Projektowane Postanowienia Umowy UMOWA nr………………….. (dalej: „Umowa”)

Załącznik nr 2 do Zapytania Ofertowego

Projektowane Postanowienia Umowy

UMOWA nr…………………..

(dalej: „Umowa”)

zawarta w Warszawie, pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-801 Warszawa), adres:
ul. Xxxxxxxx 00, posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (Dz. U. z 2022 r. poz. 2279), zwanym dalej „Zamawiającym” lub „NCBR”, reprezentowanym przez:

Panią/Pana ……………… – Dyrektora Działu …………. Narodowego Centrum Badań i Rozwoju, działającą/ego na podstawie upoważnienia z dnia ………………………...

(kopia upoważnienia do reprezentowania Zamawiającego stanowi Załącznik nr 1 do Umowy),

a

<imię i nazwisko>,……………………, zamieszkały/a w …………………… (kod pocztowy ……………………), przy ul. ……………………., prowadzący/a działalność gospodarczą pod firmą …………………… adres do doręczeń: …………………… (kod pocztowy ……………………), przy ul. ……………………, miejscowość …………………………. wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP ……………………, REGON ……………………, zwany/a dalej „Wykonawcą”, reprezentowany/a przez:…………………..

lub

<nazwa> z siedzibą w …………………… (miejscowość) adres: kod pocztowy ……………………, ulica ……………………, miejscowość …………………………. wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy ……………………, pod nr KRS ………………………, o kapitale zakładowym w wysokości …………………… zł, opłaconym w całości, NIP ……………………, REGON ……………………, zwana dalej „Wykonawcą”, reprezentowana przez¹ :……………………

(wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy, kopia dokumentu, który upoważnia przedstawiciela Wykonawcy do zawarcia Umowy stanowią Załącznik nr 2 do Umowy)

zwanymi dalej łącznie „Stronami”, a każda z osobna „Stroną.”

Pełnomocnicy i osoby upoważnione do reprezentacji Stron oświadczają, że udzielone im pełnomocnictwa/upoważnienia nie wygasły, ani nie zostały odwołane, a ich treść nie uległa zmianie.

Strony oświadczają, że na podstawie art. 2 ust. 1 pkt 1 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (Dz. U. z 2022 r. poz. 1710, z późn. zm.), dalej jako: „PZP”, do Umowy nie stosuje się przepisów tej ustawy.

§ 1.

Przedmiot Umowy

1. Przedmiotem Umowy jest zakup usługi polegającej na wizualizacji interakcji i doświadczeń wnioskodawców we współpracy z NCBR w postaci „mapy podróży klienta” oraz opracowanie kompleksowego planu usprawnień dla NCBR w obszarze obsługi wnioskodawców i beneficjentów (dalej jako: „Usługa” „Przedmiot Umowy”).

2. Szczegółowy opis Przedmiotu Umowy i pozostałe wymagania Zamawiającego w zakresie wykonania Przedmiotu Umowy zawiera Zapytanie Ofertowe, stanowiące Załącznik nr 1 do Umowy oraz oferta Wykonawcy z dnia …………, stanowiąca Załącznik nr 2 do Umowy (dalej jako: „Oferta”).

§ 2.

Zobowiązania i zakres odpowiedzialności Wykonawcy

1. Na mocy Umowy Wykonawca zobowiązuje się do należytego wykonania Przedmiotu Umowy, w szczególności do:

1. wykonania Przedmiotu Umowy w terminach oraz zgodnie z wymaganiami określonymi w Umowie, Zapytaniu Ofertowym i Ofercie;

2. ponoszenia odpowiedzialności za wszelkie szkody, które Wykonawca lub działający na jego zlecenie podwykonawca lub inny podmiot działający na zlecenie Wykonawcy spowoduje podczas lub w związku z wykonywaniem prac będących Przedmiotem Umowy;

3. zwolnienia Zamawiającego od wszelkiej odpowiedzialności w przypadku jakichkolwiek roszczeń osób trzecich dotyczących Przedmiotu Umowy;

4. zapewnienia możliwości korzystania z Usługi przez podmioty gospodarczo powiązane z Zamawiającym², w tym w szczególności NCBR+ Sp. z o.o., bez dodatkowego wynagrodzenia dla Wykonawcy ani jego dodatkowej zgody, z zastrzeżeniem korzystania przez ww. podmioty z Usługi wyłącznie w celu realizacji zadań zleconych przez Zamawiającego, a nie realizacji zadań własnych ww. podmiotów.

2. Wykonawca oświadcza, że dysponuje odpowiednim potencjałem techniczno – organizacyjnym oraz personelem posiadającym odpowiednie kwalifikacje, wiedzę i doświadczenie pozwalające na należyte wykonanie Przedmiotu Umowy.

3. Wykonawca zobowiązuje się wykonać Umowę w sposób rzetelny i terminowy, z zachowaniem najwyższej staranności uwzględniającej zawodowy charakter prowadzonej przez niego działalności gospodarczej.

4. Wykonawca oświadcza, że nie są mu znane żadne przeszkody natury technicznej, prawnej ani finansowej, które mogą uniemożliwić wykonanie Przedmiotu Umowy.

§ 3.

Realizacja odbioru

1. W terminie do 5 (pięciu) dni roboczych od dnia dostawy Usługi, zostanie sporządzony i podpisany przez Zamawiającego protokół odbioru, zgodnie ze wzorem stanowiącym Załącznik nr 5 do Umowy (dalej „Protokół odbioru”). Sporządzony i podpisany Protokół odbioru zostanie przesłany Wykonawcy w formie elektronicznej (w postaci podpisanego skanu lub dokumentu opatrzonego Kwalifikowanym Podpisem Elektronicznym), na adres mailowy wskazany w § 10 ust. 2 pkt 1 Umowy. W terminie do 3 dni roboczych Wykonawca podpisze i prześle Zamawiającemu zwrotnie Protokół odbioru na adres mailowy, o którym mowa w § 10 ust. 2 pkt 2 Umowy.

2. W przypadku stwierdzenia w Protokole odbioru:

1. braków i/lub wad dostarczonej Usługi lub stwierdzenia jego dostarczenia przez Wykonawcę w sposób niezgodny z Umową, Zapytaniem Ofertowym lub Ofertą,

Wykonawca zobowiązuje się najdalej w ciągu 3 (trzech) dni roboczych do wymiany i dostarczenia Usługi zgodnej z Umową, Zapytaniem Ofertowym i Ofertą złożenia wyjaśnień odnośnie zgłoszonych przez Zamawiającego zastrzeżeń, bez prawa do odrębnego wynagrodzenia z tego tytułu. Termin, o którym mowa w zdaniu poprzednim, liczony będzie od dnia przekazania Wykonawcy Protokołu odbioru z zastrzeżeniami na adres mailowy wskazany w § 10 ust. 2 pkt 1 Umowy.

3. Stwierdzenie przez Zamawiającego dostarczenia kompletnej Usługi zgodnej z Umową, Zapytaniem Ofertowym i Ofertą będzie stanowić podstawę do sporządzenia Protokołu Odbioru stwierdzającego należyte wykonanie Przedmiotu Umowy, bez zastrzeżeń i wystawienia przez Wykonawcę faktury za realizację Przedmiotu Umowy.

4. W przypadku stwierdzenia niezgodności Usługi z Umową, Zapytaniem Ofertowym i Ofertą w toku realizacji Umowy (np. Usługa o innych parametrach niż wymagany) lub wad dostarczonej Usługi, Zamawiający prześle reklamację na podany przez Wykonawcę w § 10 ust. 1 pkt 1 Umowy adres e-mail nie później niż w terminie 3 (trzech) dni roboczych od dnia, w którym Zamawiający powziął informację o istniejących niezgodnościach. Wykonawca zobowiązuje się rozpatrzyć reklamację najpóźniej w terminie 7 (siedmiu) dni roboczych od dnia jej otrzymania i w przypadku jej zasadności dokonać wymiany niezgodnego z Umową Usługi na Usługę o odpowiednich parametrach, na własny koszt i ryzyko.

5. W przypadku nie usunięcia wad/braków lub nie złożenia wyjaśnień przez Wykonawcę Zamawiający ma prawo odstąpić od Umowy w terminie 30 (trzydziestu) dni kalendarzowych od bezskutecznego upływu terminu, o którym mowa w ust. 4 oraz naliczyć Wykonawcy kary umowne, o jakich mowa w § 8 ust. 4 Umowy.

6. Strony uzgadniają, że w razie uchylania się przez Wykonawcę od podpisania Protokołu odbioru odnośnie danej części Przedmiotu Umowy w terminie wskazanym powyżej, Zamawiający może z upływem tego terminu sporządzić jednostronny Protokół odbioru.

§ 4.

Wynagrodzenie i płatności

1. Strony zgodnie ustalają, że z tytułu należytego wykonania Przedmiotu Umowy Zamawiający zapłaci Wykonawcy maksymalne wynagrodzenie w łącznej kwocie: …………. (słownie: ……………………………) złotych netto, powiększone o należny podatek VAT, tj. ……………. (słownie: ……………………………………………) złotych brutto.

2. Zapłata wynagrodzeń, o których mowa w ust. 1, nastąpi po stwierdzeniu przez Zamawiającego należytego wykonania danej części Przedmiotu Umowy bez zastrzeżeń, w Protokołach odbioru, o których mowa w § 4 Umowy, na podstawie prawidłowo wystawionej i doręczonej Zamawiającemu faktury VAT w formie elektronicznej za pośrednictwem adresu e-mail: xxxxxxx@xxxx.xxx.xx lub odebranej przez Zamawiającego prawidłowo wystawionej ustrukturyzowanej faktury elektronicznej przesłanej przez Wykonawcę za pośrednictwem Platformy Elektronicznego Fakturowania, z zastrzeżeniem art. 4 ustawy z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2020 poz. 1666 z późn, ze zm.), zawierającej prawidłowy numer rachunku bankowego, znajdujący się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych, w terminie do 30 (trzydziestu) dni kalendarzowych od dnia jej doręczenia lub odebrania przez Zamawiającego. Zapłata wynagrodzenia nastąpi przelewem na rachunek bankowy wskazany na fakturze.

3. Brak rachunku bankowego Wykonawcy, znajdującego się w wykazie podatników VAT udostępnianym w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych, uprawnia Zamawiającego do poinformowania o tym fakcie Wykonawcę droga elektroniczną i wstrzymania płatności z faktury do czasu spełnienia wymogów opisanych powyżej, a termin płatności tej faktury ulega wydłużeniu o czas tego opóźnienia. W takim przypadku Wykonawcy nie przysługują odsetki za nieterminową płatność ani uprawnienie do wstrzymania lub braku realizacji obowiązków wynikających z Umowy.

4. W przypadku gdy termin zapłaty za fakturę, w związku z wydłużeniem terminu płatności, o którym mowa w ust. 6 powyżej, przekroczyłby 30 (trzydzieści) dni kalendarzowych, do którego zachowania Zamawiający jest zobowiązany na podstawie art. 8 ust. 2 ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych (Dz. U. z 2023 r. poz. 711 z późn. zm.), liczonych od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury, Zamawiający zrealizuje płatność na rachunek wskazany przez Wykonawcę i na podstawie art. 117 ab § 1 w związku z § 3 pkt 2 ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (tj. Dz. U. z 2022 r. poz. 2651 z późn. zm.) złoży zawiadomienie o zapłacie należności na ten rachunek do naczelnika urzędu skarbowego właściwego dla Wykonawcy w terminie 7 (siedmiu) dni kalendarzowych od dnia zlecenia przelewu oraz poinformuje Wykonawcę drogą elektroniczną o płatności.

5. Wykonawca na fakturze, w której kwota należności ogółem stanowi kwotę, o której mowa w art. 19 pkt 2 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz.U. z 2023 r. poz. 221 z późn. zm.), obejmującą dokonaną na rzecz Zamawiającego dostawę towarów/świadczenie usług, o których mowa w załączniku nr 15 do ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2022 r. poz. 931 z późn. zm.) umieści wyrazy „mechanizm podzielonej płatności” zgodnie z art. 106e ust. 1 pkt 18a ww. ustawy.

6. Nieprawidłowo wystawiona faktura nie będzie stanowiła podstawy do zapłaty wynagrodzenia i zostanie zwrócona Wykonawcy. W takim przypadku, termin zapłaty należnego Wykonawcy wynagrodzenia biegnie od dnia doręczenia Zamawiającemu prawidłowo wystawionej faktury.

7. Za dzień zapłaty uważa się dzień wydania dyspozycji przelewu z rachunku bankowego Zamawiającego.

8. Wynagrodzenie, o którym mowa w ust. 1, zaspokaja wszelkie roszczenia Wykonawcy wobec Zamawiającego z tytułu wykonania Umowy, w szczególności obejmuje wynagrodzenie z tytułu przeniesienia na Zamawiającego majątkowych praw autorskich, udzielenia licencji, zgód i zezwoleń, o których mowa w § 6. Umowy, na zasadach tam opisanych, a także przeniesienia na Zamawiającego własności nośników, na których utrwalono Utwory, oraz że pokrywa wszelkie koszty, jakie Wykonawca poniesie w związku z realizacją Umowy.

§ 5.

Prawa własności intelektualnej

1. Wykonawca zobowiązuje się, że w ramach zakupu Usługi nabywanej na podstawie Umowy, Zamawiający będzie uprawniony do korzystania z Usługi z jej wszystkim funkcjonalnościami na warunkach określonych przez Wykonawcę, zgodnie z celem określonym Umową.

2. W ramach wynagrodzenia określonego w § 5 Umowy Wykonawca przenosi na Zamawiającego autorskie prawa majątkowe do utworów wytworzonych dla Zamawiającego w ramach realizacji niniejszej Umowy (dalej: „Utwory”), które stanowią utwory w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2022 r. poz. 2509), choćby w postaci nieukończonej, na następujących polach eksploatacji:

1. utrwalanie i zwielokrotnianie, w szczególności wytwarzanie dowolną techniką egzemplarzy Utworów, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową;

2. w zakresie obrotu oryginałem albo egzemplarzami, na których Utwór utrwalono – wprowadzenie do obrotu, użyczenie, najem, dzierżawa Utworu w oryginale, jego egzemplarzy bądź kopii cyfrowych;

3. udostępnianie publicznie, w tym wystawianie, wyświetlanie, odtwarzanie oraz nadawanie i reemitowanie, a także publiczne udostępnianie w taki sposób, aby każdy mógł mieć do Utworu dostęp w miejscu i w czasie przez siebie wybranym;

4. dokonywanie, rozpowszechnianie i wykorzystywanie opracowań Utworu, w tym wszelkich modyfikacji, zmian i ulepszeń Utworu oraz wyrażanie zgody na dokonywanie takich czynności przez inne osoby w pełnym zakresie;

5. korzystanie z Utworów na własny użytek oraz użytek osób trzecich w celach związanych z realizacją zadań, w tym zadań publicznych Zamawiającego.

3. Wraz z przeniesieniem autorskich praw majątkowych do Utworów, Wykonawca przeniesie na Zamawiającego wyłączne prawo zezwalania na wykonywanie autorskiego prawa zależnego do Utworów (tj. do rozporządzania i korzystania z opracowań Utworów) - na wskazanych w ust. 3 powyżej polach eksploatacji.

4. Przeniesienie autorskich praw majątkowych oraz przeniesienie wyłącznego prawa zezwalania na wykonywanie autorskiego prawa zależnego, o których mowa wyżej, nastąpi z chwilą przekazania Zamawiającemu egzemplarzy Utworów w formie ustalonej przez Xxxxxx.

5. Z chwilą, o której mowa w ust. 5. powyżej, Wykonawca przenosi na Zamawiającego własność nośników, na których Utwory zostały utrwalone, o ile wydanie egzemplarzy Utworów następuje przez przekazanie ich nośników w formie fizycznej, a nie poprzez udostępnienie Utworów w systemie informatycznym (w tym umożliwienie ich pobrania).

6. Wykonawca zobowiązuje się, że osoby trzecie uprawnione z tytułu osobistych praw autorskich do Utworów nie będą wykonywać swoich osobistych praw autorskich w stosunku do Zamawiającego. Zarazem Wykonawca upoważnia Xxxxxxxxxxxxx oraz jego następców prawnych lub podmioty przez niego upoważnione do wykonywania tych praw w imieniu tych osób.

7. W przypadku wystąpienia przez osobę trzecią wobec Zamawiającego z roszczeniami z tytułu naruszenia praw autorskich, Zamawiający poinformuje Wykonawcę, zaś Wykonawca niezwłocznie doprowadzi do ich wycofania lub zaspokoi te roszczenia, zwalniając Zamawiającego z odpowiedzialności wobec osoby trzeciej. O ile zaspokojenie roszczenia osoby trzeciej nie będzie możliwe w inny sposób, Wykonawca niezwłocznie zmodyfikuje (zapewni modyfikację) Utworów tak, by wyeliminować takie naruszenie.

8. Wykonawca zapewnia, że Utwory nie naruszają praw osób trzecich, w szczególności w sposób, który mógłby spowodować wyłączenie lub znaczne ograniczenie możliwości korzystania z Przedmiotu Umowy przez Zamawiającego zgodnie z jego celem i przeznaczeniem.

9. Zamawiający ma prawo do wykonywania posiadanych autorskich praw majątkowych do Utworów bez jakichkolwiek ograniczeń niezastrzeżonych w Umowie, w szczególności bez ograniczeń czasowych i terytorialnych, samodzielnie lub może upoważnić do tego osoby trzecie.

§ 6.

Odstąpienie od Umowy

1. Zamawiający może odstąpić od Umowy ze skutkiem na dzień złożenia oświadczenia o odstąpieniu w przypadku gdy zachodzi co najmniej jedna z poniższych okoliczności:

1. Wykonawca nie wykonuje Umowy lub rażąco narusza postanowienia Umowy – w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

2. Wykonawca nie dotrzymał terminów, o których mowa w § 3 Umowy - w terminie 30 (trzydziestu) dni kalendarzowych od bezskutecznego upływu danego terminu;

3. Wykonawca dokonał zmian organizacyjno- prawnych w swoim statusie zagrażających realizacji Umowy lub nie poinformował Zamawiającego o zamiarze dokonania zmian prawno-organizacyjnych, które mogą mieć wpływ na realizację Umowy - w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

4. Wykonawca zaprzestał realizacji Umowy i nie podjął jej w terminie wyznaczonym przez Zamawiającego pomimo wezwania go do tego przez Zamawiającego - w terminie 30 (trzydziestu) dni kalendarzowych od dnia bezskutecznego upływu terminu wyznaczonego w wezwaniu;

5. w celu zawarcia Umowy Wykonawca przedstawił fałszywe oświadczenia lub dokumenty – w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

6. podane przez Wykonawcę w Ofercie informacje nie odpowiadają stanowi faktycznemu – w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

7. wystąpią inne nieprawidłowości w realizacji Umowy, które czynią dalszą realizację Umowy niemożliwą lub niecelową - w terminie 30 (trzydziestu) dni kalendarzowych od dnia powzięcia wiadomości o powyższych okolicznościach;

8. wystąpienia niezależnych od którejkolwiek ze Stron okoliczności uniemożliwiających wykonanie Umowy lub jej części przez Wykonawcę – w terminie 30 (trzydziestu) dni kalendarzowych od dnia zaistnienia tych okoliczności;

9. wystąpienia istotnej okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy lub dalsze wykonanie Umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa lub bezpieczeństwu publicznemu. Odstąpienie od Umowy w tym wypadku może nastąpić w terminie 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o tych okolicznościach;

2. W przypadku odstąpienia od Umowy przez Zamawiającego, Wykonawca może żądać od Zamawiającego wyłącznie wynagrodzenia z tytułu należytego wykonania części Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy. Pomimo odstąpienia od Umowy, Zamawiający zachowuje prawa do rezultatu świadczenia zrealizowanego przez Wykonawcę na podstawie Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy. W przypadku ewentualnych wątpliwości, po ustaniu obowiązywania Umowy w związku z odstąpieniem, Strony zgodnie podejmą działania, celem ustalenia zakresu świadczenia zrealizowanego przez Wykonawcę na podstawie Umowy do momentu złożenia przez Zamawiającego oświadczenia o odstąpieniu od Umowy oraz wysokości wynagrodzenia przysługującego Wykonawcy w powyższym zakresie.

3. Odstąpienie od Umowy następuje w formie pisemnej pod rygorem nieważności.

4. Odstąpienie od Umowy nie powoduje odpowiedzialności odszkodowawczej Zamawiającego w związku ze skróceniem okresu obowiązywania Umowy.

§ 7.

Kary umowne

1. Za każdy rozpoczęty dzień zwłoki w terminie dostawy Usługi, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 0,5 % wynagrodzenia brutto, wskazanego w § 5 ust. 1 Umowy.

2. W razie odstąpienia od Umowy z przyczyn leżących po stronie Wykonawcy, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 5 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy.

3. Za każdy inny przypadek nienależytego wykonania Przedmiotu Umowy, niż określony w ust. 2 i 3, Zamawiający ma prawo do naliczenia Wykonawcy kary umownej w wysokości 2 % wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy.

4. Za nienależyte wykonanie Przedmiotu Umowy należy uznać w szczególności:

1. dostarczenie Systemu o innych parametrach niż wymagane w Zapytaniu Ofertowym;

2. wykonanie Przedmiotu Umowy z naruszeniem postanowień Umowy, w tym Zapytania Ofertowego i Oferty.

5. Wykonawca wyraża zgodę na potrącanie naliczonych kar umownych przez Zamawiającego, z kwoty przysługującego mu wynagrodzenia netto, o którym mowa w § 5 ust. 1 Umowy, choćby którakolwiek z wierzytelności przedstawionych do potrącenia przez Zamawiającego była niewymagalna lub niezaskarżalna. W przypadku braku pokrycia nałożonych kar umownych w kwotach pozostałych do zapłaty, Wykonawca zobowiązuje się do uregulowania kary w terminie 14 (czternastu) dni kalendarzowych od dnia doręczenia Wykonawcy noty obciążeniowej.

6. Zapłata kar umownych nie zwalnia Wykonawcy od obowiązku wykonania Umowy.

7. Zamawiający zastrzega sobie możliwość dochodzenia odszkodowania przewyższającego wysokość zastrzeżonych kar umownych, aż do pełnej wysokości poniesionej szkody, na zasadach ogólnych.

8. Łączna wartość kar umownych nałożonych na Wykonawcę nie może przekroczyć 20 % wynagrodzenia, o którym mowa w § 5 ust. 1.

§ 8.

Informacje poufne

1. Wraz z zawarciem Umowy, Strony zawrą umowę o zachowaniu poufności informacji, która stanowi Załącznik nr 6 do Umowy.

§ 9.

Osoby do kontaktów i ochrona danych osobowych

1. Strony postanawiają, że do kontaktów pomiędzy Stronami oraz do podejmowania bieżących uzgodnień związanych z realizacją Umowy wyznaczeni są:

1. ze strony Wykonawcy:

1. ............................................., tel.:...................., e-mail: ................................ lub

2. ............................................., tel.:...................., e-mail: ................................. 

2. ze strony Zamawiającego:

1. ............................................., tel.:...................., e-mail: ................................ lub

2. ............................................., tel.:...................., e-mail: ................................. 

2. Osobą uprawnioną do podpisywania Protokołów odbioru jest:

1. ze strony Wykonawcy:

1. ............................................., tel.:...................., e-mail: ................................ lub

2. ............................................., tel.:...................., e-mail: ................................. 

2. ze strony Zamawiającego:

1. ............................................., tel.:...................., e-mail: ................................ lub

2. ............................................., tel.:...................., e-mail: ................................. 

3. Zmiana danych, o których mowa w ust. 1 i 2, wymaga poinformowania drugiej Strony w formie elektronicznej na adres wskazany w § 10 ust. 1 Umowy. Zmiana taka nie stanowi zmian postanowień Umowy w rozumieniu § 13 ust. 1.

4. Uznaje się, iż dotarcie informacji do osób wskazanych w ust. 1, jest poinformowaniem Stron Umowy.

5. Dane osobowe przedstawicieli Stron, w tym wymienionych w § 10 ust. 1 i 2 Umowy udostępniane będą drugiej Stronie, która stanie się ich administratorem danych i przetwarzane będą przez nią w celu realizacji Umowy.

6. Informacje dotyczące przetwarzania danych osobowych przedstawicieli Wykonawcy przez Zamawiającego jako Administratora Danych Osobowych znajdują się w Klauzuli informacyjnej o której mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), która stanowi Załącznik nr 8 do Umowy.

7. W przypadku, gdy Zamawiający będzie przetwarzał w ramach Umowy dane pracowników lub współpracowników Wykonawcy oraz podwykonawców, w tym osób, o których mowa w § 10 ust. 1 pkt 1 oraz § 10 ust. 2 pkt 1 Umowy, Zamawiający zrealizuje obowiązek informacyjny, o którym mowa w art. 14 RODO, poprzez przekazanie klauzuli informacyjnej stanowiącej Załącznik nr 9 do Umowy i zobowiązuje Wykonawcę do udostępnienia tych informacji wskazanym osobom w imieniu Xxxxxxxxxxxxx.

8. Zmiana załączników wskazanych w ust. 8 i 9 powyżej nie wymaga zmiany Umowy, Strony mogą aktualizować treść wyżej wskazanych klauzul informacyjnych w formie dokumentowej.

9. Z uwagi na charakter przedmiotu Umowy, przed przekazaniem przez Zamawiającego Wykonawcy jakichkolwiek danych osobowych, Strony zawierają umowę powierzenia przetwarzania danych osobowych lub umowę dalszego przetwarzania danych osobowych. Typ zawartej umowy zależy od tego, czy Zamawiający jest administratorem powierzanych danych osobowych, czy też podmiotem przetwarzającym. Wzór umowy powierzenia (dalszego powierzenia) przetwarzania danych osobowych stanowi Załącznik nr 10 do Umowy.

10. Przed powierzeniem Wykonawcy przetwarzania danych osobowych, Wykonawca zostanie zweryfikowany przez Zamawiającego w oparciu o arkusz weryfikacji podmiotu przetwarzającego, który stanowi załącznik nr 11 do Umowy.

§ 10.

Okres obowiązywania Umowy

1. Umowa zostaje zawarta na czas oznaczony, to jest od dnia zawarcia Umowy do dnia wykonania wszystkich obowiązków z niej wynikających.

2. Przedmiot Umowy będzie realizowany przez okres 5 (pięciu) miesięcy liczonych od dnia podpisania Protokołu odbioru, o którym mowa w § 3 ust. 1.

§ 11.

Klauzula salwatoryjna

1. W przypadku stwierdzenia, że którekolwiek z postanowień Umowy jest z mocy prawa nieważne lub bezskuteczne, okoliczność ta nie będzie miała wpływu na ważność, skuteczność lub możliwość wyegzekwowania pozostałych postanowień, chyba że z okoliczności wynikać będzie w sposób oczywisty, że bez postanowień nieważnych lub bezskutecznych, Umowa nie zostałaby zawarta.

2. W sytuacji, o której mowa w ust. 1, Xxxxxx zobowiązują się zawrzeć aneks do Umowy, w którym sformułują postanowienia zastępcze, których cel gospodarczy i ekonomiczny będzie równoważny lub maksymalnie zbliżony do celu postanowień nieważnych lub bezskutecznych.

3. W przypadku nieosiągnięcia porozumienia do treści postanowień zastępczych zastosowanie będą miały przepisy kodeksu cywilnego.

§ 12.

Zmiany Umowy

1. Z zastrzeżeniem wyjątków wskazanych w Umowie, zmiana treści Umowy jest dokonywana przez umocowanych przedstawicieli Zamawiającego i Wykonawcy i wymaga zachowania formy pisemnej lub elektronicznej pod rygorem nieważności.

2. Umowa może zostać zmieniona w sytuacji gdy:

1. nastąpi zmiana powszechnie obowiązujących przepisów prawa w zakresie mającym wpływ na realizację Umowy;

2. wynikną rozbieżności lub niejasności w Umowie, których nie można usunąć w inny sposób, a zmiana Umowy będzie umożliwiać usunięcie rozbieżności i doprecyzowanie Umowy w celu jednoznacznej interpretacji jej postanowień przez Xxxxxx;

3. zaistnieje konieczność wprowadzenia zmiany terminu realizacji Przedmiotu Umowy;

4. zaistnieje działanie siły wyższej rozumianej jako nadzwyczajne okoliczności niezależne od Stron, których nie można było przewidzieć, jak x.xx.: wojna, stany wyjątkowe, strajki generalne, blokady, embargo, działania sił przyrody o charakterze klęsk żywiołowych jak huragany, powodzie, trzęsienia ziemi, pożary, epidemie, pandemie itp., uniemożliwiającej realizację w części lub w całości Przedmiotu Umowy;

5. wystąpią uzasadnione zmiany w zakresie sposobu realizacji, w tym zmiana miejsca lub terminu realizacji Przedmiotu Umowy;

6. zaistnieją nadzwyczajne okoliczności, których Zamawiający działając z należytą starannością nie mógł przewidzieć, powodujące że realizacja Przedmiotu Umowy w sposób i w zakresie określonym pierwotnie w Umowie nie leży w interesie publicznym,

7. nastąpi konieczność zmiany warunków i terminów płatności.

3. Strony mają prawo do przedłużenia terminu zakończenia wykonywania Przedmiotu Umowy o okres trwania przyczyn, z powodu których nie była możliwa realizacja Przedmiotu Umowy, w następujących sytuacjach:

1. wystąpią opóźnienia w dokonaniu określonych czynności lub ich zaniechanie przez właściwe organy administracji państwowej, które nie są następstwem okoliczności, za które Wykonawca ponosi odpowiedzialność,

2. gdy wystąpią opóźnienia w wydawaniu decyzji, zezwoleń, uzgodnień, itp., do wydania których właściwe organy są zobowiązane na mocy przepisów prawa, jeżeli opóźnienie przekroczy okres, przewidziany w przepisach prawa, w którym ww. decyzje powinny zostać wydane oraz nie są następstwem okoliczności, za które Wykonawca ponosi odpowiedzialność,

3. wystąpienia zdarzeń natury siły wyższej uniemożliwiającej wykonanie Przedmiotu Umowy zgodnie z jej postanowieniami.

4. W razie wątpliwości, przyjmuje się, że nie stanowią zmiany Umowy następujące zmiany:

1. danych związanych z obsługą administracyjno-organizacyjną Umowy,

2. danych teleadresowych,

3. danych rejestrowych,

4. będące następstwem sukcesji uniwersalnej po jednej ze stron Umowy,

5. w zakresie zmiany treści załączników nr 8 i 9 do Umowy.

5. Zamawiający dopuszcza zmianę postanowień Umowy w stosunku do treści Oferty w sytuacji, gdy nie była możliwa do przewidzenia na etapie zawarcia Umowy, a ponadto jej dokonanie podyktowane jest zmianą stanu prawnego w zakresie mającym wpływ na realizację Umowy, tj. w szczególności zmianą:

1. stawki podatku od towarów i usług oraz podatku akcyzowego;

2. wysokości minimalnego wynagrodzenia za pracę albo wysokości minimalnej stawki godzinowej, ustalonych na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz.U. z 2020 r. poz. 2207);

3. zasad podlegania ubezpieczeniom społecznym lub ubezpieczeniu zdrowotnemu lub wysokości stawki składki na ubezpieczenia społeczne lub zdrowotne;

4. zasad gromadzenia i wysokości wpłat do pracowniczych planów kapitałowych, o których mowa w ustawie z dnia 4 października 2018 r. o pracowniczych planach kapitałowych (Dz. U. z 2023 r. poz. 46)

- jeżeli zmiany te będą miały wpływ na koszty wykonania Przedmiotu Umowy przez Wykonawcę. Każda ze Stron Umowy, w terminie 30 (trzydziestu) dni kalendarzowych od dnia wejścia w życie przepisów dokonujących tych zmian, może zwrócić się do drugiej Strony o przeprowadzenie negocjacji w sprawie odpowiedniej zmiany wysokości wynagrodzenia.

6. Zamawiający przewiduje możliwość zmiany wysokości wynagrodzenia należnego Wykonawcy (jego zwiększenia lub zmniejszenia), w przypadku gdy w okresie obowiązywania Umowy wystąpią zmiany ceny materiałów lub kosztów związanych z realizacją Przedmiotu Umowy przez Wykonawcę, a zmiany te nie były możliwe do przewidzenia na etapie zawarcia Umowy, na następujących zasadach:

1. dla potrzeb wyliczenia zmiany wynagrodzenia Strony przyjmują ceny według szybkiego szacunku wskaźnika cen towarów i usług konsumpcyjnych opublikowanego przez Prezesa Głównego Urzędu Statystycznego w miesiącu, w którym została podjęta decyzja o waloryzacji, w porównaniu z analogicznym miesiącem ub. roku;

2. zmiana wynagrodzenia może nastąpić pod warunkiem, że zmiana wskaźnika XXX, o której mowa w pkt 3 i 4, ma rzeczywisty wpływ na zmianę cen materiałów lub kosztów wykonania zamówienia będącego Przedmiotem niniejszej Umowy;

3. zmiana wynagrodzenia może nastąpić, jeśli wskaźnik GUS, o którym mowa w pkt 1, uprawniający do zwiększenia wynagrodzenia Wykonawcy, wzrośnie o co najmniej 10% (inflacja);

4. zmiana wynagrodzenia może nastąpić, jeśli wskaźnik GUS, o którym mowa w pkt 1, uprawniający do zmniejszenia wynagrodzenia Wykonawcy, spadnie o co najmniej 10% (deflacja);

5. w przypadku, o którym mowa w pkt 3, Wykonawca składa do Zamawiającego pisemny wniosek o zmianę wynagrodzenia, uzasadniając, że zaistniała zmiana wskaźnika, o której mowa w pkt 3, ma rzeczywisty wpływ na koszty wykonania Przedmiotu Umowy. Zamawiający zastrzega sobie prawo do żądania przedstawienia przez Wykonawcę dokumentów potwierdzających zasadność zwrócenia się Wykonawcy o zmianę wynagrodzenia, w szczególności rzeczywistego zastosowania określonych materiałów lub poniesienie poszczególnych kosztów w ramach realizacji Przedmiotu Umowy. Zmiana wynagrodzenia nastąpi na podstawie aneksu do Umowy zawartego w formie pisemnej pod rygorem nieważności;

6. w przypadku, o którym mowa w pkt 4, Zamawiający przekazuje do Wykonawcy informację o uzasadnionym zmniejszeniu należnego mu wynagrodzenia wynikającym ze spadku wartości wskaźnika XXX, o której mowa w pkt 4;

7. zmiana wynagrodzenia może być dokonana wyłącznie raz w roku kalendarzowym przez cały okres obowiązywania Umowy;

8. zwiększenie lub zmniejszenie wynagrodzenia przez Strony może być dokonane nie wcześniej niż od drugiego roku realizacji Umowy;

9. maksymalna wartość zmiany wynagrodzenia nie może przekroczyć 10% całkowitego maksymalnego wynagrodzenia brutto, określonego w § 5 ust. 1 Umowy.

7. Wykonawca, którego wynagrodzenie zostało zmienione zgodnie z postanowieniami ust. 7, zobowiązany jest do zmiany wynagrodzenia przysługującego podwykonawcy, z którym zawarł umowę, w zakresie odpowiadającym zmianom cen materiałów lub kosztów dotyczących zobowiązania podwykonawcy.

§ 13.

Podwykonawcy

1. Wykonawca może powierzyć wykonanie części Przedmiotu Umowy innemu podmiotowi wyłącznie na zasadach opisanych w niniejszym paragrafie.

2. Wykonawca powierza realizację części Przedmiot Umowy następującym podwykonawcom:

   1. [wskazanie firmy, danych kontaktowych, osób reprezentujących podwykonawcę] ________________ - w zakresie __________________,

   2. [wskazanie firmy, danych kontaktowych, osób reprezentujących podwykonawcę] ________________ - w zakresie __________________,

3. Wykonawca zobowiązany jest do poinformowania Zamawiającego w formie pisemnej lub za pomocą poczty elektronicznej, na adres wskazany w § 10 ust. 1 pkt 2 Umowy, o każdej zmianie danych dotyczących podwykonawców, jak również o ewentualnych nowych podwykonawcach, którym zamierza powierzyć prace w ramach realizacji Umowy.

4. Informacja o zmianie danych dotyczących podwykonawców powinna zostać przekazana Zamawiającemu w terminie 5 (pięciu) dni kalendarzowych od daty zmiany danych, w celu zachowania niezakłóconej współpracy.

5. Informacja o zamiarze powierzenia prac nowemu podwykonawcy powinna zostać przekazana Zamawiającemu nie później niż na 2 (dwa) dni kalendarzowe przed planowanym powierzeniem mu realizacji prac. Wykonawca zobowiązany jest do uzyskania uprzedniej zgody Zamawiającego wyrażonej w formie pisemnej pod rygorem nieważności na powierzenie prac nowemu podwykonawcy lub nowym podwykonawcom.

6. W przypadku niewykonania zobowiązania, o którym mowa w ust. 3 - 5 powyżej, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 1 000,00 (jeden tysiąc) złotych za każdy dzień zwłoki w przekazaniu informacji.

7. Wykonawca zapewnia, że podwykonawcy, z których świadczeń będzie korzystał w trakcie wykonywania niniejszej Umowy będą podmiotami profesjonalnie świadczącymi zlecone im przez Wykonawcę zadania oraz posiadającymi wszelkie niezbędne kwalifikacje do wykonywania zleconych im przez Wykonawcę zadań.

8. Korzystając w ramach wykonywania niniejszej Umowy ze świadczeń podwykonawców, Wykonawca zobowiązany jest nałożyć na takiego podwykonawcę obowiązek przestrzegania wszelkich zasad, reguł i zobowiązań określonych w Umowie, w zakresie, w jakim odnosić się one będą do zakresu prac danego podwykonawcy.

9. Wykonawca pozostaje gwarantem wykonywania i przestrzegania przez podwykonawców wszelkich zasad, reguł i zobowiązań określonych w Umowie.

10. Jeżeli zmiana albo rezygnacja z podwykonawcy dotyczy podmiotu, na którego zasoby Wykonawca powoływał się, na zasadach określonych w art. 118 ust. 1 PZP, w celu wykazania spełniania warunków udziału w postępowaniu, Wykonawca jest obowiązany wykazać Zamawiającemu, że proponowany inny podwykonawca lub Wykonawca samodzielnie spełnia je w stopniu nie mniejszym niż podwykonawca, na którego zasoby Wykonawca powoływał się w trakcie postępowania o udzielenie zamówienia.

11. Zmiany, o których mowa w niniejszym paragrafie nie wymagają dokonywania zmiany Umowy w formie aneksu.

12. Powierzenie wykonania części Przedmiotu Umowy podwykonawcom nie zwalnia Wykonawcy z odpowiedzialności za należyte wykonanie Umowy. Wykonawca w pełni i wyłącznie odpowiada za działania lub zaniechania podwykonawców jak za własne działania lub zaniechania.

13. Korzystanie ze świadczeń podwykonawców niezgodnie z postanowieniami niniejszego paragrafu traktowane będzie jako istotne naruszenie warunków Umowy oraz może stanowić przyczynę odstąpienia od Umowy przez Zamawiającego w terminie 30 (trzydziestu) dni kalendarzowych od powzięcia wiadomości o naruszeniu przez Wykonawcę postanowień niniejszego paragrafu.

§ 14.

Postanowienia końcowe

1. Prawa i obowiązki Wykonawcy wynikające z Umowy oraz wierzytelności wobec Zamawiającego nie mogą być przenoszone na osoby trzecie bez uprzedniej zgody Zamawiającego, wyrażonej na piśmie, pod rygorem nieważności.

2. Wszelkie spory wynikłe w związku z realizacją Umowy Strony będą się starały rozwiązać polubownie. W przypadku braku możliwości osiągnięcia przez Xxxxxx konsensusu w sposób wskazany w zdaniu poprzedzającym, spory te będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.

3. W sprawach nieuregulowanych Umową mają zastosowanie powszechnie obowiązujące przepisy prawa polskiego.

4. Umowa zostanie zawarta w formie papierowej / elektronicznej w rozumieniu art. 78¹ § 1 Kodeksu cywilnego, co oznacza, że zawarcie umowy nastąpi w momencie opatrzenia Umowy ostatnim wymaganym do jej zawarcia kwalifikowanym podpisem elektronicznym. W przypadku zawarcia Umowy w formie elektronicznej każda ze Stron będzie uprawniona do druku dowolnej liczby egzemplarzy Umowy.

5. Umowa zostaje zawarta z dniem podpisania jej przez ostatnią ze Stron.

6. Załącznikami do Umowy są następujące dokumenty:

1. Załącznik nr 1 – kopia upoważnienia do reprezentowania Zamawiającego;

2. Załącznik nr 2 – wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub wydruk informacji odpowiadającej odpisowi aktualnemu z rejestru przedsiębiorców KRS Wykonawcy, kopia dokumentu, który upoważnia przedstawiciela Wykonawcy do zawarcia Umowy;

3. Załącznik nr 3 – Zapytanie Ofertowe;

4. Załącznik nr 4 - Oferta Wykonawcy;

5. Załącznik nr 5 – wzór Protokołu odbioru;

6. Załącznik nr 6 – Umowa o zachowaniu poufności informacji;

7. Załącznik nr 7 – Wytyczne dotyczące wymagań w zakresie bezpieczeństwa informacji dla wykonawców zewnętrznych realizujących prace zlecone przez Narodowe Centrum Badań i Rozwoju;

8. Załącznik nr 8 – klauzula informacyjna z art. 13 RODO;

9. Załącznik nr 9 – klauzula informacyjna z art. 14 RODO;

10. Załącznik nr 10 – wzór umowy powierzenia (dalszego powierzenia) przetwarzania danych osobowych;

11. Załącznik nr 11 – arkusz weryfikacji podmiotu przetwarzającego dane osobowe.

………………………….…….. ZAMAWIAJĄCY

…………………………………….. WYKONAWCA

Załącznik nr 5

PROTOKÓŁ ODBIORU OSTATECZNY / CZĘŚCIOWY*

Zamawiający: ………………………………………………………………………..…….

Reprezentowany przez …………………………………………………………………

Wykonawca: ………………………………………………………………………………..

Przedmiot odbioru: ………………………………………………………………………

Data dokonania odbioru: ………………………………………………………………

Zakres wykonanych prac:…………………………………………………………………………….…

………………………………………………………………..…………………………………………

…………………………………………………………………………………………………………

Przedstawiciele zamawiającego: Przedstawiciele wykonawcy:

1. ………………………………… 1. …………………………………

2. ………………………………… 2. …………………………………

3. ………………………………… 3. …………………………………

W wyniku czynności odbioru zamawiający oraz wykonawca stwierdzają, co następuje:

1. Zakres prac został wykonany zgodnie/niezgodnie* z umową/zleceniem*

nr …………………………… z dnia ……………………………

2. Prace zostały rozpoczęte dnia ………………. i zakończone dnia …………………

Termin wykonania umowy został dotrzymany.

3. Jakość wykonanych prac ocenia się jako dobrą/niedobrą*

4. Niezgodności/braki …………………………………………………………………….……………

…………………………………………………………………………………………………………

5. Termin usunięcia niezgodności/braków ustalono na …………………………………………………

6. Uwagi komisji ……………………………………………….………………………………………

…………………………………………………………………………………………………………

7. Xxxxxx prac został przyjęty/nieprzyjęty* na skutek …………………………………………………

……………………………………………………………………………………………………………

Podpisy/zatwierdzenie/akceptacja zgodnie z zapisami w umowie

Przedstawiciele zamawiającego: Przedstawiciele wykonawcy:

1. ………………………………… 1. …………………………………

2. ………………………………… 2. …………………………………

3. ………………………………… 3. …………………………………

*niepotrzebne skreślić

Załącznik nr 6

UMOWA O ZACHOWANIU POUFNOŚCI INFORMACJI

(zwana dalej „Umową”)

zawarta w dniu […] w […] pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-801 Warszawa), adres: ul. Xxxxxxxx 00, działającym na podstawie ustawy z dnia 30 kwietnia 2010 roku o Narodowym Centrum Badań i Rozwoju, posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, zwanym dalej „Centrum” lub „Stroną ujawniającą” reprezentowanym przez:

………………………………………………

a

Panią/Panem ………………………. zamieszkałą/zamieszkałym w……………………… (…-…), przy ul. …….., posiadającą/posiadającym PESEL: ………………………………., legitymującą/legitymującym się dowodem osobistym serii: …. numer ….., wydanym przez: …………………., ważnym do: …………………………, prowadzącą/prowadzącym działalność gospodarczą pod firmą „…………………………………….”, przy ul. ………………………….., posiadającą/posiadającym NIP: ………………….. oraz REGON: ………………………..,

zwaną/zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”

lub

………………………………… z siedzibą w ……………, adres: ul. …………….., (…-…) wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: …………, posiadającą NIP: …………………. oraz REGON: …………………., kapitał zakładowy w wysokości: ……………………., opłacony w całości, zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:

Panią/a ………………………………………

lub

………………………. z siedzibą w ………………………., adres: ul. ………………………., (…-…), wpisanym do Rejestru Instytutów Naukowych Polskiej Akademii Nauk pod numerem rejestru …………….., NIP: ………………., REGON: ………………………,

zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:

Panią/a ………………………………………

działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………

lub

……………………………… z siedzibą w ……………….. adres: ul. …………………, (…-…) wpisanym do Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: ………………, posiadającym NIP: …………………. zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:

Panią/a ………………………………………

działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………

lub

………………………… z siedzibą w ………………………, adres: ul. ………………..,

…-… ……………, wpisaną do Rejestru Instytucji Szkolnictwa Wyższego prowadzonego w ramach systemu POLon pod numerem rejestru ………………., NIP: ………………., zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą”, reprezentowanym przez:

Panią/a ………………………………………

działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………

lub

…………………………………… z siedzibą w ……………, adres: ul. …………….., …-… ……………, wpisanym do Rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej, prowadzonego w ramach Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w ………………., …. Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS ……………….., NIP: ………………., REGON: ………………………, zwanym dalej „Odbiorcą Informacji Poufnych” lub „Odbiorcą” reprezentowanym przez:

Panią/a ………………………………………

działającą/ego na podstawie pełnomocnictwa nr ……………… z dnia ………………………

zwanymi dalej łącznie „Stronami” a pojedynczo „Stroną”.

Preambuła

Zważywszy, że celem Stron jest uregulowanie wzajemnych stosunków w zakresie przekazywania przez Centrum informacji poufnych do Odbiorcy w związku z wykonywaniem umowy dotyczącej …………….. (dalej jako „Umowa główna”) oraz zapewnienie bezpieczeństwa i ochrony takich informacji, Strony zgodnie postanawiają, co następuje:

§ 1.

1. Przedmiotem Umowy jest zobowiązanie się przez Odbiorcę do zachowania poufności
   i nieujawniania jakichkolwiek informacji przekazywanych przez Centrum i pozyskanych
   w trakcie realizacji Umowy głównej, niezależnie od formy ich uzyskania, bez konieczności ich oznaczenia przez Centrum jako poufne w chwili udostępnienia (dalej jako: „Informacje Poufne”).

2. W szczególności, do Informacji Poufnych zaliczane będą wszelkie informacje
   i dokumenty o charakterze technicznym, technologicznym, handlowym, organizacyjnym
   lub związane z działalnością Centrum oraz wszelkie inne informacje posiadające ekonomiczną/gospodarczą wartość, które nie są powszechnie znane.

3. Odbiorca zobowiązuje się do:

1. zachowania w tajemnicy wszelkich informacji przekazywanych w związku
   z wykonywaniem Umowy głównej, jak i wszelkich informacji zebranych w trakcie negocjacji poprzedzających jej zawarcie, niezależnie od formy w jakiej zostały przekazane;

2. ujawnienia Informacji Poufnych wyłącznie osobom, którymi się posługuje lub którym powierza wykonanie Umowy głównej w celu i w zakresie niezbędnym do jej wykonania;

3. poinformowania osób, o których mowa w § 1 ust. 3 pkt 2 Umowy, o poufnym charakterze informacji, pouczenia w sprawie ich traktowania jako poufnych oraz odebrania od nich oświadczenia, którego wzór stanowi Załącznik nr 1 do Umowy;

4. niewykorzystywania, niekopiowania, niepowielania, nierozpowszechniania jakiejkolwiek Informacji Poufnej lub jej części, za wyjątkiem przypadków gdy jest to niezbędne dla wykonania Umowy głównej.

1. Nie stanowią Informacji Poufnej informacje:

1. które są dostępne publicznie lub staną się publicznie dostępne w inny sposób niż poprzez naruszenie obowiązku zachowania poufności;

2. które w momencie ujawnienia były już w posiadaniu Odbiorcy lub jego pracownika, członka organu lub doradcy, pod warunkiem, iż nie zostały objęte obowiązkiem zachowania poufności oraz że zostały one uzyskane bez naruszenia prawa;

3. które zostały otrzymane od stron trzecich zgodnie z prawem i bez naruszenia jakiegokolwiek zobowiązań do zachowania poufności;

4. w stosunku, do których Centrum oświadczy na piśmie, że nie uznaje ich za Informacje Xxxxxx.

5. Nie stanowi naruszenia Informacji Poufnej ujawnienie dokonane zgodnie z wymogami prawa, w tym na wniosek lub wezwanie uprawnionych sądów lub organów, w zakresie i w granicach dozwolonych prawem, na podstawie postanowienia lub wezwania sądu lub decyzji administracyjnej albo w celu dochodzenia roszczeń. Przed ujawnieniem informacji zgodnie ze zdaniem poprzednim, Odbiorca powiadomi Centrum pisemnie o otrzymaniu takiego wniosku lub wezwania, określając formę i cel ujawnienia, chyba że przekazanie takiej wiadomości jest zabronione na podstawie obowiązujących przepisów prawa. Gdyby uprzednie powiadomienie Centrum o otrzymaniu wniosku lub wezwania nie było w okolicznościach sprawy możliwe, Odbiorca powiadomi Centrum niezwłocznie po ustaniu okoliczności uniemożliwiających powiadomienie.

6. Ujawnienie Informacji Poufnych osobie trzeciej jest dopuszczalne wyłącznie po uzyskaniu uprzedniej pisemnej zgody Centrum i na warunkach przez Centrum określonych.

7. Odbiorca ponosi wobec Strony ujawniającej odpowiedzialność za naruszenie obowiązków
   w zakresie zachowania w tajemnicy Informacji Poufnych, również w przypadku, gdy naruszenie jest dokonane przez osobę trzecią, o której mowa w § 1 ust. 3 pkt 2 Umowy, za której działania lub zaniechania Odbiorca odpowiada jak za własne.

8. Odbiorca zapewnia, że dysponuje właściwymi zabezpieczeniami umożliwiającymi ochronę Informacji Poufnych przed dostępem i bezprawnym ich wykorzystaniem przez osoby nieuprawnione.

9. W zakresie możliwości posługiwania się osobami trzecimi lub powierzania im wykonania Umowy głównej, wiążące dla Stron są jej postanowienia.

10. Odbiorca na żadnym etapie realizacji Umowy głównej nie będzie mieć dostępu do treści wykonywanych przez Zamawiającego i działających w jego imieniu pracowników oraz współpracowników czynności a w szczególności wykonywanych wydruków, skanów czy też kserokopii, w tym takich które zawierają Informacje Poufne.

§ 2.

Dla uniknięcia wątpliwości Strony potwierdzają, iż Umowa nie skutkuje przeniesieniem jakiegokolwiek prawa do Informacji Poufnych na Odbiorcę uzyskującego te informacje.

§ 3.

1. Odbiorca zobowiązuje się do zachowania w poufności Informacji Poufnych oraz wykorzystania Informacji Poufnych wyłącznie dla celów realizacji Umowy głównej oraz do podjęcia w stosunku do Informacji Poufnych co najmniej takich środków ostrożności oraz takich samych środków zabezpieczających, jak te podejmowane w stosunku do własnych informacji poufnych.

2. Odbiorca zobowiązuje się do przechowywania Informacji Poufnych w bezpiecznym środowisku oraz zobowiązuje się nie kopiować, nie powielać, ani w jakikolwiek inny sposób nie utrwalać i nie rozpowszechniać Informacji Poufnych lub ich części, z wyjątkiem przypadków wewnętrznego użytku, gdy jest to niezbędne dla celów realizacji Umowy głównej.

3. W przypadku, gdy przekazywane Informacje Poufne będą stanowić informacje chronione przez przepisy powszechnie obowiązującego prawa, Odbiorca zobowiązuje się do przestrzegania stosownych regulacji prawnych w zakresie ochrony takich informacji.

4. Odbiorca oświadcza, że jest świadomy zagrożeń dotyczących bezpieczeństwa związanych
   z przesyłaniem informacji pocztą elektroniczną lub z użyciem Internetu, oraz że będzie odpowiedzialny za ochronę w zakresie informacji przesyłanych w formie elektronicznej i ochrony przed wirusami oraz za zapewnienie, aby informacje takie nie były kierowane pod niewłaściwy adres.

5. Odbiorca zobowiązuje się do przestrzegania przepisów ustawy z dnia 10 maja 2018 r.
   o ochronie danych osobowych (t.j. Dz. U. z 2018 r. poz. 1000, ze zm.). oraz rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
   w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) i zobowiązuje się nie wykorzystywać ani nie przetwarzać w jakikolwiek sposób danych osobowych, do których uzyska dostęp w wyniku realizacji współpracy dla celów innych niż wykonywanie Umowy głównej.

6. Odbiorca ponosi pełną i wyłączną odpowiedzialność za będące następstwem jego zachowań szkody wyrządzone niezgodnym z Umową przetwarzaniem danych osobowych, w szczególności szkody wyrządzone utratą, niewłaściwym przechowywaniem lub posłużeniem się dokumentami, które są nośnikiem danych osobowych.

7. W przypadku, gdy Odbiorca wykonuje Umowę główną przy udziale osób trzecich,
   z zastrzeżeniem § 1 ust. 9 Umowy, postanowienia poprzedzających ustępów rozciągają się także na te osoby, przy czym Odbiorca ponosi pełną i wyłączną odpowiedzialność za działania
   lub zaniechania osób, którymi się posługuje lub którym powierza wykonanie powyższej umowy, jak za działania lub zaniechania własne.

§ 4.

Umowa obowiązuje przez cały okres obowiązywania Umowy głównej, jak również przez okres 10 (słownie: dziesięć) lat po jej wykonaniu albo wygaśnięciu lub 10 (słownie: dziesięć) lat po jej rozwiązaniu, odstąpieniu lub wypowiedzeniu.

§ 5.

1. Odbiorca na żądanie Centrum zwróci niezwłocznie wszelkie materiały, dokumenty, inne opracowania (na piśmie, w formie elektronicznej lub innej) oraz zniszczy wszystkie materiały, które zawierają Informacje Poufne i wykasuje z pamięci swoich komputerów, edytorów tekstów i podobnych środków wszystkie materiały stanowiące Informacje Poufne, włączając każdą kopię, w zakresie w jakim pozwala na to konfiguracja systemów teleinformatycznych. Ponadto Odbiorca, bez żądania Centrum, zwróci lub zniszczy materiały, dokumenty, nośniki zawierające Informacje Poufne odpowiednio najpóźniej z upływem okresu, o którym mowa w § 4 Umowy.

2. Na żądanie Strony ujawniającej Odbiorca niezwłocznie dostarczy jej pisemne oświadczenie potwierdzające dokonanie czynności wskazanych w ust. 1 powyżej.

§ 6.

1. W przypadku naruszenia przez Odbiorcę jakichkolwiek zobowiązań wynikających
   z niniejszej Umowy, Centrum będzie miał prawo do żądania natychmiastowego zaniechania naruszenia i usunięcia jego skutków. Wezwanie do zaniechania naruszeń i usunięcia jego skutków powinno być wysłane Odbiorcy w formie pisemnej z wyznaczeniem co najmniej terminu 14 (słownie: czternastu) dni do ustosunkowania się do niego.

2. W przypadku naruszenia przez Odbiorcę obowiązków dotyczących Informacji Poufnych, w tym danych osobowych, Centrum może żądać od Odbiorcy zapłaty kary umownej
   w wysokości 50 000,00 PLN (słownie: pięćdziesiąt tysięcy) złotych brutto za każdy przypadek naruszenia. Odbiorca zobowiązuje się do uregulowania kary w terminie 14 (słownie: czternastu) dni kalendarzowych od dnia doręczenia Odbiorcy wezwania do zapłaty/noty obciążeniowej w formie pisemnej.

3. Centrum zastrzega sobie prawo dochodzenia odszkodowania przewyższającego wysokość zastrzeżonych kar umownych na zasadach ogólnych Kodeksu cywilnego.

§ 7.

1. Umowa wchodzi w życie w dniu podpisania jej przez Xxxxxx.

2. Umowa podlega prawu polskiemu.

3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

4. Strony zgodnie oświadczają, że wszelkie spory powstałe w związku z realizacją niniejszej Umowy będą starały się rozstrzygać w sposób polubowny. W przypadku, gdy Xxxxxx nie osiągną porozumienia w sposób wskazany w zdaniu poprzedzającym, wszelkie spory wynikające w związku z realizacją Umowy zostaną rozstrzygnięte przez sąd powszechny właściwy miejscowo dla siedziby Centrum.

5. Niniejsza Umowa sporządzona została w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

6. Integralną część Umowy stanowią:

1. Załącznik nr 1 - Oświadczenie o zobowiązaniu do zachowania poufności (Wzór).

………………………………………….. …………………………………………..

Strona ujawniająca Odbiorca Informacji Poufnych

(data i podpis) (data i podpis)

Załącznik nr 1 do umowy o zachowaniu poufności informacji

/WZÓR/

OŚWIADCZENIE

O ZOBOWIĄZANIU DO ZACHOWANIA POUFNOŚCI

Niniejszym oświadczam, że znana mi jest treść Umowy o zachowaniu poufności informacji

z dnia ………………………………………………… zawartej pomiędzy …………………………………………………………………………………………………

a

…………………………………………………………………………………………………

i wynikające z niej zobowiązania do utrzymywania w tajemnicy ujawnionych Informacji Poufnych oraz zobowiązuje się do ich przestrzegania.

Niniejszym zobowiązuję się jako pracownik ……………………………………….. (nazwa firmy)/ zleceniobiorca/ Wykonawca* ……………………………………….. do zachowania w tajemnicy wszelkich Informacji Poufnych, które zostały mi ujawnione w związku z moim uczestnictwem w wykonywaniu …………….., na warunkach określonych w Umowie o zachowaniu poufności. Jestem świadomy, że naruszenie powyższych zobowiązań może skutkować odpowiedzialnością cywilną i karną na podstawie obowiązujących przepisów prawa.

………………………………………

(data i podpis)

* niepotrzebne skreślić

Załącznik nr 7

Wytyczne dotyczące wymagań w zakresie bezpieczeństwa informacji dla wykonawców zewnętrznych realizujących prace zlecone przez Narodowe Centrum Badań i Rozwoju

1. Cel

Celem dokumentu jest określenie minimalnych wymagań w zakresie bezpieczeństwa informacji, w posiadanie których wejdzie wykonawca zewnętrzny w trakcie realizacji zleconych prac na rzecz Narodowego Centrum Badań i Rozwoju (dalej: „Centrum”).

2. Zakres

Zapisy niniejszego dokumentu:

1. powinni uwzględniać pracownicy uczestniczący w procesie udzielenia zamówienia lub nawiązania współpracy na podstawie innej formy cywilnoprawnej na usługę/zamówienie związane z przetwarzaniem informacji;

2. powinni stosować wszyscy wykonawcy zewnętrzni realizujący prace na rzecz Centrum, związane z przetwarzaniem informacji;

3. należy stosować we wszystkich umowach z wykonawcami zewnętrznymi, których przedmiot jest związany z ochroną informacji.

3. Postanowienia ogólne

1. Niniejszy dokument:

1. określa zakres obowiązków i odpowiedzialności wykonawców zewnętrznych w zakresie bezpieczeństwa informacji;

2. obejmuje swoim zakresem wszystkich użytkowników wykonawców zewnętrznych, mających dostęp do systemów informatycznych (dalej jako: „System Informatyczny NCBR”) oraz informacji przetwarzanych na rzecz Centrum.

2. Wykonawca zewnętrzny przed podjęciem prac na rzecz Centrum, które wiążą się
   z przetwarzaniem informacji lub dostępem do Systemu Informatycznego NCBR powinien spełnić wymagania zawarte w niniejszym dokumencie.

3. Przed rozpoczęciem przetwarzania informacji należących do Centrum wykonawca zewnętrzny powinien spełnić następujące warunki:

1. podpisać umowę o zachowaniu poufności, której wzór określa załącznik nr 2;

2. w przypadku przetwarzania danych osobowych podpisać umowę powierzenia lub dalszego powierzenia przetwarzania danych osobowych, przygotowaną na wzorze Centrum;

3. w przypadku udostępnienia danych osobowych podpisać umowę udostępnienia danych osobowych przygotowaną na wzorze Centrum.

4. Szczegółowe zasady powierzenia bądź udostępnienia danych osobowych wykonawcy zewnętrznemu zostały określone w Polityce Bezpieczeństwa Danych Osobowych NCBR (zasady weryfikacji, wzory).

5. Pracownicy wykonawcy zewnętrznego realizujący na rzecz Centrum prace w ramach zawartej umowy mogą przebywać na terenie Centrum pod nadzorem pracownika Centrum lub pracowników ochrony obiektu.

6. W przypadku, gdy zlecenie będzie wykonywane po godzinach pracy Centrum lub w dni wolne od pracy, kierownik komórki organizacyjnej Centrum (dalej jako: „kierownik KO”) bezpośrednio odpowiedzialny za wykonywane zlecenie musi zgłosić ten fakt do Działu Administracji i Zakupów (dalej jako: „DAZ”), który wystawia zlecenie na wykonanie prac i przekazuje informację o terminie i zakresie wykonywanych prac do administracji obiektu oraz zawiadamia ochronę obiektu.

7. W zleceniu należy podać:

1. nazwę wykonawcy zewnętrznego;

2. zakres wykonywanej pracy;

3. termin wykonania (data, godzina);

4. imię nazwisko oraz numer dokumentu tożsamości pracowników wykonawcy zewnętrznego wykonujących prace;

5. imię nazwisko oraz numer telefonu osoby nadzorującej prace ze strony Centrum;

6. numery rejestracyjne pojazdów – w przypadku konieczności wyrażenia zgody na ich wjazd na parking.

8. Klucze do pomieszczeń wydaje pracownik DAZ.

4. Nadawanie, zmiana bądź odebranie uprawnień

1. W przypadku konieczności dostępu wykonawców zewnętrznych do Systemu Informatycznego NCBR zakres uprawnień przydziela się adekwatnie do przedmiotu zawartej umowy oraz zakresu powierzonych/udostępnionych danych osobowych (jeśli takie powierzenie/udostępnienie ma miejsce).

2. Osoba ze strony wykonawcy zewnętrznego, wskazana w umowie jako odpowiedzialna za jej realizację, powinna:

1. przekazać do Centrum listę użytkowników wykonawcy zewnętrznego mających mieć dostęp do Systemu Informatycznego NCBR wraz ze wskazaniem wymaganych uprawnień;

2. na bieżąco aktualizować listę użytkowników wykonawcy zewnętrznego, o której mowa powyżej.

3. Rejestrowanie i wyrejestrowanie użytkowników zewnętrznych z Systemu Informatycznego NCBR oraz nadawanie, zmiana i odebranie uprawnień jest realizowane przez pracowników Działu Systemów Informatycznych (dalej jako: „DSI”).

4. Z wnioskiem do DSI o nadanie, zmianę i odebranie uprawnień do Systemu Informatycznego NCBR występuje kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy z wykonawcą zewnętrznym.

5. Zakres uprawnień musi być uzgodniony z Inspektorem Ochrony Danych (dalej jako: „IOD”).

6. Podczas rejestracji użytkownika zewnętrznego nadawany jest unikalny identyfikator użytkownika (login) oraz ustawiane jest hasło tymczasowe niezbędne do logowania po raz pierwszy do Systemu Informatycznego NCBR.

7. Kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy
   z wykonawcą zewnętrznym informuje wskazane przez wykonawcę zewnętrznego osoby o nadaniu, zmianie i odebraniu uprawnień oraz o przydzielonych danych uwierzytelniających do Systemu Informatycznego NCBR.

5. Metody i środki uwierzytelniania

1. Dostęp do Systemu Informatycznego NCBR jest możliwy wyłącznie poprzez podanie prawidłowego identyfikatora (loginu) i hasła przyznanego użytkownikowi podczas procesu nadawania uprawnień.

2. Polityka haseł dostępu użytkowników wykonawcy zewnętrznego do Systemu Informatycznego NCBR podlega następującym zasadom:

1. hasło składa się z minimum 8 znaków;

2. hasło musi spełniać warunek złożoności polegający na występowaniu w nim: wielkiej i małej litery, oraz cyfry lub znaku specjalnego (np. !@#);

3. rekomenduje się korzystanie z managerów haseł w celu stworzenia silnego hasła dostępowego;

4. hasło musi być zmieniane nie rzadziej niż raz na 30 dni;

5. kolejne hasła muszą być różne (zapamiętywanych jest minimum 6 ostatnich haseł);

6. hasła należy przechowywać w sposób gwarantujący ich poufność;

7. zabrania się udostępniania haseł innym osobom;

8. zabrania się tworzenia haseł na podstawie:

1. cech i numerów osobistych (np. dat urodzenia, imion itp.),

2. sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx),

3. identyfikatora użytkownika;

1. zabrania się tworzenia haseł łatwych do odgadnięcia;

2. logowanie anonimowe jest zabronione;

3. uwierzytelnienie następuje wyłącznie po podaniu zgodnego hasła i powiązanego z nim identyfikatora (loginu);

4. w przypadku pierwszego logowania użytkownik ma obowiązek zmiany hasła tymczasowego na właściwe, na znane tylko sobie;

5. w przypadku systemów, które nie wymuszają automatycznie cyklicznej zmiany hasła oraz nie kontrolują jego złożoności, obowiązkiem użytkownika jest zmiana hasła zgodnie z niniejszymi zasadami;

6. użytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego bezpieczne przechowywanie;

7. hasła nie mogą być ujawniane w sposób celowy lub przypadkowy oraz powinny być znane wyłącznie użytkownikowi;

8. hasła nie powinny być przechowywane w formie dostępnej dla osób nieupoważnionych:

1. w plikach,

2. na kartkach papieru w miejscach dostępnych dla osób trzecich,

3. w skryptach,

4. w innych zapisach elektronicznych i papierowych, które byłyby dostępne dla osób trzecich.

3. W przypadku podejrzenia ujawnienia haseł osobie nieupoważnionej, hasła muszą być natychmiast zmienione przez użytkownika, a fakt ten zgłoszony pracownikowi Centrum odpowiedzialnemu za realizację umowy.

4. Hasło utrzymuje się w tajemnicy również po upływie jego ważności.

5. Zmiany hasła dokonuje użytkownik (w przypadku, gdy użytkownik zapomniał hasła, DSI ustawia hasło tymczasowe użytkownikowi z wymuszeniem jego zmiany podczas pierwszego logowania).

6. Hasła nie powinny być przekazywane ani przesyłane za pomocą telefonu, faksu ani poczty e-mail w formie jawnej.

6. Dostęp zdalny

1. DSI prowadzi wykaz osób i wykonawców zewnętrznych posiadających zdalny dostęp do zasobów Systemu Informatycznego NCBR.

2. Zdalny dostęp wykonawców zewnętrznych, możliwy jest tylko po spełnieniu warunków wymienionych w niniejszym dokumencie.

3. Zdalny dostęp wykonawców zewnętrznych realizowany jest za pomocą systemu do zarządzania kontami uprzywilejowanymi, a sesje związane ze zdalnym dostępem są nagrywane.

4. Zdalnego dostępu udziela się na zasadach i na czas określony zapisami umowy z wykonawcą zewnętrznym.

5. Kierownik KO lub pracownik przez niego wyznaczony odpowiedzialny za realizację umowy z wykonawcą zewnętrznym wnioskuje do DSI o umożliwienie dostępu zdalnego użytkownikom zewnętrznym.

6. Zakres zdalnego dostępu może zostać ograniczony lub zwiększony po przeanalizowaniu potrzeb określonych zapisami umowy z wykonawcą zewnętrznym.

7. W ramach zdalnego dostępu do zasobów Systemu Informatycznego NCBR zabrania się wykonawcy zewnętrznemu:

1. trwale usuwać dane;

2. przeprowadzać jakiekolwiek operacje na dyskach mogące prowadzić do ich uszkodzenia lub utraty danych, w szczególności ich formatowania.

8. Dla środowisk produkcyjnych (oddanych do eksploatacji) wykonawca zewnętrzny realizujący zdalne prace w Systemie Informatycznym NCBR, przed przystąpieniem do nich przedstawia, wraz z oceną ryzyka, zakres zaplanowanych czynności.

9. Przedstawiciel wykonawcy zewnętrznego, przystępując do czynności, które w konsekwencji mogą doprowadzić do zniszczenia danych, musi poinformować przedstawiciela Centrum, wskazanego w umowie, o możliwym ryzyku i dopiero po uzyskaniu akceptacji rozpocząć prace.

10. Pracownik Centrum przed przekazaniem wykonawcy zewnętrznemu informacji na temat zgody lub jej braku konsultuje się z DSI oraz Działem Bezpieczeństwa (dalej jako: „DB”), a jeśli dotyczy to danych osobowych także z IOD.

11. Akceptacja lub odmowa wykonania czynności objętych ryzykiem utraty danych wymaga zachowania drogi służbowej, np. wysłania informacji w postaci e-mail.

12. Scenariusz zaplanowanych do wykonania prac w środowisku produkcyjnym powinien zawierać nw. informacje:

1. kto będzie prowadził prace;

2. kiedy prace będą prowadzone;

3. przewidywany czas trwania prowadzonych prac;

4. zakres wykonywanych prac;

5. informację czy wymagana jest przerwa w pracy użytkowników Centrum;

6. potencjalne ryzyka związane z podejmowanymi czynnościami.

13. Wykonywanie prac polegających na standardowej obsłudze serwisowej lub prac nad rozwojem Systemu Informatycznego NCBR będącego w fazie wdrażania nie wymaga każdorazowego ustalenia z Centrum warunków realizacji wykonywanych czynności.

14. Zabrania się wykonawcy zewnętrznemu podejmowania jakichkolwiek czynności zmierzających do penetrowania zasobów teleinformatycznych Centrum, chyba, że czynności te dotyczą realizacji umowy, której przedmiot obejmuje przeprowadzenie testów bezpieczeństwa, testów penetracyjne, itp.

15. Każdorazowe przeprowadzanie przez wykonawcę zewnętrznego testów bezpieczeństwa lub testów penetracyjnych wymaga uzyskania zgody DSI oraz DB.

16. DSI ogranicza zasoby dostępne dla sesji zdalnej do niezbędnego minimum, chyba, że wymagałoby to rozległej ingerencji w konfigurację urządzeń dostępowych.

17. DSI ustala wymagane zasoby zdalnego dostępu dla wykonawcy zewnętrznego.

18. Wykonawca zewnętrzny zobowiązuje się do wykorzystywania tylko i wyłącznie uzgodnionych zasobów informatycznych, nawet, jeśli dostępne są inne niż wymagane do realizacji zlecenia.

19. Na potrzeby realizacji zapisów umowy DSI może udzielić zdalnego dostępu do nw. środowisk:

1. testowych;

2. produkcyjnych;

3. szkoleniowych.

20. Zdalny dostęp do sieci Centrum dla wykonawców zewnętrznych możliwy jest tylko po podaniu adresów IP, które będą specjalnie dedykowane do pracy w systemach Centrum.

21. Zabrania się wykonywania zdalnego dostępu z komputerów dostępnych publicznie np. kafejki internetowe, dworce, restauracje, bezprzewodowe sieci miejskie.

7. Zasady zabezpieczeń stacji roboczych

Do Systemu Informatycznego NCBR mogą być podłączane wyłącznie komputery i urządzenia zgodne z minimalnymi wymaganiami bezpieczeństwa, w szczególności:

1. system operacyjny posiada zainstalowane wszystkie dostępne aktualizacje zabezpieczeń;

2. w systemie operacyjnym zainstalowany jest system antywirusowy a jego sygnatury są aktualne;

3. w systemie operacyjnym firewall jest uruchomiony i posiada właściwą konfigurację;

4. zainstalowane na komputerze oprogramowanie pochodzi z zaufanych źródeł;

5. oprogramowanie jest zainstalowane zgodnie z postanowieniami umowy licencyjnej;

6. oprogramowanie nie narusza praw autorskich;

7. oprogramowanie nie narusza innych praw podmiotów trzecich.

8. Stosowanie zabezpieczeń kryptograficznych

1. W celu ochrony poufności przechowywanych oraz przesyłanych danych stosuje się zabezpieczenia kryptograficzne.

2. Zabezpieczenia kryptograficzne należy stosować:

1. na dyskach twardych komputerów, w tym zwłaszcza komputerów przenośnych;

2. na pendrive’ach i innych nośnikach danych;

3. na nośnikach kopii zapasowych;

4. na urządzeniach mobilnych;

5. w tunelach VPN;

6. w poczcie elektronicznej.

3. Zakres stosowanych rozwiązań kryptograficznych powinien obejmować minimum dane znajdujące się na nośnikach, które objęte są ochroną ze względu na wymagania związane z utrzymaniem poziomu poufności.

4. Poziom bezpieczeństwa dla rozwiązań kryptograficznych powinien obejmować:

1. kontrolę transmisji danych wykonywanych w sieci przez użytkowników;

2. szyfrowanie dysków twardych komputerów (RC5-1024 i AES-256);

3. szyfrowanie nośników przenośnych (wymiennych) (AES-256);

4. zarządzane w konsoli zarządzania regułami i politykami;

5. możliwość odzyskania z poziomu administratora hasła i danych;

6. integrację z domeną lub kontem użytkownika w systemie operacyjnym.

9. Reagowanie na incydenty

1. Każde naruszenie bezpieczeństwa informacji należy każdorazowo zgłaszać:

1. do DB oraz do wiadomości do DSI w formie wiadomości e-mail za potwierdzeniem odbioru na adres: [xxxxxxxx@xxxx.xxx.xx oraz do wiadomości xxxxx://xxxx.xxxx-xxxxx.xxx/xxxxxxxxxxx/xxxxxxxx/xxxxxxx], z tematem wiadomości „Naruszenie bezpieczeństwa informacji”;

2. do IOD jeżeli naruszenie dotyczy przetwarzania danych osobowych w formie wiadomości e-mail za potwierdzeniem odbioru na adres: [xxx@xxxx.xxx.xx] z tematem wiadomości „Naruszenie ochrony danych osobowych”.

2. W sytuacji gdy DB potwierdzi, że zdarzenie stanowi incydent naruszenia bezpieczeństwa informacji (dalej jako: „Incydent bezpieczeństwa”) wnioskuje do DSI o natychmiastowe odebranie uprawnień użytkownikom wykonawcy zewnętrznego, jednocześnie informując o tym fakcie osobę wskazaną do kontaktu ze strony wykonawcy zewnętrznego w zawartej umowie.

3. W przypadku potwierdzonego Incydentu bezpieczeństwa DB wspólnie z DSI kontaktuje się z przedstawicielem wykonawcy zewnętrznego celem zabezpieczenia śladów tego naruszenia (np. logi systemowe).

4. W szczególnych sytuacjach, potwierdzonego incydentu bezpieczeństwa Pełnomocnik ds. SZBI informuje organy ścigania oraz inne uprawnione podmioty (urzędy) o zaistniałej sytuacji. W przypadku naruszenia bezpieczeństwa danych osobowych należy stosować Politykę Bezpieczeństwa Danych Osobowych NCBR.

5. DSI we współpracy z DB oraz uprawnionymi pracownikami wykonawcy zewnętrznego usuwają skutki naruszenia bezpieczeństwa oraz wprowadzają dodatkowe zabezpieczenia (np. zmieniają konfigurację, itp.).

6. Każdy incydent bezpieczeństwa odnotowywany jest w rejestrze incydentów Centrum.

7. DB, po otrzymaniu informacji od DSI, na tematu wpływu zaistniałego incydentu na bezpieczeństwo przygotowuje analizę i wydaje rekomendacje.

10. Postanowienia końcowe

1. Za nadzór nad przestrzeganiem postanowień niniejszego dokumentu odpowiada:

1. ze strony wykonawcy zewnętrznego – uprawniony przedstawiciel tego podmiotu;

2. ze strony Centrum – kierownik KO lub pracownik wskazany przez niego w umowie podpisanej z zewnętrznym wykonawcą.

2. W zakresie spraw związanych z bezpieczeństwem informacji nieuregulowanych w niniejszym dokumencie, obowiązują przepisy prawne.

3. Wszelkie projekty dokumentów wdrażające nowe, zmianę lub wycofanie obowiązujących uregulowań w zakresie związanym z bezpieczeństwem informacji wymagają uzgodnienia z Pełnomocnikiem ds. SZBI.

Załącznik nr 8

Klauzula informacyjna – przedstawiana w przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą

Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”), informuję, że:

1) administratorem Pani/Pana danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej: „NCBR”) z siedzibą w Warszawie (00-801), ul. Xxxxxxxx 00;

2) w sprawie przetwarzania Pani/Pana danych osobowych może Pani/Pan skontaktować się z powołanym w NCBR inspektorem ochrony danych, poprzez adres e-mail: xxx@xxxx.xxx.xx oraz na adres korespondencyjny NCBR, z dopiskiem „IOD”

3) Pani/Pana dane osobowe są przetwarzane w celu zawarcia i realizacji Umowy z ..........nr…………… pomiędzy NCBR a ………………………, z siedzibą w ………., adres: ……………..

4) przetwarzane Pani/Pana danych osobowych w wyżej wskazanym celu jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO), a NCBR jest uprawnione do przetwarzania Pani/Pana danych osobowych na mocy ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (tj. Dz. U. z 2022 r. poz. 2279) i określonych tamże zadań NCBR;

5) Pani/Pana dane osobowe będą przetwarzane w okresie realizacji ww. Umowy – do czasu wykonania wszystkich obowiązków i ewentualnych roszczeń wynikających z ww. Umowy oraz przechowywane będą w celach archiwalnych przez okres przechowywania zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;

6) odbiorcami Pani/Pana danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR, w szczególności takim podmiotem jest NCBR+ sp. Z o.o., z siedzibą w Warszawie (00-801), ul. Xxxxxxxx 00. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;

7) przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do przenoszenia dotyczących Pani/Pana danych osobowych. W sprawie realizacji ww. praw może Pani/Pan kontaktować się z inspektorem ochrony danych pod adresem mailowym albo na adres korespondencyjny NCBR, wskazane powyżej w pkt 1 i 2;

8) posiada Pani/Pan prawo do wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych;

9) Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;

10) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

Załącznik nr 9

Klauzula informacyjna – przedstawiana w przypadku zbierania danych osobowych niebezpośrednio od osoby, której dane dotyczą

Zgodnie z art. 14 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej „RODO”), informuję, że:

1. administratorem Pani/Pana danych osobowych jest Narodowe Centrum Badań i Rozwoju (dalej „NCBR”) z siedzibą w Warszawie (00-801), Xxxxxxxx 00;

2. Pani/Pana dane osobowe zostały pozyskane od ..................................................

3. w sprawie przetwarzania Pani/Pana danych osobowych może Pani/Pan skontaktować się z powołanym w NCBR inspektorem ochrony danych, poprzez adres e-mail: xxx@xxxx.xxx.xx oraz na adres korespondencyjny NCBR, z dopiskiem „IOD”

4. NCBR będzie przetwarzało następujące kategorie Pani/Pana danych osobowych: ……………………………………….;

5. Pani/Pana dane osobowe są przetwarzane w celu zawarcia i realizacji Umowy z ..........nr…………… pomiędzy NCBR a ………………………, z siedzibą w ………., adres: ……………..;

6. Przetwarzanie Pani/Pana danych osobowych w ww. celu jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO), a NCBR jest umocowane do przetwarzania Pani/Pana danych osobowych na mocy ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t.j. Dz. U. z 2022 r. poz. 2279) i określonych tamże zadań NCBR;

7. Pani/Pana dane osobowe będą przetwarzane w okresie realizacji ww. Umowy – do czasu wykonania wszystkich obowiązków oraz ewentualnych roszczeń wynikających z niej oraz przechowywane będą w celach archiwalnych przez okres przechowywania zgodny z instrukcją kancelaryjną NCBR i Jednolitym Rzeczowym Wykazem Akt;

8. odbiorcami Pani/Pana danych osobowych będą organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmioty świadczące usługi niezbędne do realizacji zadań przez NCBR, w szczególności takim pomiotem jest NCBR+ sp. z o.o., z siedzibą w Warszawie (00-801), ul. Xxxxxxxx 00. Dane te mogą być także przekazywane partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne;

9. przysługują Pani/Panu prawa w stosunku do NCBR do: żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia sprzeciwu wobec przetwarzania dotyczących Pani/Pana danych osobowych. W sprawie realizacji ww. praw może Pani/Pan kontaktować się z inspektorem ochrony danych pod adresem mailowym albo na adres korespondencyjny NCBR, wskazane powyżej w pkt 1 i 2;

10. posiada Pani/Pan prawo do wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych;

11. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego;

12. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

Załącznik nr 10

Umowa powierzenia (oraz dalszego powierzenia – należy dodać w przypadku dalszego powierzenia) przetwarzania danych osobowych

dalej: „Umowa”

zawarta pomiędzy:

Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-801 Warszawa), adres: ul. Xxxxxxxx 00, posiadającym REGON: 141032404 oraz NIP: 000-000-00-00, działającym na podstawie ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (t. j. Dz. U z 2022 r. poz. 2279 ze zm.), reprezentowanym przez:

Panią/Pana ………… – Dyrektora Działu …………. Narodowego Centrum Badań i Rozwoju,

działającą/ego na podstawie upoważnienia z dnia ………………………...

(kopia upoważnienia do reprezentowania Zamawiającego stanowi Załącznik nr 1 do Umowy głównej ),

zwanym dalej „Administratorem” lub „NCBR”

a

……………………………………………………, zwanym dalej „Podmiotem przetwarzającym”.

zwane dalej łącznie „Stronami” a osobno „Stroną”

Mając na uwadze fakt, że Strony zawarły umowę nr [____] z dnia [____] w przedmiocie [____] (dalej „Umowa główna”), w celu realizacji, której Podmiot przetwarzający będzie przetwarzać dane osobowe powierzone mu przez NCBR,;

[w motywach należy wskazać, w jakiej roli względem powierzanych danych osobowych występuje NCBR, tj. czy jest administratorem, czy też podmiotem przetwarzającym]

[zapis dot. dalszego powierzenia - NCBR oświadcza, że spełnił wszelkie warunki dla dalszego przetwarzania danych osobowych i jest uprawniony do dalszego ich powierzenia Podmiotowi przetwarzającemu],

[zapis dot. dalszego powierzenia - dla przejrzystej systematyki niniejszej Umowy NCBR przy uwzględnieniu różnych ról w odniesieniu do charakteru podmiotu w jakim występuje wobec osób, których dane są przetwarzane (punkty [__] Preambuły) oraz z uwagi na proces powierzenia przetwarzania danych osobowych nazywany będzie w dalszej części każdorazowo Administratorem].

Xxxxxx postanowiły o zawarciu niniejszej Umowy, o następującej treści:

§ 1

1. Przedmiotem przetwarzania są następujące kategorie (rodzaje) danych osobowych: [np. nazwiska i imiona, numer telefonu, e-mail]

2. Przekazywane na podstawie niniejszej Umowy dane osobowych dotyczą następujących kategorii osób: [np.: eksperci, prelegenci, beneficjenci, uczestnicy].

3. Przetwarzanie danych osobowych przez Podmiot przetwarzający na podstawie niniejszej Umowy odbywa się wyłącznie w celu realizacji Umowy głównej na polecenie Administratora.

4. Przetwarzanie danych osobowych w ramach niniejszej Umowy odnosi się do następujących kategorii przetwarzań: [np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie, dopasowywanie lub łączenie]

5. Umowa niniejsza jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz powiązanymi z nim powszechnie obowiązującymi przepisami prawa polskiego.

6. Dane osobowe przetwarzane są w celu realizacji Umowy głównej. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzanych mu danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej.

§ 2

1. Podmiot przetwarzający oświadcza, że zapewnia:

   1. wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą,

   2. dysponuje odpowiednimi środkami technicznymi i organizacyjnymi dla zapewnienia spełnienia wymogów oraz zapewnienia ochrony praw osób, których dotyczą dane osobowe, przekazywane na podstawie niniejszej umowy, zgodnie z właściwymi przepisami krajowymi, a także przyjętą przez Podmiot przetwarzający dokumentacją ochrony danych.

2. W celu prawidłowej realizacji Umowy głównej, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w odniesieniu do rodzajów danych oraz kategorii osób, o których mowa w § 1 Umowy.

§ 3

1. Podmiot przetwarzający zobowiązuje się niniejszym:

1. przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa oraz zasadami ochrony określonymi w Umowie;

2. przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim wypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający zobowiązany jest poinformować Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny;

3. niezwłocznie informować Administratora, jeżeli zdaniem Xxxxxxxx przetwarzającego, wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii Europejskiej lub przepisów krajowych o ochronie danych osobowych.

4. dopuścić do przetwarzania danych osobowych wyłącznie osoby posiadające upoważnienie nadane przez Podmiot przetwarzający oraz zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania nieograniczonej w czasie tajemnicy, a także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych ;

5. niezwłocznie informować Administratora o obowiązku prawnym udostępnienia danych osobowych, chyba że powszechnie obowiązujące przepisy zabraniają udzielenia takiej informacji z uwagi na ważny interes publiczny;

6. podejmować wszelkie środki techniczne i organizacyjne wymagane na mocy Artykułu 32 RODO, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, w szczególności:

• pseudonimizację lub szyfrowanie danych osobowych,

• zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania danych osobowych,

• zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;

7. przestrzegać warunków korzystania z usług innego Podmiotu przetwarzającego, o których mowa w Artykule 28 ust. 2 i 4 RODO, z zastrzeżeniem § 4 poniżej;

8. uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w Artykułach 32 – 36 RODO;

9. niezwłocznie informować Administratora o tym, że osoba której dane osobowych dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonania praw, o których mowa w rozdziale III RODO, jak również udostępniać treść tej korespondencji;

10. udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Artykule 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji i przyczyniania się do nich;

11. po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi – w zależności od decyzji Administratora - wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć ich istniejące kopie, chyba że przepisy prawa powszechnego nakazują przechowywanie tych danych.

§ 4

1. Strony zgodnie postanawiają, że powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający podmiotowi trzeciemu (dalszemu podmiotowi przetwarzającemu) jest dopuszczalne wyłącznie po uzyskaniu pisemnej zgody Administratora w odniesieniu do konkretnego dalszego podmiotu przetwarzającego, której wzór stanowi załącznik nr 1 do Umowy.

2. W przypadku opisanym w ust. 1 Podmiot przetwarzający zobligowany będzie do umownego zobowiązania w formie pisemnej, każdego z dalszych podmiotów przetwarzających do przestrzegania takich samych obowiązków i zasad, jakie dotyczą Podmiotu przetwarzającego względem Administratora na podstawie niniejszej umowy oraz przepisów RODO, a także innych odnośnych przepisów dotyczących ochrony danych osobowych.

3. Podmiot przetwarzający w razie skorzystania z usług dalszego podmiotu przetwarzającego zobowiązuje się nadto zapewnić, by przetwarzanie danych przez ten podmiot odbywało się wyłącznie w celu i w zakresie opisanym w Umowie.

§ 5

1. Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania, na zasadach, o których mowa w Artykule 30 ust. 2 RODO, który zawierać będzie informacje określone w lit. a – d Artykułu 30 ust. 2 RODO.

2. Podmiot przetwarzający w przypadkach, o których mowa w Artykule 37 ust. 1 RODO zobligowany będzie do wyznaczenia inspektora ochrony danych. O fakcie wyznaczenia inspektora ochrony danych Podmiot przetwarzający powiadomi Administratora, wskazując dane kontaktowe inspektora.

3. Podmiot przetwarzający zobowiązuje się do udzielania Administratorowi na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych, a w szczególności do niezwłocznego informowania o każdym przypadku naruszenia w zakresie ochrony danych osobowych.

4. Podmiot przetwarzający zobowiązany jest do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Podmiot przetwarzający zobowiązany jest do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie Administratora. Podmiot przetwarzający zobowiązany jest do udzielenia odpowiedzi w terminie 3 dni od przesłania przez Administratora żądania w tym zakresie.

5. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż 24 godziny od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Administratorowi wskazując w zgłoszeniu:

• opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można pozyskać informacje,

• opis możliwych konsekwencji naruszenia ochrony danych osobowych,

• opis środków zastosowanych lub proponowanych przez podmiot przetwarzający w celu zapobieżenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

6. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy: xxx@xxxx.xxx.xx .

7. Jeżeli informacji, o których mowa w ust. 5 powyżej, nie da się ustalić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.

8. Do czasu przekazania Podmiotowi przetwarzającemu instrukcji postępowania w związku z naruszeniem ochrony danych osobowych, Podmiot przetwarzający podejmuje bez zbędnej zwłoki wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

9. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych osobowych powierzonych mu przez Administratora, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację na żądanie Administratora.

10. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania i zaniechanie.

11. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał niezgodnie ze zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

12. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio dalszy przetwarzający w stosunku do Administratora.

13. W razie stwierdzenia przez Administratora istnienia po stronie Podmiotu przetwarzającego uchybień w zakresie realizacji Umowy prowadzących do naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych, Administrator uprawniony będzie do:

1. żądania niezwłocznego usunięcia uchybień;

2. rozwiązania Umowy oraz Umowy głównej bez zachowania okresu wypowiedzenia.

14. W przypadku, gdy Administrator zapłaci odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Podmiotu przetwarzającego zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.

15. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami Kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.

§ 6

1. Strony zgodnie postanawiają, że Administrator uprawniony będzie do dokonywania kontroli prawidłowości warunków przetwarzania powierzonych na podstawie niniejszej Umowy danych osobowych przez Podmiot przetwarzający, a Podmiot przetwarzający zobligowany będzie do współdziałania z Administratorem w celu realizacji powyższego zobowiązania w możliwe szerokim zakresie, tj. w szczególności udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przyjętych obowiązków oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji.

2. Termin przeprowadzenia kontroli, o której mowa w ust. 1 zostanie ustalony z Podmiotem przetwarzającym, jednak kontrola nie może odbyć się później niż 5 dni roboczych od przekazania Podmiotowi przetwarzającemu pisemnej informacji.

3. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 dni roboczych od dnia otrzymania wniosku.

4. Po przeprowadzonym audycie przedstawiciel Administratora lub upoważniony przez Administratora przedstawiciel audytora, sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

5. Administrator ma prawo żądania od Podmiotu przetwarzającego składania pisemnych wyjaśnień dotyczących realizacji niniejszej Umowy.

6. Podmiot przetwarzający zobowiązany jest zapewnić w umowie z dalszym przetwarzającym, możliwość przeprowadzenia przez Podmiot przetwarzający audytu zgodności przetwarzania danych osobowych na zasadach określonych w niniejszej Umowie.

7. Koszty przeprowadzenia audytu ponosi podmiot, który zlecił przeprowadzenia audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.

§ 7

1. Zgodnie z art. 28 ust. 3 lit. e RODO, biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

2. Podmiot przetwarzający zobowiązany jest do wsparcia Administratora w zakresie realizacji następujących praw podmiotów danych:

   1. Obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO,

   2. Prawa dostępu do danych osobowych,

   3. Prawa do sprostowania danych osobowych,

   4. Prawa do usunięcia danych osobowych,

   5. Prawa do ograniczenia przetwarzania,

   6. Obowiązku informowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,

   7. Prawa do przenoszenia danych osobowych,

   8. Prawa do sprzeciwu,

   9. Kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych, w tym profilowaniu.

3. W przypadku otrzymania żądania od Administratora w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w ust. 2 Podmiot przetwarzający w terminie 5 dni od otrzymania żądania poinformuje Administratora o wykonaniu żądania.

4. Jeżeli Podmiot przetwarzający nie jest w stanie zrealizować żądania, o którym mowa w ust. 2, jest on zobowiązany do przygotowania i przekazania wyjaśnień opisujących przyczyny, dla których nie zrealizował żądania Administratora.

§ 8

Powierzenie przetwarzania trwa przez czas obowiązywania Umowy głównej.

§ 9

1. Zmiana Umowy nastąpić może wyłącznie w formie pisemnej pod rygorem nieważności.

2. W sprawach nieuregulowanych w Umowie zastosowanie mają odpowiednio przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.

3. Podmiot przetwarzający nie może przenieść praw i obowiązków wynikających z niniejszej umowy bez pisemnej zgody Administratora.

4. Podmiot przetwarzający oświadcza, że znane są mu sankcje przewidziane za naruszenie obowiązków w zakresie ochrony danych osobowych przewidziane w RODO. Jeżeli w wyniku naruszenia przez Xxxxxxx przetwarzający przepisów RODO oraz niniejszej Umowy Administrator zobligowany będzie do zapłaty kary pieniężnej lub odszkodowania, Podmiot przetwarzający zobowiązuje się zwrócić Administratorowi wszelkie poniesione z tego tytułu koszty i wydatki.

5. Umowę sporządzono i podpisano w formie pisemnej w dwóch jednobrzmiących egzemplarzach, w tym jeden dla Zamawiającego i jeden dla Wykonawcy / Umowę sporządzono i podpisano elektronicznie w rozumieniu art. 78¹ § 1 Kodeksu cywilnego, co oznacza, że do jej zawarcia dochodzi w momencie opatrzenia Umowy ostatnim wymaganym do jej zawarcia kwalifikowanym podpisem elektronicznym, Strony uprawnione są do druku dowolnej liczby egzemplarzy Umowy.

6. Integralną część Umowy stanowi załącznik nr 1: Wzór zgody.

Załącznik nr 1

Pisemna zgoda administratora danych na korzystanie przez podmiot przetwarzający
z usług dalszych podmiotów przetwarzających

Działając w imieniu administratora, zgodnie z § 4 ust. 1 Umowy powierzenia nr … z dnia …, niniejszym wyrażam zgodę na korzystanie przez podmiot przetwarzający z usług dalszego podmiotu przetwarzającego na podstawie ww. Umowy tj. …………….. (nazwa podmiotu).

W imieniu administratora

……………………………………….

podpis, pieczątka, data

Załącznik nr 11

ARKUSZ WERYFIKACJI PODMIOTU PRZETWARZAJĄCEGO DANE OSOBOWE

Lp.	Pytanie	Odpowiedź	Uwagi
1	Czy podmiot przetwarzający dane osobowe planuje wyznaczyć/wyznaczył Inspektora Ochrony Danych Osobowych (IOD)?	* - tak zaplanowano wyznaczenie - tak wyznaczono - nie zaplanowano wyznaczenia (uzasadnienie: np. nie jest wymagane przepisami prawa) - zaplanowano wyznaczenie (kiedy: podać przewidywaną datę)	Dane kontaktowe:
2	Jeżeli nie planuje wyznaczyć/nie został wyznaczony IOD, to proszę o wskazanie innej osoby do kontaktu w kwestiach związanych z ochroną danych osobowych.	Osoba do kontaktu….., stanowisko/funkcja…., numer tel.
3	Czy podmiot przetwarzający dane osobowe wprowadził środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz innych aktów regulujących legalne przetwarzanie danych osobowych?	*TAK/NIE/
4	Czy podmiot przetwarzający dane osobowe korzysta z dalszych przetwarzających dane osobowe w procesie przetwarzania danych osobowych na zlecenie administratora danych osobowych?	*TAK/NIE
5	Jeżeli podmiot przetwarzający dane osobowe korzysta z dalszych procesorów, to czy są oni zlokalizowani w ramach Europejskiego Obszaru Gospodarczego?	*TAK/NIE

*Niepotrzebne skreślić/uzupełnić

Oświadczenie:

W imieniu podmiotu przetwarzającego dane osobowe /nazwa podmiotu/ na zlecenie Narodowego Centrum Badań i Rozwoju, oświadczam, że powyżej przekazane informacje są zgodne z prawdą. W przypadku zmiany któregokolwiek z ww. elementów, zobowiązuję się niezwłocznie (nie później niż w terminie 7 dni od wystąpienia zdarzenia) powiadomić o tym Narodowe Centrum Badań i Rozwoju.

…………………….. …………………………………

data Imię, nazwisko/pieczątka oraz podpis osoby uprawnionej

Ocena Inspektora Ochrony Danych w Narodowym Centrum Badań i Rozwoju

Wypełnia IOD :

Rekomenduję/nie rekomenduję zawarcie umowy powierzenia przetwarzania danych osobowych.

Uzasadnienie:…………………………………………………………………………………………

……………………………………………………………………………………………………………

…………………….. ……………………………

data podpis

1 Reprezentacja powinna być zgodna z informacjami w Krajowym Rejestrze Sądowym, który zawiera dane obowiązujące na dzień zawarcia umowy.

2 Przez podmioty gospodarczo powiązane z Zamawiającym rozumie się spółki tworzone przez Zamawiającego na podstawie art. 30a. ust. 1 pkt 2 Ustawy z dnia 30 kwietnia 2010 r. o Narodowym Centrum Badań i Rozwoju (tj.. Dz. U. z 2022 r., poz. 2279)

K1-Informacja Opublikowana (Public)

Strona 21 z 57