Umowa nr / 2019)

(Umowa nr / 2019)

zawarta w Warszawie, dnia ………………. 2019 r. pomiędzy:

Ośrodkiem Przetwarzania Informacji – Państwowym Instytutem Badawczym, z siedzibą w Warszawie (00-608), przy xx. Xxxxxxxxxxxxxx 000x, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000127372, NIP: 000-000-00-00, REGON: 006746090,

reprezentowanym przez ………………………………………..

zwanym „Zamawiający” a

………………………………………

reprezentowanym/ą przez: …………………………….

zwaną „Wykonawca”

łącznie zwanymi dalej „Stronami” o następującej treści:

Niniejsza umowa zawarta jest w wyniku postępowania o udzielenie zamówienia publicznego o wartości nie przekraczającej wyrażonej w złotych równowartości kwoty określonej w art. 4 pkt 8 ustawy Prawo zamówień publicznych (Dz. U. z 2018 r., poz. 1986 z późn. zm. ), oraz zgodnie z ofertą Wykonawcy z dnia

……...2019 r.

Zamówienia publicznego i wyboru Wykonawcy dokonał Zamawiający na podstawie „Regulaminu udzielania zamówień publicznych do kwoty 30.000 euro”, wprowadzonego Zarządzeniem Nr 12/2016 Dyrektora Ośrodka Przetwarzania Informacji - Państwowego Instytutu Badawczego z dnia 20 września 2016 r. w sprawie wprowadzenia nowego Regulaminu udzielania zamówień publicznych do kwoty 30 000 euro, zmienionego Aneksem nr 1 z dnia 17 lutego 2017 r.

§ 1 Przedmiot umowy

1. Przedmiotem niniejszej Umowy jest świadczenie usługi audytu w zakresie bezpieczeństwa systemu teleinformatycznego Zamawiającego, w tym przeprowadzenie testów penetracyjnych, wskazanie podatności i słabości audytowanego systemu teleinformatycznego i środowiska informatycznego, w którym funkcjonuje oraz opracowanie raportów.

2. Przedmiot Umowy będzie realizowany przez Wykonawcę w języku polskim.

3. Szczegółowy opis Przedmiotu Umowy, w tym etapy jego realizacji, zakres wykonywanych czynności w ramach poszczególnych etapów, wykaz audytowanych systemów oraz produkty, które powinny powstać powstałe w wyniku audytu i w związku z jego wykonywaniem określone zostały w opisie przedmiotu zamówienia (OPZ) stanowiącym załącznik nr 1.

4. Przedmiot umowy będzie realizowany w 2 (dwóch) Etapach. Zakres poszczególnych Etapów określa załącznik nr 1. Na potrzeby Umowy nazwy etapów określone w OPZ oznacza się odpowiednio, jako Etapy od I- II.

§ 2 Zasady współpracy

1. Strony Umowy zobowiązują się do pełnej współpracy w ramach realizowanej Umowy, opartej na wzajemnym zaufaniu.

2. W związku z intencją Stron, Wykonawca zobowiązuje się świadczyć usługi objęte Umową z należytą starannością, wymaganą od profesjonalisty przy świadczeniu usług tego rodzaju, zgodnie z obowiązującymi przepisami prawa, zobowiązując się w szczególności do składania wszelkich wyjaśnień w odpowiedzi na składane zapytania przez Zamawiającego w trakcie realizacji zlecenia.

3. W trakcie prac Xxxxxx mogą korespondować i przekazywać informacje za pomocą poczty elektronicznej w sposób określony w § 13 ust. 1.

4. Zamawiający, w każdym czasie, ma prawo do zgłaszania uwag, poprawek, zaleceń i modyfikacji w zakresie Przedmiotu Umowy, w szczególności dotyczących jakości świadczonych usługi, które Wykonawca zobowiązany będzie uwzględniać i zastosować w ramach Umowy.

5. Wykonawca jest zobowiązany w terminie 3 dni od zawarcia Umowy do przedstawienia Zamawiającemu planu realizacji Przedmiotu umowy (wykonanie poszczególnych Etapów), uwzględniając jednocześnie terminy wskazane przez Zamawiającego na realizację poszczególnych Etapów określone w § 4. Istnieje możliwość korekty planów realizacji, o czym Wykonawca powinien poinformować Zamawiającego najpóźniej na 5 dni przed rozpoczęciem kolejnego Etapu. Korekta planów nie może wpływać na ostateczny termin zakończenia danego etapu.

6. Czynności audytowe zostaną wykonane w oparciu o przedstawioną przez Wykonawcę metodykę przyjętą i powszechnie stosowaną dla tego rodzaju usług

7. Czynności audytowe w zakresie, w jakim będą prowadzone w siedzibie Zamawiającego przy xx. Xxxxxxxxxxxxxx 000x i 186 w Warszawie, będą realizowane w dni robocze od poniedziałku do piątku w godz. 8:00 – 16:00. Strony mogą ustalać indywidualny czas wykonywania czynności audytowych inny niż określony w zdaniu poprzednim.

8. Wykonawca zobowiązuje się wykonać Usługę, zgodnie z obowiązującymi przepisami prawa, treścią i celem Umowy, przy zachowaniu najwyższej staranności, uwzględniając zawodowy charakter prowadzonej działalności, zgodnie z zasadami współczesnej wiedzy, w szczególności wiedzy technicznej, zarządczej i prawnej dotyczącej przedmiotu umowy, stosowanymi normami i metodami prowadzenia audytów w tym obszarze.

9. W przypadku wykonywania czynności, które mogą wpłynąć na pracę audytowanego systemu lub innych systemów i sieci Zamawiającego, Wykonawca zgłosi taki fakt na przynajmniej 2 dni robocze przed planowanym terminem prac, celem uzyskania akceptacji Zamawiającego.

10. Przy wykonywaniu Umowy, Wykonawca zobowiązuje się przestrzegać odpowiedniej organizacji prac związanych z realizacją Umowy tak, aby zapewnić jej terminowe wykonanie oraz delegować do prac osoby posiadające niezbędne uprawnienia i kwalifikacje, zgodnie ze złożoną ofertą.

11. W przypadku powierzenia wykonania części Przedmiotu Umowy podwykonawcom, Wykonawca odpowiada za czynności wykonane przez podwykonawców oraz ich personel jak za działania i zaniechania własne. Wykonawca nie może bez uprzedniej pisemnej zgody Zamawiającego powierzyć podwykonawcom wykonania całości lub części prac określonych Umową.

12. Wykonawca, jego podwykonawcy oraz personel odpowiedzialni za realizację obowiązków wynikających z Umowy zobowiązani są do przestrzegania wszystkich wewnętrznych przepisów, postanowień, regulaminów i zasad organizacyjnych i porządkowych obowiązujących w siedzibie Zamawiającego.

13. Przedmiot Umowy będzie wykonany przez osoby wskazane w Ofercie Wykonawcy. Wykonawca odpowiada na zasadzie ryzyka za dobór osób do zespołu audytowego, z uwzględnieniem ich kwalifikacji i doświadczenia, niezbędnych do wykonania Przedmiotu Umowy określonych w OPZ.

14. Zmiana osób wskazanych w Ofercie Wykonawcy może nastąpić jedynie za uprzednią pisemną zgodą Zamawiającego, przy czym osoby zastępujące osoby zmieniane będą musiały posiadać kwalifikacje i doświadczenie nie mniejsze niż określone w OPZ dla członków zespołu audytowego. Na potwierdzenie tego faktu Wykonawca przedłoży stosowne oświadczenia/ dokumenty potwierdzające posiadanie kwalifikacji przez osoby działające w zastępstwie w wykonywaniu przedmiotu umowy.

15. Wykonawca ponosi pełną odpowiedzialność za nadzór nad zespołem audytowym i jego pracami.

16. Warunkiem przystąpienia przez Wykonawcę do realizacji Umowy jest złożenie przez osoby wyznaczone przez niego do realizacji Umowy oświadczenia o bezstronności, niezależności oraz poufności, stanowiącego załącznik nr 2 do Umowy.

17. Wykonawca będzie informował każdorazowo Zamawiającego o dacie rozpoczęcia czynności audytowych w siedzibie Zamawiającego w terminie nie krótszym niż 2 dni robocze przed ich rozpoczęciem.

18. Po każdym Etapie Wykonawca zobowiązany będzie do sporządzenia raportu i przedstawienia jego treści oraz produktów określonych w OPZ dla danego Etapu Zamawiającemu. Dokumentacja w zakresie określonym w zdaniu poprzednim zostanie dostarczona Zamawiającemu w formie pisemnej z podpisem Wykonawcy oraz na nośniku cyfrowym w wersji PDF oraz Word (edytowalnej).

19. Etapy są od siebie niezależne i mogą przebiegać równolegle.

20. Zamawiający zastrzega sobie prawo monitorowania staranności realizacji Przedmiotu Umowy przez upoważnionego przedstawiciela Zamawiającego na każdym jej etapie. Celem kontroli będzie potwierdzenie realizacji Przedmiotu Umowy zgodnie ze złożoną Ofertą Wykonawcy oraz Umową.

§ 3 Prawa i obowiązki stron

1. Wykonawca wykorzystując swoje doświadczenie i wiedzę, zobowiązuje się do realizacji prac zgodnie z przedmiotem i warunkami niniejszej Umowy. W szczególności:

a) Wykonawca przypisze do realizacji Umowy odpowiednio wykwalifikowanych konsultantów,

b) Wykonawca wyznaczy kierunek prac w całym przedsięwzięciu, jak i w poszczególnych jego etapach oraz będzie koordynował działania podejmowane w ramach wykonania Umowy, w szczególności Wykonawca zobowiązuje się na bieżąco informować Zamawiającego o zakresie koniecznych do wykonania usługi danych, informacji i dokumentów,

c) Wykonawca będzie nadzorował cały proces realizacji Przedmiotu Umowy i raportował do Koordynatora Projektu ze strony Zamawiającego o zdarzeniach, które mogą zakłócić wykonanie przedmiotu Umowy,

d) Wykonawca powołuje stanowisko Kierownika Projektu nadzorującego całość prac objętych niniejszą Umową ze strony Wykonawcy,

2. Zamawiający na potrzeby realizacji Przedmiotu Umowy wskazuje Koordynatora Projektu koordynującego prace objęte niniejszą Umową ze strony Zamawiającego.

3. Koordynator Projektu odpowiada za organizację pracy po stronie Zamawiającego, w tym w szczególności za sprawne przekazywanie dokumentów i informacji, zapewnienie dostępu do systemów teleinformatycznych, infrastruktury informatycznej, organizację spotkań, możliwość prowadzenia wizji lokalnych, dostępność osób wskazanych przez Wykonawcę.

4. Zamawiający zapewni konsultantom Wykonawcy niezbędną pomoc w zakresie realizacji Przedmiotu Umowy, w szczególności terminowe, kompletne i adekwatne dostarczanie niezbędnych do wykonania Umowy informacji, dokumentów, dostęp do systemów teleinformatycznych, zasobów, pomieszczeń oraz zapewni wymagane uczestnictwo osób, zgodnie ze wskazaniami zgłoszonymi przez konsultantów Wykonawcy.

5. Zamawiający zapewni terminowe wywiązywanie się swoich pracowników biorących udział w pracach, z zadań wyznaczonych wspólnie przez Xxxxxxxxxxxx Projektu, Konsultantów Wykonawcy oraz Kierownika Projektu.

6. Zamawiający gwarantuje, iż informacje, o które zwróci się Wykonawca w ramach stosowanych narzędzi audytowych i w tym celu udostępniane przez pracowników Zamawiającego lub podmioty trzecie współpracujące z Zamawiającym są rzetelne, dokładne, zgodne z prawdą i niewprowadzające w błąd w żadnym istotnym aspekcie.

7. Konsultantom Wykonawcy towarzyszyć będą osoby wyznaczone przez Zamawiającego.

8. Wykonawca będzie współdziałać z Zamawiającym przy tworzeniu i realizacji szczegółowych harmonogramów warunkujących wykonanie poszczególnych Etapów Przedmiotu Umowy, z tym zastrzeżeniem, że zakres prac przewidziany na poszczególne Etapy musi być wykonany zawsze w terminie przewidzianym dla danego etapu.

9. Zamawiający w razie potrzeby, w miarę swoich możliwości, udostępni Wykonawcy na czas wykonywania prac pomieszczenia biurowe, w celu realizacji Przedmiotu Umowy w siedzibie Zamawiającego.

§ 4 Terminy

1. Przedmiot Umowy będzie wykonywany w etapach, dla których wykonania Zamawiający przewiduje następujące terminy realizacji:

a) Etap 1 w terminie do 3 tygodni od dnia zawarcia Umowy , w sposób określony w ust. 2,

b) Etap 2 w terminie do 6 tygodni od dnia zawarcia Umowy, w sposób określony w ust.2,

2. Wykonawca przystąpi do rozpoczęcia realizacji prac objętych przedmiotem Umowy w ciągu 3 dni od daty zawarcia Umowy.

3. Szczegółowe terminy realizacji poszczególnych działań w ramach etapów ustalane są wspólnie przez Kierownika Projektu i Koordynatora po stronie Zamawiającego. Szczegółowe harmonogramy muszą się mieścić w terminach wskazanych w ust. 1.

4. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn leżących po stronie Zamawiającego, terminy realizacji usług, w tym dostarczenia kontraktowych wyników prac mogą ulec przedłużeniu o czas trwania opóźnień na podstawie decyzji Wykonawcy.

5. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn zawinionych przez Wykonawcę, Zamawiający ma prawo, po pisemnym wyznaczeniu dodatkowego terminu i nie dotrzymaniu go przez Wykonawcę, odstąpić od Umowy w całości lub w części.

6. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn zawinionych przez Zamawiającego, Wykonawca ma prawo, po pisemnym wyznaczeniu dodatkowego odpowiedniego terminu i niedotrzymaniu go przez Zamawiającego, odstąpić od Umowy w całości lub części.

7. Całkowite wykonanie Przedmiotu umowy nastąpi nie później niż do upływu 6 tygodni od daty zawarcia Umowy. Termin, o którym mowa w zdaniu poprzednim zostanie zachowany, jeżeli Wykonawca do tego dnia wykona prawidłowo Przedmiot umowy i Strony podpiszą Protokół Odbioru Końcowego bez zastrzeżeń.

§ 5 Zobowiązanie do poufności

1. Wykonawca zobowiązuje się zachować w tajemnicy i nie ujawniać ani nie wykorzystywać bez pisemnej zgody Zamawiającego żadnych informacji uzyskanych od Zamawiającego otrzymanych: ustnie, w formie dokumentu, pliku komputerowego i na innych nośnikach informacji, w szczególności o Zamawiającym i podmiotach z nim współpracujących. Obowiązek określony w zdaniu pierwszym dotyczy w szczególności informacji pozyskanych w trakcie czynności audytowych, informacji technicznych, technologicznych, organizacyjnych, personalnych, pracowniczych, nie wyłączając wszelkich innych informacji na temat Zamawiającego, pozyskanych w związku z wykonywaniem Umowy.

2. Wykonawcy nie wolno, bez uprzedniej zgody Zamawiającego wyrażonej na piśmie, udostępniać osobom trzecim żadnych informacji i materiałów dostarczonych przez Zamawiającego, powstałych we współpracy z Zamawiającym lub wykonanych samodzielnie przez Wykonawcę na rzecz Zamawiającego podczas wykonywania Umowy.

3. Wykonawcy nie wolno w sposób nieuprawniony wejść do zasobów danych Zamawiającego (nie dotyczy testów penetracyjnych black box wykonywanych w ramach czynności audytowych). Zabronione jest również udostępnienie i wykonywanie jakichkolwiek kopii danych i informacji o Zamawiającym bez jego wiedzy i pisemnej zgody.

4. Wykonawca po zakończeniu realizacji Umowy ma obowiązek zwrócić Zamawiającemu w ciągu 14 dni, nie pozostawiając sobie żadnych kopii wszelkie dokumenty, pliki, materiały, w posiadanie których wszedł wykonując Umowę. Wykonawca ma również obowiązek usunięcia, bez prawa do pozostawiania sobie kopii, powyższych materiałów zapisanych w postaci elektronicznej na dowolnych nośnikach.

5. Wykonawca ma obowiązek pouczyć swoich pracowników, a także wszelkie osoby związane z działalnością Wykonawcy na podstawie umowy o pracę, powołania lub umowy cywilnoprawnej, które mają dostęp do danych Zamawiającego o zobowiązaniach wobec Zamawiającego wynikających z powyższych postanowień. Wykonawca odpowiada za naruszenia osób określonych powyżej jak za swoje własne. Wykonawca zobowiązany jest do zabezpieczenia posiadanych dokumentów, a także jakichkolwiek nośników informacji na których znajdują się dane Zamawiającego przed dostępem osób postronnych i przed kradzieżą.

6. Obowiązek zachowania poufności informacji obowiązuje Wykonawcę przez cały okres współpracy z Zamawiającym oraz przez okres 5 lat po zakończeniu tej współpracy, liczonych od dnia podpisania Protokołu Odbioru Końcowego bez zastrzeżeń. Zamawiający może zwolnić Wykonawcę z obowiązku zachowania poufności przed upływem tego okresu składając stosowane oświadczenie w tym zakresie w formie pisemnej.

7. Odstępstwo od zasady zachowania w poufności pozyskanych informacji, o których mowa w ust. 1 jest dozwolone jedynie w przypadku żądania ich przez uprawnione organy, działające na podstawie obowiązujących przepisów prawa.

8. W przypadku naruszenia przez Wykonawcę zobowiązań wynikających z zapisów niniejszego paragrafu dotyczących zachowania w poufności informacji, o których mowa w ust. 1, Zamawiający będzie miał prawo do żądania natychmiastowego zaniechania naruszenia i usunięcia jego skutków.

9. Niezależnie od uprawnienia przysługującego Zamawiającemu w ust. 8 w razie naruszenia obowiązków, wynikających z niniejszego paragrafu Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 15 000 zł (słownie: piętnaście tysięcy złotych) za każdy stwierdzony przypadek naruszenia. Jeżeli szkoda poniesiona przez Zamawiającego przewyższy wysokość zastrzeżonej kary, może on dochodzić pozostałej części odszkodowania.

§ 6 Wynagrodzenie i zasady płatności

1. Z zastrzeżeniem uprawnień Zamawiającego do potrącenia kar umownych określonych w Umowie, Zamawiający za prawidłowe wykonanie w całości Przedmiotu Umowy zapłaci Wykonawcy wynagrodzenie w kwocie ………………………… zł brutto (słownie:

…………………………………………………………………………………………… złotych brutto).

2. Wynagrodzenie, o którym mowa w ust. 1 będzie płatne w całości, po prawidłowym wykonaniu wszystkich Etapów Przedmiotu Umowy.

3. Kwota wynagrodzenia wskazana w ust. 1 zawiera podatek od towarów i usług zgodny ze stawką obowiązująca w chwili wystawienia faktury.

4. Płatność będzie zrealizowana w ciągu 14 dni od daty otrzymania prawidłowo wystawionej faktury VAT na rachunek Wykonawcy w niej wskazany. Podstawą wystawienia faktury będzie podpisanie bez zastrzeżeń przez Zamawiającego Protokołu Odbioru Końcowego.

5. W przypadku odstąpienia od realizacji Umowy na podstawie postanowień § 12 Umowy, Wykonawcy przysługuje prawo do wynagrodzenia w wysokości proporcjonalnej do zakresu wykonanych prac. W takim wypadku Wykonawca przedstawi szczegółowy zakres i wycenę zrealizowanych prac.

6. Wykonanie przedmiotu umowy jest finansowane ze środków Unii Europejskiej w ramach Europejskiego Funduszu Rozwoju Regionalnego, Programu Operacyjnego Polska Cyfrowa 2014-2020 oraz z budżetu państwa.

§ 7 Czas trwania umowy

1. Niniejsza Umowa wchodzi w życie z dniem jej zawarcia. Umowa zostaje zawarta z dniem złożenia podpisów przez obie Strony.

2. Umowa zostaje zawarta na czas wykonania przedmiotu Umowy.

3. Umowa może zostać natychmiast rozwiązana przez każdą ze Stron w przypadku:

a) rażącego naruszenia postanowień Umowy przez drugą Stronę,

b) istotnego utrudniania realizacji Umowy przez pracowników drugiej Strony.

4. Postanowienia § 5 obowiązują przez czas w nich określony po zakończeniu Umowy.

§ 8 Autorskie prawa

1. W ramach otrzymanego wynagrodzenia, Wykonawca przenosi na Zamawiającego, autorskie prawa majątkowe do Utworów powstałych w związku z realizacją Przedmiotu Umowy.

2. Przeniesienie autorskich praw majątkowych następuje na wszystkich istniejących w dniu zawarcia Umowy polach eksploatacji, w szczególności – w zależności od rodzaju utworu – na polach eksploatacji określonych odpowiednio w art. 50 i 74 ustawy o prawie autorskim i prawach pokrewnych, w tym:

a) w zakresie utrwalania i zwielokrotniania Utworu – wytwarzanie każdą znaną techniką egzemplarzy utworu, w tym techniką drukarską, cyfrową, reprograficzną, zapisu magnetycznego,

b) w zakresie obrotu oryginałem oraz egzemplarzami, na których Utwór utrwalono – wprowadzenie do obrotu, użyczenie lub najem oryginału oraz egzemplarzy,

c) w zakresie rozpowszechniania Utworu w sposób inny niż opisany w pkt. b) powyżej – publiczne wykonanie, wystawienie, wyświetlenie, odtworzenie oraz nadawanie i remitowanie, a także publiczne udostępnianie utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym,

d) modyfikacja Utworu,

e) wprowadzanie do pamięci komputera,

f) tłumaczenie, przystosowanie modyfikacji oraz dokonywanie innych zmian.

3. Przeniesienie autorskich praw majątkowych do Utworów jak i własność nośników, na których zostały one utrwalone następuje z chwilą wydania Utworów Zamawiającemu.

4. Przeniesienie praw autorskich majątkowych nie będzie w żaden sposób ograniczone czasowo ani terytorialnie.

5. Przeniesienie praw autorskich, obejmuje również przeniesienie prawa do korzystania i rozporządzania opracowaniami Utworów (wykonywania praw zależnych).

6. W przypadku gdyby do powstałego, w ramach wykonywania Przedmiotu Umowy, Utworu powstały autorskie prawa majątkowe wspólne – przysługujące współautorom Xxxxxx, przeniesienie praw autorskich majątkowych zgodnie z postanowieniami niniejszego paragrafu dotyczyć będzie udziału Wykonawcy w tych prawach, z zastrzeżeniem postanowień ust. 7.

7. Wykonawca zobowiązuje się, że najpóźniej z chwilą przekazania Utworu Zamawiającemu, przysługiwać Wykonawcy będzie pełnia praw autorskich majątkowych do Utworu przekazywanego oraz, że będzie posiadał prawa do udzielenia zgód i zezwoleń, o których mowa w ust. 8.

8. Wykonawca z chwilą przekazania Zamawiającemu Utworu, udziela Zamawiającemu zezwolenia na korzystanie z utworu w całości lub w dowolnych fragmentach (częściach) jak również zezwolenia na dokonywanie zmian w treści i formie Utworu oraz na korzystanie z Utworu bez wskazania jego twórcy. Zezwolenia mają charakter bezterminowy i nieodwołalny.

9. Przyjęcie Utworów następuje z chwilą ich przekazania Zamawiającemu.

10. Wykonawca zobowiązuje się w imieniu osób fizycznych wykonujących Przedmiot Umowy do niewykonywania przez nie osobistych praw autorskich do utworów powstałych w wyniku realizacji Umowy.

§ 9 Klauzula informacyjna

1. Zamawiający oświadcza, iż jest administratorem danych osobowych w rozumieniu Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 r., zwanego dalej RODO, w odniesieniu do danych osobowych osób fizycznych reprezentujących Wykonawcę oraz osób fizycznych wskazanych przez Wykonawcę jako osoby do kontaktu/ koordynatorzy/ osoby odpowiedzialne za wykonanie niniejszej Umowy.

2. Zamawiający oświadcza, że wyznaczył inspektora ochrony danych, z którym można kontaktować się w sprawach związanych z przetwarzaniem danych osobowych na adres poczty elektronicznej: xxx@xxx.xxx.xx

3. Dane osobowe osób, o których mowa w ust. 1, będą przetwarzane przez Zamawiającego na podstawie art. 6 ust.1 lit. f) RODO w ramach prawnie uzasadnionego interesu realizowanego przez administratora jakim jest zawarcie i wykonanie umowy. Dane będą przetwarzane jedynie w celu i zakresie niezbędnym do wykonania zadań związanych z realizacją Umowy w kategorii danych identyfikacyjnych i kontaktowych.

4. Dane osobowe osób, o których mowa w ust. 1, nie będą przekazywane podmiotom trzecim o ile nie będzie się to wiązało z koniecznością wynikającą z realizacji niniejszej Umowy.

5. Dane osobowe osób, o których mowa w ust. 1, będą przetwarzane przez okres 10 lat od końca roku kalendarzowego w którym niniejsza Umowa została wykonana, chyba że niezbędny będzie dłuższy okres przetwarzania np.: z uwagi na obowiązki archiwizacyjne, dochodzenie roszczeń itp.

6. Osobom, o których mowa w ust. 1, przysługuje prawo do żądania od administratora danych dostępu do ich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub wniesienia sprzeciwu wobec ich przetwarzania, a także prawo do przenoszenia danych.

7. Osobom, o których mowa w ust. 1, w związku z przetwarzaniem ich danych osobowych przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

8. Podanie danych osobowych, o których mowa w ust. 1, jest wymagane do zawarcia Umowy, odmowa podania danych osobowych skutkuje niemożnością zawarcia i realizacji Umowy. Wniesienie żądania usunięcia lub ograniczenia przetwarzania może skutkować (według wyboru zamawiającego) rozwiązaniem niniejszej Umowy z winy Wykonawcy. Wniesienie przez wyżej opisaną osobę fizyczną żądania jak w zdaniu drugim skutkuje obowiązkiem Wykonawcy niezwłocznego wskazania innej osoby w jej miejsce.

9. Wykonawca zobowiązuje się poinformować osoby fizyczne nie podpisujące niniejszej Umowy, o których mowa w ust. 1, o treści niniejszego paragrafu.

10. Wykonawca zobowiązany jest do zawarcia z Zamawiającym umowy powierzenia przetwarzania danych w brzmieniu określonym w załączniku nr 3 do Umowy w przypadku zaistnienia konieczności dostępu Wykonawcy, w trakcie realizacji Umowy, do danych osobowych Zamawiającego. Strony zobowiązują się zawrzeć ww. umowę przed uzyskaniem przez Wykonawcę dostępu do danych osobowych, o których mowa powyżej.

§ 10 Rozstrzygnięcie sporów

Spory związane z wykonaniem Umowy, a nie rozwiązane przez Xxxxxx na drodze ugodowej, będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.

§ 11 Odpowiedzialność

1. Wykonawca ponosi względem Zamawiającego odpowiedzialność z tytułu niewykonania lub nienależytego wykonania Umowy na zasadach ogólnych, w szczególności określonych przepisami kodeksu cywilnego, z zastrzeżeniem poniższych postanowień niniejszego paragrafu.

2. Za każdy dzień opóźnienia w realizacji prac lub obowiązków określonych Umową lub terminem wyznaczonym przez Zamawiającego, Zamawiający może żądać od Wykonawcy zapłaty kary umownej w

wysokości 1% wynagrodzenia brutto, określonego w § 6 ust. 1, licząc od następnego dnia po dniu upływu tego terminu.

3. W każdym przypadku, w którym Zamawiający na podstawie Umowy lub z mocy obowiązujących przepisów prawa (to jest w szczególności w sytuacjach zwłoki Wykonawcy w wykonaniu jego zobowiązań umownych oraz w razie wadliwego wykonywania prac objętych Umową) ma prawo do odstąpienia od umowy lub jej rozwiązania z przyczyn leżących po stronie Wykonawcy i skorzysta z prawa odstąpienia od umowy lub jej rozwiązania, to może również żądać od Wykonawcy zapłaty kary umownej w wysokości 15 % wynagrodzenia, o którym mowa w § 6 ust. 1.

4. Zamawiający może żądać kary umownej w wysokości 0,3 % wynagrodzenia w każdym przypadku stwierdzenia naruszenia przez Wykonawcę postanowień umownych, z zastrzeżeniem ust. 2, 3 oraz § 5 ust. 9.

5. Kary umowne mogą zostać potrącone przez Zamawiającego z wynagrodzenia Wykonawcy, na co Wykonawca wyraża zgodę.

6. Strony mogą dochodzić na zasadach ogólnych odszkodowań przewyższających zastrzeżone na ich rzecz kary umowne.

§ 12 Odstąpienie od umowy

1. Zamawiający będzie mógł odstąpić od Umowy:

a) w przypadku, gdy Wykonawca nie rozpoczął wykonywania Umowy i jej nie realizuje przez okres dłuższy niż 10 dni roboczych od daty zawarcia Umowy lub w każdym przypadku, gdy zaprzestał realizacji Umowy i jej nie realizuje przez okres dłuższy niż 15 dni – w każdym czasie, jednak nie później niż w terminie 15 dni liczonych od dnia spełnienia się wskazanych przesłanek uprawniających do odstąpienia dla danego przypadku,

b) w przypadku, gdy stwierdzi rażącą niezgodność Przedmiotu Umowy z OPZ, aktualnym stanem prawnym oraz wymaganiami określonymi w Umowie, natomiast Wykonawca nie usunie tych uchybień w przeciągu 5 dni od ich pisemnego zgłoszenia – w każdym czasie, jednak nie później niż w terminie 20 dni liczonych od dnia spełnienia się przesłanek uprawniających do odstąpienia dla danego przypadku,

c) w przypadku nie wykonania przez Wykonawcę Przedmiotu umowy w terminie przewidzianym Umową na jego wykonanie i pomimo wezwania Wykonawca nie wykonał go w terminie wyznaczonym przez Zamawiającego– w każdym czasie jednak nie później niż w terminie do 20 dni liczonych od dnia spełnienia się przesłanek uprawniających do odstąpienia dla danego przypadku,

d) w każdym czasie, gdy wystąpi istotna zmiana okoliczności, powodująca, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy i OPI PIB oświadczy o odstąpieniu od umowy w terminie 30 dni od dnia powzięcia wiadomości o tych okolicznościach.

2. Zamawiający ma prawo rozwiązać Umowę w trybie natychmiastowym w przypadku:

a) rażącego naruszenia postanowień Umowy,

b) opóźnień w realizacji prac w stosunku do przyjętych przez Umowę lub Strony terminów trwających dłużej niż 10 dni.

§ 13 Osoby wskazane do realizacji przedmiotu umowy oraz adresy do doręczeń

1. Strony wyznaczają następujące osoby:

a) Koordynator Projektu ze strony Zamawiającego:

……………………, tel. kom. …………………., , e-mail: …………………………………….

b) Kierownik Projektu ze strony Wykonawcy:

…………………………, tel. …………………………………, fax ,

tel. kom. ……………………, e-mail: ………………………..

2. Zmiana osób, o których mowa w ust. 1 nie powoduje zmiany Umowy w rozumieniu

§ 14 ust. 1 i odbywa się poprzez zawiadomienie drugiej Strony.

3. Wszelka korespondencja między Stronami w sprawach związanych z Umową będzie kierowana na poniższe adresy:

a) do Zamawiającego: xx. Xxxxxxxxxxxxxx 000x, 00-000 Xxxxxxxx.

b) do Wykonawcy:……..

4. O ile Strony nie postanowią inaczej, wszelkie oficjalne lub istotne zawiadomienia i oświadczenia jednej Strony składane drugiej Stronie będą uznane za prawidłowo przekazane, jeśli zostaną sporządzone w formie pisemnej i doręczone osobiście za potwierdzeniem odbioru, za pośrednictwem listu poleconego z potwierdzeniem odbioru lub za pośrednictwem poczty kurierskiej.

5. W bieżących sprawach związanych z realizacją prac korespondencja między Stronami następować będzie w formie e-mailowej na adresy wskazane w ust. 1.

6. Strony zobowiązują się do informowania o zmianie adresów do doręczeń korespondencji. W przypadku niepoinformowania o zmianie adresu, korespondencję wysłaną na ostatni adres strony znany drugiej stronie uznaje się za skutecznie doręczoną w dacie jej nadania.

§ 14 Zmiany umowy

1. Wszelkie zmiany treści Umowy, wymagają formy pisemnej pod rygorem nieważności.

§ 15 Załączniki do umowy

Załączniki do Umowy stanowią integralną część Umowy.

§ 16 Klauzula salwatoryjna

W przypadku uznania jakiegokolwiek sformułowania lub postanowienia niniejszej Umowy za niezgodne z prawem i uznania tego sformułowania lub postanowienia za nieważne, Strony zobowiązują się uzgodnić nowe sformułowanie lub postanowienie, którego znaczenie będzie najbardziej zbliżone do pierwotnej intencji Stron i zgodne z obowiązującymi przepisami prawa.

§ 17 Stosowanie prawa

W sprawach nieuregulowanych postanowieniami niniejszej Umowy mają zastosowanie właściwe dla natury zdarzenia przepisy prawa, w szczególności przepisy kodeksu cywilnego, oraz ustawy o prawie autorskim i prawach pokrewnych.

§ 18 Egzemplarze umowy

Niniejsza Umowa sporządzona została w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.

Lista załączników do Umowy:

1. Opis przedmiotu zamówienia

2. Oświadczenie o poufności

3. Umowa powierzenia przetwarzania danych

Zamawiający Wykonawca

Załącznik nr 2 do umowy

Warszawa, dnia            

OŚWIADCZENIE

Xx, ………………………………………………………….. niniejszym oświadczam, że zostałam/em zapoznana/y z obowiązującymi przepisami prawa oraz wewnętrznymi regulacjami OPI PIB dotyczącymi ochrony danych osobowych i bezpieczeństwa informacji i w związku z udziałem w realizacji umowy z dnia

…………..zobowiązuję się do:

1. zachowania w tajemnicy i nie ujawniania ani nie wykorzystywania bez pisemnej zgody OPI PIB żadnych informacji (w tym danych osobowych) uzyskanych w trakcie działań i czynności audytowych, informacji technicznych, technologicznych, organizacyjnych, personalnych, pracowniczych i innych otrzymanych: ustnie, w formie dokumentu, pliku komputerowego i na innych nośnikach informacji, w szczególności o OPI PIB i podmiotach z nim współpracujących.

2. nieudostępniania bez uprzedniej zgody OPI PIB wyrażonej na piśmie osobom trzecim żadnych informacji i materiałów dostarczonych przez OPI PIB, powstałych we współpracy z OPI PIB lub wykonanych samodzielnie na rzecz OPI PIB podczas wykonywania Umowy.

3. nie wchodzenia w sposób nieuprawniony do zasobów danych OPI PIB (nie dotyczy testów penetracyjnych black box realizowanych w ramach czynności audytowych).

4. nie udostępniania i wykonywania jakichkolwiek kopii danych i informacji pochodzących z i na temat OPI PIB bez jego wiedzy i pisemnej zgody.

5. do zwrotu OPI PIB, bez wykonywania kopii, wszelkich dokumentów, plików i materiałów w posiadanie, których weszłam/wszedłem wykonując czynności audytowe.

6. do usunięcia, bez prawa do pozostawiania sobie kopii, powyższych dokumentów i materiałów zapisanych w postaci elektronicznej na dowolnych nośnikach.

7. do zabezpieczenia posiadanych dokumentów, a także jakichkolwiek nośników informacji na których znajdują się dane udostępnione przez OPI PIB przed dostępem osób postronnych, ich uszkodzeniem i kradzieżą.

8. do zachowania poufności informacji uzyskanych w trakcie trwania audytu przez cały okres współpracy z OPI PIB oraz przez okres 5 lat po zakończeniu tej współpracy, liczonych od dnia podpisania Protokołu Odbioru Końcowego, bez zastrzeżeń. Zamawiający może zwolnić Wykonawcę z obowiązku zachowania poufności przed upływem tego okresu składając stosowane oświadczenie w tym zakresie w formie pisemnej.

9. do korzystania ze sprzętu IT, w tym urządzeń mobilnych oraz oprogramowania zapewniających bezpieczeństwo informacji (legalność oprogramowania, szyfrowanie dysków i innych nośników danych),

10. nieudostępniania sprzętu wykorzystywanego przy realizacji umowy, w szczególności urządzeń mobilnych, osobom trzecim

Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami, może być uznane jako rażące naruszenie postanowień umownych uprawniające OPI PIB do rozwiązania umowy, naliczenia kar umownych i dochodzenia roszczeń odszkodowawczych.

W każdym przypadku naruszenie powyższych zobowiązań może stanowić przestępstwo przeciwko ochronie informacji sankcjonowane przepisami kodeksu karnego.

Czytelny podpis osoby upoważnionej

Załącznik nr 3 do umowy

Umowa nr / 2019

dot. powierzenia przetwarzania danych osobowych (dalej: UPD)

zawarta dnia w Warszawie pomiędzy:

Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie, al. Niepodległości 188b, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000127372, posiadający nr NIP 525 – 000 – 91 – 40 oraz nr REGON 006746090,

reprezentowany przez: dr Xxxxx Xxxxx - Dyrektora Instytutu zwaną w dalszej części Umowy

„Administratorem” oraz

……………………….. z siedzibą w …………………….., przy ul. , zarejestrowaną w Sądzie Rejonowym dla

………………….. w …………….., ………. Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem:

………………… posiadającą numer NIP: …………….., numer REGON: …………………………

(ew. zamieszkałym w )

reprezentowanym przez:

………………………………………. reprezentowanym przez:

zwaną w dalszej części Umowy „Podmiotem przetwarzającym”

§ 1

Powierzenie przetwarzania danych osobowych

1. W związku z zawarciem i realizacją umowy nr ………………………. z dnia 2019 r. dotyczącej

wykonywania usługi audytu bezpieczeństwa systemu teleinformatycznego Administratora (dalej: Umowa), Administrator powierza Podmiotowi przetwarzającemu dane osobowe przetwarzane w związku ze świadczoną usługą w tym systemie.

2. Przedmiotem przetwarzania są dane wskazane w ust. 1. Zakres danych osobowych wymienionych w ust.

1 będzie przetwarzany w zakresie niezbędnym do realizacji usługi i każdorazowo uzgadniany z Administratorem,.

3. Z tytułu wykonywania świadczeń określonych w UPD Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie.

4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z poleceniem Administratora, przestrzegając:

1) postanowień UPD

2) postanowień Umowy,

3) obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 r. (dalej: Rozporządzenie).

5. Administrator oświadcza, że jest uprawniony do przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.

6. Podmiot przetwarzający oświadcza, że w ramach prowadzonej działalności profesjonalnie zajmuje się przetwarzaniem danych osobowych objętych Umową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania postanowień UPD.

7. Poprzez zawarcie UPD Administrator poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej

dostęp do danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a) w zw. z art. 29 RODO.

8. Przetwarzanie danych osobowych wskazanych w ust. 1 odbywa się w miejscu określonym w załączniku nr 1. Zawierając UPD, Administrator udziela wyraźnej zgody na przetwarzanie danych osobowych w miejscach wymienionych w załączniku nr 1 w przypadku Podmiotu przetwarzającego.

9. Jeżeli przetwarzanie danych osobowych będzie odbywać się poza Unią Europejską („UE”), takie przetwarzanie nastąpi wyłącznie w przypadku, gdy Administrator wyrazi uprzednią pisemną zgodę i pod warunkiem, że przetwarzanie będzie się odbywać w oparciu o odpowiednie środki bezpieczeństwa, które zapewnią odpowiedni poziom ochrony danych osobowych.

§ 2

Charakter i cel przetwarzania danych

1. Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu danych osobowych w celu i zakresie niezbędnym i koniecznym do realizacji Umowy, w szczególności obejmującym takie operacje jak dostęp do danych, korzystanie z danych wyłącznie na potrzeby realizacji Umowy, utrwalanie, przechowywanie, wykonywane w sposób zautomatyzowany za pośrednictwem systemów informatycznych wykorzystywanych w celu realizacji Umowy.

2. Charakter przetwarzania danych wynika z Umowy. W szczególności określony jest rolą Podmiotu przetwarzającego jako podmiotu realizującego w imieniu i na rzecz Administratora usługę audytu bezpieczeństwa systemów teleinformatycznych.

3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób: osoby fizyczne których dane osobowe przetwarzane są w audytowanych systemach teleinformatycznych.

§ 3

Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się:

1) przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy, zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia, wykaz stosowanych środków technicznych i organizacyjnych na dzień zawarcia UPD stanowi załącznik nr 2,

2) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 UPD wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy i UPD,

3) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,

4) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub UPD, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy,

5) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących

przepisach oraz w UPD,

6) stosować środki w celu zaradzenia naruszeniom ochrony danych osobowych oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,

7) stosować się do pisemnych instrukcji wydanych przez Administratora w zakresie przetwarzania powierzonych danych osobowych, chyba że co innego wynika z wiążących Podmiot przetwarzający obowiązujących przepisów prawa. W tym drugim przypadku Podmiot przetwarzający informuje Administratora o przepisach prawnych i wynikających z nich obowiązkach,

8) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz podjęte działania zaradcze w sposób określony w § 7.

2. Podmiot przetwarzający pomaga Administratorowi:

1) w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),

2) w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w

§ 10 ust. 5 UPD niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia,

z uwzględnieniem postanowień ust. 1 pkt 8 i § 7).

3. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o naruszeniu ochrony powierzonych danych jakimkolwiek podmiotom bez uprzedniej konsultacji z Administratorem.

4. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania o wszelkich zgłoszeniach praw osób których dane dotyczą, jeżeli zgłoszenia te dotyczą powierzonych danych.

5. Podmiot przetwarzający po zakończeniu Umowy, nie później niż w ciągu 30 dni od jej zakończenia, jest zobowiązany do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.

6. Podmiot przetwarzający nie ma prawa do wykorzystywania powierzonych danych w jakimkolwiek celu po wygaśnięciu, rozwiązaniu lub odstąpieniu od Umowy, z wyjątkiem usunięcia lub zwrotu Administratorowi; dane te stanowią tajemnicę przedsiębiorstwa Administratora.

7. Podmiot przetwarzający zobowiązany jest na żądanie Administratora do złożenia pisemnego oświadczenia o zrealizowaniu ciążącego na nim zobowiązania o którym mowa w ust. 5 i 6, zgodnie z treścią określoną w protokole likwidacji (załącznik nr 3).

8. Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie w celach dla których otrzymał instrukcje oraz w celu wypełnienia zobowiązań wynikających z UPD. Podmiot przetwarzający nie będzie wykorzystywać danych osobowych do innych celów.

9. Podmiot przetwarzający nie będzie przekazywał danych osobowych stronom trzecim, chyba że przekazanie to odbywa się zgodnie z instrukcjami Administratora w związku z realizacją Umowy lub gdy jest to konieczne w celu wywiązania się z obowiązku prawnego.

10.Podmiot przetwarzający nie będzie modyfikował danych osobowych bez instrukcji Administratora.

11.Podmiot przetwarzający powinien prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zgodnie z wymogami wynikającymi z RODO.

§ 4

Prawo do kontroli

1. Administrator ma prawo kontroli (audytu), czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia UPOD i RODO. W tym celu Podmiot przetwarzający umożliwia Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich.

2. Administrator poinformuje Podmiot przetwarzający o zamiarze przeprowadzenia audytu. Podmiot przetwarzający wyznaczy terminy możliwych audytów w ciągu 14 dni roboczych od otrzymania powiadomienia. Prawo audytu dotyczy wyłącznie danych powierzonych przez Administratora oraz miejsca ich przetwarzania. Audyt może odbyć się w wyznaczonym przez Podmiot przetwarzający czasie i pod kontrolą wyznaczonej przez niego osoby. Jeżeli w ciągu 14 dni Podmiot przetwarzający nie wyznaczy terminów Administrator jest uprawniony do wskazania terminów audytów.

3. Niezależnie od postanowień ust. 2 Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia informacji dotyczących przetwarzania powierzonych mu danych osobowych

w terminie 14 dni od dnia otrzymania takiego wniosku.

4. Podmiot przetwarzający udostępni Administratorowi informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.

5. Po stwierdzeniu przez Administratora naruszeń Umowy Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony pomiędzy Stronami.

§5

Podpowierzenie

1. Podmiot przetwarzający jest uprawniony do dalszego powierzania wskazanych w § 1 ust. 1 UPD danych osobowych w celu niezbędnym do wykonania Umowy lub UPD, podmiotom będącym podwykonawcami Podmiotu przetwarzającego, po uprzednim przekazaniu informacji o tych podmiotach i miejscu przetwarzania przez nich danych. Administrator podpisując UPD udziela Podmiotowi przetwarzającemu zgody na zaangażowanie podwykonawców wymienionych w załączniku nr 1. Podmiot przetwarzający zobowiązany jest przekazać Administratorowi informacje w zakresie wskazanym w załączniku nr 1 dotyczących podwykonawcy lub dalszych podwykonawców. W okresie obowiązywania UPD Podmiot przetwarzający, w razie potrzeby i w rozsądnym terminie przed dokonaniem zmiany, będzie ten załącznik aktualizował przesyłając jego treść Administratorowi w sposób określony w § 10 ust. 5, z zastrzeżeniem ust. 2.

2. Podmiot przetwarzający poinformuje Administratora na piśmie o wszelkich zmianach polegających na zastąpieniu lub dodaniu podwykonawców. Administrator danych może sprzeciwić się takim zmianom w formie pisemnej, w terminie 7 dni od pisemnego powiadomienia go o zaangażowaniu podwykonawców. W przypadku sprzeciwu Podmiot przetwarzający nie może skorzystać z takiego podwykonawcy.

3. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podmioty wskazane w ust. 1 spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Podmiot przetwarzający, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych

i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.

4. Zaangażowanie podwykonawcy nie wpływa na obowiązki Podmiotu przetwarzającego względem Administratora. Za działania i zaniechania podwykonawców Podmiot przetwarzający odpowiada jak za działania i zaniechania własne. Dostęp do danych osobowych może zostać udzielony tylko wtedy, gdy podwykonawca przestrzega (lub zapewnia przestrzeganie) obowiązków wynikających z UPD. Podmiot przetwarzający zawrze pisemną umowę z podwykonawcą, która będzie zgodna z prawem, odpowiednimi przepisami oraz UPD.

§ 6

Odpowiedzialność

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy oraz UPD, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot powierzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzoru ochrony danych

3. Podmiot przetwarzający będzie chronił, zabezpieczał i zwolni Administratora z odpowiedzialności za wszelkie roszczenia, działania, szkody, straty, koszty i wydatki (w tym między innymi uzasadnione koszty obsługi prawnej, consultingowej i audytowej), wynikające z lub będące następstwem roszczeń jakiejkolwiek strony trzeciej wobec Administratora, wynikających z lub będących następstwem niespełnienia przez Podmiot przetwarzający jakichkolwiek obowiązków dotyczących ochrony powierzonych danych osobowych oraz wszelkich innych obowiązków nałożonych na niego na mocy UPD.

4. W przypadku jakichkolwiek roszczeń strony trzeciej Podmiot przetwarzający ma obowiązek poinformowania Administratora o wystąpieniu takiego roszczenia niezwłocznie nie później niż w ciągu 3 dni od momentu, w którym posiadł informację na temat wystąpienia roszczenia strony trzeciej.

5. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób oraz podmiotów, przy pomocy których przetwarza powierzone dane osobowe, czy też umożliwia im dostęp do powierzonych danych, w tym podwykonawców jak za własne działanie i zaniechanie.

6. Za szkody wyrządzone Administratorowi z tytułu przetwarzania danych osobowych w sposób naruszający przepisy o ochronie danych osobowych lub UPD Administrator może dochodzić od Podmiotu przetwarzającego odszkodowania na zasadach ogólnych, z zastrzeżeniem postanowień poniżej.

7. Za każde naruszenie postanowień UPD, zasad dotyczących przetwarzania i ochrony danych osobowych w niej określonych lub w powszechnie obowiązujących przepisach prawa, w tym RODO, Administrator może żądać od Podmiotu przetwarzającego kary umownej w wysokości 20 000 zł (słownie złotych: dwadzieścia tysięcy zł) za każdy przypadek naruszenia. Za przypadek naruszenia rozumie się w szczególności każde jednorazowe, niezgodne z prawem lub UPD przetwarzanie danych osobowych osoby fizycznej, której dane dotyczą. Administrator może dochodzić odszkodowania przewyższającego wysokość kar umownych.

8. Karę umowną Podmiot przetwarzający zobowiązany będzie zapłacić na wskazany przez Administratora rachunek bankowy przelewem, w terminie 7 dni od dnia doręczenia mu przez Administratora żądania zapłaty takiej kary umownej.

§ 7

Naruszenie bezpieczeństwa danych

1. Podmiot przetwarzający wprowadzi i będzie utrzymywał techniczne i organizacyjne środki bezpieczeństwa - zgodne z obowiązującymi przepisami i regulacjami dotyczącymi prywatności i ochrony danych osobowych oraz z uwzględnieniem stanu wiedzy technicznej oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą - niezbędne do zapewnienia dostępności, integralności i poufności danych osobowych oraz ochrony przed utratą lub niezgodnym z prawem przetwarzaniem.

2. Podmiot przetwarzający powinien powiadomić Administratora niezwłocznie o naruszeniu danych nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.

3. Powiadomienie, o którym mowa w ust. 2 powinno zawierać co najmniej:

a) charakter naruszenia danych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę danych osobowych, których to dotyczy,

b) nazwisko i dane kontaktowe Inspektora Ochrony Danych lub innej osoby wyznaczonej do kontaktu, od której można uzyskać więcej informacji,

c) prawdopodobne konsekwencje naruszenia danych osobowych,

d) środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.

4. Podmiot przetwarzający wspiera Administratora w wypełnianiu ciążącego na nim ustawowego obowiązku informacyjnego wobec organów nadzoru i/ lub osób , których dane dotyczą w przypadku naruszenia danych.

5. Podmiot przetwarzający powinien niezwłocznie poinformować Administratora w każdym przypadku, kiedy uzna, że przetwarzanie jest niezgodne z prawem.

§ 8

Czas obowiązywania umowy

1. UPD obowiązuje przez okres obowiązywania Umowy oraz przez okres do 30 dni od jej zakończenia.

2. Administrator jest uprawniony do rozwiązania UPD w trybie natychmiastowym, jeżeli zaistnieje chociażby jedna z poniższych przesłanek:

1) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie obowiązujących przepisach dotyczących ochrony danych osobowych,

2) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w UPD.

3. Zaistnienie podstaw do rozwiązania UPD bez wypowiedzenia stanowi podstawę do rozwiązania Umowy bez wypowiedzenia.

§ 9

Poufność

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 UPD, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub UPD, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub UPD.

3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

4. W zakresie nieuregulowanym postanowienia Umowy dotyczące poufności stosuje się odpowiednio.

§ 10

Postanowienia końcowe

1. Zmiana UPD wymaga formy pisemnej pod rygorem nieważności, z zastrzeżeniem zmian osób o których mowa w ust. 4.

2. Załączniki stanowią integralną część UPD.

3. Obowiązki informacyjne wynikające z UPD mogą być realizowane w formie elektronicznej.

4. Strony postanawiają, że osobami odpowiedzialnymi za realizację postanowień UPD, w tym uprawnionymi do kontaktu w zakresie realizacji praw osób których dane dotyczą oraz obowiązków wynikających z UPD jest:

a) ze strony Administratora – Xxxxxx Xxxxx, e-mail xxxxxx@xxx.xxx.xx lub xxx@xxx.xxx.xx

b) ze strony Podmiotu przetwarzającego – ……………………………………………….….. e-mail: …………

5. UPD sporządzono w dwóch jednobrzmiących egzemplarzach.

6. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Administratora.

Administrator Podmiot przetwarzający

Załącznik nr 1 – Podmiot przetwarzający, Dalsze podmioty przetwarzające i kolejne dalsze podmioty przetwarzające

Podmiot przetwarzający

Firma i adres Lokalizacja przetwarzania Świadczone usługi/cel

Dalsze Podmioty Przetwarzające

Firma i adres Lokalizacja przetwarzania Świadczone usługi/cel

Kolejne dalsze podmioty przetwarzające

Podmiot prawny powierzający przetwarzanie Firma i adres Lokalizacja przetwarzania Kraj Świadczone usługi/cel

Załącznik nr 2 – wykaz stosowanych środków technicznych i organizacyjnych

………………………….

Załącznik nr 3 - wzór protokołu likwidacji

Protokół likwidacji zbioru danych/bazy danych/zasobu danych

data i miejsce sporządzenia

Komisja likwidacyjna w składzie:

1. ……………………………..

2………………………………

3………………………………

W związku z zakończeniem realizacji umowy nr …………….. z dnia …………………………. 2018 roku pomiędzy Ośrodkiem przetwarzania Informacji – Państwowym Instytutem Badawczym (Zamawiającym) a

………………………………………….. (Wykonawca) i realizacją zobowiązań z niej wynikających w dniu

………………………………………… przeprowadzono likwidację zbioru danych/bazy danych/zasobu danych, tj:

……………………………………………

poprzez usunięcie wszystkich posiadanych plików z nośników cyfrowych na których były utrwalone. (opis sposobu likwidacji zbioru danych)

Jednocześnie Wykonawca oświadcza, że nie pozostawił sobie żadnych danych, w tym ich kopii i na moment podpisania niniejszego protokołu nie posiada żadnych otrzymanych od Zamawiającego i utrwalonych w formie cyfrowej informacji, w tym danych osobowych oraz nie dysponuje ich kopiami. W przypadku, gdyby jednak posiadała takie informacje, zobowiązuje się do ich niezwłocznego trwałego usunięcia.

Podpisy członków komisji likwidacyjnej Pieczątka Wykonawcy