Załącznik nr 15 do zarządzenia organizacyjnego nr 108/14 Prezydenta Miasta Gliwice z dnia 12 grudnia 2014 r. Załącznik nr 7 do ogłoszenia Umowa nr.. Na powierzenie zbioru danych oraz ustalenie zasad przetwarzania danych Zawarta w dniu.. w Gliwicach pomiędzy: Urzędem Miejskim w Gliwicach, ul. Zwycięstwa 21, 44-100 Gliwice, NIP, reprezentowanym przez Prezydenta Miasta Gliwice będącego Administratorem danych, zwanym dalej Urzędem, w imieniu którego działają na podstawie: 1) pełnomocnictwa nr. z dnia oraz Naczelnik Wydziału. 2) pełnomocnictwa nr. z dnia... Krzysztof Zbrożek Naczelnik Wydziału Informatyki a, w imieniu którego/-ej działa:., zwanym dalej Usługobiorcą. 1 Przedmiot umowy 1. Przedmiotem umowy jest powierzenie zbioru danych określonego w 1 ust. 3 oraz ustalenie zasad przetwarzania danych. 2. Umowa zostaje zawarta na podstawie: a) art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, b) rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. 3. Urząd powierza do przetwarzania Usługobiorcy następujący zbiór danych: Nazwa zbioru - w zakresie (opcjonalnie, w zależności od zawartości zbioru): Nazwiska i imiona, Imiona rodziców, Data urodzenia,
Adres (zameldowania, zamieszkania, korespondencyjny), PESEL, Seria i numer DO, NIP, numer telefonu, numer rachunku bankowego 4. Jako podstawę prawną powierzenia zbioru danych przyjmuje się: 2 Cel przetwarzania danych w zbiorze przez Usługobiorcę: 3 Definicje 1. System Zarządzania Bezpieczeństwem Informacji (SZBI) ustanowiony w Urzędzie w sposób formalny, zgodnie z wymaganiami normy ISO/IEC 27001:2013, zbiór skoordynowanych procesów, procedur, zasobów organizacji, planowanych działań itp. mający na celu zapewnienie skutecznego zarządzania bezpieczeństwem informacji. 2. System Informatyczny Urzędu (SI) zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne. W Urzędzie funkcjonuje jeden system informatyczny, który składa się z podsystemów, modułów i aplikacji zwanych elementami systemu. 3. Użytkownik Usługobiorcy osoba zatrudniona przez Usługobiorcę na podstawie umowy o pracę lub prowadząca działania w imieniu i na rzecz Usługobiorcy, dla której Usługobiorca występuje z wnioskiem o nadanie uprawnień do pracy w SI. 4. Formularz Uprawnień dla Użytkownika formularz zawierający w szczególności: a) wykaz możliwych do udostępnienia Usługobiorcy elementów SI, b) informacje identyfikujące Użytkownika Usługobiorcy, dla którego mają być przydzielone uprawnienia, c) informacje identyfikujące Usługobiorcę. 5. Formularz dostępny jest w Systemie Obiegów Dokumentów Urzędu (SOD), a dla Usługobiorcy nieposiadającego uprawnień do SOD, na stronie Biuletynu Informacji Publicznej Urzędu w zakładce Urząd Miejski/ Bezpieczeństwo informacji/ Formularz - uprawnienia użytkownika zewnętrznego do systemu informatycznego.
1. Urząd: 4 Obowiązki stron a) Powierza do przetwarzania zbiór danych, o którym mowa w 1. b) Zabezpiecza zbiór poprzez wykonywanie kopii bezpieczeństwa. c) Przydziela uprawnienia Użytkownikowi Usługobiorcy do SI zgodnie z wymogami SZBI obowiązującego w Urzędzie, na wniosek Usługobiorcy złożony na obowiązującym Formularzu Uprawnień dla Użytkownika, w przypadku stwierdzenia braku przeszkód formalno-prawnych. d) Przekaże, za potwierdzeniem odbioru, zaklejoną kopertę z danymi niezbędnymi do korzystania z konta (login, hasło lub certyfikat) bezpośrednio osobie, dla której założono konto użytkownika lub osobie upoważnionej, wskazanej w 6 ust. 2 niniejszej umowy. e) W przypadku konieczności wygenerowania nowego hasła startowego lub wygaśnięcia certyfikatu, administrator systemu informatycznego wygeneruje nowe hasło lub certyfikat na telefoniczny lub osobisty wniosek Użytkownika Usługobiorcy, po uprzednim potwierdzeniu jego tożsamości. 2. Usługobiorca: a) Przetwarza dane w zbiorach zgodnie z obowiązującymi przepisami prawa. b) Przetwarza dane w zbiorach zgodnie z zasadami bezpieczeństwa określonymi w 5 niniejszej umowy oraz celem przetwarzania danych, wynikającym z 2. c) Oświadcza, że jego system informatyczny jest chroniony przed nieuprawnionym dostępem oraz posiada zabezpieczenia antywirusowe. d) Zapewnia, że w przypadku odebrania koperty z danymi niezbędnymi do korzystania z konta użytkownika (loginu, hasła, certyfikatu) przez osobę upoważnioną, o której mowa w 6 ust. 2, w imieniu Użytkownika Usługobiorcy, dla którego założono konto, odbierający przekaże mu nienaruszoną kopertę. e) Zapewnia, że w przypadku stwierdzenia uszkodzenia koperty, Użytkownik Usługobiorcy natychmiast zgłosi ten fakt naczelnikowi Wydziału Informatyki celem podjęcia czynności mających na celu zabezpieczenie konta użytkownika oraz wyjaśnienia zaistniałej sytuacji. f) Zobowiąże użytkownika, któremu przydzielono uprawnienia w SI, aby w momencie otrzymania loginu i hasła niezwłocznie zalogował się do konta i zmienił hasło. g) W terminie gwarantującym Urzędowi dokonanie modyfikacji uprawnień, w celu zapewnienia ich zgodności z aktualnym statusem użytkownika występuje z wnioskiem do naczelnika Wydziału Informatyki o: zmianę przydzielonych uprawnień użytkownika w SI, aktualizację danych dotyczących identyfikacji użytkownika posiadającego uprawnienia w SI. h) Wnioskuje o zablokowanie konta w trybie natychmiastowym poprzez zgłoszenie telefoniczne do naczelnika Wydziału Informatyki, a następnie przesłanie właściwego wniosku.
5 Zasady przetwarzania danych 1. Usługobiorca oświadcza, że zapoznał się i przyjmuje do stosowania Politykę Bezpieczeństwa Informacji wdrożoną w Urzędzie Miejskim w Gliwicach. 2. Powierzony zbiór danych osobowych podlega ochronie w myśl przepisów ustawy o ochronie danych osobowych, ze szczególnym uwzględnieniem art. 24 i 31. 3. Usługobiorca oświadcza, że wyznaczył lub sam wykonuje funkcję administratora bezpieczeństwa informacji. 4. Usługobiorca oświadcza, że wdrożył i utrzymuje Politykę Bezpieczeństwa i Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. 5. Usługobiorca oświadcza, iż środki techniczne i organizacyjne zastosowane w celu zapewnienia ochrony przetwarzanych danych osobowych są zgodne z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 6. Usługobiorca oświadcza, że ponosi pełną odpowiedzialność za działania upoważnionych przez niego użytkowników związane z przetwarzaniem danych w powierzonym zbiorze. 7. Urząd ma prawo przez cały czas objęty umową kontrolować poprawność danych przetwarzanych przez Usługobiorcę, który jednocześnie wyraża zgodę na kontrolę wykonywaną przez Urząd w zakresie poprawności zabezpieczenia przetwarzanych danych oraz warunków technicznych ich przetwarzania. Usługobiorca deklaruje pełną współpracę z administratorem bezpieczeństwa informacji Urzędu. W przypadku niespełnienia wymogów umowy Urząd ma prawo zablokować Usługobiorcy możliwość przetwarzania danych, a w przypadkach rażących zaniedbań poinformować odpowiednie organy. 8. Usługobiorca zobowiązuje się do natychmiastowego informowania administratora bezpieczeństwa informacji Urzędu o kontrolach planowanych i wykonywanych przez Generalnego Inspektora Ochrony Danych Osobowych lub innych organów uprawnionych do kontrolowania poprawności przetwarzania danych osobowych oraz o wynikach takich kontroli. 9. W Systemie Informatycznym Urzędu może pracować wyłącznie osoba, której przydzielono login, hasło i uprawnienia do pracy w SI na podstawie wniosku złożonego przez Usługobiorcę. 10. Niedopuszczalne jest korzystanie przez użytkownika systemu z konta, którego nie jest on właścicielem. Naczelnik Wydziału Informatyki lub osoba przez niego upoważniona mają prawo w każdej chwili sprawdzić poprawność wykorzystania konta użytkownika systemu. W przypadku stwierdzenia, że z konta użytkownika systemu korzystają osoby nieupoważnione, konto zostaje zablokowane przez Urząd do czasu wyjaśnienia. 11. Informacje Urzędu obejmują zarówno informacje przekazane przez pracowników Urzędu jak i uzyskane samodzielnie przez podmioty i/lub osoby realizujące umowę w imieniu i na rzecz Usługobiorcy. 12. Urząd przekaże na żądanie Usługobiorcy jedynie takie informacje Urzędu, co do których uzna, że są niezbędne dla prawidłowej realizacji umowy. 13. Usługobiorca zobowiązuje się nie kopiować, nie powielać, ani w inny sposób nie utrwalać i nie rozpowszechniać informacji Urzędu lub jej części, z wyjątkiem przypadków, gdy jest to konieczne w celu wykonania przedmiotu umowy. W takich przypadkach wszelkie kopie informacji Urzędu utrwalone na jakichkolwiek nośnikach informacji pozostają własnością Urzędu.
14. Usługobiorca zobowiązuje się do zachowania w poufności informacji Urzędu nie stanowiących informacji publicznych w rozumieniu ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, zarówno w trakcie trwania umowy jak i po jej zakończeniu poprzez podpisanie oświadczenia o zachowaniu poufności złożonego zgodnie ze wzorem określonym w załączniku nr do niniejszej umowy. Podpisane oświadczenie Usługobiorca dostarczy Urzędowi przed przystąpieniem do realizacji umowy. 15. Usługobiorca zapewnia, wdrażając odpowiednie zabezpieczenia, że pracownicy, a także inne osoby świadczące usługi na jego rzecz, które będą miały dostęp do danych objętych niniejszą umową, spełnią zobowiązanie wyrażone w oświadczeniu o zachowaniu poufności stanowiącym załącznik nr do niniejszej umowy. 16. Usługobiorca będzie zwolniony z obowiązku zachowania w poufności informacji Urzędu w przypadku, gdy obowiązek jej ujawnienia wynikać będzie z przepisów prawa. W takim przypadku, jeśli przepisy prawa nie stanowią inaczej, Usłogobiorca poinformuje Urząd o ujawnieniu informacji Urzędu na rzecz osób lub organów, co do których ujawnienie ma nastąpić lub nastąpiło, podając zakres i warunki ujawnienia. 17. Usługobiorca zobowiązuje się informować Urząd o wszystkich zauważonych nieprawidłowościach i incydentach, które mogą mieć wpływ na bezpieczeństwo informacji Urzędu. 18. W przypadku naruszenia przez Usługobiorcę postanowień umowy dotyczących bezpieczeństwa informacji Urzędu, Urząd będzie miał prawo żądania natychmiastowego zaniechania naruszenia, usunięcia jego skutków oraz rozwiązania umowy. Wezwanie do zaniechania naruszenia i usunięcia jego skutków Urząd przekazuje Usługobiorcy w formie pisemnej, ze wskazaniem terminu do wykonania wezwania. Niezależnie od usunięcia naruszeń Urząd będzie miał prawo dochodzenia odszkodowania od Usługobiorcy na drodze cywilnej. 19. Urząd zobowiązuje się do bieżącego przekazywania Usługobiorcy informacji o zmianach w systemie zarządzania bezpieczeństwem informacji w Urzędzie, jeśli będą mieć wpływ na realizację umowy. 6 Osoby odpowiedzialne za realizację umowy 1. Do wykonywania wzajemnych uzgodnień w sprawach związanych z realizacją Umowy strony wyznaczają : Urząd:.. Usługobiorca:.
2. Do zarządzania uprawnieniami do SI (występowania o dostęp / zmianę / odebranie uprawnień) Usługobiorca wyznacza osoby wymienione w załączniku nr 3. Zmiana osób wymienionych w załączniku nr 3 nie jest uznawana za zmianę w treści umowy. 7 Postanowienia końcowe 1. Wprowadzenie zmian w treści umowy wymaga sporządzenia pisemnego aneksu do umowy pod rygorem ich nieważności, przy czym zmiany nie mogą naruszać przepisów ustawy o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 2. W sprawach nie uregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego oraz przepisy ustawy o ochronie danych osobowych. 3. Umowa zostaje zawarta na czas nieokreślony i może zostać wypowiedziana przez każdą ze stron z miesięcznym okresem wypowiedzenia. 4. Usługobiorca wyraża zgodę na przetwarzanie danych osobowych na zasadach określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Administratorem danych osobowych jest Prezydent Miasta Gliwice. Celem przetwarzania danych jest realizacja niniejszej umowy. Usługobiorcy przysługuje prawo wglądu do treści swoich danych oraz ich poprawiania*. 5. Mogące wyniknąć ze stosunku objętego umową spory, strony poddają pod rozstrzygnięcie sądu powszechnego właściwego miejscowo i rzeczowo dla siedziby Urzędu. 6. Umowę sporządzono w 3 (trzech) jednobrzmiących egzemplarzach - 1 (jeden) egzemplarz dla Naczelnika Wydziału., 1 (jeden) egzemplarz dla Naczelnika Wydziału Informatyki; 1 (jeden) egzemplarz dla Usługobiorcy. 7. Traci moc umowa nr (opcjonalnie) 8. Załączniki: Załącznik nr 1 - Polityka Bezpieczeństwa Informacji, aktualna na dzień podpisania umowy Załącznik nr 2 - Oświadczenie o zachowaniu poufności, zgodne z obowiązującym wzorem Załącznik nr 3 - Wykaz osób uprawnionych do zarządzania uprawnieniami do SI Urząd: Usługobiorca: * należy zawrzeć w umowie wyłącznie w przypadku, gdy Usługobiorca jest osobą fizyczną