Projektowane postanowienia umowy (zwane dalej: „Umową”)
Projektowane postanowienia umowy (zwane dalej: „Umową”)
zawarta w dniu roku w Warszawie, pomiędzy:
Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-695 Warszawa), adres: ul. Xxxxxxxxxxx 00x, posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U z 2020
r. poz. 1861, ze zm.), zwanym dalej „Zamawiającym", reprezentowanym przez: […]-[…]
(kopia upoważnienia stanowi Załącznik nr 1 do Umowy), a
……….., adres: ul. …….. …, …-…., …… wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru
Sądowego, prowadzonego przez Sąd Rejonowy w , … Wydział Gospodarczy Krajowego Rejestru
Sądowego, pod numerem KRS: ………., posiadającą NIP: oraz REGON: , kapitał zakładowy
w wysokości: , opłacony w całości, zwaną dalej ,,Wykonawcą”, reprezentowaną przez:
………………….. lub
………………………. zamieszkałą/zamieszkałym w……………………… (xx-xxx), przy ul. ,
posiadającą/posiadającym nr PESEL: ………………………………., prowadzącą/prowadzącym działalność gospodarczą pod firmą „…………………………………….”, przy ul. ,
posiadającą/posiadającym NIP: ………………….. oraz REGON: ……………………….., zwaną/zwanym dalej
„Wykonawcą”,
(wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy lub wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Wykonawcy stanowi Załącznik nr 2 do Umowy).
zwanymi dalej łącznie „Stronami”, a każda z osobna „Stroną”.
Pełnomocnik Zamawiającego oświadcza, że udzielone mu pełnomocnictwo nie wygasło, ani nie zostały odwołane a jego treść nie uległa zmianie.
Umowa została zawarta w wyniku postępowania o udzielenie zamówienia publicznego w trybie przetargu nieograniczonego na podstawie art. art. 132 i nast. ustawy z dnia 11 stycznia 2019 r. Prawo zamówień publicznych (x.x. Xx. U. z 2021 r. poz. 1129, dalej jako „Pzp”).
§ 1.
Definicje
Użyte w Umowie, począwszy od niniejszego paragrafu, pojęcia oznaczają:
1) Oprogramowanie – Microsoft Office 365 E5, Exchange Online (Plan 1) lub równoważne;
2) Oferta – oferta Wykonawcy z dnia […] 2021 r., stanowiąca Załącznik nr […] do Umowy;
3) SWZ – Specyfikacja Warunków Zamówienia, stanowiąca Załącznik nr […] do Umowy;
4) OPZ – Opis Przedmiotu Zamówienia, stanowiący załącznik nr 1 do SWZ;
5) dni robocze – dni: od poniedziałku do piątku, z wyłączeniem dni wolnych od pracy, określonych w art. 1 ustawy z dnia 18 stycznia 1951 r. o dniach wolnych od pracy (Dz. U. z 2020 r. poz. 1920);
6) godzina zegarowa – kolejne 60 min;
7) Krytyczny błąd – wada uniemożliwiająca użytkownikom korzystanie z usługi lub jej fragmentu oraz naruszenie bezpieczeństwa Oprogramowania (dostęp do danych lub funkcji usługi z pominięciem mechanizmów zabezpieczeń);
8) Poważny błąd – nieprawidłowość działania Oprogramowania, która wpływa w istotny sposób na wyniki pracy, ogranicza funkcjonalność usługi, w wyniku czego praca jest utrudniona, ale możliwa;
9) Usterka – dysfunkcje, czy uciążliwości utrudniające działanie Oprogramowania;
10) Harmonogram ramowy – wskazany w pkt 6 OPZ;
11) Harmonogram szczegółowy – opracowany i uzgodniony z Zamawiającym harmonogram realizacji poszczególnych etapów. Harmonogram szczegółowy jest zgodny z założeniami Harmonogramu ramowego oraz mieści się w terminach Harmonogramu Ramowego.
§ 2.
Przedmiot Umowy
1. Na mocy Umowy, Wykonawca zobowiązuje się, zgodnie ze złożoną ofertą oraz opisem
równoważności oprogramowania1 wskazanym w pkt II OPZ do Umowy do:
1) dostawy licencji Microsoft Office 365 E5 – 600 (sześćset) sztuk na okres 36 (trzydziestu
sześciu) miesięcy;
2) dostawy licencji Microsoft Office 365 E5 – do 300 (trzystu) sztuk na okres 12 (dwunastu)
miesięcy;
3) dostawy licencji Exchange Online (Plan 1) – do 200 (dwustu) sztuk na okres 12 (dwunastu)
miesięcy,
lub równoważnych2;
4) świadczenia usługi wsparcia technicznego Wykonawcy,
5) wdrożenie, migracji dotychczas posiadanego przez Zamawiającego oprogramowania Microsoft Office 365 A1 do nowo zakupionej wersji oraz integracja;
6) przeprowadzenia szkoleń dla administratorów Zamawiającego
(dalej łącznie jako: „Przedmiot Umowy”).
§ 3.
Zobowiązania Wykonawcy
1. Wykonawca zobowiązuje się do:
1) realizacji Przedmiotu Umowy, zgodnie z SWZ i jego załącznikami oraz Ofertą;
2) wykonania Przedmiotu Umowy zgodnie ze swoją najlepszą wiedzą oraz zgodnie z obowiązującymi przepisami prawa polskiego i unijnego;
3) wykonania Przedmiotu Umowy z zachowaniem należytej staranności wynikającej z zawodowego charakteru prowadzonej działalności, zgodnie z obowiązującymi przepisami i normami powszechnie obowiązującego prawa, treścią Umowy oraz uzgodnieniami dokonanymi w trakcie realizacji Umowy;
4) zapewnienia profesjonalnego standardu wykonania Przedmiotu Umowy,
5) bezzwłocznego informowania Zamawiającego o przeszkodach w należytym wykonywaniu Umowy, w tym również o okolicznościach leżących po stronie Zamawiającego, które mogą mieć wpływ na wywiązanie się Wykonawcy z postanowień Umowy,
6) realizacji dostawy licencji wraz ze wsparciem technicznym, wdrożenia oraz instalacji
1 Jeśli dotyczy
2 W przypadku oferty na rozwiązanie równoważne umowa zostanie uzupełniona zgodnie z ofertą Wykonawcy
w ramach wynagrodzenia określonego w § 7. Umowy.
2. Wykonawca oświadcza, że:
1) posiada odpowiednie środki, uprawnienia, umiejętności i kwalifikacje niezbędne do
należytego wykonania Umowy;
2) nie są mu znane żadne przeszkody natury technicznej, prawnej ani finansowej, które mogą uniemożliwić bądź utrudnić zawarcie Umowy lub wykonanie obowiązków wynikających z Umowy;
3) ponosi pełną i wyłączną odpowiedzialność za prawidłową realizację Przedmiotu Umowy.
3. W przypadku wystąpienia przez osobę trzecią wobec Zamawiającego z roszczeniami z tytułu naruszenia praw osób trzecich, Zamawiający niezwłocznie poinformuje Wykonawcę, zaś Wykonawca niezwłocznie doprowadzi do wycofania roszczenia lub zaspokoi to roszczenie, zwalniając Zamawiającego z odpowiedzialności wobec osoby trzeciej.
§ 4.
Zasady współpracy Stron
1. Zamawiający i Wykonawca zobowiązują się do wzajemnej współpracy przy realizacji przedmiotu Umowy.
2. Współpraca Stron oraz wymiana informacji będzie się odbywała w granicach niezbędnych do prawidłowego wykonania Umowy, z poszanowaniem powszechnie obowiązujących przepisów prawa i ustalonych zwyczajów, zasad uczciwej konkurencji, ochrony informacji stanowiących informacje poufne każdej ze Stron.
3. Zamawiający zapewni Wykonawcy dostęp do posiadanych informacji i środków technicznych w zakresie niezbędnym do realizacji przedmiotu Umowy.
4. Wykonawca gwarantuje, że wszystkie osoby zaangażowane w realizację Przedmiotu Umowy w imieniu Wykonawcy posiadają umiejętności i doświadczenie odpowiednie do zakresu czynności powierzonych tym osobom.
5. Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego za działania lub zaniechania pracowników Wykonawcy, osób działających w jego imieniu lub podwykonawców, jak za działania własne.
6. Zmiana lub zwiększenie liczby personelu Wykonawcy nie ma wpływu na wysokość
wynagrodzenia należnego Wykonawcy.
7. Wykonawca zobowiązuje się do przestrzegania zapisów dokumentu „Wytyczne dotyczące wymagań w zakresie bezpieczeństwa informacji dla wykonawców zewnętrznych realizujących prace zlecone przez Narodowe Centrum Badań i Rozwoju” stanowiących Załącznik nr 8 do Umowy.
8. Realizacja Umowy nastąpi w terminach określonych w Harmonogramie Szczegółowym, którego
treść, Strony ustalą w ciągu 5 (pięciu) dni roboczych od dnia podpisania Umowy.
9. Strony zgodnie uznają, że terminowa realizacja Umowy, w tym dotrzymanie opisanych w Harmonogramie Szczegółowym terminów zakończenia realizacji poszczególnych etapów, ma kluczowe znaczenie dla Zamawiającego, który dołoży należytej staranności celem terminowego realizowania poszczególnych zadań określonych w Harmonogramie Szczegółowym.
10. W przypadku zwłoki w realizacji Umowy, w tym terminów realizacji poszczególnych etapów wskazanych w Harmonogramie Szczegółowym, Zamawiający będzie miał prawo skorzystać z uprawnień wynikających z Umowy, a w szczególności Zamawiający naliczy kary umowne i może być uprawniony do odstąpienia od Umowy na podstawie § 9. ust. 1 pkt 4 Umowy.
§ 5.
Termin, zasady realizacji Umowy i procedura odbioru
1. Oprogramowanie zostanie dostarczone na koszt i ryzyko Wykonawcy w terminie do 10 (dziesięciu) dni roboczych od dnia wejścia Umowy w życie, uwzględniając wszystkie wymagania Zamawiającego opisanie w OPZ (dalej jako: „Dostawa Oprogramowania”).
2. Wykonawca zapewni dostęp do spersonalizowanej strony pozwalającej upoważnionym ze strony Zamawiającego osobom na:
1) pobieranie Oprogramowania;
2) pobieranie kluczy aktywacyjnych do Oprogramowania;
3) sprawdzanie liczby zakupionych licencji w wykazie Oprogramowania.
3. Oprogramowanie zostanie przekazane Zamawiającemu w sposób określony w ust. 2 powyżej przez przedstawicieli Wykonawcy, uprawnionych do dokonywania wszelkich czynności związanych z udzieleniem licencji.
4. Wykonawca zapewnia, że dostarczone Oprogramowanie jest najwyższej jakości, wolne od jakichkolwiek wad prawnych oraz zgodne z wymogami określonymi w OPZ.
5. Z czynności odbioru Oprogramowania3, w terminie do 5 (pięciu) dni roboczych od dnia Dostawy Oprogramowania o którym mowa w ust. 2 powyżej po dokonaniu przez Wykonawcę czynności wskazanych w OPZ, zostanie sporządzony i podpisany przez Zamawiającego protokół odbioru, którego wzór znajduje się w Załączniku nr 5 do Umowy (dalej jako: „Protokół odbioru”).
6. W zakresie realizacji Przedmiotu Umowy w części określonej w § 1. ust. 1 pkt, 5 i 6 Umowy, w terminie 5 (pięciu) dni roboczych od realizacji Przedmiotu Umowy w danej części osoby wyznaczone przez Zamawiającego, sporządzą i podpiszą Protokół Odbioru, do Umowy.
3 Rozumiane jako odbiór Przedmiotu Umowy w zakresie wskazanym w § 1. ust. 1 pkt 1 Umowy.
7. W zakresie realizacji Przedmiotu Umowy w części określonej w § 1. ust. 1 pkt 2,3,4 Umowy, w terminie 5 (pięciu) dni roboczych od ostatniego dnia danego miesiąca osoby wyznaczone przez Zamawiającego, sporządzą i podpiszą Miesięczny Protokół Odbioru, którego wzór stanowi Załącznik nr 5 do Umowy (dalej jako: „Miesięczny Protokół odbioru”).
8. Sporządzone i podpisane Protokoły odbioru oraz Miesięczne Protokoły odbioru będą przesłane Wykonawcy w formie elektronicznej (dokument podpisany kwalifikowanym podpisem elektronicznym lub w formie zeskanowanego uprzednio podpisanego dokumentu), na adres mailowy wskazany w § 12. ust. 2 pkt 1 Umowy. Po złożeniu podpisu elektronicznego lub podpisaniu skanu przez Wykonawcę, Wykonawca prześle Protokół odbioru / Miesięczny Protokół odbioru lub skan podpisanego Protokołu odbioru / Miesięcznego Protokołu odbioru na adres mailowy Zamawiającego wskazany w § 12. ust. 2 pkt 2 Umowy.
9. W przypadku stwierdzenia w Protokole odbioru braków i/lub wad dostarczonego Oprogramowania lub stwierdzenia jego dostarczenia przez Wykonawcę w sposób niezgodny z Umową, Wykonawca zobowiązuje się nie później niż w ciągu 3 (trzech) dni kalendarzowych do wymiany i dostarczenia Oprogramowania zgodnego z Umową. Termin, o którym mowa w zdaniu poprzednim, liczony będzie od dnia przekazania Protokołu odbioru z zastrzeżeniami na adres mailowy wskazany w § 12. ust. 2 pkt. 1 Umowy.
10. Strony ustalają, że w przypadku, o którym mowa w ust. 7 powyżej, zapłata wynagrodzenia zostanie wstrzymana do chwili dostarczenia kompletnego Oprogramowania zgodnego z Umową i będzie płatna na podstawie Protokołu odbioru stwierdzającego należyte wykonanie Umowy, bez zastrzeżeń podpisanego przez obydwie strony.
11. Złożenie przez Xxxxxxxxxxxxx zastrzeżeń, o których mowa w ust. 7, nie wpływa na przedłużenie
terminu dostarczenia Oprogramowania określonego w ust.1.
12. W przypadku stwierdzenia niezgodności Oprogramowania z Umową, wad dostarczonego Oprogramowania już po podpisaniu Protokołu odbioru, Zamawiający prześle reklamację na podany przez Wykonawcę w § 12. ust. 2 pkt 1 Umowy adres email nie później niż w terminie 3 (trzech) dni roboczych od dnia, w którym Zamawiający powziął informację o istniejących niezgodnościach. Wykonawca zobowiązuje się uwzględnić reklamację najpóźniej w terminie 14 (czternastu) dni kalendarzowych od dnia jej otrzymania poprzez wymianę niezgodnego z Umową oprogramowania na Oprogramowanie o odpowiednich parametrach, na własny koszt i ryzyko.
§ 6.
Wsparcie Techniczne
1. Wykonawca zapewnia, że dostarczone Oprogramowanie, o którym mowa w § 1. ust. 1 pkt 1) -
3) Umowy będzie objęte wsparciem technicznym Wykonawcy w okresie w okresie 12
(dwunastu) miesięcy od dnia uruchomienia subskrypcji o których mowa w § 2. ust. 1 pkt 1, w wymiarze nie przekraczającym 240 (dwustu czterdziestu) godzin zegarowych, rozumianych jako kolejne 60 (sześćdziesiąt) minut.
2. Wykonawca w ramach wsparcia technicznego oferowanego Oprogramowania w szczególności zapewni:
1) udzielanie konsultacji i wsparcia technicznego;
2) świadczenie pomocy zdalnej administratorom Zamawiającego;,
3) możliwość zgłaszania błędów drogą telefoniczną lub elektroniczną za pośrednictwem
dedykowanej strony WWW,
4) dostęp do nowych wydań Oprogramowania, w tym wydań uzupełniających i wersji
podwyższonych, bez dodatkowych opłat licencyjnych,
5) dostęp do nowego Oprogramowania (dystrybuowanego również pod inną nazwą handlową), będącego kontynuacją linii produktowej,
6) dostęp do uaktualnień i poprawek Oprogramowania (w ramach zakupionej wersji)
udostępnianych przez producenta oraz obsługi serwisowej (poprawki programistyczne),
7) dostęp do dokumentacji dotyczącej Oprogramowania.
3. Wsparcie techniczne będzie realizowane w dniach roboczych w godz. 08:00-16:00 czasu lokalnego ze względu na siedzibę Zamawiającego.
4. Komunikacja w sprawie wsparcia technicznego może być prowadzana z wykorzystaniem poczty elektronicznej bądź telefonicznie lub innych środków komunikowania się na odległość.
5. Zamawiający jest uprawniony do zgłaszania Wad określając ich priorytet, wg tabelki zamieszczonej poniżej:
Kategoria zgłoszenia | Maksymalny czas reakcji (w trybie 24/7/365) | Maksymalny czas naprawy (w trybie 24/7/365) |
Krytyczny błąd | 15 min. | 2 godz. |
Poważny błąd | 1 godz. | 4 godz. |
Usterka | 4 godz. | 16 godz. |
6. Wsparcie techniczne realizowane będzie w języku polskim.
7. Wykonawca w terminie najpóźniej 3 (trzech) dni od podpisania Umowy przekaże Zamawiającemu numer telefonu oraz adres strony internetowej za pośrednictwem, których Zamawiający będzie mógł realizować swoje uprawnienie w zakresie wsparcia technicznego.
§ 7.
Wynagrodzenie
1. Z tytułu należytego wykonania Przedmiotu Umowy Zamawiający zapłaci Wykonawcy wynagrodzenie w maksymalnej wysokości […] (słownie: […]) złotych netto, powiększonej o kwotę należnego podatku od towarów i usług, tj. w kwocie […] (słownie: […]) złotych brutto, w tym:
1) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 1 Umowy w wysokości […] ([…]) xxxxx, xx. […] ([…]) brutto. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części;
2) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 2 Umowy w wysokości […] ([…]) xxxxx, xx. […] ([…]) brutto płatne miesięcznie miesięczne za faktycznie wykorzystane licencje w danym miesiącu. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części;
3) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 3 Umowy w wysokości […] ([…]) xxxxx, xx. […] ([…]) brutto płatne miesięczne za faktycznie wykorzystane licencje w danym miesiącu. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części;
4) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 4 Umowy w wysokości […] ([…]) xxxxx, xx. […] ([…]) brutto płatne miesięczne przez okres 12 miesięcy na podstawie podpisanego przez Strony Miesięcznego Protokołu odbioru, potwierdzającego fakt wykonania przedmiotowej usługi w danym miesiącu. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Miesięcznego Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części;
5) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 5 Umowy w wysokości […] ([…]) xxxxx, xx. […] ([…]) brutto. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części;
6) Za realizację Przedmiotu Umowy w części wskazanej w § 2. ust. 1 pkt 6 Umowy według cen jednostkowych za poszczególne szkolenia wskazanych w Ofercie. Wykonawca zobowiązuje się wystawić fakturę VAT w terminie 7 (siedmiu) dni kalendarzowych od daty podpisania Protokołu odbioru potwierdzającego należyte wykonanie Przedmiotu Umowy w tej części.
2. Strony postanawiają, że kwota wskazana w ust. 1, jest całkowitą kwotą wynagrodzenia należną Wykonawcy z tytułu należytego wykonania Przedmiotu Umowy oraz, że wynagrodzenie pokrywa wszelkie koszty, jakie Wykonawca poniesie w związku z realizacją Przedmiotu Umowy.
3. Zapłata wynagrodzenia nastąpi na podstawie prawidłowo wystawionej i doręczonej NCBR faktury VAT, w terminie do 30 (trzydziestu) dni kalendarzowych od dnia jej doręczenia NCBR albo odebrania przez NCBR przesłanej przez Wykonawcę ustrukturyzowanej faktury elektronicznej, w sposób wskazany w art. 4 ust. 1 ustawy z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2018 r., poz. 2191, ze zm.) lub odebrania faktury elektronicznej wysłanej na adres e-mail: xxxxxxx-xxx@xxxx.xxx.xx zawierającej prawidłowy numer rachunku bankowego, znajdujący się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych. Zapłata wynagrodzenia nastąpi przelewem na rachunek bankowy wskazany na fakturze VAT.
4. Brak rachunku bankowego Wykonawcy, znajdującego się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych, uprawnia Zamawiającego do poinformowania o tym fakcie Wykonawcę droga elektroniczną i wstrzymania płatności z faktury do czasu spełnienia wymogów opisanych powyżej, a termin płatności tej faktury ulega wydłużeniu o czas tego opóźnienia. W takim przypadku Wykonawcy nie przysługują odsetki za nieterminową płatność ani uprawnienie do wstrzymania lub braku realizacji obowiązków wynikających z Umowy.
5. W przypadku gdy termin zapłaty za fakturę, w związku z wydłużeniem terminu płatności o którym mowa w ust. 5 powyżej, przekroczyłby 30 (trzydzieści) dni kalendarzowych, do którego zachowania NCBR jest zobowiązany na podstawie art. 8 ust. 2 ustawy o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych z dnia 8 marca 2013 r. (Dz. U.2020 poz. 935), liczonych od dnia doręczenia NCBR prawidłowo wystawionej faktury, NCBR zrealizuje płatność na rachunek wskazany przez Organizatora i na podstawie art. 117 ab § 1 w związku z § 3 pkt 2 ustawy ordynacja podatkowa z dnia 29 sierpnia 1997 r. (Dz. U. z 2020 poz. 1325 ze zm.) złoży zawiadomienie o zapłacie należności na ten rachunek do naczelnika urzędu
skarbowego właściwego dla Organizatora w terminie 7 (siedmiu) dni od dnia zlecenia przelewu oraz poinformuje Organizatora drogą elektroniczną o płatności.
6. Wykonawca na fakturze, w której kwota należności ogółem stanowi kwotę, o której mowa w art. 19 pkt 2 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (t.j. Dz.U. z 2019 r. poz. 1292, z późn zm.), obejmującą dokonaną na rzecz Zamawiającego dostawę towarów/świadczenie usług, o których mowa w załączniku nr 15 do ustawy o podatku od towarów i usług (t.j. Dz.U. z 2020 r. poz. 106, z późn zm.) umieści wyrazy „mechanizm podzielonej płatności” zgodnie z art. 106e ust. 1 pkt 18a ustawy o podatku od towarów i usług.
7. Nieprawidłowo wystawiona faktura nie będzie stanowiła podstawy do zapłaty wynagrodzenia i zostanie zwrócona Wykonawcy. W takim przypadku, termin zapłaty należnego Wykonawcy wynagrodzenia biegnie od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury.
8. Podstawą do wystawienia faktur jest podpisany przez obie Strony Protokół odbioru, o którym mowa w § 3. ust. 7 Umowy, potwierdzający wykonanie Przedmiotu Umowy przez Wykonawcę, bez zastrzeżeń.
9. Za dzień zapłaty uważa się dzień wydania dyspozycji przelewu z rachunku bankowego NCBR.
10. Wynagrodzenie, o którym mowa w ust. 1, zaspokaja wszelkie roszczenia Wykonawcy wobec
Zamawiającego z tytułu wykonania Umowy.
§ 8.
Ochrona Danych Osobowych
1. Strony oświadczają, że przetwarzanie w zakresie udostępnionych im przez drugą Stronę Umowy danych osobowych dokonywane będzie przez każdą ze Stron jako administratora danych osobowych w celu realizacji Przedmiotu Umowy.
2. Dane osobowe przedstawicieli Stron w tym wymienionych w § 11. udostępniane będą drugiej Stronie, która stanie się ich administratorem danych i przetwarzane będą przez nią w celu realizacji Umowy.
3. Zamawiający podaje, iż wszelkie informacje dotyczące przetwarzania danych osobowych przez Zamawiającego jako Administratora Danych Osobowych znajdują się w Klauzuli informacyjnej o której mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej RODO), która stanowi Załącznik nr 7 do Umowy.
4. W przypadku, gdy Zamawiający będzie przetwarzał w ramach Umowy dane pracowników lub
współpracowników Wykonawcy oraz podwykonawców, Zamawiający realizuje obowiązek
informacyjny, o którym mowa w art. 14 RODO, poprzez Klauzulę stanowiącą Załącznik nr 8 i zobowiązuje drugą stronę Umowy do udostępnienia tejże informacji wskazanym osobom.
5. Zmiana załączników wskazanych w ust. 8 i 9 powyżej nie wymaga zmiany Umowy, Strony mogą aktualizować dane zawarte w powyżej wskazanych Klauzulach informacyjnych również poprzez przesłanie wiadomości email.
6. Powierzenie danych osobowych w ramach realizacji Umowy następuje na podstawie umowy powierzenia przetwarzania danych osobowych, która stanowi załącznik nr 10 do Umowy.
§ 9.
Odstąpienie od Umowy
1. Zamawiający może od Umowy odstąpić w przypadku gdy:
1) Wykonawca nie wykonuje Umowy lub jej części lub rażąco narusza postanowienia Umowy
- w terminie do 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości
o powyższych okolicznościach;
2) Wykonawca nie dotrzymał terminów, o których mowa w § 5. ust. 1 Umowy - w terminie do 30 (trzydziestu) dni kalendarzowych od bezskutecznego upływu danego terminu;
3) Wykonawca dokonał zmian organizacyjno-prawnych w swoim statusie zagrażających realizacji Umowy lub nie poinformował Zamawiającego o zamiarze dokonania zmian prawno-organizacyjnych, które mogą mieć wpływ na realizację Umowy - w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;
4) Wykonawca zaprzestał realizacji Umowy i nie podjął jej w terminie wyznaczonym przez Zamawiającego pomimo wezwania go do tego przez Zamawiającego - w terminie 30 (trzydziestu) dni kalendarzowych od dnia upływu terminu wyznaczonego w wezwaniu;
5) w celu zawarcia Umowy Wykonawca przedstawił fałszywe oświadczenia lub dokumenty - w terminie 30 (trzydziestu) kalendarzowych dni od dnia powzięcia wiadomości
o powyższych okolicznościach;
6) podane przez Wykonawcę w ofercie informacje nie odpowiadają stanowi faktycznemu - w terminie 30 (trzydziestu) kalendarzowych dni od dnia powzięcia wiadomości
o powyższych okolicznościach;
7) wystąpią inne nieprawidłowości w realizacji Umowy, które czynią dalszą realizację Umowy niemożliwą lub niecelową - w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;
8) wystąpienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy lub dalsze wykonanie Umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu. Odstąpienie od Umowy w wypadku może nastąpić w terminie 30 dni kalendarzowych od powzięcia wiadomości o tych okolicznościach, co wynika z art. 456 ust 1 ustawy Pzp.
2. Odstąpienie od Umowy następuje w formie pisemnej pod rygorem nieważności.
3. Odstąpienie od Umowy nie powoduje odpowiedzialności odszkodowawczej Zamawiającego
w związku ze skróceniem okresu obowiązywania Umowy.
§ 10.
Kary umowne
1. W razie niewykonania Przedmiotu Umowy lub jego części, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 10 % maksymalnego wynagrodzenia brutto, określonego w § 7. ust. 1 Umowy.
2. Za każdy rozpoczęty dzień zwłoki w terminie Dostawy Oprogramowania określonego w § 5. ust. 1, Zamawiający może żądać od Wykonawcy zapłaty kary w wysokości 1% wynagrodzenia brutto, wskazanego w § 7. ust. 1 Umowy.
3. Z tytułu pozostawania w zwłoce co do terminów wynikających z Umowy, innych niż termin Dostawy Oprogramowania określony w § 5. ust. 1, w tym z SWZ, odrębnych ustaleń Stron w trybie roboczych oraz Harmonogramu szczegółowego i ramowego, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 0,5 % maksymalnego wynagrodzenia brutto, określonego w § 7. ust. 1 Umowy, za każdy rozpoczęty dzień zwłoki.
4. W razie odstąpienia od Umowy z przyczyn leżących po stronie Wykonawcy, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 20 % maksymalnego wynagrodzenia brutto, określonego w § 7. ust. 1 Umowy.
5. Za każdy inny przypadek nienależytego wykonania Przedmiotu Umowy, niż określony w ust. 2 i 3, Zamawiający ma prawo do naliczenia Wykonawcy kary umownej w wysokości 5 % maksymalnego wynagrodzenia brutto, określonego w § 7. ust. 1 Umowy.
6. Za nienależyte wykonanie Przedmiotu Umowy należy uznać w szczególności wykonanie Przedmiotu Umowy z naruszeniem postanowień Umowy, w tym SWZ i Oferty.
7. W przypadku naruszenia zasad poufności przez Wykonawcę, Zamawiający może naliczyć karę umowną w wysokości 500 (pięćset) zł brutto, za każdy przypadek naruszenia.
8. Wykonawca wyraża zgodę na potrącanie naliczonych kar umownych przez Zamawiającego,
z kwoty przysługującego mu wynagrodzenia brutto, o którym mowa w § 7. ust. 1 Umowy, choćby
którakolwiek z wierzytelności przedstawionych do potrącenia przez Zamawiającego była niewymagalna lub niezaskarżalna. W przypadku braku pokrycia nałożonych kar umownych w kwotach pozostałych do zapłaty, Wykonawca zobowiązuje się do uregulowania kary w terminie 14 (czternastu) dni kalendarzowych od dnia doręczenia Wykonawcy noty obciążeniowej w formie pisemnej.
9. Zapłata kar umownych nie zwalnia Wykonawcy od obowiązku wykonania Umowy.
10. Zamawiający zastrzega sobie możliwość dochodzenia odszkodowania przewyższającego wysokość zastrzeżonych kar umownych, aż do wysokości poniesionej szkody, na zasadach ogólnych.
§ 11.
Zasady zachowania poufności
1. Wykonawca zobowiązuje się zachować w poufności wszelkie informacje techniczne, technologiczne, ekonomiczne, finansowe, handlowe, prawne, organizacyjne i inne dotyczące drugiej Strony, otrzymane od Zamawiającego w związku z realizacją Umowy, wyrażone za pomocą mowy, pisma, obrazu, rysunku, znaku, dźwięku albo zawarte w urządzeniu, przyrządzie lub innym przedmiocie, a także wyrażone w jakikolwiek inny sposób i przekazane drugiej Stronie (dalej jako:
„Informacje”). Powyższe zobowiązanie pozostaje w mocy również po wygaśnięciu Umowy, bezterminowo.
2. Wykonawca zobowiązuje się nie kopiować, nie powielać, ani w jakikolwiek inny sposób rozpowszechniać Informacji lub ich części, za wyjątkiem przypadków, gdy jest to konieczne do realizacji celów ściśle związanych ze współpracą Stron wynikającą z postanowień Umowy oraz przypadków określonych w ust. 4 i 5.
3. Wymogi zawarte w niniejszym paragrafie nie będą miały zastosowania odnośnie jakichkolwiek Informacji, które zostały opublikowane lub podane do publicznej wiadomości przed zawarciem Umowy.
4. W przypadku skierowania przez uprawniony organ żądania ujawnienia Informacji, Wykonawca, dokona natychmiastowego powiadomienia Zamawiającego o wystąpieniu takiego żądania i jego okolicznościach towarzyszących.
5. Jeżeli ujawnienie Informacji jest konieczne z uwagi na obowiązujące przepisy prawa, Wykonawca ujawniający Informacje zobowiązuje się dołożyć wszelkich starań dla uzyskania wiarygodnego zapewnienia od podmiotu, któremu Informacje są ujawniane, że nie będą ujawniane dalej.
6. Wykonawca ponosi odpowiedzialność za przestrzeganie postanowień niniejszego paragrafu przez wszystkie osoby, którymi posługuje się przy wykonywaniu Umowy.
7. Strony zawrą odrębną umowę ochrony informacji według wzoru stanowiącego Załącznik nr 9 do
Umowy.
§ 12.
Koordynacja wykonania Umowy
1. Strony postanawiają, że do kontaktów pomiędzy Stronami oraz do podejmowania bieżących uzgodnień związanych z realizacją Umowy wyznaczeni są:
1) ze strony Wykonawcy: […], tel.: +48 […], adres e-mail: […];
2) ze strony Zamawiającego: […], tel.: +48 […], adres e-mail: […].
2. Osobą uprawnioną do podpisania Protokołu odbioru / Miesięcznego Protokołu odbioru jest:
1) ze strony Wykonawcy: […], tel.: +48 […], adres e-mail: […];
2) ze strony Zamawiającego: […], tel.: +48 […], adres e-mail: […].
3. Zmiana osób i danych, o których mowa w ust. 1 i 2, następuje poprzez elektroniczne powiadomienie drugiej Strony i nie stanowi zmiany treści Umowy na adresy wskazane w § 9. ust. 1.
4. Uznaje się, iż dotarcie informacji do osób wskazanych w ust. 1, jest poinformowaniem Stron Umowy.
5. Strony oświadczają, że przetwarzanie w zakresie udostępnionych im przez drugą Stronę Umowy danych osobowych dokonywane będzie przez każdą ze Stron jako administratora danych osobowych w celu realizacji Przedmiotu Umowy.
6. Dane osobowe przedstawicieli Stron w tym wymienionych w § 9. ust. 1 i 2 udostępniane będą drugiej Stronie, która stanie się ich administratorem danych i przetwarzane będą przez nią w celu realizacji Umowy.
7. Zamawiający podaje, iż wszelkie informacje dotyczące przetwarzania danych osobowych przez Zamawiającego jako Administratora Danych Osobowych znajdują się w Klauzuli informacyjnej o której mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej RODO), która stanowi Załącznik nr 7 do Umowy.
8. W przypadku, gdy Zamawiający będzie przetwarzał w ramach niniejszej Umowy dane pracowników lub współpracowników Wykonawcy oraz podwykonawców, Zamawiający realizuje obowiązek informacyjny, o którym mowa w art. 14 RODO, poprzez Klauzulę stanowiącą Załącznik nr 8 i zobowiązuje drugą stronę Umowy do udostępnienia tejże informacji wskazanym osobom.
9. Zmiana załączników wskazanych w ust. 7 i 8 powyżej nie wymaga zmiany Umowy, Strony mogą
aktualizować dane zawarte w powyżej wskazanych Klauzulach informacyjnych w formie dokumentowej.
10. Powierzenie przetwarzania danych osobowych odbędzie na podstawie odrębnej umowy zawartej pomiędzy Stronami.
§ 13.
Zmiany Umowy
1. Umowa może zostać zmieniona w sytuacji gdy:
1) zaistnieją okoliczności związane z wystąpieniem wirusa SARS-CoV-2, które wpływają lub
mogą wpłynąć na należyte wykonanie Umowy;
2) nastąpi zmiana powszechnie obowiązujących przepisów prawa w zakresie mającym wpływ
na realizację Umowy;
3) wynikną rozbieżności lub niejasności w Umowie, których nie można usunąć w inny sposób, a zmiana Umowy będzie umożliwiać usunięcie rozbieżności i doprecyzowanie Umowy w celu jednoznacznej interpretacji jej postanowień przez Xxxxxx;
4) zaistnieje konieczność wprowadzenia zmiany terminu realizacji Przedmiotu Umowy;
5) zaistnieje działanie siły wyższej rozumianej jako nadzwyczajne okoliczności niezależne od Stron, których nie można było przewidzieć, jak x.xx.: wojna, stany wyjątkowe, strajki generalne, blokady, embargo, działania sił przyrody o charakterze klęsk żywiołowych jak huragany, powodzie, trzęsienia ziemi, pożary, epidemie, pandemie itp., uniemożliwiającej realizację w części lub w całości Przedmiotu Umowy;
6) wystąpią uzasadnione zmiany w zakresie sposobu realizacji, w tym zmiana miejsca Przedmiotu Umowy;
7) nastąpi konieczność zmiany warunków i terminów płatności.
2. Wszelkie zmiany Umowy są dokonywane przez umocowanych przedstawicieli Zamawiającego
i Wykonawcy w formie pisemnej w drodze aneksu do Umowy, pod rygorem nieważności.
3. W razie wątpliwości, przyjmuje się, że nie stanowią zmiany Umowy następujące zmiany:
1) danych związanych z obsługą administracyjno-organizacyjną Umowy,
2) danych teleadresowych,
3) danych rejestrowych,
4) będące następstwem sukcesji uniwersalnej po jednej ze stron Umowy,
5) w zakresie zmiany treści załączników nr 7 i 8 do Umowy.
4. Zamawiający dopuszcza zmianę postanowień Umowy w stosunku do treści Oferty w sytuacji, gdy nie była możliwa do przewidzenia na etapie zawarcia Umowy, a ponadto jej dokonanie podyktowane jest zmianą stanu prawnego w zakresie mającym wpływ
na realizację Umowy, tj. w szczególności:
1) stawki podatku od towarów i usług oraz podatku akcyzowego;
2) wysokości minimalnego wynagrodzenia za pracę albo wysokości minimalnej stawki godzinowej, ustalonych na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (t.j. Dz.U. z 2020 r. poz. 2207);
3) zasad podlegania ubezpieczeniom społecznym lub ubezpieczeniu zdrowotnemu lub
wysokości stawki składki na ubezpieczenia społeczne lub zdrowotne;
4) zasad gromadzenia i wysokości wpłat do pracowniczych planów kapitałowych, o których mowa w ustawie z dnia 4 października 2018 r. o pracowniczych planach kapitałowych (t.j. Dz. U. z 2020 r. poz. 1342)
5) jeżeli zmiany te będą miały wpływ na koszty wykonania Przedmiotu Umowy przez Wykonawcę, każda ze Stron Umowy, w terminie 30 (trzydziestu) dni kalendarzowych od dnia wejścia w życie przepisów dokonujących tych zmian, może zwrócić się do drugiej Strony o przeprowadzenie negocjacji w sprawie odpowiedniej zmiany wysokości wynagrodzenia.
5. Każda ze Stron Umowy może zawnioskować o jej zmianę. W celu dokonania zmiany Umowy, Strona o to wnioskująca zobowiązana jest do złożenia drugiej Stronie propozycji zmiany w terminie 14 (czternastu) dni kalendarzowych od dnia zaistnienia okoliczności będących podstawą zmiany.
§ 14.
Termin obowiązywania umowy
Umowa zostaje zawarta na czas oznaczony, tj. od dnia jej wejścia w życie przez okres kolejnych 37 (trzydziestu siedmiu) miesięcy.
§ 15.
Postanowienia końcowe
1. Ewentualne spory wynikłe w związku z realizacją Umowy Strony zobowiązują się rozpatrywać bez zbędnej zwłoki w drodze wspólnych negocjacji, a w przypadku niemożności osiągnięcia kompromisu, spory te będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.
2. W sprawach nieregulowanych Umową zastosowanie mają przepisy powszechnie
obowiązującego prawa.
3. Prawa i obowiązki Wykonawcy wynikające z realizacji Umowy oraz wierzytelności wobec Zamawiającego nie mogą być przenoszone na osoby trzecie bez uprzedniej pisemnej zgody Zamawiającego.
4. Umowa wchodzi w życie z dniem podpisania jej przez ostatnią ze Stron.
5. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, dwa dla Zamawiającego i jeden dla Wykonawcy.4
6. Integralną część Umowy stanowią załączniki:
1) Załącznik nr 1 – kopia upoważnienia;
2) Załącznik nr 2 – wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS lub wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Wykonawcy;
3) Załącznik nr 3 – SWZ;
4) Załącznik nr 4 – Oferta Wykonawcy z dnia r.;
5) Załącznik nr 5 – wzór protokołu odbioru;
6) Załącznik nr 6 – klauzula informacyjna z art. 13 RODO;
7) Załącznik nr 7 – klauzula informacyjna z art. 14 RODO;
8) Załącznik nr 8 – Wytyczne dotyczące wymagań w zakresie bezpieczeństwa informacji dla wykonawców zewnętrznych realizujących prace zlecone przez Narodowe Centrum Badań i Rozwoju;
9) Załącznik nr 9 – Wzór umowy o zachowaniu poufności informacji;
10) Załącznik nr 10 – Wzór Umowy powierzenia i dalszego powierzenia danych osobowych.
POSPISY STRON
Zamawiający: Wykonawca:
………………………………………… …………………………………………
DATA: ………………………..………. DATA: ………………………..……….
4 W przypadku zawierania umowy w formie elektronicznej postanowienie zostanie dostosowane
Załącznik nr 5
PROTOKÓŁ ODBIORU / MIESIĘCZNY PROTOKÓŁ ODBIORU*
Zamawiający: …………………………………………………………………………….
Reprezentowany przez ……………………………………………………………………
Wykonawca: ………………………………………………………………………………...
Przedmiot odbioru: ……………………………………………………………………………..
Data dokonania odbioru: ………………………………………………………………
Zakres wykonanych prac: ……………………………………………………………………
…………………………………………………………………………...................................
…………………………………………………………………………………………………..
Przedstawiciele Zamawiający: Przedstawiciele Wykonawcy:
1. ………………………………… 1. …………………………………
2. ………………………………… 2. …………………………………
3. ………………………………… 3. …………………………………
W wyniku czynności odbioru Zamawiający oraz Wykonawca stwierdzają co następuje:
1. Zakres prac został wykonany zgodnie/niezgodnie* z umową/zleceniem*
nr ………………………..…… z dnia ……….……………………
2. Prace zostały rozpoczęte dnia …………..……. i zakończono dnia …………..………
termin wykonania umowy został dotrzymany
3. Jakość wykonanych prac ocenia się jako dobrą / niedobrą*
4. Niezgodności/braki ………………………………………………………………………..
…………………………………………………………………………………………………..
5. Termin usunięcia niezgodności /braków ustalono na ……….………………………….
6. Uwagi komisji ……………………………………………………………………………….
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
7. Zakres prac został przyjęty / nie przyjęto na skutek ……………………………………
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
Podpisy
Przedstawiciele Zamawiający: Przedstawiciele Wykonawcy:
1. ………………………………… 1. …………………………………
2. ………………………………… 2. …………………………………
3. ………………………………… 3. …………………………………
* niepotrzebne skreślić
Załącznik nr 6 do Umowy
Klauzula informacyjna – dotycząca zbierania danych osobowych bezpośrednio
od osoby, której dane dotyczą
Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”), informuję Panią/Pana że:
1) administratorem danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej: „NCBR”) z siedzibą w Xxxxxxxx 00-000, Xxxxxxxxxxx 00x;
2) z inspektorem ochrony danych można się skontaktować poprzez adres e-mail: xxx@xxxx.xxx.xx;
3) dane osobowe są przetwarzane w celu zawarcia i realizacji umowy z dnia nr
....................... pomiędzy NCBR a (Wykonawcą);
4) dane osobowe są przetwarzane z uwagi na wskazaną powyżej umowę, a przetwarzanie jest niezbędne do wykonania Umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem Umowy (art. 6 ust. 1 lit. b RODO);
5) dane osobowe będą przetwarzane w okresie realizacji umowy – do czasu wykonania wszystkich obowiązków wynikających z umowy oraz przechowywane będą w celach archiwalnych przez okres przechowywania zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;
6) odbiorcami danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;
7) przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do przenoszenia danych. W sprawie realizacji praw można kontaktować się z inspektorem ochrony danych pod adresem mailowym wskazanym w pkt 2 powyżej;
8) posiada Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub do innego organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia;
9) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;
10) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
Załącznik nr 7 do Umowy
Klauzula informacyjna – dotycząca zbierania danych osobowych niebezpośrednio
od osoby, której dane dotyczą
Zgodnie z art. 14 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej ogólne rozporządzenie o ochronie danych, „RODO”), informuję Panią/Pana, że:
1) administratorem danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej: “NCBR”) z siedzibą w Xxxxxxxx 00-000, Xxxxxxxxxxx 00x;
2) dane osobowe zostały pozyskane od (Wykonawcy);
3) z inspektorem ochrony danych (IOD) można się skontaktować poprzez adres e-mail: xxx@xxxx.xxx.xx;
4) NCBR bedzie przetwarzało następujące kategorie Pani/Pana danych osobowych: imię, nazwisko, adres e-mail, numer telefonu, stanowisko, miejsce pracy;
5) dane osobowe są przetwarzane w celu zawarcia i realizacji umowy z dnia nr
.................... pomiędzy NCBR a (Wykonawcą);
6) dane osobowe są przetwarzane z uwagi na wskazaną powyżej umowę do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO);
7) dane osobowe będą przetwarzane w okresie realizacji umowy – do czasu wykonania wszystkich obowiązków wynikających z umowy oraz przechowywane będą w celach archiwalnych przez okres przechowywania zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;
8) odbiorcami danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;
9) przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania i wniesienia sprzeciwu wobec przetwarzania dotyczących Pani/Pana danych osobowych. W sprawie realizacji praw można kontaktować się z inspektorem ochrony danych pod adresem mailowym udostępnionym w pkt 3 powyżej;
10) posiada Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub do innego organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia;
11) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;
12) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
Załącznik nr 8 do Umowy
PROCESY WSPARCIA | Numer: PW_3.6.5-2 Wydanie: 3 Data: luty 2021 Strona/stron: 23/9 | |
3.6 ZARZĄDZANIE BEZPIECZEŃSTWEM 3.6.5 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI | ||
Wytyczne dotyczące wymagań w zakresie bezpieczeństwa informacji dla wykonawców zewnętrznych realizujących prace zlecone przez Narodowe Centrum Badań i Rozwoju | ||
Opracował: Xxxxxxxx Xxxx | Sprawdził*: Xxxxxxxx Xxxxxxx | Xxxxxxxxxxx: Xxxxxxxx |
Ekspert wsparcia DB | Dyrektor DB | Kamieniecki |
/podpisano elektronicznie/ | Pełnomocnik ds. SZBI | Dyrektor Centrum |
/podpisano elektronicznie/ | /podpisano elektronicznie/ | |
Sprawdził**: Xxxxxx Xxxx | ||
Xxxxxxx specjalista wsparcia BSR- | ||
SDP | ||
/podpisano elektronicznie/ | ||
Dokument jest nadzorowany i opublikowany w formie elektronicznej. Niniejszy dokument jest aktualny w dniu wydruku. Użytkownik egzemplarza jest zobowiązany do śledzenia zmian w dokumencie po terminie wydruku. | ||
Spis treści
4. Nadawanie, zmiana bądź odebranie uprawnień 3
5. Metody i środki uwierzytelniania 4
7. Zasady zabezpieczeń stacji roboczych 7
8. Stosowanie zabezpieczeń kryptograficznych 7
Celem dokumentu jest określenie minimalnych wymagań w zakresie bezpieczeństwa
informacji,
w posiadanie których wejdzie wykonawca zewnętrzny w trakcie realizacji zleconych prac na rzecz Narodowego Centrum Badań i Rozwoju (dalej: „Centrum”).
Zapisy niniejszego dokumentu:
1) powinni uwzględniać pracownicy uczestniczący w procesie udzielenia zamówienia lub nawiązania współpracy na podstawie innej formy cywilnoprawnej na usługę/zamówienie związane z przetwarzaniem informacji;
2) powinni stosować wszyscy wykonawcy zewnętrzni realizujący prace na rzecz Centrum,
związane z przetwarzaniem informacji;
3) należy stosować we wszystkich umowach z wykonawcami zewnętrznymi, których przedmiot jest związany z ochroną informacji.
Dokument „Regulamin ochrony informacji dla wykonawcy NCBR” wersja 2 z dnia 31.07.2019
r. zostaje zastąpiony niniejszymi Wytycznymi.
!
1. Niniejszy dokument:
1) określa zakres obowiązków i odpowiedzialności wykonawców zewnętrznych
w zakresie bezpieczeństwa informacji;
2) obejmuje swoim zakresem wszystkich użytkowników wykonawców zewnętrznych, mających dostęp do systemów informatycznych (dalej jako: „System Informatyczny NCBR”) oraz informacji przetwarzanych na rzecz Centrum.
2. Wykonawca zewnętrzny przed podjęciem prac na rzecz Centrum, które wiążą się z przetwarzaniem informacji lub dostępem do Systemu Informatycznego NCBR powinien spełnić wymagania zawarte w niniejszym dokumencie.
3. Przed rozpoczęciem przetwarzania informacji należących do Centrum wykonawca
zewnętrzny powinien spełnić następujące warunki:
1) podpisać umowę o zachowaniu poufności, której wzór określa załącznik nr 2;
2) w przypadku przetwarzania danych osobowych podpisać umowę powierzenia lub dalszego powierzenia przetwarzania danych osobowych, przygotowaną na wzorze Centrum;
3) w przypadku udostępnienia danych osobowych podpisać umowę udostępnienia
danych osobowych przygotowaną na wzorze Centrum.
4. Szczegółowe zasady powierzenia bądź udostępnienia danych osobowych wykonawcy zewnętrznemu zostały określone w Polityce Bezpieczeństwa Danych Osobowych NCBR (zasady weryfikacji, wzory).
5. Pracownicy wykonawcy zewnętrznego realizujący na rzecz Centrum prace w ramach zawartej umowy mogą przebywać na terenie Centrum pod nadzorem pracownika Centrum lub pracowników ochrony obiektu.
6. W przypadku, gdy zlecenie będzie wykonywane po godzinach pracy Centrum lub w dni
wolne od pracy, kierownik komórki organizacyjnej Centrum (dalej jako: „kierownik KO”) bezpośrednio odpowiedzialny za wykonywane zlecenie musi zgłosić ten fakt do Działu Administracji i Zakupów (dalej jako: „DAZ”), który wystawia zlecenie na wykonanie prac i przekazuje informację o terminie i zakresie wykonywanych prac do administracji obiektu oraz zawiadamia ochronę obiektu.
7. W zleceniu należy podać:
1) nazwę wykonawcy zewnętrznego;
2) zakres wykonywanej pracy;
3) termin wykonania (data, godzina);
4) imię nazwisko oraz numer dokumentu tożsamości pracowników wykonawcy
zewnętrznego wykonujących prace;
5) imię nazwisko oraz numer telefonu osoby nadzorującej prace ze strony Centrum;
6) numery rejestracyjne pojazdów – w przypadku konieczności wyrażenia zgody na ich wjazd na parking.
8. Klucze do pomieszczeń wydaje pracownik DAZ.
4. Nadawanie, zmiana bądź odebranie uprawnień
1. W przypadku konieczności dostępu wykonawców zewnętrznych do Systemu Informatycznego NCBR zakres uprawnień przydziela się adekwatnie do przedmiotu zawartej umowy oraz zakresu powierzonych/udostępnionych danych osobowych (jeśli takie powierzenie/udostępnienie ma miejsce).
2. Osoba ze strony wykonawcy zewnętrznego, wskazana w umowie jako odpowiedzialna za jej realizację, powinna:
1) przekazać do Centrum listę użytkowników wykonawcy zewnętrznego mających mieć dostęp do Systemu Informatycznego NCBR wraz ze wskazaniem wymaganych uprawnień;
2) na bieżąco aktualizować listę użytkowników wykonawcy zewnętrznego, o której mowa powyżej.
3. Rejestrowanie i wyrejestrowanie użytkowników zewnętrznych z Systemu Informatycznego NCBR oraz nadawanie, zmiana i odebranie uprawnień jest realizowane przez pracowników Działu Systemów Informatycznych (dalej jako: „DSI”).
4. Z wnioskiem do DSI o nadanie, zmianę i odebranie uprawnień do Systemu Informatycznego NCBR występuje kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy z wykonawcą zewnętrznym.
5. Zakres uprawnień musi być uzgodniony z Inspektorem Ochrony Danych (dalej jako:
„IOD”).
6. Podczas rejestracji użytkownika zewnętrznego nadawany jest unikalny identyfikator użytkownika (login) oraz ustawiane jest hasło tymczasowe niezbędne do logowania po raz pierwszy do Systemu Informatycznego NCBR.
7. Kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy z wykonawcą zewnętrznym informuje wskazane przez wykonawcę zewnętrznego osoby o nadaniu, zmianie i odebraniu uprawnień oraz o przydzielonych danych uwierzytelniających do Systemu Informatycznego NCBR.
5. Metody i środki uwierzytelniania
1. Dostęp do Systemu Informatycznego NCBR jest możliwy wyłącznie poprzez podanie prawidłowego identyfikatora (loginu) i hasła przyznanego użytkownikowi podczas procesu nadawania uprawnień.
2. Polityka haseł dostępu użytkowników wykonawcy zewnętrznego do Systemu Informatycznego NCBR podlega następującym zasadom:
1) hasło składa się z minimum 8 znaków;
2) hasło musi spełniać warunek złożoności polegający na występowaniu w nim: wielkiej i małej litery, oraz cyfry lub znaku specjalnego (np. !@#);
3) rekomenduje się korzystanie z managerów haseł w celu stworzenia silnego hasła dostępowego;
4) hasło musi być zmieniane nie rzadziej niż raz na 30 dni;
5) kolejne hasła muszą być różne (zapamiętywanych jest minimum 6 ostatnich haseł);
6) hasła należy przechowywać w sposób gwarantujący ich poufność;
7) zabrania się udostępniania haseł innym osobom;
8) zabrania się tworzenia haseł na podstawie:
a) cech i numerów osobistych (np. dat urodzenia, imion itp.),
b) sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx),
c) identyfikatora użytkownika;
9) zabrania się tworzenia haseł łatwych do odgadnięcia;
10) logowanie anonimowe jest zabronione;
11) uwierzytelnienie następuje wyłącznie po podaniu zgodnego hasła i powiązanego
z nim identyfikatora (loginu);
12) w przypadku pierwszego logowania użytkownik ma obowiązek zmiany hasła
tymczasowego na właściwe, na znane tylko sobie;
13) w przypadku systemów, które nie wymuszają automatycznie cyklicznej zmiany hasła
oraz
nie kontrolują jego złożoności, obowiązkiem użytkownika jest zmiana hasła zgodnie z niniejszymi zasadami;
14) użytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego bezpieczne przechowywanie;
15) hasła nie mogą być ujawniane w sposób celowy lub przypadkowy oraz powinny być
znane wyłącznie użytkownikowi;
16) hasła nie powinny być przechowywane w formie dostępnej dla osób
nieupoważnionych:
a) w plikach,
b) na kartkach papieru w miejscach dostępnych dla osób trzecich,
c) w skryptach,
d) w innych zapisach elektronicznych i papierowych, które byłyby dostępne dla osób trzecich.
3. W przypadku podejrzenia ujawnienia haseł osobie nieupoważnionej, hasła muszą być natychmiast zmienione przez użytkownika, a fakt ten zgłoszony pracownikowi Centrum odpowiedzialnemu
za realizację umowy.
4. Hasło utrzymuje się w tajemnicy również po upływie jego ważności.
5. Zmiany hasła dokonuje użytkownik (w przypadku, gdy użytkownik zapomniał hasła, DSI ustawia hasło tymczasowe użytkownikowi z wymuszeniem jego zmiany podczas pierwszego logowania).
6. Hasła nie powinny być przekazywane ani przesyłane za pomocą telefonu, faksu ani poczty e-mail w formie jawnej.
1. DSI prowadzi wykaz osób i wykonawców zewnętrznych posiadających zdalny dostęp do zasobów Systemu Informatycznego NCBR.
2. Zdalny dostęp wykonawców zewnętrznych, możliwy jest tylko po spełnieniu warunków wymienionych w niniejszym dokumencie.
3. Zdalny dostęp wykonawców zewnętrznych realizowany jest za pomocą systemu do zarządzania kontami uprzywilejowanymi, a sesje związane ze zdalnym dostępem są nagrywane.
4. Zdalnego dostępu udziela się na zasadach i na czas określony zapisami umowy z
wykonawcą zewnętrznym.
5. Kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy z wykonawcą zewnętrznym wnioskuje do DSI o umożliwienie dostępu zdalnego użytkownikom zewnętrznym.
6. Zakres zdalnego dostępu może zostać ograniczony lub zwiększony po przeanalizowaniu potrzeb określonych zapisami umowy z wykonawcą zewnętrznym.
7. W ramach zdalnego dostępu do zasobów Systemu Informatycznego NCBR zabrania się
wykonawcy zewnętrznemu:
1) trwale usuwać dane;
2) przeprowadzać jakiekolwiek operacje na dyskach mogące prowadzić do ich uszkodzenia lub utraty danych, w szczególności ich formatowania.
8. Dla środowisk produkcyjnych (oddanych do eksploatacji) wykonawca zewnętrzny realizujący zdalne prace w Systemie Informatycznym NCBR, przed przystąpieniem do nich przedstawia, wraz z oceną ryzyka, zakres zaplanowanych czynności.
9. Przedstawiciel wykonawcy zewnętrznego, przystępując do czynności, które w konsekwencji mogą doprowadzić do zniszczenia danych, musi poinformować przedstawiciela Centrum, wskazanego w umowie, o możliwym ryzyku i dopiero po uzyskaniu akceptacji rozpocząć prace.
10. Pracownik Centrum przed przekazaniem wykonawcy zewnętrznemu informacji na temat zgody lub jej braku konsultuje się z DSI oraz Działem Bezpieczeństwa (dalej jako: „DB”), a jeśli dotyczy to danych osobowych także z IOD.
11. Akceptacja lub odmowa wykonania czynności objętych ryzykiem utraty danych wymaga zachowania drogi służbowej, np. wysłania informacji w postaci e-mail.
12. Scenariusz zaplanowanych do wykonania prac w środowisku produkcyjnym powinien
zawierać nw. informacje:
1) kto będzie prowadził prace;
2) kiedy prace będą prowadzone;
3) przewidywany czas trwania prowadzonych prac;
4) zakres wykonywanych prac;
5) informację czy wymagana jest przerwa w pracy użytkowników Centrum;
6) potencjalne ryzyka związane z podejmowanymi czynnościami.
13. Wykonywanie prac polegających na standardowej obsłudze serwisowej lub prac nad rozwojem Systemu Informatycznego NCBR będącego w fazie wdrażania nie wymaga każdorazowego ustalenia z Centrum warunków realizacji wykonywanych czynności.
14. Zabrania się wykonawcy zewnętrznemu podejmowania jakichkolwiek czynności zmierzających
do penetrowania zasobów teleinformatycznych Centrum, chyba, że czynności te dotyczą realizacji umowy, której przedmiot obejmuje przeprowadzenie testów bezpieczeństwa, testów penetracyjne, itp.
15. Każdorazowe przeprowadzanie przez wykonawcę zewnętrznego testów bezpieczeństwa
lub testów penetracyjnych wymaga uzyskania zgody DSI oraz DB.
16. DSI ogranicza zasoby dostępne dla sesji zdalnej do niezbędnego minimum, chyba, że wymagałoby to rozległej ingerencji w konfigurację urządzeń dostępowych.
17. DSI ustala wymagane zasoby zdalnego dostępu dla wykonawcy zewnętrznego.
18. Wykonawca zewnętrzny zobowiązuje się do wykorzystywania tylko i wyłącznie uzgodnionych zasobów informatycznych, nawet, jeśli dostępne są inne niż wymagane do realizacji zlecenia.
19. Na potrzeby realizacji zapisów umowy DSI może udzielić zdalnego dostępu do nw.
środowisk:
1) testowych;
2) produkcyjnych;
3) szkoleniowych.
20. Zdalny dostęp do sieci Centrum dla wykonawców zewnętrznych możliwy jest tylko po podaniu adresów IP, które będą specjalnie dedykowane do pracy w systemach Centrum.
21. Zabrania się wykonywania zdalnego dostępu z komputerów dostępnych publicznie np. kafejki internetowe, dworce, restauracje, bezprzewodowe sieci miejskie.
7. Zasady zabezpieczeń stacji roboczych
Do Systemu Informatycznego NCBR mogą być podłączane wyłącznie komputery i urządzenia
zgodne z minimalnymi wymaganiami bezpieczeństwa, w szczególności:
1) system operacyjny posiada zainstalowane wszystkie dostępne aktualizacje
zabezpieczeń;
2) w systemie operacyjnym zainstalowany jest system antywirusowy a jego sygnatury
są aktualne;
3) w systemie operacyjnym firewall jest uruchomiony i posiada właściwą konfigurację;
4) zainstalowane na komputerze oprogramowanie pochodzi z zaufanych źródeł;
5) oprogramowanie jest zainstalowane zgodnie z postanowieniami umowy licencyjnej;
6) oprogramowanie nie narusza praw autorskich;
7) oprogramowanie nie narusza innych praw podmiotów trzecich.
8. Stosowanie zabezpieczeń kryptograficznych
1. W celu ochrony poufności przechowywanych oraz przesyłanych danych stosuje się
zabezpieczenia kryptograficzne.
2. Zabezpieczenia kryptograficzne należy stosować:
1) na dyskach twardych komputerów, w tym zwłaszcza komputerów przenośnych;
2) na pendrive’ach i innych nośnikach danych;
3) na nośnikach kopii zapasowych;
4) na urządzeniach mobilnych;
5) w tunelach VPN;
6) w poczcie elektronicznej.
3. Zakres stosowanych rozwiązań kryptograficznych powinien obejmować minimum dane znajdujące się na nośnikach, które objęte są ochroną ze względu na wymagania związane z utrzymaniem poziomu poufności.
4. Poziom bezpieczeństwa dla rozwiązań kryptograficznych powinien obejmować:
1) kontrolę transmisji danych wykonywanych w sieci przez użytkowników;
2) szyfrowanie dysków twardych komputerów (RC5-1024 i AES-256);
3) szyfrowanie nośników przenośnych (wymiennych) (AES-256);
4) zarządzane w konsoli zarządzania regułami i politykami;
5) możliwość odzyskania z poziomu administratora hasła i danych;
6) integrację z domeną lub kontem użytkownika w systemie operacyjnym.
1. Każde naruszenie bezpieczeństwa informacji należy każdorazowo zgłaszać:
1) do DB oraz do wiadomości do DSI w formie wiadomości e-mail za potwierdzeniem odbioru na adres: [xxxxxxxx@xxxx.xxx.xx oraz do wiadomości xxxxx://xxxx.xxxx- local.lan/servicedesk/customer/portals], z tematem wiadomości „Naruszenie bezpieczeństwa informacji”;
2) do IOD jeżeli naruszenie dotyczy przetwarzania danych osobowych w formie wiadomości e-mail za potwierdzeniem odbioru na adres: [xxx@xxxx.xxx.xx] z tematem wiadomości „Naruszenie ochrony danych osobowych”.
2. W sytuacji gdy DB potwierdzi, że zdarzenie stanowi incydent naruszenia bezpieczeństwa informacji (dalej jako: „Incydent bezpieczeństwa”) wnioskuje do DSI o natychmiastowe odebranie uprawnień użytkownikom wykonawcy zewnętrznego, jednocześnie informując o tym fakcie osobę wskazaną do kontaktu ze strony wykonawcy zewnętrznego w zawartej umowie.
3. W przypadku potwierdzonego Incydentu bezpieczeństwa DB wspólnie z DSI kontaktuje się z przedstawicielem wykonawcy zewnętrznego celem zabezpieczenia śladów tego naruszenia (np. logi systemowe).
4. W szczególnych sytuacjach, potwierdzonego incydentu bezpieczeństwa Pełnomocnik ds. SZBI informuje organy ścigania oraz inne uprawnione podmioty (urzędy) o zaistniałej sytuacji.
W przypadku naruszenia bezpieczeństwa danych osobowych należy stosować Politykę Bezpieczeństwa Danych Osobowych NCBR.
5. DSI we współpracy z DB oraz uprawnionymi pracownikami wykonawcy zewnętrznego usuwają skutki naruszenia bezpieczeństwa oraz wprowadzają dodatkowe zabezpieczenia (np. zmieniają konfigurację, itp.).
6. Każdy incydent bezpieczeństwa odnotowywany jest w rejestrze incydentów Centrum.
7. DB, po otrzymaniu informacji od DSI, na tematu wpływu zaistniałego incydentu na
bezpieczeństwo przygotowuje analizę i wydaje rekomendacje.
1. Za nadzór nad przestrzeganiem postanowień niniejszego dokumentu odpowiada:
1) ze strony wykonawcy zewnętrznego – uprawniony przedstawiciel tego podmiotu;
2) ze strony Centrum – kierownik KO lub pracownik wskazany przez niego w umowie podpisanej z zewnętrznym wykonawcą.
2. W zakresie spraw związanych z bezpieczeństwem informacji nieuregulowanych w niniejszym dokumencie, obowiązują przepisy prawne.
3. Wszelkie projekty dokumentów wdrażające nowe, zmianę lub wycofanie obowiązujących uregulowań w zakresie związanym z bezpieczeństwem informacji wymagają uzgodnienia z Pełnomocnikiem ds. SZBI.
• Załącznik nr 1 – wzór umowy o zachowaniu poufności informacji.
Załącznik nr 9 do Umowy
/WZÓR/
UMOWA O ZACHOWANIU POUFNOŚCI INFORMACJI
(zwana dalej „Umową”)
zawarta w dniu […] w […] pomiędzy:
Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-695 Warszawa), adres: ul. Xxxxxxxxxxx 00x, działającym na podstawie ustawy z dnia 30 kwietnia 2010 roku o Narodowym Centrum Badań i Rozwoju, posiadającym REGON: 141032404 oraz NIP: 000- 000-00-00, zwanym dalej „Centrum” lub „Stroną ujawniającą” reprezentowanym przez:
……………………………………………… a
Panią/Panem ………………………. zamieszkałą/zamieszkałym w… (…-
…), przy ul. …….., posiadającą/posiadającym PESEL: ,
legitymującą/legitymującym się dowodem osobistym serii: …. numer ….., wydanym przez:
…………………., ważnym do: , prowadzącą/prowadzącym działalność
gospodarczą pod firmą „…………………………………….”, przy ul. ,
posiadającą/posiadającym NIP: ………………….. oraz REGON: ,
zwaną/zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”
(wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Odbiorcy stanowi
Załącznik nr 1 do Umowy) lub
………………………………… z siedzibą w ……………, adres: ul. …………….., (…-…) wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: …………, posiadającą NIP: …………………. oraz REGON:
…………………., kapitał zakładowy w wysokości: ……………………., opłacony w całości, zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez: Panią/a ………………………………………
(wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Odbiorcy stanowi Załącznik nr 1 do Umowy)
lub
………………………. z siedzibą w ………………………., adres: ul. , (…-
…), wpisanym do Rejestru Instytutów Naukowych Polskiej Akademii Nauk pod numerem rejestru …………….., NIP: ………………., REGON: ,
zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:
Panią/a ………………………………………
działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………
(wydruk z Rejestru Instytutów Naukowych oraz kopia pełnomocnictwa do reprezentowania Odbiorcy stanowią załącznik nr 1 do Umowy),
lub
……………………………… z siedzibą w ……………….. adres: ul. …………………, (…-…) wpisanym do Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w
………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS:
………………, posiadającym NIP: …………………. zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:
Panią/a ………………………………………
działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………
(wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Odbiorcy stanowi Załącznik nr 1 do Umowy)
lub
………………………… z siedzibą w ………………………, adres: ul. ,
…-… ……………, wpisaną do Rejestru Instytucji Szkolnictwa Wyższego prowadzonego w ramach systemu POLon pod numerem rejestru ………………., NIP: , zwanym
dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:
Panią/a ………………………………………
działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………
(wydruk z Rejestru Instytucji Szkolnictwa Wyższego systemu POLon Odbiorcy oraz kopia
pełnomocnictwa do reprezentowania Odbiorcy stanowią załącznik nr 1 do Umowy) lub
…………………………………… z siedzibą w ……………, adres: ul. …………….., …-…
……………, wpisanym do Rejestru stowarzyszeń, innych organizacji społecznych i
zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej, prowadzonego w ramach Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS ,
NIP: ………………., REGON: ………………………, zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą” reprezentowanym przez:
Panią/a ………………………………………
działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………
(wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru KRS Odbiorcy Informacji Poufnych oraz kopia pełnomocnictwa do reprezentowania Odbiorcy stanowią załącznik nr 1 do Umowy)
zwanymi dalej łącznie „Stronami” a pojedynczo „Stroną”.
Preambuła
Zważywszy, że celem Stron jest uregulowanie wzajemnych stosunków w zakresie przekazywania przez Centrum informacji poufnych do Odbiorcy w związku z wykonywaniem umowy dotyczącej …………….. (dalej jako „Umowa główna”) oraz zapewnienie bezpieczeństwa i ochrony takich informacji, Strony zgodnie postanawiają, co następuje:
§ 1.
1. Przedmiotem Umowy jest zobowiązanie się przez Odbiorcę do zachowania poufności i nieujawniania jakichkolwiek informacji przekazywanych przez Centrum i pozyskanych w trakcie realizacji Umowy głównej, niezależnie od formy ich uzyskania, bez konieczności ich oznaczenia przez Centrum jako poufne w chwili udostępnienia (dalej jako: „Informacje Poufne”).
2. W szczególności, do Informacji Poufnych zaliczane będą wszelkie informacje i dokumenty o charakterze technicznym, technologicznym, handlowym, organizacyjnym lub związane z działalnością Centrum oraz wszelkie inne informacje posiadające ekonomiczną/gospodarczą wartość, które nie są powszechnie znane.
3. Odbiorca zobowiązuje się do:
1) zachowania w tajemnicy wszelkich informacji przekazywanych w związku z wykonywaniem Umowy głównej, jak i wszelkich informacji zebranych w trakcie negocjacji poprzedzających jej zawarcie, niezależnie od formy w jakiej zostały przekazane;
2) ujawnienia Informacji Poufnych wyłącznie osobom, którymi się posługuje lub którym powierza wykonanie Umowy głównej w celu i w zakresie niezbędnym do jej wykonania;
3) poinformowania osób, o których mowa w § 1 ust. 3 pkt 2 Umowy, o poufnym charakterze informacji, pouczenia w sprawie ich traktowania jako poufnych oraz odebrania od nich oświadczenia, którego wzór stanowi Załącznik nr 1 do Umowy;
4) niewykorzystywania, niekopiowania, niepowielania, nierozpowszechniania jakiejkolwiek Informacji Poufnej lub jej części, za wyjątkiem przypadków gdy jest to niezbędne dla wykonania Umowy głównej.
4. Nie stanowią Informacji Poufnej informacje:
1) które są dostępne publicznie lub staną się publicznie dostępne w inny sposób niż
poprzez naruszenie obowiązku zachowania poufności;
2) które w momencie ujawnienia były już w posiadaniu Odbiorcy lub jego pracownika, członka organu lub doradcy, pod warunkiem, iż nie zostały objęte obowiązkiem zachowania poufności oraz że zostały one uzyskane bez naruszenia prawa;
3) które zostały otrzymane od stron trzecich zgodnie z prawem i bez naruszenia jakiegokolwiek zobowiązań do zachowania poufności;
4) w stosunku, do których Centrum oświadczy na piśmie, że nie uznaje ich za Informacje Poufne.
5. Nie stanowi naruszenia Informacji Poufnej ujawnienie dokonane zgodnie z wymogami prawa, w tym na wniosek lub wezwanie uprawnionych sądów lub organów, w zakresie i w granicach dozwolonych prawem, na podstawie postanowienia lub wezwania sądu lub decyzji administracyjnej albo w celu dochodzenia roszczeń. Przed ujawnieniem informacji zgodnie ze zdaniem poprzednim, Odbiorca powiadomi Centrum pisemnie o otrzymaniu takiego wniosku lub wezwania, określając formę i cel ujawnienia, chyba że przekazanie takiej wiadomości jest zabronione na podstawie obowiązujących przepisów prawa. Gdyby uprzednie powiadomienie Centrum o otrzymaniu wniosku lub wezwania nie było w okolicznościach sprawy możliwe, Odbiorca powiadomi Centrum niezwłocznie po ustaniu okoliczności uniemożliwiających powiadomienie.
6. Ujawnienie Informacji Poufnych osobie trzeciej jest dopuszczalne wyłącznie po uzyskaniu uprzedniej pisemnej zgody Centrum i na warunkach przez Centrum określonych.
7. Odbiorca ponosi wobec Strony ujawniającej odpowiedzialność za naruszenie obowiązków
w zakresie zachowania w tajemnicy Informacji Poufnych, również w przypadku, gdy naruszenie jest dokonane przez osobę trzecią, o której mowa w § 1 ust. 3 pkt 2 Umowy, za której działania lub zaniechania Odbiorca odpowiada jak za własne.
8. Odbiorca zapewnia, że dysponuje właściwymi zabezpieczeniami umożliwiającymi ochronę Informacji Poufnych przed dostępem i bezprawnym ich wykorzystaniem przez osoby nieuprawnione.
9. W zakresie możliwości posługiwania się osobami trzecimi lub powierzania im wykonania Umowy głównej, wiążące dla Stron są jej postanowienia.
§ 2.
Dla uniknięcia wątpliwości Strony potwierdzają, iż Umowa nie skutkuje przeniesieniem jakiegokolwiek prawa do Informacji Poufnych na Odbiorcę uzyskującego te informacje.
§ 3.
1. Odbiorca zobowiązuje się do zachowania w poufności Informacji Poufnych oraz wykorzystania Informacji Poufnych wyłącznie dla celów realizacji Umowy głównej oraz do podjęcia w stosunku do Informacji Poufnych co najmniej takich środków ostrożności oraz takich samych środków zabezpieczających, jak te podejmowane w stosunku do własnych informacji poufnych.
2. Odbiorca zobowiązuje się do przechowywania Informacji Poufnych w bezpiecznym środowisku oraz zobowiązuje się nie kopiować, nie powielać, ani w jakikolwiek inny sposób nie utrwalać i nie rozpowszechniać Informacji Poufnych lub ich części, z wyjątkiem przypadków wewnętrznego użytku, gdy jest to niezbędne dla celów realizacji Umowy głównej.
3. W przypadku, gdy przekazywane Informacje Poufne będą stanowić informacje chronione przez przepisy powszechnie obowiązującego prawa, Odbiorca zobowiązuje się do przestrzegania stosownych regulacji prawnych w zakresie ochrony takich informacji.
4. Odbiorca oświadcza, że jest świadomy zagrożeń dotyczących bezpieczeństwa związanych z przesyłaniem informacji pocztą elektroniczną lub z użyciem Internetu, oraz że będzie odpowiedzialny za ochronę w zakresie informacji przesyłanych w formie elektronicznej i ochrony przed wirusami oraz za zapewnienie, aby informacje takie nie były kierowane pod niewłaściwy adres.
5. Odbiorca zobowiązuje się do przestrzegania przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2018 r. poz. 1000, ze zm.). oraz rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) i zobowiązuje się nie wykorzystywać ani nie przetwarzaćw jakikolwiek sposób danych osobowych, do których uzyska dostęp w wyniku realizacji współpracy dla celów innych niż wykonywanie Umowy głównej .
6. Odbiorca ponosi pełną i wyłączną odpowiedzialność za będące następstwem jego zachowań szkody wyrządzone niezgodnym z Umową przetwarzaniem danych osobowych, w szczególności szkody wyrządzone utratą, niewłaściwym przechowywaniem lub posłużeniem się dokumentami, które są nośnikiem danych
osobowych.
7. W przypadku, gdy Odbiorca wykonuje Umowę główną przy udziale osób trzecich, z zastrzeżeniem § 1 ust. 9 Umowy, postanowienia poprzedzających ustępów rozciągają się także na te osoby, przy czym Odbiorca ponosi pełną i wyłączną odpowiedzialność za działania
lub zaniechania osób, którymi się posługuje lub którym powierza wykonanie powyższej
umowy, jak za działania lub zaniechania własne.
§ 4.
Umowa obowiązuje przez cały okres obowiązywania Umowy głównej, jak również przez okres
..... (słownie: …………) lat po jej wykonaniu albo wygaśnięciu lub ….. (słownie: ) lat
po jej rozwiązaniu, odstąpieniu lub wypowiedzeniu.
§ 5.
1. Odbiorca na żądanie Centrum zwróci niezwłocznie wszelkie materiały, dokumenty, inne opracowania (na piśmie, w formie elektronicznej lub innej) oraz zniszczy wszystkie materiały, które zawierają Informacje Poufne i wykasuje z pamięci swoich komputerów, edytorów tekstów i podobnych środków wszystkie materiały stanowiące Informacje Poufne, włączając każdą kopię, w zakresie w jakim pozwala na to konfiguracja systemów teleinformatycznych. Ponadto Odbiorca, bez żądania Centrum, zwróci lub zniszczy materiały, dokumenty, nośniki zawierające Informacje Poufne odpowiednio najpóźniej z upływem okresu, o którym mowa w § 4 Umowy.
2. Na żądanie Strony ujawniającej Odbiorca niezwłocznie dostarczy jej pisemne
oświadczenie potwierdzające dokonanie czynności wskazanych w ust. 1 powyżej.
§ 6.
1. W przypadku naruszenia przez Odbiorcę jakichkolwiek zobowiązań wynikających z niniejszej Umowy, Centrum będzie miał prawo do żądania natychmiastowego zaniechania naruszenia i usunięcia jego skutków. Wezwanie do zaniechania naruszeń i usunięcia jego skutków powinno być wysłane Odbiorcy w formie pisemnej z wyznaczeniem co najmniej terminu 14 (słownie: czternastu) dni do ustosunkowania się do niego.
2. W przypadku naruszenia przez Odbiorcę obowiązków dotyczących Informacji Poufnych, w tym danych osobowych, Centrum może żądać od Odbiorcy zapłaty kary umownej w wysokości ………………. PLN (słownie: ………………………) za każdy przypadek naruszenia. Odbiorca zobowiązuje się do uregulowania kary w terminie 14 (słownie: czternastu) dni kalendarzowych od dnia doręczenia Odbiorcy wezwania do zapłaty/noty obciążeniowej w formie pisemnej.
3. Centrum zastrzega sobie prawo dochodzenia odszkodowania przewyższającego wysokość zastrzeżonych kar umownych na zasadach ogólnych Kodeksu cywilnego.
§ 7.
1) Umowa wchodzi w życie w dniu podpisania jej przez Xxxxxx.
2) Umowa podlega prawu polskiemu.
3) Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
4) Strony zgodnie oświadczają, że wszelkie spory powstałe w związku z realizacją niniejszej Umowy będą starały się rozstrzygać w sposób polubowny. W przypadku, gdy Xxxxxx nie osiągną porozumienia w sposób wskazany w zdaniu poprzedzającym, wszelkie spory wynikające w związku z realizacją Umowy zostaną rozstrzygnięte przez sąd powszechny właściwy miejscowo dla siedziby Centrum.
5) Niniejsza Umowa sporządzona została w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
6) Integralną część Umowy stanowią:
1) Załącznik nr 1 - wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Odbiorcy/ wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Odbiorcy/ wydruk z Rejestru Instytutów Naukowych oraz kopia pełnomocnictwa do reprezentowania Odbiorcy/ wydruk z Rejestru Instytucji Szkolnictwa wyższego systemu POLon;
2) Załącznik nr 2 - Oświadczenie o zobowiązaniu do zachowania poufności (Wzór).
………………………………………….. …………………………………………..
Strona ujawniająca Odbiorca Informacji Poufnych
(data i podpis) (data i podpis)
/WZÓR/
OŚWIADCZENIE
O ZOBOWIĄZANIU DO ZACHOWANIA POUFNOŚCI
Niniejszym oświadczam, że znana mi jest treść Umowy o zachowaniu poufności informacji z dnia zawartej pomiędzy
………………………………………………………………………………………………… a
…………………………………………………………………………………………………
i wynikające z niej zobowiązania do utrzymywania w tajemnicy ujawnionych Informacji Poufnych oraz zobowiązuje się do ich przestrzegania.
Niniejszym zobowiązuję się jako pracownik ……………………………………….. (nazwa firmy)/ zleceniobiorca/ Wykonawca* ……………………………………….. do zachowania w tajemnicy wszelkich Informacji Poufnych, które zostały mi ujawnione w związku z moim uczestnictwem w wykonywaniu , na warunkach określonych w Umowie o zachowaniu poufności. Jestem
świadomy, że naruszenie powyższych zobowiązań może skutkować odpowiedzialnością cywilną i
karną na podstawie obowiązujących przepisów prawa.
……………………………………….
(data i podpis)
* niepotrzebne skreślić
Strona 37 z 46
Załącznik nr 10 do Umowy
[Wzór] Umowa powierzenia oraz dalszego powierzenia przetwarzania danych osobowych
Zawarta w dniu… w Warszawie pomiędzy:
Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-695 Warszawa), adres: ul. Xxxxxxxxxxx 00x, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U. z 2020 r. poz. 1861 ze zm.), posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, zwanym dalej
„NCBR”, reprezentowanym przez:
,
(kopia pełnomocnictwa do reprezentowania NCBR stanowi Załącznik nr 1 do Umowy) A
zwanym dalej Wykonawcą
,reprezentowaną przez:
zwane dalej łącznie „Stronami” a osobno „Stroną”
1) Mając na uwadze fakt, iż NCBR oraz Wykonawca zawarły umowę nr ……………. z dnia r. w
przedmiocie świadczenie przez Wykonawcę usług mających na celu określenie potrzeb i wymagań NCBR w zakresie zaprojektowania, budowy i wdrożenia hurtowni danych (dalej „Umowa główna”), w celu realizacji której niezbędne jest powierzenie przez NCBR przetwarzania określonych danych osobowych Wykonawcy, Strony postanowiły o zawarciu niniejszej Umowy, o następującej treści:
2) w celu realizacji Umowy głównej [nazwa Wykonawcy] będzie przetwarzać dane osobowe powierzone jej/jemu przez NCBR wobec których NCBR pełni rolę Administratora Danych Osobowych (dalej jako
„ADO”), a także wobec których NCBR pełni rolę podmiotu przetwarzającego (dalej jako „PP”) oraz wobec których pełni rolę dalszego podmiotu przetwarzającego (dalej jako „DPP”), na podstawie różnych podstaw prawnych i w odniesieniu do różnych źródeł pochodzenia danych osobowych opisanych poniżej;
3) NCBR występuje w roli Administratora Danych Osobowych w ramach:
a. programów krajowych podmiotów w programach wsparcia B+R finansowanych z budżetu
krajowego,
b. pozostałych programów realizowanych na podstawie dotacji podmiotowej,
c. programów finansowanych w ramach mechanizmów międzynarodowych,
d. programów finansowanych w ramach Norweskiego Mechanizmu Finansowego na lata 2014- 2021 i Mechanizmu Finansowego EOG na lata 2014-2021,
Strona 38 z 46
e. rejestracji konta i wymaganym do rejestracji konta i w celu utrzymania oraz rozwoju systemu LSI w celu utrzymania oraz rozwoju systemu LSI,
f. wszelkich własnych baz danych ekspertów,
g. danych pracowników oraz współpracowników NCBR,
h. systemów sieciowych NCBR,
i. wszelkich niewymienionych w pozostałych punktach Umowy danych - NCBR w przypadku wątpliwości co do roli jaką pełni w odniesieniu do danych osobowych osoby, której dane dotyczą - domyślnie dla zapewnienia najwyższego stopnia ochrony przetwarzania danych identyfikuje się jako ADO;
4) NCBR występuje w roli Podmiotu Przetwarzającego w ramach:
a. danych ekspertów, wnioskodawców, beneficjentów i partnerów Programu Operacyjnego Innowacyjny Rozwój (dalej jako „POIR”) dla których administratorem danych osobowych jest Minister Finansów, Funduszy i Polityki Regionalnej, z siedzibą w Warszawie 00-926, Wspólna 2/4. Minister jako administrator danych osobowych powierzył NCBR przetwarzanie określonych danych osobowych w związku z realizacją POIR na warunkach i w celach określonych w stosownym porozumieniu oraz umocował NCBR do dalszego powierzenia powierzonych danych,
b. danych ekspertów, wnioskodawców i beneficjentów Programu Operacyjnego Wiedza Edukacja Rozwój (dalej jako „POWER”) dla których administratorem danych osobowych jest Minister Finansów, Funduszy i Polityki Regionalnej, z siedzibą w Warszawie 00-926, Wspólna 2/4. Minister jako administrator danych osobowych powierzył NCBR przetwarzanie określonych danych osobowych w związku z realizacją POWER na warunkach i w celach określonych w stosownym porozumieniu oraz umocował NCBR do dalszego powierzenia powierzonych danych,
c. na podstawie wyjątku dotyczącego powierzenia przetwarzania danych osobowych wymienionego w art. 31 ust. 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (x.x. Xx. U. z 2016 r. poz. 922 z późn. zm.) w dacie jej obowiązywania co ma odniesienie do późniejszego przetwarzania danych osobowych jako PP przez NCBR oraz określenia prawidłowej podstawy prawnej przetwarzania danych osobowych wobec wszelkich powierzonych danych w ramach: Programu Operacyjnego Innowacyjna Gospodarka (dalej jako
„POIG”), Programu Operacyjnego Kapitał Ludzki (dalej jako „POKL”), Programu Operacyjnego Infrastruktura i Środowisko (dalej jako „POIŚ”), wobec których to danych administratorem danych osobowych jest Minister Finansów, Funduszy i Polityki Regionalnej, z siedzibą w Warszawie 00-926, Wspólna 2/4;
5) NCBR występuje w roli Dalszego Podmiotu Przetwarzającego w ramach:
a. danych ekspertów, wnioskodawców i beneficjentów Programu Operacyjnego Polska Cyfrowa (dalej jako „POPC”) dla których administratorem danych osobowych jest Minister Finansów, Funduszy i Polityki Regionalnej, z siedzibą w Warszawie 00-926, Wspólna 2/4. Minister jako administrator danych osobowych powierzył Centrum Projektów Polska Cyfrowa przetwarzanie określonych danych osobowych w związku z realizacją POPC na warunkach i w celach określonych w stosownym porozumieniu, zaś Centrum Projektów Polska Cyfrowa powierzyło przetwarzanie danych osobowych NCBR jako beneficjentowi, w zakresie wynikającym z umowy
Strona 39 z 46
o dofinansowanie, na mocy której NCBR umocowane jest do dalszego powierzenia przetwarzania danych osobowych;
6) NCBR oświadcza, iż spełnił wszelkie warunki dla dalszego przetwarzania danych osobowych i jest uprawniony do dalszego ich powierzenia [nazwa Wykonawcy].
7) dla przejrzystej systematyki niniejszej umowy NCBR przy uwzględnieniu różnych ról w odniesieniu do charakteru podmiotu w jakim występuje wobec osób, których dane są przetwarzane (punkty 3-5 Preambuły) oraz z uwagi na proces powierzenia przetwarzania danych osobowych nazywany będzie w dalszej części każdorazowo NCBR, zaś [nazwa Wykonawcy] – Podmiotem przetwarzającym.
§ 1
1. Przedmiotem przetwarzania są następujące wszystkie kategorie (rodzaje) danych osobowych wskazane w pkt 1 preambuły Umowy: nazwiska i imiona, ID pracownika, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, Krajowy Rejestr Urzędowy Podmiotów Gospodarki Narodowej REGON, miejsce pracy, zawód, stanowisko, wykształcenie, numer telefonu, numer konta bankowego, e-mail, tytuł zawodowy lub naukowy, stopień naukowy,
2. Przekazywane na podstawie niniejszej Umowy dane osobowych dotyczą następujących kategorii osób: beneficjenci, eksperci, wnioskodawcy, personel projektu, pracownicy, współpracownicy, kontrahenci, beneficjenci ostateczni, beneficjenci rzeczowi, interesanci, wnioskodawcy oraz podmioty współpracujące na podstawie innych podstaw prawnych z wymienionymi w niniejszym ustępie.
3. Przetwarzanie danych osobowych przez Podmiot przetwarzający na podstawie niniejszej Umowy odbywa się wyłącznie w celu realizacji Umowy głównej na polecenie NCBR.
4. Przetwarzanie danych osobowych w ramach niniejszej Umowy odnosi się do następujących kategorii przetwarzań wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, odpowiednio do zakresu współpracy z podmiotem przetwarzającym takich jak: zbieranie, utrwalanie, porządkowanie, przeglądanie, łączenie.
5. Umowa niniejsza jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz powiązanymi z nim powszechnie obowiązującymi przepisami prawa polskiego.
6. Dane osobowe przetwarzane są w celu realizacji Umowy głównej. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzanych mu danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej.
§ 2
1. Podmiot przetwarzający oświadcza, że zapewnia:
a. wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą,
Strona 40 z 46
b. dysponuje odpowiednimi środkami technicznymi i organizacyjnymi dla zapewnienia spełnienia wymogów oraz zapewnienia ochrony praw osób, których dotyczą dane osobowe, przekazywane na podstawie niniejszej umowy, zgodnie z właściwymi przepisami krajowymi, a także przyjętą przez Podmiot przetwarzający dokumentacją ochrony danych.
2. W celu prawidłowej realizacji Umowy głównej, NCBR powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w odniesieniu do rodzajów danych oraz kategorii osób, o których mowa w § 1 niniejszej Umowy.
§ 3
1. Podmiot przetwarzający zobowiązuje się niniejszym:
a) przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa oraz zasadami ochrony
określonymi w niniejszej Umowie;
b) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie NCBR – co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim wypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający zobowiązany jest poinformować NCBR o tym obowiązku prawnym, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny;
c) niezwłocznie informować NCBR jeżeli zdaniem Xxxxxxxx przetwarzającego, wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii Europejskiej lub przepisów krajowych o ochronie danych osobowych.
d) dopuścić do przetwarzania danych osobowych wyłącznie osoby posiadające upoważnienie nadane przez Podmiot przetwarzający oraz zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania nieograniczonej w czasie tajemnicy, a także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych;
e) niezwłocznie informować NCBR o obowiązku prawnym udostępnienia danych osobowych, chyba że powszechnie obowiązujące przepisy zabraniają udzielenia takiej informacji z uwagi na ważny interes publiczny;
f) podejmować wszelkie środki techniczne i organizacyjne wymagane na mocy Artykułu 32 RODO, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, w szczególności:
• pseudonimizację lub szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług
przetwarzania danych osobowych,
• zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;
g) przestrzegać warunków korzystania z usług innego Podmiotu przetwarzającego, o których mowa w Artykule 28 ust. 2 i 4 RODO, z zastrzeżeniem § 4 poniżej;
Strona 41 z 46
h) uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje,
pomagać NCBR wywiązać się z obowiązków określonych w Artykułach 32 – 36 RODO;
i) niezwłocznie informować NCBR o tym, że osoba której dane osobowych dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonania praw, o których mowa w rozdziale III RODO, jak również udostępniać treść tej korespondencji;
j) udostępniać NCBR wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Artykule 28 RODO oraz umożliwiać NCBR lub audytorowi upoważnionemu przez NCBR przeprowadzanie audytów, w tym inspekcji i przyczyniania się do nich;
k) po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający ma obowiązek usunąć lub zwrócić NCBR zależności od jego decyzji - wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć ich istniejące kopie, chyba że przepisy prawa powszechnego nakazują przechowywanie tych danych.
§ 4
1. Strony zgodnie postanawiają, że powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający podmiotowi trzeciemu (dalszemu przetwarzającemu) jest dopuszczalne wyłącznie po uzyskaniu pisemnej zgody NCBR w odniesieniu do konkretnego dalszego przetwarzającego, której wzór stanowi załącznik nr 1 do umowy.
2. W przypadku opisanym w ust. 1 Podmiot przetwarzający zobligowany będzie do umownego zobowiązania w formie pisemnej, każdego z dalszych przetwarzających do przestrzegania takich samych obowiązków i zasad, jakie dotyczą Podmiotu przetwarzającego względem NCBR na podstawie niniejszej umowy oraz przepisów RODO, a także innych odnośnych przepisów dotyczących ochrony danych osobowych.
3. Podmiot przetwarzający w razie skorzystania z usług dalszego przetwarzającego zobowiązuje się nadto zapewnić, by przetwarzanie danych przez ten podmiot odbywało się wyłącznie w celu i w zakresie opisanym w niniejszej Umowie.
§ 5
1. Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania, na zasadach, o których mowa w Artykule 30 ust. 2 RODO, który zawierać będzie informacje określone w lit. a – d Artykułu 30 ust. 2 RODO.
2. Podmiot przetwarzający w przypadkach, o których mowa w Artykule 37 ust. 1 RODO zobligowany będzie do wyznaczenia inspektora ochrony danych. O fakcie wyznaczenia inspektora ochrony danych Podmiot przetwarzający powiadomi NCBR, wskazując dane kontaktowe inspektora.
3. Podmiot przetwarzający zobowiązuje się do udzielania NCBR na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych, a w szczególności do niezwłocznego informowania o każdym przypadku naruszenia w zakresie ochrony danych osobowych.
4. Podmiot przetwarzający zobowiązany jest do wdrożenia i stosowania procedur służących wykrywaniu
naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Podmiot
Strona 42 z 46
przetwarzający zobowiązany jest do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie NCBR. Podmiot przetwarzający zobowiązany jest do udzielenia odpowiedzi w terminie 3 dni od przesłania przez NCBR żądania w tym zakresie.
5. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż 24 godziny od powzięcia wiadomości o naruszeniu, zgłasza ten fakt NCBR wskazując w zgłoszeniu:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można pozyskać informacje,
• opis możliwych konsekwencji naruszenia ochrony danych osobowych,
• opis środków zastosowanych lub proponowanych przez podmiot przetwarzający w celu zapobieżenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy: dla NCBR - xxx@xxxx.xxx.xx,
7. Jeżeli informacji, o których mowa w ust. 5 powyżej, nie da się ustalić w tym samym czasie, Podmiot
przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.
8. Do czasu przekazania Podmiotowi przetwarzającemu instrukcji postępowania w związku z naruszeniem ochrony danych osobowych, Podmiot przetwarzający podejmuje bez zbędnej zwłoki wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
9. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych osobowych powierzonych mu przez NCBR w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację na żądanie NCBR.
10. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania i zaniechanie.
11. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał niezgodnie ze zgodnymi z prawem instrukcjami NCBR lub wbrew tym instrukcjom.
12. Podmiot przetwarzający ma obowiązek współdziałać z NCBR na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio dalszy przetwarzający w stosunku do NCBR.
13. W razie stwierdzenia przez NCBR istnienia po stronie Podmiotu przetwarzającego uchybień w zakresie realizacji niniejszej Umowy prowadzących do naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych, NCBR uprawnione będzie do:
a) żądania niezwłocznego usunięcia uchybień;
b) rozwiązania niniejszej umowy oraz Umowy głównej bez zachowania okresu wypowiedzenia.
Strona 43 z 46
14. W przypadku, gdy NCBR zapłaci odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Podmiotu przetwarzającego zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.
15. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.
§ 6
1. Strony zgodnie postanawiają, że NCBR uprawniony będzie do dokonywania kontroli prawidłowości warunków przetwarzania powierzonych na podstawie niniejszej Umowy danych osobowych przez Podmiot przetwarzający, a Podmiot przetwarzający zobligowany będzie do współdziałania z NCBR w celu realizacji powyższego zobowiązania w możliwe szerokim zakresie, tj. w szczególności udostępni NCBR wszelkie informacje niezbędne do wykazania spełnienia przyjętych obowiązków oraz umożliwi NCBR lub audytorowi upoważnionemu przez NCBR przeprowadzanie audytów, w tym inspekcji.
2. Termin przeprowadzenia kontroli, o której mowa w ust. 1 zostanie ustalony z Podmiotem przetwarzającym, jednak kontrola nie może odbyć się później niż 5 dni roboczych od przekazania Podmiotowi przetwarzającemu pisemnej informacji.
3. Podmiot przetwarzający na każdy pisemny wniosek NCBR zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 dni roboczych od dnia otrzymania wniosku.
4. Po przeprowadzonym audycie przedstawiciel NCBR lub upoważniony przez NCBR przedstawiciel audytora, sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający zobowiązuje się w terminie uzgodnionym z NCBR dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
5. NCBR ma prawo żądania od Podmiotu przetwarzającego składania pisemnych wyjaśnień dotyczących
realizacji niniejszej Umowy.
6. Podmiot przetwarzający zobowiązany jest zapewnić w umowie z dalszym przetwarzającym, możliwość przeprowadzenia przez Podmiot przetwarzający audytu zgodności przetwarzania danych osobowych na zasadach określonych w niniejszej Umowie.
7. Koszty przeprowadzenia audytu ponosi podmiot, który zlecił przeprowadzenia audytu, bez prawa do
żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
§ 7
1. Zgodnie z art. 28 ust. 3 lit. e RODO, biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomaga NCBR poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
2. Podmiot przetwarzający zobowiązany jest do wsparcia NCBR w zakresie realizacji następujących praw podmiotów danych:
a. Obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO,
Strona 44 z 46
b. Prawa dostępu do danych osobowych,
c. Prawa do sprostowania danych osobowych,
d. Prawa do usunięcia danych osobowych,
e. Prawa do ograniczenia przetwarzania,
f. Obowiązku informowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,
g. Prawa do przenoszenia danych osobowych,
h. Prawa do sprzeciwu,
i. Kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych, w tym profilowaniu.
3. W przypadku otrzymania żądania od NCBR w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w ust. 2 Podmiot przetwarzający w terminie 5 dni od otrzymania żądania poinformuje NCBR o wykonaniu żądania.
4. Jeżeli Podmiot przetwarzający nie jest w stanie zrealizować żądania, o którym mowa w ust. 2, jest on zobowiązany do przygotowania i przekazania wyjaśnień opisujących przyczyny, dla których nie zrealizował żądania NCBR.
§ 8
Powierzenie przetwarzania trwa przez czas obowiązywania Umowy głównej.
§ 9
1. Zmiana niniejszej Umowy nastąpić może wyłącznie w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają odpowiednio przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.
3. Podmiot przetwarzający nie może przenieść praw i obowiązków wynikających z niniejszej umowy bez pisemnej zgody NCBR.
4. Podmiot przetwarzający oświadcza, że znane są mu sankcje przewidziane za naruszenie obowiązków w zakresie ochrony danych osobowych przewidziane w RODO. Jeżeli w wyniku naruszenia przez Xxxxxxx przetwarzający przepisów RODO oraz niniejszej Umowy, NCBR zobligowany będzie do zapłaty kary pieniężnej lub odszkodowania, Podmiot przetwarzający zobowiązuje się zwrócić NCBR wszelkie poniesione z tego tytułu koszty i wydatki.
5. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.
6. Integralną część Umowy stanowią załącznik:
1) Załącznik nr 1: kopia pełnomocnictwa
Strona 45 z 46
2) Załącznik nr 2: wzór zgody,
3) Załącznik nr 3: informacja odpowiadająca odpisowi aktualnemu z Rejestru Przedsiębiorców
Podmiotu przetwarzającego
……………………………………………. …………………………………………….
NCBR Podmiot przetwarzający
Strona 46 z 46