Umowa Nr ………

Załącznik nr 2 do zapytania ofertowego z dnia 13 grudnia 2018 r.

Umowa Nr ………

dotycząca kompleksowej obsługi w zakresie ochrony danych osobowych, w tym pełnienia funkcji Inspektora Ochrony Danych

Zawarta w dniu 2018 r. w Nowym Targu pomiędzy:

Gminą Miasto Nowy Targ, 34-400 Nowy Xxxx xx. Xxxxxx 0 NIP: 000-000-00-00,

reprezentowaną przez:

mgr Xxxxxxxxx Xxxxxxx - Burmistrza Miasta

przy kontrasygnacie Skarbnika:

mgr Xxxxxxx Xxxxxxxx

zwana w dalszej części umowy „Zleceniodawcą” a

……………………………………………………………………………………………..., zwanym w dalszej części umowy „Zleceniobiorcą”,

a łącznie ze Zleceniodawcą – „Stronami”.

§ 1

Przedmiot umowy

1. W ramach niniejszej Umowy Zleceniobiorca zobowiązuje się do wykonywania funkcji Inspektora Ochrony Danych (zwanego w dalszej części niniejszej Umowy również jako: „Inspektor”), o którym mowa w art. 37-39 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części niniejszej Umowy zwanego również jako: „Rozporządzenie” lub „RODO”) oraz kompleksowej obsługi w zakresie ochrony danych osobowych, zaś Zleceniodawca zobowiązany będzie do zapłaty z tego tytułu wynagrodzenia.

2. Pełnienie funkcji Inspektora Ochrony Danych przez Zleceniobiorcę odbywać się będzie w Urzędzie Miasta Nowy Targ i polegać będzie na:

a) informowaniu Zleceniodawcy jako Administratora, o którym mowa w art. 2 pkt. 7 RODO, oraz zatrudnionych u niego pracowników i zleceniobiorców, którzy

przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych i doradzanie im w tym przedmiocie;

b) monitorowaniu przestrzegania przepisów wewnętrznych, polityk i procedur stosowanych przez Zleceniodawcę (jako Administratora), w dziedzinie ochrony danych osobowych (w tym podziału obowiązków na tym polu);

c) podejmowaniu działań zwiększających świadomość prawną Zleceniodawcy oraz zatrudnionych u niego pracowników i zleceniobiorców, w zakresie przetwarzania i ochrony danych osobowych,

d) przeprowadzaniu szkoleń personelu uczestniczącego w operacjach przetwarzania danych osobowych oraz powiązanych audytów;

e) wykonywaniu audytów dotyczących przestrzegania przepisów RODO i innych przepisów krajowych lub unijnych o ochronie danych osobowych przez pracowników i zleceniobiorców Administratora – Zleceniodawcy na wypadek zaistnienia takiej konieczności (zwanych dalej „Audytami”);

f) udzielaniu na żądanie Zleceniodawcy zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania zaleceń pokontrolnych;

g) współpracy z krajowym organem nadzorczym powołanym w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych oraz ułatwianiu swobodnego przepływu danych osobowych;

h) pełnieniu funkcji punktu kontaktowego dla organu nadzorczego, o którym mowa w punkcie poprzedzającym, w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach – prowadzeniu konsultacji w sprawach dotyczących danych osobowych.

3. Kompleksowa obsługa w zakresie danych osobowych polegać będzie, x.xx. na:

a) opracowywaniu i aktualizacji dokumentacji z zakresu ochrony danych osobowych

– polityki ochrony danych – zgodnie z art. 24 ust. 2 RODO, w tym:

− przygotowywaniu oświadczeń pracowników mających dostęp do danych osobowych o zapoznaniu się polityką ochrony danych i prowadzeniu ich rejestru,

− przygotowywaniu upoważnień dla pracowników, którzy przetwarzają dane osobowe i prowadzeniu ich rejestru,

− przygotowywaniu oświadczeń o obowiązku zachowania w tajemnicy danych osobowych, w czasie i po ustaniu zatrudnienia pracowników przetwarzających te dane - i prowadzeniu ich rejestru,

− przygotowywaniu wniosków o udzielenie dostępu do systemu informatycznego służącego do przetwarzania danych osobowych i prowadzeniu ich rejestru,

− prowadzeniu rejestru umów powierzenia przetwarzania danych osobowych,

− przygotowywaniu oświadczeń o monitorowaniu komputerów służbowych i prowadzeniu ich rejestru,

− prowadzeniu rejestru wydanych kart mikroprocesorowych do podpisu przelewów, do podpisu elektronicznego, do ewidencji dowodów osobistych, itp.,

− przygotowywaniu oświadczeń o zachowaniu w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia na przenośnych urządzeniach, tj. notebookach, tabletach, służbowych komórkach i prowadzeniu ich rejestru;

b) prowadzeniu szkoleń z zakresu ochrony danych;

c) informowaniu nowo zatrudnionych pracowników o aktualnych przepisach z zakresu ochrony danych osobowych, jakie obowiązują na danym stanowisku pracy;

d) monitorowaniu systemów informatycznych Zleceniodawcy oraz wykonaniu, przynajmniej raz w okresie obowiązywania umowy, Audytu w oparciu o przepisy Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2017 r., poz. 2247) lub inne przepisy wydane w miejsce tego rozporządzenia.

§ 2

Zasady wykonywania umowy

1. Zleceniobiorca będzie wykonywał swoje obowiązki z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych osobowych występującymi u Zleceniodawcy, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Obie strony zgodnie oświadczają, że niniejsza umowa nie zwalnia Zleceniodawcy z obowiązku stosowania adekwatnych środków technicznych i organizacyjnych (w tym właściwych procedur i dobrych praktyk) w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych.

2. Zleceniodawca oświadcza dodatkowo, że w celu uczynienia zadość obowiązkowi,

o którym mowa w ust. 1, wymagana jest ścisła współpraca z Inspektorem.

3. Zleceniobiorca wyznacza osobę do pełnienia funkcji Inspektora oraz jego zastępcy,

o czym informuje Zleceniodawcę. Inspektor oraz jego zastępca, w zgodzie z art. 38 ust. 3 zd. 3 Rozporządzenia, podlegają w zakresie wykonywania czynności, o których mowa w § 1 ust. 2 i 3 Umowy, bezpośrednio Burmistrzowi Miasta.

4. Zleceniodawca wyraża zgodę na przeprowadzenie przez Wykonawcę czynności w zakresie objętym Audytem, o którym mowa w § 1, ust. 3, lit. d, w tym udziela Zleceniobiorcy zgody na przetwarzanie danych zgromadzonych podczas Audytu (w tym – danych osobowych), przy czym Zleceniobiorca zobowiązany jest do:

a) przetwarzania danych jedynie w zakresie i celu wykonania Umowy;

b) dopuszczania do przetwarzania danych jedynie osoby posiadające stosowne upoważnienie Zleceniobiorcy;

c) na wniosek Zleceniodawcy – do informowania go o zasadach przetwarzania przez niego danych uzyskanych w związku z przeprowadzanym monitoringiem w zakresie wykorzystania sprzętu i legalności oprogramowania systemów informatycznych, o którym mowa w § 1, ust. 3, lit. d Umowy, jak również wykonywaniem obowiązków umownych oraz do udostępniania mu wytworzonej w związku z przetwarzaniem danych dokumentacji oraz informacji o stosowanych przez niego procedurach przetwarzania danych;

d) stosowania adekwatnych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.

5. Zleceniobiorca zobowiązany jest zapewnić poufność informacji oraz wszelkiego rodzaju danych (w tym danych osobowych), które uzyskał od Zleceniodawcy w związku z realizacją niniejszej Umowy. Zleceniobiorca nie będzie ujawniać tych informacji bez uprzedniej pisemnej zgody Zleceniodawcy, za wyjątkiem sytuacji, w których do ich ujawnienia zobowiązują go przepisy powszechnie obowiązującego prawa. Zobowiązanie, o którym mowa w zdaniu poprzedzającym, zachowuje moc również bezterminowo po zakończeniu obowiązywania niniejszej Umowy.

6. Zleceniodawca przyjmuje do wiadomości, że w celu prawidłowego wykonywania obowiązków wynikających z niniejszej Umowy, Zleceniobiorca powinien mieć uprawnienie do przetwarzania danych osobowych przetwarzanych w siedzibie Zleceniodawcy, uprawnienie do wstępu do wskazanych pomieszczeń, uprawnienie do dostępu do urządzeń, komputerów oraz systemów informatycznych znajdujących się w siedzibie Zleceniodawcy oraz wykonywania wszelkich innych niezbędnych czynności faktycznych.

§ 3

Monitoring jakościowego i ilościowego wykorzystania sprzętu komputerowego

1. W ramach części monitorowania, o którym mowa w § 1, ust. 3, lit. d Umowy, w zakresie jakościowego i ilościowego wykorzystania sprzętu pracowniczego i legalności oprogramowania, Zleceniobiorca sporządza i przekazuje Zleceniodawcy drogą elektroniczną comiesięczne raporty.

2. Zleceniodawca oświadcza, że wszystkie osoby zatrudnione w jego jednostce, niezależnie od podstawy takiego zatrudnienia (umowy o pracę, umowy cywilnoprawnej, stażu, praktyki itp.), złożyły pisemne oświadczenie o poinformowaniu ich o fakcie dokonywania monitorowania wykorzystania sprzętu i legalności oprogramowania znajdującego się na tym sprzęcie.

3. Zleceniodawca oświadcza, że posiada wewnętrzne zarządzenie określające procedurę informowania pracowników o fakcie dokonywania monitorowania, o którym mowa powyżej oraz że zobowiązuje się do przesłania odpisu tego zarządzenia Zleceniobiorcy.

4. Wykonywanie monitorowania przez Zleceniobiorcę nastąpi nie wcześniej, niż po uprzednim doręczeniu mu przez Zleceniodawcę pocztą tradycyjną lub elektroniczną odpisu zarządzenia, o którym mowa w ustępie poprzedzającym.

5. Zleceniodawca przyjmuje do wiadomości, że odebranie oświadczenia, o którym mowa w ust. 2, stanowi podstawę legalności przeprowadzenia ww. monitorowania oraz wygenerowania raportu, o którym mowa w tym ustępie. W przypadku niewykonania obowiązku odebrania ww. oświadczenia, Zleceniodawca ponosi wyłączną odpowiedzialność w pełnej wysokości za ewentualną szkodę, jaką z tego tytułu może ponieść Zleceniobiorca, a Zleceniobiorcy przysługiwać będzie w takim wypadku uprawnienie do rozwiązania niniejszej Umowy ze skutkiem natychmiastowym (bez wypowiedzenia).

6. Oprogramowanie służące do monitorowania wykorzystania sprzętu komputerowego zostanie usunięte przez Zleceniobiorcę w terminie 30 dni, licząc od zakończenia obowiązywania niniejszej Umowy, z tym zastrzeżeniem, że kompletność odinstalowania powinna być zweryfikowana przez Zleceniodawcę, po przekazaniu mu kluczy dezinstalacyjnych przez Zleceniobiorcę.

7. Zleceniodawca przyjmuje do wiadomości, że wykorzystywany do wykonywania monitoringu program komputerowy posiada funkcjonalność, w ramach której następuje automatyczne gromadzenie oraz przechowywanie przez ten program danych w okresie 6 miesięcy od momentu ostatniej aktywności (dane te są samoczynnie kasowane po upływie tego okresu).

§ 4

Zasady postępowania z danymi

1. Zleceniobiorca oświadcza, że dane Zleceniodawcy gromadzone na jego serwerach w ramach wykonywania monitorowania, o którym mowa w § 1, ust. 3, lit. d Umowy, zabezpieczone są zgodnie z wymogami międzynarodowej normy standaryzującej systemy zarządzania bezpieczeństwem informacji ISO/IEC 27001:2014. Zleceniobiorca posiada ważny, wydany przez jednostkę akredytowaną przez Polskie Centrum Akredytacji, certyfikat w tym zakresie.

2. Zleceniobiorca po ustaniu Umowy z jakiejkolwiek przyczyny (tj. po jej wygaśnięciu, wypowiedzeniu, odstąpieniu, rozwiązaniu, etc.) zobowiązuje się do niezwłocznego, trwałego usunięcia danych Zleceniodawcy, uzyskanych w związku wykonywaniem Umowy. Obowiązek, o którym mowa w zdaniu poprzedzającym, nie dotyczy gromadzenia i przechowywania na serwerach Zleceniobiorcy danych z monitoringu, o którym mowa w § 1, ust. 3, lit. d Umowy, które to dane w sposób automatyczny przechowywane są przez 6 miesięcy od momentu ostatniej aktywności, w ramach funkcjonalności programu monitorującego i samoczynnie kasowane po upływie tego okresu (zgodnie z § 3 ust. 7 Umowy).

3. Zleceniodawca powierza Zleceniobiorcy dane osobowe uzyskane w związku z wykonywaniem monitorowania, o którym mowa w § 1, ust. 3, lit. d Umowy, do przetwarzania w celu wykonania niniejszej Umowy; przepisy § 2 ust. 4 Umowy stosuje się odpowiednio.

§ 5

Szczególny obowiązek zawarcia umowy ubezpieczenia i posiadania akredytacji

1. Zleceniobiorca przez cały okres trwania Umowy będzie posiadał umowę ubezpieczenia odpowiedzialności cywilnej zawodowej na kwotę min. 5 mln. zł, której kopia stanowi załącznik nr 1 do Umowy.

2. Zleceniobiorca oświadcza, że posiada Akredytację Polskiego Centrum Systemu Zarządzania Bezpieczeństwem Informacji, której kopia stanowi załącznik nr 2 do Umowy.

§ 6

Wynagrodzenie umowne

1. Z tytułu realizacji niniejszej Umowy Zleceniobiorcy przysługiwać będzie ryczałtowe wynagrodzenie miesięczne, płatne z góry, w wysokości ………………..zł netto (słownie: …………………. złotych netto) plus należny podatek VAT wedle stawki

obowiązującej w danym miesiącu (w dalszej części niniejszej Umowy zwane również jako: „Wynagrodzenie”).

2. Wynagrodzenie będzie płatne w terminie 14 dni od daty dostarczenia Zleceniodawcy prawidłowo wystawionej faktury VAT, przelewem na rachunek Zleceniobiorcy podany na fakturze. W przypadku opóźnienia w zapłacie Wynagrodzenia Zleceniodawca zobowiązany będzie do zapłaty odsetek ustawowych za opóźnienie na rzecz Zleceniobiorcy. Faktura VAT wystawiona zostanie najpóźniej do 7-go dnia każdego miesiąca obowiązywania Umowy.

3. W tym miejscu Strony określają dane potrzebne do wystawienia faktury VAT:

a) NABYWCA: Gmina Miasto Nowy Targ, 34-400 Nowy Xxxx xx. Xxxxxx 0 NIP: 000-000-00-00

b) ODBIORCA: Urząd Miasta Nowy Targ, 34-400 Nowy Xxxx xx. Xxxxxx 0

§ 7

Okres obowiązywania Umowy oraz możliwość jej wypowiedzenia

1. Niniejsza Umowa zostaje zawarta na czas określony od dnia 1 stycznia 2019 r. do dnia 31 grudnia 2019 r.

2. Każdej ze Stron przysługuje uprawnienie do wypowiedzenia niniejszej Umowy z zachowaniem dwumiesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca, następującego po miesiącu, w którym oświadczenie o wypowiedzeniu zostało złożone drugiej Stronie.

§ 8

Kary umowne

Zleceniodawca uprawniony będzie do dochodzenia od Zleceniobiorcy kary umownej w wysokości do 10% rocznej wartości Wynagrodzenia, o którym mowa w § 6 Umowy, za każde naruszenie obowiązków związanych z wykonywaniem funkcji Inspektora. Łączny wymiar kar umownych nie może jednak przekroczyć kwoty 30% rocznej wartości Wynagrodzenia wskazanego w § 6 Umowy.

§ 9

Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.

2. Osoby upoważnione do kontaktu ze strony Zleceniodawcy:

a) Xxxxxx Xxxxxxxxx, tel.: 00 000-00-00, fax: 00 0000000; e-mail: xxxxxx_xxxxxxxxx@xx.xxxxxxxx.xx

b) Xxxxx Xxxx, tel.: 00 000-00-00, fax: 00 0000000; e-mail: xxxxx_xxxx@xx.xxxxxxxx.xx.

3. Dane osób upoważnionych do kontaktu ze strony Zleceniobiorcy:

▪ .…………………………….…………………..;

▪ .………………....……………………………….

4. Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

5. W przypadku sporu pozostającego w związku z niniejszą Umową sądem właściwym dla rozpatrzenia sprawy będzie sąd miejscowo właściwy według siedziby Zleceniobiorcy.

6. Strony zgodnie oświadczają, iż poza niniejszą Umową i w zakresie objętym jej treścią nie istnieją dokonane między nimi jakiekolwiek dodatkowe ważne pisemne lub ustne ustalenia i porozumienia.

(Zleceniodawca)		(Zleceniobiorca)
(Kontrasygnata Skarbnika)