Załącznik nr 2 do Zaproszenia Projektowane postanowienia umowy UMOWA nr ……………………….. (zwana dalej „Umową”) zawarta w dniu ……………………./ o którym mowa w § 16 ust. 4 Umowy1 w Warszawie, pomiędzy:

Załącznik nr 2 do Zaproszenia

Projektowane postanowienia umowy

UMOWA nr ……………………….. (zwana dalej „Umową”)

zawarta w dniu ……………………./ o którym mowa w § 16 ust. 4 Umowy¹ w Warszawie,

pomiędzy:

Skarbem Państwa - Głównym Inspektoratem Sanitarnym, adres: Główny Inspektorat Sanitarny, ul. Xxxxxxx 00, 00-000 Xxxxxxxx, NIP: 000-00-00-000, REGON: 016182448, reprezentowanym przez:

Panią Xxxxxx Xxxxxx Xxxxxxx – Dyrektora Generalnego Głównego Inspektoratu Sanitarnego,

zwanym dalej „Zamawiającym”,

a (w zależności od formy organizacyjnej)

Panią/ Panem ……………. prowadzącą/prowadzącym działalność gospodarczą pod nazwą ……., pod adresem ………….. (xx-xxx), wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającą/posiadającym NIP: ……, REGON: ……,

zwaną/zwanym dalej „Wykonawcą”,

lub

Panem/Panią …………………zamieszkałym/ą w ………………………. (xx-xxx), przy ulicy………………………., posiadającą/posiadającym PESEL: ………….. zwaną/zwanym dalej „Wykonawcą”,

lub

……………………………… z siedzibą w ……………………….., adres: …………………………. (xx-xxx), posiadającą NIP: …………………….., REGON: …………………. wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………, ……….. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: ………………………………, o kapitale zakładowym w wysokości² : …………………….zł, opłacony w całości³ , zwaną dalej „Wykonawcą”,

reprezentowaną przez:

…………………………. -……………………

(wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy, kopia dokumentu, który upoważnia przedstawiciela Wykonawcy do zawarcia Umowy, stanowią Załącznik nr 1 do Umowy)

zwanymi dalej łącznie „Stronami” albo każda z osobna „Stroną”.

Z uwagi na wartość umowy nieprzekraczającą 130 000 zł netto, w oparciu o art. 2 ust. 1 pkt 1 ustawy z dnia 11 września 2019 r. - Prawo zamówień publicznych (Dz. U. z 2023 r. poz. 1605, z późn. zm.), nie stosuje się przepisów ustawy.

Przedmiot Umowy

1. W ramach przedmiotu Umowy Wykonawca zobowiązany jest do:

1. wykonania testów bezpieczeństwa Systemu Ewidencji Państwowej Inspekcji Sanitarnej, zwanego dalej „SEPIS”, zgodnie ze szczegółowymi wymaganiami określonymi w opisie przedmiotu zamówienia, zwanym dalej „OPZ”, stanowiącym Załączniku nr 3 do Umowy,

2. przeprowadzenia audytu kodu źródłowego SEPIS zgodnie ze szczegółowymi wymaganiami określonymi w OPZ, celem zidentyfikowania wszelkich istniejących podatności SEPIS,

3. sporządzenia i przekazania Zamawiającemu raportów zawierających opracowanie wyników testów i re-testów bezpieczeństwa oraz audytu kodu źródłowego, a także zaleceń i rekomendacji służących wyeliminowaniu wykrytych podatności i mających na celu poprawę stosowanych przez Zamawiającego zabezpieczeń SEPIS, zwanych dalej „Raportami”,

4. dokonania oceny końcowej bezpieczeństwa SEPIS.

2. Zamawiający potwierdza, iż jest świadomy, że należyta realizacja przedmiotu Umowy może wymagać ingerencji w SEPIS przez Wykonawcę oraz osoby działające w jego imieniu, a także przełamania zabezpieczeń SEPIS. Zamawiający wyraża wobec tego zgodę na takie działania Wykonawcy, udzielając mu jednocześnie prawa dostępu do systemu informatycznego w rozumieniu rozdziału XXXIII Kodeksu karnego, wyłącznie w celu realizacji Umowy i w zakresie w niej wskazanym.

3. Wykonawca wykona Przedmiot Umowy określony w ust. 1 zgodnie z Umową, OPZ oraz Ofertą, stanowiącą Załącznik nr 2 do Umowy.

4. Przedmiot Umowy częściowo realizowany jest w ramach projektu pn. „System powiadamiania o wprowadzeniu do obrotu żywności prozdrowotnej (SPOŻ)”, w ramach działania 2.1 „Wysoka dostępność i jakość e-usług publicznych”, Oś priorytetowa II „E-administracja i otwarty rząd” Programu Operacyjnego Polska Cyfrowa współfinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego, zgodnie z porozumieniem Nr POPC.02.01.00-00-0119/19-00. Wszystkie działania informacyjne i komunikacyjne związane z realizacją Umowy muszą zawierać informację o otrzymaniu wsparcia finansowego z Unii Europejskiej, w związku z tym Wykonawca zobowiązany jest do stosowania w tym zakresie zaleceń i wytycznych Zamawiającego. Szczegółowe wymagania, jakie zobowiązany jest spełnić w powyższym zakresie Zamawiający i do stosowania których zobowiązuje się stosować również Wykonawca, są określone w aktualnym „Podręczniku wnioskodawcy i beneficjenta programów polityki spójności 2014-2020 w zakresie informacji i promocji”.

5. Przyjmuje się, iż:

1. Instytucja Kontrolująca - oznacza Instytucję Pośredniczącą, ministra właściwego do spraw rozwoju regionalnego (Instytucję Zarządzającą), Komisję Europejską, Europejski Trybunał Obrachunkowy, instytucję audytową w rozumieniu art. 5 pkt. 4a ustawy z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju (Dz. U. z 2023 r. poz. 1259, z późn. zm.), a także inne podmioty upoważnione do dokonywania kontroli na podstawie odrębnych przepisów.

2. Instytucja Pośrednicząca - oznacza Centrum Projektów Polska Cyfrowa z siedzibą w Warszawie, adres do doręczeń: Xxxxxxxx 00-000, xx. Spokojna 13a, będące stroną zawartego w dniu 15 lipca 2020 r. z Zamawiającym Porozumienia o dofinansowanie Projektu „System powiadamiania o wprowadzeniu do obrotu żywności prozdrowotnej (SPOŻ)” o numerze POPC.02.01.00-00-0119/19-00.

Warunki realizacji Umowy

1. Wykonawca oświadcza, że posiada odpowiednią wiedzę i doświadczenie pozwalające na wykonanie Przedmiotu Umowy oraz zobowiązuje się wykonać Przedmiot Umowy przy zachowaniu należytej staranności, zgodnie z obowiązującymi przepisami prawa i normami, treścią Umowy oraz uzgodnieniami dokonanymi w trakcie realizacji Umowy.

2. Szczegółowy zakres obowiązków Wykonawcy określa OPZ, stanowiący Załącznik nr 3 do Umowy.

3. Do obowiązków Zamawiającego należy:

1. zapłata wynagrodzenia za wykonanie Przedmiotu Umowy,

2. udostępnienie instancji SEPIS przeznaczonej do badania, kodu źródłowego SEPIS, materiałów lub informacji niezbędnych Wykonawcy dla realizacji Przedmiotu Umowy.

4. Strony zobowiązują się do udzielania sobie informacji w zakresie niezbędnym do realizacji Przedmiotu Umowy.

5. Realizacja Umowy zostanie przeprowadzona w dwóch etapach (iteracjach) zgodnie z terminami prac opisanymi w OPZ.

6. W pierwszym etapie zostanie zrealizowane:

1. przeprowadzenie przez Wykonawcę pierwszego testu bezpieczeństwa SEPIS,

2. rozpoczęcie przez Wykonawcę audytu kodu źródłowego SEPIS,

3. przedstawienie przez Wykonawcę raportu z testów z pierwszej iteracji wraz z rekomendacjami,

4. analiza i odbiór raportu oraz przez wdrożenie poprawek Zamawiającego,

5. re-test Wykonawcy po wdrożeniu poprawek przez Xxxxxxxxxxxxx,

6. sporządzenie przez Wykonawcę raportu z re-testu,

7. analiza i odbiór raportu z re-testu przez Xxxxxxxxxxxxx.

7. W drugim etapie zostanie zrealizowane:

1. przeprowadzenie przez Wykonawcę drugiego testu bezpieczeństwa SEPIS,

2. zakończenie przez Wykonawcę audytu kodu źródłowego SEPIS,

3. przedstawienie przez Wykonawcę raportu z testów z drugiej iteracji wraz z rekomendacjami oraz wynikami audytu kodu źródłowego,

4. analiza raportu i wdrożenie poprawek przez Zamawiającego,

5. re-test Wykonawcy po wdrożeniu poprawek przez Xxxxxxxxxxxxx,

6. sporządzenie przez Wykonawcę raportu z re-testu,

7. analiza i odbiór raportu z re-testu przez Xxxxxxxxxxxxx,

8. przedstawienie przez Wykonawcę raportu końcowego bezpieczeństwa SEPIS.

8. Zamawiający zobowiązuje się współdziałać z Wykonawcą przy wykonywaniu Umowy w zakresie niezbędnym do jej prawidłowej realizacji.

9. Wykonawca jest zobowiązany do dokonywania wszelkich niezbędnych ustaleń mogących wpływać na Przedmiot Umowy z Zamawiającym.

10. Wykonawca ponosi pełną odpowiedzialność za prawidłowe wykonanie Przedmiotu Umowy, w tym odpowiedzialność za działania i zaniechania osób, którymi będzie się posługiwał przy realizacji Umowy, jak za swoje własne.

11. Wykonawca zobowiązany jest bezzwłocznie informować o przeszkodach w należytym wykonywaniu Umowy, w tym również o okolicznościach leżących po stronie Zamawiającego, które mogą mieć wpływ na wywiązanie się Wykonawcy z postanowień Umowy.

12. Wykonawca zobowiązuje się, przy realizacji Przedmiotu Umowy, do przestrzegania przekazanych w trakcie realizacji Przedmiotu Umowy, zasad i przepisów dotyczących bezpieczeństwa informacji oraz systemów informatycznych, obowiązujących u Zamawiającego oraz innych zasad związanych z wykonywaniem czynności na terenie obiektów Zamawiającego. Zobowiązanie to dotyczy wszystkich osób, z pomocą których Wykonawca będzie realizował Przedmiot Umowy.

13. Każda ze Stron może, na żądanie właściwego sądu, organu administracyjnego lub innych upoważnionych organów, udostępnić im informacje dotyczące drugiej Strony w zakresie wskazanym w takim żądaniu.

14. Strony zobowiązują się nie udostępniać, bez pisemnej zgody drugiej Strony, jakichkolwiek informacji oraz materiałów przekazanych przez Stronę, w związku z realizacją Umowy, a także powstałych w trakcie jej wykonywania, z zastrzeżeniem ust. 13.

15. W przypadku wygaśnięcia lub odstąpienia od Umowy, Strony są zobowiązane, na pisemny wniosek drugiej Strony, do zwrotu lub zniszczenia materiałów, jakie otrzymały lub wytworzyły w związku z wykonywaniem Umowy, z wyłączeniem materiałów niezbędnych Stronie do celów księgowo - podatkowych. Strony zobowiązane są do przekazania drugiej Stronie protokołu z przeprowadzonego zniszczenia materiałów.

Termin realizacji Umowy

1. Wykonawca dokona czynności, o których mowa w § 1 ust. 1 Umowy w terminie:

1. etap 1, w terminie …. dni roboczych od dnia zawarcia umowy (zgodnie z Ofertą Wykonawcy),

2. etap 2, w terminie 15 dni roboczych od dnia zawarcia umowy.

2. W terminie 5 dni roboczych od dnia zawarcia Umowy, Wykonawca zobowiązany jest przedstawić Zamawiającemu do akceptacji uzgodniony z nim szczegółowy plan realizacji Umowy, zwany dalej „Planem”.

3. Zamawiający dokona akceptacji Planu w terminie 2 dni roboczych lub zgłosi uwagi lub zastrzeżenia. Wykonawca zobowiązany jest uwzględnić uwagi i zastrzeżenia Zamawiającego w terminie 2 dni roboczych od ich zgłoszenia.

4. Wykonawca zobowiązany jest uwzględnić zgłoszone zastrzeżenia i uwagi w Raportach w terminie 2 dni roboczych od dnia ich zgłoszenia. Jeśli zgłoszone zastrzeżenia i uwagi będą wymagać powtórnego przeprowadzenia choćby części Testów, Wykonawca poinformuje o tym Zamawiającego.

5. Po powtórnym przekazaniu Raportów, zastosowanie znajdą postanowienia ust. 2 – 4 powyżej.

Odbiór Przedmiotu Umowy

1. Dokumentem potwierdzającym wykonanie każdego z dwóch etapów realizacji Przedmiotu Umowy będzie podpisany przez obie strony protokół odbioru częściowego, którego wzór stanowi Załącznik nr 4 do Umowy.

2. Dokumentem potwierdzającym wykonanie Przedmiotu Umowy będzie podpisany przez obie strony protokół odbioru końcowego, którego wzór stanowi Załącznik nr 5 do Umowy.

3. Warunkiem podpisania protokołu końcowego jest podpisanie wszystkich protokołów odbioru częściowego.

4. W przypadku uwag do odbioru, Zamawiający dołącza do odpowiedniego protokołu odbioru ich wykaz.

5. Wykonawca jest zobowiązany odnieść się do przekazanych przez Zamawiającego uwag w terminie 2 dni roboczych od dnia przekazania przez Xxxxxxxxxxxxx odpowiedniego protokołu odbioru z zastrzeżeniami.

6. Ostateczną datą odbioru jest data podpisania odpowiedniego protokołu odbioru bez zastrzeżeń.

Wynagrodzenie i warunki płatności

1. Zamawiający zapłaci Wykonawcy za wykonanie Przedmiotu Umowy wynagrodzenie łączne w wysokości …………. zł netto (słownie: ……………), powiększone o należny podatek VAT w wysokości ………….. zł (słownie: ……………….) co daje łącznie kwotę brutto w wysokości ……………… zł (słownie: ………………..).

2. Wynagrodzenie, o którym mowa w ust. 1, płatne będzie jednorazowo po dokonaniu odbioru końcowego Przedmiotu Umowy.

3. Wynagrodzenie, o którym mowa w ust. 1 pokrywa wszelkie koszty i wydatki Wykonawcy związane z realizacją Przedmiotu Umowy.

4. Wykonawcy poza kwotą wynagrodzenia określonego w ust. 1, nie przysługują żadne roszczenia majątkowe wobec Zamawiającego z tytułu wykonania Przedmiotu Umowy.

5. Wynagrodzenie, o którym mowa w ust. 1 płatne będzie w terminie 21 dni od daty dostarczenia do siedziby Zamawiającego poprawnie wystawionej faktury VAT, po stwierdzeniu przez Zamawiającego wykonania Przedmiotu Umowy w sposób właściwy i zgodny z treścią Umowy. Wynagrodzenie będzie płatne na rachunek bankowy Wykonawcy wskazany na fakturze VAT.

6. Podstawę wystawienia przez Wykonawcę faktury za wykonanie Przedmiotu Umowy, o którym mowa w § 1 ust. 2 pkt 1 Umowy stanowi podpisanie Protokołu odbioru końcowego, którego wzór stanowi Załącznik nr 5 do Umowy, bez zastrzeżeń.

7. Wykonawca może wystawić fakturę w formie papierowej lub elektronicznej.

8. W przypadku wystawienia faktury w formie papierowej, prawidłowo wystawiona faktura powinna być doręczona do siedziby Zamawiającego osobiście przez Wykonawcę lub za pośrednictwem operatora pocztowego na adres Zamawiającego: ul. Xxxxxxx 00, 00‑000 Xxxxxxxx.

9. Wykonawca może wystawić ustrukturyzowaną fakturę elektroniczną w rozumieniu przepisów ustawy z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2020 r. poz. 1666, z późn. zm.); zwanej dalej „ustawą o Fakturowaniu”.

10. W przypadku wystawienia ustrukturyzowanej faktury elektronicznej, o której mowa w ust. 9, Wykonawca jest obowiązany do wysłania jej do Zamawiającego za pośrednictwem Platformy Elektronicznego Fakturowania (dalej „PEF”). Wystawiona przez Wykonawcę ustrukturyzowana faktura elektroniczna winna zawierać elementy, o których mowa w art. 6 ustawy o Fakturowaniu, a nadto faktura lub załącznik do niej musi zawierać numer Umowy.

11. Ustrukturyzowaną fakturę elektroniczną należy wysyłać na następujący adres Zamawiającego na PEF: xxxxx://xxxxxxxxxxxxxxx.xxxxxxxx.xxx.xx; NIP: 525 21 47 194.

12. Za chwilę doręczenia ustrukturyzowanej faktury elektronicznej uznawać się będzie chwilę wprowadzenia prawidłowo wystawionej faktury, zawierającej wszystkie elementy, o których mowa w ust. 10 powyżej, do konta Zamawiającego na PEF, w sposób umożliwiający Zamawiającemu zapoznanie się z jej treścią.

13. Strony zgodnie postanawiają, że w przypadku, gdy Wykonawca nie skorzysta z prawa wystawienia faktury ustrukturyzowanej, przesyłanie faktury odbywać będzie się w formie elektronicznej, w formacie pliku PDF.

14. Strony postanawiają, iż dochowają należytej staranności oraz podejmą wszelkie niezbędne działania, aby przesyłana, w sposób i formacie określonym w ust. 13, faktura cechowała autentyczność pochodzenia, integralność treści i czytelność faktury, zgodnie z wymogami określonymi w art. 106m ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2023 r. poz. 1570, z późn. zm.).

15. Zamawiający udziela akceptacji na przesyłanie faktur elektronicznych w formacie pliku PDF w sposób określony w ust. 13, przy jednoczesnym zachowaniu wymogów określonych w ust. 14.

16. Strony uzgadniają, iż przesyłanie faktur w formie elektronicznej odbywać się będzie za pośrednictwem poczty elektronicznej z następującego adresu e-mail Wykonawcy: ………… na następujący adres e-mail Zamawiającego: xxxxxxxxxxx@xxxxxxx.xxx.xx przy zastosowaniu automatycznej opcji zwrotnego potwierdzenia odbioru.

17. W przypadku nieotrzymania potwierdzenia odbioru Wykonawca poinformuje o tym Zamawiającego i podejmie niezbędne kroki w celu usunięcia istniejącej przeszkody w przesłaniu faktury w formie elektronicznej.

18. Rezygnacja z tej drogi przesyłania faktur jak również zmiana adresów wskazanych w ust. 16, musi zostać poprzedzona poinformowaniem drogą mailową drugiej Strony oraz potwierdzeniem przez tę Stronę przyjęcia proponowanej zmiany. Zmiana ta nie wymaga aneksu do Umowy.

19. Jeżeli dostarczenie faktury drogą, o której mowa w ust. 9 lub ust. 13 z przyczyn technicznych okazało się niemożliwe, faktury zostaną dostarczone w wersji papierowej w sposób wskazany w ust. 8.

20. Jeżeli Wykonawca zdecyduje się na przesyłanie faktur w sposób opisany w ust. 9 lub ust. 13, to deklaruje, że jest to jedyna droga dostarczania faktur do Zamawiającego z wyjątkiem dostarczenia faktury w wersji papierowej, o którym mowa w ust. 8.

21. Zapłata wynagrodzenia nastąpi przelewem na rachunek bankowy wskazany na fakturze, w terminie 21 dni od daty otrzymania przez Zamawiającego prawidłowo sporządzonej faktury, wystawionej zgodnie z obowiązującymi przepisami prawa oraz Umową.

22. Za datę dokonania płatności rozumie się datę obciążenia rachunku bankowego Zamawiającego kwotą przelewu.

23. Wykonawca oświadcza, że jest czynnym podatnikiem podatku od towarów i usług.

24. Wykonawca oświadcza, iż wskazany przez niego rachunek bankowy, o którym mowa w ust. 21, znajduje się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych.

25. Wykonawca zobowiązuje się powiadomić w ciągu 24 godzin Zamawiającego o wykreśleniu jego rachunku bankowego z wykazu, o którym mowa w przepisie art. 96b ust. 1 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2023 r. poz. 1570, z późn. zm.), prowadzonym przez Szefa Krajowej Administracji Skarbowej lub o utracie statusu czynnego podatnika VAT. Naruszenie powyższego obowiązku skutkuje powstaniem roszczenia odszkodowawczego do wysokości poniesionej szkody.

26. Jeżeli rachunek bankowy nie został uwidoczniony w wykazie, o którym mowa w ust. 24, Zamawiający zastrzega sobie możliwość do wstrzymania płatności z faktury do czasu spełnienia wymogów opisanych w ustępach poprzednich, a termin płatności tej faktury ulega wydłużeniu o czas tego opóźnienia. W takim przypadku Wykonawcy nie przysługują odsetki za nieterminową płatność i uprawnienie do wstrzymania lub braku realizacji obowiązków wynikających z Umowy.

27. W przypadku gdy termin zapłaty za fakturę, w związku z wydłużeniem terminu płatności, o którym mowa w ust. 21, przekroczyłby 30 dni kalendarzowych, do którego zachowania Zamawiający jest zobowiązany na podstawie art. 8 ust. 2 ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach (Dz. U. z 2023 poz. 1790) liczonych od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury, Zamawiający zrealizuje płatność na rachunek wskazany przez Wykonawcę i złoży zawiadomienie o zapłacie należności na ten rachunek do naczelnika urzędu skarbowego właściwego dla Wykonawcy w terminie 7 dni od dnia zlecenia przelewu oraz poinformuje Wykonawcę drogą elektroniczną o płatności.

28. Nieprawidłowo wystawiona faktura nie będzie stanowiła podstawy do zapłaty wynagrodzenia i zostanie zwrócona Wykonawcy. W takim przypadku, termin zapłaty należnego Wykonawcy wynagrodzenia biegnie od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury.

29. Wykonawca ma prawo żądać od Zamawiającego ustawowych odsetek w razie opóźnienia w płatności, z zastrzeżeniem ust. 28.

30. Zamawiający oświadcza, że jest podmiotem publicznym w rozumieniu art. 4 pkt 1 ustawy Pzp.

§ 6

Prawa autorskie i majątkowe

1. Wykonawca oświadcza, że opracowane Raporty, o których mowa w § 1 Umowy, będą utworem nowym, indywidualnym, wytworzonym samodzielnie jako dzieło wynikające z realizacji Umowy, spełniającym cechy utworu w rozumieniu do ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2022 r. poz. 2509) zwanej dalej „ustawą o prawie autorskim i prawach pokrewnych”, do których majątkowe prawa autorskie przysługiwać będą wyłącznie Wykonawcy w sposób nieograniczony czasowo i terytorialnie oraz nie będą naruszać jakichkolwiek praw osób trzecich oraz nie będą obciążone jakimikolwiek roszczeniami osób trzecich.

2. W ramach wynagrodzenia, o którym mowa w § 5 ust. 1 Umowy, Wykonawca, stosownie do ustawy o prawie autorskim i prawach pokrewnych przenosi na Zamawiającego, autorskie prawa majątkowe do Raportów oraz innych wytworzonych w wyniku realizacji Umowy i przekazanych Zamawiającemu utworów, zwanych dalej „Utworem” lub „Utworami”, w pełnym nieograniczonym czasowo ani terytorialnie zakresie do korzystania przez Zamawiającego, inne jednostki administracji publicznej oraz osoby trzecie działające na zlecenie lub z upoważnienia Zamawiającego. Przeniesienie autorskich praw majątkowych następuje na polach eksploatacji znanych w dniu zawarcia Umowy, w tym w szczególności na następujących polach eksploatacji:

1. w zakresie utrwalania i zwielokrotniania Utworu – wytwarzanie dowolnej ilości egzemplarzy Utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową, w tym wprowadzania do pamięci komputera;

2. w zakresie obrotu oryginałem lub egzemplarzami, na których Utwór utrwalono – wprowadzanie do obrotu, użyczenie lub najem oryginału lub egzemplarzy;

3. w zakresie rozpowszechniania Utworu w sposób inny niż podany w pkt 2 – publiczne wystawienie, wyświetlanie, odtworzenie, a także publiczne udostępnienie Utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym;

4. korzystania z Utworu w dowolny sposób, w nieograniczonej liczbie kopii oraz przez nieograniczoną liczbę osób;

5. tłumaczenia, przystosowywania, zmiany układu lub innej dowolnej zmiany, w tym: uzupełniania, skracania, przeróbki oraz sporządzenia nowej wersji;

6. wprowadzania do pamięci komputera i do sieci multimedialnej, w tym do Intranetu i Internetu;

7. dokonywania zmiany albo modyfikacji Utworu, jego treści lub jakichkolwiek innych zmian, z zachowaniem wszystkich pól eksploatacji określonych w niniejszym ustępie na części zmienione albo zmodyfikowane;

8. tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian, z zachowaniem praw osoby, która tych zmian dokonała;

9. sporządzania w wersjach obcojęzycznych, bez ograniczeń;

10. dowolnego opracowania i przetwarzania całości lub części, w tym adaptacji, modyfikacji, łączenia, mieszania z innymi utworami lub ich częściami, wykorzystywania jako podstawy lub materiału wyjściowego do tworzenia innych utworów w rozumieniu przepisów ustawy o prawie autorskim i prawach pokrewnych przez Zamawiającego i inne podmioty działające na zlecenie Zamawiającego lub za jego pisemną zgodą.

3. W ramach wynagrodzenia, o którym mowa w § 5 ust. 1 Umowy, Wykonawca wraz z powyższym przeniesieniem autorskich praw majątkowych zezwala na wykonywanie przez Zamawiającego lub osoby trzecie działające na zlecenie lub za zgodą Zamawiającego praw zależnych do opracowania dokumentów, w szczególności do korzystania z Utworów zależnych na polach eksploatacji określonych w ust. 2.

4. Przeniesienie autorskich praw majątkowych i praw zależnych do Utworów nastąpi bezwarunkowo z chwilą przekazania przez Wykonawcę Raportów Zamawiającemu.

5. 5. Wykonawca zobowiązuje się wycenić wartość powstałych Utworów i wskazać ich wartość w protokole odbioru częściowego i końcowego.

6. Z chwilą przeniesienia autorskich praw majątkowych na własność Zamawiającego przechodzą nośniki, dostarczone Zamawiającemu, na których utrwalono Utwory.

7. Wykonawca zobowiązuje się do ponoszenia pełnej odpowiedzialności za wszelkie wady prawne opracowanych Utworów. Jednocześnie Wykonawca zobowiązuje się do zaspokojenia wszelkich roszczeń osób trzecich związanych z wadami prawnymi dokumentu skierowanych wobec Zamawiającego, jak również do zwrotu, kosztów, wydatków, strat i szkód poniesionych przez Zamawiającego z tytułu naruszenia przez Wykonawcę jakichkolwiek praw własności intelektualnej osób trzecich.

8. W przypadku, gdy brak, ograniczenie lub utrata praw Wykonawcy, o których mowa w ust. 1, spowoduje brak, utratę lub ograniczenie praw Zamawiającego w całości lub części, Wykonawca zobowiązuje się na własny koszt nabyć takie prawo na rzecz Zamawiającego lub według wyboru Zamawiającego zmodyfikuje lub wymieni elementy naruszające prawa osób trzecich, pod warunkiem, że modyfikacja nie zmieni zgodności przedmiotu Umowy z postanowieniami Umowy. W przypadku braku usunięcia przez Wykonawcę zgłoszonych przez Zamawiającego naruszeń albo ograniczeń, w szczególności braku dokonania modyfikacji, albo dokonania jej w sposób naruszający Umowę lub prawa osób trzecich, Zamawiający uprawniony będzie do nabycia od osób trzecich odpowiednich praw i obciążenia kosztami nabycia Wykonawcy, bez upoważnienia sądu.

9. W okresie od dnia dostarczenia Utworu Zamawiającemu do momentu podpisania przez strony protokołu odbioru, o którym mowa w § 4 ust. 1 i 2 Umowy, Wykonawca zezwala Zamawiającemu na korzystanie z Utworu na polach eksploatacji wykazanych w ust. 2.

10. Z momentem udostępnienia Wykonawcy SEPIS, Zamawiający upoważnia Wykonawcę do korzystania z SEPIS, w zakresie wskazanym w Umowie i OPZ.

11. Zamawiający uprawnia Wykonawcę do korzystania z SEPIS wyłącznie w celu i w zakresie niezbędnym dla prawidłowej realizacji Umowy, poprzez czasowe zwielokrotnianie SEPIS, w całości lub w części, jakimikolwiek środkami i w jakiejkolwiek formie, w tym zwielokrotnianie dokonywane podczas wprowadzania, wyświetlania, stosowania, przekazywania lub przechowywania.

§ 7

Zatrudnienie na podstawie umowy o pracę

1. Zamawiający wymaga zatrudnienia przez Wykonawcę lub podwykonawcę, na podstawie umowy o pracę, minimum 1 osoby pełniącej rolę koordynatora oraz osoby zastępującej koordynatora w przypadku jej nieobecności (osoby wymienione w Rozdziale VII Opisu Przedmiotu Zamówienia – Wymagania dotyczące zasad współpracy z Zamawiającym), jeżeli wykonanie tych czynności polega na wykonywaniu pracy w sposób określony w art. 22 § 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2023 r. poz. 1465.), dalej zwanej „Kodeksem pracy”.

2. Zatrudnienie na podstawie umowy o pracę przy realizacji Przedmiotu Umowy powinno trwać w okresie od dnia zawarcia Umowy do zakończenia obowiązywania Umowy, a w przypadku rozwiązania stosunku pracy przez zatrudnianą osobę lub osoby, lub przez pracodawcę, lub wygaśnięcia stosunku pracy przed zakończeniem tego okresu, Wykonawca lub podwykonawca obowiązany będzie do zatrudnienia na podstawie umowy o pracę na to miejsce innej osoby lub osób.

3. Wykonawca, przed zawarciem Umowy, przekaże wykaz osób zatrudnionych przy realizacji przedmiotu Umowy, wykonujących czynności, o których mowa w ust. 1, ze wskazaniem stanowisk, czynności, jakie będą wykonywać, wymiaru etatu oraz okresu, na jaki zostały zawarte umowy o pracę wraz z oświadczeniem, że wymienione w wykazie osoby są zatrudnione przez Wykonawcę lub podwykonawcę na podstawie umowy o pracę i będą otrzymywać, co najmniej wymagane minimalne miesięczne wynagrodzenie lub minimalną stawkę godzinową ustaloną na podstawie przepisów o minimalnym wynagrodzeniu za pracę. W przypadku konieczności wprowadzenia w trakcie realizacji Umowy zmian w wykazie osób zatrudnionych na umowę o pracę, dostarczonym przez Wykonawcę przed zawarciem Umowy, Wykonawca powiadomi Zamawiającego o zmianie i dostarczy najpóźniej w dniu rozpoczęcia pracy przez nowego pracownika, zmieniony wykaz wraz z oświadczeniem zawierającym informacje określone w zdaniu pierwszym. Aktualizacja wykazu osób zatrudnionych nie wymaga sporządzenia aneksu do Umowy.

4. W przypadku niezatrudnienia, na zasadach opisanych powyżej, osób wykonujących wskazane w ust. 1 czynności, Wykonawca będzie zobowiązany do zapłacenia Zamawiającemu kary umownej w wysokości i na zasadach określonych w § 8 ust. 2 Umowy.

5. W celu weryfikacji zatrudnienia przez Wykonawcę lub podwykonawcę, na podstawie umowy o pracę, osób wykonujących wskazane w ust. 1 czynności w zakresie realizacji przedmiotu Umowy, Zamawiający zastrzega sobie możliwość żądania od Wykonawcy na każdym etapie realizacji Umowy złożenia w wyznaczonym przez Zamawiającego terminie, nie krótszym niż 5 dni:

   1. oświadczenia zatrudnionego pracownika;

   2. oświadczenia Wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę. Oświadczenie to powinno zawierać w szczególności: dokładne określenie podmiotu składającego oświadczenie, datę złożenia oświadczenia, wskazanie, że objęte wezwaniem czynności wykonują osoby zatrudnione na podstawie umowy o pracę wraz ze wskazaniem liczby tych osób, imion i nazwisk tych osób, rodzaju umowy o pracę i wymiaru etatu oraz podpis osoby uprawnionej do złożenia oświadczenia w imieniu Wykonawcy;

   3. poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika (wraz z dokumentem regulującym zakres obowiązków, jeżeli został sporządzony). Kopia umowy/umów powinna zostać zanonimizowana w sposób zapewniający ochronę danych osobowych pracowników (tj. w szczególności bez adresów, nr PESEL pracowników). Imię i nazwisko pracownika nie podlega anonimizacji. Informacje takie jak: data zawarcia umowy, rodzaj umowy o pracę i wymiar etatu powinny być możliwe do zidentyfikowania; lub

   4. zaświadczenie właściwego oddziału ZUS, potwierdzające opłacanie przez Wykonawcę składek na ubezpieczenia społeczne i zdrowotne z tytułu zatrudnienia na podstawie umów o pracę za ostatni okres rozliczeniowy; lub

   5. poświadczoną za zgodność z oryginałem odpowiednio przez Wykonawcę kopię dowodu potwierdzającego zgłoszenie pracownika przez pracodawcę do ubezpieczeń, zanonimizowaną w sposób zapewniający ochronę danych osobowych pracowników, imię i nazwisko pracownika nie podlega anonimizacji.

6. Wykonawca oświadcza, że w celu zrealizowania obowiązku wynikającego z art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.5.2016, s. 1, z późn. zm.), zwanego dalej „RODO", zobowiązuje się poinformować osoby wskazane w wykazie osób o przekazaniu ich danych osobowych do Zamawiającego w celu realizacji niniejszej Umowy. Wykonawca zobowiązuje się przestrzegać przepisów RODO.

7. Wykonawca przedstawiając dokumenty powinien przekazać je w sposób nienaruszający przepisów dotyczących ochrony danych osobowych (tj. dokumenty powinny mieć odpowiednio ukryte/usunięte dane, które nie są niezbędne do potwierdzenia formy zatrudnienia np. w zakresie adresu osoby fizycznej, jej wynagrodzenia itp. – pozostawiając imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy lub rozpoczęcia pracy, wymiar etatu oraz zakres obowiązków pracownika).

8. W przypadku uzasadnionych wątpliwości, co do przestrzegania prawa pracy przez Wykonawcę, Zamawiający zastrzega sobie prawo do zwrócenia się do Państwowej Inspekcji Pracy z wnioskiem o wszczęcie kontroli.

§ 8

Kary umowne

1. Wykonawca zobowiązany jest zapłacić Zamawiającemu kary umowne, bez względu na to czy szkoda faktycznie zaistniała, w przypadku:

1. nienależytego wykonania Przedmiotu Umowy – w wysokości 10 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy za każdy przypadek takiego naruszenia (naruszenia innego niż określonego w pkt. 3-7 poniżej);

2. odstąpienia od Umowy lub jej części przez którąkolwiek ze Stron z przyczyn leżących po stronie Wykonawcy, o których mowa w § 11 Umowy – w wysokości 20 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy;

3. opóźnienia Wykonawcy w wykonaniu zobowiązania, o którym mowa w § 3 ust. 1 pkt 1 Umowy – w wysokości 0,1 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy, za każdy rozpoczęty dzień roboczy opóźnienia;

4. w przypadku naruszenia któregokolwiek zobowiązania, o których mowa w § 10 i § 11 Umowy, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w kwocie 10 000 (słownie: dziesięć tysięcy) złotych za każde naruszenie;

5. opóźnienia Wykonawcy w usunięciu wad stwierdzonych przy odbiorze częściowym lub końcowym Przedmiotu Umowy - w wysokości 0,1 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy, za każdy rozpoczęty dzień roboczy opóźnienia, liczony od upływu terminu wyznaczonego, jako termin do usunięcia wad do dnia dostarczenia należycie sporządzonego Przedmiotu Umowy.

2. Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 50% kwoty minimalnego wynagrodzenia za pracę ustalonego na podstawie przepisów o minimalnym wynagrodzeniu za pracę za każdy miesiąc w okresie realizacji Umowy, w którym nie dopełniono obowiązku określonego w § 7 ust. 1 Umowy. Kara w ww. wysokości będzie naliczana odrębnie w odniesieniu do każdej osoby, w stosunku do której Wykonawca nie wypełnił wymogu zatrudnienia na podstawie umowy o pracę.

3. Kara umowna, o której mowa w ust. 2 zostanie naliczona także w sytuacji, gdy w wyniku kontroli Państwowej Inspekcji Pracy wykazane zostaną nieprawidłowości potwierdzające niedopełnienie obowiązku zatrudnienia na podstawie umowy o pracę osób wykonujących czynności, o których mowa w § 7 ust. 1 Umowy.

4. Nieprzekazanie (do wglądu) dokumentów umożliwiających kontrolę zatrudnienia, o których mowa w § 7 ust. 3 i ust. 5, w terminie wskazanym przez Zamawiającego, będzie skutkowało zapłatą przez Wykonawcę na rzecz Zamawiającego kary umownej w wysokości 500 zł (słownie: pięćset złotych) za każdy taki przypadek.

5. Zapłata kar umownych nie zwalnia Wykonawcy z obowiązku wykonania Umowy. Niniejsze postanowienie nie dotyczy kary umownej określonej w § 8 ust. 1 pkt 2.

6. Zamawiający ma prawo do dochodzenia odszkodowania uzupełniającego na zasadach ogólnych, jeżeli szkoda po stronie Zamawiającego przewyższy wysokość zastrzeżonych kar umownych.

7. Strony określają limit kar umownych naliczonych na podstawie Umowy na 20% łącznego wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy.

8. Zamawiający może potrącić kary umowne z wynagrodzenia należnego Wykonawcy, choćby którakolwiek z wierzytelności przedstawionych do potrącenia przez Zamawiającego była niewymagalna lub niezaskarżalna. Wykonawca wyraża na powyższe zgodę. W przypadku braku pokrycia nałożonych kar umownych w kwotach pozostałych do zapłaty, Wykonawca zobowiązuje się do uregulowania kary w terminie 14 dni od dnia doręczenia Wykonawcy noty obciążeniowej w formie pisemnej lub elektronicznej.

9. Za nienależyte wykonanie Przedmiotu Umowy należy uznać w szczególności realizację Umowy w sposób odbiegający jakościowo i ilościowo od ustalonego przez Strony, wadliwy, sprzeczny z Umową.

§ 9

Odstąpienie od Umowy

1. Zamawiający zastrzega sobie prawo odstąpienia od całości lub części Umowy w trybie natychmiastowym (bez wyznaczania Wykonawcy dodatkowego terminu w tym zakresie) w następujących okolicznościach:

1) w przypadku, gdy Wykonawca będzie opóźniał się w wykonaniu przedmiotu Umowy przez co najmniej 7 dni kalendarzowych w stosunku do terminu, o którym mowa w § 3 ust. 1 Umowy;

2) realizacji Przedmiotu Umowy niezgodnego z Umową;

3) naruszenia przez Wykonawcę lub osoby/podmioty, za pomocą których realizuje Umowę, zasad poufności;

4) dalszego nienależytego realizowania Umowy pomimo pisemnego upomnienia Wykonawcy przez Xxxxxxxxxxxxx;

5) gdy Wykonawca realizuje Umowę za pośrednictwem podwykonawców, o udziale których nie poinformował Zamawiającego;

6) gdy suma kar umownych przekroczy wartość 20% wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy;

7) w razie zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy, lub dalsze wykonywanie Umowy może zagrozić podstawowemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu.

2. Zamawiający może odstąpić od Umowy w przypadkach, o których mowa w ust. 1, w terminie 30 dni kalendarzowych od dnia powzięcia przez Zamawiającego wiadomości o zaistnieniu przyczyny do odstąpienia.

3. Zamawiający może również odstąpić od Umowy w całości lub w części w innych sytuacjach przewidzianych w przepisach obowiązującego prawa, w tym w Kodeksie cywilnym.

4. Odstąpienie od Umowy wymaga uzasadnienia oraz zachowania formy pisemnej pod rygorem nieważności.

§ 10

Ochrona danych osobowych

1. Strony wzajemnie oświadczają, że dane osobowe udostępnione drugiej Stronie zgodnie z Umową lub w związku z jej realizacją, przetwarzane są przez każdą ze Stron na potrzeby wykonywania Umowy, przez okres jej trwania, z uwzględnieniem ustawowych terminów przechowywania dokumentacji – w trybie i na zasadach określonych w RODO.

2. Każda ze Stron zobowiązuje się do przetwarzania danych osobowych zgodnie z powszechnie obowiązującymi przepisami oraz postanowieniami Umowy.

3. Wykonawca oświadcza, że spełnia wymogi wynikające z RODO, oraz że dysponuje środkami technicznymi i organizacyjnymi wystarczającymi do zapewnienia bezpieczeństwa powierzonych mu danych osobowych, w tym do ich zabezpieczenia przed nieuprawnionym ujawnieniem lub nieuprawnionym dostępem, przypadkowym lub niezgodnym z prawem zniszczeniem, utratą lub modyfikacją, a także środkami wystarczającymi do zapewnienia zgodności przetwarzania danych osobowych z obowiązującymi przepisami i z niniejszą Umową.

4. Każda ze Stron zobowiązuje się do wykonywania wobec osób, których dane udostępniła drugiej Stronie, obowiązku informacyjnego wynikającego z RODO, poprzez przedłożenie klauzuli informacyjnej stanowiącej Załącznik nr 6 i nr 7 do Umowy.

5. Wykonawca zobowiązuje się, że w przypadku wyznaczenia lub wskazania osób do działania lub współdziałania, w jakiejkolwiek formie lub zakresie, przy wykonywaniu Umowy, najpóźniej wraz z przekazaniem Zamawiającemu danych osobowych tych osób, poinformuje pisemnie każdą z nich, o zasadach i podstawie przetwarzania jej danych osobowych przez Zamawiającego, przedstawiając im klauzulę informacyjną stanowiącą Załącznik nr 6 i nr 7 do Umowy.

6. Wykonawca udostępni, na żądanie Zamawiającego, potwierdzenie wykonania obowiązku informacyjnego, o którym mowa w ust. 4 i 5 powyżej.

7. Strony zgodnie oświadczają, że realizacja Przedmiotu Umowy wiąże się z przetwarzaniem danych osobowych osób upoważnionych do reprezentowania Stron i osób realizujących Przedmiot Umowy w imieniu Wykonawcy.

8. Wykonawca zobowiązuje się do zawarcia umowy powierzenia przetwarzania danych osobowych, która stanowi Załącznik nr 8 do Umowy, przed przystąpieniem do realizacji Przedmiotu Umowy.

§ 11

Poufność informacji

1. Z zastrzeżeniem postanowień ust. 3, Wykonawca zobowiązuje się do zachowania w poufności i nieujawniania wszelkich dotyczących Zamawiającego danych i informacji uzyskanych w jakikolwiek sposób (zamierzony lub przypadkowy) w związku z wykonywaniem Umowy, bez względu na sposób i formę ich przekazania, bez konieczności ich oznaczania jako poufne w chwili udostępnienia, nazywanych dalej łącznie "Informacjami Poufnymi". Wykonawca zobowiązuje się do ich wykorzystywania wyłącznie do celów związanych z wykonywaniem Przedmiotu Umowy.

2. Do Informacji Poufnych zaliczane będą w szczególności wszelkie informacje i dokumenty o charakterze technicznym, technologicznym, handlowym, organizacyjnym lub związane z działalnością Zamawiającego oraz wszelkie inne informacje posiadające ekonomiczną wartość, które nie są powszechnie znane.

3. Obowiązek o którym mowa w ust. 1, obowiązuje Wykonawcę zarówno w czasie trwania Umowy, jak też po jej wygaśnięciu, w tym odstąpieniu. Mając jednakże na uwadze treść art. 365¹ Kodeksu cywilnego – Strony na wypadek uznania, iż przepis ten ma zastosowanie do zobowiązania do zachowania poufności informacji poufnych, przewidują 50-letni okres wypowiedzenia niniejszego zobowiązania, z zastrzeżeniem przepisów prawa powszechnie obowiązującego, w szczególności RODO.

4. Wykonawca zobowiązuje się do:

1. zachowania w tajemnicy wszelkich informacji przekazywanych przez Xxxxxxxxxxxxx w związku z wykonywaniem Umowy, jak i wszelkich informacji zebranych w trakcie poprzedzającym jej zawarcie, niezależnie od formy w jakiej zostały przekazane;

2. ujawnienia Informacji Poufnych wyłącznie osobom, którymi się posługuje lub którym powierza wykonanie Umowy w celu i w zakresie niezbędnym do jej wykonania;

3. poinformowania osób, o których mowa w pkt 2 powyżej, o poufnym charakterze informacji i pouczenia w sprawie ich traktowania jako poufnych;

4. niewykorzystywania, niekopiowania, niepowielania, nierozpowszechniania jakiejkolwiek Informacji Poufnej lub jej części, za wyjątkiem przypadków gdy jest to niezbędne dla wykonania Umowy.

5. Obowiązku zachowania poufności, o którym mowa w ust. 1, nie stosuje się do danych i informacji:

1. dostępnych publicznie lub które staną się publicznie dostępne w inny sposób niż poprzez naruszenie obowiązku zachowania poufności;

2. otrzymanych przez Wykonawcę, zgodnie z przepisami prawa powszechnie obowiązującego, od osoby trzeciej bez naruszenia jakiegokolwiek zobowiązań do zachowania poufności;

3. które w momencie ich przekazania przez Zamawiającego były już znane Wykonawcy, pod warunkiem, iż nie zostały objęte obowiązkiem zachowania poufności oraz że zostały one uzyskane bez naruszenia prawa;

4. w stosunku do których Wykonawca uzyskał pisemną zgodę Zamawiającego na ich ujawnienie.

6. W przypadku, gdy ujawnienie Informacji Poufnych przez Wykonawcę jest wymagane na podstawie przepisów prawa powszechnie obowiązującego, Wykonawca poinformuje Zamawiającego o przyczynach i zakresie ujawnionych Informacji Poufnych. Poinformowanie takie powinno nastąpić w formie pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej Zamawiającego, chyba że takie poinformowanie Zamawiającego byłoby sprzeczne z przepisami prawa powszechnie obowiązującego.

7. Wykonawca zobowiązuje się do:

1. dołożenia właściwych starań w celu zabezpieczenia Informacji Poufnych przed ich utratą, zniekształceniem oraz dostępem nieupoważnionych osób trzecich;

2. niewykorzystywania Informacji Poufnych w celach innych niż wykonanie Umowy.

8. Wykonawca zobowiązuje się do poinformowania osób, przy pomocy których wykonuje Umowę i które będą miały dostęp do Informacji Poufnych, o wynikających z Umowy obowiązkach w zakresie zachowania poufności, a także do skutecznego zobowiązania i egzekwowania od tych osób obowiązków w zakresie zachowania poufności. Za ewentualne naruszenia tych obowiązków przez osoby trzecie Wykonawca ponosi odpowiedzialność jak za własne działania.

9. W przypadku utraty lub zniekształcenia Informacji Poufnych lub dostępu nieupoważnionej osoby trzeciej do Informacji Poufnych, Wykonawca bezzwłocznie podejmie odpowiednie do sytuacji działania ochronne oraz poinformuje o sytuacji Zamawiającego. Poinformowanie takie, w formie pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej Zamawiającego, powinno opisywać okoliczności zdarzenia, zakres i skutki utraty, zniekształcenia lub ujawnienia Informacji Poufnych oraz podjęte działania ochronne.

10. Po wykonaniu Umowy oraz w przypadku rozwiązania Umowy lub odstąpienia od Umowy przez którąkolwiek ze Stron, Wykonawca bezzwłocznie zwróci Zamawiającemu lub komisyjnie usunie wszelkie Informacje Poufne w sposób uniemożliwiający ich przywrócenie. W przypadku komisyjnego usunięcia ww. Informacji, Wykonawca jest zobowiązany poinformować Zamawiającego o tym fakcie, bez zbędnej zwłoki. Obowiązek usunięcia lub zwrotu Informacji Poufnych, o którym mowa powyżej nie dotyczy przypadków, w których na Wykonawcy ciąży obowiązek przechowywania tych informacji przez określony czas wynikający z przepisów prawa lub w przypadku, gdy Zamawiający wyrazi zgodę na dalsze przechowywanie Informacji Poufnych przez Wykonawcę.

11. Ustanowione Umową zasady zachowania poufności Informacji Poufnych, jak również przewidziane w Umowie kary umowne z tytułu naruszenia zasad zachowania poufności Informacji Poufnych, obowiązują zarówno podczas wykonania Umowy, jak i po jej wygaśnięciu.

12. W przypadku udokumentowanego naruszenia zasad zachowania poufności Informacji Poufnych, Zamawiający naliczy karę umowną, o której mowa w § 8 ust. 1 pkt 4 Umowy. W sytuacji, o której mowa w zdaniu pierwszym, oprócz nałożonej kary, Zamawiający będzie miał również prawo do odstąpienia od Umowy z przyczyn leżących po stronie Wykonawcy.

§ 12

Kontrola i oświadczenia Stron

1. Wykonawca zobowiązuje się do udzielania, na żądanie Zamawiającego, informacji związanych z realizacją Umowy, w szczególności informacji dotyczących postępów prac, przyczyn opóźnień lub przyczyn nienależytego wykonywania Umowy. W ramach tego obowiązku Wykonawca przedstawi Zamawiającemu wszelkie dane i dokumenty związane z realizacją Umowy, a także zapewni udzielenie wyjaśnień przez członków personelu Wykonawcy.

2. Wykonawca zobowiązuje się poinformować Zamawiającego o pojawieniu się jakichkolwiek okoliczności zagrażających należytemu lub terminowemu wykonaniu Umowy, niezwłocznie po ich rozpoznaniu.

3. Wykonawca zobowiązuje się do poinformowania Zamawiającego, w formie pisemnej pod rygorem nieważności, o:

   1. złożeniu do sądu wniosku o ogłoszenie upadłości Wykonawcy oraz każdej zmianie w tym zakresie;

   2. otwarciu likwidacji oraz każdej zmianie w tym zakresie;

   3. toczącym się wobec Wykonawcy jakimkolwiek postępowaniu egzekucyjnym, karnym skarbowym lub o zajęciu składników majątku Wykonawcy oraz każdej zmianie w tym zakresie.

4. Strony potwierdzają, że ilekroć Umowa przewiduje uprawnienie Zamawiającego do żądania od Wykonawcy udzielenia informacji, uprawnienie to przysługuje także Instytucji Kontrolującej. Instytucja Kontrolująca może ponadto żądać udzielenia jej informacji, do której udzielenia Zamawiającemu Wykonawca jest zobowiązany bez uprzedniego żądania.

5. Wykonawca zobowiązuje się do poddania kontrolom w zakresie sposobu, jakości i terminowości realizacji Umowy, prowadzonym przez Instytucję Kontrolującą – za pośrednictwem jej personelu lub z wykorzystaniem osób trzecich. Wykonawca zobowiązuje się do niezwłocznego:

1. zaprezentowania i udostępnienia Instytucji Kontrolującej rezultatów prowadzonych prac w ramach realizacji Umowy;

2. przedstawienia Instytucji Kontrolującej wszelkich informacji i dokumentów związanych z realizacją Umowy, w szczególności rachunków i faktur, umów z podwykonawcami, protokołów, oświadczeń i raportów;

3. udzielenia Instytucji Kontrolującej niezbędnych wyjaśnień.

6. Wykonawca zapewni osobom prowadzącym kontrolę z ramienia Instytucji Kontrolującej dostęp do pomieszczeń i infrastruktury, w tym teleinformatycznej, związanych z realizacją Umowy. Osoby prowadzące kontrolę z ramienia Instytucji Kontrolującej będą uprawnione do przeprowadzenia niezbędnych oględzin.

7. Jeśli Strony będą korzystać z systemu teleinformatycznego służącego do prowadzenia komunikacji i rejestrowania decyzji w ramach realizacji Umowy, Instytucja Kontrolująca będzie uprawniona do żądania wglądu do takiego systemu, jak również uzyskania kopii jego zawartości.

8. Instytucja Pośrednicząca jest uprawniona do uczestniczenia we wszelkich procedurach odbiorowych - dotyczących zarówno rezultatów poszczególnych etapów realizacji Umowy, jak i rezultatów całości Umowy (odbioru końcowego). W tym celu Instytucja Pośrednicząca uzyska dostęp do niezbędnych dokumentów i informacji oraz będzie uprawniona do żądania wyjaśnień.

9. Wszelkie ustanowione w Umowie zobowiązania Stron do nieujawniania informacji poufnych nie dotyczą Instytucji Kontrolującej. Jest ona uprawniona do dostępu do wszelkich informacji poufnych należących do Zamawiającego lub Wykonawcy, związanych z realizacją Umowy.

10. Wykonawca zobowiązany jest, na wezwanie Zamawiającego lub Instytucji Pośredniczącej, wziąć udział w wywiadach, ankietach oraz badaniach ewaluacyjnych.

§ 13

Korespondencja pomiędzy przedstawicielami Stron

1. Strony wyznaczają następujących przedstawicieli upoważnionych do współpracy w zakresie realizacji Przedmiotu Umowy oraz podpisania protokołu odbioru częściowego i końcowego:

1. po stronie Zamawiającego:

1. ……………, tel. ………………, e-mail ……………………..,

2. ……………, tel. ………………, e-mail ……………………..,

2. po stronie Wykonawcy:

1. …………...., tel. ………………, e-mail …………………….,

2. …………...., tel. ………………, e-mail ……………………..

2. Zmiana przedstawicieli lub danych teleadresowych, o których mowa w ust. 1, nie stanowi zmiany Umowy wymagającej sporządzenia aneksu i może być dokonana przez każdą ze Stron poprzez pisemną informację przekazaną drugiej Stronie, pod rygorem nieuwzględnienia zmiany.

3. Strony wskazują następujący adres do doręczeń:

1. Zamawiający: Główny Inspektorat Sanitarny ul. Xxxxxxx 00, 00-000 Xxxxxxxx;

2. Wykonawca: ……………… ul. ……………….., ……………………..

4. W przypadku zmiany adresu do doręczeń przez którąkolwiek ze Stron, powiadomi ona o tym fakcie drugą Stronę na piśmie najpóźniej w dniu następującym po tej zmianie. W przypadku braku takiego powiadomienia doręczenie dokonane na ostatnio wskazany adres będzie uważane za skuteczne. Powiadomienie o powyższej zmianie nie stanowi zmiany Umowy i nie wymaga sporządzenia aneksu.

5. Strony udostępniają sobie wzajemnie dane osobowe (dane służbowe) Stron/reprezentantów Stron, oraz osób uczestniczących w wykonaniu Umowy (do kontaktu), w oparciu o zawarte umowy o pracę bądź umowy cywilnoprawne, których przetwarzanie jest konieczne m. in. do celów wynikających z prawnie uzasadnionych interesów administratora, tj. zawarcia i wykonania Umowy, zgodnie z art. 6 ust. 1 lit. f RODO lub jest konieczne do zawarcia i realizacji Przedmiotu Umowy, zgodnie z art. 6 ust. 1 lit. b RODO.

6. Strony oświadczają, że każda z nich przekaże osobom, o których mowa w ust. 1 oraz 5 w imieniu drugiej Strony informacje określone w art. 14 RODO, jeśli otrzyma od drugiej Strony treść takich informacji podlegających przekazaniu osobom, o których mowa w ust. 1 oraz 5.

§ 14

Podwykonawstwo

1. Wykonawca jest uprawniony do powierzenia wykonania części przedmiotu Umowy Podwykonawcom, z zastrzeżeniem poniższych postanowień.

2. Wykonawca wykona Umowę przy udziale następujących Podwykonawców: ………………………. - w zakresie…………………….⁴

3. Wykonawca nie może powierzyć wykonania przedmiotu Umowy innym podmiotom bez uprzedniej, pisemnej zgody Zamawiającego. W przypadku naruszenia niniejszego postanowienia Zamawiający może odstąpić od Umowy.

4. W przypadku wyrażenia przez Zamawiającego zgody, o której mowa w ust. 3, za działania lub zaniechania podmiotów, którym Wykonawca powierzył wykonanie części przedmiotu Umowy, Wykonawca odpowiada jak za własne działania lub zaniechania.

5. Wykonawca zobowiązany jest do poinformowania Zamawiającego pisemnie o każdej zmianie danych dotyczących Podwykonawców, jak również o ewentualnych nowych Podwykonawcach, którym zamierza powierzyć prace w ramach realizacji Umowy.

6. Zamawiający jest uprawniony do odmowy współdziałania z Podwykonawcą, o udziale którego nie uzyskał informacji, do czasu przekazania przez Wykonawcę niezbędnych danych.

7. Jeżeli zmiana albo rezygnacja z podwykonawcy dotyczy podmiotu, na którego zasoby Wykonawca powoływał się na zasadach określonych w art. 118 ust. 1 ustawy Pzp, w celu wykazania spełniania warunków udziału w postępowaniu, o których mowa w art.112 ustawy Pzp, Wykonawca jest obowiązany wykazać Zamawiającemu, iż proponowany inny podwykonawca lub Wykonawca samodzielnie spełnia je w stopniu nie mniejszym niż wymagany w trakcie postępowania o udzielenie zamówienia oraz, że nie zachodzą wobec niego podstawy wykluczenia takie same jak zastosowane wobec Wykonawcy na etapie postępowania o udzielenie zamówienia.

8. Wykonawca ponosi odpowiedzialność za dochowanie przez Podwykonawców warunków Umowy (w tym odnoszących się do informacji poufnych, o których mowa w § 11 Umowy) oraz odpowiada za ich działania lub zaniechania jak za swoje własne.

§ 15

Zmiany Umowy

1. Wszelkie zmiany postanowień Umowy mogą nastąpić jedynie za zgodą Stron wyrażoną w formie pisemnej, pod rygorem nieważności, z zastrzeżeniem wyjątków wynikających z Umowy.

2. Strony przewidują możliwość wprowadzenia zmian postanowień Umowy w przypadku wystąpienia, w szczególności jednej z okoliczności wymienionych poniżej:

1. zmiany terminu realizacji Umowy z powodu wystąpienia siły wyższej, mającej bezpośredni wpływ na terminowość realizacji Przedmiotu Umowy lub zaistnieniem przyczyn niezależnych od działania Stron, których przy zachowaniu wszelkich należytych środków lub należytej staranności nie można było uniknąć ani im zapobiec;

2. zmiany terminu realizacji Umowy, w tym terminów szczegółowych, zmiany sposobu rozliczania Umowy lub dokonywania płatności na rzecz Wykonawcy wskutek zaistnienia zmian w zawartej przez Zamawiającego umowie o dofinansowanie projektu pn.: „System powiadamiania o wprowadzeniu do obrotu żywności prozdrowotnej (SPOŻ)” lub też z uwagi na zmiany w innych umowach zawartych w ramach projektu a mających wpływ na realizację Umowy;

3. zmieniony zostanie sposób lub zakres realizacji Przedmiotu Umowy, ze względu na zmianę przepisów prawa powszechnie obowiązującego, która ma na to wpływ;

5) zmienione zostanie (zwiększone lub zmniejszone) wynagrodzenie należne Wykonawcy, w sytuacji gdy, nastąpi zmiana wysokości stawki podatku VAT oraz podatku akcyzowego poprzez wprowadzenie nowej stawki VAT lub podatku akcyzowego dla towarów, których ta zmiana będzie dotyczyć;

8) zmieniona zostanie Strona Umowy, wynikająca ze zmian organizacyjnych niezależnych od Zamawiającego np. poprzez podział Jednostki lub połączenie Jednostek;

9) zostanie wprowadzona zmiana, wynikająca z omyłki pisarskiej zawartej w Umowie.

3. Wszystkie powyższe postanowienia stanowią katalog zmian, na które Zamawiający może wyrazić zgodę lub nie - bez podawania uzasadnienia odmowy.

4. Warunkiem dokonania zmian, o których mowa w ust. 2 jest złożenie pisemnego wniosku, przez stronę inicjującą zmianę, zawierającego x.xx. dokładny opis propozycji zmian oraz uzasadnienie celowości tych zmian. Zmiany obowiązują z dniem podpisania aneksu lub ich akceptacji przez drugą Stronę.

5. Zamawiający jest uprawniony do żądania od Wykonawcy wyjaśnień i dowodów na okoliczności zawarte przez niego we wniosku w celu jednoznacznego rozstrzygnięcia czy zmiana jest zasadna.

6. Strony mogą wprowadzić również inne zmiany, jeżeli będzie to dopuszczalne w świetle powszechnie obowiązujących przepisów.

§ 16

Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie w szczególności przepisy Kodeksu cywilnego, ustawy o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

2. W granicach wyznaczonych przez bezwzględnie obowiązujące przepisy prawa, nieważność któregokolwiek z postanowień Umowy, w tym również postanowienia zawartego w załącznikach, pozostaje bez wpływu na ważność pozostałych postanowień Umowy. W przypadku uznania niektórych postanowień Umowy za nieważne, Strony będą dążyć do zastąpienia nieważnych postanowień postanowieniami wywołującymi taki sam skutek gospodarczy.

3. Strony ustalają, iż w przypadku zaistnienia jakichkolwiek sporów w związku z Umową, będą dążyły do ich rozstrzygania w sposób polubowny w drodze negocjacji. W przypadku nie dojścia do porozumienia przez Xxxxxx w terminie 14 dni od dnia otrzymania zawiadomienia o sporze, każda ze Stron może poddać rozstrzygnięcie sporu sądowi powszechnemu, właściwemu miejscowo dla siedziby Zamawiającego.

4. Umowa została sporządzona w formie pisemnej w 3 (trzech) egzemplarzach: 2 (dwa) dla Zamawiającego i 1 (jeden) dla Wykonawcy/ w formie elektronicznej zgodnie z art. 78¹ § 1 k.c. pod rygorem nieważności i zawarta w dacie złożenia podpisu przez ostatnią ze Stron⁵.

5. Integralną część Umowy stanowią załączniki:

1. Załącznik nr 1 – Wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Wykonawcy/wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy/ kopia dokumentu, który upoważnia przedstawiciela Wykonawcy do zawarcia Umowy;

2. Załącznik nr 2 – Oferta Wykonawcy;

3. Załącznik nr 3 – Opis Przedmiotu Zamówienia;

4. Załącznik nr 4 – Protokół odbioru częściowego;

5. Załącznik nr 5 – Protokół odbioru końcowego;

6. Załącznik nr 6 – Klauzula informacyjna Zamawiającego;

7. Załącznik nr 7 – Klauzula informacyjna stanowiąca realizację obowiązku informacyjnego Instytucji Pośredniczącej;

8. Załącznik nr 8 – Umowa powierzenia przetwarzania danych osobowych.

ZAMAWIAJĄCY: WYKONAWCA:

Załącznik nr 3 – Opis Przedmiotu Zamówienia

OPIS PRZEDMIOTU ZAMÓWIENIA

1. Słownik pojęć i skrótów

Termin	Definicja
Aplikacja kliencka	Aplikacja WEB systemu SEPIS pozwalająca użytkownikowi końcowemu na realizację przewidzianych przypadków użycia systemu przy pomocy graficznego interfejsu użytkownika.
Aplikacja serwerowa	Aplikacja systemu SEPIS, działająca po stronie serwera, dostarczająca zestaw funkcji biznesowych poprzez interfejs programistyczny (API) dla aplikacji klienckiej oraz systemów zewnętrznych.
Błąd	Wszelkie błędy związane z bezpieczeństwem przechowywania i przetwarzania danych, które mogą wpłynąć na: uwierzytelnianie, niezaprzeczalność, poufność, integralność, dostępność, rozliczalność. Wszelkie awarie związane z bezpieczeństwem dostępu do systemu SEPIS (w tym nieautoryzowanym dostępem do danych).
Dzień Roboczy	Dzień od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy w Polsce, w godz. 8:15 – 16:15.
Dokumentacja	Wszelka dokumentacja dotycząca wdrażanego rozwiązania lub jakichkolwiek innych prac Wykonawcy, która jest dostarczana lub powstanie w ramach realizacji przedmiotu zamówienia, w tym np. dokumentacja analityczna, testowa, powykonawcza i eksploatacyjna.
Funkcjonalność krytyczna	Funkcjonalność systemu SEPIS niezbędna z punktu widzenia bezpieczeństwa oraz zachowania ciągłości działania systemu.
Inspekcja	Państwowa Inspekcja Sanitarna.
Kod źródłowy	Słowniki, skrypty, definicje, pliki źródłowe bazy danych, jak również biblioteki, algorytmy oraz jakiekolwiek inne symboliczne lub konwencjonalne przedstawienie zapisu informacji, niezbędne do kompilacji, wykonania i utrzymania, funkcjonowania i utrzymania systemu SEPIS, z wyłączeniem Oprogramowania standardowego.
Naruszenia bezpieczeństwa informacji	Naruszenie poufności, integralności, dostępności, autentyczności, niezaprzeczalności, rozliczalności i niezawodności informacji, wynikające w szczególności z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych informacji.
Naruszenie ochrony danych osobowych	Naruszenie bezpieczeństwa danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Podatność	Słabość aktywa lub zabezpieczenia, która może być wykorzystana przez co najmniej jedno zagrożenie.
Przedmiot zamówienia	Zobowiązanie Wykonawcy wynikające z niniejszego OPZ i SWZ.
Oprogramowanie standardowe	Oprogramowanie narzędziowe, oprogramowanie systemowe lub oprogramowanie aplikacyjne, na używanie którego udzielone zostały na rzecz Zamawiającego licencje/sublicencje przez producentów tego oprogramowania.
OPZ	Opis Przedmiotu Zamówienia
SEPIS	System Ewidencji Państwowej Inspekcji Sanitarnej
Wykonawca	Podmiot wybrany w drodze postępowania, realizujący umowę na przeprowadzenie testów bezpieczeństwa aplikacji klienckiej i serwerowej systemu SEPIS oraz ich kodu źródłowego.
Wymagania biznesowe	Wymagania określające cele i wymagane rezultaty, kluczowe dla Zamawiającego.
Wymaganie funkcjonalne	Wymagania opisujące możliwości, jakie dane rozwiązanie musi posiadać pod względem zachowania oraz informacji, jakimi dane rozwiązanie będzie zarządzać.
Wymagania rozwiązania	Wymagania opisujące możliwości i cechy rozwiązania, które spełniają wymagania interesariuszy. Wymagania zapewniają odpowiedni poziom szczegółowości umożliwiający opracowanie i wdrożenie rozwiązania. Wyróżnia się podział wymagań rozwiązania na wymagania funkcjonalne i niefunkcjonalne.
Wymaganie niefunkcjonalne	Wymagania dotyczące jakości usług, nie odnoszące się bezpośrednio do zachowania funkcjonalności rozwiązania, lecz opisujące warunki, w których to rozwiązanie musi pozostać pod względem przydatności funkcjonalnej, wydajności, kompatybilności, użyteczności, niezawodności, bezpieczeństwa, utrzymania i przenoszenia.
Zamawiający	Główny Inspektorat Sanitarny

2. Przedmiot zamówienia

Przedmiotem zamówienia jest:

1. wykonanie testów bezpieczeństwa Systemu Ewidencji Państwowej Inspekcji Sanitarnej (SEPIS),

2. przeprowadzenie audytu kodu źródłowego systemu SEPIS, celem zidentyfikowania wszelkich istniejących podatności systemu SEPIS,

3. sporządzenie i przekazanie Zamawiającemu raportów zawierających opracowanie wyników testów i re-testów bezpieczeństwa oraz audytu kodu źródłowego, a także zaleceń i rekomendacji służących wyeliminowaniu wykrytych podatności i mających na celu poprawę stosowanych przez Zamawiającego zabezpieczeń systemu SEPIS,

4. dokonanie oceny końcowej bezpieczeństwa systemu SEPIS.

Testy bezpieczeństwa wykonane będą w dwóch iteracjach (etapach) zgodnie ze wskazanymi terminami realizacji prac. W ramach Przedmiotu zamówienia Wykonawca zobowiązany jest do wykonania poniższych zadań:

1. dwie iteracje testów bezpieczeństwa systemu SEPIS,

2. audyt Kodu źródłowego,

3. ocena końcowa bezpieczeństwa systemu SEPIS.

Celem audytu jest weryfikacja spełnienia przez system SEPIS wymagań dotyczących bezpieczeństwa systemu oraz bezpieczeństwa przetwarzanych w nim danych. Testy bezpieczeństwa systemu SEPIS obejmują weryfikację występowania faktycznych oraz potencjalnych podatności systemu SEPIS oraz jego Kodu źródłowego wraz z identyfikacją błędów konfiguracji i błędów oprogramowania, które mogą zostać wykorzystane do naruszenia bezpieczeństwa informacji lub naruszenia ochrony danych osobowych, a także bezpieczeństwa Zamawiającego lub użytkowników systemu SEPIS.

Wykonawca po realizacji każdej z dwóch iteracji testów bezpieczeństwa systemu SEPIS przedstawi raporty z testów, które zawierać będą x.xx. przyjęte założenia badawcze, uzasadnienie wyboru technik i metod badania, dokumentację wykonanych prac, wyniki wraz z ich interpretacją, identyfikację niezgodności z wymaganiami i założeniami oraz podatności systemu SEPIS, analizę wyników oraz rekomendacje dotyczące usunięcia niezgodności oraz podatności i błędów systemu SEPIS, a także rekomendacje dotyczące poprawy bezpieczeństwa systemu SEPIS, zmian w architekturze oraz Kodzie źródłowym, ze szczególnym uwzględnieniem punktu widzenia potrzeb dalszego jego utrzymania oraz rozwoju, uwzględniając najlepsze praktyki stosowane przy wytwarzaniu, utrzymaniu, rozwoju oraz dokumentowaniu systemów informatycznych.

Testy bezpieczeństwa systemu SEPIS obejmują wykonanie po jednym re-teście w ramach realizacji Przedmiotu zamówienia, po dokonaniu przez Zamawiającego zmian w systemie na podstawie rekomendacji przedstawionych w raportach z testów. Ponowne testy bezpieczeństwa systemu SEPIS oznaczają weryfikację wszystkich podatności wymienionych w danym raporcie. Po każdym re-teście sporządzany jest raport z re-testu, dokumentujący wynik re-testu.

Podsumowanie prac będzie stanowił raport końcowy bezpieczeństwa systemu SEPIS.

Opis Przedmiotu zamówienia zawiera minimalne wymagania jakie musi spełnić Wykonawca na potrzeby realizacji przedmiotu zamówienia.

Przedmiot zamówienia w części jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach II Osi priorytetowej POPC – „E-administracja i otwarty rząd”, Działanie nr 2.1 „Wysoka dostępność i jakość e-usług publicznych”, w związku z realizacją przez Zamawiającego projektu pn. „System powiadamiania o wprowadzeniu do obrotu żywności prozdrowotnej (SPOŻ)”.

3. Wymagania – zakres prac audytowych

Identyfikator	Opis wymagania
WZ.01	W ramach Przedmiotu zamówienia, Wykonawca będzie zobowiązany do świadczenia usług polegających na wykonywaniu zadań wskazanych w Przedmiocie zamówienia w zakresie bezpieczeństwa systemu SEPIS i przetwarzanych w nim danych, w tym ich poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności oraz niezawodności.
WZ.02	Zakres prac będzie obejmował analizę i ocenę realizacji przez system SEPIS wymagań w zakresie bezpieczeństwa.
WZ.03	Testy bezpieczeństwa systemu SEPIS oraz jego Kodu źródłowego obejmować będą co najmniej: określenie powierzchni ataku, określenie obszarów podwyższonego ryzyka, określenie zgodności ze standardami organizacji, identyfikację klas podatności.
WZ.04	Ocena bezpieczeństwa systemu SEPIS oraz Kodu źródłowego z perspektywy podatności na ataki obejmować będzie co najmniej: weryfikację mechanizmów uwierzytelniania / autoryzacji; weryfikację metod dostępu do baz danych, weryfikację procesu logowania, weryfikację istnienia backdoorów, weryfikację wykorzystania zewnętrznych bibliotek (i ich wersji) pod kątem użycia podatnych (niebezpiecznych lub niewspieranych) wersji bibliotek, weryfikację Kodu źródłowego na możliwość przeprowadzenia ataków z uwzględnieniem metodologii OWASP.
WZ.05	Zakres testów bezpieczeństwa oraz audytu Kodu źródłowego będzie obejmować co najmniej: audyt czytelności i wydajności Kodu źródłowego, audyt poprawności wykorzystania framework’ów, sprawdzenie zabezpieczeń panelu administracyjnego przed nieupoważnionym dostępem, próbę uzyskania dostępu do panelu administracyjnego za pomocą kont zwykłych użytkowników m. in. przez: wykorzystanie bieżącej sesji, podniesienie uprawnień, próbę uzyskania większych uprawnień, próbę uzyskania nieautoryzowanego dostępu do danych znajdujących się w systemie, próbę uzyskania nieautoryzowanego dostępu do plików znajdujących się na serwerze, analizę możliwości enumeracji użytkowników, próbę ataków typowych dla aplikacji webowych i web services, x.xx.: SQL Injection, Cross Site Scripting, IMAP/SMTP Injection, LDAP Injection, ORM Injection, XML Injection, XPath Injection, Code Injection, Command Injection, HTTP Splitting, OWASP TOP 10, testy funkcji przekierowujących pod kątem walidacji wprowadzanych danych, analizę polityki haseł w aplikacji, próbę ominięcia mechanizmu uwierzytelniania za pomocą m. in. analizy identyfikatorów sesji, manipulacji parametrami, bezpośredniego dostępu do widoku aplikacji, próbę ominięcia mechanizmu autoryzacji m. in. przez uzyskanie bezpośredniego dostępu do zasobów, manipulacje parametrami, uzyskanie wyższych uprawnień, analizę wykorzystywanego przez aplikację szyfrowania przesyłanych danych, pod kątem dostępnych/ wykorzystywanych algorytmów, analizę mechanizmu logowania pod kątem możliwości ominięcia uwierzytelniania i możliwości podsłuchu przesyłanych danych, analizę mechanizmu zakończenia sesji użytkownika pod kątem skuteczności i możliwości przeprowadzenia ataku Denial of Service, analizę zabezpieczenia plików Cookie, analizę zabezpieczenia serwera przed niebezpiecznymi metodami http, analizę przesyłanego kodu pod kątem zawartości zbędnych informacji o aplikacji, analizę nagłówków http pod kątem bezpieczeństwa, analizę błędów aplikacji pod kątem ujawniania informacji, analizę możliwości zapamiętywania przez przeglądarkę informacji użytkowników, penetrację systemów udostępnionych w Internecie, za pomocą skanerów TCP i UDP, możliwość nieautoryzowanego dostępu do danych, analizę konfiguracji komunikacji z usługami (konfiguracja np. SSL, IPsec), próbę odnalezienia wcześniejszych wersji Kodu źródłowego i plików kopii zapasowych na serwerze.
WZ.06	Testy bezpieczeństwa systemu SEPIS zostaną zrealizowane poprzez określenie faktycznego stanu bezpieczeństwa polegające na symulacji prób złamania lub ominięcia zabezpieczeń. W trakcie testów zastosowane będą metody i narzędzia, którymi zwykle posługują się potencjalni napastnicy. Zidentyfikowane podatności są wykorzystywane do przejęcia kontroli nad testowanymi systemami oraz do dalszych prób eskalacji ataku. Umożliwia to określenie potencjalnej skali naruszenia bezpieczeństwa, która wystąpi, jeśli te podatności zostaną wykorzystane przez hackerów. Testy obejmować będą następujące obszary: testy penetracyjne serwera WWW, testy penetracyjne serwera aplikacyjnego, testy penetracyjne aplikacji (komponenty dostępne publicznie), testy penetracyjne aplikacji (po uwierzytelnieniu), testy penetracyjne interfejsów bazy danych, testy penetracyjne API, testy penetracyjne bazy danych z poziomu użytkownika. Realizacja Przedmiotu zamówienia obejmuje wykonanie testów automatycznych, oznaczających identyfikację podatności występujących w systemie przy pomocy automatycznych narzędzi testujących.
WZ.07	W ramach testów bezpieczeństwa systemu SEPIS zostaną wykorzystane dwa rodzaje testów: gray box (z minimalną wiedzą o audytowanym systemie), white box (z pełną wiedzą i kontem użytkownika w audytowanym systemie).
WZ.08	Testom bezpieczeństwa podlegać będzie system SEPIS funkcjonujący w określonym środowisku Zamawiającego.
WZ.09	Testy bezpieczeństwa systemu SEPIS będą przeprowadzane na instancjach przeznaczonych do testowania (nieprodukcyjnych).
WZ.10	Prace będą realizowane na środowiskach testowych, wskazanych przez Xxxxxxxxxxxxx.

4. Ogólne informacje techniczne o systemie SEPIS

System SEPIS składa się z webowej aplikacji klienckiej oraz aplikacji serwerowej wdrożonej w modelu on-premises w infrastrukturze Rządowej Chmury Obliczeniowej.

System SEPIS jest w trakcie budowy, w której trwają prace nad udostępnieniem dwóch platform, jednej dla pracowników Inspekcji oraz drugiej dla obywateli, przedsiębiorców i instytucji. W platformie dla pracowników Inspekcji (aplikacja kliencka SEPIS) możliwe będzie rozpatrywanie wpływających spraw, wniosków, formularzy z obszarów merytorycznej działalności Inspekcji (tj. obszaru epidemiologii, higieny środowiska, bezpieczeństwa żywności i żywienia, nadzoru nad chemikaliami, kontroli, promocji i edukacji zdrowotnej, zarządzania kryzysowego). W platformie dla obywateli (platforma e-Sanepid), przedsiębiorców i instytucji możliwe będzie załatwienie sprawy on-line w postaci udostępnionych e-usług (tj. wniosków o wpis do rejestrów i ewidencji, składania powiadomień i formularzy), komunikacja z pracownikami Inspekcji, sprawdzanie statusów złożonych wniosków. Obie platformy będą wymieniały dane pomiędzy sobą.

Obecnie w skład aplikacji klienckiej SEPIS wchodzi 7 modułów funkcjonalnych wdrażanych w kolejnych fazach realizacji projektu SEPIS:

1. Moduł – Administracja systemem.

2. Moduł – Epidemiologia.

3. Moduł – Bezpieczeństwo żywności, w tym SPOŻ.

4. Moduł – Higiena środowiska.

5. Moduł – Nadzór nad chemikaliami.

6. Moduł – Promocja i edukacja zdrowotna.

7. Moduł – Kontrola i Nadzór.

Główne technologie wykorzystane do budowy platformy SEPIS i e-Sanepid to:

React, Angular, JavaScript, JAVA, SpringBoot, , PostgreSQL, WSO2 APIM, WSO2 IS, ELK, sieć neuronowa CLIP, ChatGPT, oprogramowanie OCR.

Za pomocą wymienionych technologii zostały wytworzone x.xx. następujące części platformy SEPIS i e-Sanepid w postaci oprogramowania:

1. Frontend.

2. Backend.

3. Serwera autoryzacji i zarządzania tożsamością.

4. Serwera zarządzania API.

5. Serwera obsługi dużych plików.

6. Serwera poczty wychodzącej.

7. Sztucznej inteligencji.

Rozwiązania aplikacyjne są wdrożone z wykorzystaniem konteneryzacji i uruchomione pod kontrolą oprogramowania Kubernetes.

5. Termin wykonania

Harmonogram ramowy realizacji przedmiotu zamówienia:

Zadanie	Opis zadania	Termin realizacji
Iteracja I	Przeprowadzenie pierwszego testu bezpieczeństwa systemu SEPIS. Rozpoczęcie audytu Kodu źródłowego systemu SEPIS. Przedstawienie raportu z testów z pierwszej iteracji wraz z rekomendacjami. Analiza i odbiór raportu przez Zamawiającego, wdrożenie poprawek. Re-test bezpieczeństwa po wdrożeniu poprawek przez Zamawiającego. Przedstawienie raportu z re-testów. Analiza i odbiór raportu z re-testów.	… Dni Roboczych (zgodnie z Ofertą Wykonawcy)
Iteracja II	Przeprowadzenie drugiego testu bezpieczeństwa systemu SEPIS. Zakończenie audytu Kodu źródłowego systemu SEPIS. Przedstawienie raportu z testów z drugiej iteracji wraz z rekomendacjami oraz wynikami audytu Kodu źródłowego. Analiza raportu przez Xxxxxxxxxxxxx, wdrożenie poprawek. Re-test bezpieczeństwa po wdrożeniu poprawek przez Zamawiającego. Przedstawienie raportu z re-testów. Analiza i odbiór raportu z re-testów. Przedstawienie Raportu końcowego bezpieczeństwa systemu SEPIS.	15 Dni Roboczych

6. Procedury odbioru

Wymagania dotyczące prac podlegających odbiorowi oraz protokołów wymaganych do wytworzenia i dostarczenia w ramach każdego z przeprowadzanych audytów celem sfinalizowania przez Wykonawcę Przedmiotu zamówienia. Liczba dni na weryfikację Zamawiającego określona została w dniach roboczych.

Zadanie	Produkt	Dokument	Czas odbioru przez Zamawiającego
Iteracja I	Testy bezpieczeństwa systemu SEPIS	Pierwszy raport z testów i rekomendacje	2 dni
	Re-test 1	Raport z re-testu 1	1 dzień
Iteracja II	Testy bezpieczeństwa systemu SEPIS	Drugi raport z testów i rekomendacje	2 dni
	Re-test 2	Raport z re-testu 2	1 dzień
	Audyt kodu źródłowego	Wyniki audytu Kodu źródłowego	3 dni
	Raport końcowy bezpieczeństwa systemu i danych osobowych	Raport końcowy bezpieczeństwa systemu SEPIS	1 dzień

7. Wymagania dotyczące zasad współpracy z Zamawiającym

1. W ramach współpracy Xxxxxxxxxxx oraz Wykonawca wyznaczą w swoich strukturach osobę koordynującą realizację przedmiotu zamówienia.

2. Wykonawca zobowiązany jest do sprawnej i terminowej realizacji zamówienia oraz stałej współpracy z Zamawiającym, w tym:

1. pozostawania w stałym kontakcie (kontakt telefoniczny oraz drogą elektroniczną, spotkania z Zamawiającym w miarę potrzeb),

2. informowania o stanie prac, pojawiających się problemach i innych zagadnieniach istotnych dla realizacji przedmiotu zamówienia.

3. Wszystkie istotne elementy realizowanego przedmiotu zamówienia będą przygotowywane w uzgodnieniu z Zamawiającym i przy jego akceptacji.

4. Przedmiot zamówienia musi zostać zrealizowany przez Wykonawcę z najwyższą starannością, efektywnością oraz zgodnie z najlepszą praktyką i wiedzą zawodową.

5. Całość przedmiotu zamówienia musi zostać zrealizowana przez Wykonawcę zgodnie z terminami określonymi w OPZ.

6. Wykonawca sprawnie i terminowo zrealizuje przedmiot zamówienia, w tym uwzględni w trakcie jego realizacji wszystkie uwagi zgłaszane przez Zamawiającego.

7. Wykonawca, na każdym etapie umowy, udzieli Zamawiającemu wszelkich informacji na temat stanu realizacji przedmiotu zamówienia.

8. Zamawiający udostępni wszelkie materiały, dane, dokumentacje i informacje będące w posiadaniu Zamawiającego, które są niezbędne celem realizacji przedmiotu zamówienia.

9. Zamawiający zobowiązuje się do informowania Wykonawcy o wszelkich czynnościach, które mogą mieć wpływ na realizację przedmiotu zamówienia przez Wykonawcę.

10. Zamawiający zobowiązuje się do udostępnienia obiektów, sprzętu, oprogramowania i dokumentacji, które są niezbędne do realizacji przedmiotu zamówienia zgodnie z polityką bezpieczeństwa i regulacjami wewnętrznymi, obowiązującymi u Zamawiającego.

8. Bezpieczeństwo przetwarzanych danych

Wykonawca zobowiązany jest do przestrzegania, przekazanych w trakcie realizacji przedmiotu zamówienia, zasad i przepisów dotyczących bezpieczeństwa informacji oraz systemów informatycznych, obowiązujących u Zamawiającego, oraz innych zasad związanych z wykonywaniem czynności na terenie obiektów Zamawiającego. Zobowiązanie to dotyczy wszystkich osób, z pomocą których Wykonawca będzie realizował przedmiot zamówienia.

Załącznik nr 4 – Protokół odbioru częściowego – wzór

PROTOKÓŁ ODBIORU CZĘŚCIOWEGO

W dniu ………………………. r. w związku z Umową nr ………………………….

DOKONANO / NIE DOKONANO* odbioru częściowego:

Lp.	Przedmiot odbioru
1	Przeprowadzenie pierwszego testu bezpieczeństwa systemu SEPIS.
2	Rozpoczęcie audytu Kodu źródłowego systemu SEPIS.
3	Przedstawienie raportu z testów z pierwszej iteracji wraz z rekomendacjami.
4	Analiza i odbiór raportu przez Xxxxxxxxxxxxx, wdrożenie poprawek.
5	Re-test bezpieczeństwa po wdrożeniu poprawek przez Zamawiającego.
6	Przedstawienie raportu z re-testów.
7	Analiza i odbiór raportu z re-testów.
8	Wykonawca przenosi na Zamawiającego autorskie prawa majątkowe w ramach wynagrodzenia, o którym mowa w § 5 Umowy, zgodnie z § 6 ust. 4 o wartości ………………………………………………………

BEZ UWAG I ZASTRZEŻEŃ / UWAGI I ZASTRZEŻENIA*

………………………………………………………………………………………………………

* niepotrzebne skreślić

Za Zamawiającego: Za Wykonawcę:

…………………………………….. …………………………………….

Załącznik nr 5 – Protokół odbioru końcowego – wzór

PROTOKÓŁ ODBIORU KOŃCOWEGO

W dniu ………………………. r. w związku z Umową nr ………………………….

DOKONANO / NIE DOKONANO* odbioru końcowego:

Lp.	Przedmiot odbioru
1	Przeprowadzenie drugiego testu bezpieczeństwa systemu SEPIS.
2	Zakończenie audytu Kodu źródłowego systemu SEPIS.
3	Przedstawienie raportu z testów z drugiej iteracji wraz z rekomendacjami oraz wynikami audytu Kodu źródłowego.
4	Analiza raportu przez Xxxxxxxxxxxxx, wdrożenie poprawek.
5	Re-test bezpieczeństwa po wdrożeniu poprawek przez Zamawiającego.
6	Przedstawienie raportu z re-testów.
7	Analiza i odbiór raportu z re-testów.
8	Przedstawienie Raportu końcowego bezpieczeństwa systemu SEPIS.
9	Wykonawca przenosi na Zamawiającego autorskie prawa majątkowe w ramach wynagrodzenia, o którym mowa w § 5 Umowy, zgodnie z § 6 ust. 4 o wartości ………………………………………………………

BEZ UWAG I ZASTRZEŻEŃ / UWAGI I ZASTRZEŻENIA*

………………………………………………………………………………………………………

* niepotrzebne skreślić

Za Zamawiającego: Za Wykonawcę:

…………………………………….. …………………………………….

Załącznik nr 6 do Umowy

Załącznik nr 6 – Klauzula informacyjna Zamawiającego

Klauzula informacyjna dla Wykonawcy i osób go reprezentujących

1. W celu realizacji wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) – dalej: „RODO”, Główny Inspektor Sanitarny z siedzibą w Warszawie informuje, że jest administratorem w rozumieniu art. 4 pkt 7) RODO w odniesieniu do danych osobowych:

1. osób fizycznych będących stronami umów (w tym też dążących do ich zawarcia) zawieranych przez Skarb Państwa-Główny Inspektorat Sanitarny oraz umów zawieranych przez Głównego Inspektora Sanitarnego (w tym też osób fizycznych prowadzących tzw. jednoosobową działalność gospodarczą oraz osób prowadzących działalność w postaci spółek prawa cywilnego),

2. osób fizycznych niebędących stronami umów, o których mowa w lit. a. powyżej, lecz będących reprezentantami tych stron (w tym też osób/podmiotów dążących do zawarcia umów), biorących udział w ich realizacji w imieniu tych stron, wskazywanych przez te strony jako osoby do kontaktu, lub których dane osobowe Główny Inspektor Xxxxxxxxx uzyska w związku z realizacją umowy lub dążeniem do jej zawarcia.

2. Z Głównym Inspektorem Sanitarnym z siedzibą w Warszawie (ul. Xxxxxxx 00, 00-000 Xxxxxxxx) – dalej: „Administrator”, można skontaktować się:

1. drogą tradycyjną, kierując korespondencję na adres: Główny Inspektorat Sanitarny, ul. Xxxxxxx 00, 00- 000 Xxxxxxxx,

2. drogą elektroniczną, kierując wiadomość poczty elektronicznej na adres: xxxxxxxxxxx@xxxxxxx.xxx.xx,

3. telefonicznie, pod numerem (x00) 00 00 00 000,

4. za pomocą elektronicznej skrzynki podawczej na platformie ePUAP: GIS/skrytka

3. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się w sprawach dotyczących ochrony danych osobowych oraz realizacją praw z tym związanych:

1. drogą elektroniczną, kierując wiadomość poczty elektronicznej na adres: xxx@xxxxxxx.xxx.xx

2. drogą tradycyjną, kierując korespondencję na adres: Główny Inspektorat Sanitarny, ul. Xxxxxxx 00, 00- 000 Xxxxxxxx (z dopiskiem: „Inspektor Ochrony Danych”).

4. Dane osobowe mogą być przez Administratora przetwarzane w celach następujących i w oparciu o następujące podstawy prawne:

1. w odniesieniu do osób fizycznych, o których mowa w pkt 1. lit. a. powyżej:

1. w celu zawarcia i realizacji umowy (podstawa prawna przetwarzania: art. 6 ust. 1 lit. b) RODO),

2. w celu wypełniania obowiązków prawnych, w szczególności określonych przepisami: ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych; ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (zwłaszcza w celu udostępniania informacji publicznej); ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (zwłaszcza w celu archiwizacji dokumentów w interesie publicznym); Rozporządzenia Ministra Kultury i Dziedzictwa Narodowego z dnia 20 października 2015 r. w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej; ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (zwłaszcza w celu statystycznym); ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego; a także określonych przepisami prawa podatkowego i finansowo-księgowych (podstawa prawna przetwarzania: art. 6 ust. 1 lit. c) RODO, art. 9 ust. 2 lit. b) RODO),

3. w celu realizacji prawnie uzasadnionego interesu polegającego na realizacji prawa dochodzenia i podejmowania obrony przed roszczeniami związanymi z zawartą umową, zwłaszcza jeśli takie roszczenia się pojawią (podstawa prawna przetwarzania: art. 6 ust. 1 lit. f) RODO);

4. w związku z udzieloną zgodą na przetwarzanie danych osobowych (w przypadku, gdy zgoda taka jest udzielona) np. w zakresie udzielonego zezwolenia na rozpowszechnianie wizerunku (podstawa prawna przetwarzania: art. 6 ust. 1 lit. a) RODO);

2. w odniesieniu do osób fizycznych, o których mowa w pkt 1. lit. b. powyżej:

1. w celu wypełniania obowiązków prawnych, w szczególności określonych przepisami: ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych; ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (zwłaszcza w celu udostępniania informacji publicznej); ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (zwłaszcza w celu archiwizacji dokumentów w interesie publicznym); Rozporządzenia Ministra Kultury i Dziedzictwa Narodowego z dnia 20 października 2015 r. w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej; ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (zwłaszcza w celu statystycznym); ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego; a także określonych przepisami prawa podatkowego i finansowo-księgowych,

2. w celu realizacji prawnie uzasadnionego interesu polegającego na realizacji umowy zawartej przez Administratora lub Skarb Państwa-Główny Inspektorat Sanitarny z osobą/podmiotem innym niż osoba, której dane dotyczą (zwłaszcza poprzez komunikację w celu jej realizacji) oraz realizacji prawa dochodzenia i podejmowania obrony przed roszczeniami związanymi z taką umową, zwłaszcza jeśli takie roszczenia się pojawią (podstawa prawna przetwarzania: art. 6 ust. 1 lit. f) RODO);

3. w związku z udzieloną zgodą na przetwarzanie danych osobowych (w przypadku, gdy zgoda taka jest udzielona) np. w zakresie udzielonego zezwolenia na rozpowszechnianie wizerunku (podstawa prawna przetwarzania: art. 6 ust. 1 lit. a) RODO).

5. W odniesieniu do osób fizycznych, o których mowa w pkt 1. lit. b. powyżej, Administrator przetwarza ich dane osobowe przekazywane przez stronę zawartej z Administratorem lub Skarbem Państwa-Głównym Inspektoratem Sanitarnym umowy lub przez osoby/podmioty przez nie upoważnione, co w szczególności może dotyczyć następujących kategorii danych: imię, nazwisko, stanowisko i miejsce pracy, funkcja, numer służbowego telefonu, służbowy adres email, podpis.

6. Odbiorcami danych osobowych mogą być podmioty współpracujące, w tym realizujące na rzecz Administratora lub Skarbu Państwa-Głównego Inspektoratu Sanitarnego usługi, w szczególności usługi techniczne i organizacyjne (np. doradcy, audytorzy, podmioty świadczące usługi IT, usługi serwisowe) oraz podmioty uprawnione do ich otrzymania na podstawie przepisów prawa.

7. Dane osobowe są przetwarzane przez okres niezbędny do zawarcia i realizacji zawartej z Administratorem lub Skarbem Państwa-Głównym Inspektoratem Sanitarnym umowy, przez okres przedawnienia roszczeń, przez okres realizacji obowiązków wynikających z przepisów prawa (zwłaszcza przepisów o archiwizacji), a także przez okres oznaczony kategorią archiwalną wskazaną w Jednolitym Rzeczowym Wykazie Akt Głównego Inspektoratu Sanitarnego oraz wynikający z Instrukcji Kancelaryjnej Głównego Inspektoratu Sanitarnego.

8. Osobom, o których mowa w pkt 1. powyżej, na zasadach wynikających z RODO, przysługuje prawo żądania od Administratora: dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, a także prawo do: przenoszenia danych (jeżeli przetwarzanie obywa się na podstawie art. 6 ust. 1 lit. a), lit. b) RODO), cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie obywa się na podstawie zgody tj. art. 6 ust. 1 lit. a) RODO), wniesienia sprzeciwu wobec ich przetwarzania (w przypadku przetwarzania opartego na podstawie art. 6 ust. 1 lit. f) RODO) i wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych.

9. Podanie danych osobowych w celach:

1. realizacji przedmiotu umowy jest warunkiem jej zawarcia, a niepodanie danych może skutkować brakiem możliwości jej zawarcia lub należytego jej wykonania,

2. w celach wynikających z przepisów prawa jest obligatoryjne na podstawie przepisów prawa,

3. w pozostałych przypadkach jest dobrowolne jednakże niezbędne do realizacji umowy, a brak ich podania może wpłynąć na nieprawidłową realizację umowy.

10. Dane osobowe nie są przetwarzane w sposób zautomatyzowany, który jednocześnie mógłby prowadzić do podejmowania wobec osób wskazanych w pkt 1. powyżej decyzji wywołującej skutki prawne lub w podobny sposób istotnie wpływać na ich sytuację.

11. Dane osobowe nie są przekazywane poza Europejski Obszar Gospodarczy tj. do państwa trzeciego ani organizacji międzynarodowej w rozumieniu RODO.

Załącznik nr 7 – Klauzula informacyjna stanowiąca realizację obowiązku informacyjnego Instytucji Pośredniczącej

Zasady przetwarzania danych osobowych w Programie Operacyjnym Polska Cyfrowa

W przetwarzanie danych osobowych w ramach Programu Operacyjnego Polska Cyfrowa 2014-2020 (POPC 2014-2020) zaangażowane są podmioty, które pełnią rolę administratorów w rozumieniu RODO [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1).]. Podmioty te podejmują decyzje dotyczące przetwarzanych danych osobowych, tj.: jakie dane osobowe, w jakim celu i w jaki sposób są przetwarzane. Każdy administrator samodzielnie odpowiada za ochronę danych osobowych oraz za informowanie osób, których dane dotyczą, i społeczeństwa o tym, w jaki sposób przetwarza dane osobowe.

Minister Funduszy i Polityki Regionalnej - jako Instytucja Zarządzająca POPC 2014-2020, pełni rolę administratora danych osobowych przetwarzanych w związku z realizacją POPC 2014-2020.

Ponadto Minister, jako jeden z beneficjentów projektów realizowanych ze środków pomocy technicznej w ramach POPC 2014-2020 jest administratorem danych osobowych, przetwarzanych w tym zakresie.

Minister Funduszy i Polityki Regionalnej jest również administratorem danych zgromadzonych w zarządzanym przez niego Centralnym Systemie Teleinformatycznym wspierającym realizację POPC 2014-2020.

I. Cel przetwarzania danych osobowych

Minister Funduszy i Polityki Regionalnej przetwarza dane osobowe w celu realizacji zadań przypisanych Instytucji Zarządzającej POPC 2014-2020 , w zakresie w jakim jest to niezbędne dla realizacji tego celu. Minister Funduszy i Polityki Regionalnej przetwarza dane osobowe w szczególności w celach:

1. udzielania wsparcia beneficjentom ubiegającym się o dofinansowanie i realizującym projekty,

2. potwierdzania kwalifikowalności wydatków,

3. wnioskowania o płatności do Komisji Europejskiej,

4. raportowania o nieprawidłowościach,

5. ewaluacji,

6. monitoringu,

7. kontroli,

8. audytu,

9. sprawozdawczości oraz

10. działań informacyjno-promocyjnych.

II. Podstawy prawne przetwarzania

Przetwarzanie danych osobowych w związku z realizacją POPC 2014-2020 odbywa się zgodnie z RODO.

Podstawą prawną przetwarzania danych jest konieczność realizacji obowiązków spoczywających na Ministrze Funduszy i Polityki Regionalnej - jako na Instytucji Zarządzającej - na podstawie przepisów prawa europejskiego i krajowego (art. 6 ust. 1 lit. c RODO).

Obowiązki te wynikają x.xx. z przepisów ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 oraz przepisów prawa europejskiego:

1. rozporządzenia Parlamentu Europejskiego i Rady nr 1303/2013 z dnia 17 grudnia 2013 r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego, oraz ustanawiającego przepisy ogólne dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i Europejskiego Funduszu Morskiego i Xxxxxxxxxx oraz uchylającego Rozporządzenie Rady (WE) nr 1083/2006,

2. rozporządzenia wykonawczego Komisji (UE) nr 1011/2014 z dnia 22 września 2014 r. ustanawiającego szczegółowe przepisy wykonawcze do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 w odniesieniu do wzorów służących do przekazywania Komisji określonych informacji oraz szczegółowe przepisy dotyczące wymiany informacji między beneficjentami a instytucjami zarządzającymi, certyfikującymi, audytowymi i pośredniczącymi.

Podstawą przetwarzania danych osobowych przez Ministra są również:

1. konieczność realizacji umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO) - podstawa ta ma zastosowanie m. in. do danych osobowych osób prowadzących samodzielną działalność gospodarczą, z którymi Minister zawarł umowy w celu realizacji POPC 2014-2020,

2. wykonywanie zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Ministrowi (art. 6 ust. 1 lit e RODO) - podstawa ta ma zastosowanie m. in. do organizowanych przez Ministra konkursów i akcji promocyjnych dotyczących Programu,

3. uzasadniony interes prawny Ministra Funduszy i Polityki Regionalnej (art. 6 ust. 1 lit f RODO) – podstawa ta ma zastosowanie x.xx. do danych osobowych przetwarzanych w związku z realizacją umów w ramach Funduszy Europejskich.

W ramach POPC 2014-2020 w działaniu 3.1 - Działania szkoleniowe na rzecz rozwoju kompetencji cyfrowych przetwarzane są dane szczególnej kategorii (dane o niepełnosprawności). Podstawą prawną ich przetwarzania jest wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit a RODO).

III. Rodzaje przetwarzanych danych

Minister Funduszy i Polityki Regionalnej w celu realizacji POPC 2014-2020 przetwarza dane osobowe m. in.:

1. pracowników, wolontariuszy, praktykantów i stażystów reprezentujących lub wykonujących zadania na rzecz podmiotów zaangażowanych w obsługę i realizację POPC 2014-2020,

2. osób wskazanych do kontaktu, osób upoważnionych do podejmowania wiążących decyzji oraz innych osób wykonujących zadania na rzecz wnioskodawców, beneficjentów i partnerów,

3. uczestników szkoleń, konkursów, konferencji, komitetów monitorujących, grup roboczych, grup sterujących oraz spotkań informacyjnych lub promocyjnych organizowanych w ramach POPC 2014-2020,

4. kandydatów na ekspertów oraz ekspertów zaangażowanych w proces wyboru projektów do dofinansowania lub wykonujących zadania związane z realizacją praw i obowiązków właściwych instytucji, wynikających z zawartych umów o dofinansowanie projektów,

5. osób, których dane będą przetwarzane w związku z badaniem kwalifikowalności środków w projekcie, w tym w szczególności: personelu projektu, uczestników komisji przetargowych, oferentów i wykonawców zamówień publicznych, osób świadczących usługi na podstawie umów cywilnoprawnych.

Wśród rodzajów danych osobowych przetwarzanych przez Ministra można wymienić:

1. dane identyfikacyjne, w szczególności: imię, nazwisko, miejsce zatrudnienia/ formę prowadzenia działalności gospodarczej, stanowisko; w niektórych przypadkach także nr PESEL/NIP/REGON,

2. dane dotyczące stosunku pracy, w szczególności otrzymywane wynagrodzenie oraz wymiar czasu pracy,

3. dane kontaktowe, które obejmują w szczególności adres e-mail, nr telefonu, nr fax, adres do korespondencji,

4. dane o charakterze finansowym, w szczególności nr rachunku bankowego, kwotę przyznanych środków, informacje dotyczące nieruchomości (nr działki, nr księgi wieczystej, nr przyłącza gazowego), kwotę wynagrodzenia,

5. dane zbierane w celu realizacji obowiązków sprawozdawczych do których realizacji zobowiązane są państwa członkowskie, obejmujące w szczególności: płeć, wiek w chwili przystąpienia do projektu, wykształcenie, wykonywany zawód, narodowość, informacje o niepełnosprawności.

Dane pozyskiwane są bezpośrednio od osób, których dane dotyczą, albo od instytucji i podmiotów zaangażowanych w realizację programów operacyjnych, w szczególności wnioskodawców, beneficjentów i partnerów.

W przypadku, gdy dane pozyskiwanie są bezpośrednio od osób, których dane dotyczą, podanie danych jest dobrowolne. Odmowa podania danych jest jednak równoznaczna z brakiem możliwości podjęcia stosownych działań, np. ubiegania się o środki w ramach POPC 2014-2020.

IV. Okres przechowywania danych

Dane osobowe będą przechowywane przez okres wskazany w art. 140 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia 2013 r. oraz jednocześnie przez czas nie krótszy niż 10 lat od dnia przyznania ostatniej pomocy w ramach POPC 2014-2020 - z równoczesnym uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

W niektórych przypadkach, np. prowadzenia kontroli u Ministra przez organy Unii Europejskiej, okres ten może zostać wydłużony.

V. Odbiorcy danych

Odbiorcami danych osobowych mogą być:

1. podmioty, którym Instytucja Zarządzająca POPC 2014-2020 powierzyła wykonywanie zadań związanych z realizacją Programu, w tym w szczególności Instytucja Pośrednicząca POPC, a także eksperci, podmioty prowadzące audyty, kontrole, szkolenia i ewaluacje,

2. instytucje, organy i agencje Unii Europejskiej (UE), a także inne podmioty, którym UE powierzyła wykonywanie zadań związanych z wdrażaniem POPC 2014-2020,

3. podmioty świadczące na rzecz Ministra usługi związane z obsługą i rozwojem systemów teleinformatycznych oraz zapewnieniem łączności, w szczególności dostawcy rozwiązań IT i operatorzy telekomunikacyjni.

VI. Prawa osoby, której dane dotyczą

Osobom, których dane przetwarzane są w związku z realizacją POPC 2014-2020 przysługują następujące prawa:

1. prawo dostępu do danych osobowych i ich sprostowania - realizując to prawo, osoba której dane dotyczą może zwrócić się do Ministra z pytanie x.xx. o to czy Minister przetwarza jej dane osobowe, jakie dane osobowe przetwarza i skąd je pozyskał, jaki jest cel przetwarzania i jego podstawa prawna oraz jak długo dane te będą przetwarzane. W przypadku, gdy przetwarzane dane okażą się nieaktualne, osoba, której dane dotyczą może zwrócić się do Ministra z wnioskiem o ich aktualizację,

2. prawo usunięcia lub ograniczenia ich przetwarzania – jeżeli spełnione są przesłanki określone w art. 17 i 18 RODO. Żądanie usunięcia danych osobowych realizowane jest w szczególności gdy dalsze przetwarzanie danych nie jest już niezbędne do realizacji celu Ministra lub dane osobowe były przetwarzane niezgodnie z prawem. Szczegółowe warunki korzystania z tego prawa określa art. 17 RODO. Ograniczenie przetwarzania danych osobowych powoduje, że Minister może jedynie przechowywać dane osobowe. Minister nie może przekazywać tych danych innym podmiotom, modyfikować ich ani usuwać. Ograniczanie przetwarzania danych osobowych ma charakter czasowy i trwa do momentu dokonania przez Ministra oceny, czy dane osobowe są prawidłowe, przetwarzane zgodnie z prawem oraz niezbędne do realizacji celu przetwarzania. Ograniczenie przetwarzania danych osobowych następuje także w przypadku wniesienia sprzeciwu wobec przetwarzania danych – do czasu rozpatrzenia przez Ministra tego sprzeciwu.

3. prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych,

4. prawo do cofnięcia zgody, w każdym momencie - w przypadku, gdy podstawą przetwarzania danych jest zgoda (art. 9 ust. 2 lit a RODO). Cofnięcie zgody nie spowoduje, że dotychczasowe przetwarzanie danych zostanie uznane za niezgodne z prawem.

5. prawo otrzymania danych osobowych w ustrukturyzowanym powszechnie używanym formacie, przenoszenia tych danych do innych administratorów lub żądania, o ile jest to technicznie możliwe, przesłania ich przez administratora innemu administratorowi – w przypadku, gdy podstawą przetwarzania danych jest zgoda lub realizacja umowy z osobą, której dane dotyczą (art. 6 ust. 1 lit b RODO).

6. prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych - w przypadku, gdy podstawą przetwarzania danych jest realizacja zadań publicznych administratora lub jego prawnie uzasadnionych interesów (art. 6 ust. 1 lit e lub f RODO). Wniesienie sprzeciwu powoduje zaprzestanie przetwarzania danych osobowych przez Ministra, chyba że wykaże on, istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

VII. Zautomatyzowane podejmowanie decyzji

Dane nie podlegają procesowi zautomatyzowanego podejmowania decyzji.

VIII. Kontakt z Inspektorem Ochrony Danych 38

Minister Funduszy i Polityki Regionalnej ma swoją siedzibę pod adresem: ul. Xxxxxxx 0/0, 00-000 Xxxxxxxx.

W przypadku pytań, kontakt z Inspektorem Ochrony Danych Osobowych MFiPR jest możliwy:

1. pod adresem: ul. Xxxxxxx 0/0, 00-000 Xxxxxxxx,

2. pod adresem poczty elektronicznej: XXX@xxxxx.xxx.xx

Załącznik nr 8 – Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(zwana dalej „Umową ppdo”), zawarta w dniu, o którym mowa w § 13 ust. 7 Umowy ppdo

Głównym Inspektorem Sanitarnym z siedzibą przy ul. Xxxxxxxx 00, 00-000 Xxxxxxxx, zwanym dalej „Administratorem”, reprezentowanym przez:

Xxxxxx Xxxxxx Xxxxxxx – Dyrektora Generalnego Głównego Inspektoratu

Sanitarnego, działającą na podstawie upoważnienia nr 6/2023 z dnia 11 stycznia 2023 r. (Załącznik nr 2 do Umowy powierzenia przetwarzania danych osobowych)

a

………………. z siedzibą w ……………., adres: ul. ……………, posiadającą NIP: ……………, REGON: ………………… wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w …………., pod numerem KRS: …………………., o kapitale zakładowym w wysokości: ……………….., zwanym dalej „Podmiotem przetwarzającym”,

reprezentowaną przez:

………………………………………..

łącznie zwanymi „Stronami”; o następującej treści:

§ 1. Przedmiot umowy

1. Przedmiotem Umowy ppdo jest powierzenie przetwarzania danych osobowych, stosownie do art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1), zwanej dalej: „RODO”.

2. Podmiot przetwarzający zobowiązuje się wykonywać w imieniu Administratora czynności przetwarzania danych osobowych wyłącznie w celu, zakresie i na zasadach określonych w Umowie ppdo. Podmiot przetwarzający nie decyduje o celach i środkach przetwarzania.

3. Podmiot przetwarzający zobowiązany jest przy realizacji Umowy ppdo przestrzegać przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781) oraz Umowy ppdo.

§ 2. Zakres powierzenia przetwarzania

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych następujących kategorie osób, których dane dotyczą:

1. dane osobowych użytkowników XXXXX (login, imię i nazwisko, służbowy adres poczty elektronicznej, numer telefonu służbowego, miejsce zatrudnienia, stanowisko, jednostka organizacyjna);

2. dane osobowe osób zaangażowanych w realizację Umowy głównej (imię i nazwisko, służbowy adres poczty elektronicznej, numer telefonu służbowego, miejsce zatrudnienia, stanowisko, jednostka organizacyjna);

3. dane osobowe osób nadających role i uprawnienia użytkownikom XXXXX (login, imię i nazwisko, służbowy adres poczty elektronicznej, numer telefonu służbowego, miejsce zatrudnienia, stanowisko, jednostka organizacyjna).

2. Podmiot przetwarzający przetwarza dane osobowe na podstawie Umowy ppdo i wyłącznie w celu realizacji zawartej ze Skarbem Państwa-Głównym Inspektoratem Sanitarnym Umowy ……………………… (zwana dalej „Umową główną”) na polecenie Administratora, przy czym przez polecenie Administratora uznaje się zawarcie Umowy ppdo.

3. Podmiot przetwarzający przetwarza powierzone dane osobowe w celu realizacji Umowy głównej wyłącznie w zakresie i celu niezbędnym do realizacji wyżej wymienionej umowy.

4. Podmiot przetwarzający jest upoważniony do wykonywania czynności przetwarzania, o których mowa w art. 4 pkt 2) RODO, które są w minimalnym zakresie niezbędne do realizacji celu, o którym mowa w ust. 2 powyżej. Przetwarzanie obejmuje wykonywanie wskazanych w zdaniu poprzedzającym czynności zarówno z wykorzystaniem systemów informatycznych jak i z wykorzystaniem dokumentacji papierowej.

§ 3. Przetwarzanie wyłącznie na udokumentowane polecenie Administratora

1. Przetwarzanie danych osobowych w zakresie przekraczającym wskazany w § 2 wymaga zmiany Umowy ppdo.

2. Postanowienia ust. 1 nie dotyczą sytuacji, gdy Podmiot przetwarzający działa w celu realizacji obowiązku, który nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający, a realizacji tego obowiązku nie da się pogodzić z postanowieniami Umowy ppdo.

3. W sytuacji, o której mowa w ust. 2, przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji.

§ 4. Obowiązek zachowania tajemnicy

1. Podmiot przetwarzający upoważnia do przetwarzania powierzonych danych osobowych wyłącznie tych członków swojego personelu, którzy posiadają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędni do realizacji Umowy ppdo.

2. Podmiot przetwarzający zapewnia, aby osoby, o których mowa w ust. 1:

1. przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej;

2. zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

§ 5. Bezpieczeństwo przetwarzania

1. Podmiot przetwarzający oświadcza, że zapewnia:

1. wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, wynikających z art. 32 RODO, by przetwarzanie chroniło prawa, osób które dane dotyczą;

2. dysponuje odpowiednimi środkami technicznymi i organizacyjnymi dla spełnienia wymogów oraz zapewnienia ochrony praw osób, których dotyczą dane osobowe, przekazywane na podstawie Umowy ppdo, zgodnie z właściwymi przepisami unijnymi i krajowymi, a także przyjętą przez Podmiot przetwarzający dokumentacją ochrony danych, o której mowa w ust. 3.

2. W celu prawidłowej realizacji Umowy głównej Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w odniesieniu do rodzajów danych oraz kategorii osób, o których mowa w § 2 Umowy ppdo.

3. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych - zgodną z RODO. Podmiot przetwarzający będzie w szczególności:

1. prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych odpowiadające ryzyku przetwarzania danych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. Szczegółowy wykaz środków bezpieczeństwa, o których mowa w zdaniach poprzedzających niniejszego punktu, Podmiot przetwarzający wskazał w Załączniku nr 2 do Umowy ppdo,

2. zapewniać przechowywanie dokumentów tak, aby zabezpieczyć powierzone do przetwarzania dane osobowe przed utratą, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, a także przetwarzaniem z naruszeniem przepisów;

3. prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.

Podmiot przetwarzający zobowiązany jest przekazać ww. dokumentację

Administratorowi, w terminie 2 dni roboczych od otrzymania żądania - przekazując je na adres poczty elektronicznej: xxx@xxxxxxx.xxx.xx lub przekazać ją w formie papierowej Inspektorowi Danych Osobowych Administratora.

4. Podmiot przetwarzający zobowiązuje się prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO w odniesieniu do czynności związanych z realizacją umowy głównej. Podmiot przetwarzający zobowiązany jest przekazać do Administratora ww. rejestr w terminie 24 godzin od momentu wezwania go do jego przekazania - przekazując je na adres poczty elektronicznej: xxx@xxxxxxx.xxx.xx lub przekazać ją w formie papierowej Inspektorowi Danych Osobowych Administratora.

5. Podmiot przetwarzający jest zobowiązany do podjęcia wszelkich kroków służących zachowaniu poufności danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych. W szczególności Podmiot przetwarzający zobowiąże te osoby do:

1. pracowania jedynie z dokumentami niezbędnymi do wykonania obowiązków wynikających z Umowy głównej i Umowy ppdo;

2. przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone, zgodnie z przepisami prawa powszechnie obowiązującego oraz Umowy ppdo i Umowy głównej;

3. nietworzenia kopii dokumentów innych, niż niezbędne do realizacji Umowy ppdo i Umowy głównej;

4. zachowania w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO powierzonych do przetwarzania danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Podmiotem przetwarzającym;

5. zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, przetwarzaniem z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem;

6. nie przemieszczania dokumentów lub ich kopii poza miejsce przetwarzania.

6. Podmiot przetwarzający zobowiązuje się do:

1. ograniczenia dostępu do powierzonych do przetwarzania danych osobowych, wyłącznie do pracowników i współpracowników realizujących Umowę główną,

2. zachowania w tajemnicy wszystkich danych osobowych powierzonych mu w trakcie obowiązywania Umowy głównej lub dokumentów uzyskanych w związku z wykonywaniem czynności objętych Umową główną, a także zachowania w tajemnicy informacji o stosowanych sposobach zabezpieczenia danych osobowych, również po wygaśnięciu Umowy głównej i Umowy ppdo;

3. zabezpieczenia korespondencji i wszelkich dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;

4. niewykorzystywania zebranych na podstawie Umowy głównej i Umowy ppdo danych osobowych dla celów innych niż określone w Umowie ppdo i Umowie głównej;

5. usunięcia powierzonych do przetwarzania danych osobowych z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe, na zasadach określonych w § 9 Umowy ppdo;

6. niezwłocznego przekazania Administratorowi pisemnego oświadczenia, w którym potwierdzi, że Podmiot przetwarzający nie posiada żadnych danych osobowych, których przetwarzanie zostało jej powierzone, po zrealizowaniu postanowień pkt 5.

§ 6. Dalsze powierzenie przetwarzania

1. Podmiot przetwarzający może korzystać z usług innych podmiotów przetwarzających pod warunkiem uprzedniego uzyskania zgody Administratora, wyrażonej w formie pisemnej pod rygorem nieważności. Wniosek o wyrażenie zgody należy przelać na adres poczty elektronicznej: xxx@xxxxxxx.xxx.xx lub przekazać ją w formie papierowej Inspektorowi Danych Osobowych Administratora.

2. Korzystanie z usług innego podmiotu przetwarzającego jest dopuszczalne jedynie na podstawie umowy, która nakłada na ten podmiot takie same obowiązki ochrony danych, jakimi na podstawie Umowy ppdo objęty jest pierwotny Podmiot przetwarzający.

3. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym Podmiocie przetwarzającym.

4. Wszelkie zmiany dotyczące dodania lub zastąpienia innych podmiotów przetwarzających wymagają uprzedniego uzyskania zgody Administratora, wyrażonej w formie pisemnej pod rygorem nieważności.

5. Podmiot przetwarzający nie może przekazywać lub autoryzować przekazywania powierzonych danych osobowych poza Europejski Obszar Gospodarczy.

§ 7. Naruszenia

1. Podmiot przetwarzający zobowiązuje się do udzielania Administratorowi, na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych,
   a w szczególności do niezwłocznego informowania o każdym przypadku naruszenia w zakresie ochrony danych osobowych.

2. Podmiot przetwarzający zobowiązany jest do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Podmiot przetwarzający zobowiązany jest do udostępniania wyżej wymienionych procedur, na żądanie Administratora, w terminie 1 dnia roboczego od dnia otrzymania żądania – przekazując je na adres poczty elektronicznej: xxx@xxxxxxx.xxx.xx lub przekazać ją w formie papierowej Inspektorowi Danych Osobowych Administratora.

3. Po stwierdzeniu naruszenia ochrony danych osobowych, Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż 6 godziny od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Administratorowi na adres poczty elektronicznej: xxx@xxxxxxx.xxx.xx.

4. Do czasu przekazania Podmiotowi przetwarzającemu instrukcji postpowania w związku z naruszeniem ochrony danych osobowych, Podmiot przetwarzający podejmuje wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

5. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych osobowych powierzonych mu przez Administratora.

§ 8. Odpowiadanie na żądania osoby, której dane dotyczą

1. Zgodnie z art. 28 ust. 3 lit. e RODO, biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonania jej praw określonych w rozdziale III RODO.

2. Podmiot przetwarzający zobowiązany jest do wsparcia Administratora w zakresie realizacji następujących praw podmiotów danych:

1. obowiązku informacyjnego wynikającego z art.13 i art. 14 RODO;

2. prawa dostępu do danych osobowych;

3. prawa do usunięcia Danych osobowych;

4. prawa do ograniczenia przetwarzania;

5. obowiązku informowania o sprostowaniu, usunięciu bądź ograniczeniu przetwarzania danych osobowych;

6. prawa do sprzeciwu;

7. prawa do przenoszenia danych;

8. kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych, w tym profilowaniu.

3. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Administratora. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.

§ 9. Usunięcie lub zwrot danych osobowych

1. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć ich istniejące kopie, chyba że przepisy prawa powszechnego nakazują przechowywanie tych danych.

2. Podmiot przetwarzający jest zobowiązany wykonać czynność, o której mowa w ust. 1, w terminie 7 dni roboczych od dnia wygaśnięcia Umowy głównej.

§ 10. Raportowanie

1. Podmiot przetwarzający niezwłocznie informuje Administratora o:

1. jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych,

2. wydaniu jakiegokolwiek orzeczenia dotyczącego przetwarzania powierzonych danych osobowych,

3. wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych.

2. W celu wykazania, że Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, Podmiot Przetwarzający, na żądanie Administratora, udziela informacji świadczących o odpowiedniej wiedzy fachowej, wiarygodności i zasobach do przetwarzania danych osobowych.

§ 11. Kontrola prawidłowości warunków przetwarzania

1. Strony zgodnie postanawiają, że Administrator uprawniony będzie do dokonywania kontroli prawidłowości warunków przetwarzania powierzonych na podstawie Umowy ppdo danych osobowych przez Podmiot przetwarzający, a Podmiot przetwarzający zobligowany będzie do współdziałania z Administratorem w celu realizacji powyższego zobowiązania w możliwie szerokim zakresie, tj. w szczególności udostępni Administratorowi wszelkie informacje niezbędne do wskazania spełnienia przyjętych obowiązków oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora prowadzenie audytów, w tym inspekcji.

2. Prawo przeprowadzenia audytu/inspekcji obejmuje:

1. wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych;

2. żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do przetwarzania powierzonych danych osobowych;

3. wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z celem inspekcji;

4. przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.

3. Termin przeprowadzenia kontroli, o której mowa w ust.1 zostanie ustalony z Podmiotem przetwarzającym, jednak kontrola nie może odbyć się później niż 2 dni robocze od przekazania Podmiotowi przetwarzającemu pisemnej informacji.

4. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 2 dni roboczych od dnia otrzymania wniosku.

5. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas inspekcji w terminie wskazanym przez Administratora.

§ 12. Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy ppdo, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania i zaniechanie.

3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełni obowiązków nałożonych na niego przez RODO lub gdy działa niezgodnie ze zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

4. Podmiot przetwarzający odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez Podmiot przetwarzający powierzonych danych osobowych.

5. W przypadku naruszenia Umowy ppdo lub przepisów RODO z przyczyn leżących po stronie Podmiotu przetwarzającego, w następstwie czego Administrator jako administrator danych osobowych zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny lub administracyjną karą finansową lub poniesie innego typu straty, Podmiot przetwarzający zobowiązuje się pokryć poniesione przez Administratora z tego tytułu straty i koszty.

6. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami Kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.

§ 13. Postanowienia końcowe

1. Powierzenie przetwarzania trwa przez okres obowiązywania Umowy głównej.

2. Administrator będzie przesyłał do Podmiotu przetwarzającego żądania związane z realizacją Umowy ppdo, przetwarzaniem powierzonych do przetwarzania danych osobowych, związanych z przeprowadzeniem audytów i kontroli, żądaniami podmiotów danych oraz incydentami na adres poczty elektronicznej: ........................... lub w formie papierowej do …………………………………………………….

3. Administrator może wypowiedzieć Umowę ppdo ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:

1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie, lub

2. przetwarza dane osobowe w sposób niezgodny z niniejszą umową, lub

3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody

4. Administratora.

4. W okresie trzech miesięcy od dnia wypowiedzenia Xxxxx ppdo ze skutkiem natychmiastowym lub po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, Administrator zachowuje prawo przeprowadzenia inspekcji, o którym mowa w § 11, w zakresie weryfikacji wykonania obowiązku zwrotu lub usunięcia danych osobowych, o którym mowa w § 9.

5. Podmiot przetwarzający nie może przenieść praw i obowiązków wynikających z Umowy ppdo bez pisemnej zgody Administratora.

6. W sprawach nieuregulowanych w Umowie ppdo zastosowanie będą miały przepisy Kodeksu cywilnego, RODO oraz ustawy o ochronie danych osobowych.

7. Umowa ppdo została sporządzona w formie elektronicznej zgodnie z art. 78¹ §1 Kodeksu cywilnego i zostaje zawarta w dacie złożenia podpisu przez ostatnią ze Stron.

8. Załączniki wymienione w Umowie ppdo stanowią integralną jej część i obejmują:

1. Załącznik nr 1 – Wykaz stosowanych środków bezpieczeństwa wobec powierzonych do przetwarzania danych osobowych przez Podmiot przetwarzający,

2. Załącznik nr 2 – Upoważnienie nr 6/2023 z dnia 11 stycznia 2023 r.

………………………………….	………………………………….
Za Administratora	Za Podmiot przetwarzający

Załącznik nr 1 do Umowy powierzenia przetwarzania danych osobowych będącej Załącznikiem nr 8 do Umowy ………………..

Wykaz stosowanych środków bezpieczeństwa wobec powierzonych do przetwarzania danych osobowych przez Podmiot przetwarzający:

1 W zależności od formy zawarcia Umowy.

2 Wysokość kapitału zakładowego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej, sp. z o.o., oraz spółki akcyjnej.

3 Wysokość kapitału wpłaconego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej oraz spółki akcyjnej.

4 Uzupełnić, jeśli Wykonawca przedstawi Podwykonawców.

5 W zależności od formy zawarcia Umowy.

61