UMOWA - WZÓR

Załącznik Nr 4 do Zaproszenia do złożenia ofert

UMOWA - WZÓR

zwaną dalej „Umową”, zawarta w ……………………., w dniu ……………. Roku pomiędzy:

Gmina Głowaczów, 00-000 Xxxxxxxxx, xx. Rynek 35, REGON 670223646, NIP 8121839384, reprezentowaną przez:

Wójt Gminy –..........................................................................................................................……………

przy kontrasygnacie Skarbnika Gminy

.......................................................................................................................................…………………….

zwaną w dalszej części umowy „Zamawiającym”

a

Nazwa:

Adres:

NIP:

REGON:

reprezentowaną przez

zwaną w dalszej części Umowy także „Wykonawcą”

zwanymi w dalszej części Umowy łącznie „Stronami” lub każde indywidualnie „Stroną”.

o następującej treści:

§ 1

[Oświadczenia stron]

1. Wykonawca oświadcza, że posiada wiedzę i doświadczenie niezbędne do należytego wykonania niniejszej Umowy zgodnie z jej postanowieniami.

2. Zamawiający potwierdza, iż jest świadomy, że należyta realizacja Umowy może wymagać: Ingerencji w jego środowisko teleinformatyczne przez Wykonawcę oraz osoby działające w jego imieniu, a także przełamania zabezpieczeń Systemu. Zamawiający wyraża, wobec tego zgodę na takie działania Wykonawcy, udzielając mu jednocześnie prawa dostępu do systemu informatycznego oraz pomieszczeń jednostki w celu realizacji niniejszej Umowy i w zakresie w niej wskazanym.

§ 2

[Przedmiot Umowy]

1. Na podstawie niniejszej Umowy Zamawiający zleca, zaś Wykonawca przyjmuje do wykonania usługi (dalej: „Usługa”) polegające na:

1. Przeprowadzeniu audytu w ramach technicznej diagnozy cyberbezpieczeństwa (dalej: „Diagnoza”) dla środowiska teleinformatycznego Zamawiającego (dalej: „System”),

2. Opracowanie Systemu Zarządzania Bezpieczeństwem Informacji opartego o polską normę PN- ISO/IEC 27001, zgodnie z wymaganiami §20 ust.1 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (KRI).

3. Przeprowadzeniu szkolenia z zakresu cyberbezpieczeństwa, o którym mowa w §20 ust. 2 pkt 6 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

3. W ramach realizacji przedmiotu Umowy, o którym mowa w ust. 1 lit. a, Wykonawca zobowiązuje się do:

1. sporządzenia i przekazania Zamawiającemu raportu zawierającego opracowanie wyników Audytu, a także zalecenia i rekomendacje służące wyeliminowaniu wykrytych podatności i mające na celu poprawę stosowanych przez Zamawiającego zabezpieczeń Systemu (dalej: „Raport”);

4. wykonania Diagnozy zgodnie ze szczegółowymi wymaganiami określonymi w załączniku nr 8 do Regulaminu Konkursu Grantowego „Cyfrowa Gmina Oś V. Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia - REACT-EU Działanie 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia Program Operacyjny Polska Cyfrowa na lata 2014 – 2020” dalej „Regulamin Konkursu Grantowego Cyfrowa Gmina”.

5. sporządzenia i przekazania Zamawiającemu raportu zawierającego opracowanie wyników Diagnozy, a także zalecenia i rekomendacje służące wyeliminowaniu wykrytych podatności i mające na celu poprawę stosowanych przez Zamawiającego zabezpieczeń Systemu (dalej: „Raport”);

4. W ramach realizacji przedmiotu Umowy, o którym mowa w ust. 1 lit. b, Wykonawca zobowiązuje się do:

1. Opracowanie Systemu Zarządzania Bezpieczeństwem Informacji opartego
   o polską normę PN- ISO/IEC 27001, zgodnie z wymaganiami §20 ust.1 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych
   i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań
   dla systemów teleinformatycznych (KRI).

5. W ramach realizacji przedmiotu Umowy, o którym mowa w ust. 1 lit. c, Wykonawca zobowiązuje się do:

1. Przeprowadzenia szkolenia z zakresu cyberbezpieczeństwa, o którym mowa
   w §20 ust. 2 pkt 6 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r.
   w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań
   dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

6. Po zakończeniu szkolenia – wystawienia imiennych certyfikatów pracownikom Zamawiającego, którzy uczestniczyli w szkoleniu.

6. Wykonawca zobowiązuje się do zachowania w poufności informacji uzyskanych
   w ramach realizacji Umowy na zasadach określonych w § 6 Umowy.

7. W zamian za wykonanie usługi, o której mowa w ust. 1, Zamawiający zobowiązuje się zapłacić Wykonawcy wynagrodzenie w kwocie i na zasadach określonych w § 7 Umowy.

§ 3

[Obowiązki Wykonawcy]

1. Wykonawca oświadcza, że ma świadomość tego, że celem przeprowadzenia Diagnozy,
   o której mowa w §2 ust.1 lit. a, jest weryfikacja działalności podmiotu Zamawiającego pod kątem spełniania przez niego wymogów określonych w załączniku nr 8
   do Regulaminu Konkursu Grantowego Cyfrowa Gmina.

8. Mając na uwadze zakres prac Wykonawcy i ich cel określony w ust. 1, Wykonawca zobowiązuje się w szczególności do:

1. wykonania Umowy z należytą starannością, z uwzględnieniem zawodowego
   i profesjonalnego charakteru prowadzonej przez Zleceniobiorcę działalności;

7. zapewnienia właściwego nadzoru i koordynacji działań związanych z realizacją Umowy w celu osiągnięcia wymaganej jakości oraz terminowości prac realizowanych w jej ramach;

8. bieżącego udzielania Zamawiającemu wyjaśnień i informacji o sposobie realizacji Umowy;

9. niezwłocznego informowania Zamawiającego o wszelkich okolicznościach, które mogą negatywnie wpłynąć na prawidłową realizację Umowy.

§ 4

[Współdziałanie Zamawiającego]

1. Zamawiający niniejszym oświadcza, iż jest świadomy, że realizacja przedmiotu Umowy, określonego w § 2 ust.1 lit a. b, c, wymaga jego ścisłego współdziałania z Wykonawcą, wobec powyższego zobowiązuje się zaangażować zasoby ludzkie i organizacyjne, niezbędne dla należytego wykonania niniejszej umowy.

9. W celu umożliwienia przeprowadzenia prac wymienionych w niniejszej Umowie, Zamawiający zaznajomi Wykonawcę z obowiązującymi procedurami wewnętrznymi, systemami informatycznymi, zabezpieczeniami, udzieli wszelkich niezbędnych informacji i umożliwi dostęp do pomieszczeń, dokumentacji, sprzętu, aplikacji i szeroko rozumianej infrastruktury informatycznej, koniecznych do należytego wykonywania niniejszej Umowy.

10. W celu przeprowadzania niezbędnych czynności, określonych treścią niniejszej Umowy, Zamawiający zapewnia Wykonawcy wstęp na teren jego siedziby oraz gwarantuje obecność odpowiednich pracowników odpowiedzialnych za współpracę z Wykonawcą, w tym przekazywanie bieżących informacji na każdym Etapie wykonania Umowy.

11. Osoby wyznaczone do kontaktu i współpracy w celu wykonania niniejszej umowy, w szczególności przekazywania wszelkich informacji wymienionych w § 4 ust. 1, 2 i 4, wskazane są w załączniku nr 1 dołączonym do niniejszej Umowy.

§ 5

[Powierzenie przetwarzania danych]

Przetwarzanie danych osobowych odbywać się będzie na podstawie Umowy Powierzenia przetwarzania danych, która stanowi załącznik nr 2 do niniejszej Umowy.

§ 6

[Poufność]

1. Wykonawca niniejszym oświadcza, iż metodologia usług, świadczonych przez niego na podstawie niniejszej Umowy, w tym również charakter podejmowanych prac, stanowi wiedzę techniczną oraz organizacyjną o charakterze poufnym (know-how), objętą tajemnicą jego przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.

12. Wykonawca zobowiązuje się zachować w tajemnicy wszelkie informacje dotyczące przedmiotu niniejszej Umowy, sposobu jej wykonania, a także wszelkich danych dotyczących Zamawiającego i prowadzonej przez niego działalności, pozyskanych podczas lub w związku z realizacją niniejszej Umowy, chyba że na takie ujawnienie Zamawiający udzieli uprzedniej zgody na piśmie – z wyłączeniem §9 Umowy. Obowiązek poufności pozostaje w mocy również po ustaniu Umowy.

§ 7

[Wynagrodzenie]

1. Z tytułu realizacji niniejszej umowy Zamawiający zobowiązuje się do zapłacenia Wykonawcy wynagrodzenia w łącznej wysokości: ………………………. zł brutto, słownie (……………………………………………………………………………………………….. złotych 00/100) w tym:

1. Za czynności opisane w § 2 ust 2 lit a-b – ………………. zł brutto

2. Za czynności opisane w § 2 ust 2 lit c-d – ……………….. zł brutto

3. Za czynności opisane w § 2 ust 3 – ………………………. zł brutto

4. Za czynności opisane w § 2 ust 4 – ………………………. zł brutto

13. Wynagrodzenie, o którym mowa powyżej jest wynagrodzeniem brutto i zawiera podatek od towarów i usług (VAT)

14. Wynagrodzenie, o którym mowa w § 7 ust 1 płatne będzie każdorazowo po zakończeniu każdej czynności, o których mowa w § 2, na podstawie należycie wystawionej faktury VAT.

15. Strony ustalają, że płatność w ramach wynagrodzenia, o którym mowa w ust. 1 powyżej będzie realizowana w terminie 14 dni od daty wpływu faktury VAT do Zamawiającego.

16. Zamawiający wyraża zgodę na wystawianie i przesyłanie faktur, o których mowa w ust.1, w formie elektronicznej. Formatem faktury w formie elektronicznej jest PDF (Portable Document Format). Faktura będzie dostarczona do Zamawiającego w formie elektronicznej z adresu mailowego Wykonawcy, wskazanego w załączniku nr. 1 do niniejszej Umowy.

§ 8

[Czas trwania Umowy. Zakończenie Umowy]

1. Niniejsza umowa obowiązuje od dnia jej podpisania i obowiązuje do chwili ukończenia wszystkich usług wskazanych w §2 ust. 1 lit a, b, c, nie dłużej jednak niż do końca roku 2022, przy czym:

1. Za ukończenie usługi z §2 ust. 1 lit a uważa się przekazanie wyników raportu z dokonanej Diagnozy, poprzez Wykonawcę. Usługa Diagnozy z § 2 ust. 1 lit a musi być wykonana
   do dnia 26.08.2022 r.,

2. Za ukończenie usługi z §2 .ust. 1 lit b uważa się moment przekazania całej dokumentacji,

3. Za ukończenie usługi z §2 ust. 1 lit c. uważa się dzień przeprowadzenia szkolenia,

17. Umowa może zostać rozwiązana przed terminem jej zakończenia przez każdą ze Stron
    z zachowaniem 30 dniowego okresu wypowiedzenia, licząc od końca miesiąca kalendarzowego.

18. W razie rozwiązania Umowy z jakiejkolwiek przyczyny Zamawiający zapłaci wynagrodzenie Wykonawcy za każdą ukończoną usługę, o której mowa w ust.1. Doręczenie przez Wykonawcę faktury opiewającej na ww. koszty obejmuje zrzeczenie się przez Wykonawcę dalszych roszczeń do wynagrodzenia z tytułu niniejszej Umowy.

§ 9

[Zgoda na wykorzystywanie znaku towarowego i nazwy gminy]

1. Zamawiający wyraża zgodę i udziela na rzecz Wykonawcy, nieograniczonej terytorialnie i czasowo nieodpłatnej licencji, na czas nieoznaczony od chwili zawarcia Umowy, z prawem do jej wypowiedzenia z zachowaniem rocznego terminu wypowiedzenia, do korzystania ze znaku towarowego (oznaczenia podmiotu, logotypu) oraz nazwy gminy, w celu prezentacji portfolio Wykonawcy, na stronie internetowej Wykonawcy, jego oficjalnych kontach na portalach społecznościowych oraz materiałach marketingowych Wykonawcy.

19. Licencja, o której mowa w ust. 1 udzielana jest z chwilą zawarcia Umowy i dla swojej skuteczności nie będzie wymagała dodatkowych czynności rozporządzających.

20. Zamawiający oświadcza, iż udzielona licencja w niniejszym paragrafie nie upoważnia Wykonawcy do dalszej sublicencji na osoby trzecie.

§ 10

[Prawa autorskie Wykonawcy]

1. Jeżeli w ramach świadczenia usług, o których mowa w niniejszej Umowie, Wykonawca stworzy utwór bądź utwory, w rozumieniu ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych, to z chwilą ich udostępnienia udziela Zamawiającemu nieograniczone czasowo prawo, do korzystania z wytworzonego utworu bądź utworów.

21. Prawo do korzystania z utworu bądź utworów, o którym mowa w ust. 1 odnosi się wyłącznie do korzystania z niego na własny użytek, do prowadzenia bieżącej działalności i celu w jakim został stworzony Zamawiającemu, w szczególności Zamawiający nie ma prawa do przenoszenia i rozpowszechniania udostępnionego utworu bądź utworów do celów komercyjnych.

22. Wykonawca nie przenosi na Zamawiającego majątkowych praw autorskich ze stworzonych przez siebie utworów.

§ 11

[Kara umowna]

1. W razie nieterminowego wykonania usługi Diagnozy z §2 ust. 1 lit. a bądź wykonania usługi Diagnozy w sposób wadliwy, niezgodny z wymaganiami określonymi Regulaminie i załączniku nr 8 do Regulaminu Konkursu Grantowego Cyfrowa Gmina Wykonawca zapłaci Zamawiającemu karę umowną w wysokości dwukrotności wynagrodzenia netto, o którym mowa w § 7 ust.1 lit b).

23. Niezależnie od kary umownej zamawiający może dochodzić odszkodowania na zasadach ogólnych.

§ 12

[Klauzule dodatkowe]

1. Uznanie któregokolwiek z postanowień niniejszej Umowy za nieważne nie powoduje nieważności pozostałych jej postanowień (klauzula salwatoryjna).

24. Żadna ze Stron nie ponosi odpowiedzialności za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z niniejszej Umowy, jeżeli jest ono spowodowane zjawiskami siły wyższej. Za siłę wyższą Strony uznają wszelkie okoliczności i zjawiska, których nie można było przewidzieć – przy zachowaniu należytej staranności – w chwili zawarcia Umowy ani też im zapobiec, mające charakter zewnętrzny, niezależny od woli Stron i nie są spowodowane przez żadną z nich, ani też przez żadną z osób, za które ponoszą odpowiedzialność (siła wyższa).

§ 13

[Przepisy końcowe]

1. Integralną część Umowy stanowią następujące załączniki do Umowy:

1. Załącznik nr 1 Dane kontaktowe

10. Załącznik nr 2 Umowa powierzenia przetwarzania danych osobowych

25. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

26. Zmiana osób wyznaczonych do kontaktu i ich danych kontaktowych oraz adresów mailowych
    do fakturowania, które to informacje zawarte są w Załączniku nr 1, nie jest traktowana jako zmiana umowy i nie wymaga formy pisemnej, a jedynie notyfikowania takiej zmiany w jakiejkolwiek formie.

27. Zamawiający po wykonaniu Umowy przez Wykonawcę, na jego prośbę, zobowiązuje się
    do wystawienia i przesłania drogą pocztową pisemnych referencji potwierdzających zaangażowanie, wiedzę i umiejętności pracowników ……………..

28. Obie strony deklarują chęć porozumienia we wszystkich kwestiach spornych. W razie niemożności dojścia do porozumienia na drodze negocjacji, wszystkie spory z tytułu Umowy rozstrzygać będzie sąd powszechny właściwy miejscowo, wedle właściwości ogólnej.

29. W sprawach nieuregulowanych Umową, zastosowanie mają przepisy ustawy z dnia 23 kwietnia 1964 r. kodeks cywilny.

30. Osoby podpisujące niniejszą Umowę w imieniu i na rzecz jej Stron oświadczają, iż są należycie umocowane do składania oświadczeń woli i zaciągania zobowiązań w ich imieniu.

31. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Zamawiający: Wykonawca:

……………………………………….. ……………………………………….

podpis podpis

Załącznik nr 1 do Umowy

……………………………………

data

§1

[Adres email - fakturowanie]

1. Faktura będzie dostarczana do Zamawiającego w formie elektronicznej z adresu mailowego Wykonawcy.: ……………………. na adres mailowy Zamawiającego.

32. Adres mailowy Zamawiającego: ………………………………..

§2

[Osoby wyznaczone do kontaktu ze strony Wykonawcy]

1. Wykonawca w celu kontaktu i realizacji postanowień niniejszej Umowy ustanawia wymienione poniżej osoby:

1. ………………………………………;

11. ………………………………………;

12. ………………………………………;

§3

[Osoby wyznaczone do kontaktu ze strony Zamawiającego]

1. Zamawiający w celu kontaktu i realizacji postanowień niniejszej Umowy ustanawia wymienione poniżej osoby:

1. …………………………………………………………

13. …………………………………………………………

Załącznik nr 2 do Umowy

UMOWA POWIERZENIA
PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w ……………., w dniu …………………… pomiędzy:

Gmina Głowaczów, 00-000 Xxxxxxxxx, xx. Rynek 35, REGON 670223646, NIP 8121839384, reprezentowaną przez:

Wójt Gminy –..........................................................................................................................……………

przy kontrasygnacie Skarbnika Gminy

.......................................................................................................................................…………………….

zwaną w dalszej części umowy „Administratorem”

a

Nazwa:

Adres:

NIP:

REGON:

reprezentowaną przez

zwaną w dalszej części Umowy także „Podmiotem Przetwarzającym”

zwani w dalszej części Umowy łącznie „Stronami” lub każde indywidualnie „Stroną”

W związku z zawarciem przez Strony w dniu ………………………... roku umowy (dalej: „Umowa Podstawowa”), Strony zawierają niniejszą umowę powierzenia przetwarzania danych (dalej: „Umowa Powierzenia” lub „Umowa”), związku z wykonywaniem której Administrator powierzy Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową Podstawową. Celem Umowy jest ustalenie warunków, na jakich Podmiot Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora i tym samym wypełnienie obowiązków prawnych, w szczególności z art. 28 ust. 3 RODO.

§1

Postanowienia ogólne

1. Przedmiot umowy stanowi powierzenie Podmiotowi Przetwarzającemu przez Administratora przetwarzania danych osobowych w zakresie uzasadnionym postanowieniami Umowy Podstawowej.

2. Przetwarzanie danych osobowych odbywa się na warunkach określonych w niniejszej Umowie i Umowie Podstawowej.

3. Powierzenie przetwarzania danych osobowych następuje wyłącznie w zakresie niezbędnym do celu prawidłowej realizacji Umowy Podstawowej przez Podmiot Przetwarzający. Procesor nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych danych osobowych ani do przechowywania powierzonych danych w zakresie, który nie jest konieczny do prawidłowej realizacji Umowy Podstawowej i rozliczenia z jej wykonania.

4. Wszystkie dokonywane operacje będą miały charakter wtórny lub subsydiarny, ponieważ nie są celem samym w sobie, lecz są niezbędne do zrealizowania postanowień Umowy Podstawowej.

5. Przetwarzanie danych osobowych odbywać się będzie w okresie obowiązywania Umowy Podstawowej. Zakończenie obowiązywania Umowy Podstawowej skutkuje jednoczesnym zakończeniem obowiązywania niniejszej Umowy Powierzenia.

6. Charakter i cel przetwarzania wynikają z Umowy Podstawowej. W szczególności:

1. Charakter przetwarzania wynika z roli Podmiotu Przetwarzającego, jaką jest:

a) świadczenie usług audytowych polegających na przeprowadzeniu technicznej Diagnozy cyberbezpieczeństwa, dalej „Diagnoza”

b) przeprowadzenie szkolenia z zakresu cyberbezpieczeństwa

2. Przetwarzanie danych osobowych odbywać się będzie w formie elektronicznej, w sposób tradycyjny oraz częściowo zautomatyzowany. Przetwarzanie będzie miało stosunkowo małą skalę i odbywać się będzie przez krótki okres, uzasadniony czasem trwania Diagnozy oraz wystawienia certyfikatów uczestnikom szkolenia z cyberbezpieczeństwa, ponieważ przetwarzanie danych osobowych jest nieuniknionym efektem ubocznym usług świadczonych przez Procesora.

3. Celem przetwarzania jest wykonanie postanowień Umowy Podstawowej. W szczególności czynności podejmowane przez procesora mogą obejmować: dostęp do urządzeń i pomieszczeń, gdzie przetwarzane są dane, sprawdzanie sprzętu i infrastruktury IT, analizę kodów źródłowych oraz inne niezbędne czynności konieczne do prawidłowego wykonywania usług, zaś w zakresie szkolenia z cyberbezpieczeństwa dostęp do danych osób uczestniczących w szkoleniu.

4. W ramach powierzenia mogą być dokonywane zwłaszcza następujące operacje przetwarzania: zbieranie, przechowywanie, pobieranie, przeglądanie, usuwanie, zaś w zakresie koniecznym do wystawienia certyfikatów uczestnikom szkolenia – wysyłanie i utrwalanie.

§2

Rodzaj danych osobowych

Dane osobowe powierzone Procesorowi obejmują w zdecydowanej większości dane zwykłe, wśród powierzonych danych mogą pojawić się również, w ograniczonej ilości, dane szczególnej kategorii, w postaci danych o stanie zdrowia.

§3

Kategorie Osób

Przetwarzanie danych osobowych może dotyczyć następujących kategorii osób:

1. osoby pracujące u Administratora (bez względu na podstawę zatrudnienia)

2. kontrahenci i klienci Administratora

3. osoby korzystające ze strony internetowej Administratora

4. mieszańcy gminy

5. uczestnicy szkolenia z cyberbezpieczeństwa

§4 

Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający przetwarza dane wyłącznie na podstawie udokumentowanego polecenia Administratora, za które uważa się niniejszą Umowę.

2. Do przetwarzania danych osobowych, powierzonych na mocy niniejszej Umowy, mogą być dopuszczeni jedynie pracownicy (w tym współpracownicy, niezależnie od podstawy zatrudnienia) posiadający pisemne upoważnienie do przetwarzania danych osobowych oraz którzy złożyli pisemne oświadczenie o zachowaniu poufności. Obowiązek zachowania poufności, obowiązuje bezterminowo, także po ustaniu okresu zatrudnienia lub współpracy osób, o których mowa w zdaniu poprzednim.

3. Podmiot Przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 (bezpieczeństwo przetwarzania, zgłaszanie naruszeń Organowi Nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym). W szczególności, na pisemną prośbę Administratora, Procesor udziela informacji, które mogą mieć znaczenie, dla zgłoszonej prośby oraz może podejmować inne działania, na które strony się wcześniej umówią.

4. Biorąc pod uwagę charakter przetwarzania, Procesor w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. W szczególności dotyczyć to może udzielania przez Procesora określonych informacji Administratorowi, drogą komunikacji elektronicznej, po jego uprzedniej prośbie.

5. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

6. Podmiot Przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (Podpowierzenie), o których mowa w §8

7. Podmiot Przetwarzający powiadamia Administratora o każdym stwierdzeniu naruszenia ochrony Danych osobowych nie później niż w 48 godzin od jego stwierdzenia.

§5 

Oświadczenia Podmiotu Przetwarzającego

1. Procesor oświadcza, że zapewnia gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w szczególności zobowiązuje się do podejmowania wszelkich środków wymaganych na mocy art. 32 RODO.

2. Procesor oświadcza, że jego pracownicy i współpracownicy (niezależnie od podstawy zatrudnienia) upoważnieni do przetwarzania danych zostali zapoznani i przeszkoleni z zasad ochrony danych osobowych. Upoważnieni nie mogą wykonywać operacji na danych przekraczających zakres wydanych im upoważnień ani posiadać prawa dostępu do danych w zakresie szerszym, niż wynikałoby to z upoważnienia lub też przetwarzać danych w celu innym, niż ten, do którego zostali upoważnieni.

3. W celu właściwego zapewnienia bezpieczeństwa wszystkich powierzonych mu danych Podmiot Przetwarzający zobowiązuje się do zachowania najwyższej staranności.

4. Jeżeli Podmiot Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem.

5. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego (czyli poza EOG) lub organizacji międzynarodowej. Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG.

6. Jeżeli Podmiot Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.

7. W przypadku obowiązku przekazania danych, o którym mowa w ust. 7, Podmiot Przetwarzający przed rozpoczęciem przetwarzania informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

§6 

Prawa i Obowiązki Administratora

1.Administrator ma prawo dokonywać audytów i inspekcji na zasadach określonych w §7.

2.Administrator zobowiązany jest współdziałać z Podmiotem Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień, w razie wątpliwości co do legalności wydawanych poleceń, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§7 

Kontrola

1.Administrator ma prawo do dokonywania audytów, w tym inspekcji, procesów przetwarzania powierzonych danych osobowych.

2. Informacja o planowanej inspekcji lub audycie zostanie przekazana Podmiotowi Przetwarzającemu co najmniej 14 dni przed jej rozpoczęciem.

3.Administrator nadaje swoim pracownikom, których wyznaczył do przeprowadzenia inspekcji lub audytu pisemne upoważnienia, przeznaczone do wglądu dla Podmiotu Przetwarzającego. Uprawnione osoby mają prawo wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe, wglądu do dokumentacji związanej z przetwarzaniem powierzonych danych osobowych oraz uzyskiwania informacji dotyczących przebiegu przetwarzania.

4. Audyty i inspekcje nie mogą odbywać się częściej niż raz w roku.

5.Podczas audytu lub inspekcji Podmiot Przetwarzający współpracuje z przedstawicielami Administratora i przyczynia się do nich.

§8 

Podpowierzenie

1.Administrator wyraża ogólną zgodę na to, aby Podmiot Przetwarzający powierzał niektóre operacje przetwarzania danych („podpowierzenie”) w drodze pisemnej umowy podpowierzenia innym podmiotom przetwarzającym. Kategorie podmiotów, którym przetwarzanie może zostać powierzone obejmują w szczególności podmioty świadczące usługi informatyczne i hostingowe.

2.Podmiot Przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Na wyrażenie sprzeciwu Administrator ma 2 dni robocze od momentu poinformowania go przez Procesora o zamierzonych zmianach.

3.Dokonując podpowierzenia Podmiot Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Procesora wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.

4.Podmiot Przetwarzający nie ma prawa przekazać Podprzetwarzającemu całości wykonania Umowy.

§9 

Odpowiedzialność

1.Podmiot Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Procesora lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.

2.Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Podmiocie Przetwarzającym.

§10 

Postanowienia końcowe

Po zakończeniu realizacji Umowy Podstawowej, Podmiot Przetwarzający zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Projekt “Cyfrowa Gmina” jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego

w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020

str. 19