UMOWA NR /CIS-WAZ.271.3.2021
UMOWA NR /CIS-WAZ.271.3.2021
W wyniku rozstrzygnięcia postępowania o udzielenie zamówienia publicznego w trybie przetargu nieograniczonego CIS-WAZ.271.3.2021, pomiędzy:
Centrum Informatyki Statystycznej, xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, NIP: 000-000-00-00, REGON: 142396858, zwanym dalej „Zamawiającym” reprezentowanym przez
…………………………………… – ………………………… a
……………... siedzibą ………….. przy ul. ………………, kod ……………… wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla ………………. w ……………, ……………………… Krajowego Rejestru Sądowego pod numerem ………….. posiadającą nr NIP: …………….. i nr REGON: ……………., zwaną dalej
„Wykonawcą”, reprezentowanym przez:
……………………………..… …. - …………………………….
zwanymi dalej łącznie Stronami, została zawarta umowa następującej treści:
§ 1
Przedmiot Umowy
2. Wykonanie przedmiotu umowy, o którym mowa w ust. 1, szczegółowo określone jest w załącznikach do umowy: Opis przedmiotu zamówienia (OPZ) - Załącznik nr 1 oraz w Ofercie Wykonawcy (FO) – Załącznik nr 2 do umowy, wraz z załączonym do niej Formularzem cenowym (FC).
§ 2
Wartość Umowy
2. Wartość przedmiotu umowy określona w ust. 1 obejmuje wszelkie koszty związane z wykonaniem przedmiotu umowy, w tym koszty: dostawy oprogramowania, przeniesienia na Zamawiającego licencji, a także autorskich praw majątkowych w przypadku wytworzenia oprogramowania, dokumentacji lub innych utworów na wszystkich wskazanych w umowie polach eksploatacji, przeniesienia własności nośników, na których utwory lub oprogramowanie zostały utrwalone, a także wsparcia producenta oprogramowania, konsultacji technicznych Wykonawcy oraz koszty transportu, podróży, opłat i podatków łącznie z podatkiem VAT.
§ 3
TERMIN REALIZACJI UMOWY
Terminy realizacji przedmiotu umowy wynosi 7 dni od daty zawarcia umowy.
Termin dostawy licencji do Zamawiającego stanowi kryterium oceny ofert. Ostatecznie ustalony
zostanie na podstawie Oferty Wykonawcy.
§ 4
POTWIERDZENIE REALIZACJI UMOWY
1. Potwierdzeniem prawidłowego wykonania przedmiotu umowy będzie protokół odbioru, podpisany bez zastrzeżeń przez przedstawicieli Wykonawcy i Zamawiającego,
2. Wzór protokołu odbioru określa załącznik nr 3 do umowy.
§ 5
Warunki płatności
1. Zamawiający zapłaci wynagrodzenie, o którym mowa w § 2 ust. 1, w wysokości określonej w Formularzu cenowym w Ofercie Wykonawcy, stanowiącej Załącznik nr 2 do umowy, przelewem na rachunek bankowy Wykonawcy wskazany na fakturze, w ciągu 30 dni od daty otrzymania faktury.
2. Podpisany bez zastrzeżeń protokół odbioru, będzie podstawą do wystawienia przez Wykonawcę faktury za realizację przedmiotu umowy.
3. Faktura będzie wystawiona na rzecz Zamawiającego z podaniem numeru umowy, wyszczególnieniem nazwy towaru, kwoty netto, stawki i kwoty podatku VAT oraz wartości brutto, a także informacji o podzielonej płatności, jeśli dotyczy.
4. Faktura wystawiona w formie papierowej dostarczona zostanie na adres Zamawiającego: Centrum Informatyki Statystycznej, xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx w ciągu 7 dni od daty jej wystawienia.
Bezpośrednio po wystawieniu faktury Wykonawca prześle jej skan na adres e-mail ……………………
5. Zamawiający umożliwia Wykonawcy przesłanie ustrukturyzowanej faktury elektronicznej, zgodnie z zasadami określonymi w ustawie z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2018 r poz. 2191). Zamawiający korzysta z Platformy Elektronicznego Fakturowania: PEFexpert Platforma Elektronicznego Fakturowania.
6. Za dotrzymanie przez Xxxxxxxxxxxxx terminu zapłaty, o którym mowa w ust. 1, uważa się złożenie
w tym terminie polecenia przelewu w banku Zamawiającego.
§ 6
ZASADY WSPÓŁDZIAŁANIA STRON
1. Osobami upoważnionymi do współdziałania przy realizacji niniejszej umowy oraz do dokonania odbioru ze strony Zamawiającego będą: …………… tel. ……………., e-mail: lub
………................. tel. ……………….……. e-mail: …………………, lub …………..………….. tel e-
zaś ze strony Wykonawcy …………. tel. ……………… e-mail …………………..
2. Osoby upoważnione, o których mowa w ust. 1 są uprawnione do uzgadniania na bieżąco spraw związanych z realizacją przedmiotu umowy dokonywania zgłoszeń Awarii oraz podpisania protokołu odbioru, z zastrzeżeniem, że związane są warunkami ustalonymi w umowie.
3. Wykonawca zobowiązuje się wykonywać umowę z należytą starannością, zgodnie z ofertą i obowiązującymi przepisami prawa, a w szczególności odpowiada za jakość i terminowość wykonania umowy.
4. Wykonawca jest odpowiedzialny za działania, zaniechanie działań, uchybienia i zaniedbania osób, które skieruje do wykonania umowy, jak również podwykonawców i ich pracowników (działania zawinione i niezawinione), w takim stopniu jakby to były działania, względnie uchybienia, jego własne.
5. Wykonawca zobowiązany jest do informowania Zamawiającego niezwłocznie o wszystkich zdarzeniach mających lub mogących mieć wpływ na wykonanie umowy. Zamawiający jest zobowiązany niezwłocznie przedsięwziąć kroki w celu usunięcia przeszkód związanych z wykonaniem umowy, leżących po jego stronie, a zgłoszonych w formie pisemnej przez Wykonawcę. Brak pisemnej informacji o zagrożeniach, trudnościach lub przeszkodach związanych z wykonywaniem umowy, leżących po stronie Zamawiającego, zwalnia Zamawiającego od odpowiedzialności za wynikające stąd skutki i nie może stanowić podstawy do odstąpienia przez Wykonawcę od umowy z powodu zwłoki bądź braku współdziałania ze strony Zamawiającego albo kwestionowania zasadności naliczenia kar umownych za zwłokę lub niezrealizowanie przedmiotu umowy w terminie.
§ 7
WARUNKI LICENCJONOWANIA
1. Wykonawca w ramach wynagrodzenia za wykonanie umowy, o którym mowa w § 2 ust. 1, udzieli Zamawiającemu licencji Oprogramowania albo zapewni ich przeniesienie od podmiotu, któremu przysługują do nich majątkowe prawa autorskie, bez możliwości wcześniejszego wypowiedzenia.
2. Licencje, o których mowa w ust. 1 muszą pozwalać na swobodne ich przenoszenie pomiędzy urządzeniami (np. w przypadku wymiany sprzętu).
3. W ramach wykonania przedmiotu umowy, Wykonawca zobowiązany jest do przekazania Zamawiającemu, wraz z dostawą Oprogramowania, dokumentów licencyjnych w formie elektronicznej.
4. Warunki korzystania z Oprogramowania w ramach udzielonych licencji nie mogą być gorsze od standardowych warunków oferowanych innym podmiotom przez osobę lub podmiot, któremu przysługują prawa do tego Oprogramowania, w tym muszą obejmować co najmniej następujące pola eksploatacji:
1) korzystanie z Oprogramowania w ramach wszystkich funkcjonalności w dowolny sposób w liczbie nabytych licencji i sublicencji na zasadach wskazanych w załączniku nr 1 do umowy,
2) wprowadzanie i zapisywanie w pamięci komputerów, serwerów, odtwarzanie, utrwalanie, przekazywanie, przechowywanie, wyświetlanie, stosowanie, instalowanie i deinstalowanie Oprogramowania pod warunkiem zachowania liczby udzielonych licencji,
3) sporządzanie kopii zapasowej (kopii bezpieczeństwa) nośników instalacyjnych i nośników
z zainstalowanym Oprogramowaniem,
4) korzystanie z produktów powstałych w wyniku eksploatacji Oprogramowania przez Zamawiającego i jednostki statystyki publicznej, w szczególności danych, raportów, zestawień oraz innych dokumentów kreowanych w ramach tej eksploatacji oraz modyfikowania tych produktów i dalszego z nich korzystania,
5) utrwalanie lub zwielokrotnienie Oprogramowania w celu zastosowania procedur backupowych;
6) prawo do kopiowania i używania dokumentacji przekazanej wraz z Oprogramowaniem na potrzeby Zamawiającego i jednostek statystyki publicznej.
5. Wykonawca oświadcza, że aktualizacja Oprogramowania, nie powoduje zmian pól eksploatacji określonych powyżej.
6. Wykonawca oświadcza, że odebrany przez Zamawiającego przedmiot umowy będzie wolny od wad fizycznych i prawnych.
7. Wykonawca oświadcza, że dostarczone przez niego Oprogramowanie, nie narusza jakichkolwiek praw osób trzecich, zwłaszcza w zakresie własności przemysłowej, praw autorskich i praw pokrewnych oraz nieuczciwej konkurencji i że posiada prawo do sprzedaży/udzielania licencji na Oprogramowanie, które Wykonawca dostarczył, zgodnie z postanowieniami § 1 i przejmuje w tym zakresie odpowiedzialność w przypadku roszczeń osób trzecich.
§ 8
Kary umowne
1. Zamawiającemu przysługuje prawo do naliczenia kary umownej z tytułu zwłoki w realizacji przedmiotu umowy określonego w § 1 ust. 1, w wysokości 5% wynagrodzenia brutto określonego w
§ 2 ust. 1 umowy, za każdy dzień zwłoki terminu, o którym mowa w § 3, nie więcej niż 20% wynagrodzenia określonego w § 2 ust. 1 umowy.
2. Ponadto Zamawiającemu przysługuje prawo do naliczenia kar umownych:
1) w przypadku odstąpienia przez Wykonawcę od umowy lub jej rozwiązania przez Wykonawcę z przyczyn, za które Zamawiający nie odpowiada lub jej rozwiązania przez Zamawiającego z przyczyn, za które odpowiedzialność ponosi Wykonawca w wysokości 20% wartości wynagrodzenia brutto określonej w § 2 ust. 1 umowy,
2) za każde udokumentowane naruszenie wymagań bezpieczeństwa informacji, o których mowa w § 15 w wysokości 10% wartości wynagrodzenia brutto, określonego w § 2 ust. 1 umowy,
3) za każde udokumentowane naruszenie zasad zachowania w poufności Informacji Poufnych, o których mowa w § 13, w wysokości 10% wartości wynagrodzenia brutto określonego w § 2 ust. 1 umowy.
3. Całkowita suma kar umownych naliczonych na podstawie ust. 2 pkt 1 - 3, nie przekroczy 30% wartości brutto umowy, określonej w § 2 ust. 1 umowy.
4. Jeżeli kara umowna nie pokrywa poniesionej szkody, Zamawiający może dochodzić
odszkodowania uzupełniającego w wysokości przewyższającej karę umowną.
5. Niezależnie od prawa naliczenia kary umownej, w przypadku niewykonania lub nienależytego wykonywania przedmiotu umowy przez Wykonawcę Zamawiającemu, po uprzednim bezskutecznym wezwaniu Wykonawcy do prawidłowej realizacji przedmiotu umowy i wyznaczeniu w tym celu dodatkowego, co najmniej 5-dniowego terminu, przysługuje prawo do powierzenia wykonania niezrealizowanego przez Wykonawcę przedmiotu umowy osobie trzeciej na wyłączny koszt i ryzyko Wykonawcy.
6. Niezależnie od powyższego Wykonawca ponosi odpowiedzialność wobec Zamawiającego lub osób trzecich za wszelkie szkody wynikłe z niewykonania lub nienależytego wykonania przedmiotu umowy.
§9
Zmiany umowy
1. Wszelkie zmiany umowy wymagają formy pisemnego aneksu pod rygorem nieważności z wyjątkiem zmiany osób odpowiedzialnych za realizację umowy, o których mowa w § 6 ust. 1, kiedy dla skuteczności zmiany, z uwzględnieniem pozostałych uregulowań umowy, wystarczające jest poinformowanie pisemnie drugiej strony.
2. Strony przewidują możliwość zmiany treści Umowy w przypadku, gdy:
1) nastąpiła zmiana przepisów prawa powszechnie obowiązującego, która ma wpływ na termin lub zakres realizacji przedmiotu umowy;
2) gdy zachodzi konieczność zastąpienia oprogramowania innym lub w nowszej wersji, pod warunkiem, że spełnia ono wymagania określone w umowie i załącznikach do umowy, a zmiana wynika z faktu, że skończyła się dostępność oprogramowania zaoferowanego przez Wykonawcę;
3) niezbędna jest zmiana sposobu wykonania umowy, o ile zmiana taka jest korzystna dla Zamawiającego oraz konieczna w celu prawidłowego wykonania przedmiotu umowy;
4) niezbędna jest zmiana zakresu umowy z uwagi na decyzje podjęte przez organ nadzorujący Zamawiającego;
5) w przypadku wystąpienia Siły Wyższej, o której mowa w § 12 umowy;
6) gdy niezbędna jest zmiana terminu wykonania umowy z uwagi na wprowadzenie stanu zagrożenia epidemicznego, stanu epidemii, stanu wyjątkowego lub stanu klęski żywiołowej;
7) w innych przypadkach określonych w art. 454-455 i art. 458 ustawy Pzp.
3. Strona wnosząca o zmianę Umowy, o której mowa w ust. 2 pkt 1-7, zobowiązana jest do przekazania na piśmie warunków zmiany wraz z uzasadnieniem w terminie 3 dni od daty zaistnienia okoliczności i od proponowanego terminu wprowadzenia zmiany.
4. Strony ustalają, że w przypadku zaistnienia okoliczności, o których mowa w ust. 2 pkt 2 -7, wprowadzenie zmiany możliwe będzie wyłącznie po uzyskaniu zgody Zamawiającego i w określonym przez Zamawiającego wymiarze.
§ 10
Rozwiązanie umowy
1. Zamawiający może rozwiązać umowę jeżeli Wykonawca w rażący sposób narusza postanowienia umowy. Do rażących naruszeń umowy zalicza się w szczególności następujące przypadki:
1) Wykonawca nie zrealizował umowy w terminie o kreślonym w § 3, a zwłoka przekroczyła 7 dni kalendarzowych,
2) Wykonawca powierzył wykonanie umowy lub jej części jakiejkolwiek osobie trzeciej bez zgody
Zamawiającego wyrażonej w formie pisemnej,
3) Nastąpiła zmiana składu Wykonawców, którzy wspólnie ubiegali się o udzielenie zamówienia
i wspólnie je uzyskali; Powyższe nie dotyczy sytuacji, w której nastąpiła sukcesja uniwersalna,
4) Wykonawca naruszył wymagania bezpieczeństwa informacji, o których mowa w § 15 umowy,
5) Wykonawca naruszył zasady zachowania poufności Informacji Poufnych, o których mowa w §
13 umowy.
Rozwiązanie umowy z przyczyn wskazanych powyżej traktowane jest jako dokonane z przyczyn leżących po stronie Wykonawcy.
2. W przypadku określonym w ust. 2 pkt 1), Zamawiający wezwie Wykonawcę do wykonania umowy i wyznaczy mu w tym celu dodatkowy termin. Rozwiązanie umowy może nastąpić po upływie dodatkowego terminu określonego w wezwaniu. W przypadkach określonych w ust. 2 pkt 2- 5 Zamawiającemu przysługuje prawo do rozwiązania umowy poprzez złożenie stosownego oświadczenia, bez konieczności wcześniejszego wzywania Wykonawcy do usunięcia naruszeń. Rozwiązanie umowy musi być dokonane w formie pisemnej, pod rygorem nieważności.
3. W przypadku wykonania przez Zamawiającego prawa odstąpienia od umowy lub jej rozwiązania, niezależnie od jego podstawy, wywiera ono skutek wyłącznie co do niewykonanej części umowy, w związku z czym żadna ze Stron nie będzie zobowiązana do zwrotu świadczeń już otrzymanych od drugiej Strony w ramach realizacji przedmiotu umowy.
§ 11
Xxxxxxxxxxxxxx
0. Wykonawca – zgodnie z oświadczeniem zawartym w Ofercie – wykona przedmiot umowy
1) bez udziału podwykonawców.
2) przy udziale podwykonawców, w zakresie …………………………………. .
3) przy udziale ……………………………………, tj. podwykonawcy/ów na którego/ych zasoby Wykonawca powoływał się, na zasadach określonych w art. 118 ustawy PZP, w celu wykazania spełniania warunków udziału w postępowaniu, o których mowa w art. 118 ustawy PZP w zakresie ………………
2. W trakcie realizacji Umowy, powierzenie wykonania części Umowy nowemu podwykonawcy lub zmiana podwykonawcy, w tym podwykonawcy, na którego zasoby Wykonawca powoływał się, na zasadach określonych w art. 118 ustawy PZP, w celu wykazania spełniania warunków udziału w postępowaniu, może nastąpić po uprzednim pisemnym powiadomieniu Zamawiającego i
uzyskaniu jego zgody.
3. Powiadomienie, o którym mowa w ust. 2, zawierające nazwę albo imię i nazwisko oraz dane kontaktowe podwykonawcy i osób do kontaktu z nim, Wykonawca przedłoży na co najmniej 5 dni przed planowanym skierowaniem podwykonawcy do wykonania prac, dołączając do niego, oświadczenie o braku podstaw do wykluczenia oraz dokumenty potwierdzające brak podstaw wykluczenia wobec podwykonawcy, któremu Wykonawca zamierza powierzyć realizację umowy.
4. W przypadku zmiany podwykonawcy, na którego zasoby Wykonawca powoływał się, na zasadach określonych w art. 118 ustawy Pzp, w celu wykazania spełniania warunków udziału w postępowaniu, Wykonawca dodatkowo wykaże, że proponowany inny podwykonawca lub Wykonawca samodzielnie spełnia je w stopniu nie mniejszym niż podwykonawca, na którego zasoby Wykonawca powoływał się w trakcie postępowania o udzielenie zamówienia.
5. W przypadku, jeżeli Zamawiający stwierdzi, że wobec wskazanego podwykonawcy zachodzą podstawy wykluczenia, Wykonawca obowiązany jest zastąpić tego podwykonawcę lub zrezygnować z powierzenia wykonania części Umowy podwykonawcy.
6. W trakcie realizacji umowy Wykonawca zawiadamiać będzie o wszelkich zmianach w zakresie danych, o których mowa w ust. 3.
7. Zmiana podwykonawcy nie stanowi zmiany umowy.
8. Wykonawca przyjmuje na siebie obowiązek rozliczeń finansowych ze swoimi podwykonawcami. Wykonawca ponosi odpowiedzialność za działania i zaniechania swoich podwykonawców związane z realizacją przedmiotu Umowy, jak za swoje działania i zaniechania.
§ 12
Siła wyższa
1. Termin „Siła Wyższa” oznacza zewnętrzne, niemożliwe do przewidzenia i zapobieżenia zdarzenie występujące po zawarciu umowy, uniemożliwiające należyte wykonanie przez Stronę jej obowiązków, w szczególności takie jak katastrofy naturalne, wojny, epidemie, ataki terrorystyczne, strajki.
2. Żadna Xxxxxx nie będzie odpowiedzialna za niewykonanie lub nienależyte wykonanie swoich zobowiązań w ramach umowy, jeżeli niewykonanie lub nienależyte wykonanie zobowiązań wynikających z umowy jest wynikiem działania Siły Wyższej.
3. Jeżeli zaistnieje Siła Wyższa, Strona, której dotyczą okoliczności Siły Wyższej bezzwłocznie zawiadomi drugą Stronę na piśmie o jej zaistnieniu i przyczynach. Strona, której dotyczą okoliczności Siły Wyższej dołoży wszelkich starań, aby w terminie do 5 dni kalendarzowych od daty zawiadomienia przedstawić drugiej Stronie dokumentację, która wyjaśnia naturę i przyczyny zaistniałej okoliczności Siły Wyższej w takim zakresie, w jakim jest to możliwie osiągalne. Jeżeli po zawiadomieniu Strony nie uzgodnią inaczej w formie pisemnej, każda ze Stron będzie kontynuowała wysiłki w celu wywiązania się ze swoich zobowiązań.
4. W takim zakresie, w jakim niemożność wykonywania zobowiązań umownych wynika z Siły Wyższej oddziałującej na jedną ze Stron, druga Strona również nie będzie odpowiedzialna za wykonanie swoich zobowiązań.
§ 13
POUFNOŚĆ DANYCH I INFORMACJI
1. Z zastrzeżeniem postanowień ust. 3, Wykonawca zobowiązuje się do zachowania w poufności wszelkich dotyczących Zamawiającego i innych jednostek statystyki publicznej, danych i informacji uzyskanych w jakikolwiek sposób (zamierzony lub przypadkowy) w związku z wykonywaniem umowy, bez względu na sposób i formę ich przekazania, nazywanych dalej łącznie "Informacjami Poufnymi".
2. Obowiązek, o którym mowa w ust. 1, obowiązuje Wykonawcę przez czas trwania umowy oraz przez okres 10 lat po jej rozwiązaniu, wygaśnięciu lub odstąpieniu od niej, bez względu na przyczynę.
3. Obowiązku zachowania poufności, o którym mowa w ust. 1, nie stosuje się do danych i informacji:
1) dostępnych publicznie;
2) otrzymanych przez Wykonawcę, zgodnie z przepisami prawa powszechnie obowiązującego, od osoby trzeciej bez obowiązku zachowania poufności;
3) które w momencie ich przekazania przez Zamawiającego były już znane Wykonawcy bez obowiązku zachowania poufności;
4) w stosunku do których Wykonawca uzyskał pisemną zgodę Zamawiającego na ich ujawnienie.
4. W przypadku, gdy ujawnienie Informacji Poufnych przez Wykonawcę jest wymagane na podstawie przepisów prawa powszechnie obowiązującego, Wykonawca poinformuje Zamawiającego o przyczynach i zakresie ujawnionych Informacji Poufnych. Poinformowanie takie powinno nastąpić w formie pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej Zamawiającego, chyba że takie poinformowanie Zamawiającego byłoby sprzeczne z przepisami prawa powszechnie obowiązującego.
5. Wykonawca zobowiązuje się do:
1) dołożenia właściwych starań w celu zabezpieczenia Informacji Poufnych przed ich utratą, zniekształceniem oraz dostępem nieupoważnionych osób trzecich;
2) niewykorzystywania Informacji Poufnych w celach innych niż wykonanie umowy.
6. Wykonawca zobowiązuje się do poinformowania każdej z osób, przy pomocy których wykonuje umowę i które będą miały dostęp do Informacji Poufnych, o wynikających z umowy obowiązkach w zakresie zachowania poufności, a także do skutecznego zobowiązania i egzekwowania od tych osób obowiązków w zakresie zachowania poufności. Za ewentualne naruszenia tych obowiązków przez osoby trzecie Wykonawca ponosi odpowiedzialność, jak za własne działania.
7. W przypadku utraty lub zniekształcenia Informacji Poufnych lub dostępu nieupoważnionej osoby trzeciej do Informacji Poufnych, Wykonawca bezzwłocznie podejmie odpowiednie do sytuacji działania ochronne oraz poinformuje o sytuacji Zamawiającego. Poinformowanie takie, w formie
pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej Zamawiającego, powinno opisywać okoliczności zdarzenia, zakres i skutki utraty, zniekształcenia lub ujawnienia Informacji Poufnych oraz podjęte działania ochronne.
8. Po wykonaniu umowy oraz w przypadku rozwiązania umowy lub odstąpienia od umowy przez którąkolwiek ze Stron, Wykonawca bezzwłocznie zwróci Zamawiającemu lub komisyjnie usunie wszelkie Informacje Poufne w sposób uniemożliwiający ich przywrócenie. W przypadku komisyjnego usunięcia ww. Informacji, Wykonawca jest zobowiązany poinformować Zamawiającego o tym fakcie, bez zbędnej zwłoki.
9. Ustanowione umową zasady zachowania poufności Informacji Poufnych, jak również przewidziane w umowie kary umowne z tytułu naruszenia zasad zachowania poufności Informacji Poufnych, obowiązują zarówno podczas wykonania umowy, jak i po jej wygaśnięciu.
10. W przypadku udokumentowanego naruszenia zasad zachowania poufności Informacji Poufnych, Zamawiający naliczy karę umowną, o której mowa w § 8 ust. 2 pkt 3) umowy. W sytuacji, o której mowa w zdaniu pierwszym, Zamawiający będzie miał również prawo do rozwiązania Umowy z przyczyn leżących po stronie Wykonawcy i naliczenia kary umownej, o której mowa w § 8 ust 2 pkt
1) umowy.
§ 14
OCHRONA DANYCH OSOBOWYCH
1. Wykonawca oświadcza, iż przed zawarciem umowy zapoznał się z Załącznikiem nr 4 do umowy (Klauzula informacyjna RODO).
2. Wykonawca oświadcza, iż przed zawarciem niniejszej umowy wypełnił obowiązki informacyjne przewidziane w art. 13 lub art. 14 ogólnego rozporządzenia o ochronie danych (RODO) oraz w zakresie określonym w Załączniku nr 4 do Umowy wobec każdej osoby fizycznej, od której dane osobowe bezpośrednio lub pośrednio Wykonawca pozyskał w celu wpisania jej do treści umowy, jako dane osoby reprezentującej Wykonawcę lub działającej w jego imieniu przy realizowaniu umowy. Wykonawca zobowiązuje się w przypadku wyznaczenia lub wskazania do działania przy wykonywaniu niniejszej umowy osób innych niż wymienione w jej treści, najpóźniej wraz z przekazaniem Zamawiającemu danych osobowych tych osób, zrealizować obowiązki informacyjne w trybie art. 13 lub art. 14 RODO oraz określone w Załączniku nr 4 do umowy.
3. W celu realizacji przedmiotu umowy Wykonawca będzie przetwarzał następujące dane osobowe: imiona i nazwiska, numery telefonów oraz adresy mailowe pracowników, którzy będą koordynować realizację umowy ze strony Zamawiającego, o których mowa w § 6 ust. 1 umowy, imię i nazwisko, nr telefonu, adres e-mail.
4. W celu realizacji przedmiotu umowy Zamawiający będzie przetwarzał następujące dane osobowe: imiona i nazwiska, numery telefonów oraz adresy mailowe pracowników, którzy będą koordynować realizację Umowy ze strony Wykonawcy.
5. Wykonawca w trakcie wykonywania Umowy zobowiązuje się do przetwarzania danych osobowych zgodnie z obowiązującym prawem, w szczególności zachowaniem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
6. Jeżeli w trakcie wykonywania Umowy Zamawiający przekaże Wykonawcy dane osobowe, to Wykonawca zobowiązuje się do przetwarzania danych osobowych zgodnie z obowiązującym prawem, w szczególności z zachowaniem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
7. Jeżeli zawarcie lub wykonywanie Umowy skutkować będzie przetwarzaniem danych osobowych powierzonych przez Zamawiającego Wykonawcy, Strony zobowiązują się do zawarcia umowy powierzenia przetwarzania danych osobowych o treści określonej w Załączniku nr 5 do umowy.
§ 15
Wymagania bezpieczeństwa informacji
1. Wykonawca oświadcza, iż przed zawarciem umowy zapoznał się z Załącznikiem nr 6 do umowy - Wymagania bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych- oraz zobowiązuje się do przestrzegania zawartych w nim wymagań.
2. W przypadku udokumentowanego naruszenia wymagań bezpieczeństwa informacji, Zamawiający naliczy karę umowną, o której mowa w § 8 ust. 2 pkt 2) umowy. W sytuacji, o której mowa w zdaniu pierwszym, Zamawiający będzie miał również prawo do rozwiązania umowy z przyczyn leżących po stronie Wykonawcy ze skutkiem natychmiastowym i naliczenia kary umownej, o której mowa w § 8 ust 2 pkt 1) umowy.
§ 16
Postanowienia końcowe
1. Wykonawca zobowiązuje się do realizacji przedmiotu niniejszej umowy zgodnie z jej treścią, w sposób odpowiadający wykonywaniu prac przez podmiot zawodowo realizujący działalność gospodarczą, objętą przedmiotem niniejszej umowy i zobowiązuje się do zapewnienia kompetentnych osób do współpracy w zakresie niezbędnym do realizacji niniejszej umowy,
2. Wszelkie spory mogące wyniknąć pomiędzy stronami w związku z niniejszą umową, które nie będą mogły być załatwione polubownie w drodze bezpośredniego porozumienia, podlegać będą rozstrzygnięciu przez sąd powszechny właściwy dla siedziby Zamawiającego.
3. Wykonawca nie może przelać wierzytelności wynikających z niniejszej umowy na osoby trzecie bez pisemnej zgody Zamawiającego.
4. W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy ustawy Prawo zamówień publicznych i Kodeksu cywilnego.
5. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w tym dwa dla Zamawiającego
i jeden dla Wykonawcy.
6. Integralną cześć umowy stanowią załączniki: Załącznik nr 1 Opis przedmiotu zamówienia.
Załącznik nr 2 Oferta Wykonawcy wraz z załączonym do niej Formularzem cenowym (FC). Załącznik nr 3 Wzór protokołu odbioru.
Załącznik nr 4 Klauzula RODO.
Załącznik nr 5 Umowa powierzenia przetwarzania danych osobowych. Załącznik nr 6 Wymagania bezpieczeństwa informacji.
ZAMAWIAJĄCY WYKONAWCA
data, podpis data, podpis
Załącznik nr 1 do umowy nr /CIS-WAZ.271.3.2021
OPIS PRZEDMIOTU ZAMÓWIENIA
Załącznik nr 2 do umowy nr /CIS-WAZ.271.3.2021
Oferta wykonawcy
wraz z załączonym do niej Formularzem cenowym (FC)
WZÓR PROTOKOŁU ODBIORU
Załącznik nr 3 do umowy nr ………/CIS-WAZ.271.3.2021
Protokół odbioru dostawy licencji
Zamawiający Wykonawca
Centrum Informatyki Statystycznej …………………………………………………………
xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx
Osoby dokonujące odbioru
w imieniu Zamawiającego w imieniu Wykonawcy
………………………………………………………………… …………………………………………………………………………
imię i nazwisko imię i nazwisko
Xx. | Producent, nazwa i wersja Oprogramowania | Sposób licencjonowania | Dostarczono dokumenty licencyjne w formie | Liczba licencji |
1 | ||||
2 | ||||
3 | ||||
… |
Wynik odbioru umowy w zakresie określonym powyżej:
Została wykonana należycie *) Zgodnie z wymaganiami określonymi w umowie i załącznikach.
Nie została wykonana należycie *), ponieważ: …………………………………………………………………………………
…………………………………………………………………………………………………………………………………………..………………
Niniejszy protokół sporządzono w trzech jednobrzmiących egzemplarzach, dwa dla Zamawiającego i jeden dla Wykonawcy.
*) niepotrzebne skreślić
W imieniu Zamawiającego W imieniu Wykonawcy
data /podpis data /podpis
Załącznik nr 4
Informacje dotyczące przetwarzania danych osobowych w związku z realizacją umowy
W związku z realizacją wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)1 (RODO), administrator informuje o zasadach oraz o przysługujących Pani/Panu prawach związanych z przetwarzaniem Pani/Pana danych osobowych.
I. Administrator
Administratorem Pani/Pana danych osobowych jest dyrektor Centrum Informatyki Statystycznej
xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, tel.: 00 0000000, xxxxxx@xxxx.xxx.xx;
II. Inspektor ochrony danych
1. Inspektorem ochrony danych (IOD) w sprawach dotyczących przetwarzania Wykonawcy danych osobowych przez administratora, w tym realizacji Pani/Pana praw wynikających z RODO może się Pani/Pan kontaktować:
1) pocztą tradycyjną na adres: IOD CIS, Centrum Informatyki Statystycznej xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx,
2) pocztą elektroniczną na adres e-mail: XXX_XXX@xxxx.xxx.xx
Do IOD należy kierować wyłącznie sprawy dotyczące przetwarzania Pani/Pana danych osobowych przez administratora, w tym realizacji Pani/Pana praw wynikających z RODO.
III. Cele oraz podstawa prawna przetwarzania Pani/Pana danych osobowych
Pani/Pana dane osobowe będą przetwarzane na podstawie art. 6. ust. 1 lit. c RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze, tj. w celu realizacji umowy zawartej w wyniku udzielenia zamówienia publicznego, zgodnie z przepisami ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (Dz. U. z 2019 r. poz. 2019, z późn. zm.) dalej „ustawa Pzp”.
IV. Odbiorcy danych osobowych
Odbiorcą Pani/Pana danych osobowych będą podmioty współpracujące z administratorem, w tym dostawcy usług technicznych i organizacyjnych umożliwiających wykonanie umowy oraz przechowywanie dokumentacji jej dotyczącej, osoby i podmioty upoważnione na podstawie przepisów prawa powszechnie obowiązującego.
V. Okres przechowywania danych osobowych
Pani/Pana dane osobowe będą przechowywane przez 4 lata od dnia zakończenia postępowania
o udzielenie zamówienia, a jeżeli czas trwania umowy przekracza 4 lata przez cały czas trwania umowy oraz do czasu przedawnienia ewentualnych roszczeń wynikających z umowy. Ponadto dane osobowe będą przechowywane zgodnie z przepisami ustawy o narodowym zasobie archiwalnym i archiwach2 oraz rozporządzenia w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych3 i przepisami wewnętrznymi administratora.
VI. Prawa osoby, której dane osobowe dotyczą
Przysługuje prawo do:
1. dostępu do danych osobowych, w tym prawo do uzyskania kopii tych danych;
2. sprostowania (poprawiania) danych osobowych;
3. usunięcia danych osobowych;
4. do sprzeciwu wobec przetwarzania danych osobowych;
5. ograniczenia przetwarzania danych osobowych;
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)
2 Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164)
3 Rozporządzenie Ministra Kultury i Dziedzictwa Narodowego z dnia 20 października 2015 r. w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej (Dz.U. z 2019 r. poz. 246)
Załącznik nr 5
Umowa powierzenia przetwarzania danych osobowych
Zawarta w dniu 2021 r. w Warszawie pomiędzy:
Centrum Informatyki Statystycznej, xx. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, NIP: 000-000-00-00, REGON: 142396858, zwanym dalej „Zamawiającym" lub „Administratorem Danych", reprezentowanym przez:
…………………. – ………………………………..
a
…………………………………………………………………………………………………………………………, zwanym dalej „Wykonawcą” zwanych dalej łącznie „Stronami" lub osobno „Stroną".
§ 1
1. Przedmiotem Umowy jest określenie warunków, na jakich Wykonawca będzie miał dostęp do danych osobowych przekazanych w ramach realizacji umowy nr ………. /CIS-WAZ.271.3.2021 oraz wyłącznie w celu wykonywania czynności niezbędnych do realizacji postanowień umownych w ramach wykonywania przedmiotu Umowy.
2. Zakres powierzenia przetwarzania danych osobowych obejmuje: imiona i nazwiska, nr telefonów,
adresy e-mail pracowników.
3. Zamawiający powierza Wykonawcy dane osobowe w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej „RODO") do przetwarzania na zasadach i w celu określonym w Umowie.
4. Zamawiający powierza do przetwarzania dane osobowe, a Wykonawca zobowiązuje się do ich przetwarzania zgodnego z Umową, RODO, ustawą o ochronie danych osobowych i innymi przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych.
5. Wykonawca zobowiązany jest przy wykonywaniu czynności określonych w Umowie do zachowania w tajemnicy wszelkich informacji lub danych osobowych, do których będzie miał dostęp w związku z dokonywaniem czynności przy przetwarzaniu danych osobowych zarówno w trakcie Umowy jak i po jej ustaniu, a w szczególności zobowiązuje się:
1) nie kopiować (na jakichkolwiek nośnikach), nie odtwarzać, nie rozprowadzać ani nie rozpowszechniać lub udostępniać w żaden inny sposób, na rzecz jakichkolwiek osób trzecich, jakichkolwiek informacji lub danych osobowych przetwarzanych w ramach Umowy lub zbieranych w celu włączenia do zbioru danych w związku z realizacją Umowy;
2) nie wykorzystywać powyższych informacji lub danych osobowych na swoją własną korzyść lub korzyść osób trzecich;
3) nie ujawniać środków ochrony fizycznej, technicznej i organizacyjnej oraz zabezpieczeń teleinformatycznych stosowanych przez Administratora Danych w odniesieniu do zbioru powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
6. Wykonawca nie może powierzyć wykonania zadań wynikających z Umowy stronie trzeciej bez uprzedniej pisemnej zgody Zamawiającego, zastrzeżeniem § 9.
7. Wykonawca odpowiada za szkody wyrządzone wskutek niewykonania lub nienależytego wykonania obowiązków wynikających z Umowy oraz z obowiązujących przepisów, w tym za szkody powstałe w wyniku udostępnienia danych osobowych osobom nieupoważnionym, ich zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów, nieuprawnioną zmianą danych, uszkodzeniem lub zniszczeniem, które nastąpiły z winy Wykonawcy. Odpowiedzialność Wykonawcy ograniczona jest do wysokości szkody rzeczywistej.
8. Zgodnie z art. 28 ust. 10 RODO jeśli Wykonawca bez wiedzy i zgody Zamawiającego samodzielnie określi nowe cele i sposoby przetwarzania danych osobowych przetwarzanych w ramach realizacji Umowy, zobowiązany jest przyjąć na siebie odpowiedzialność wobec osób, których dane są
przetwarzane w związku z Usługą z tytułu jakiejkolwiek szkody poniesionej przez te osoby, a wynikającej lub związanej z naruszeniem przez Wykonawcę przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych lub postanowień Umowy.
§ 2
Na podstawie Umowy Wykonawca jest uprawniony do przetwarzania danych osobowych, w ramach Umowy tylko w takim celu i w takim zakresie, w jakim jest to niezbędne do wykonania Umowy, zgodnie z § 1 ust. 1 Umowy.
§ 3
1. Wykonawca przy przetwarzaniu danych osobowych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczy dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W celu wykonania obowiązku, o którym mowa w zdaniu poprzedzającym, Wykonawca zobowiązany jest prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz wyznaczy Inspektora Ochrony Danych (zwany dalej „IOD") lub będzie wykonywał obowiązki związane z ochroną danych osobowych samodzielnie.
2. Wykonawca zobowiązany jest do przestrzegania i stosowania w szczególności następujących
warunków realizacji Umowy:
1) przetwarzania danych osobowych w zakresie wskazanym w § 1 ust. 1 Umowy bez możliwości dalszego przekazywania danych, z wyłączeniem okoliczności wskazanych w § 9 Umowy;
2) Wykonawca zobowiązuje się do przetwarzania danych osobowych tylko w obszarze Europejskiego Obszaru Geograficznego;
3) zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, w tym tajemnicy statystycznej - jeżeli dotyczy, a także by każda osoba fizyczna działająca z upoważnienia Wykonawcy, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie;
4) nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały dane osobowe w celu realizacji Umowy;
5) podejmowania wszelkich środków wymaganych art. 32 RODO, a w szczególności wdrożenia odpowiednich środków fizycznych, technicznych i organizacyjnych dla zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającemu ryzyku przetwarzania tych danych;
6) zapewnienia pomocy Zamawiającemu w zakresie wywiązywania się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w przedmiocie jej praw określonych w RODO poprzez odpowiednie środki techniczne i organizacyjne przy uwzględnieniu charakteru dozwolonego przetwarzania oraz dostępnych Wykonawcy informacji i danych;
7) udostępniania Zamawiającemu wszelkich informacji niezbędnych do wykazania spełnienia obowiązków Wykonawcy wynikających z Umowy i przepisów powszechnie obowiązujących oraz umożliwienia Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzenie audytów i inspekcji oraz współpracy w tym zakresie na zasadach określonych w § 4 Umowy;
8) jeżeli zdaniem Wykonawcy wydane w trakcie audytu lub inspekcji polecenia stanowią naruszenie przepisów RODO lub innych przepisów o ochronie danych - niezwłocznego poinformowania Zamawiającego;
9) w przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie bezpieczeństwa danych osobowych przyjęcie zasad postępowania zgodnie z § 5 Umowy.
3. W zakresie przestrzegania i stosowania zabezpieczeń fizycznych i organizacyjno-technicznych Wykonawca ponosi odpowiedzialność jak administrator danych, z wyłączeniem odpowiedzialności za sposób, w jaki Zamawiający wykorzystuje swoją bazę i przetwarza w niej dane osobowe, chyba że Wykonawca będzie korzystać z systemów teleinformatycznych udostępnionych przez Zamawiającego z zachowaniem zasad funkcjonujących u Zamawiającego.
4. Wykonawca może wykonywać Usługę z wykorzystaniem systemów teleinformatycznych udostępnionych przez Zamawiającego na zasadach określonych odrębnie.
5. W przypadku korzystania z urządzeń i systemów informatycznych służących do przetwarzania danych osobowych, innych niż wskazane w ust. 4, będących własnością lub znajdujących się w posiadaniu Wykonawcy, Wykonawca oświadcza, że używane do przetwarzania danych osobowych urządzenia i systemy zapewniają adekwatny sposób bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 RODO.
§ 4
1. Zamawiający ma prawo do kontroli Wykonawcy w zakresie warunków przetwarzania powierzonych danych osobowych w celu sprawdzenia czy przetwarzanie przez Wykonawcę przekazanych danych osobowych jest zgodne z postanowieniami RODO, Umowy oraz przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych.
2. Warunkiem przeprowadzenia kontroli jest pisemne zawiadomienie Wykonawcy w terminie nie krótszym niż 7 dni przed planowanym terminem kontroli, z zastrzeżeniem ust. 3.
3. Kontrola może nastąpić z pominięciem zawiadomienia, o którym mowa w ust. 2, w przypadku uzasadnionego podejrzenia lub powzięcia informacji od osób trzecich o rażących naruszeniach Wykonawcy w zakresie ochrony danych osobowych lub zapisów Umowy.
4. Z czynności kontrolnych sporządza się protokół, którego jeden egzemplarz doręcza się Wykonawcy.
5. Wykonawca w terminie 3 dni od daty otrzymania może wnieść zastrzeżenia do protokołu.
6. Zamawiający zastrzega sobie możliwość przeprowadzenia kontroli, o której mowa w ust. 1 i 3, także u Podwykonawców Wykonawcy, a Wykonawca zobowiązany jest zapewnić możliwość przeprowadzenia czynności kontrolnych u Podwykonawców.
§ 5
1. Wykonawca każdorazowo poinformuje bez zbędnej zwłoki, nie później niż w terminie 24 godzin, Zamawiającego o wszelkich zdarzeniach mogących skutkować odpowiedzialnością Zamawiającego lub Wykonawcy na podstawie przepisów związanych z ochroną danych osobowych, także o kontrolach dotyczących przetwarzania danych osobowych lub świadczonych usług prowadzanych przez osoby trzecie / podmioty trzecie.
2. W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie bezpieczeństwa danych osobowych Wykonawca zobowiązany jest niezwłocznie, nie później niż w terminie 24 godzin:
1) poinformować o tym Administratora Danych, poprzez zawiadomienie Inspektora Ochrony Danych wyznaczonego przez Administratora Danych, podając wszelkie informacje dotyczące naruszenia;
2) ustalić przyczynę naruszenia;
3) podjąć wszelkie czynności mające na celu usunięcie przyczyn i skutków naruszenia oraz
zabezpieczenie danych osobowych w sposób należyty przed dalszymi naruszeniami;
4) zebrać wszystkie możliwe dane i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości.
§ 6
1. Strony zobowiązują się do zachowania w poufności wszelkich danych i informacji, które powzięły w trakcie obowiązywania Umowy oraz w związku z jej realizacją, chyba że druga Strona zwolni Stronę z takiego obowiązku lub obowiązek ich ujawnienia wynika z przepisów prawa powszechnie obowiązującego.
2. Postanowienia ust. 1, pozostają w mocy również po wygaśnięciu lub rozwiązaniu Umowy.
3. Wykonawca zobowiąże pracowników zatrudnionych przy przetwarzaniu danych osobowych do zachowania w poufności, w ramach tajemnicy służbowej, wszelkich informacji lub danych osobowych, do których mogą mieć dostęp w związku z dokonywaniem czynności przy przetwarzaniu danych osobowych, jak również do nieujawniania stosowanych środków ochrony i zabezpieczeń.
4. Wykonawca wyciągnie stosowne konsekwencje wobec pracowników, którzy w jakikolwiek sposób naruszą tajemnicę służbową, o której mowa w ust. 3 lub zasady przetwarzania danych osobowych określone w Umowie, w szczególności pozbawi tych pracowników możliwości dalszego przetwarzania
danych osobowych zawartych w zbiorach danych Zamawiającego, w tym zbierania danych (jeżeli ma
to zastosowanie).
§ 7
Wykonawca zwolni Zamawiającego z odpowiedzialności wobec osób, których dane osobowe są przetwarzane w związku z Umową z tytułu jakiejkolwiek szkody poniesionej przez te osoby, wynikającej lub związanej z naruszeniem przez Wykonawcę jakichkolwiek przepisów dotyczących ochrony danych osobowych lub postanowień Umowy.
§ 8
Wykonawca oświadcza, że Pełnomocnikiem Zarządu ds. Ochrony Danych osobowych Wykonawcy na dzień podpisania Umowy jest: ………………………………, tel.: ……………………, e-mail: ……………………………….
lub
Wykonawca oświadcza, że, jako administrator danych, osobiście wykonuje czynności związane z ochroną danych osobowych i pełni nadzór nad przetwarzaniem danych osobowych Zamawiającego.
§ 9
1. Wykonawca w celu uzyskania zgody na powierzenie stronie trzeciej (dalej „Podwykonawcy") przetwarzania danych osobowych wynikających z wykonania zadań określonych Usługą zobowiązany jest wystąpić do Zamawiającego o pisemne wyrażenie zgody na powierzenie przetwarzania danych osobowych Podwykonawcy podając jednocześnie zakres i cel powierzonych danych osobowych oraz firmę Podwykonawcy, załączając do wniosku projekt umowy z Podwykonawcą.
2. Zamawiający może nie wyrazić zgody na powierzenie Podwykonawcy przetwarzania danych osobowych w przypadku, gdy w ocenie Zamawiającego powierzenie nie będzie niezbędne dla realizacji celów związanych z procesami i projektami wynikającymi z Umowy i Usługi.
3. W przypadku, gdy Wykonawca na podstawie pisemnej zgody Zamawiającego powierzy przetwarzanie danych osobowych Podwykonawcy zobowiązany jest do wypełnienia następujących warunków:
1) powiadomienia Zamawiającego, w formie pisemnej, drogą określoną przez Zamawiającego w treści zgody o planowanym terminie zawarcia umowy z Podwykonawcą,
2) zawarcia umowy z Podwykonawcą na piśmie, zgodnie z obowiązującymi przepisami dotyczącymi powierzania przetwarzania danych osobowych,
3) przekazania Zamawiającemu poświadczoną za zgodność z oryginałem kopię umowy z Podwykonawcą zawierającą w szczególności następujące warunki:
a) wskazanie zakresu i celu umowy z Podwykonawcą, z zastrzeżeniem, że zakres i cel przetwarzania nie może być szarszy niż wynikający z Umowy i Usługi, nawet, gdy jest to niezbędne dla realizacji celów związanych z procesami i projektami wynikającymi z Umowy,
b) zobowiązanie Podwykonawcy do nienaruszania interesów Zamawiającego.
4. Wykonawca zobowiązany jest do nałożenia na Podwykonawcę w drodze umowy tych samych obowiązków jak w Umowie zawartej pomiędzy Zamawiającym a Wykonawcą, w szczególności dotyczy to obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO oraz obowiązującym przepisom o ochronie danych osobowych.
5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Zamawiającego za niewypełnienie obowiązków Podwykonawcy spoczywa na Wykonawcy.
§ 10
1. Umowa zostaje zawarta na czas obowiązywania Umowy nr ……../CIS-WAZ.271.3.2021 i wygasa automatycznie z chwilą wygaśnięcia Umowy.
2. Zamawiający może wypowiedzieć Umowę bez zachowania terminu wypowiedzenia w przypadku, gdy, rażąco narusza postanowienia Umowy oraz przepisy powszechnie obowiązujące w zakresie ochrony danych osobowych stwierdzone w szczególności na podstawie protokołów z inspekcji i audytów
Zamawiającego lub podmiotów trzecich albo nie podda się kontroli, o której mowa w § 4 lub utrudnia jej przeprowadzenie bez uzasadnionych przyczyn.
3. Po zakończeniu obowiązywania Umowy lub odstąpienia od Umowy Wykonawca zobowiązuje się niezwłocznie, nie później niż w terminie 7 dni przekazać Zamawiającemu kopię przetwarzanych danych osobowych i usunąć bezpowrotnie powierzone dane osobowe oraz inne informacje, których przetwarzanie na podstawie Umowy zlecił mu Zamawiający chyba, że prawo Rzeczpospolitej Polskiej i Unii Europejskiej nakazuje przechowywanie danych osobowych przez określony czas.
4. W przypadku niewykonania zobowiązania, o którym mowa w ust. 3, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 20.000 złotych (słownie: dwadzieścia tysięcy złotych) za każdy przypadek naruszenia. Nie wyklucza to dochodzenia przez Zamawiającego od Wykonawcy odszkodowania na zasadach ogólnych.
§ 11
1. Strony deklarują współpracę w zakresie zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa o ochronie danych osobowych, w szczególności z RODO.
2. W miarę możliwości organizacyjnych i technicznych Wykonawca zobowiązany jest do udzielenia pomocy Zamawiającemu w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 13-19 RODO, zobowiązując Podwykonawcę do tych samych działań.
3. Strony ustalają, że w zakresie wynikającym z nowych i zmian przepisów w zakresie ochrony danych osobowych, w tym sektorowych lub wytycznych Urzędu Ochrony Danych Osobowych będą dokonywać renegocjacji warunków Umowy lub podpiszą nową umowę zapewniającą kontynuację współpracy.
§ 12
1. Strony postanawiają, że we wszelkich sprawach nieobjętych Umową stosuje się przepisy prawa polskiego.
2. Wszelkie spory związane z zawarciem i wykonaniem Umowy będą rozstrzygane przez sąd powszechny właściwy ze względu na siedzibę powoda.
3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
4. Umowa sporządzona została w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
…..……………………………… ………………………………….
Zamawiający Wykonawca
(podpis) (podpis)
Załącznik nr 6
Wymagania bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych
I. Wstęp
1. Wymagania bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych (Wymagania) stanowią element Systemu Zarządzania Bezpieczeństwem Informacji w statystyce publicznej oraz część integralną zawieranej umowy.
2. Wymagania stanowią zbiór zasad obowiązujących:
a) kontrahentów realizujących dostawy lub świadczących usługi na rzecz Głównego Urzędu Statystycznego (GUS), Centrum Informatyki Statystycznej (CIS), Zakładu Wydawnictw Statystycznych (ZWS), Centralnej Biblioteki Statystycznej (CBS) w Warszawie;
b) osób zewnętrznych, które uzyskują dostęp do zasobów informacyjnych na podstawie odrębnych przepisów prawa lub umowy cywilno-prawnej.
3. Zgodnie z zapisami Polityki Bezpieczeństwa Informacji Statystyki Publicznej, w przypadku, gdy kontrahent w trakcie wykonywania umowy ma lub może mieć dostęp do zasobów informacyjnych jssp, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania bezpieczeństwa informacji. Klauzula ta zawiera zobowiązanie kontrahenta do przestrzegania Wymagań bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych, ochrony udostępnionych zasobów informacyjnych poprzez ograniczenie ich kopiowania i udostępniania oraz do ich zwrotu lub zniszczenia w momencie zakończenia umowy:
4. Do zawieranych umów z kontrahentami załączany jest wyciąg z Wymagań bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych, obejmujący rozdziały od II do X.
II. Słownik pojęć
aktywa – wszystko, co ma wartość dla jednostek służb statystyki publicznej i z tego względu wymaga ochrony [na podstawie normy PN-ISO/IEC 27000];
jednostka – rozumiane rozdzielnie GUS i pozostałe jednostki służb statystyki publicznej;
komórka organizacyjna GUS – departament, biuro, wydział, samodzielne stanowisko pracy w Głównym Urzędzie Statystycznym;
jednostka służb statystyki publicznej – jednostki służb statystyki publicznej podległe i podporządkowane Prezesowi GUS (GUS, CBS, CIS, Zakład Wydawnictw Statystycznych, urzędy statystyczne oraz CBiES);
Incydent bezpieczeństwa informacji – pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem informacji lub seria takich zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji [na podstawie normy PN ISO/IEC 27000];
Pełnomocnik ds. SZBI – dyrektor komórki organizacyjnej GUS właściwej ds. bezpieczeństwa informacji powołany przez Prezesa GUS na mocy zarządzenia wewnętrznego nr 8 Prezesa GUS z dnia
20 lutego 2020 r. w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w statystyce publicznej [definicja własna];
System teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r.
– Prawo telekomunikacyjne [na podstawie art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne];
Właściciel Aktywu – dyrektor komórki organizacyjnej GUS/dyrektor jssp;
III. Zasady zachowania poufności danych i informacji
1. Kontrahenci i osoby z zewnątrz zobowiązują się do zachowania w poufności wszelkich danych i informacji, niezależnie od sposobu ich pozyskania (zamierzony lub przypadkowy) i bez względu na sposób i formę ich przekazania.
2. Obowiązek, o którym mowa w pkt 1, jeżeli przepisy prawa nie stanowią inaczej, obowiązuje przez okres 10 lat po jej rozwiązaniu, wygaśnięciu lub odstąpieniu od niej, bez względu na przyczynę.
3. Obowiązku zachowania poufności nie stosuje się do danych i informacji:
1) dostępnych publicznie;
2) otrzymanych zgodnie z przepisami prawa powszechnie obowiązującego, od osoby trzeciej bez obowiązku zachowania poufności;
3) które w momencie ich przekazania były już znane kontrahentowi/ osobie z zewnątrz bez obowiązku zachowania poufności;
4) w stosunku do których kontrahent/ osoba z zewnątrz uzyskał(a) pisemną zgodę na ich ujawnienie.
4. W przypadku, gdy ujawnienie wszelkich danych i informacji, co do których kontrahenci i osoby z zewnątrz zobowiązali się zachować w poufności jest wymagane na podstawie przepisów prawa powszechnie obowiązującego, kontrahent/ osoba z zewnątrz poinformuje osobę wskazaną do kontaktu o przyczynach i zakresie ujawnionych Informacji Poufnych. Poinformowanie takie powinno nastąpić w formie pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej osoby wskazanej do kontaktu, chyba że takie poinformowanie byłoby sprzeczne z przepisami prawa powszechnie obowiązującego.
5. Kontrahent/ osoba z zewnątrz zobowiązuje się do niewykorzystywania Informacji Poufnych w celach innych niż cel, dla którego zostały mu ujawnione.
6. Kontrahent/ osoba z zewnątrz zobowiązuje się do dołożenia właściwych starań w celu zabezpieczenia Informacji Poufnych przed ich utratą, zniekształceniem oraz dostępem nieupoważnionych osób trzecich.
7. W przypadku utraty lub zniekształcenia Informacji Poufnych lub dostępu nieupoważnionej osoby trzeciej do Informacji Poufnych, Kontrahent/ osoba z zewnątrz bezzwłocznie podejmie odpowiednie do sytuacji działania ochronne oraz poinformuje osobę wskazaną do kontaktu o przyczynach i zakresie ujawnionych Informacji Poufnych. Poinformowanie takie powinno nastąpić w formie pisemnej lub w formie wiadomości wysłanej na adres poczty elektronicznej osoby wskazanej do kontaktu, chyba że takie poinformowanie byłoby sprzeczne z przepisami prawa powszechnie obowiązującego.
IV. Ochrona danych osobowych
1. Kontrahent/ osoba z zewnątrz zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z określonym celem ich przetwarzania, rozporządzeniem RODO4 oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą;
2. Kontrahent/ osoba z zewnątrz zobowiązuje się przed zawarciem Umowy wypełnić obowiązki informacyjne przewidziane w art. 13 lub art. 14 ogólnego rozporządzenia o ochronie danych (RODO) oraz w zakresie określonym w załączniku do Umowy wobec każdej osoby fizycznej, od której dane osobowe bezpośrednio lub pośrednio pozyskał w celu wpisania jej do treści Umowy, jako dane osoby reprezentującej go lub działającej w jego imieniu przy realizowaniu Umowy. Kontrahent/ osoba z zewnątrz zobowiązuje się w przypadku wyznaczenia lub wskazania do działania przy wykonywaniu Umowy osób innych niż wymienione w jej treści, najpóźniej wraz z przekazaniem danych osobowych tych osób, zrealizować obowiązki informacyjne w trybie art. 13 lub art. 14 RODO oraz określone w załączniku do Umowy.
3. W przypadku powierzenia przetwarzania danych osobowych kontrahentowi/ osobie z zewnątrz, wymaga się podpisania przez kontrahenta/ osobę z zewnątrz umowy powierzenia przetwarzania danych osobowych.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
4. Umowy powierzenia muszą zawierać szczegółowe uregulowania w zakresie przetwarzania powierzonych danych osobowych i ich ochrony.
V. Bezpieczeństwo fizyczne i środowiskowe
1. Obowiązuje zakaz wnoszenia na teren siedziby GUS jakichkolwiek materiałów niebezpiecznych, których posiadanie i przechowywanie jest zabronione prawem. W przypadku stwierdzenia ich obecności w pomieszczeniach, dyrektor komórki organizacyjnej GUS właściwej ds. administracyjnych lub dyrektor jednostki odpowiedzialny jest za doprowadzenie do ich usunięcia.
2. Wyróżnia się następujące obszary bezpieczne:
a) strefa chroniona (strefa administracyjna),
b) strefa zabezpieczona (strefa bezpieczeństwa);
3. Wydziela się obszar dostaw i załadunku. Dostęp do pomieszczeń magazynowych jest nadzorowany. Prowadzona jest kontrola ruchu osobowego i materiałowego.
4. Pomieszczenia, w których przetwarzane są informacje wrażliwe dla statystyki publicznej, są wyposażone w zamek mechaniczny lub elektroniczny.
Strefa chroniona (strefa administracyjna):
1) na granicach strefy chronionej (strefy administracyjnej) funkcjonuje kontrola dostępu (tripody lub czytniki na drzwiach);
2) wejście do strefy chronionej (strefy administracyjnej), kontrahenta/ osoby z zewnątrz wymaga wydania identyfikatora i jego zaewidencjonowania. Ewidencjonowanie wejść do strefy chronionej (strefy administracyjnej) odbywa się poprzez dokonanie przez ochronę/recepcję lub wyznaczonego pracownika wpisu w ewidencji wejść i wyjść do strefy chronionej (strefy administracyjnej) oraz wydanie identyfikatora/karty magnetycznej typu
„Gość";
3) za wszelkie naruszenia bezpieczeństwa informacji przez osoby, które uzyskały dostęp do strefy chronionej (strefy administracyjnej) odpowiada dyrektor komórki organizacyjnej GUS/ dyrektor jednostki lub pracownik wnioskujący o przyznanie identyfikatora typu
„Gość";
4) osoby, bądź przedstawiciele podmiotów zewnętrznych świadczących usługi, w szczególności kurierzy, zaopatrzeniowcy, serwisanci poruszają się w granicy strefy chronionej (strefy administracyjnej) wyłącznie pod nadzorem wyznaczonego pracownika;
5) szczegóły dotyczące wejścia do strefy chronionej GUS określone zostały w zarządzeniu Dyrektora Generalnego GUS w sprawie „Zasad organizacji ruchu osób i pojazdów oraz zabezpieczenia budynku i mienia Głównego Urzędu Statystycznego”.
Strefa zabezpieczona (strefa bezpieczeństwa):
1) strefa zabezpieczona (strefa bezpieczeństwa) to wydzielona część strefy chronionej (strefy administracyjnej) wyposażona w dodatkowe, niezależne systemy zabezpieczeń. Rodzaj zabezpieczeń określa Właściciel aktywów przechowywanych w danym pomieszczeniu, stosownie do ich rodzaju i wartości;
2) zasoby znajdujące się w strefie zabezpieczonej (strefie bezpieczeństwa) podlegają szczególnej ochronie i są zabezpieczone przed pożarem;
3) strefy zabezpieczone (strefy bezpieczeństwa) posiadają zabezpieczenia zapewniające ochronę nośników informacji. Serwerownie wyposażone są w system sygnalizujący wystąpienie pożaru oraz system klimatyzacji. Strefy zabezpieczone (strefy bezpieczeństwa) są chronione systemem sygnalizacji włamania i napadu oraz wyposażone w urządzenia pozwalające na alarmowe powiadomienie obsługi i ochrony. System sygnalizacji napadu i włamania zapewnia skuteczne przekazanie sygnału o realnym zagrożeniu do wskazanych osób, miejsc i urządzeń;
4) wstęp do strefy zabezpieczonej (strefy bezpieczeństwa) jest ograniczony tylko do osób, które uzyskały stosowne uprawnienia wydane przez Właściciela aktywów przechowywanych w danym pomieszczeniu. Wejście oraz wyjście ze stref bezpieczeństwa rejestrowane jest przez system kontroli dostępu lub wyznaczonego przez Właściciela aktywów
przechowywanych w danym pomieszczeniu pracownika. Wyznaczony pracownik rejestruje tożsamość osób oraz czas ich wejścia i wyjścia;
5) dopuszcza się przebywanie kontrahenta i osób z zewnątrz bez uprawnień dostępu do strefy zabezpieczonej (strefy bezpieczeństwa) tylko w wyjątkowych przypadkach, w celu wykonania działań serwisowych i innych określonych w regulacjach wewnętrznych (audyt), za zezwoleniem Właściciela aktywów przechowywanych w danym pomieszczeniu. Przebywanie osób bez uprawnień dostępu do strefy zabezpieczonej (strefy bezpieczeństwa) możliwe jest wyłącznie pod nadzorem pracownika, który posiada uprawnienia dostępu do danej strefy;
6) wnoszenie i wynoszenie do i ze strefy zabezpieczonej (strefy bezpieczeństwa) elektronicznych nośników informacji jest uzasadnione (np.: wynikające z procedury dot. kaset backup) lub nadzorowane;
7) w strefie zabezpieczonej (strefie bezpieczeństwa) zabronione jest korzystanie z urządzeń fotograficznych, wideo, audio lub innych urządzeń nagrywających, np. kamer w urządzeniach mobilnych w celu rejestracji obrazu lub dźwięku bez pisemnej zgody Właściciela aktywów przechowywanych w danym pomieszczeniu lub wyznaczonego przez niego pracownika.
VI. Dostęp do zasobów systemów teleinformatycznych
1. Dostęp do systemu teleinformatycznego uzyskuje wyłącznie uprawniony kontrahent/osoba z zewnątrz. Dostęp jest indywidualnie zdefiniowany. Kontrahent/ osoba z zewnętrz ma dostęp jedynie do zasobów, które są niezbędne.
2. Kontrola dostępu dla kontrahenta/ osoby z zewnątrz do systemu teleinformatycznego realizowana jest poprzez mechanizmy uwierzytelniania.
3. Kontrahent/osoba z zewnątrz uzyskują uprawnienia w zakresie korzystania z systemu teleinformatycznego na wniosek Właściciela aktywu. Nie dotyczy to organów umocowanych prawnie.
4. Uprawnienia dla kontrahenta/osoby z zewnątrz nie mogą być przyznane na czas nieokreślony
i podlegają aktualizacji co 90 dni.
5. Warunki korzystania z połączenia wewnętrznej sieci statystyki publicznej z systemami zewnętrznymi regulują podpisane umowy, szczegółowo precyzujące warunki techniczne i funkcjonalne połączenia.
VII. Dostęp do zasobów z sieci innych instytucji
1. Kontrahent/osoba z zewnątrz otrzymują dostęp do sieci teleinformatycznej na mocy przepisów prawa.
2. Kontrahent/osoba z zewnątrz mogą uzyskać uprawnienia w zakresie korzystania z systemu teleinformatycznego na wniosek Właściciela aktywu. Nie dotyczy to organów umocowanych prawnie;
3. Wniosek o dostęp do sieci statystyki publicznej powinien zawierać informacje o celu podłączenia, przewidywanej liczbie podłączonych stanowisk i użytkowników, metodzie zabezpieczenia przed nieautoryzowanym dostępem i używanym antywirusie.
4. Przed wydaniem decyzji o zgodzie na podłączenie do sieci statystyki publicznej, Prezes GUS zasięga opinii Pełnomocnika ds. SZBI.
5. Specyfikacja techniczna połączenia jest załącznikiem do porozumienia lub zawieranej umowy.
6. Specyfikacja powinna zawierać w szczególności następujące ustalenia:
1) szyfrowane połączenie powinno być zabezpieczone odpowiednim certyfikatem,
2) zestawione połączenie powinno być jedynie między ściśle określonymi adresami IP podłączanej sieci oraz ściśle określonymi adresami IP sieci wewnętrznej statystyki publicznej oraz dla ściśle określonych portów przypisanych do adresów w sieci teleinformatycznej statystyki publicznej,
3) każdorazowe zestawienie połączenia między podłączaną siecią teleinformatyczną podmiotu zewnętrznego, a siecią teleinformatyczną statystyki publicznej należy autoryzować loginem i hasłem lub certyfikatem oraz logowaniem,
4) zasoby udostępniane użytkownikom z innych instytucji obejmują wyłącznie dostęp do aplikacji. Nie mogą być udostępniane takie zasoby jak serwery plików lub poczta elektroniczna;
7. Właściciel aktywu zatwierdza uprawnienia użytkowników z innych instytucji do danej aplikacji będącej w zasobach statystyki publicznej. Użytkownicy z innych instytucji nie mogą posiadać praw administracyjnych;
VIII. Ochrona przed szkodliwym oprogramowaniem i kodem mobilnym
1. Wszystkie elektroniczne nośniki informacji dostarczone z zewnątrz do siedziby GUS są dopuszczone do używania po wcześniejszym sprawdzeniu ich programem antywirusowym na komputerze odizolowanym od sieci GUS.
2. Wszystkie pliki przed wysłaniem pocztą elektroniczną lub przekazaniem stronom trzecim (kontrahentowi/ osobie zewnętrznej) są testowane oprogramowaniem antywirusowym.
IX. Odbiór systemu
1. Przed przekazaniem do użytkowania oprogramowania opracowanego na rzecz statystyki publicznej, osoby je opracowujące muszą usunąć wszystkie specjalne ścieżki dostępu tak, aby dostęp był możliwy jedynie z zastosowaniem zasad bezpieczeństwa informacji. Oznacza to, że muszą być usunięte wszystkie nieudokumentowane funkcje pozwalające ominąć system zabezpieczeń. Muszą zostać również usunięte wszystkie uprawnienia systemowe ustanowione dla potrzeb prowadzenia prac nad oprogramowaniem, lecz zbędne w środowisku produkcyjnym. Powinno to być udokumentowane oświadczeniem kontrahenta, w którym potwierdza usunięcie powyższych nadmiarowych funkcjonalności.
2. W przypadku podjęcia decyzji o przechowywaniu kodu źródłowego pisanego na zamówienie statystyki publicznej poza siedzibą GUS, konieczne jest zawarcie umów depozytowych dotyczących takiego kodu źródłowego z podmiotami niezależnymi od dostawcy oprogramowania. Umowy te powinny określać niezależny podmiot, któremu twórca oprogramowania dostarczy kod źródłowy i wszystkie jego aktualizacje. Powinny też określać sytuacje, w których kod źródłowy zostanie udostępniony statystyce publicznej, jak na przykład upadłość lub likwidacja dostawcy oprogramowania lub niewywiązywanie się przez niego z postanowień umowy dotyczących aktualizacji oprogramowania.
X. Naruszenia bezpieczeństwa informacji oraz wnioski dotyczące bezpieczeństwa informacji
1. Zasady bezpieczeństwa informacji obowiązują wszystkich kontrahentów i osoby z zewnątrz, które otrzymują dostęp do zasobów informacyjnych statystyki publicznej.
2. Kontrahenci i osoby z zewnątrz mający dostęp do zasobów informacyjnych na podstawie odrębnych przepisów/ upoważnień, przed przyznaniem dostępu do zasobów informacyjnych otrzymują do zapoznania się Wymagania bezpieczeństwa informacji dla kontrahentów i osób zewnętrznych.
3. Odpowiedzialność za bezpieczeństwo informacji statystyki publicznej obejmuje działania, które miały miejsce w siedzibie GUS oraz wszelkie sytuacje, w których informacje związane z działalnością są przetwarzane poza jej siedzibą. Obejmuje to w szczególności zdalny dostęp do sieci teleinformatycznej statystyki publicznej.
4. Kontrahent i osoba z zewnątrz mają obowiązek zgłaszania wszelkich zdarzeń, które naruszają lub mogą naruszyć przepisy prawa oraz polityki, procedury i instrukcje dotyczące bezpieczeństwa informacji do osoby wskazanej do kontaktu, która przekazuje te informacje do Pełnomocnika ds. Bezpieczeństwa Cyberprzestrzeni w jssp, w którym aktualnie realizowane są przez nich zadania rzecz statystyki.
5. Każdy incydent związany z bezpieczeństwem informacji w GUS, CIS, ZWS i CBS powinien być zgłoszony natychmiast po jego wykryciu.
6. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji przez pracowników statystyki publicznej odbywa się przez dedykowaną stronę www (xxxx://xxxxxxxxxx), e-mailem: xxxxxxxxxx@xxxx.xxx.xx bądź, w godzinach pracy urzędu, telefonicznie (22 608 3689);
7. W przypadku zmian w przepisach Wymagań, kontrahent i osoba z zewnątrz zostaną o tym poinformowani na piśmie.