umbal.alexandrovska@gmail.com; www. alexandrovska.com

УНИВЕРСИТЕТСКА

МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ “АЛЕКСАНДРОВСКА” ЕАД

София 1431 ул.”Св.Xxxxxx Xxxxxxxx”1 Централа:92-301, тел./факс:0000-000

xxxxx.xxxxxxxxxxxxx@xxxxx.xxx; www. xxxxxxxxxxxxx.xxx

Допълнително споразумение за

Обмен на лични данни

към Договор №…………………/……………

Днес, …………….. г., в гр. София, между:

1. XXXXX „АЛЕКСАНДРОВСКА“ ЕАД, ЕИК 831605795, със седалище и адрес на управление: гр. София, xx. „Св. Xxxxxx Xxxxxxxx“ № 1, представлявано от доц. д-р Xxxxxxxx Xxxxxxx, дм – Изпълнителен директор и

2. ……………………………….., ЕИК ……………….., със седалище и адрес на управление: ………………………, представлявано от ……………………….. – Изпълнителен директор/Управител и

Това Споразумение („Споразумение“) съставлява част от Договор № ………………../………….. за ………………………………… („Договор“) между ………………............. и ……………………………………………………............................ Всяка страна по това Споразумение се нарича „Администратор“ или „Страна“ и заедно се наричат „Администратори“ или „Страни“.

Като взеха предвид че в изпълнение на задълженията и при упражняване на правата си по Договора Страните обменят помежду си лични данни, Страните приемат това Споразумение с цел да улеснят обмена на лични данни, да уговорят целите, за които тези лични данни могат да бъдат използвани, както и начините за обмен на данни.

Термините, използвани в това Споразумение, имат значенията, изложени в настоящото Споразумение.

1. Определения.

   1. В това Споразумение посочените термини имат следното значение:

1.1.1. „Приложимо право" означава приложимото законодателство на Европейския съюз и Република България по отношение на защитата на личните данни;

1.1.2. „ОРЗД" означава Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95 / 46 / ЕО ("Общ регламент за защита на данните");

1.1.3. „Договорени цели" означава целите за обработка на лични данни, посочени в настоящото Споразумение;

1.1.4. „Разкриващ лични данни" означава страната по този Договор, която предава лични данни на Получателя на лични данни;

1.1.5. „Получател на лични данни" означава страната, която получава личните данни от Разкриващия личните данни;

1.1.6. „Споделени лични данни" означава личните данни, които Страните споделят въз основа на Договора и при спазване на условията на това Споразумение;

1.1.7. Термините „Администратор", „Субект на лични данни", „Лични данни", „Нарушение на сигурността на личните данни", „Обработване", „Специални категории лични данни" и „Надзорен орган" имат същото значение като в ОРЗД и приложимото национално законодателство.

2. Договорени цели.

2.1. Споделянето на лични данни между Администраторите в изпълнение на Договора има за цел:

2.1.1. извършването на услугите, описани в Договора;

2.1.2. подпомагане ефикасната и ефективна комуникация между Страните;

2.1.3. осигуряване на ефикасното и ефективно управление и планиране на дейностите, извършвани в изпълнение на Договора;

2.1.4. гарантиране на спазването на всички законови задължения, на които е подчинена някоя от Страните;

2.2. Страните се съгласяват, че няма да обработват Споделени лични данни по начин, който е несъвместим с Договорените цели.

3. Споделени лични данни.

3.1. Страните обработват личните данни на следните категории субекти на данни:

- Служители

3.2. За целите, изброени в чл. 2 от настоящото Споразумение, между Страните могат да се споделят следните видове лични данни:

• Име: Xxx, презиме и фамилия, XXX, номер на лична карта

• Контакти: Електрона поща, адрес и телефон

• Адрес: постоянен или настоящ

• Дипломи, сертификати за професионални умения

4. Добросъвестно и законосъобразно обработване.

4.1. За целите, изброени в чл. 2 от настоящото Споразумение, всяка страна гарантира, че обработва споделените лични данни добросъвестно и законосъобразно.

4.2. За целите, изброени в чл. 2 от настоящото Споразумение, всяка страна гарантира, че обработва споделените лични данни въз основа на подходящо правно основание.

4.3. Страните се задължават да предоставят достатъчно информация на субектите на лични данни относно Споделените лични данни, обстоятелствата, при които могат да бъдат обменени, целите за обмен на данни и получателите на данните, или категорията на вида организация, която ще получи личните данни.

5. Качество на данните.

5.1. Разкриващият лични данни се задължава, че Споделените лични данни са точни и отговарят на изискванията на законодателството за защита на личните данни.

5.2. Когато някоя от страните узнае за неточности в Споделените лични данни, тя е длъжна да уведоми за това другата Страна.

5.3. Споделените лични данни се ограничават до личните данни, описани в чл. 3.1. и 3.2. от настоящото Споразумение.

6. Права на субектите на данни.

6.1. Субектите на лични данни имат правото да получат определена информация за обработването на личните им данни чрез искане за достъп до данни. Субектите на данни също могат да поискат поправяне, изтриване, ограничаване или блокиране на личните им данни. Освен това, субектите на данни имат право на пренос на данни, право на възражение и правата, свързани с автоматизираното вземане на решения, включително профилиране, съгласно ОРЗД.

6.2. Страните се съгласяват, че отговорността за обработването на искания за упражняване на правата на субекти на данни принадлежи на Страната, получила искането.

6.3. Страните се съгласяват да си съдействат и да осигурят разумна и бърза помощ (в рамките на 10 работни дни), за да могат да спазват исканията за упражняване правата на субектите на данни и да отговорят на всякакви други запитвания или жалби от субектите на лични данни.

7. Запазване и заличаване на данни

7.1. Получателят на лични данни не съхранява или обработва Споделени лични данни по-дълго от необходимо за осъществяване на целите, изброени в чл. 2 от настоящото Споразумение.

7.2. Независимо от точка 7.1. Страните продължават да пазят Споделените лични данни в съответствие с всички законови или професионални периоди на съхранение, приложими за тях.

8. Предаване на споделени лични данни.

8.1. Прехвърляне на Споделени лични данни означава всяко споделяне на лични данни от Получателя на лични данни с трета страна, разположена на територията или извън Европейския съюз („ЕС“) или Европейското икономическо пространство („ЕИП“), и включва, но не се ограничава до следното:

8.1.1. обмен на споделените лични данни с всяка друга трета страна;

8.1.2. съхраняване на Споделени лични данни на сървъри;

8.1.3. възлагане на обработката на Споделени лични данни на подизпълнители;

8.1.4. предоставяне на трети страни достъп до Споделените лични данни.

8.2. Страните се задължават да не прехвърлят Споделени лични данни на трета страна, без изричното писмено разрешение на другата страна, освен ако не е налице законово задължение за извършване на прехвърлянето.

8.3. Когато е предоставено изрично писмено разрешение съгласно чл. 8.2. по-горе или е налице законово задължение за извършване на прехвърлянето, Получателят на лични данни не трябва да разкрива или прехвърля Споделени лични данни извън ЕИП, без да гарантира, че ще бъде предоставена адекватна и еквивалентна защита на споделените лични данни.

9. Сигурност и обучение

9.1. Разкриващият лични данни е отговорен за сигурността на предаването на всички Споделени лични данни при прехвърлянето им на Получателя на лични данни, като използва подходящи технически методи.

9.2. Страните се договарят да приложат подходящи технически и организационни мерки за защита на Споделените лични данни, които притежават, срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване, повреда, промяна или разкриване, включително, но не само:

9.2.1. гарантиране, че техническото оборудване, включително преносимо оборудване, се съхранява в заключващи се зони, когато е без надзор;

9.2.2. да не оставят преносимо оборудване, съдържащо лични данни без надзор;

9.2.3. гарантиране, че всеки от персонала на Администраторите използва подходящи сигурни пароли за влизане в системи или бази данни, съдържащи Споделените лични данни;

9.2.4. ограничаване на достъпа до съответните бази данни и системи до тези на нейните служители и подизпълнители, които трябва да имат достъп до личните данни и гарантиране, че паролите се променят и редовно се актуализират, за да се предотврати неуместен достъп, когато лицата вече не са ангажирани от съответната страна;

9.2.5. провеждане на редовна оценка на заплахите или тестване за проникване в системите;

9.2.6. гарантиране, че всички служители, работещи с лични данни, са били осведомени за техните отговорности по отношение на обработката на лични данни;

9.2.7. представяне на доказателства за взетите мерки за сигурност на другата страна, ако това бъде поискано.

10. Нарушения в сигурността на данните и процедури за докладване.

10.1. Всяка страна се задължава да уведоми другата страна възможно най-скоро за всяка потенциална или действителна загуба на Споделените лични данни и във всеки случай на идентифициране на потенциална или действителна загуба, като предостави информацията, необходима да се прецени какви действия са необходими с оглед на приложимото законодателство.

10.2. Точка 10.1. на този раздел се прилага и за всякакви нарушения на сигурността, които могат да компрометират сигурността на Споделените лични данни.

10.3. Страните се споразумяват да предоставят разумна помощ, за да улеснят обработването на всяко нарушение на сигурността на личните данни по ефикасен и съвместим начин.

10. Решаване на спорове със субектите на данни или органите за защита на личните данни.

11.1. В случай на спор или иск, предявен от субект на данни или от орган за защита на личните данни относно обработката на Споделени лични данни срещу една или срещу двете Страни, страните се информират взаимно за всички такива спорове или искове и ще си сътрудничат с оглед те да се уредят по взаимно разбирателство и своевременен начин.

11.2. Страните се съгласяват да отговорят на всяка общодостъпна незадължителна процедура за медиация, започната от субект на данни или от орган по защита на личните данни. Ако участват в производството, страните могат да изберат да го направят от разстояние (например по телефона или по друг електронен път). Страните също така се договарят да обмислят участието си в арбитражни или други процедури за разрешаване на спорове относно защита на личните данни.

12. Съответствие с приложимите закони.

12.1. Всяка страна по настоящото Споразумение се задължава да:

12.1.1. обработва Споделените лични данни в съответствие с всички приложими закони, нормативни актове, наредби, заповеди, стандарти и други подобни инструменти, които се прилагат за операциите по обработка на лични данни.

12.1.2. отговоря в разумен срок и, доколкото е възможно, да се допитва до съответния орган по защита на личните данни във връзка със Споделените лични данни.

12.1.3. предприема всички необходими стъпки, за да гарантира спазването на мерките за сигурност, посочени в точка 9 по-горе.

12.2. Разкриващият лични данни се ангажира да гарантира, че споделените лични данни са точни.

13. Други

13.1. Контакти:

13.1.1 – ….………… определя лице за контакт във връзка с изпълнението на настоящото споразумение: …………………………………………………….

13.1.2 – УМБАЛ „Александровска” ЕАД определя лице за контакт във връзка с изпълнението на настоящото споразумение: Xxxxx Xxxxxxx – длъжностно лице по защита на личните данни – тел: 0000000000 и ел. поща: xxx@xxxxxxxxxxxxx.xxx.

13.2 Настоящoто споразумение между ……………………………. и ……………………………………………………………………………………………………………………………се подписва в два екземпляра, като всяка от страните получава един екземпляр. Споразумението е неразделна част от Договора и влиза в сила от датата на подписване.

ЗА ………………..: ЗА УМБАЛ „АЛЕКСАНДРОВСКА” ЕАД:

…………………… ……………………………….

доц. д-р Xxxxxxxx Xxxxxxx, дм

Изпълнителен директор на

УМБАЛ „Александровска” ЕАД

Xxxxxxx Xxxxxxxxxx

Главен счетоводител