?	TAK/NIE
	Czy jako podmiot przetwarzający dane osobowe wdrożyłeś procedury dotyczące zarządzania incydentami bezpieczeństwa?	TAK/NIE
	Czy jako podmiot przetwarzający jesteś w stanie informować administratora niezwłocznie, nie później niż w ciągu 24 godzin, o naruszeniach ochrony danych osobowych, do których u Ciebie dojdzie?	TAK/NIE
	Czy jako podmiot przetwarzający wprowadziłeś środki zapewniające, że systemy IT używane do przetwarzania danych osobowych są zgodne z RODO oraz innymi aktami regulującymi przetwarzanie danych osobowych?	TAK/NIE
	Czy jako podmiot przetwarzający realizujesz regularne audyty z zakresu bezpieczeństwa danych osobowych? Jeżeli tak to w jakich odstępach czasu odbywają się audyty? czy możesz udostępnić raporty?	TAK/NIE
	Czy jako podmiot przetwarzający dane osobowe posiadasz aktualny certyfikat ISO 27001 /stosujesz zatwierdzony kodeks postepowania/uzyskałeś inny certyfikat/klauzulę zgodności	TAK/NIE	(jeśli TAK wskaż właściwe)
	Czy wobec ciebie jako administratora lub podmiot przetwarzający została wydana decyzja dotycząca naruszenia zasad przetwarzania danych lub toczy się postepowanie związane z naruszeniem?	TAK/NIE	Jeśli TAK jakie i w jakim zakresie?

*Właściwe podkreślić/uzupełnić

Podpis osoby

upoważnionej lub reprezentującej

podmiotu przetwarzający

1 Postepowanie wynika z udziału w projekcie grantowym w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Osi Priorytetowej V Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia REACT-EU działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, w rozumieniu art. 35 Ustawy Wdrożeniowej z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (tj. Dz. U. z 2020 r. poz. 818), na podstawie Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.).